Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

186 vues

Publié le

Entendemos ser de extrema relevância o papel das compras governamentais no processo de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos. Nesse contexto, as sugestões do documento visam a maximização da promoção de benefícios da computação em nuvem, que representa atualmente uma ferramenta essencial para a economia digital.

Publié dans : Technologie
  • Identifiez-vous pour voir les commentaires

  • Soyez le premier à aimer ceci

Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20

  1. 1. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 1/6 Contribuições Brasscom à Consulta Pública sobre o Termo de referência para a contratação de serviços de computação em nuvem São Paulo, 31 de março de 2017 Introdução Entendemos ser de extrema relevância o papel das compras governamentais no processo de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos. Nesse contexto, as sugestões abaixo visam a maximização da promoção de benefícios da computação em nuvem, que representa atualmente uma ferramenta essencial para a economia digital. Notação das Alterações Propostas e Respectivas Justificativas No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Na dicção dos dispositivos transcritos no texto, adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado. [...] Refere-se à manutenção do fragmento de texto original. Comentários I – Preferência na aquisição de tecnologia nacional (Item 12.4.8 do TR). O universo da tecnologia da informação e das comunicações é, por natureza, global. Envolvem na maior parte das vezes múltiplas jurisdições na busca por soluções. Exatamente por isso, há um ganho na internacionalização de processos, produtos e serviços que tende a gerar mais benefícios para o adquirente. Portanto, interessa à Administração Pública garantir melhores serviços, ferramentas e soluções e nessa busca a exigência proposta pode trazer um alcance limitado e ser menos benéfica aos próprios interesses públicos, além de poder adicionalmente trazer um aumento desnecessário de custos. Desse modo, acreditamos que a preferência a priori por tecnologia nacional deveria ser evitada como forma padrão e pré-definida de contratação. Existem outros mecanismos em termos de políticas governamentais para promoção do desenvolvimento e inovação locais e que podem trazer mais benefícios para a economia como um todo, diferentemente da garantia de preferência de aquisição pela Administração Pública. Recomenda-se, portanto, uma alteração de
  2. 2. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 2/6 abordagem nas políticas de preferência de aquisição nas compras públicas, e a remoção do artigo 12.4.8 dos Termos de Referência. II - Exigência de Call Center local (Item 17.1.1 do TR) A proposta apresentada requer que o atendimento da Administração Pública se realize em Português por Call Center localizado no Brasil. No entanto, como já ressaltado, a localização física da infraestrutura de um serviço não está associada necessariamente à qualidade de uma ferramenta ou dos serviços prestados e pode inclusive impor custos desnecessários. Portanto, recomenda-se que esta disposição seja modificada de forma a permitir que estes serviços sejam prestados em Português a partir de qualquer localização geográfica. III – Exigência de armazenamento de dados e infraestrutura local (Itens 18.2.3.1 do TR e 1.1.2.1 do Anexo II do TR) Os Termos de Referência não permitem que dados sejam armazenados ou enviados para fora do Brasil e exige que os prestadores de serviços de nuvem utilizem a infraestrutura localizada no País. Esse requisito tem um impacto bastante negativo pois além de tal exigência ser desnecessária para se alcançar a segurança almejada, as vantagens econômicas dos contratos públicos são reduzidas, onerando dessa forma o erário. Exigir que a localização dos data centers seja no Brasil e que os provedores de serviços de nuvem não enviem ou armazenem dados fora do país em verdade impactam de forma direta a resiliência de todo o sistema e a garantia de uma maior segurança na preservação de dados, por meio de backup em diferentes locais. A Brasscom vem se manifestado no sentido de que a segurança de dados não pode depender da localização física destes ou mesmo da localização da infraestrutura. Ela é um atributo relacionado a outros mecanismos e