brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação

Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060

Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 1/6

Contribuições Brasscom à Consulta Pública sobre o Termo

de referência para a contratação de serviços de

computação em nuvem

São Paulo, 31 de março de 2017

Introdução

Entendemos ser de extrema relevância o papel das compras governamentais no processo

de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos.

Nesse contexto, as sugestões abaixo visam a maximização da promoção de benefícios da

computação em nuvem, que representa atualmente uma ferramenta essencial para a economia

digital.

Notação das Alterações Propostas e Respectivas Justificativas

No intuito de melhor fundamentar as proposições manifestadas neste documento, a

Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados.

Na dicção dos dispositivos transcritos no texto, adota-se a seguinte notação:

Fragmento de texto taxado

Propõe-se a eliminação do fragmento de texto;

Fragmento de texto sublinhado

Propõe-se que o fragmento de texto seja acrescentado.

[...]

Refere-se à manutenção do fragmento de texto original.

Comentários

I – Preferência na aquisição de tecnologia nacional (Item 12.4.8 do TR).

O universo da tecnologia da informação e das comunicações é, por natureza, global.

Envolvem na maior parte das vezes múltiplas jurisdições na busca por soluções. Exatamente por

isso, há um ganho na internacionalização de processos, produtos e serviços que tende a gerar

mais benefícios para o adquirente. Portanto, interessa à Administração Pública garantir melhores

serviços, ferramentas e soluções e nessa busca a exigência proposta pode trazer um alcance

limitado e ser menos benéfica aos próprios interesses públicos, além de poder adicionalmente

trazer um aumento desnecessário de custos.

Desse modo, acreditamos que a preferência a priori por tecnologia nacional deveria ser

evitada como forma padrão e pré-definida de contratação. Existem outros mecanismos em

termos de políticas governamentais para promoção do desenvolvimento e inovação locais e que

podem trazer mais benefícios para a economia como um todo, diferentemente da garantia de

preferência de aquisição pela Administração Pública. Recomenda-se, portanto, uma alteração de




abordagem nas políticas de preferência de aquisição nas compras públicas, e a remoção do artigo

12.4.8 dos Termos de Referência.

II - Exigência de Call Center local (Item 17.1.1 do TR)

A proposta apresentada requer que o atendimento da Administração Pública se realize

em Português por Call Center localizado no Brasil.

No entanto, como já ressaltado, a localização física da infraestrutura de um serviço não

está associada necessariamente à qualidade de uma ferramenta ou dos serviços prestados e pode

inclusive impor custos desnecessários.

Portanto, recomenda-se que esta disposição seja modificada de forma a permitir que

estes serviços sejam prestados em Português a partir de qualquer localização geográfica.

III – Exigência de armazenamento de dados e infraestrutura local (Itens 18.2.3.1 do TR e 1.1.2.1 do Anexo II do TR)

Os Termos de Referência não permitem que dados sejam armazenados ou enviados para

fora do Brasil e exige que os prestadores de serviços de nuvem utilizem a infraestrutura localizada

no País. Esse requisito tem um impacto bastante negativo pois além de tal exigência ser

desnecessária para se alcançar a segurança almejada, as vantagens econômicas dos contratos

públicos são reduzidas, onerando dessa forma o erário.

Exigir que a localização dos data centers seja no Brasil e que os provedores de serviços

de nuvem não enviem ou armazenem dados fora do país em verdade impactam de forma direta

a resiliência de todo o sistema e a garantia de uma maior segurança na preservação de dados,

por meio de backup em diferentes locais.

A Brasscom vem se manifestado no sentido de que a segurança de dados não pode

depender da localização física destes ou mesmo da localização da infraestrutura. Ela é um atributo

relacionado a outros mecanismos e ferramentas que possibilitam controles, restauração e

recuperação.

De forma geral, defende-se que as legislações e normas que abordem a Internet, seu

conteúdo e proteções, incluindo uma futura norma nacional sobre proteção de dados pessoais e

procedimentos da Administração Pública, deva se isentar de exigir o armazenamento local de

dados e se voltar a garantir o dever de guarda e segurança com relação aos dados coletados de

domiciliados em território nacional.

