Recomendações do TCU para contratação de Serviços em Nuvem Computacional
O IBGP analisa o Acórdão 1739/2015 ressaltando os pontos mais relevantes e organizando os principais requisitos para Contratação de Serviços de Computação em Nuvem a partir da tabela de riscos publica pelo TCU.
Dentre vários aspectos registrados no Voto do Ministro Relator, Benjamin Zymler, no Acórdão TCU 1739/2015-Plenário, destacamos os seguintes:
Quanto aos Benefícios
7. Ressalta a unidade instrutiva que as vantagens da computação na nuvem “decorrem essencialmente de benefícios de escala: ao consolidar centros de processamento de dados (CPDs) isolados em um pool de recursos computacionais compartilhados em nuvem, reúne-se um conjunto maior de recursos o que permite reduzir seus custos unitários, melhorar seu aproveitamento, balanceando as demandas por serviços de diversos clientes, o que otimiza o nível de uso dos recursos e divide os custos fixos em uma maior base de usuários”.
8. Especificamente quanto à administração pública, foram enfatizados os seguintes benefícios:
(a) maior agilidade da administração na entrega de serviços e em sua atualização tecnológica;
(b) suporte a iniciativas de Big Data e Dados Abertos, facilitando a abertura de informações governamentais que hoje se encontram em sistemas que controlam as operações cotidianas do Estado;
(c) atendimento a picos de demanda de serviços pela internet sem necessidade de alocar grande quantidade de recursos fixos;
(d) a contratação de serviços em nuvem de IaaS ou PaaS pode levar a uma redução de oportunidades de desvios e irregularidades, quando comparada às múltiplas contratações de máquinas, licenças de software, manutenção e suporte necessárias para a operação de CPD próprio;
(e) agilidade e economia na entrega de serviços para instituições públicas com unidades descentralizadas, que podem ter serviços disponibilizados por meio de acesso à internet.
Quanto às Incertezas
11. Especificamente quanto à utilização da computação em nuvem no âmbito da administração pública federal, a averiguação promovida pela unidade instrutiva evidenciou que, por diversos motivos, tal opção não tem sido incluída no planejamento dos gestores dessa esfera governamental.
12. Nessa linha, foram constatadas incertezas inerentes ao quadro normativo aplicável a contratações de computação em nuvem e à inexistência de uma forma consolidada para se tratarem os riscos de segurança na nuvem, aspectos estes que contribuem sobremaneira para a pouca utilização de modalidade de computação em tela.
13. Com efeito, em relação ao citado quadro normativo, destacou-se o Marco Civil da internet, no qual são estabelecidos princípios, garantias, direitos e deveres para o uso da rede mundial de computadores no Brasil.
14. Além disso, foram evidenciados o Decreto 8.135, de 2013, e a Portaria interministerial 141/2014, competindo ao primeiro, o qual dispõe sobre as comunicações de dados da administração pública, estipular que “as comunicações de dados da administração pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades da economia mista da União e suas subsidiárias”.
15. É de se ressaltar que no citado decreto há diversos comandos que, por um lado, visam fomentar empresas públicas que prestam serviços de tecnologia da informação e, por outro ângulo, com foco em resguardar informações sensíveis dos órgãos da administração pública federal, limitam o fornecimento de serviços de comunicação de dados às citadas empresas públicas, devendo estas empresas ofertar satisfatoriamente os serviços.
Quanto aos Riscos
16. No tocante aos riscos, relacionados precipuamente, à segurança das informações e à disponibilidade dos serviços, destacou a unidade instrutiva que, muito embora seja possível obter vantagem competitiva e/ou econômica por meio da adoção da computação em nuvem, devem ser adotadas ações com vistas a mitigá-los.
