MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA DEPARTAMENTO GENERAL GOMES FREIRE DE ANDRADE DIRETRIZ PARA UTILIZAÇÃO E GESTÃO DE SOFTWARE NO EXÉRCITO BRASILEIRO GESOFT BRASÍLIA/DF 2007 Quaisquer observações, correções e sugestões para o aprimoramento deste documento devem ser dirigidas à Chefia do Departamento de Ciência e Tecnologia – DCT, que se reserva o direito de avaliar e decidir sobre sua aceitação. __________________________________________________________________________________________ GESOFT 11 SET 07 2 ÍNDICE 1. GENERALIDADES ......................................................................................................................................5 2. CONCEITUAÇÃO BÁSICA ........................................................................................................................5 3. LICENCIAMENTO DE SOFTWARE..........................................................................................................6 a. LICENCIAMENTO CORPORATIVO..................................................................................................6 1) PERPÉTUO.....................................................................................................................................6 2) POR TEMPO LIMITADO..............................................................................................................6 b. LICENCIAMENTO NO VAREJO ........................................................................................................6 1) CLICKWRAP LICENSING..............................................................................................................6 2) SHRINKWRAP LICENSING ...........................................................................................................6 c. LICENCIAMENTO ACADÊMICO ou EDUCACIONAL ...................................................................7 1) LOCAÇÃO DE SOFTWARE.........................................................................................................7 2) POR TEMPO LIMITADO E SEM ÔNUS .....................................................................................7 4. COMERCIALIZAÇÃO DE SOFTWARE....................................................................................................7 5. ATUALIZAÇÃO DE VERSÃO, UPGRADE E UPDATE ...........................................................................8 6. SOFTWARE ABERTO E SOFTWARE LIVRE ..........................................................................................9 7. HOMOLOGAÇÃO DE SOFTWARE.........................................................................................................11 a. AVALIAÇÃO DE SOFTWARE..........................................................................................................12 b. PADRONIZAÇÃO DE SOFTWARE..................................................................................................12 8. PROTEÇÃO INTELECTUAL DE PROGRAMAS DE COMPUTADOR.................................................12 9. ENTIDADES DE PROTEÇÃO ..................................................................................................................14 10. PROTEÇÃO JURÍDICA DO SOFTWARE................................................................................................15 11. VISITAS DE VISTORIA DE SOFTWARE ...............................................................................................15 12. LOGÍSTICA PARA O SOFTWARE, NO EXÉRCITO..............................................................................16 a. CICLO-DE-VIDA DO SOFTWARE...................................................................................................16 b. LEVANTAMENTO DE NECESSIDADES DA OM ..........................................................................18 c. SELEÇÃO DO SOFTWARE ADEQUADO .......................................................................................18 d. PEDIDO DE SOFTWARE...................................................................................................................18 e. AQUISIÇÃO DE SOFTWARE ...........................................................................................................19 1) AQUISIÇÃO E UTILIZAÇÃO DE SOFTWARE OEM..............................................................19 2) AQUISIÇÃO DIRETA .................................................................................................................20 3) AQUISIÇÃO MEDIANTE LICITAÇÃO.....................................................................................20 f. CONTRATO CORPORATIVO ...........................................................................................................21 g. CONTRATO ACADÊMICO OU EDUCACIONAL...........................................................................22 h. CONTRATO DE ADESÃO.................................................................................................................22 i. CONTRATO “END-USER LICENSE AGREEMENT - EULA” ..........................................................22 __________________________________________________________________________________________ GESOFT 11 SET 07 3 j. DADOS PARA CATALOGAÇÃO .....................................................................................................22 l. FORNECIMENTO DE SOFTWARE ..................................................................................................23 m. RECEBIMENTO..................................................................................................................................24 n. INSTALAÇÃO E REGISTRO.............................................................................................................25 o. DESCARTE DE SOFTWARE.............................................................................................................25 13. GERÊNCIA DE SOFTWARE ....................................................................................................................25 a. GERENTE DE SOFTWARE ...............................................................................................................25 b. VANTAGENS DO GERENCIAMENTO............................................................................................26 c. INVENTARIAÇÃO DE SOFTWARE ................................................................................................26 ANEXO 1 – MODELO DE INVENTÁRIO DE INFORMÁTICA ..........................................................29 ANEXO 1 – MODELO DE INVENTÁRIO DE INFORMÁTICA (continuação).....................................30 d. DIRETRIZES INTERNAS PARA O USO E GESTÃO DE SOFTWARE, NA OM..........................31 e. RESPONSABILIDADES.....................................................................................................................31 f. REGULARIZAÇÃO DO SOFTWARE DA OM.................................................................................32 ANEXO 2 - ORIENTAÇÕES PRÁTICAS PARA UMA GESTÃO EFICAZ DE SOFTWARE .......33 14. A UTILIZAÇÃO DE SOFTWARE NO EXÉRCITO .................................................................................38 a. RECOMENDAÇÕES GERAIS...............................................................................................................38 b. RECOMENDAÇÕES ESPECÍFICAS (suscetíveis de modernização, conforme as versões).................38 1) SISTEMAS OPERACIONAIS ........................................................................................................38 2) SUITES DE ESCRITÓRIO .............................................................................................................41 3) GERENCIADORES DE BANCOS DE DADOS ............................................................................42 4) NAVEGADORES ou BROWSERS ................................................................................................44 5) CORREIO ELETRÔNICO ..............................................................................................................45 15. A MIGRAÇÃO PARA SOFTWARE LIVRE NO EXÉRCITO BRASILEIRO.........................................45 16. SEGURANÇA DA INFORMAÇÃO, NO USO DE SOFTWARE NO EXÉRCITO .................................46 ANEXO 3 – FORMULÁRIO PARA SOLICITAÇÃO DE SOFTWARE...........................................57 __________________________________________________________________________________________ GESOFT 11 SET 07 4 1. GENERALIDADES Estas Normas têm por objetivo proporcionar aos Comandantes, Chefes ou Diretores de Organizações Mi- litares (OM) do Exército, conhecimentos essenciais relativos a uma boa administração dos programas de computador (softwares) para uso na OM. Haja vista não ser de tratamento uniforme a gestão do software no País, a legislação não ser de conhecimento e compreensão amplos, a terminologia não ser plenamente difundida, conhecida e compreendida, e, por fim, não haver literatura que concentre todo o conhecimento necessário às melhores práticas para a utilização e administração do software, é essencial que o Exército Brasileiro estabeleça procedimentos racionais para a gestão de seus ativos, tornando-a econômica e otimizada. O emprego de todo e qualquer software no Exército Brasileiro, por qualquer órgão ou Organização Militar, deve estar estritamente de acordo com o que preconiza a respectiva licença de uso, prevista pelo fabricante ou pelo detentor dos direitos sobre esse software. Além do aspecto legal, cada software exige cuidados específicos relativos à sua manutenção, segurança e sustentabilidade em projetos de software do Exército, os quais devem ser observados por todos os usuários. Em conseqüência, é relevante o pleno entendimento desta norma por todos os integrantes do Exército, mormente por parte dos gestores de material e usuários finais. Esse objetivo poderá ser atingido por meio de palestras, e consolidado no relacionamento esclarecido com os fornecedores e responsáveis por prestação de serviços de informática, a fim de se alcançar os mais efetivos resultados para o Exército. 2. CONCEITUAÇÃO BÁSICA CÓPIA (ou EXEMPLAR) É o software completo, podendo estar contido: em uma caixa de embalagem com toda a documentação correspondente; em um disquete; ou CD-ROM. LICENÇA É a autorização concedida, pelo produtor do software, para a utilização do software nas condições nela estabelecidas. FPP (Full Product Package) É outra denominação para a embalagem sob a forma de caixa contendo software, utilizada, em particular, pela Microsoft. OEM (Original Equipment É a licença para utilização de software pré-instalado em computadores novos, mediManufacturer) ante contrato entre o fabricante do computador e o produtor do software. UPGRADE Alterações em programas de computador que acarretam mudança radical de versão. UPDATE Alterações em programas de computador que não acarretam mudança radical de versão. TRIAL Licença do programa completo, porém com prazo de utilização (normalmente 60 ou 90 dias). Após decorrido esse prazo, o programa deixa de funcionar. DEMO Licença de programa não completo, apenas para demonstração. SHAREWARE Licença de programa para avaliação, por tempo determinado. Após esse prazo, só poderá ser utilizado mediante o pagamento da licença, ou com recursos limitados. (conf. Trial). __________________________________________________________________________________________ GESOFT 11 SET 07 5 FREEWARE Licença de programa gratuita, de livre distribuição. Normalmente, disponível para “download” na Internet. Pode ceder o código-fonte, ou não. CAL (Client Access Licen- Licença que se faz necessária quando alguma estação de rede deve acessar o servise) dor. O servidor já deverá dispor de licença específica para “servidor”. SOFTWARE FECHADO Indevidamente também denominado “proprietário”, é o software que não disponibiliza o código-fonte, nem atende às quatro liberdades previstas para o software livre. A alusão à propriedade é indébita, haja vista os softwares livre e aberto também gozar de direitos de propriedade intelectual. SOFTWARE ABERTO Programa de computador sobre o qual se dispõe de alguma liberdade, por exemplo, conhecimento e disponibilidade de modificação do código-fonte, possibilidade de realizar um número ilimitado de cópias, dentre outras. SOFTWARE LIVRE É um software, gratuito ou não, do qual se detém o código-fonte, autonomia para alterá-lo, e possibilidade de efetuar um número ilimitado de cópias. 3. LICENCIAMENTO DE SOFTWARE a. LICENCIAMENTO CORPORATIVO Modalidade de contratação, em que o adquirente é uma Organização formalmente constituída. Nor- malmente o número de licenças é elevado, e a aquisição se faz mediante a celebração de um contrato de licenciamento. 1) PERPÉTUO O prazo de vigência do licenciamento é ilimitado. A legislação não permite que a Administração Pública celebre contratos de vigência perpétua. No entanto, esta palavra pode ser substituída por “permanente”. 2) POR TEMPO LIMITADO Modalidade em que a licença tem duração limitada, normalmente 12(doze) meses, podendo ser renovada por igual período. b. LICENCIAMENTO NO VAREJO Modalidade de contratação, em que o adquirente pode ser uma Organização formalmente constituída ou, mesmo, pessoa física. Normalmente, o número de licenças é reduzido. 1) CLICKWRAP LICENSING Modalidade de licenciamento em que o usuário – por adesão – concorda com as cláusulas contratuais, por meio do acionamento de um “botão” na tela do computador, intitulado “Eu concordo”, “Concordo”, e suas versões para outros idiomas. Também conhecido como Contrato “CLICK”. 2) SHRINKWRAP LICENSING Modalidade de licenciamento em que o usuário – por adesão – concorda com as cláusulas contratuais, por meio do rompimento do lacre (seja um envelope ou embalagem plástica), da caixa que contém o __________________________________________________________________________________________ GESOFT 11 SET 07 6 produto ou somente o disquete - ou CD-ROM - que contém o software propriamente dito. Normalmente, na face externa da embalagem existem mensagens de alerta para esse procedimento. O usuário só toma conhecimento das cláusulas contratuais após abrir a embalagem. No entanto, se não concordar com o estabelecido no contrato e se não houver rompido a embalagem da mídia que contém o software, pode restituí-lo ao fornecedor. c. LICENCIAMENTO ACADÊMICO ou EDUCACIONAL Licenciamento voltado para estabelecimentos de ensino, devidamente regularizados perante o Ministério da Educação, professores e estudantes. 1) LOCAÇÃO DE SOFTWARE Tipo de licenciamento, em que o custeio é orçado para um período limitado (semestralidades, anuidades etc). Ao final do período, o contrato pode ser renovado, o usuário pode adquirir as licenças por tempo ilimitado, ou pode desistir de sua renovação. Neste último caso, deve desinstalar e restituir o software ao Contratado. A legislação não regula plenamente esta modalidade de licenciamento, existindo controvérsias quanto à sua legalidade. Alguns autores enfatizam que o software só pode ser alugado juntamente com o hardware onde está instalado, e somente nesses casos. 2) POR TEMPO LIMITADO E SEM ÔNUS Modalidade semelhante à anterior, no entanto sem caracterizar a locação, uma vez que não há custeio para o Contratante. Poderá ser objeto de renovação por igual período, enquanto houver interesse para o estabelecimento de ensino. 4. COMERCIALIZAÇÃO DE SOFTWARE Em sua grande maioria, os programas de computador são comercializados sob a forma de licença de uso ( Art. 9º da Lei nº 9.609, de 19 de fevereiro de 1998) Excepcionalmente, e segundo condições específicas, os direitos de autoria sobre o programa podem ser transferidos para o contratante. Nesse caso, por ocasião de sua contratação deve ficar perfeitamente estabelecido que todos os direitos serão cedidos, juntamente com toda a documentação correspondente e todos os códigos-fontes. Atenção especial deve ser atribuída ao registro desse software junto ao Instituto Nacional de Propriedade Industrial – INPI, órgão responsável pelo registro, conforme disposto no Decreto nº 2.556, de 20 de abril de 1998. Não obstante esse registro não ser impositivo, é uma proteção ao criador, para que os Direitos Autorais possam ser respeitados. O software que é comercializado sem qualquer personalização para o cliente, também chamado “de prateleira” ou “de caixinha”, encontrado nas lojas de produtos de informática, papelarias, supermercados etc, é objeto de licença de uso com validade indeterminada, sem ter assegurados qualquer suporte técnico ou atualização de versão, à exceção da garantia de qualidade do produto. Vale, todavia, lembrar que, conforme o disposto no Art. 8º, da Lei nº 9.609: __________________________________________________________________________________________ GESOFT 11 SET 07 7 “Art. 8º Aquele que comercializar programa de computador, quer seja titular dos direitos do programa, quer seja titular dos direitos de comercialização, fica obrigado, no território nacional, durante o prazo de validade técnica da respectiva versão, a assegurar aos respectivos usuários a prestação de serviços técnicos complementares relativos ao adequado funcionamento do programa, consideradas as suas especificações.” Esses serviços são complementares e têm por objetivo primordial fazer com que o software opere efetivamente em conformidade com o que se dispõe a produzir. No entanto, em uma aquisição mediante contratação formal e corporativa – por escrito –, é possível estipular-se treinamento, suporte técnico ao usuário e, mesmo, garantia de atualização de versões. Para o treinamento e para o suporte técnico, poderá não haver exclusividade do fornecedor, devendo, nesse caso, ser licitada sua contratação. À época dos “mainframes” – ou computadores de grande porte –, os programas de computador eram comercializados juntamente com o equipamento para o qual seria destinado. Posteriormente, com o advento da microinformática, surgiu a modalidade de comercialização por licença de uso. Nesse caso, a propriedade intelectual do autor é plenamente preservada, restando ao usuário apenas a posse das mídias que contenham o software, juntamente com o Certificado de Licença para a sua utilização. Por outro lado, em face do surgimento do “personal computer”, ou PC, e seus diversos fabricantes, inúmeros software foram disponibilizados para uso em qualquer computador. Com isso, iniciou-se a prática da copiagem indiscriminada, à margem da lei, constituindo-se na “pirataria” ou contrafação, com suas nefastas conseqüências. Com o barateamento dos custos dos programas de computador, existe uma tendência de queda na prática deste crime. 