ferramentas que possibilitam controles, restauração e recuperação. De forma geral, defende-se que as legislações e normas que abordem a Internet, seu conteúdo e proteções, incluindo uma futura norma nacional sobre proteção de dados pessoais e procedimentos da Administração Pública, deva se isentar de exigir o armazenamento local de dados e se voltar a garantir o dever de guarda e segurança com relação aos dados coletados de domiciliados em território nacional. Desde as discussões do Marco Civil da Internet sublinha-se que não só a Brasscom, mas diversas entidades da sociedade civil organizada, entendem que a obrigatoriedade de manutenção de dados em data centers no país não facilita a proteção de dados, especialmente na ausência de legislação mais detalhada de proteção de dados. Além disso, representa um custo econômico elevado que pode prejudicar colateralmente o surgimento de novas empresas nacionais, bem como uma quebra na lógica global da rede mundial de computadores, Internet. Nesse sentido, a solução seria determinar que incumbe exclusivamente à empresa que coleta e armazena os dados, no caso presente à ganhadora do objeto licitatório, toda e qualquer responsabilidade em relação segurança desses dados, independente da cadeia produtiva que
  3. 3. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 3/6 esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade direta desta empresa frente ao Poder Público e em relação a qualquer dano sofrido por este1 . Assim, evitar-se-ia a criação de obstáculos legais, na mesma medida em que as empresas envidam esforços para garantir a integridade e segurança dos dados em escala global. Esse mecanismo proposto permite que, independentemente das regras de proteção dos países onde os dados sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um conjunto de regras de proteção de seu dado pessoal. Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela empresa responsável pela coleta e armazenamento dos dados. Nesse contexto, em especial quando se trata de uma aquisição governamental via registro de preços com a envergadura proposta, torna-se ainda mais relevante a identificação da natureza e classificação dos dados. Portanto, recomenda-se que os requisitos referentes ao servidor e à localização de dados estabelecidos pelos artigos 18.2.3.1 dos Termos de Referência, bem como pelo Artigo 1.1.2.1 do Anexo II, sejam removidos, além de sugerir que as questões relativas aos serviços e dados altamente confidenciais e sensíveis sejam tratadas caso a caso, por meio de contrato específico. IV – Exigência de mínima de processador (Lotes 1 ,2 e 3, Item 1.1.3, Item 1.2.3 e Item 1.3.3 do Anexo I do TR) Nos itens 1.1.3, 1.2.3 e 1.3.3, a CPU sugerida pelo termo de referência é o Xeon E5 de segunda geração. Recomenda-se que seja utilizado processadores mais novos, atualmente disponíveis no mercado. Os processadores Xeon E5 estão na quarta geração (v4) e são estes os processadores atualmente comercializados. Para garantir que o governo tenha acesso à tecnologia atual, sugere-se utilizar a última versão de processadores no momento da contratação, visto que o registro de preços terá duração de 1 (um) ano. Quanto ao benchmark adotado, o CPU MARK é utilizado com foco em desktops e workstations. Sugerimos utilizar o benchmark SPECint_rate 2006 baseline, da entidade SPEC.ORG, que é o mais utilizado para descrever performance em editais no Brasil e no mundo. Recomenda- se exigir performance mínima por vCPU de 800 pontos para 1 vCPU. V– Exigência de mínima de performance de disco (Lotes 1 ,2 e 3, Itens 1.1.5, 1.2.5, 1.3.5, 1.4.5, 1.5.5 e 1.6.5 do Anexo I do TR) Nos itens citados acima, a performance do disco exigida é especificada em IOPS, sem definição do tamanho de bloco utilizado para testes e performance de leitura e escrita. Como mostrado no gráfico abaixo, a performance de IOPS pode variar de forma muito significativa se alterado o tamanho do bloco. 1 Inclusive referida posição já fora expressada no documento intitulado “MANIFESTO SOBRE A FUTURA LEI DE PROTEÇÃO DE DADOS PESSOAIS”, disponível no link: http://brasscom.org.br/brasscom/Portugues/detPosicionamento.php?codPosicionamento=841