17. Nesse sentir, a Sefti, após pontuar, com acerto, que as defesas baseadas em nuvem tendem a ser mais robustas e eficientes em virtude do ganho de escala e da maior especialização das provedoras de serviços, deixou assente que “um trabalho de levantamento e análise de riscos deve ser executado para subsidiar a decisão de migrar para a nuvem e moldar previamente o processo de contratação”, competindo a cada organização “avaliar a criticidade de cada risco levantado de acordo com sua realidade, bem como se seus controles associados são, um a um, aplicáveis ou se podem ser individualmente desconsiderados em função da análise de seu custo/benefício”.
18. Como contribuição ao controle dos diversos riscos associados à migração e à utilização da computação em nuvem, elaborou a unidade instrutiva importante tabela, contida no anexo I de seu relatório, por meio da qual são enumerados diversos riscos específicos, devidamente categorizados, bem como são apresentados controles possíveis com base em critérios internacionalmente aceitos.
Potenciais Requisitos para Contratação de Serviços de Computação em Nuvem
O IBGP apresenta a seguir uma tabela com os principais requisitos para contratação de serviços de computação em nuvem, elabora com base na lista de riscos e controles relacionados nas normas vigentes e, principalmente, na matriz de auditoria de serviços de computação em nuvem publicada pelo TCU, que consolida a maioria dos pontos relevantes a serem observados no processo de contratação desses serviços, bem como o anexo da Portaria MP/STI Nº 20/2016, que é o documento STI – Boas práticas, orientações e vedações para contratação de Serviços de Computação em Nuvem.
Previamente à Contratação
Boa parte das orientações do TCU envolvem aspectos da fase Planejamento da Contratação, que já mitigam riscos específicos identificados a partir de padrões internacionais, a saber:
Grupo | Descrição | Fonte |
---|---|---|
Planejamento | A incorporação de computação em nuvem ao plano estratégico de TI deve ser precedida de análise adequada de modo a assegurar que serviços de nuvem são a solução mais apropriada para as necessidades da organização | TCU AC 1739/15 Risco Espec 17 |
Planejamento | A incorporação de computação em nuvem ao plano estratégico de TI deve ser elaborada por um time de profissionais qualificados de TI e de negócio, e todas as partes interessadas na organização devem ser consultadas | TCU AC 1739/15 Risco Espec 17 |
Planejamento | Os órgãos que não possuem infraestrutura de TI própria ou que necessitem renová-la ou ampliá-la devem contratar Infraestrutura como Serviço (IaaS) | Anexo Portaria STI/20 item 7 |
Planejamento | O planejamento orçamentário deve estar alinhado com as condições de contratação de serviços de computação em nuvem, particularmente quanto à transformação de verba de investimento na compra de equipamentos de TIC para verba de custeio dos serviços de nuvem | TCU AC 1739/15 Risco Espec 18 |
Planejamento | O estudo de viabilidade técnica (estudos técnicos preliminares) da contratação deve avaliar se alternativas de mercado e soluções disponíveis adequam-se à arquitetura do cliente, ou se a adaptação da arquitetura do cliente à do provedor é viável | TCU AC 1739/15 Risco Espec 43 |
Plano de Contingência | O plano de continuidade de negócio deve considerar as partes do negócio que estejam na nuvem e levar em consideração tanto as características do negócio envolvido e do provedor a selecionar | TCU AC 1739/15 – Risco Espec 1 |
Plano de Contingência | Deve ser definido e documentado um método para determinar o impacto de qualquer indisponibilidade à organização, incluindo de serviços que estão na nuvem, que deverá, também, estabelecer prioridades para recuperação e período máximo tolerável para a indisponibilidade | TCU AC 1739/15 Risco Espec 2 |
Plano de Contingência | Especialmente no caso de informações críticas para o negócio, convém considerar a execução de plano de backup independente do fornecedor, duplicando dados em intervalos periódicos | TCU AC 1739/15 Risco Espec 30, 31, 32 e 33 |