5. ATUALIZAÇÃO DE VERSÃO, UPGRADE E UPDATE Todo e qualquer software tem uma validade técnica, em face de sua atualidade tecnológica. Por outro lado, por maior precisão no seu desenvolvimento, dificilmente o programa deixa de apresentar – em algum momento – mau funcionamento. Seja diante de algum defeito de concepção lógica ou elaboração técnica, seja por necessidade de implementação de novas facilidades, o fabricante ou produtor distribui – inicialmente – atualizações de versão, sob a forma de “releases” ou “service packs”, constituindo-se em “updates”. Nesses casos, pode ocorrer alteração na nomenclatura do software, colocando-se um ponto (.) seguido de um número correspondente à alteração que ora se está a fazer. Por exemplo, em relação à versão original 7.0, distribui-se uma atualização que poderá chamar-se versão 7.1. Diante de diversas atualizações que já tornaram o produto tão distinto da versão original, ou por concepção de um produto substancialmente novo, o fabricante ou produtor pode optar em lançar uma nova versão (“upgrade”). Nesse caso, poderá alterar a nomenclatura do produto, modificando o primeiro número de sua denominação. Por exemplo, em relação ao produto acima citado, lançar a versão 8.0. __________________________________________________________________________________________ GESOFT 11 SET 07 8 O administrador ou gerente de software deve ter cuidado ao contratar licenças de uso de software, pois as cláusulas de atualização de versão são ambíguas, posto que o entendimento quanto à diferença de terminologia entre updates e upgrades não está definitivamente consolidado entre as empresas fabricantes, distribuidoras ou revendas de software. Portanto, é essencial que fique bem compreendido entre as partes contratantes qual a abrangência do disposto na cláusula correspondente. 6. SOFTWARE ABERTO E SOFTWARE LIVRE Da conceituação apresentada no item 2, pode-se concluir que todo software livre é aberto, mas nem todo software aberto é livre. Isto porque, para ser considerado um software livre, devem ser obedecidas, simultaneamente, quatro liberdades, a saber: • A liberdade de executar o programa, para qualquer propósito (liberdade nº. 0) • A liberdade de estudar como o programa funciona, e adaptá-lo para as suas necessidades (liberdade nº. 1). O acesso ao código-fonte é um pré-requisito para esta liberdade. • A liberdade de redistribuir cópias de modo que você possa ajudar ao seu próximo (liberdade nº. 2). • A liberdade de aperfeiçoar o programa e liberar os seus aperfeiçoamentos, de modo que toda a comunidade se beneficie (liberdade nº. 3). O acesso ao código-fonte é um pré-requisito para esta liberdade. Ora, existem diversos softwares que atendem a um ou outra dessas liberdades, mas não no seu todo. Desta forma, deixam de ser considerados softwares livres, mantendo-se abertos diante da disponibilização do seu código-fonte. O software livre não exige sua gratuidade, portanto, pode ser comercializado de forma onerosa. Repare que as liberdades não se referem ao custeio do software. Por outro lado existem softwares que são gratuitos, mas não são livres (por não atenderem às quatro liberdades) e, às vezes, nem mesmo abertos, haja vista não disponibilizarem o código-fonte. A gestão do governo eletrônico brasileiro é da atribuição do Comitê Executivo do Governo Eletrônico – CEGE, presidido pelo Chefe da Casa Civil da Presidência da República. O CEGE foi criado através do Decreto de 18 de outubro de 2000. O Software Livre é um recurso estratégico para a implementação do Governo Eletrônico. O software livre deve ser entendido como opção tecnológica do governo federal. Onde possível deve ser promovida sua utilização. Para tanto, deve-se priorizar soluções, programas e serviços baseados em software livre que promovam a otimização de recursos e investimentos em tecnologia da informação. Entretanto, a opção pelo software livre não pode ser entendida somente como motivada por aspectos econômicos, mas pelas possibilidades que abrem no campo da produção e circulação de conhecimento, no acesso a novas tecnologias e no estímulo ao desenvolvimento de software em ambientes colaborativos e ao desenvolvimento de software nacional. A escolha do software livre como opção prioritária onde cabível encontra suporte também na preocupação em garantir ao cidadão o direito de acesso aos serviços públicos, sem obrigá-lo a usar plataformas específicas e onerosas. __________________________________________________________________________________________ GESOFT 11 SET 07 9 Assim, as ações do governo eletrônico para utilização do software livre orientam-se da seguinte maneira: a) Priorizar soluções, programas e serviços baseados em padrões abertos e multiplataforma: Realizar a migração gradativa dos sistemas proprietários para software livre, de maneira articulada a ações que busquem evitar o crescimento do legado baseado em tecnologia proprietária; Fortalecer e compartilhar as ações existentes de software livre dentro e fora do governo; Priorizar a aquisição de hardware compatível às plataformas livres; Priorizar a plataforma Web no desenvolvimento de sistemas e interfaces de usuários; Ampliar a malha de serviços prestados ao cidadão através de software livre; Utilizar o software livre como base dos programas de inclusão digital; Estabelecer padrões de interoperabilidade com os sistemas legados baseados em normas abertas. b) Promover mudanças no interior da administração pública federal para permitir o crescimento do uso do software livre: Promover as condições para a mudança da cultura organizacional para adoção do software livre; Promover capacitação/formação de servidores públicos para utilização de software livre; Popularizar o uso do software livre na administração pública federal; Garantir a auditabilidade plena e a segurança dos sistemas, respeitando-se a legislação de sigilo e segurança; c) Articular a expansão do uso do software livre no governo federal a uma política nacional para ampliação do seu uso em outros ambientes: Adotar padrões abertos no desenvolvimento de tecnologia da informação e comunicação e o desenvolvimento multiplataforma de serviços e aplicativos; Garantir a livre distribuição dos sistemas em software livre de forma colaborativa e voluntária; Incentivar e fomentar o mercado nacional a adotar novos modelos de negócios em tecnologia da informação e comunicação, baseados em software livre; Formular uma política nacional para o software livre. O governo eletrônico não deve significar aumento dos dispêndios do governo federal na prestação de serviços e em tecnologia da informação. Ainda que seus benefícios não possam ficar restritos a este aspecto, é inegável que deve produzir redução de custos unitários e racionalização do uso de recursos. A racionalização de recursos possui como linhas orientadoras: a) Utilização de inovações em métodos computacionais: As iniciativas de governo eletrônico devem buscar utilizar alternativas de racionalização de custos __________________________________________________________________________________________ GESOFT 11 SET 07 10 através de inovações em métodos computacionais que reduzam a demanda por infra-estrutura. b) Promover o compartilhamento de recursos (informações, tecnologia e pessoas) entre infraestrutura, sítios e serviços on-line do Governo Federal, em busca de otimização de recursos: Identificar, disseminar e dar visibilidade aos recursos, sistemas, informações e conhecimento existentes para racionalizar e/ou melhorar a sua utilização. Criar um ambiente colaborativo para integração de sistemas, como medidas de estímulo à integração vertical das ações dos órgãos da Administração Federal para garantir a prioridade de serviços ao cidadão. Deverá ser promovido o compartilhamento de recursos (informações, tecnologia e pessoas) entre os sítios e serviços on-line do Governo Federal, em busca de otimização de recursos. c) Promover a otimização dos recursos de rede: Identificar possibilidades de racionalizar e/ou melhorar a utilização dos recursos disponíveis e a contratar. d) Uso de padrões abertos: O governo eletrônico não pode ser apropriado por fornecedores de software, hardware ou serviços. A arquitetura de governo eletrônico não pode gerar dependência de fornecedores, o que exige a utilização preponderante de padrões abertos. e) Ampliação da capacidade de negociação do governo federal: A gestão de licenças de software em utilização pelos órgãos da Administração Pública Federal deve ser regida por padrões, normas e estruturas referenciais de custos que permitam ampliar a capacidade de negociação do Governo Federal, negociação conjunta pelos órgãos e redução de custos das licenças. Para a adoção e aceitação plena do software livre, onde ainda não exista, pode-se utilizar: - campanha na qual se procura mostrar o sentido e a importância de sua adoção, bem como despertar a curiosidade e colaboração de todos os usuários; 7. - publicação em meios de divulgação de ampla circulação; - ícones representativos, personalizados para o usuário; - palestras, vídeo-revistas, noticiários e boletins; e - cartazes para celotex, murais etc HOMOLOGAÇÃO DE SOFTWARE O software utilizado no Exército deve ser objeto de homologação pelo DCT. Essa homologação, após efe- tuados testes de avaliação em laboratório do Centro de Desenvolvimento de Sistemas – CDS, assegura que o referido programa de computador é plenamente aplicável nas atividades peculiares do Exército. Conseqüentemente, é admitida sua aquisição e distribuição ao usuário. __________________________________________________________________________________________ GESOFT 11 SET 07 11 O processo de homologação inicia-se de duas formas: - por iniciativa do fabricante Nesse caso, o fabricante apresenta ao DCT um exemplar completo do produto, acompanhado de uma licença específica e exclusiva para avaliação. O DCT encaminha ao CDS para os testes e o CDS, ao final, emite um Parecer Técnico conclusivo quanto à aplicabilidade do software no Exército. Se o Parecer for favorável, o DCT oportunamente promove a homologação do software e altera a Relação de Softwares Homologados. Caso o Parecer aponte inconveniências para aquela aplicabilidade, o fabricante é cientificado para que possa manifestar-se a respeito. - por solicitação de aquisição Por ocasião da solicitação – por parte de uma OM – de aquisição de um novo software para o Exército, ainda não homologado, antes de iniciado o processo de sua aquisição deve ser providenciada sua homologação. Para tanto, o DCT deve solicitar ao fabricante a apresentação do referido produto, nas mesmas condições do caso anterior, para que seja avaliado e – se possível – homologado. Sendo homologado, o processo de aquisição prossegue normalmente. Caso contrário, a OM é cientificada a respeito, com sugestão de substituição do software solicitado por similar homologado. a. AVALIAÇÃO DE SOFTWARE O CDS dispõe de laboratório adequado à realização de testes de avaliação de software, seja desenvol- vido internamente, seja adquirido no mercado. Esta avaliação é realizada segundo metodologia própria do Centro, aprovada pelo DCT e em conformidade com os padrões aceitos pelo mercado produtor de software. b. PADRONIZAÇÃO DE SOFTWARE O Exército Brasileiro não dispõe de software padronizado. A padronização, quando for o caso, deverá sempre ser objeto de estudo próprio e acurado, considerada por Comissão destinada a esse fim, e publicada sua decisão em Boletim Interno. Cuidado especial deve ser tomado de forma a não caracterizar “preferência” por um produto, em detrimento de seus competidores, preservando-se, assim, a livre concorrência em benefício da Administração Pública. 8. PROTEÇÃO INTELECTUAL DE PROGRAMAS DE COMPUTADOR A proteção intelectual dos programas de computador começou a ficar delineada pela Convenção de Con- cessão de Patentes Européias, na Convenção de Munique em 1973, tendo aí sido consagrada a impossibilidade de atribuição de patentes a programas de computador. Os demais países europeus paulatinamente adotaram em suas legislações internas tal orientação. A Alemanha e a França já em 1985 regulamentaram o software como tutelado pelo Direito Autoral. No Brasil na década de 80 foram elaboradas pesquisas sobre a possibilidade de patente do programa de computador. Contudo, a então SEI - Secretaria Especial de Informática detectou que 99% dos programas de __________________________________________________________________________________________ GESOFT 11 SET 07 12 computador existentes no mundo não seriam patenteáveis, por lhes faltar o requisito de 100% de originalidade. Assim, apenas 1% poderia ser objeto de patente, como nos casos em que o software é parte intrínseca ao funcionamento de um equipamento específico, ou é inerente a um determinado processo industrial. De tal sorte, perfilaria o Brasil no rol dos países que admitem a tutela do Direito Autoral para proteção do software com a introdução no ordenamento jurídico da Lei nº 7.646/87. Há que se ter claro que o programa de computador não está preso a um meio físico determinado, preservando a sua identidade independentemente do suporte no qual está fixado. O software situando-se entre as "coisas incorpóreas", na categoria dos "bens intelectuais", é conseqüentemente susceptível à tutela de direito autoral. Todo o direito autoral representa a proteção na realidade jurídica da evolução dos meios técnicos.No caso da informática, o programa de computador está protegido, posto que é obra intelectual, obra literária, mas sua idéia-base não. Essa idéia original poderá inspirar outros programadores a desenvolverem os seus próprios programas. O programa de computador se inclui entre as obras intelectuais de expressão lingüística, na medida em que todo software exige, antes de mais nada uma expressão escrita, que constitui a linguagem de computação ou código-fonte, que permitirá um procedimento, do qual se obterão os resultados esperados. O programa de computador é por natureza um esquema para ação. A proteção dos programas de computador teve lugar com a conclusão do Uruguai Round, no âmbito do GATT, em 1994, e deu origem ao denominado Acordo TRIPs (Trade-Related Aspects of Intellectual Property Rights). No tocante ao software o acordo TRIPs assegura aos programas de computador, pelo prazo de 50 anos, a proteção como trabalhos literários sob a convenção e os esboços de Berna, como as bases de dados devem ser protegidas. Aos autores de programas de computador é assegurado o direito de proibir o aluguel comercial de seus trabalhos em público. Em Genebra no ano de 1996, na Organização Mundial de Propriedade Intelectual - OMPI, concluiu-se o Tratado de Direito do Autor, confirmando toda a tendência generalizada de proteção do software no plano do direito autoral. A obra literária ou artística (livros ou quadros) são obras intelectuais finais. Nesse ponto difere o programa de computador haja vista ser uma obra intelectual para a ação, que não objetiva uma obra intelectual final (literária ou artística). O direito autoral protegerá o programa de computador por ter expressão mediante notação (linguagem) e não os resultados que possa produzir. Ex.: se um programa de computador é idealizado para fazer composições musicais aleatórias, a música produzida através de combinações feitas pelo computador não terá proteção do direito autoral. __________________________________________________________________________________________ GESOFT 11 SET 07 13 A Lei nº 9.609/98, nova Lei do Software, ao definir software enfatizou a noção de conjunto organizado de instruções em linguagem própria, distinto de seu corpo material, em seu Art. 1º: "Programa de computador é a expressão de um conjunto organizado de instruções em linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo e para fins determinados." Elementos que Integram a Noção Jurídica de Software A proteção da propriedade intelectual que integra a noção jurídica do software envolve uma análise relativamente complexa. O desenvolvimento de um plano normativo estratégico de proteção para o programa de computador, implica necessariamente que o software seja percebido sob seus vários aspectos, que merecem proteção, quais sejam: - Arquitetura do programa de computador - que consiste na modulação ou estrutura geral de um programa. - Algoritmo - metodologia geral empregada num programa para dotá-lo de funcionalidade. - Código - que consiste numa determinada seqüência de símbolos, para leitura mecânica ou humana, a ser operada por hardware computadorizado, tais como código-objeto e código-fonte. - Documentação - manuais do programa de computador explicativos de seu funcionamento para leitura do usuário. - Base de Dados - que engloba o conjunto de dados organizados, para ser usado junto com o programa. - Uso do Sistema - função desempenhada pelo software no contexto de um determinado sistema ou processo. Assim, o software não deve mais ser considerado de forma dissociada das autovias da informação, infraestrutura do ciberespaço, ao interconectar elevado número de computadores em todo o mundo, disponibilizando uma imensa base de informação, que a cada dia se amplia numa velocidade vertiginosa. 9. ENTIDADES DE PROTEÇÃO No Brasil, existem três entidades dedicadas à proteção dos direitos de propriedade intelectual relativos ao software. São elas: - ABES – Associação Brasileira das Empresas de Software É a principal associação representativa do segmento de software no Brasil. - BSA – Business Software Alliance __________________________________________________________________________________________ GESOFT 11 SET 07 14 É a principal organização, em âmbito mundial, dedicada à promoção de um mundo digital seguro e legal. Representa os setores mundiais de software, hardware e Internet. Publica, anualmente, um relatório sobre Pirataria de Software, em alcance mundial, inclusive no idioma português. 