Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

176 views

Published on

Entendemos ser de extrema relevância o papel das compras governamentais no processo de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos. Nesse contexto, as sugestões do documento visam a maximização da promoção de benefícios da computação em nuvem, que representa atualmente uma ferramenta essencial para a economia digital.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

  1. 1. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 1/6 Contribuições Brasscom à Consulta Pública sobre o Termo de referência para a contratação de serviços de computação em nuvem São Paulo, 31 de março de 2017 Introdução Entendemos ser de extrema relevância o papel das compras governamentais no processo de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos. Nesse contexto, as sugestões abaixo visam a maximização da promoção de benefícios da computação em nuvem, que representa atualmente uma ferramenta essencial para a economia digital. Notação das Alterações Propostas e Respectivas Justificativas No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Na dicção dos dispositivos transcritos no texto, adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado. [...] Refere-se à manutenção do fragmento de texto original. Comentários I – Preferência na aquisição de tecnologia nacional (Item 12.4.8 do TR). O universo da tecnologia da informação e das comunicações é, por natureza, global. Envolvem na maior parte das vezes múltiplas jurisdições na busca por soluções. Exatamente por isso, há um ganho na internacionalização de processos, produtos e serviços que tende a gerar mais benefícios para o adquirente. Portanto, interessa à Administração Pública garantir melhores serviços, ferramentas e soluções e nessa busca a exigência proposta pode trazer um alcance limitado e ser menos benéfica aos próprios interesses públicos, além de poder adicionalmente trazer um aumento desnecessário de custos. Desse modo, acreditamos que a preferência a priori por tecnologia nacional deveria ser evitada como forma padrão e pré-definida de contratação. Existem outros mecanismos em termos de políticas governamentais para promoção do desenvolvimento e inovação locais e que podem trazer mais benefícios para a economia como um todo, diferentemente da garantia de preferência de aquisição pela Administração Pública. Recomenda-se, portanto, uma alteração de
  2. 2. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 2/6 abordagem nas políticas de preferência de aquisição nas compras públicas, e a remoção do artigo 12.4.8 dos Termos de Referência. II - Exigência de Call Center local (Item 17.1.1 do TR) A proposta apresentada requer que o atendimento da Administração Pública se realize em Português por Call Center localizado no Brasil. No entanto, como já ressaltado, a localização física da infraestrutura de um serviço não está associada necessariamente à qualidade de uma ferramenta ou dos serviços prestados e pode inclusive impor custos desnecessários. Portanto, recomenda-se que esta disposição seja modificada de forma a permitir que estes serviços sejam prestados em Português a partir de qualquer localização geográfica. III – Exigência de armazenamento de dados e infraestrutura local (Itens 18.2.3.1 do TR e 1.1.2.1 do Anexo II do TR) Os Termos de Referência não permitem que dados sejam armazenados ou enviados para fora do Brasil e exige que os prestadores de serviços de nuvem utilizem a infraestrutura localizada no País. Esse requisito tem um impacto bastante negativo pois além de tal exigência ser desnecessária para se alcançar a segurança almejada, as vantagens econômicas dos contratos públicos são reduzidas, onerando dessa forma o erário. Exigir que a localização dos data centers seja no Brasil e que os provedores de serviços de nuvem não enviem ou armazenem dados fora do país em verdade impactam de forma direta a resiliência de todo o sistema e a garantia de uma maior segurança na preservação de dados, por meio de backup em diferentes locais. A Brasscom vem se manifestado no sentido de que a segurança de dados não pode depender da localização física destes ou mesmo da localização da infraestrutura. Ela é um atributo relacionado a outros mecanismos e ferramentas que possibilitam controles, restauração e recuperação. De forma