Segurança de Dados | Os dados devem ser submetidos à classificação prévia da informação, antes de serem transmitidos para a nuvem | TCU AC 1739/15 Risco Espec 3 |
Segurança de Dados | Definição os serviços de Tecnologia da Informação e Comunicação (TIC), no todo ou em parte, que possam comprometer a segurança nacional, conforme os requisitos de confidencialidade, integridade, disponibilidade e autenticidade das informações envolvidas, em conformidade com a IN Nº 01 GSI/PR/2008 e suas Normas Complementares | Anexo Portaria STI/20 item 2 |
Segurança de Dados | Implementar controle de acesso lógico apropriado ao grau de confidencialidade dos dados armazenados na nuvem | TCU AC 1739/15 Risco Espec 3 |
Segurança de Dados | Utilizar técnicas de marca d’água para identificar origens de vazamento de informações sigilosas | TCU AC 1739/15 Risco Espec 36 |
Segurança de Dados | Implementar controles para transferência de dados, como criptografia e uso de VPN adequada | TCU AC 1739/15 Risco Espec 4 |
Segurança de Dados | Estabelecer políticas e procedimentos para o uso de criptografia, incluindo gerenciamento de chaves criptográficas, que devem ser seguidos pelo cliente e pelo provedor | TCU AC 1739/15 Risco Espec 5 |
Segurança de Dados | As chaves criptográficas não devem ser armazenadas na nuvem | TCU AC 1739/15 Risco Espec 5 |
Segurança de Dados | Os dados armazenados no provedor devem estar criptografados, sendo que o esquema criptográfico deve ser adequado à classificação das informações | TCU AC 1739/15 Risco Espec 5, 6 e 36 |
Política de RH | Deve ser conduzida política de recursos humanos de TI que contemple redefinições de funções e realocações de pessoal, considerando as capacidades e perfis individuais | TCU AC 1739/15 Risco Espec 19 |
Política de RH | Implementar política institucional de incentivo à inovação, como forma de estimular o servidor e quebrar resistência à adoção de computação em nuvem | TCU AC 1739/15 Risco Espec 19 |
Política de RH | Promover política institucional de incentivo à inovação de maneira a convertê-la em parte da cultura organizacional | TCU AC 1739/15 Risco Espec 22 |
Modelo de Serviço | Recomenda-se aos órgãos contratar preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor público ou privado, valendo-se dos benefícios dos modelos de nuvem pública (elasticidade e agilidade) e privada (desempenho garantido devido ao recurso dedicado). | Anexo Portaria STI/20 item 3 |
Portabilidade da Infraestrura e Dados | O plano de continuidade de negócio para nuvem pode considerar mais de um provedor como contingência | TCU AC 1739/15 Risco Espec 1 |
Portabilidade da Infraestrura e Dados | Considerar a alternativa de utilizar sua própria infraestrutura de TI como contingência | TCU AC 1739/15 Risco Espec 1 |
Portabilidade da Infraestrura e Dados | Estabelecer processos ágeis de contratação e migração para provedores alternativos, em caso de falhas do provedor principal | TCU AC 1739/15 Risco Espec 20 e 21 |
Portabilidade da Infraestrura e Dados | Prever soluções de contingência independentes de provedor específico (portabilidade do serviço para outro fornecedor, contrato de contingência em caso de falha do fornecedor principal, espelhamento do serviço em infraestrutura própria etc) | TCU AC 1739/15 Risco Espec 26 |
Portabilidade da Infraestrura e Dados | Os requisitos da organização para portabilidade e interoperabilidade devem ser cuidadosamente avaliados antes da contratação de nuvem frente às alternativas disponíveis no mercado, a fim de mitigar relações de dependência com o provedor | TCU AC 1739/15 Risco Espec 30, 31, 32 e 33 |
Portabilidade da Infraestrutura e Dados | Os órgãos deverão assegurar que o serviço a ser contratado permita a portabilidade de dados e aplicativos e que as informações do órgão contratante estejam disponíveis para transferência de localização, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar a transição contratual | Anexo Portaria STI/20 item 11 |