10. PROTEÇÃO JURÍDICA DO SOFTWARE A proteção jurídica do software, como vimos, está consolidada na atual Lei do Software, na Lei nº 9.610, de 19 Fev 1998 – Lei dos Direitos Autorais, além de contar com dispositivos de proteção nos: • Código de Proteção do Consumidor - Lei nº 8.078, de 11 de setembro de 1990; • Código Penal – Dec Lei nº 2.848, de 7 de dezembro de 1940; • Código Civil – Lei nº 10.406, de 10 de janeiro de 2002, e, no caso particular do Exército Brasileiro, com os preceitos exarados no Código Penal Militar (Decreto-lei nº 1.001, de 21 de outubro de 1969) e no Regulamento Disciplinar do Exército (Decreto nº 4.346, 26 de agosto de 2002). 11. VISITAS DE VISTORIA DE SOFTWARE Desde o surgimento do microcomputador, ou computador pessoal, os programas de computador necessários ao seu adequado funcionamento são comercializados sob a forma de licenciamento de uso, seja por tempo determinado ou com prazo ilimitado. Dentre os principais programas, ressaltam: - o Sistema Operacional, sem o qual o computador não funciona; e - um conjunto de programas – comumente chamado de “suíte de escritório” –, que permite a utilização da máquina em auxílio às tarefas de rotina da administração de qualquer Organização. O vertiginoso desenvolvimento tecnológico dos tempos recente e atual, acarretou a redução gradual e crescente dos custos dos microcomputadores, portanto a ampliação incontida de sua utilização. Enquanto isso, a proliferação de softwares, juntamente com a adoção de recursos visuais e imagens cada vez mais elaborados, conduziu ao crescente custo de aquisição de licenças de uso, à medida que essas licenças são concedidas por equipamento. Vale lembrar que à época dos grandes computadores e seus terminais não-inteligentes, os programas eram instalados unicamente no computador central, sem qualquer necessidade de instalação naqueles terminais. Em conseqüência, à medida que os microcomputadores se transformavam em autênticas commodities, enquanto o software a eles destinado era levado a custos insuportáveis para o usuário individual e, até mesmo, para empresas de recursos limitados, o mundo constatou um crescimento descontrolado de cópias irregulares dos softwares de uso mais freqüente. Ao mesmo tempo, observa-se que os fabricantes desses softwares e/ou detentores de sua propriedade intelectual não conseguem efetivamente coibir essa prática ilegal, por insuficiência de legislação própria, ou diante da inexistência de métodos eficientes para atingir profundamente os ambientes onde são efetuadas as cópias irregulares e onde são utilizadas. Após a elaboração de leis específicas à proteção da propriedade intelectual do software, e de contratos mais ajustados à realidade da comercialização desses produtos, é fatal o surgimento de associações ou escritó__________________________________________________________________________________________ GESOFT 11 SET 07 15 rios de advocacia, vocacionados para a proteção e atendimento dos interesses dos fabricantes, distribuidores, revendas etc, de software. A legislação existente no Brasil que regula especificamente o assunto está contida na: - Lei nº 9.609, de 19 de fevereiro de 1998 ( chamada Lei do Software ); e - Lei nº 9.610, de 19 de fevereiro de 1998 ( Lei dos Direitos Autorais ). O disposto nessa legislação é rigoroso em relação aos direitos dos detentores da propriedade intelectual do software, como também relativamente às obrigações dos seus usuários, prevendo, inclusive graves sanções pecuniárias (podendo atingir 3.000 vezes o valor de cada licença de uso) e de restrição de liberdade, conforme o caso. Nesse momento, não se pode ignorar o custo implicado à imagem da Organização. Assim sendo, é usual, em todo o mundo e no País, a ocorrência de denúncias – que podem ser anônimas – seguidas de visitas de vistoria, a fim de constatar, ou não, indicações de utilização de software, sem a respectiva licença de uso, como parte de uma Ação Cautelar de Produção Antecipada de Prova. Diante desses fatos, o Departamento de Ciência e Tecnologia – DCT, detentor do conhecimento relacionado com os aspectos técnicos, gerenciais e jurídicos da gestão estratégica do software, divulgou, por intermédio do BE Res nº 02, de 28 Fev 07, orientação sobre os procedimentos a serem adotados pelas OM do Exército, por ocasião do recebimento de visitas com aquele objetivo. As informações divulgadas no BE citado, embora de caráter reservado, devem ser do conhecimento dos responsáveis pela gestão do licenciamento de software e pela recepção das comitivas externas de vistoria. 12. LOGÍSTICA PARA O SOFTWARE, NO EXÉRCITO a. CICLO-DE-VIDA DO SOFTWARE A vida útil de um software, no Exército, pode ser entendida da seguinte maneira: Software Desenvolvido no Exército ou em Parceria com Empresa Civil Fases Levantamento e enunciado dos requisitos do sistema; Levantamento e enunciado dos requisitos do(s) software(s); Projeto Global; Projeto Detalhado; Produção de Componentes de software/sistema; Teste de Componentes de software/sistema; Integração e Teste do Sistema; Validação; Distribuição; Instalação, Operação e Manutenção; Descarte __________________________________________________________________________________________ GESOFT 11 SET 07 16 REQUISITOS DO SISTEMA PROJETO DETALHADO PROJETO GLOBAL PRODUÇÃO DE COMPONENTES INTEGRAÇÃO DO SISTEMA TESTE DE COMPONENTES TESTE DO SISTEMA VALIDAÇÃO DISTRIBUIÇÃO REQUISITOS DO SOFTWARE INSTALAÇÃO, OPERAÇÃO E MANUTENÇÃO DESCARTE Software Adquirido no Comércio (produtos de “prateleira”) Levantamento de Necessidades; Enunciado das especificações; Processo de Aquisição; Recebimento; Avaliação (*); Homologação (*); Distribuição; Instalação, Operação e Manutenção; Descarte. (*) apenas na primeira aquisição do software. LEVANTAMENTO DAS NECESSIDADES ESPECIFICAÇÃO INSTALAÇÃO, OPERAÇÃO E MANUTENÇÃO AQUISIÇÃO AVALIAÇÃO HOMOLOGAÇÃO DISTRIBUIÇÃO DESCARTE Para a finalidade de logística do software no Exército, o ciclo-de-vida não deve ser inferior a 3 (três) anos, prolongando-se – por razões econômicas ou técnicas – enquanto o software não atingir sua completa obsolescência. Conseqüentemente, deve ser evitado – por todos os meios – o “modismo” na aquisição de softwares. Não é porque existe uma versão mais moderna, que – obrigatoriamente – deve-se adquiri-la. Além do mais, raramente são utilizadas todas as funcionalidades contidas no software. Condicionantes técnicas deverão ditar o momento mais adequado para se fazer a migracão para a versão mais atual. __________________________________________________________________________________________ GESOFT 11 SET 07 17 O faseamento do ciclo-de-vida, acima exposto, não deve impedir a imprescindível iteração entre as várias atividades para correção de atitudes, por modificação de decisões ou em decorrência de mudanças nas especificações iniciais. O modelo não é exclusivo, refletindo tão somente uma simplificação para o caso específico do Exército Brasileiro. Portanto, outros modelos poderão ser encontrados, dotados de maior sofisticação. b. LEVANTAMENTO DE NECESSIDADES DA OM Ao se verificar a necessidade de obtenção de software, a fim de atender ao desempenho profissional de seus integrantes, deve ser elaborada a especificação detalhada das características e funcionalidades mínimas e gerais que o produto deverá oferecer. Caso exista uma dependência de determinado produto, atenção especial deve ser atribuída à Justificativa Técnica para sua aquisição. Nesse caso, pode-se, inclusive, especificar marca e outras indicações diretas do produto a ser obtido. Também deve ser utilizado critério adequado para a quantificação das licenças que serão necessárias, modelo comercial de licenciamento, treinamento (se for o caso), suporte técnico, garantia de atualização de versões (se for o caso) etc. Em virtude do prolongado uso das licenças de software e da não utilização extensa das funcionalidades do produto, deve-se considerar se é, ou não, oportuna a contratação de garantia de atualização de versões. Um fator a ser cogitado é se a distribuição dos pacotes de correção de defeitos está, ou não, vinculada à contratação da atualização de versões. c. SELEÇÃO DO SOFTWARE ADEQUADO Concluída a fase anterior, é necessário buscar no mercado, local ou não, conhecer os produtos que atenderiam aos requisitos formulados. Assim procedendo, já se pode avaliar da existência de soluções livres ou gratuitas que possam ser obtidas, de forma a economizar recursos. d. PEDIDO DE SOFTWARE Todo e qualquer pedido de obtenção de software deve ser objeto de detalhamento sobre suas especificações gerais, finalidade específica, número de licenças, e sobre a plataforma (sistema operacional e especificações técnicas do hardware) na qual o software deverá ser instalado. Somente assim procedendo, poderá ser realizada a essencial avaliação sobre a melhor solução e sobre a adaptabilidade do software ao hardware de suporte. Para tanto, em anexo a estas Normas, encontra-se o modelo de formulário que deve ser preenchido e remetido ao adquirente, de forma a instruí-lo adequadamente. Este modelo encontra-se, também, como Anexo às NARMCEI vigentes. Somente em casos especiais o produto deve ter sua marca e fabricante especificados, de forma sempre justificada. __________________________________________________________________________________________ GESOFT 11 SET 07 18 A solicitação de software deve ser objeto de atenção quanto à sua abrangência. Assim, é necessário avaliar se todos os produtos necessários ao trabalho a ser realizado estão sendo solicitados, por exemplo, sistema operacional, antivírus, suíte de escritório, licenças para clientes e para servidores etc. e. AQUISIÇÃO DE SOFTWARE O Código de Defesa do Consumidor foi criado com o objetivo de tutelar e proteger os direitos daquele que, numa relação de mercado, está em situação de vulnerabilidade, ou seja: o consumidor. Assim, no Art. 6º, inciso IV, do CDC, foram inseridas medidas de proteção aos direitos básicos do consumidor, contra práticas abusivas eventualmente impostas pela parte contratada. O inciso I, do Art. 39 inclui como prática abusiva, a venda “casada”, constituindo-se, basicamente, no condicionamento de um produto ou serviço, ao fornecimento de outro produto ou serviço, não solicitado. Freqüentemente são ofertados equipamentos que já trazem instalados softwares, principalmente, sistemas operacionais. Ora, está sendo prejudicada a concorrência pois que outro sistema operacional poderia ser instalado, até mesmo um de licenciamento gratuito. Nesses casos, devem ser consideradas: a regularidade da licença; se o licenciamento é Original Equipment Manufacturer (OEM); se há conveniência para a Administração Pública etc. É sabido que o software aberto ou livre apresenta compatibilidade com inúmeros programas fechados ou proprietários, sendo que o oposto não é verdadeiro. Desta maneira, é direito do consumidor, se o desejar, exigir que o fornecedor abata do preço nominal do equipamento m oferta, mesmo que instalado “gratuitamente”, sob pena de infringir o inciso IX do mesmo Art. 39, que prevê que “o fornecedor não pode se recusar a vender bens a quem se disponha a adquiri-los mediante pronto pagamento”. O consumidor que tenha a liberdade de escolha do software terá a oportunidade de utilizar um programa que realmente satisfaça as suas necessidades, sem que pague um preço abusivo sobre sua licença, ou que seja levado a cometer qualquer crime autoral, por utilizar software comercial não licenciado. 1) AQUISIÇÃO E UTILIZAÇÃO DE SOFTWARE OEM O Departamento de Ciência e Tecnologia – DCT recomenda às OM que, quando adquirirem programas para computador ( software ), observem se na proposta comercial está sendo oferecido software na modalidade OEM ( Original Equipment Manufacturer ). Nesse caso, embora o preço seja inferior ao custo de uma licença normal do referido software, a aquisição deverá ser efetuada sob cuidados especiais, particularmente no que se refere à política de comercialização do fabricante do software oferecido. Por exemplo, no caso da empresa Microsoft, os seus produtos OEM são comercializados da seguinte maneira: __________________________________________________________________________________________ GESOFT 11 SET 07 19 PRODUTO CONDIÇÕES Pode ser vendido juntamente com um computador completo montado. MS Windows ( CPU + placa-mãe + unidade de disco rígido + fonte de energia + gabinete ). - Pode, também, ser vendido juntamente com componentes não periféricos. Só pode ser vendido juntamente com um computador completo montado. MS Office ( CPU + placa-mãe + unidade de disco rígido + fonte de energia + gabinete ). Obs: Hardware não periférico é todo hardware interno ao gabinete do computador, essencial ao seu funcionamento e perene, tal como: unidade de disco rígido, memória, placa-mãe e outros que se aplicarem a esta situação. Nestes casos, a Nota Fiscal / Fatura é o documento comprobatório da regularidade da licença do software, juntamente com o CD original e o Manual do Usuário. A responsabilidade pelo suporte técnico ao produto adquirido na modalidade OEM (Original Equipment Manufacturer) é exclusivamente do fabricante do equipamento (microcomputador, servidor, mainframe etc) que foi comercializado juntamente com o software, ou do comerciante responsável pela venda do hardware adquirido. O fabricante do software não disponibiliza – diretamente – suporte técnico aos seus produtos comercializados na forma OEM, encaminhando o solicitante à empresa responsável pela venda do equipamento completo ou parte, conforme disposto no NE acima citado. O DCT recomenda atenção especial no momento de qualquer aquisição de software sob esta forma de licenciamento, em particular no tocante à capacidade para a prestação do suporte técnico que poderá vir a ser solicitado. 2) AQUISIÇÃO DIRETA Em consonância com as orientações emanadas dos órgãos de fiscalização interna ou externa, deve ser evitada a aquisição direta, inclusive de softwares. Somente em situações excepcionais, plenamente caracterizadas na legislação vigente, poderão ser adquiridos produtos com dispensa de licitação (Art.24, da Lei nº 8.666/93), para um limite máximo de R$ 8.000,00 (oito mil reais) ou inexigibilidade do processo licitatório (Art.25, da citada Lei). 3) AQUISIÇÃO MEDIANTE LICITAÇÃO A Administração Pública deve optar sempre que possível pelo processo licitatório, com a finalidade de atender aos princípios da efetividade e da economia. Esse processo, se viável, não deve se restringir ao mercado local onde se situa a OM, haja vista que podem ser obtidas condições de preço mais vantajosas em outras regiões da circunvizinhança. a) CARTA-CONVITE __________________________________________________________________________________________ GESOFT 11 SET 07 20 Quando a quantidade de licenças de softwares a serem adquiridos indicarem um custo superior a R$ 8.000,00 (oito mil reais) e até R$ 80.000,00 (oitenta mil reais), o processo de licitação deve ser realizado por intermédio de cartas-convites. Atenção deve ser dedicada a se evitar entendimentos indesejáveis entre os fornecedores, com o objetivo de ajustarem seus preços às suas próprias conveniências, em detrimento do interesse da Administração Pública. b) EDITAL Quando o custo estimado da aquisição a ser realizada indicar valor superior a R$ 80.000,00 (oitenta mil reais), deverão ser considerados dois tipos de processo licitatório: • Tomada de preços – para custo estimado até R$ 650.000,00 (seiscentos e cinqüenta mil reais); e • Concorrência – para custos superiores a R$ 650.000,00 (seiscentos e cinqüenta mil reais). Para tanto, torna-se necessário elaborar Edital contendo as Especificações Técnicas e Funcionalidades do software a ser adquirido, bem como cláusulas definidoras de procedimentos exigidos da parte a ser contratada, e sanções relativas a eventual descumprimento contratual. Cuidados especiais devem ser tomados quando da previsão restritiva de critérios de técnica-e-preço, de modo a não prejudicar a plena competição licitatória. c) PREGÃO Por intermédio da Lei nº 10.520, de 17 Jul 2002, originada na MP nº 2.026, de 4 Mai 2000, a União instituiu a modalidade de licitação denominada Pregão, inicialmente na forma presencial. Posteriormente, por meio do Decreto nº 3.697, de 21 Dez 2000, foram estabelecidos normas e procedimentos para a realização do Pregão, agora utilizando recursos de Tecnologia da Informação, denominando-se Pregão Eletrônico. Desta maneira, 40% das licitações do Governo Federal já são realizadas na forma de Pregão, com 20% de ganhos reais e 174 milhões de reais em economia auferida. Todavia, esta forma de licitação demanda maior dedicação, conhecimento e comprometimento dos seus usuários, implicando mudança de procedimentos, novas posturas e maior responsabilidade nas compras e contratações para a Administração Pública. Por outro lado, esta nova forma de licitação assegura maior rapidez, segurança, transparência e economia. f. CONTRATO CORPORATIVO Contrato Corporativo é um instrumento que regula a utilização progressiva de produtos de determi- nados fabricantes de software, incluindo, ou não, serviços correlatos. Nesses casos, o Contratante define quando e quais os produtos serão solicitados e fornecidos, sem estar imposta a obrigatoriedade de sua efetiva aquisição. Alguns cuidados devem ser tomados, ao ser cogitada a contratação nessa modalidade: - leitura atenta e parecer jurídico sobre o teor da minuta do contrato; __________________________________________________________________________________________ GESOFT 11 SET 07 21 - definição precisa da quantidade de licenças a serem adquiridas; - definição precisa dos softwares objeto da contratação; - exclusão plena do casamento hardware x software x serviços no objeto do contrato; e - segurança relativa aos recursos alocados ao pleno custeio do contrato, haja vista sua duração e parcelamento dos pagamentos. De modo geral, o Departamento de Ciência e Tecnologia – DCT não recomenda essa forma de contratação. Diversas alternativas já foram objeto de análise e todas apresentaram graves inconvenientes para a Administração Pública. g. CONTRATO ACADÊMICO OU EDUCACIONAL Alguns fabricantes de software dispõem desta modalidade de contratação de seus produtos. Como vantagens