geral, defende-se que as legislações e normas que abordem a Internet, seu conteúdo e proteções, incluindo uma futura norma nacional sobre proteção de dados pessoais e procedimentos da Administração Pública, deva se isentar de exigir o armazenamento local de dados e se voltar a garantir o dever de guarda e segurança com relação aos dados coletados de domiciliados em território nacional. Desde as discussões do Marco Civil da Internet sublinha-se que não só a Brasscom, mas diversas entidades da sociedade civil organizada, entendem que a obrigatoriedade de manutenção de dados em data centers no país não facilita a proteção de dados, especialmente na ausência de legislação mais detalhada de proteção de dados. Além disso, representa um custo econômico elevado que pode prejudicar colateralmente o surgimento de novas empresas nacionais, bem como uma quebra na lógica global da rede mundial de computadores, Internet. Nesse sentido, a solução seria determinar que incumbe exclusivamente à empresa que coleta e armazena os dados, no caso presente à ganhadora do objeto licitatório, toda e qualquer responsabilidade em relação segurança desses dados, independente da cadeia produtiva que
  3. 3. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 3/6 esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade direta desta empresa frente ao Poder Público e em relação a qualquer dano sofrido por este1 . Assim, evitar-se-ia a criação de obstáculos legais, na mesma medida em que as empresas envidam esforços para garantir a integridade e segurança dos dados em escala global. Esse mecanismo proposto permite que, independentemente das regras de proteção dos países onde os dados sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um conjunto de regras de proteção de seu dado pessoal. Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela empresa responsável pela coleta e armazenamento dos dados. Nesse contexto, em especial quando se trata de uma aquisição governamental via registro de preços com a envergadura proposta, torna-se ainda mais relevante a identificação da natureza e classificação dos dados. Portanto, recomenda-se que os requisitos referentes ao servidor e à localização de dados estabelecidos pelos artigos 18.2.3.1 dos Termos de Referência, bem como pelo Artigo 1.1.2.1 do Anexo II, sejam removidos, além de sugerir que as questões relativas aos serviços e dados altamente confidenciais e sensíveis sejam tratadas caso a caso, por meio de contrato específico. IV – Exigência de mínima de processador (Lotes 1 ,2 e 3, Item 1.1.3, Item 1.2.3 e Item 1.3.3 do Anexo I do TR) Nos itens 1.1.3, 1.2.3 e 1.3.3, a CPU sugerida pelo termo de referência é o Xeon E5 de segunda geração. Recomenda-se que seja utilizado processadores mais novos, atualmente disponíveis no mercado. Os processadores Xeon E5 estão na quarta geração (v4) e são estes os processadores atualmente comercializados. Para garantir que o governo tenha acesso à tecnologia atual, sugere-se utilizar a última versão de processadores no momento da contratação, visto que o registro de preços terá duração de 1 (um) ano. Quanto ao benchmark adotado, o CPU MARK é utilizado com foco em desktops e workstations. Sugerimos utilizar o benchmark SPECint_rate 2006 baseline, da entidade SPEC.ORG, que é o mais utilizado para descrever performance em editais no Brasil e no mundo. Recomenda- se exigir performance mínima por vCPU de 800 pontos para 1 vCPU. V– Exigência de mínima de performance de disco (Lotes 1 ,2 e 3, Itens 1.1.5, 1.2.5, 1.3.5, 1.4.5, 1.5.5 e 1.6.5 do Anexo I do TR) Nos itens citados acima, a performance do disco exigida é especificada em IOPS, sem definição do tamanho de bloco utilizado para testes e performance de leitura e escrita. Como mostrado no gráfico abaixo, a performance de IOPS pode variar de forma muito significativa se alterado o tamanho do bloco. 1 Inclusive referida posição já fora expressada no documento intitulado “MANIFESTO SOBRE A FUTURA LEI DE PROTEÇÃO DE DADOS PESSOAIS”, disponível no link: http://brasscom.org.br/brasscom/Portugues/detPosicionamento.php?codPosicionamento=841