Portabilidade da Infraestrura e Dados | Processos, procedimentos e recursos devem ser estabelecidos e testados, de maneira a viabilizar a transferência de operações de um provedor de computação em nuvem para outro provedor alternativo | TCU AC 1739/15 Risco Espec 30, 31, 32 e 33 |
Portabilidade da Infraestrura e Dados | O provedor deve utilizar soluções de virtualização que sejam padrões ou referências de mercado | TCU AC 1739/15 Risco Espec 37 e 38 |
Preparação da Infraestrutura de Rede | Contratos do cliente com provedores de rede devem ser revisados a fim de adequá-los a novos parâmetros, como latência e perda de pacotes, próprios de requisitos das aplicações pretendidas em nuvem | TCU AC 1739/15 Risco Espec 41 |
Preparação da Infraestrutura de Rede | Deve-se buscar garantir que os mecanismos de monitoração das redes consigam distinguir entre problemas internos, na rede dos provedores, ou fora do seu escopo | TCU AC 1739/15 Risco Espec 41 |
Conformidade com legislação vigente | A organização deve ser capaz de assegurar a conformidade dos dados e aplicações hospedadas na nuvem com os requisitos de padrões, legais e regulatórios, aos quais o negócio está sujeito, de maneira contínua e atualizada | TCU AC 1739/15 Risco Espec 23 |
Conformidade com legislação vigente | Verificar, na fase de planejamento da contratação, se o objeto da contratação pode ser enquadrado como “comunicação de dados da APF”, conforme a Portaria Interministerial 141/2014, art. 1º e art. 11 | TCU AC 1739/15 Risco Espec 24 |
Conformidade com legislação vigente | Até o término da fase de planejamento da contratação, verificar se a contratação deve ser feita por meio de provedor público ou privado, consultando a disponibilidade dos provedores públicos de atender às especificações técnicas e níveis de serviço do objeto da contratação, conforme a Portaria Interministerial 141/2014, art. 5º, § 3º | TCU AC 1739/15 Risco Espec 24 |
Conformidade com legislação vigente | Especialmente no caso de contratação de fornecedor privado, observar os requisitos comuns de implementação dos serviços estabelecidos pela Portaria Interministerial 141/2014: padrões do e-Ping (art. 8º) e obrigações que deverão estar contidas no termo de referência ou projeto básico e no contrato (art. 9º) | TCU AC 1739/15 Risco Espec 24 |
Conformidade com legislação vigente | Especialmente no caso de contratação de fornecedor privado, observar os requisitos específicos de implementação dos serviços estabelecidos pela Portaria Interministerial 141/2014: requisitos mínimos para serviços de redes de telecomunicações (art. 10) e critérios mínimos de segurança da informação (art. 12) | TCU AC 1739/15 Risco Espec 24 |
Conformidade com legislação vigente | Especialmente no caso de contratação de fornecedor privado, observar os requisitos de auditoria de programas e equipamentos estabelecidos pela Portaria Interministerial 141/2014 (arts. 13 e 14), os quais deverão estar previstos no termo de referência ou projeto básico e no contrato | TCU AC 1739/15 Risco Espec 24 |
Conformidade com legislação vigente | No caso de infraestrutura de nuvem para sistemas estruturantes da APF, contratar órgão ou entidade da APF (item 4.2.3 da Norma Complementar 19/IN01/DSIC/GSIPR) | TCU AC 1739/15 Risco Espec 25 |
Conformidade com legislação vigente | Antes de adotar a tecnologia de computação em nuvem, observar as diretrizes da sua Política de Segurança da Informação e Comunicações (SIC), do seu processo de Gestão de Riscos de SIC e do seu processo de Gestão de Continuidade de Negócios nos aspectos relacionados à SIC (item 5.1 da Norma Complementar 14/IN01/DSIC/GSIPR) | TCU AC 1739/15 Risco Espec 25 |
Requisitos Habilitadores e Contratuais
Ainda com base em frameworks internacionais as orientações normativas estabelecem necessidade de registro contratual de pontos relevantes envolvendo contratação de serviços de computação em nuvem.