dessa contratação, podemos citar: o custo reduzido de suas licenças e a abrangência do público-alvo (estudantes e docentes). No entanto, deve-se cuidar para a duração da licença, para a possível necessidade de pagamento de parcelas periódicas do licenciamento, e para a eventual necessidade de custeio adicional ao final do período de licenciamento, caso o usuário deseje tornar sua licença permanente. Portanto, leia com atenção os termos do contrato de Licença de Uso antes de adquirir produtos sob esta forma de licenciamento. h. CONTRATO DE ADESÃO É uma forma de contrato, no qual um dos parceiros não tem como modificar a teor do documento le- gal (contrato). Assim senso, cabe tão somente sua aceitação ou concordância com o disposto contratual. Diante do surgimento e crescimento vertiginoso da Internet, esta forma de contratação vem sendo também denominada de contrato “click”, haja vista que, normalmente, basta o acionamento da tecla sobre o botão “concordo”, “aceito”, “I agree” etc, para aceitar plenamente suas disposições, mesmo que não as tenha lido atentamente. É recomendado, sempre que possível, guardar uma cópia dos termos desse contrato, de modo a salvaguardar possíveis divergências de redação futuramente. i. CONTRATO “END-USER LICENSE AGREEMENT - EULA” Forma de contratação usualmente praticada pela Microsoft. Nesse caso, recomenda-se a leitura cuidadosa dos dizeres constantes da parte externa da embalagem, pois que após a abertura dessa mesma embalagem e do invólucro do(s) CD já existe a concordância com os termos da licença EULA, correspondente, mesmo antes de lê-la atentamente. A fim de evitar descuidos, na parte externa existem avisos a respeito. j. DADOS PARA CATALOGAÇÃO __________________________________________________________________________________________ GESOFT 11 SET 07 22 A fim de permitir a adequada inserção e controle dos produtos de software no Catálogo Brasileiro de Itens e Empresas, a cargo do Ministério da Defesa, o DCT recomenda que, por ocasião da obtenção de todo e qualquer software, seja consultado o Catálogo do SIMATEx, disponível em cada OM do Exército. Caso o produto não esteja constando deste último catálogo, a OM deverá, utilizando o formulário próprio disponível também no SIMATEx, proceder, através dos canais adequados, à proposta de catalogação do produto em questão. Para tanto, deverão estar incluídas, no mínimo, as seguintes informações: Em relação ao produto - Nomenclatura completa; - Nome de fantasia (se houver); - Nome do fabricante; - Nacionalidade do fabricante; -Origem do produto; - Numero de série; - Código do produto, no fabricante; - Requisitos mínimos para sua instalação; - Normas e especificações que regulam o produto; - Número de catalogação do produto na OTAN, se houver; - Unidade de fornecimento; - Quantidade do produto, por embalagem; - Forma de comercialização; - Peso total do produto embalado; - Espaço necessário à armazenagem Em relação ao fabricante ou fornecedor - Nome; - Endereço completo; - CNPJ, CGC, Inscrição Estadual etc, se houver; - URL do site da empresa na Internet, se houver; - e-Mail. l. FORNECIMENTO DE SOFTWARE O fornecimento de software, para a finalidade destas IR, é considerado nos casos em que ocorre uma aquisição de forma centralizada e, a seguir, a OM adquirente distribui as licenças para as Unidades de destinação final. O software é fornecido sob diversas formas, sendo as principais, a saber: __________________________________________________________________________________________ GESOFT 11 SET 07 23 • “caixinha” (comumente encontrado em prateleiras de lojas especializadas, supermercados, papelarias etc) • CD avulsos, em embalagem adequada; e • Acesso credenciado a determinado site na Internet, para download. No fornecimento, pela empresa contratada, a NF/Fatura deve ser – sempre – de fornecimento de mercadoria ou venda de produto, e não NF de serviço. O imposto incidente nesses produtos é o Imposto sobre Circulação de Mercadorias e Prestação de Serviços – ICMS, e não o Imposto sobre Serviços de Qualquer Natureza – ISS, que é destinado a produtos desenvolvidos para atender a especificidades formuladas pelo cliente. Assim sendo, produtos considerados como “de prateleira” não estão sujeitos ao ISS, e sim ao ICMS, posto que são mercadorias que circulam. O fornecimento para o usuário final deve ser feito acompanhado de documento hábil, como, por exemplo, Guia de Remessa. Nesse documento podem ser incluídas recomendações ou orientações para sua efetiva gestão. Para comprovação da regularidade da licença de software, podem ser utilizados: • Contrato de Licença de Uso; • Nota Fiscal/Fatura, de aquisição; • Guia de Remessa (documentação oficial); ou • Nota de Empenho liquidada, relativa à aquisição. Considerando que a aquisição de software, em sua grande maioria, trata de produtos considerados como “de prateleira”, ou seja, não demandam qualquer trabalho por parte do fornecedor, seja de desenvolvimento, seja de “customização”, o enquadramento da despesa será sempre no Elemento de Despesa 30 – Material de Consumo. Portanto, o software não é incluído “em carga”, nem imobilizado, devendo, apenas, ser relacionado. O fornecimento de software objeto de contrato de desenvolvimento ou customização deve ser objeto de faturamento com NF/Fatura de Prestação de Serviços, com enquadramento de despesas no Elemento de Despesa 39 – Prestação de Serviço de Terceiros, incidente o imposto ISS. m. RECEBIMENTO No recebimento de qualquer software devem ser realizados: • Leitura atenta da parte externa das embalagens (se houver); • Conferência judiciosa da documentação que acompanha o produto (NF/Fatura ou Guia de Remessa, manuais (que podem estar inseridos no(s) próprio(s) CD), certificado de licença de uso etc) • Mídias de suporte do produto (se houver); __________________________________________________________________________________________ GESOFT 11 SET 07 24 • Termos de Garantia, Suporte Técnico e Atualização de Versões (se houver); e • Testes do produto. Em caso de qualquer dúvida, contate seu fornecedor. Lembre-se de que, para que o software funcione no modo para o qual foi projetado, o fornecedor ou fabricante deve prestar suporte adicional durante a validade técnica do produto (Art. 8º da Lei nº 9.609, de 19 Fev 1998). Após o recebimento formal, deve ser procedido o relacionamento do software. Nos casos em que o valor nominal do software for consideravelmente elevado, a critério do Cmt, Ch ou Dir pode ser incluído “em carga”, de modo a referenciar qualquer atitude posterior. n. INSTALAÇÃO E REGISTRO Após realizados todas as conferências e testes de aceitação, o software poderá ser instalado, confor- me o disposto em sua licença de uso. O momento do registro de software “de prateleira” é opção do usuário. Em alguns casos pode ser imprescindível, como nos novos produtos da Microsoft. Os softwares desenvolvidos especificamente para o contratante podem ser objeto de registro, junto ao Instituto Nacional da Propriedade Industrial – INPI, conforme disposto no Dec nº 2.556, de 20 Abr 1998. Deve ser enfatizado que, conforme disposto no Art. 4º, da Lei nº 9.609, de 19 Fev 1998, pertencerão exclusivamente ao contratante, salvo estipulado em contrário, os direitos relativos ao programa de computador desenvolvido e elaborado durante a vigência do contrato correspondente. O parágrafo 2º deste mesmo artigo define os casos em que a propriedade será exclusivamente do empregado ou do contratado de serviços específicos para este fim. Em todo caso, deve ser exarada, tanto no Edital, quanto no Contrato correspondente, cláusula específica definidora desses direitos. o. DESCARTE DE SOFTWARE Considerando o simples relacionamento do software, o descarte, quando for o caso, dar-se-á mera- mente pelo seu desrelacionamento. Nos casos de software muito onerosos, quando foi determinada sua inclusão no patrimônio da OM, o processo de descarga é o normal para qualquer outro material. Após o descarte, o destino do software deve ser decidido pelo Cmt, Ch ou Dir da OM, podendo ser doado, alienado, ou simplesmente eliminado. Contudo, deve-se cuidar para que arquivos ou documentos que foram gerados neste software possam ser recuperados futuramente. 13. GERÊNCIA DE SOFTWARE a. GERENTE DE SOFTWARE O Departamento de Ciência e Tecnologia – DCT considera essencial que em toda Organização Mili- tar do Exército Brasileiro seja designado um Oficial para seu Gerente de Software, podendo ser, inclusive, o __________________________________________________________________________________________ GESOFT 11 SET 07 25 próprio Oficial de Informática, previsto na Seção XII, Art. 45, do atual Regulamento Interno e dos Serviços Gerais – RISG, edição 2003. A esse Oficial compete o pleno conhecimento destas IR, bem como de todas as demais recomendações e orientações relativas à utilização e gestão do software, na OM, constituindo-se no principal assessor do Cmt, Ch ou Dir da OM. b. VANTAGENS DO GERENCIAMENTO O Gerenciamento de Software no Exército, considerado como atividade específica e - funcional e expres- samente - atribuída a um de seus oficiais, jamais existiu. A partir de agosto de 2000, o então Secretário de Tecnologia da Informação decidiu implantar aquela atividade, designando um responsável por sua organização e sistematização. A atividade de gerenciamento sistemático de programas de computador, embora criada após dezessete anos do advento dos microcomputadores no Exército, vem preencher uma grave lacuna que se estabeleceu durante aquele período. A ausência de um profissional dedicado à complexa tarefa, acarretou o mais amplo descontrole sobre a utilização adequada do software de modo a evitar a proliferação de cópias eventualmente irregulares. Assim sendo, é por demais oportuna a ação global, no Exército, no sentido de conscientizar todo e qualquer usuário de microcomputador, para cuidados na aquisição e utilização de licenças de software. Nos itens que se seguem, constam recomendações nesse sentido, de modo a alinhar – em definitivo – a situação do software no Exército, com as novas tecnologias, orientações, diretrizes e demais normatizações decorrentes da evolução da gestão de software. Vale lembrar, ademais, que foram elaboradas recomendações para a efetiva utilização de softwares de distribuição gratuita, o que deverá resultar em considerável economia de recursos para o Exército. Essa adoção deve ser criteriosa de forma a ter em conta as especificações técnicas do equipamento disponível para o usuário, as vantagens da mudança para o software livre, a necessidade de treinamento do(s) usuário(s), evitando-se definitivamente a ocorrência do simples “modismo”. Sempre que o usuário estiver utilizando software regularizado, perfeitamente adestrado ao seu manuseio, e atendendo à necessidade do trabalho específico que realiza, não haverá exigência para mudanças. Estas só deverão ocorrer nos casos de substancial evolução dos equipamentos, necessidade de regularização (entenda-se aquisição de novas licenças, “versus” insuficiência de recursos financeiros para tal) ou inadequação do software ao trabalho que se pretende realizar. c. INVENTARIAÇÃO DE SOFTWARE A utilização de programas de computador sem a correspondente licença de uso atenta contra a Lei Nr 9.609, de 19 de fevereiro de 1998, cujo Artigo 3º foi regulamentado pelo Decreto Nr 2.556, de 20 de abril de 1998. Segundo essa legislação, estão previstas ações penais, cominadas, ou não, com ações indenizatórias. Dessas ações poderão decorrer sanções penais de até quatro anos de reclusão, e sanções pecuniárias (multas) de até três mil vezes o valor de cada software. __________________________________________________________________________________________ GESOFT 11 SET 07 26 Assim sendo, é recomendável que os Cmt OM – em todos os níveis – determinem amplo e detalhado inventário daquele material, de forma a refletir a absoluta realidade da OM. Nessa ação é essencial a observância da terminologia adequada e correta, a fim de evitar falha de interpretação por parte de quem deverá utilizá-las para a oportuna tomada de decisão. Esse inventário deve incluir: - todos os softwares que se encontram em todos os computadores da OM; - todas as licenças originais dos softwares cujo uso foi autorizado; - toda a documentação relativa àquele(s) software(s), tais como: Notas de Empenho, Notas Fiscais/Faturas, Guias de Remessa etc, conforme o caso. Como sugestão, pode ser adotado o formulário anexado a este documento (Anexo 1), que – ao final – permitirá a consolidação dos dados de toda a OM, seja em hardware, seja em software. Os formulários utilizados devem ser arquivados na própria OM, servindo de subsídio às revisões periódicas da inventariação ou eventual auditoria interna. Uma vez ciente da vulnerabilidade da OM e da responsabilidade regulamentar do seu Comandante, Chefe ou Diretor, bem como de todo usuário de microcomputador, o Comando da OM deve motivar todos os seus usuários para a criação de um ambiente voltado para a adequada utilização de programas de computador. Os responsáveis pela aquisição ou controle do software devem ser instruídos sobre as condições de licenciamento e procedimentos e compra adequados. Obtida a sensibilização de todos, o Cmt, Ch ou Dir deve, em publicação no Boletim Interno: - designar um Gerente de Software para toda a OM. Esse gerente deverá conhecer a legislação inerente ao assunto, inclusive as Leis Nr 9.609 e 9.610, ambas de 19 Fev 98; - mandar realizar uma auditoria e inventariação dos softwares em uso na OM, regulares ou não, por computador existente, incluindo nomes de produtos, versões, números de série e números de licenças; - a seguir, avaliar a necessidade de utilização dos softwares, eventualmente irregulares, para o prosseguimento das atividades normais da OM, ou sua prescindibilidade; - caso decida pela preservação de algum software, cuja cópia esteja irregular e diante de sua absoluta necessidade para o funcionamento normal da OM, deve providenciar, com a máxima brevidade, a obtenção de licença(s) regular(es) para sua legalização. Esta atitude tem, também, por objetivo preservar a responsabilidade do inventariante e do usuário final; - determinar a desinstalação de todos os softwares irregulares, considerados absolutamente prescindíveis; - implementar, e publicar em Boletim Interno Ostensivo, uma diretriz substancial de gerenciamento e uso de software original no âmbito de suas organizações, de máximo conhecimento por todos os seus integrantes, buscando estabelecer que a utilização ilegal de qualquer software só poderá ocorrer à sua absoluta revelia; em conseqüência, a partir dessa data, a responsabilidade de utilização de qualquer software, sem a sua cor__________________________________________________________________________________________ GESOFT 11 SET 07 27 respondente licença de uso, será exclusivamente do usuário do equipamento, no qual esse software estiver instalado; - coletar toda a documentação relativa aos programas regulares (manuais, disquetes, CD, certificados, notas fiscais etc), mantendo um arquivo organizado junto a cada computador, ou centralizado (p.ex.:na Seção de Informática da OM, se houver); lembrar que a Nota de Empenho ou a Nota Fiscal/Fatura são documentos probatórios da regularidade do software; - após decidir quanto aos rumos que pretende adotar para o prosseguimento da utilização dos programas de computador em sua OM, emitir Diretrizes a respeito. Nessa diretriz deve constar que, a partir dessa data, é expressamente vedado inserir qualquer software irregular nos computadores inventariados, posto que seria feito à sua revelia. Nesse caso a responsabilidade final recai sobre o usuário. Somente com a adoção desses procedimentos, o Comandante, Chefe ou Diretor poderá isentar-se da responsabilidade penal e/ou pecuniária, haja vista que a ação indenizatória recairá sobre a Organização. Manter-se-á contudo, por óbvio, a responsabilidade regulamentar do Cmt, Ch ou Dir; - para os programas irregulares que forem informados como sendo de necessidade imperiosa para o funcionamento normal da OM, o Comando deve providenciar a imediata aquisição das licenças exigidas. A inventariação deve ter revisão periódica, no mínimo anual, de modo a preservar a regularidade da situação da OM, considerada a alternância dos militares nas diversas funções de responsabilidade. O relatório final, consolidado, da situação da OM deverá ser remetido à Diretoria de Material de Comunicações, Eletrônica e Informática – DMCEI, por intermédio do Departamento Logístico – D Log (órgão enquadrante). Será oportuna a sua remessa até 31 de março do ano subseqüente ao exercício inventariado. Essa Diretoria, diante de qualquer informação ofensiva à legislação e às recomendações do Exército, deverá informar o Departamento de Ciência e Tecnologia – DCT, para conhecimento e demais procedimentos gestores. Esse Relatório Final pode ser remetido por meio eletrônico, correio (em mídia papel e/ou magnética), conforme as disponibilidades oferecidas à OM. Atenção especial deve ser atribuída à substituição de usuários de microcomputadores. O usuário que deixa de utilizar uma máquina deve ser alertado para excluir – se ainda houver – qualquer software instalado de modo irregular nessa máquina, ou copiado para qualquer outra midia sem autorização. Se utilizam cópias de software, de propriedade do Exército, em sua residência, devem excluí-las de imediato, ou proceder à sua regularização, por meio de aquisição de nova licença. O mesmo deve ocorrer com a situação inversa. O computador, ao ser atribuído a novo usuário, deve ser reconfigurado com o(s) software(s) necessário(s) ao trabalho de responsabilidade do novo usuário. Informações adicionais poderão ser obtidas, se necessário, com a Gerência de Software para o Exército, na Assessoria 2 do DCT, pelo telefone (61)3415-5465 ou RITEx 860-5465. __________________________________________________________________________________________ GESOFT 11 SET 07 28 ANEXO 1 – MODELO DE INVENTÁRIO DE INFORMÁTICA Fl _/_ OM MARCA MODELO Nr SÉRIE IDENTIFICAÇÃO DO (MICRO) COMPUTADOR LOCALIZAÇÃO RESPONSÁVEL DOCUMENTAÇÃO PATRIMONIAL NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO SOFTWARE(S) INSTALADO(S) NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO RESPONSÁVEL PELO PREENCHIMENTO LOCAL/DATA __________________________________________________________________________________________ GESOFT 11 SET 07 29 ANEXO 1 – MODELO DE INVENTÁRIO DE INFORMÁTICA (continuação) Fl _/_ OM MARCA IDENTIFICAÇÃO DO (MICRO) COMPUTADOR MODELO Nr SÉRIE NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE SOFTWARE(S) INSTALADO(S) LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO NOME COMPLETO FABRICANTE LICENCIADO DOCUMENTAÇÃO DE LICENCIAMENTO RESPONSÁVEL PELO PREENCHIMENTO LOCAL/DATA __________________________________________________________________________________________ GESOFT 11 SET 07 30 d. DIRETRIZES INTERNAS PARA O USO E GESTÃO DE SOFTWARE, NA OM Após a elaboração do Inventário referente ao software existente na OM, no qual poderão constar produtos com o licenciamento sob questão ou desconfiança, é da competência do Cmt, Ch ou Dir da OM, assessorado pelo seu Gerente de Software ou Oficial de Informática, analisar a imprescindibilidade, ou não, da continuidade da instalação desses produtos nos equipamentos pesquisados, de forma a não prejudicar o funcionamento normal dos trabalhos na OM. Em seguida deve ser determinada a desinstalação de todos os softwares plenamente prescindíveis e o recolhimento das mídias correspondentes (se for o caso). Conseqüentemente, restarão, nos computadores da OM, apenas os softwares absolutamente regularizados e os programas – considerados imprescindíveis, embora não regularizados – autorizados pelo Cmt, Ch ou Dir. Neste momento, com a participação dos seus auxiliares técnicos, acima citados, deve ser avaliada a oportunidade de: • ser efetuada uma instalação mais racional desses produtos, de modo a prosseguir em sua utilização, mas minimizando os riscos decorrentes e a necessidade de aquisição de novas licenças; ou • substitui-los por equivalente em software livre, com todas as vantagens perceptíveis. Após essa manobra de ativos deve ser providenciada a obtenção das licenças necessárias à regularização destes últimos produtos. Deve, então, ser elaborado um novo Inventário, agora racionalizado, e publicado em Boletim Interno Reservado, com os responsáveis diretos pelo uso dos softwares inventariados. Nessa oportunidade, é recomendável que a matéria publicada no BI Res expresse que, a partir dessa data, todo e qualquer software – não regularizado e não constante deste último Inventário – será da responsabilidade exclusiva do usuário, posto que não está autorizada a instalação de software desacompanhado de sua licença de uso regular. O DCT recomenda que esse Inventário seja revisto periodicamente, com freqüência a critério do Cmt, Ch ou Dir, conforme a disponibilidade e peculiaridade da OM. e. RESPONSABILIDADES A responsabilidade regulamentar será sempre da autoridade que aprovou ou concedeu a utilização de softwares não licenciados em sua Unidade. No entanto, a isenção da responsabilidade, principalmente em decorrência da grande rotatividade na função de Comando, só poderá ser atingida se forem realizadas as ações previstas no item anterior. Nesse caso, o usuário responsável direto pela inserção de produtos não regulares em sua máquina de trabalho será indicado como principal responsável, cabendo a ele responder pelos seus atos, contrários à diretriz de seu Cmt, Ch ou Dir. __________________________________________________________________________________________ GESOFT 11 SET 07 31 f. REGULARIZAÇÃO DO SOFTWARE DA OM Em todo o caso, não deve ser admissível a ocorrência de falta de licenciamento de softwares de pro- priedade do Exército Brasileiro e utilizados para o desempenho normal das atividades das suas OM. No entanto, razões históricas podem ter levado a esta desconfortável situação. Assim, de forma a preservar o nome e conceito da instituição Exército Brasileiro, todo Cmt, Ch ou Dir deve determinar a realização da criteriosa e precisa inventariação, para que sejam solucionadas eventuais pendências nesse sentido. Insuficiências orçamentárias podem restringir a plena e imediata regularização. Todavia, este deve ser um objetivo a ser perseguido obstinadamente por todos os usuários de softwares, evitando que sejam objeto de ações judiciais e sanções de toda ordem, comprometendo o tradicional e elevado conceito de que o Exército desfruta na sociedade brasileira, em todos os seus expressivos segmentos. __________________________________________________________________________________________ GESOFT 11 SET 07 32 ANEXO 2 - ORIENTAÇÕES PRÁTICAS PARA UMA GESTÃO EFICAZ DE SOFTWARE A sua OM está vulnerável? 1. Quantos microcomputadores, de todos os tipos, a sua OM está utilizando atualmente? 2. Quantas licenças de Sistema Operacional estão instaladas na rede da OM? 3. Existe uma licença para cada cópia de software instalado em cada equipamento, e em conformidade com a política comercial do fabricante desse software? 4. Algum integrante da OM, militar ou servidor civil, fez ou faz cópia não-autorizada de software? Esse software está licenciado para o Exército? 5. Todos os exemplares de software instalados nas máquinas da OM foram adquiridos adequadamente? 6. A OM tem normas internas e escritas sobre aquisição e cópia de licenças de software? 7. A OM conhece o conteúdo das licenças de software existentes na Unidade? 8. É usual o arquivamento das propostas comerciais, juntamente com os documentos fiscais de aquisição dos softwares correspondentes? 9. As Guias de Remessa de software estão corretamente arquivadas? Estão em local de fácil recuperação? 10. A OM controla os prazos de cada licença de software? A Unidade acompanha as datas de encerramento de suporte técnico por parte do fabricante do software? 11. A OM dispõe de pessoal capacitado para ler, compreender e interpretar os diversos Contratos de Software? Como manter sua OM tranqüila, em relação ao correto licenciamento do software? 1. Estabeleça normas e procedimentos de utilização dos softwares. 2. Defina uma política interna de proteção e responsabilidades dos integrantes da OM. 3. Estabeleça normas internas escritas, regulamentando as aquisições, instalações ou transferências das licenças de uso dos softwares da OM. 4. Controle toda a documentação relativa aos softwares (guias de remessa, NF/Faturas, propostas comerciais, notas de empenho, contratos de licenciamento etc). 5. Conheça a política de comercialização de cada produto ou fabricante, utilizado na OM. 6. Procure ler o contrato de licenciamento do software antes de adquiri-lo ou instalá-lo. 7. Observe as diferenças de preços ofertados para aquisição, conferindo-os pelo Part Number (ou equivalente) do produto. 8. Observe, nos contratos de software, o disposto sobre a política de controle e respeito à propriedade intelectual da(s) organização(ões) envolvidas. 9. Utilize software de monitoração e inventariação sobre as instalações ou utilizações de produtos. Uma boa sugestão é utilizar o software: Configurador Automático e Coletor de Informações Computacionais – CACIC, disponibilizado pelo Ministério do Planejamento, Orçamento e Gestão, e atualmente em teste no De__________________________________________________________________________________________ GESOFT 11 SET 07 33 partamento de Ciência e Tecnologia – DCT. Tão logo seja aceito, o DCT divulgará instruções para sua obtenção. 10. Prepare bons negociadores, habilitados a interpretar as cláusulas dos diferentes contratos de software. 11. Faça o cruzamento periódico (auditoria) da documentação (licenças e contratos) relativa ao software, com o inventário físico do software instalado na rede (servidores, estações, notebooks etc). Como organizar o software na OM 1. O arquivamento da documentação correspondente deve ser feito por produto e não por usuário ou equipamento. 2. Imprima o contrato do produto (mesmo obtido on-line), e arquive-o na pasta relativa ao produto. 3. Verifique se não existem diferentes contratos para a mesma versão de um produto. 4. As propostas comerciais devem ser arquivadas junto às Notas Fiscais/Faturas de compra do software e ao contrato de licença de uso. 5. Antes de efetuar qualquer upgrade de software, entenda e leia os contratos da versão antiga e da nova, a ser utilizada. 6. Antes de aceitar o equipamento ou o software, leia minuciosamente a Nota Fiscal correspondente. Se não contiver a descrição completa ou o Part Number correto, exija que o fornecedor a substitua. 7. Antes de liquidar a NF/Fatura relativa a software, verifique se a licença recebida é autêntica conforme os procedimentos recomendados pelo seu fabricante (consulta a link, número de série válido, registro do produto etc) 8. Faça o registro de cada NF/Fatura em um sistema de controle de licenças ou contratos de software, tão logo o produto seja instalado adequadamente. 9. Não deixe de realizar, e atualizar periodicamente, a inventariação de hardware e software da OM. Cuidados na contratação de um software A OM deve definir previamente como o produto será utilizado na rede interna da OM. Para concretizar a aquisição desejada, a Unidade deve conhecer as regras de licenciamento do produto e estar de acordo com elas. 1. Selecione revendedores para cotação, com boas referências do mercado. 2. Se for o caso, busque referências com outras organizações, procurando saber com quem compram. 3. Contate o fabricante do produto e solicite indicações de fornecedores ou visite seu site na Internet. 4. Faça uma breve leitura, no site do fabricante, sobre o produto a ser obtido, e modalidades de aquisição. 5. Solicite orçamento detalhado, indicando quantidades, descrição correta (modelo, idioma, plataforma a que se destina), com o Part Number de cada item. __________________________________________________________________________________________ GESOFT 11 SET 07 34 6. Não diga que não entende do assunto. 7. Além das condições usuais em uma negociação, solicite, também, informações sobre: a. Pode ser feito downgrade? b. É multiplataforma? c. Pode ser instalado em outros idiomas? d. Permite acesso concurrente? e. Tem suporte para versões futuras? f. O suporte é fornecido pelo próprio fabricante ou por revendedor? g. Durante quanto tempo o suporte é gratuito (telefone, e-mail etc)? h. Existe suporte pago para este produto (telefone, e-mail etc)? i. Os manuais do produto são impressos ou obtidos on-line? j. Existe mecanismo de ativação de cópia? l. Há possibilidade de instalação dupla em computadores portáteis? m. Está disponível update/upgrade de versão online, ou por meio de patches, e por quanto tempo (ciclo de vida do produto)? 8. Busque outras opções para aquisição (nesse caso, as condições diferenciadas devem ser apresentadas por escrito, datadas e assinadas). 9. Compare os produtos sempre pelo Part Number, nunca pela simples descrição. 10. Selecione a melhor proposta e solicite ao fornecedor uma cópia do contrato de licenciamento. 11. Arquive a proposta comercial e o contrato de licenciamento juntamente com a documentação fiscal relativa à aquisição. Procedimentos para o recebimento 1. Compare a descrição e Part Number do(s) produto(s) na Nota Fiscal/Fatura com o disposto na Proposta Comercial. 2. Compare a embalagem do produto ou da licença, com a descrição da proposta comercial e da Nota Fiscal/Fatura. Verifique se o Part Number também consta da embalagem. 3. Além da NF/Fatura, o fornecedor deverá entregar uma embalagem com o produto ou com a licença de uso (impressa). Não aceite nenhum “produto” tendo somente a NF/Fatura; se for o caso, exija uma comprovação de que o fabricante sabe desta transação comercial. 4. Não aceite receber produtos (software) juntamente com equipamentos, sem a devida discriminação na NF/Fatura. Devolva-os para a devida correção. Mesmo sendo produtos OEM (Original Equipment Manufacturer), o cliente tem que receber o certificado de autenticidade e mídia para reinstalação. 5. Havendo discrepâncias, solicite retificação ou troca do produto. 6. Não aceite o produto sem, antes, fazer esta conferência. __________________________________________________________________________________________ GESOFT 11 SET 07 35 Procedimentos para após o recebimento 1. Esteja atento para software cuja embalagem ou contrato de licença indique “Preço Acadêmico”, “Venda Proibida”, “NFR – Not for Resale”, “Cópia Trial”, “Produto BETA”, “Venda Proibida ao Varejo”, “Mídia ilegal, se desacompanhada de uma licença do fabricante”, ou ainda, “Apenas distribuído em OEM”. Essas licenças só estão regulares se os seus proprietários forem qualificados para a sua finalidade. 2. Faça o registro imediato do seu produto junto ao fabricante. 3. Contate o fabricante ou consulte o link indicado na licença, para validar seus códigos: se eles existem, se funcionam etc. 4. Um bom teste é solicitar suporte para o pedido ora adquirido. Alguns funcionários vendem softwares com manutenção (pode não estar discriminada na NF/Fatura), mas não repassam o pagamento para o fabricante. Nesse caso, o usuário pode não ter direito a esse serviço. Pecados mortais de um comprador de software 1. Solicitar uma proposta, apenas com base no “desejo” ou afirmações do usuário. 2. Admitir para o fornecedor, que não entende do assunto. 3. Comparar propostas e preços somente pela “descrição”. 4. Não possuir preço de referência confiável, antes de solicitar a cotação. 5. Não informar (afirmativo ou negativo) ao fornecedor, com referência aos orçamentos solicitados. 6. Admitir que os produtos já estão instalados na OM. 7. Não se identificar para o fornecedor (por e-mail, ou por telefone). 8. Solicitar cotação de preços ao mercado, simplesmente para referência, sem nenhuma intenção real de compra. 9. Não conferir seu pedido / compra realizada, com a licença recebida. 10. Reagir de forma intempestiva aos preços ofertados ou a diferentes situações de negociação. Erros mais comuns em licenciamento de software 1. Uso de licença acadêmica em ambiente administrativo. 2. Uso de produtos em servidores, sem licença de acesso para as estações. 3. Downgrades feitos indevidamente. 4. Uso de modelo de produto diverso do contratado. 5. Aquisição de equipamentos com software OEM, sem o devido destaque na descrição da NF/Fatura correspondente. 6. Uso de exemplares trial, beta, nfr, em servidores ou estações de produção. 7. Uso de produtos “atualização”, sem a cobertura da licença Full (completa) anterior. 8. Considerar que a licença Full é sinônimo de produto com CD, Manual e Licença. 9. Não possuir licenças ou controle das fontes espalhadas por uma rede. __________________________________________________________________________________________ GESOFT 11 SET 07 36 10. Uso de softwares shareware além do tempo permitido pelo fabricante. 11. Uso de softwares livres sem pagamento dos direitos autorais. 12. Não ler o contrato do produto após a sua aquisição. 13. Admitir a emissão de NF falsas, para cobrir eventuais passivos de licenças. 14. Aquisição de produtos em “suíte”, e instalação separada dos seus componentes. 15. Assinatura de contratos de Volume, com metas de compra que alterem valores, caso não sejam atingidas. 16. Instalação de software OEM, com chave do produto (product key) em vários equipamentos. 17. Aquisição de produtos, em momentos de transição de versões, sem a negociação atenta de free upgrade. Adaptado de “Licenciamento de Softwares” Reges Antonio Bronzatti (direitos gentilmente cedidos pelo autor) __________________________________________________________________________________________ GESOFT 11 SET 07 37 14. A UTILIZAÇÃO DE SOFTWARE NO EXÉRCITO a. RECOMENDAÇÕES GERAIS O software, nas Organizações Militares do Exército Brasileiro, deve ser utilizado, invariavelmente, segundo suas necessidades e funcionalidades essenciais. Portanto, a aquisição e o fornecimento de programas de computador devem ter por objetivo atender às reais e nítidas necessidades para a execução dos trabalhos inerentes às atividades da OM. Assim sendo, ao especificar um software para obtenção, devem-se selecionar as funcionalidades desejadas e restringir aquelas que, certamente, não serão utilizadas, de forma a ajustar a relação custo-benefício à realidade orçamentária do Exército. b. RECOMENDAÇÕES ESPECÍFICAS (suscetíveis de modernização, conforme as versões) 1) SISTEMAS OPERACIONAIS a) MS Windows (v.3.1 ou superior) Ao utilizar sistemas operacionais MS Windows, em servidores ou estações de trabalho, o usuário deve estar atento às peculiaridades da licença que acompanha o software. Existem diferenças nos direitos de uso, dependendo do tipo de licença, como licenças EULA, OEM e corporativas. Também devem ser observadas as diferenças entre as licenças para servidor e aquelas para estações de trabalho. As versões para servidor têm modelos de licenciamento diferenciado. Em servidores, o licenciamento envolve os direitos de instalação em uma máquina servidora e os de acesso a um número limitado de licenças para cliente (CAL – Client Access License), que podem ser: por dispositivo ou por usuário. Também, deve-se considerar que o uso de Serviços de Terminais Windows (Windows Terminal Server - WTS) necessita de licença específica. Caso esteja sendo usado um servidor de terminais Windows (WTS - Windows Terminal Server), o acesso de cada terminal cliente ao servidor é garantido por licença específica chamada Licença de Acesso para Cliente do Terminal Server (TS-CAL). Mais informações em: (http://www.microsoft.com/brasil/windowsserver2003/howtobuy/licensing/overview.mspx). As cópias licenciadas, e devidamente registradas, podem usar os serviços de atualização automática do site do fabricante, o que facilita a manutenção dos sistemas e o gerenciamento da segurança. A OM deve tomar cuidado, especialmente com o hardware adquirido no mercado local com Windows pré-instalado, com licença que não tenha sido fornecida pelo vendedor da máquina, descrita na Nota Fiscal do fornecedor ou em documentação original do fabricante do software. Neste caso, caracteriza uso irregular de software. __________________________________________________________________________________________ GESOFT 11 SET 07 38 As versões mais antigas do Windows não são recomendadas, por questões de segurança. Entretanto, para as OM que não possuem hardware capaz de