  4. 4. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 4/6 O mesmo disco, se considerado performance de leitura, pode variar de 335 IOPS até 475.723 IOPS, dependendo do tamanho do bloco. Portanto, recomenda-se seguir o padrão de mercado e utilizar números baseados em leitura e escrita randômica com tamanho de blocos de 4k e definição de taxa de transferência de leitura e escrita em MB/s. Segue abaixo exemplo de especificação de disco de alta performance, com desempenho de baixa latência. Além disso, é importante a utilização de criptografia no disco, para reduzir a penalidade de performance da CPU. VI – Criptografia (Itens 1.4.6 do Anexo I do TR) Conforme será detalhado no item IX abaixo, a criptografia é uma ferramenta importante de proteção de informações. No entanto, muitas soluções estão sendo desenvolvidas e
  5. 5. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 5/6 alternativas existem ao se considerar no caso específico a segurança em si do dado. Para tanto, ela pode ser feita em diferentes níveis da rede. Nesse sentido, sugere-se substituir a redação original pelo seguinte texto: O serviço deve prover função de criptografia da máquina virtual do volume com a chave gerenciada pelo próprio cliente. VII – Ambiente para desenvolvimento e hospedagem de aplicativos web (Item 1.25.4 do Anexo I do TR) Recomenda-se remover o termo nativamente do texto: O serviço deve ofertar nativamente as plataformas de desenvolvimento das linguagens: Java, Python, PHP, Node.js e Ruby;. O objetivo é viabilizar a plataforma, mas de maneira flexível ao prestador do serviço em nuvem e ampliando as soluções existentes. VIII – Datacenters com a Certificação TIER III (Itens 1.1.2.15 do Anexo II do TR) Sugere-se a exclusão da referência à classificação Tier III da redação original, para que o mesmo passe a adotar o seguinte texto: Para a comprovação dos requisitos de provedor de computação em nuvem, a CONTRATADA deverá apresentar: Certificação reconhecida internacionalmente como SOC/SAS ou ainda comprovação emitida por auditoria independente. A proposta apresentada neste item da Consulta Pública relativa à certificação baseada em Tiers está em desuso em outros mercados, por exemplo nos EUA, quando se refere a nuvem, sendo substituído (nestes casos) pelas certificações SOC/SAS. As certificações SOC/SAS são relatórios muito mais completos, produzidos por auditores independentes, que descrevem inclusive procedimentos operacionais de contratação, limpeza de storage, etc. e que vão além dos critérios básicos descritos nas certificações baseado em TIERs. IX– Exigência de Criptografia (Item 1.1.3 do Anexo II do TR) O Item1.1.3 do anexo II dos Termos de Referência exige que, em quaisquer e todas as circunstâncias no processo de tráfego e armazenamento todos os dados sejam criptografados com chaves fornecidas pelo órgão contratante. Embora não se possa negar que a criptografia seja uma ferramenta eficiente para proteger tanto o transporte como o armazenamento de informações, o fato é que muitas outras soluções estão sendo desenvolvidas e alternativas existem ao se considerar: diferentes níveis de sensibilidade dos dados; diferentes partes do processo de trânsito e armazenamento; necessidade de rastreamento de dados e segurança. Portanto o uso da criptografia em si não precisaria ser obrigatório ou mesmo a solução exclusiva e impositiva em todas as situações. O próprio avanço tecnológico tem demonstrado isso.
  6. 6. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 6/6 A preocupação seria a de manter a segurança do trânsito e armazenamento com mecanismos atualizados e eficientes considerando o desenvolvimento tecnológico e atualização constante dos referidos mecanismos, sem a eleição de um meio exclusivo, impositivo e generalizado para todos os processos. Nesse sentido, recomenda-se que a redação do Item 1.1.3 do anexo II dos Termos de Referência seja alterada para que a criptografia conste como uma ferramenta importante, desejada, mas não exclusiva ou mandatória em todo o processo de tráfego e armazenamento, impondo inclusive custos desnecessários. X – Open Virtualization Format (OVF) (Item 1.1.4.3 do Anexo II do TR) Recomenda-se a remoção do termo nativamente e substituir a redação original deste item com o seguinte texto: A CONTRATADA deve suportar nativamente a conversão de máquinas virtuais para o formato Open Virtualization Format (OVF) e outros padrões abertos de virtualização. O objetivo é viabilizar a plataforma mas de maneira flexível ao prestador do serviço em nuvem e ampliando as soluções existentes.

×