Os provedores devem ser capazes de atender aos requisitos habilitadores e contratuais recomendados pelos órgãos normativos e de controle, a saber:
Grupo | Descrição | Fonte |
---|---|---|
Papeis e Responsabilidades | Definir e formalizar, no contrato, papéis e responsabilidades do provedor de serviços de nuvem e do cliente | TCU AC 1739/15 Risco Espec 20, 21 e 28 |
Acordo de Nível de Serviços | Definir cláusulas contratuais especificando nível esperado dos serviços (SLA) e mecanismos clássicos de gestão contratual de serviços terceirizados (comunicações formais, multas, rescisão etc) | TCU AC 1739/15 Risco Espec 20 e 21 |
Acordo de Nível de Serviços | Os SLAs com o provedor de nuvem devem ser cuidadosamente definidos e exequíveis, o que inclui penalidades em caso de não cumprimento | TCU AC 1739/15 Risco Espec 1 e 42 |
Acordo de Nível de Serviços | Prever dispositivos contratuais que busquem assegurar os níveis de serviço no caso de interrupções de serviço planejadas ou não planejadas | TCU AC 1739/15 Risco Espec 26 |
Acordo de Nível de Serviços | Definir em contrato modelo de remuneração vinculada aos níveis de serviço estabelecidos, prevendo glosas no caso de descumprimento de parâmetros mínimos | TCU AC 1739/15 Risco Espec 26 |
Acordo de Nível de Serviços | Definir em contrato sanções no caso de descumprimento reiterado de parâmetros mínimos de níveis de serviço estabelecidos | TCU AC 1739/15 Risco Espec 26 |
Acordo de Nível de Serviços | Estabelecer no contrato indicadores claros e precisos tanto de ambiente como de segurança, com responsáveis pelo seu monitoramento e disponibilização | TCU AC 1739/15 Risco Espec 28 |
Monitoramento do Provedor | Definir no contrato as obrigações do provedor quanto a requisitos mínimos de contratação de pessoal e de monitoramento de suas atividades, bem como a respeito da necessidade de divulgação ao cliente de suas políticas e orientações específicas | TCU AC 1739/15 Risco Espec 15 |
Monitoramento do Provedor | Políticas, procedimentos e mecanismos devem ser estabelecidos e implementados pelo provedor para gerenciamento de vulnerabilidades conhecidas e atualizações de software, garantindo que aplicações, sistemas e vulnerabilidades de dispositivos de rede sejam avaliadas, e que atualizações de segurança fornecidas sejam aplicadas em tempo hábil, priorizando os patches mais críticos | TCU AC 1739/15 Risco Espec 16 |
Monitoramento do Provedor | Definir em cláusula contratual a necessidade de realização de avaliações periódicas independentes, com a finalidade de verificar a adequação dos controles do provedor a um conjunto de critérios pré-definidos | TCU AC 1739/15 Risco Espec 20 e 21 |
Monitoramento do Provedor | Assegurar que todas as vulnerabilidades sejam priorizadas e corrigidas dentro de SLAs acordados contratualmente entre cliente e provedor | TCU AC 1739/15 Risco Espec 27 |
Monitoramento do Provedor | O processo de gestão de vulnerabilidades do provedor deve ser transparente ao cliente | TCU AC 1739/15 Risco Espec 27 |
Monitoramento do Provedor | Prever verificações intermediárias do nível de uso da capacidade contratada, alertas quando atingidos patamares de recursos e tetos de recursos máximos utilizáveis em função do orçamento disponível | TCU AC 1739/15 Risco Espec 29 |
Monitoramento do Provedor | Definir no contrato as obrigações do provedor quanto a requisitos mínimos de autorização e transparência de acesso do provedor aos ativos físicos e virtuais do cliente, bem como a respeito da necessidade de divulgação ao cliente de suas políticas e orientações específicas | TCU AC 1739/15 Risco Espec 14 |