executar versões mais novas, o Cmt pode estudar a possibilidade de uso de versões anteriores (downgrade) do Windows que tem licenciado. Os direitos de uso de versões anteriores às adquiridas (downgrade) dependem do produto em particular e são regidos por política específica do fabricante, que deve sempre ser consultada: (http://www.microsoft.com/portugal/licenciamento/recursos/default.mspx). b) Distribuições Linux O sistema operacional Linux é software livre, distribuído sob a licença GPL. É fornecido por meio de compilações do núcleo do sistema (kernel) com pacotes de aplicativos, as quais são chamadas de distribuições. Existem atualmente mais de 380 distribuições Linux diferentes, tanto para propósitos gerais quanto específicos. A seleção de uma distribuição para uso corporativo é uma tarefa gerencial crítica e complexa. O Plano de Migração recomenda o uso da distribuição Debian para Servidores e da Kurumin em desktops, a fim de facilitar o esforço de migração, unificando as linhas de suporte e treinamento. No entanto, outras distribuições Linux podem ser livremente utilizadas por OM que disponham de pessoal capacitado ou cultura já estabelecida. A seleção da distribuição deve ser baseada principalmente na sustentabilidade. Deve-se ter cuidado especial com as distribuições que incluem, além dos pacotes de software livre, alguns pacotes de software comercial, para avaliação, com licença proprietária. Recomenda-se a inscrição do pessoal da Seção de Informática da OM no serviço de newsgroup do EB, disponível em www.news.eb.mil.br, para que tenham acesso a um suporte colaborativo da comunidade de software livre do Exército. Em relação ao Sistema Operacional Linux, iniciar a migração pelos servidores e, somente quando for julgado oportuno e consistente, prosseguir pelas estações de trabalho. Com o objetivo de atingir a maior efetividade nessa etapa da migração, o DCT recomenda, antes de iniciar a implantação de SO derivado de Debian Linux nas estações de trabalho: a) Realizar levantamento prévio do que cada um, realmente, necessita b) Estabelecer a configuração desejada para as estações de trabalho; c)Aplicativos que deverão estar disponíveis, no mínimo; d) Estudar a solução para as estações em que o trabalho desempenhado pelo usuário demanda obrigatoriamente a solução fechada de software. Nesta etapa, considerar a manobra de ativos, ou seja, redistribuir licenças regulares de software existentes na OM; e)Definir a administração de versões regulares e distintas de SO fechado, inclusive de suas atualizações de versão, packs, updates etc. Como atender às demandas individuais? __________________________________________________________________________________________ GESOFT 11 SET 07 39 Acompanhar, atentamente, o encerramento do suporte, por parte do fabricante, para as versões de software instalados na OM, e suas possíveis conseqüências. Qual o risco de manter esse software em utilização na OM? Nesses casos, lembrar de que existem soluções livres e isentas dessas preocupações. 1)) Debian (v. 3.1 ou superior) Debian é uma das distribuições Linux mais adotadas em todo o mundo. Caracteriza-se por sua estabilidade, pela independência de fornecedor e pela existência de uma grande e ativa comunidade de desenvolvedores, organizada em torno de um contrato social formalmente estabelecido (http://www.debian.org/social_contract). Outro destaque é o eficiente sistema de atualização e de gerenciamento de pacotes, baseado na ferramenta “apt”. No Exército, é recomendada para utilização em servidores, embora possa também ser utilizada – de forma satisfatória – em desktops. É considerada uma “distribuiçãomãe”, da qual são derivadas muitas outras. No seu desenvolvimento, sempre são mantidas uma versão estável (stable), de teste (testing) e uma instável (unstable). A versão stable é preferível; no entanto, utiliza versões de kernel e de aplicativos atrasadas em relação às outras distribuições, o que limita a funcionalidade para o usuário. Pode-se utilizar a versão testing, desde que o usuário disponha de conhecimento próprio ou de uma estrutura de suporte para solução de problemas. A versão unstable não é recomendada. As atualizações podem ser feitas diretamente por meio dos repositórios mantidos pela comunidade internacional, ou pode-se montar um repositório próprio, como espelho do original. Em qualquer caso, deve-se sempre manter em dia as atualizações de segurança a partir do repositório da distribuição que está em uso. 2)) Kurumin (v. 6.0 ou superior) Kurumin é uma distribuição Linux de origem brasileira, também recomendada no Plano de Migração para uso em desktops. É baseado em outra distribuição, chamada Knoppix, destacada pelo eficiente sistema de detecção de hardware. Por ser mantido por uma comunidade local (www.kuruminlinux.com.br), o Kurumin resolve boa parte dos problemas de compatibilidade com o hardware encontrado no mercado nacional, facilitando o seu uso. No entanto, deve-se ressaltar que as últimas versões do Kurumin (6.x) exigem uma máquina desktop mais potente (como, por exemplo, um Pentium III 800 MHz, com 128 MB RAM). 3)) Fedora (v. Core 3 ou superior) O Fedora é uma distribuição Linux livre amplamente usada, baseada na distribuição comercial Red Hat (http://www.redhat.com/fedora/). Destaca-se pela grande comunidade internacional e pelo caráter inovador. Pode ser utilizada na OM, desde que haja capacitação específica de pessoal. 4)) Ubuntu (v. 6.0 ou superior) __________________________________________________________________________________________ GESOFT 11 SET 07 40 Distribuição baseada no Debian, especializada para desktops. O foco dessa distribuição é a usabilidade (facilidade de interação com o ambiente gráfico); por isso, tem crescido bastante seu o número de usuários. Vale a pena ressaltar que o Ubuntu possui algumas alterações relevantes de administração em relação ao Debian, e utiliza versões de pacotes mais atualizadas que as do Debian. A interface gráfica padrão é o GNOME, mas há uma versão ( KUbuntu ) que usa KDE. Esta distribuição deve ser priorizada, em relação à distribuição Kurumin, haja vista a grande facilidade de interação para o usuário final. 5)) Debian-BR-CDD (v. 1.0 ou superior) Distribuição Linux Debian customizada ( CDD – Custom Debian Distribution ), voltada para estações de trabalho ( desktop ) e preparada pela comunidade brasileira. Incorpora muitas funcionalidades voltadas para o uso em desktop. Por ser baseada em Debian, tem potencial para unificar a solução usada no servidor e no desktop, facilitando as ações de suporte e treinamento dentro do EB. No entanto, usa o GNOME como interface gráfica padrão, podendo ser necessário trocá-la pelo KDE, o que pode ser feito por pessoal especializado (http://cdd.debian-br.org/project/). 6)) SUSE Linux (v. 1.0 ou superior) Distribuição Linux bastante estável, muito utilizada em servidores e desktops. Foi adquirida pela Novell em 2003. Pode ser encontrada em versões contendo somente software livre - "OSS" ( Open Source Software ) Edition – ou em versões que contém, também, software comercial. Usa gerenciamento de pacotes baseado em RPM e uma ferramenta de administração de sistemas de fácil utilização, chamada YaST. Essa distribuição é bastante utilizada em algumas OM do EB, particularmente na Região Sul. Pode ser utilizada, desde que haja capacitação específica de pessoal, na própria Unidade que a adotar. 2) SUITES DE ESCRITÓRIO a) MS Office (v 95 ou superior) O MS Office é a suíte de escritório da Microsoft Corporation, distribuída em pacotes com diversas combinações de aplicativos. Tais aplicativos não podem ser usados isoladamente sem a licença referente a um pacote do qual faz parte. Cada pacote é licenciado para um tipo de uso (corporativo, educacional, etc) e pode ser caracterizado como um produto distinto dos demais. As atualizações são, também, vinculadas ao tipo de pacote. O uso do MS Office no EB deve seguir as recomendações previstas no Plano de Migração. O usuário deve ter especial cuidado em não gerar mais documentação do EB nos formatos proprietários do pacote MS Office (.doc, .xls, etc), dando-se preferência aos formatos abertos. As versões muito antigas (5.0, 6.0 e 95) devem ser evitadas, pois causam ilhas de compatibilidade de formatos que podem comprometer a gestão documental e a recuperação futura de informações com valor histórico. Nesse caso, recomenda-se a utilização do OpenOffice.org ou BROffice.org. As OM que detiverem __________________________________________________________________________________________ GESOFT 11 SET 07 41 licenças de MS Office que não estejam em uso deverão informar ao DCT ou diretamente à DMCEI, a fim de permitir manobra patrimonial dentro do Exército. b) OpenOffice.org. (v. 2.0 ou superior) OpenOffice.org (www.openoffice.org) é uma suíte de escritório livre e plenamente funcional. É derivada do projeto do StarOffice, que foi originado pela Sun Microsystems Inc., e que é atualmente vendido no modelo de licenciamento fechado. O OpenOffice.org é traduzido em mais de 30 idiomas, disponível nas principais plataformas (Microsoft Windows, Mac OS X X11, GNU/Linux, Solaris), e está em uso por dezenas de milhões de usuários em todo o mundo (www.openoffice.org). É distribuído segundo as licenças Public Document License (PDL) e GNU Lesser General Public License (LGPL). Detalhes em: (http://www.openoffice.org/license.html). Por ser multiplataforma, o seu uso é recomendado no Plano de Migração do EB, tanto para estações de trabalho baseadas em Windows, quanto para as baseadas em Linux. Recomenda-se a utilização da versão 2.0 ou posterior, haja vista o suporte ao formato de documentação aberta (ODF – Open Document Format), e a maior facilidade de uso e de instalação em relação às versões anteriores. Também dispõe de um aplicativo (Base), capaz de importar bancos de dados originados em MS Access, que pode ser útil, embora não importe os formulários da aplicação Access. No entanto, tal versão exige pelo menos 128 MB de RAM, 200 MB de HD e Windows (98/ME/2000 com Service Pack 2 ou superior/XP/2003) ou Linux (com kernel versão 2.2.13 ou superior e biblioteca glibc2 versão 2.2.0 ou superior). Máquinas mais antigas que não satisfaçam esses requisitos podem usar as versões anteriores (1.x), que no entanto não suportam o formato ODF, ou seja: documentos confeccionados na versão 2.0, em formato aberto, não serão “lidos” pelo OpenOffice versão 1.x. c) BROffice.org (v. 2.0 ou superior) O BROffice (http://www.broffice.org.br/) é uma versão de OpenOffice.org localizada, com versões de dicionários e corretor ortográfico adaptada ao português praticado no Brasil. Derivado do OpenOffice.org, devido a problemas com o registro da marca Open Office, no País, foi necessário trocar o nome da comunidade e do produto em 2004, surgindo assim o BrOffice.org. Por se tratar de comunidade nacional, atenta às necessidades específicas do usuário brasileiro, o uso do BROffice.org é preferível ao do OpenOffice.org. 3) GERENCIADORES DE BANCOS DE DADOS a) Oracle (v. 7.0 ou superior) O Oracle é um Sistema Gerenciador de Banco de Dados (SGBD) da Oracle Corporation, uma das empresas mais significativas na comercialização desses produtos, em âmbito mundial. __________________________________________________________________________________________ GESOFT 11 SET 07 42 Embora ainda muito utilizado, principalmente em virtude de forte predominância histórica no mercado, o produto Oracle não é padrão imposto no âmbito do Exército. Apenas tem uma considerável base instalada e uma forte cultura estabelecida, o que não pode ser desconsiderado quando da seleção para aquisição desses produtos. Entretando, considerada – primordialmente – a relação custo x benefício que se pretende obter, outros produtos de qualidade comprovada, e custo e funcionalidades suficientes ao fim a que se destina, devem ser cogitados. O suporte e atualização do SGBD Oracle dependem de contratação específica com o fabricante. O Exército não dispõe atualmente desse contrato com a Oracle, de forma global, em face dos elevados custos para sua efetivação. Em conseqüência, devem ser evitadas iniciativas para atualizações de versões (ex: de 8.x p/ 9.x ou 10.x) desnecessárias, com justificativa apenas tecnológica, uma vez que essas atualizações implicam significativo custo para o Exército. A série 7.x não é mais suportada pelo fabricante, devendo ser evitada em soluções futuras. Também deve ser evitado o desenvolvimento de novos sistemas usando a tecnologia proprietária baseada em Oracle Forms e Reports, dando-se preferência ao desenvolvimento multiplataforma, baseado em padrões abertos. Cabe ressaltar que a versão Oracle 10g Express Edition, embora tenha uma política de distribuição mais aberta, não é livre, mas segue licença específica. Tal versão tem limitações de uso, só podendo ser executada em uma única instância e em um único processador de qualquer servidor, com até 1 GB de RAM e até 4 GB na base de dados do usuário. Informações adicionais podem ser encontradas em (http://www.oracle.com/technology/documentation). A OM do EB que tiver licença Oracle em desuso deve informar ao DCT, ou diretamente à DMCEI, para possibilitar a manobra de ativos dentro da Força, uma vez que se trata de software de alto custo de aquisição. b) PostgreSQL (v. 8.0 ou superior) O PostgreSQL (http://www.postgresql.org/) é um SGBD livre, que segue a licença BSD (Berkeley Software Distribution), bastante avançado, incorporando boa parte das funcionalidades de SGBD proprietários, como o Oracle. Por suas características técnicas, e por ser livre, tem sua utilização recomendada no Plano de Migração para Software Livre do EB, particularmente para sistemas de maior complexidade. O suporte e treinamento para PostgreSQL pode ser obtido junto a diversas empresas do mercado. Tem também uma grande comunidade, bastante ativa. c) MySQL (v. 4.0 ou superior) O MySQL é um SGBD bastante utilizado na Internet e em soluções Web baseadas na associação de tecnologias de baixo custo conhecida como LAMP (Linux+Apache+MySQL+PHP). É recomendado no __________________________________________________________________________________________ GESOFT 11 SET 07 43 Plano de Migração para Software Livre do EB, como um substituto para o MS Access. Recomenda-se a utilização da versão 4.1 ou superior, dadas as características incorporadas a partir dessa versão, que aproximam o MySQL dos gerenciadores tradicionais do mercado. O MySQL pode ser licenciado de várias formas, dependendo de como vai ser usado. Cabe ao desenvolvedor observar junto ao fabricante, em que tipo de licença se enquadra, antes de produzir soluções para o EB baseadas nessa ferramenta. Outras informações, em http://www.mysql.com/company/legal/licensing/). d) Firebird (v. 1.5 ou superior) O Firebird é um SGBD SQL Relacional, disponível para Linux, Windows e versões do Unix. É mantido por uma comunidade de desenvolvedores, comercialmente independente, que o desenvolveu a partir do código do Interbase, cedido pela Inprise Corporation (agora conhecida como Borland Software Corp) em 2000. Atualmente, é um dos bancos de dados mais poderosos e é totalmente Open Source (código-fonte aberto). O código original foi fornecido sob a licença InterBase Public License v.1.0. Os novos componentes adicionados ao Firebird seguem a licença Initial Developer's Public License. (IDPL). Ambas são versões modificadas da licença Mozilla Public License v. 1.1. Outras informações, em (http://www.firebirdsql.org/). 4) NAVEGADORES ou BROWSERS a) Internet Explorer (v. 95 ou superior) É o navegador disponibilizado pela Microsoft Corporation para sistemas operacionais Windows. Embora seja de uso gratuito, sua licença está associada à do próprio sistema operacional. Recomenda-se a utilização de, no mínimo, a versão 6.0. É imperativa a manutenção das atualizações, uma vez que tal navegador é alvo constante de ataques e de exploração de vulnerabilidades por parte de hackers. Tais atualizações podem ser feitas automatica e diretamente do site do fabricante, para usuários que disponham de conexão à Internet e de cópias devidamente registradas. (http://www.microsoft.com/windows/ie/ie6/support/default.mspx). b) Mozilla Firefox (v. 1.5 ou superior) Navegador livre, derivado do projeto Mozilla e do Netscape, com ampla utilização na comunidade internacional, disponível para diversas plataformas, inclusive Windows e Linux. É distribuído sob as licenças Mozilla Public License e Mozilla End-User License Agreement, no site (http://www.mozilla.org/foundation/licensing.html). Caracteriza-se por sua estabilidade, facilidade de uso e funcionalidade. __________________________________________________________________________________________ GESOFT 11 SET 07 44 Uma vez que há uma forte tendência de desenvolvimento de sistemas baseados em Web, os desenvolvedores do EB devem empregar somente tecnologias que favoreçam o uso em ambiente multiplataforma e que permitam o uso, tanto do navegador Internet Explorer, quanto do Mozilla Firefox. 5) CORREIO ELETRÔNICO a) Outlook Express (v. 95 ou superior) Cliente de correio eletrônico para Windows, disponibilizado em conjunto com o Internet Explorer, compatível com protocolos de e-mail POP e IMAP. Pode ser usado, também, para leitura de mensagens de newsgroups. Aplicam-se as mesmas preocupações de licenciamento e segurança relativas ao Internet Explorer. Seu uso descuidado é uma das maiores portas de entrada de vírus nas organizações. b) Mozilla Thunderbird (v. 1.5 ou superior) Cliente de correio eletrônico livre, distribuído pela Fundação Mozilla sob a licença Mozilla Public License (http://www.mozilla.org/MPL/). Disponível para os sistemas operacionais Windows, Linux (i386) e Mac OS X. Possui funcionalidades similares às do Outlook Express, e ainda suporta filtros de conteúdo e proteção anti-phishing. Existe ainda uma variedade de clientes de correio eletrônico, não citados neste documento. A opção de sua utilização é exclusiva do usuário; no entanto, sem o suporte do DCT e suas OMDS, pela impossibilidade de se dispor de técnicos capacitados em todo o qualquer produto existente no mercado. c) Servidores de Correio Eletrônico O uso de software para serviço de correio eletrônico deve estar de acordo com o que preconizam as Instruções Reguladoras para Emprego Sistêmico do Serviço de Correio Eletrônico no Exército Brasileiro IRESCE (IR 13-06). O DCT recomenda a utilização de soluções de software livre, consolidadas na comunidade mundial, como Postfix e Exim. Deve-se ficar atento ao fato de que os Servidores de Correio proprietários, como o Microsoft Exchange Server, são licenciados por pacote básico e por caixa postal. 