Desde as discussões do Marco Civil da Internet sublinha-se que não só a Brasscom, mas

diversas entidades da sociedade civil organizada, entendem que a obrigatoriedade de

manutenção de dados em data centers no país não facilita a proteção de dados, especialmente

na ausência de legislação mais detalhada de proteção de dados. Além disso, representa um custo

econômico elevado que pode prejudicar colateralmente o surgimento de novas empresas

nacionais, bem como uma quebra na lógica global da rede mundial de computadores, Internet.

Nesse sentido, a solução seria determinar que incumbe exclusivamente à empresa que

coleta e armazena os dados, no caso presente à ganhadora do objeto licitatório, toda e qualquer

responsabilidade em relação segurança desses dados, independente da cadeia produtiva que




esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade direta desta empresa frente

ao Poder Público e em relação a qualquer dano sofrido por este1.

Assim, evitar-se-ia a criação de obstáculos legais, na mesma medida em que as empresas

envidam esforços para garantir a integridade e segurança dos dados em escala global. Esse

mecanismo proposto permite que, independentemente das regras de proteção dos países onde

os dados sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um

conjunto de regras de proteção de seu dado pessoal.

Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão

relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela

empresa responsável pela coleta e armazenamento dos dados.

Nesse contexto, em especial quando se trata de uma aquisição governamental via registro

de preços com a envergadura proposta, torna-se ainda mais relevante a identificação da natureza

e classificação dos dados.

Portanto, recomenda-se que os requisitos referentes ao servidor e à localização de dados

estabelecidos pelos artigos 18.2.3.1 dos Termos de Referência, bem como pelo Artigo 1.1.2.1 do

Anexo II, sejam removidos, além de sugerir que as questões relativas aos serviços e dados

altamente confidenciais e sensíveis sejam tratadas caso a caso, por meio de contrato específico.

IV – Exigência de mínima de processador (Lotes 1 ,2 e 3, Item 1.1.3, Item 1.2.3 e Item 1.3.3 do Anexo I do TR)

Nos itens 1.1.3, 1.2.3 e 1.3.3, a CPU sugerida pelo termo de referência é o Xeon E5 de

segunda geração. Recomenda-se que seja utilizado processadores mais novos, atualmente

disponíveis no mercado. Os processadores Xeon E5 estão na quarta geração (v4) e são estes os

processadores atualmente comercializados. Para garantir que o governo tenha acesso à

tecnologia atual, sugere-se utilizar a última versão de processadores no momento da contratação,

visto que o registro de preços terá duração de 1 (um) ano.

Quanto ao benchmark adotado, o CPU MARK é utilizado com foco em desktops e

workstations. Sugerimos utilizar o benchmark SPECint_rate 2006 baseline, da entidade SPEC.ORG,

que é o mais utilizado para descrever performance em editais no Brasil e no mundo. Recomenda-

se exigir performance mínima por vCPU de 800 pontos para 1 vCPU.

V– Exigência de mínima de performance de disco (Lotes 1 ,2 e 3, Itens 1.1.5, 1.2.5, 1.3.5, 1.4.5, 1.5.5 e 1.6.5 do Anexo I do TR)

Nos itens citados acima, a performance do disco exigida é especificada em IOPS, sem

definição do tamanho de bloco utilizado para testes e performance de leitura e escrita.

Como mostrado no gráfico abaixo, a performance de IOPS pode variar de forma muito

significativa se alterado o tamanho do bloco.

1 Inclusive referida posição já fora expressada no documento intitulado “MANIFESTO SOBRE A FUTURA LEI DE PROTEÇÃO DE

DADOS PESSOAIS”, disponível no link:

http://brasscom.org.br/brasscom/Portugues/detPosicionamento.php?codPosicionamento=841




O mesmo disco, se considerado performance de leitura, pode variar de 335 IOPS até

475.723 IOPS, dependendo do tamanho do bloco.

Portanto, recomenda-se seguir o padrão de mercado e utilizar números baseados em

leitura e escrita randômica com tamanho de blocos de 4k e definição de taxa de transferência de

leitura e escrita em MB/s.