Segurança da Informação | O ambiente de serviço dos fornecedores privados devem estar em conformidade com a norma ABNT NBR ISO/IEC 27001:2013, sem prejuízo de outras exigências, objetivando mitigar riscos relativos à segurança da informação | Anexo Portaria STI/20 item 4 |
Segurança da Informação | Definir cláusulas contratuais estabelecendo limites do acesso do provedor aos dados do cliente | TCU AC 1739/15 Risco Espec 5 |
Segurança da Informação | O modelo de segurança das interfaces do provedor deve ser desenvolvido com base em padrões de mercado, incluindo mecanismos de autenticação forte de usuários e controle de acesso para restringir o acesso aos dados do cliente | TCU AC 1739/15 Risco Espec 13 |
Segurança da Informação | O provedor deve garantir controles eficazes e compatíveis com as políticas e procedimentos do cliente para gerenciamento de identidades de usuários e controle de acessos | TCU AC 1739/15 Risco Espec 8 |
Garantias da propriedade intelectual | Definir cláusulas contratuais especificando mecanismos de segurança e proteção de propriedade intelectual, e quaisquer requisitos legais ou regulatórios | TCU AC 1739/15 Risco Espec 20 e 21 |
Garantias de acesso e propriedade dos dados | O contrato entre cliente e provedor deve estabelecer direitos claros e exclusivos de propriedade e acesso aos dados, inclusive referentes a logs | TCU AC 1739/15 Risco Espec 12 |
Garantias de acesso e propriedade dos dados | Avaliar quais informações serão hospedadas na nuvem, considerando o processo de classificação da informação, o valor do ativo de informação, os controles de acesso físicos e lógicos, o modelo de serviço e de implementação de computação em nuvem e a localização geográfica onde as informações serão armazenadas (item 5.3 da Norma Complementar 14/IN01/DSIC/GSIPR) | TCU AC 1739/15 Risco Espec 25 |
Garantias de acesso e propriedade dos dados | Ao contratar ou implementar um serviço de computação em nuvem, garantir que o ambiente, incluindo infraestrutura e canal de comunicação, esteja aderente às diretrizes e normas de SIC do GSI/PR, que a legislação brasileira prevaleça e que o contrato de prestação de serviço contenha cláusulas de segurança quanto às informações hospedadas na nuvem (item 5.2 da Norma Complementar 14/IN01/DSIC/GSIPR) | TCU AC 1739/15 Risco Espec 25 e 34 |
Controle de Logs | Logs de auditoria do provedor que registram atividades de acesso de usuários privilegiados, tentativas de acesso autorizados e não autorizados, exceções do sistema, e eventos de segurança da informação devem ser mantidos em conformidade com as políticas e regulamentos aplicáveis, e devem estar de acordo com as políticas do cliente | TCU AC 1739/15 Risco Espec 10 |
Controle de Logs | O cliente deve prever cópia dos logs fornecidos pelo provedor, de acordo com sua própria política de retenção; deve haver, da parte do provedor, um mecanismo para filtragem e cópia dos logs gerados pelo fornecedor para a área do cliente | TCU AC 1739/15 Risco Espec 11 |
Controle de Logs | O acesso e uso de ferramentas de auditoria que interajam com os sistemas de informação das organizações deverão estar devidamente segmentados e restritos para evitar comprometimentos e uso indevido de dados de log | TCU AC 1739/15 Risco Espec 12 |
Isolamento da infraestrutura | O provedor deve implementar controles para isolamento e segurança de sistema operacional | TCU AC 1739/15 Risco Espec 37 e 38 |