15. A MIGRAÇÃO PARA SOFTWARE LIVRE NO EXÉRCITO BRASILEIRO A implementação do software livre no Exército Brasileiro iniciou-se ainda no século XX. Mercê de competências individualizadas e iniciativas isoladas, alguns casos de sucesso se fizeram notar, inclusive de conhecimento público, por intermédio de publicações especializadas do mundo Linux. Essas iniciativas foram atentamente acompanhadas pela Gerência de Software, com interesse acentuado, pois que poderia indicar uma solução para diversos aspectos da gestão de ativos de software, como: insuficiência de recursos orçamentários para atender a plena demanda de licenças de software para a instituição, neces__________________________________________________________________________________________ GESOFT 11 SET 07 45 sidade de aperfeiçoamento do corpo técnico de informática do Exército, obter vantagem em novas negociações para a contratação de software etc. Assim sendo, a partir de 2002, tornou-se Diretriz da, então, Secretaria de Tecnologia da Informação-STI, a utilização crescente de soluções abertas. O Exército iniciava, assim, a aceleração de sua caminhada em direção aos padrões abertos e, se possível, livres. Um desafio se configurava: seria um confronto entre o software fechado e o software livre? Uma escolha entre Windows e Linux? Em absoluto! Após uma análise da realidade da Organização e a disponibilidade apresentada pelo mercado, a opção mais justa, adequada e conveniente aos interesses do Exército Brasileiro, indicou a alternativa Windows & Linux! Este é o grande desafio: gerenciar a utilização simultânea de ambas as tecnologias. A recomendação foi sinalizada: utilizar o software livre ou aberto sempre que possível, e o software fechado somente quando for necessário! O objetivo é atingir, de forma gradual, crescente e contínua, a coexistência harmônica entre os dois modelos de negócio, as duas formas de contratação. A inflexão definitiva ocorreu quando, em novembro de 2004, por intermédio da edição do Plano de Migração para Software Livre no Exército Brasileiro, finalmente foi apresentada uma orientação para todas as iniciativas futuras e revisão das pré-existentes. Em conseqüência, o Departamento de Ciência e Tecnologia – DCT vem atualizando e aperfeiçoando o Plano do Migração, atualmente em sua 3ª Edição, a qual incorpora um novo faseamento dos objetivos a serem atingidos em curto, médio e longo prazos, com prazo limite previsto para dezembro de 2009. Essa versão do Plano encontra-se publicada no BE nº 08, de 23 Fev 07. 16. SEGURANÇA DA INFORMAÇÃO, NO USO DE SOFTWARE NO EXÉRCITO a. SEGURANÇA DA INFORMAÇÃO NO EXÉRCITO BRASILEIRO A segurança da informação na Força, tal qual definida nas Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19), “compreende um conjunto de medidas, normas e procedimentos destinados a garantir a integridade, a disponibilidade, a confidencialidade, a autenticidade, a irretratabilidade e a atualidade da informação em todo o seu ciclo de vida”. Da definição contida nas IG 20-19, pode-se constatar que a segurança da informação é obtida pela reunião de elementos técnicos, administrativos, normativos, metodológicos etc. Esses elementos constituem um sistema cujos processos se desenvolvem concomitantemente e de forma complementar para, assim, consolidar a salvaguarda das informações. A falta de um ou mais desses processos pode comprometer severamente a efetividade da proteção à informação. __________________________________________________________________________________________ GESOFT 11 SET 07 46 A segurança da informação não constitui o único processo de proteção à informação no Exército. Na verdade, há dois componentes principais que efetivam essa proteção: a segurança da informação propriamente dita, cujo principal órgão de atuação é o DCT; e o ramo da Contra-Inteligência (CI), exercido por meio do Sistema de Inteligência do Exército (SIEx). A segurança da informação e a contra-inteligência se complementam e, em muitas ocasiões, chegam a aplicar técnicas muito semelhantes. Isso ocorre pelo fato de que a “segurança da informação” teve suas origens nas técnicas de proteção ao conhecimento da área da inteligência militar. Atualmente, a necessidade de segurança das informações de uma organização é vital para a sobrevivência do seu modelo de negócios. Em conseqüência, várias organizações privadas ou governamentais, entidades normativas, além de outros foros técnicos, vêm criando padrões e normas para viabilizar a aplicação e a gerência da segurança. Uma das referências mais utilizadas e que ganhou o “status” de norma internacional é a família de normas para gestão de segurança da informação ISO/IEC 27001 e ISO/IEC 17799, ambas com versões brasileiras “NBR”. O fato de a segurança da informação ter sido originada nas técnicas de contra-inteligência pode conduzir, erroneamente, à conclusão de que, ao Exército, bastaria a aplicação do seu Ramo de Contra-Inteligência para a adequada salvaguarda de suas informações. Em tese, essa conclusão é plausível, considerando que a doutrina de CI e as normas e padrões de segurança da informação disponíveis hoje contemplam, basicamente, as mesmas áreas. No entanto, há algumas diferenças práticas relevantes entre os dois conceitos: a contra-inteligência é mais concentrada no SIEx, ainda que a doutrina seja para aplicação geral. Já a segurança da informação, além de ter sido concebida para abranger todos os aspectos de proteção à informação numa organização, sejam de natureza restrita ou ostensiva, estende os conceitos da contra-inteligência em algumas áreas, em particular, na área tecnológica. As IG 20-19, as IG 10-51 – Instruções Gerais para Salvaguarda de Assuntos Sigilosos, e as IP 30-03 – Instruções Provisórias / Ramo de Contra-Inteligência (ou o documento que está por substituí-las), constituem as principais normas para a proteção à informação no Exército. Existem outras normas vigentes que tratam do assunto em capítulos específicos, quais sejam: 1) Instruções Reguladoras para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (IR 20-26 – Portaria Nº 121- EME, de 12 Nov 2001); 2) Instruções Reguladoras para Suprimento e Dotação de Material de Informática das Organizações Militares do Exército (IR 14-01 - Portaria N° 06 - STI, de 14 Fev 2002); 3) Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército (NORTI – Portaria N° 006 - DCT, de 05 Fev 2007); 4) Instruções Reguladoras sobre Análise de Riscos, para Ambientes de Tecnologia da Informação, no Exército Brasileiro – IRRISC (IR 13-10 – Portaria Nº 002 – DCT, de 31 Jan 2007); __________________________________________________________________________________________ GESOFT 11 SET 07 47 5) Instruções Reguladoras sobre Auditoria de Segurança de Sistemas de Informação do Exército Brasileiro – IRASEG (IR 13-09 – Portaria Nº 003 – DCT, de 31 Jan 2007); 6) Instruções Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro – IRESER (IR 13-15 – Portaria Nº 004 – DCT, de 31 Jan 2007). As IG 20 -19 representam as normas específicas de segurança da informação para o Exército. Essas Instruções estão estruturadas de modo a estabelecer conceitos e pressupostos de segurança, regras e responsabilidades. Em particular, cabe destacar que a responsabilidade pela segurança da informação é de todas as organizações militares, assim como de seus integrantes, sendo que há quatro órgãos com atribuições especiais: Estado-Maior do Exército (EME), Departamento de Ensino e Pesquisa (DEP), Centro de Inteligência do Exército (CIE) e Departamento de Ciência e Tecnologia (DCT). O EME atua como órgão de orientação geral. O DEP concentra suas ações na inclusão de disciplinas sobre o tema “segurança da informação” em todas as escolas de formação e especialização do Exército. O CIE desenvolve sua atuação na aplicação e disseminação da doutrina de contra-inteligência. O DCT aplica a tecnologia, e desenvolve pesquisas na área. Cabe ressaltar que, segundo as IG 20-19, o DCT possui o maior número de atribuições, num total de 16 itens (a versão vigente dessas IG ainda faz referencia às extintas Secretarias de Tecnologia da Informação – STI e de Ciência e Tecnologia – SCT). A contribuição do Departamento de Ciência e Tecnologia é bastante ampla e variada; portanto, requer a mobilização de uma quantidade significativa de recursos humanos especializados, financeiros, de hardware e software, uso de serviços etc. O DCT vem atuando prioritariamente nas seguintes áreas: - serviços de criptografia (hardware e software); - certificação digital; - proteção da rede EBNet; - normatização; - metodologia de análise de riscos; - gestão de incidentes de rede; - auditoria de segurança; - serviços de segurança para redes locais; - pesquisa e desenvolvimento de produtos de segurança (as pesquisas correntes estão concentradas em criptologia e guerra cibernética); - gestão de segurança da informação. Desta forma, no que diz respeito hoje aos serviços, orientações ou apoio que o DCT pode oferecer às demais Organizações da Força, figuram: - possibilidade de utilização de softwares criptográficos; - possibilidade de utilização de hardware criptográfico em equipamentos-rádio; __________________________________________________________________________________________ GESOFT 11 SET 07 48 - orientação para aplicação de metodologias de análise de riscos e de auditoria de segurança; - projeto de segurança para infra-estruturas de redes locais e remotas; - outras possibilidades, conforme a demanda. Para fazer uso dessas formas de apoio ou serviços por parte do DCT, a OM interessada deve estabelecer contato, através das vias formais, descrevendo sua necessidade para que o Departamento possa prover a resposta adequada, conforme os recursos disponíveis. Por fim, é importante ressaltar que a segurança da informação não está restrita ao mero conhecimento das normas. É preciso um esforço significativo dos Comandantes, Chefes e Diretores de OM para que as orientações sejam cumpridas. Em particular, no tocante ao uso de recursos de tecnologia da informação (TI), a sua praticidade e rapidez fazem com que, frequqntemente, a segurança seja ignorada, principalmente pelo fato de – por vezes – ser considerada um óbice à produtividade e ao serviço. No entanto, não se deve ignorar que os prejuízos advindos da violação das informações não são apenas de cunho material, podendo tornar-se institucionais. O DCT, por meio da sua Seção de Tratamento de Incidentes de Rede (STIR), instalada no CITEx, vem detectando vários casos de invasões e ataques a sítios Internet do EB. Portanto, as ameaças não são mera especulação teórica, mas fatos que já provocaram problemas sérios em algumas Unidades do Exército. O problema tende a crescer, não só no Exército, mas em todas as organizações. Desta forma, é importante a consciência e colaboração de todos, para garantir a efetividade da segurança da informação no ambiente organizacional do Exército Brasileiro. b. SEGURANÇA DE SOFTWARE NO EXÉRCITO BRASILEIRO O tópico anterior constitui uma introdução à segurança da informação e visou contextualizar esse tema na realidade da Força. No tocante especificamente ao uso de software, trata-se de um processo componente de todo o conjunto de proteções à informação, seja na área de contra-inteligência ou na área de segurança da informação. Desta forma, é importante ressaltar que a segurança no uso de software não se restringe ao uso de ferramentas, tais como softwares antivírus, mas a todo um arcabouço de proteções que vão do comportamento favorável à segurança por parte do usuário, até medidas sofisticadas de controle tais como: o uso de plataformas de gerência para monitoração, e o controle do uso de software em redes. Com finalidade meramente didática, pode-se considerar a segurança da informação para uso de software em duas formas principais: a primeira, de caráter genérico, que abrange ações que independem da categoria e do tipo específico de software; a segunda, que abrange aspectos relacionados à categoria do software (sistemas operacionais, aplicativos, banco de dados, sistemas corporativos etc) e os aspectos particulares de cada tipo, conforme sua categoria. Os itens a seguir descrevem as duas formas de abordagem para estas normas. __________________________________________________________________________________________ GESOFT 11 SET 07 49 1) Recomendações Gerais O uso do software requer procedimentos que estão relacionados a todas as áreas da segurança. A delimitação dessas “áreas” depende do modelo normativo utilizado. Para fins de aplicação destas Normas, foram elencadas as seguintes categorias: normas e políticas; gestão de riscos; documentação; recursos humanos; auditoria; gestão de incidentes; e gestão de segurança. Cabe ressaltar que essas áreas não esgotam os aspectos da segurança, mas foram utilizadas para atender as necessidades precípuas deste documento. Como síntese desses aspectos, a tabela a seguir apresenta diversas recomendações: Área da Segurança Recomendação - o uso dos softwares deve estar disciplinado por normas internas de cada OM, ou de seu escalão enquadrante; Normas e Políticas - as normas utilizadas devem destacar, dentre outros aspectos, o disposto legal no uso das licenças de software fechado. - a utilização de softwares críticos, tais como ferramentas de segurança (firewalls e IDS, por exemplo) e bancos de dados, deve ser associada a Gestão de riscos processos de análise de riscos e medidas de abrandamento dos riscos identificados. - a utilização de software deve estar estritamente de acordo com a orien- Documentação tação de sua documentação, as permissões de uso das licenças, e as recomendações de segurança. - o usuário deve estar adequadamente treinado para o uso de software, em particular das ferramentas mais críticas (ferramentas de gerência, banco de dados e de segurança); Recursos Humanos - o usuário deve estar sensibilizado para apresentar comportamento favorável à segurança, de modo a não introduzir vulnerabilidade aos sistemas, por conta de comportamentos inadequados (por exemplo, compartilhamento de senhas, uso de software “pirata” etc). - devem ser realizadas, periodicamente, auditorias internas para aferir o Auditoria Gestão de incidentes uso correto do software na Unidade. - a ocorrência de incidentes de segurança deve ser reportada ao STIR / CITEx, por meios rápidos como e-mail ou telefonema e, logo a seguir, __________________________________________________________________________________________ GESOFT 11 SET 07 50 por intermédio de comunicação oficial com aquele Centro. - a responsabilidade formal pela gerência de segurança na OM deve ser atribuída a um oficial, por exemplo, o Oficial de Informática, para que Gerência da segurança todos os demais aspectos de planejamento, implementação, controle e adequação sejam realizados de forma adequada e conexa. 2) Recomendações Específicas (suscetíveis de modernização, conforme as versões) Estas Normas estão organizadas de modo a destacar os sistemas operacionais e sistemas antivírus, antispam e antispyware, tanto nas distribuições baseadas em Linux, quanto sobre Windows. O texto sobre as distribuições Linux aborda aspectos a serem levados em consideração para a correta configuração do sistema, cabendo ao gerente escolher e avaliar a sua configuração. O texto sobre os softwares contra “malwares” (softwares nocivos ou maléficos, tais como vírus de computador ou cavalos de tróia) menciona exemplos de ferramentas que são utilizadas em diversas OM com sucesso. Cabe ressaltar que as ferramentas descritas não esgotam as possibilidades, sendo citadas apenas pelo fato de que, à época da elaboração destas Normas, vêm sendo utilizadas com eficácia pela maioria dos usuários da Força. a) Distribuições Linux No tocante à segurança do sistema operacional, independente de qual distribuição Linux utilizada, os seguintes cuidados básicos devem ser adotados: - serviços ativados (por exemplo, telnet, aplicações X, sendmail etc): deve-se verificar quais são necessários para o funcionamento do sistema operacional e ativar apenas estes serviços. Os demais deverão permanecer inabilitados até que sejam efetivamente necessários. Opcionalmente a verificação pode ser feita, “a posteriori”, listando os pacotes instalados e removendo-se os desnecessários; - particionamento: deve ser feito com critério, conforme a necessidade das aplicações, para que se possa utilizar adequadamente as funcionalidades de segurança relativas ao sistema de arquivos; - uso de senha no LILO (Linux Loader) e no GRUB: previne o acesso ao sistema em modo monousuário; - uso de terminais ativos: é recomendável que, durante a instalação, não sejam mantidos todos os terminais ativados, reduzindo esse número a um mínimo possível, conforme a necessidade dos serviços empregados; - execução de serviços de forma remota: devem ser configurados os servidores de modo a não permitir execução remota de programas por parte do usuário, exceto nos casos em que isso é necessário; outros__________________________________________________________________________________________ GESOFT 11 SET 07 51 sim, deve-se levar em consideração a possibilidade de não permitir login remoto de usuário root, por meio da configuração do SSH (SecureShell); - acesso a arquivos: é recomendável que os atributos de arquivos considerados importantes ou “críticos” para o funcionamento do sistema não possam ser configurados por quem não tenha esse privilégio; permissões do tipo SUID Bit e GID Bit são especialmente perigosas e é importante que arquivos com esses atributos sejam identificados e, se possível, tenham essa permissão modificada; - proteção dos logs; os logs são arquivos de importância fundamental na segurança, pois registram os eventos ocorridos no sistema e, em muitos casos de ataques, são apagados ou alterados