  4. 4. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 4/6 O mesmo disco, se considerado performance de leitura, pode variar de 335 IOPS até 475.723 IOPS, dependendo do tamanho do bloco. Portanto, recomenda-se seguir o padrão de mercado e utilizar números baseados em leitura e escrita randômica com tamanho de blocos de 4k e definição de taxa de transferência de leitura e escrita em MB/s. Segue abaixo exemplo de especificação de disco de alta performance, com desempenho de baixa latência. Além disso, é importante a utilização de criptografia no disco, para reduzir a penalidade de performance da CPU. VI – Criptografia (Itens 1.4.6 do Anexo I do TR) Conforme será detalhado no item IX abaixo, a criptografia é uma ferramenta importante de proteção de informações. No entanto, muitas soluções estão sendo desenvolvidas e
  5. 5. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 5/6 alternativas existem ao se considerar no caso específico a segurança em si do dado. Para tanto, ela pode ser feita em diferentes níveis da rede. Nesse sentido, sugere-se substituir a redação original pelo seguinte texto: O serviço deve prover função de criptografia da máquina virtual do volume com a chave gerenciada pelo próprio cliente. VII – Ambiente para desenvolvimento e hospedagem de aplicativos web (Item 1.25.4 do Anexo I do TR) Recomenda-se remover o termo nativamente do texto: O serviço deve ofertar nativamente as plataformas de desenvolvimento das linguagens: Java, Python, PHP, Node.js e Ruby;. O objetivo é viabilizar a plataforma, mas de maneira flexível ao prestador do serviço em nuvem e ampliando as soluções existentes. VIII – Datacenters com a Certificação TIER III (Itens 1.1.2.15 do Anexo II do TR) Sugere-se a exclusão da referência à classificação Tier III da redação original, para que o mesmo passe a adotar o seguinte texto: Para a comprovação dos requisitos de provedor de computação em nuvem, a CONTRATADA deverá apresentar: Certificação reconhecida internacionalmente como SOC/SAS ou ainda comprovação emitida por auditoria independente. A proposta apresentada neste item da Consulta Pública relativa à certificação baseada em Tiers está em desuso em outros mercados, por exemplo nos EUA, quando se refere a nuvem, sendo substituído (nestes casos) pelas certificações SOC/SAS. As certificações SOC/SAS são relatórios muito mais completos, produzidos por auditores independentes, que descrevem inclusive procedimentos operacionais de contratação, limpeza de storage, etc. e que vão além dos critérios básicos descritos nas certificações baseado em TIERs. IX– Exigência de Criptografia (Item 1.1.3 do Anexo II do TR) O Item1.1.3 do anexo II dos Termos de Referência exige que, em quaisquer e todas as circunstâncias no processo de tráfego e armazenamento todos os dados sejam criptografados com chaves fornecidas pelo órgão contratante. Embora não se possa negar que a criptografia seja uma ferramenta eficiente para proteger tanto o transporte como o armazenamento de informações, o fato é que muitas outras soluções estão sendo desenvolvidas e alternativas existem ao se considerar: diferentes níveis de sensibilidade dos dados; diferentes partes do processo de trânsito e armazenamento; necessidade de rastreamento de dados e segurança. Portanto o uso da criptografia em si não precisaria ser obrigatório ou mesmo a solução exclusiva e impositiva em todas as situações. O próprio avanço tecnológico tem demonstrado isso.
  6. 6. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 6/6 A preocupação seria a de manter a segurança do trânsito e armazenamento com mecanismos atualizados e eficientes considerando o desenvolvimento tecnológico e atualização constante dos referidos mecanismos, sem a eleição de um meio exclusivo, impositivo e generalizado para todos os processos. Nesse sentido, recomenda-se que a redação do Item 1.1.3 do anexo II dos Termos de Referência seja alterada para que a criptografia conste como uma ferramenta importante, desejada, mas não exclusiva ou mandatória em todo o processo de tráfego e armazenamento, impondo inclusive custos desnecessários. X – Open Virtualization Format (OVF) (Item 1.1.4.3 do Anexo II do TR) Recomenda-se a remoção do termo nativamente e substituir a redação original deste item com o seguinte texto: A CONTRATADA deve suportar nativamente a conversão de máquinas virtuais para o formato Open Virtualization Format (OVF) e outros padrões abertos de virtualização. O objetivo é viabilizar a plataforma mas de maneira flexível ao prestador do serviço em nuvem e ampliando as soluções existentes.

×