Isolamento da infraestrutura | Definir cláusulas contratuais estabelecendo responsabilidade do provedor em garantir o isolamento de recursos e dados contra acesso indevido por outros clientes | TCU AC 1739/15 Risco Espec 7 |
Isolamento da infraestrutura | O provedor deve garantir e demonstrar isolamento de recursos e de dados de seus clientes | TCU AC 1739/15 Risco Espec 7 |
Isolamento da infraestrutura | Os órgãos deverão assegurar que as informações sob custódia do fornecedor serão tratadas como informações sigilosas, não podendo ser usadas por este fornecedor ou fornecidas a terceiros, sob nenhuma hipótese, sem autorização formal do contratante | Anexo Portaria STI/20 item 12 |
Elasticidade e Flexibilidade | Os provedores devem utilizar pacotes modulares, usar formatos abertos ou populares para dados e serviços, e serem transparentes em regulações e taxas aplicadas à transferência de dados | TCU AC 1739/15 Risco Espec 30, 31, 32 e 33 |
Disponibilidade | Os órgãos deverão exigir disponibilidade de no mínimo, 99,741% para os data centers onde os serviços estarão hospedados, aceita a comprovação por meio de certificação TIA 942 TIER II | Anexo Portaria STI/20 item 10 |
Gestão de Configuração | O provedor deve implementar política de atualização de versão de software e aplicação de correções | TCU AC 1739/15 Risco Espec 37 e 38 |
Gestão de Incidentes | Cláusulas contratuais devem definir políticas e procedimentos que devem ser estabelecidos para triagem dos eventos relacionados à segurança e garantir o gerenciamento de incidentes completo e ágil | TCU AC 1739/15 Risco Espec 10 |
Gestão de Incidentes | Eventos de segurança de informação devem ser comunicados através de canais predefinidos de comunicação, de maneira rápida e eficiente, e de acordo com os requisitos legais, regulatórios e contratuais | TCU AC 1739/15 Risco Espec 10 |
Gestão de Incidentes | O contrato deve detalhar definições específicas de incidentes, eventos, ações a serem tomadas e responsabilidades do provedor e do cliente | TCU AC 1739/15 Risco Espec 39 e 40 |
Gestão de Incidentes | O contrato deve definir requisitos de interoperabilidade entre as ferramentas de gestão de incidentes do provedor e do cliente | TCU AC 1739/15 Risco Espec 39 e 40 |
Gestão de Mudanças | A política para gestão de mudanças deve ser acordada entre provedor e cliente, e este último deve ser comunicado com antecedência sobre mudanças (por exemplo, utilizando processos do ITIL) | TCU AC 1739/15 Risco Espec 9 |
Limites Geográficos | O provedor deve ter capacidade de trabalhar com multirregiões em seu ambiente e ser capaz de transferir carga de uma região para outra, em prazo máximo especificado em contrato | TCU AC 1739/15 Risco Espec 1 |
Limites Geográficos | O provedor deve assegurar que dados sujeitos a limites geográficos não sejam migrados para além de fronteiras definidas em contrato | TCU AC 1739/15 Risco Espec 6 e 35 |
Limites Geográficos | Os órgãos deverão exigir, por meio de cláusulas contratuais, em conformidade com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups), de modo que o contratante disponha de todas as garantias da legislação brasileira enquanto tomador do serviço e responsável pela guarda das informações armazenadas em nuvem | Anexo Portaria STI/20 item 8 |
Ruptura Contratual | Prever em contrato condições e limites claros de custos para saída do provedor | TCU AC 1739/15 Risco Espec 30, 31, 32 e 33 |
Ruptura Contratual | Deve ser previsto contratualmente que o provedor atenda à política de exclusão de dados do cliente | TCU AC 1739/15 Risco Espec 36 |