pelos violadores do sistema; desta forma, é fundamental que sejam configuradas as permissões possíveis nos logs para controle de acesso a eles; - definição de uma política de senhas adequada: uma das formas mais simples de violar um sistema é por meio da identificação das senhas utilizadas; desta forma, é fundamental configurar os parâmetros definidores das senhas de acesso ao sistema, assim como a adoção de procedimentos para escolha dessas senhas; conseqüentemente, é recomendável especial cuidado em ativar as funcionalidades que impossibilitam o acesso à estação com sessões abertas com privilégio de root; - uso dos Pluggable Authentication Modules (PAM) para serviço de autenticação de usuário: o uso do PAM em versões mais recentes de Linux é recomendável devido à flexibilidade de configuração que o sistema adquire para identificar e autenticar usuários, mesmo para aplicativos específicos; esse procedimento aumenta a segurança do sistema e proporciona ao administrado maiores possibilidades de controle; - backup de sistema: é recomendável que uma “imagem” do servidor seja gerada e armazenada em local adequado, para recuperação dos parâmetros do sistema; - uso de IDS (Intrusion Detection Systems – sistemas de detecção de intrusão): é importante fazer uso de sistemas de detecção de intrusão de redes, tais como o SNORT e o PortSentry; essa atitude permite que a gerência da segurança previna ataques a serviços críticos, onde os IDS devem atuar; - uso de Proxy: o serviço de proxy incrementa a segurança, não permitindo que o usuário acesse diretamente a aplicação ou os dados que deseja, sendo um serviço altamente recomendado para uso; um serviço de proxy presente em diversas distribuições Linux é o Squid, podendo-se fazer uso desse programa sem a necessidade de “baixá-lo” e instalá-lo em separado do sistema operacional; - uso de firewalls: os firewalls compõem uma classe adicional de serviço de segurança que, em conjunto com os IDS e proxy, incrementam a segurança da rede por meio do controle do fluxo de dados que entram e saem da rede; desta forma, é altamente recomendável o seu uso – esse recurso pode ser obtido na Internet e alguns exemplos são o IPCHAINS e o IPTABLES; - criptografia: a criptografia é um recurso a ser utilizado para cifrar as informações que trafegam na rede, porém, deve-se ter muito critério para seu uso, uma vez que os algoritmos de criptografia devem ser testados e validados para serem confiáveis; nesse sentido, é importante levar em consideração as seguintes recomendações: __________________________________________________________________________________________ GESOFT 11 SET 07 52 • utilizar criptografia conforme o prescrito nas normas de segurança vigentes (IG 20-19, IG 1051 e IR 13-15); • evitar fazer uso de programas de criptografia da Internet; • quando se fizer necessário utilizar criptografia para comunicações de informações sensíveis, em particular no uso real ou operações simuladas, consultar o Departamento de Ciência e Tecnologia para maiores informações a respeito dos procedimentos necessários; • o uso de VPN (Virtual Private Networks – redes privadas virtuais), de IPsec (IP seguro), SSH, assim como outras aplicações que fazem uso de criptografia com algoritmos públicos, deve ser criterioso. b) Windows A plataforma Windows têm requisitos de segurança diferentes, conforme a sua versão. As versões mais antigas, tais como Windows 98 e Millenium têm características semelhantes e menos refinadas no aspecto de segurança, enquanto os produtos a partir do Windows 2000 têm requisitos mais elaborados nessa área e propiciam aos seus usuários mais funcionalidades de segurança. O Windows NT é um dos sistemas operacionais da Microsoft mais antigos, porém, sua concepção considerou que o aspecto de segurança fosse superior às versões de Windows para as estações de trabalho usadas na época. As configurações para operação de modo seguro são resultado da necessidade de operar que cada rede ou estação isolada tem, porém há um rol mínimo de recomendações que, em geral, é publicado nos sites oficiais da Microsoft. Em relação aos Windows 98, Windows 98 Second Edition e Windows Millenium Edition, no site http://www.microsoft.com/brasil/security/guidance/topics/threatm/threatmi.mspx, acessado em 16 Nov 2006, está disponível o Guia para atenuação de ameaças no Microsoft® Windows NT® 4.0 e Windows® 98. Neste guia são abordadas as estratégias para uma correta instalação e atualização dos sistemas supracitados no que se refere aos aspectos de segurança. Os assuntos tratados nessa publicação são os seguintes: aspectos a respeito da proteção de sistemas operacionais antigos; gerencia de riscos; segurança de redes; proteção do Windows NT; proteção do Windows 98; gerenciamento de patches (programas complementares que atualizam e corrigem imperfeições inerentes à versão na qual é instalado); e proteção antivírus. A seguir são mencionadas diversas ferramentas, textos e endereços úteis que o usuário poderá acessar e obter inúmeras informações adicionais. As informações relativas à segurança da distribuição Windows 2000 podem ser acessadas no endereço http://www.microsoft.com/brasil/security/guidance/prodtech/Windows2000.mspx#E3, site consultado em 16 Nov 2006. Os assuntos abordados são os seguintes: 1. Configurações de segurança do Windows 2000 2. Ferramentas de configuração de segurança do Windows 2000 __________________________________________________________________________________________ GESOFT 11 SET 07 53 3. Configurações da diretiva de segurança padrão do Windows 2000 4. Configuração de direitos e privilégios do usuário do Windows 2000 5. Lista de verificação da configuração de segurança do Windows 2000 6. Como instalar com segurança o Windows 2000 7. Como configurar e aplicar modelos de segurança com o Windows 2000 As informações relativas à segurança da distribuição Windows XP podem ser acessadas no endereço http://www.microsoft.com/brasil/security/guidance/prodtech/WindowsXP.mspx#EUB, site consultado em 16 Nov 2006. Os assuntos abordados são os seguintes: • Configuração da infra-estrutura de domínios do Active Directory • Configurações de Segurança para Clientes Windows XP 8. Modelos administrativos para o Windows XP 9. Proteção dos clientes Windows XP autônomos 10. Diretivas de restrição de software para clientes Windows XP 11. Lista de verificação: Diretivas de restrição de software para clientes Windows XP 12. Lista de verificação: Modelos administrativos para o Windows XP 13. Lista de verificação: Configurações de Segurança para Clientes Windows XP 14. Lista de verificação: Protegendo clientes Windows XP - autônomos 15. Lista de verificação: Configurando a infra-estrutura de domínios do Active Directory No caso do Windows 2003 Server, há vários guias que abordam o tema “segurança” para essa versão. Cada Guia é uma um publicação específica e os temas abordados são os seguintes: 16. Guia “Planejamento de Monitoramento e Detecção de Ataques” 17. Guia “Planejamento de Segurança para Serviços e Contas de Serviços” 18. Guia “Segurança do Windows Server 2003” 19. Guia “O Processo de Gerenciamento de Patches” 20. Guia “Backup e Restauração” 21. Guia “Planejando uma Rede sem Fio Segura Usando os Serviços de Certificação do Windows Server 2003” 22. Guia “Construindo uma Rede sem Fio Segura Usando os Serviços de Certificação do Windows Server 2003” 23. Guia “Gerenciando uma Rede sem Fio Segura Usando os Serviços de Certificação do Windows Server 2003” 24. Outros guias adicionais ... Adicionalmente há um link para o tópico “artigos adicionais” que fornece uma série de importantes documentos sobre segurança. Além das informações sobre sistemas operacionais, a Microsoft provê uma série de informações úteis sobre segurança no “Centro de Orientações de Segurança”, no endereço __________________________________________________________________________________________ GESOFT 11 SET 07 54 http://www.microsoft.com/brasil/security/guidance/default.mspx, acessado em 16 Nov 2006, no qual se podem encontrar dados sobre ferramentas úteis, listas de verificação, produtos, artigos de instrução, possibilidade de cadastro para receber boletins de segurança, além de outras notícias e conhecimentos na área da segurança. c) Antivirus, Antispam, Antispyware Uma vez que o número de ameaças digitais cresce a cada dia, os softwares antivírus e correlatos devem ser atualizados com a maior freqüência possível, sendo essa ação responsabilidade do Oficial de Informática da OM. A atualização envolve tanto os arquivos de definição de vírus quanto o mecanismo de detecção (engine), que é parte do programa. O modelo de negócios mais utilizado pelas soluções proprietárias envolve licenciamento anual, que permite suporte técnico e atualizações automáticas, disponibilizadas on-line. Deve-se ter em mente a diferença de licenciamento para máquinas servidoras da rede e para máquinas clientes. As soluções corporativas são mais indicadas para as OM do EB que disponham de rede. Servidores baseados no sistema operacional Linux, em particular, embora estejam menos sujeitos a vírus que servidores Windows, devem dispor de uma solução antivírus eficiente, para evitar que se torne plataforma de distribuição de vírus para as máquinas clientes da sua rede. Muitas funções podem estar agregadas em um único pacote de proteção, como proteção antivírus, filtro de spam (mensagens de correio eletrônico, não solicitadas), firewall pessoal e proteção contra spyware (programa “espião”, que coleta informações locais do usuário e dados de sua navegação na Internet, enviando-os para entidades externas, sem consentimento ou autorização desse usuário). a) Symantec Norton (v. 2003 ou superior) Para a OM que usa o antivírus Symantec (Symantec Antivírus Enterprise Edition), distribuído pela antiga STI, as atualizações dos arquivos de definições de vírus podem ser obtidas, acessando o site http://securityresponse.symantec.com/avcenter/defs.download.html. A orientação detalhada para esse fim está disponível na aba da Div Infor, na página principal da intranet do DCT (intranet.dct.eb.mil.br), accessível por meio da EBNet, e foi informada a todas as OM do Exército, mediante mensagem SIAFI. b) ClamAV + SpamAssassin (v. 0.88 e 3.1 ou superior, respectivamente) ClamAV é uma solução antivírus fornecida sob licença GPL (http://www.clamav.net/), para sistemas Unix/Linux, mantida por uma comunidade aberta de desenvolvedores. Os programas são baseados em uma biblioteca compartilhada, distribuída com o pacote Clam AntiVirus. Seu principal propósito é a integração com servidores de correio eletrônico, na varredura de arquivos anexados. A base de definição de vírus é atualizada várias vezes por dia, automaticamente, para servidores com acesso à Internet. Algumas empresas oferecem suporte comercial ao ClamAV. SpamAssassin é uma solução livre de filtro de spam, originária do projeto Apache (http://spamassassin.apache.org/), distribuída sob os mesmos termos daquele servidor HTTP. Pode ser usado inclu- __________________________________________________________________________________________ GESOFT 11 SET 07 55 sive em ambiente Windows, embora sua instalação não seja simples. Associado ao ClamAV, configura uma forte opção de proteção para sistemas baseados em software livre. c) AVG (v. 7.0 ou superior) AVG é um anti-vírus fornecido pela Grisoft (www.avgbrasil.com.br). Existem versões de teste plenamente funcionais, inclusive com suporte técnico, para avaliação com prazo de 30 dias. A versão Free Edition é de uso exclusivamente doméstico, conforme alertado no site do fabricante: “utilizar o AVG Anti-Virus Free Edition dentro de qualquer organização ou com propósitos comerciais é extremamente proibido”. Outras informações, em: http://www.grisoft.com/doc/products-avg-anti-virus-free-edition/lng/br-pt/tpl/tpl01 17. DISPOSIÇÕES FINAIS Todo e qualquer software em utilização no Exército deve estar corretamente regularizado, ou seja, deve estar acompanhado de sua respectiva Licença de Uso. O material que compõe o produto, sejam mídias, manuais, certificados de garantia, etiquetas etc, devem estar relacionados e em poder ou controle do Oficial de Informática da OM. Este procedimento facilita o controle e a inventariação periódica do software. Cuidados especiais devem ser tomados em relação ao licenciamento “click”, guardando-se uma cópia dos termos do licenciamento admitido, a fim de resguardar responsabilidades contratuais futuras. Em relação ao licenciamento livre de softwares, deve-se constatar qual o modelo específico de licenciamento, de modo a se conhecer quais as liberdades que estão expressamente asseguradas e quais as restrições impostas, se houver. O Departamento de Ciência e Tecnologia – DCT se solidariza com todos os usuários de software no Exército Brasileiro, em todos os níveis hierárquicos e de comando, e se coloca à sua disposição para maiores esclarecimentos, se forem considerados necessários, por intermédio do telefone RITEx 860-5465 ou (61) 34155465, na Assessoria 2 – Gestão e Integração dos Sistemas de Informação. Este documento será revisto periodicamente, diante da vertiginosa evolução tecnológica, e sua atualização será notificada por meio dos veículos de comunicação do Exército (NE, página oficial do Exército na Internet, intranet do DCT etc). __________________________________________________________________________________________ GESOFT 11 SET 07 56 ANEXO 3 – FORMULÁRIO PARA SOLICITAÇÃO DE SOFTWARE MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO SOLICITAÇÃO DE SOFTWARE I. CADASTRO DA OM 1. Nome 2. Telefone 3. Fax SOFTWARE NOVO II. ESPECIFICAÇÃO DO SOFTWARE 4. Nomenclatura Básica 5. Versão 6. Fabricante/Produtor 7. Nr Cópias (caixas) 8. Nr Licenças 9. Nr Usuários 10. Finalidade do uso deste SW, na OM III. ESPECIFICAÇÃO DO HARDWARE (onde será instalado o SW acima) 11. Marca/Modelo 12. Sistema Operacional 14. Memória RAM 15. Tipo 16. Fabricante Processador 17. MHz 18. Nr Processadores 19. Capacidade Unidade de Disco Rígido 20. Espaço Disponível SOFTWARE A REGULARIZAR IV. ESPECIFICAÇÃO DO SOFTWARE 21. Nomenclatura Básica 22. Versão 23. Fabricante/Produtor 24. Nr Cópias (Caixas) 25. Nr Licenças 26. Nr Usuários 27. Finalidade do uso deste SW, na OM V. ESPECIFICAÇÃO DO HARDWARE (onde será instalado o SW acima) 28. Marca/Modelo 29. Sistema Operacional 31. Memória RAM 32. Tipo 33. Fabricante Processador 34. MHz 35. Nr Processadores 36. Capacidade Unidade de Disco Rígido 37. Espaço disponível 38. Data 13. Versão 30. Versão 39. Responsável __________________________________________________________________________________________ GESOFT 11 SET 07 57 INSTRUÇÕES PARA O PREENCHIMENTO DO FORMULÁRIO DE SOLICITAÇÃO DE SOFTWARE 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 Nome da OM solicitante Telefone da Seção de Informática ou do responsável pelo pedido Número do fax da OM Nome ou nomenclatura usada comercialmente pelo fabricante do software solicitado Versão do software solicitado Nome do fabricante do software solicitado Número de cópias (ou caixas) do software solicitado Número de licenças necessárias para o software solicitado Número de usuários que utilizarão o software Razões para a necessidade do software solicitado para a OM Marca e/ou modelo do hardware onde será instalado o software Sistema Operacional do hardware onde será instalado o software Versão do Sistema Operacional do hardware onde será instalado o software Memória RAM do hardware onde será instalado o software solicitado Tipo de processador do hardware onde será instalado o software solicitado Nome do fabricante do processador do hardware onde será instalado o software solicitado Clock (velocidade) do processador do hardware onde será instalado o software solicitado Número de processadores existentes no hardware onde será instalado o software solicitado Capacidade para armazenagem do disco rígido, no hardware onde será instalado o software solicitado Espaço disponível no disco rígido, para a instalação do software solicitado Nome ou nomenclatura usada comercialmente pelo fabricante do software a regularizar Versão do software a regularizar Nome do fabricante do software a regularizar Número de cópias (caixas) do software necessárias para a regularização Número de licenças de uso do software, necessárias para a regularização Razões para a necessidade do software solicitado para a OM Marca e/ou modelo do hardware onde será instalado o software Sistema Operacional do hardware onde será instalado o software Versão do Sistema Operacional do hardware onde será instalado o software Memória RAM do hardware onde será instalado o software solicitado Tipo de processador do hardware onde será instalado o software solicitado Nome do fabricante do processador do hardware onde será instalado o software solicitado Clock (velocidade) do processador do hardware onde será instalado o software solicitado Número de processadores existentes no hardware onde será instalado o software solicitado Capacidade para armazenagem do disco rígido, no hardware onde será instalado o software solicitado Espaço disponível no disco rígido, para a instalação do software solicitado Nome ou nomenclatura usada comercialmente pelo fabricante do software a regularizar Versão do software a regularizar Nome do fabricante do software a regularizar Observações: a) Preencher 1 (um) formulário de solicitação de software para cada motivo de pedido da OM. b) Os dados do formulário de solicitação de software, poderão ser tirados dos manuais técnicos, Notas Fiscais/Faturas ou da proposta comercial do fornecedor. c) O não preenchimento de todos os campos do formulário, relativos ao tipo de solicitação (SW novo e/ou a regularizar) poderá invalidar o pedido. __________________________________________________________________________________________ GESOFT 11 SET 07 58 d) Para a OM solicitar somente licenças adicionais para software já regularizados, deverá escrever no campo Nr (07) zero número de cópias (caixas). e) Dúvidas poderão ser sanadas na DMCEI (Seção de Software). f) Este formulário de solicitação visa padronizar os pedidos de Software. __________________________________________________________________________________________ GESOFT 11 SET 07 59