Segue abaixo exemplo de especificação de disco de alta performance, com desempenho

de baixa latência.

Além disso, é importante a utilização de criptografia no disco, para reduzir a penalidade

de performance da CPU.

VI – Criptografia (Itens 1.4.6 do Anexo I do TR)

Conforme será detalhado no item IX abaixo, a criptografia é uma ferramenta importante

de proteção de informações. No entanto, muitas soluções estão sendo desenvolvidas e




alternativas existem ao se considerar no caso específico a segurança em si do dado. Para tanto,

ela pode ser feita em diferentes níveis da rede.

Nesse sentido, sugere-se substituir a redação original pelo seguinte texto: O serviço deve

prover função de criptografia da máquina virtual do volume com a chave gerenciada pelo próprio

cliente.

VII – Ambiente para desenvolvimento e hospedagem de aplicativos web (Item 1.25.4 do Anexo I do TR)

Recomenda-se remover o termo nativamente do texto: O serviço deve ofertar

nativamente as plataformas de desenvolvimento das linguagens: Java, Python, PHP, Node.js e

Ruby;.

O objetivo é viabilizar a plataforma, mas de maneira flexível ao prestador do serviço em

nuvem e ampliando as soluções existentes.

VIII – Datacenters com a Certificação TIER III (Itens 1.1.2.15 do Anexo II do TR)

Sugere-se a exclusão da referência à classificação Tier III da redação original, para que o

mesmo passe a adotar o seguinte texto: Para a comprovação dos requisitos de provedor de

computação em nuvem, a CONTRATADA deverá apresentar: Certificação reconhecida

internacionalmente como SOC/SAS ou ainda comprovação emitida por auditoria independente.

A proposta apresentada neste item da Consulta Pública relativa à certificação baseada

em Tiers está em desuso em outros mercados, por exemplo nos EUA, quando se refere a nuvem,

sendo substituído (nestes casos) pelas certificações SOC/SAS. As certificações SOC/SAS são

relatórios muito mais completos, produzidos por auditores independentes, que descrevem

inclusive procedimentos operacionais de contratação, limpeza de storage, etc. e que vão além

dos critérios básicos descritos nas certificações baseado em TIERs.

IX– Exigência de Criptografia (Item 1.1.3 do Anexo II do TR)

O Item1.1.3 do anexo II dos Termos de Referência exige que, em quaisquer e todas as

circunstâncias no processo de tráfego e armazenamento todos os dados sejam criptografados

com chaves fornecidas pelo órgão contratante.

Embora não se possa negar que a criptografia seja uma ferramenta eficiente para

proteger tanto o transporte como o armazenamento de informações, o fato é que muitas outras

soluções estão sendo desenvolvidas e alternativas existem ao se considerar: diferentes níveis de

sensibilidade dos dados; diferentes partes do processo de trânsito e armazenamento; necessidade

de rastreamento de dados e segurança. Portanto o uso da criptografia em si não precisaria ser

obrigatório ou mesmo a solução exclusiva e impositiva em todas as situações. O próprio avanço

tecnológico tem demonstrado isso.




A preocupação seria a de manter a segurança do trânsito e armazenamento com

mecanismos atualizados e eficientes considerando o desenvolvimento tecnológico e atualização

constante dos referidos mecanismos, sem a eleição de um meio exclusivo, impositivo e

generalizado para todos os processos.

Nesse sentido, recomenda-se que a redação do Item 1.1.3 do anexo II dos Termos de

Referência seja alterada para que a criptografia conste como uma ferramenta importante,

desejada, mas não exclusiva ou mandatória em todo o processo de tráfego e armazenamento,

impondo inclusive custos desnecessários.

X – Open Virtualization Format (OVF) (Item 1.1.4.3 do Anexo II do TR)

Recomenda-se a remoção do termo nativamente e substituir a redação original deste

item com o seguinte texto: A CONTRATADA deve suportar nativamente a conversão de máquinas

virtuais para o formato Open Virtualization Format (OVF) e outros padrões abertos de

virtualização.

O objetivo é viabilizar a plataforma mas de maneira flexível ao prestador do serviço em

nuvem e ampliando as soluções existentes.

brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

Technology