Secretaria de Gestão
Pública de São Paulo
Guia para Contratação de Serviços em
Nuvem
Agenda
Guia para Contratação de Serviços em Nuvem
 Conceito de Nuvem
 Questões Legais em Contratos
 Uso do Guia



Análise de Risco
Classificação da Segurança da Informação
Categorização de Cláusulas Contratuais
Cláusulas Contratuais
Definição de Computação em Nuvem
“Cloud Computing são os recursos relacionados de Tecnologia da
Informação e Comunicação que são fornecidos "como serviço" usando
tecnologias de INTERNET para vários clientes externos.” (Gartner
2008).
Modelo de Computação em Nuvem definido pelo NIST
Questões Legais em Contratos
Muitas questões relacionadas a proteção dos dados tem sido discutidas em
artigos e organizações econômicas de vários países, surgindo normas e leis,
como por exemplo: Gramm-Leach-Bliley (GLBA), ou a lei de responsabilidade e
portabilidade dos seguros de saúde (HIPAA).
Não só questões de segurança como também questões legais de rompimento de
serviço, transição, níveis de serviços e responsabilidades devem ser consideradas
no momento de definir o contrato de serviço.
Seguem alguns itens importantes a serem considerados na decisão de mover os
dados e serviços para a nuvem:
 Privacidade
 Segurança
 Auditoria
 Responsabilidades
 Acordo de Nível de Serviço
 Flexibilidade do Serviço
 Recuperação de Incidentes
 Compensação por perda de dados ou uso indevido
 Rompimento de Contrato e Transição para outro Provedor
 Código Fonte Nocivo
 Propriedade Intelectual
 Atualização de Software
Cláusulas Contratuais
A utilização de serviços em Nuvem exige que sejam observadas cláusulas
contratuais adicionais à contratação de serviços de TIC. Estas cláusulas contratuais
estão descritas no documento Anexo I do Guia.
A estrutura destas cláusulas contratuais é:












Escopo do acordo contratual
Diretos e licenças
Privacidade dos dados
Segurança e integridade dos dados
Resposta a ordens legais,
exigências ou pedidos de dados
Resposta ao comprometimento dos
dados
Retenção e descarte de dados
Transferência de dados após a
rescisão ou expiração do contrato
Nível de serviço
Mudanças, Interrupções,
Suspensão e Cessação do Serviço
Suporte técnico
Treinamento









Apoio à transição
Relatório
Gerenciamento de identificação e
acesso
Garantias, representação e
convênios
Informação protegida
Auditoria
Atribuição e subcontratação
Relatório
Responsabilidades
Uso do Guia
Este guia pretende definir as etapas que as Secretarias do Governo de São Paulo
devem seguir para que as cláusulas contratuais possam ser incluídas nos contratos
de serviço em nuvem.

Primeiramente é definido um método para análise de risco de segurança de um
serviço, sistema ou dados do Governo que será migrado para a nuvem. Esta
análise de risco visa identificar os riscos, identificar cláusulas contratuais, as
quais procuram minimizar a probabilidade de ocorrência dos riscos;

Posteriormente são definidos critérios para classificar a segurança da informação,
em que o Contratante possa relacionar o serviço, sistema ou mesmo informação
que deseja levar para a nuvem;

Por último, a fim de atingir o propósito do guia, é realizado a categorização das
cláusulas contratuais em grupos, utilizando também requisitos de
confidencialidade, integridade e disponibilidade da informação, para que as
Secretarias possam selecionar as cláusulas que se encaixem na classificação da
informação
Análise de Risco
Neste trabalho com base na metodologia CPqD de análise de risco, desenvolveu-se
uma planilha de riscos, conforme Anexo II deste Guia;
- Baixo
- Ameaça
Segue uma demonstração de uso:
- Médio
-
Oportunidade
-
Alto
Exemplo 1 : Risco de violação de dados de um sistema de itinerário de ônibus
ANÁLISE DE RISCO DE SEGURANÇA DO SERVIÇO SER MIGRADO PARA A NUVEM
Evento
Anexo I –
Cláusulas
Contratuais
Tipo
Probabilidade
Impacto
Exposição
Vazamento dos dados, serviços
ou sistema do contratante,
devido a falhas de segurança dos
sistemas do provedor.
3.3.3; 3.3.4;
3.14.1
Ameaça
Baixa
Baixo
Muito
Baixa
Exemplo 2 : Risco de violação de dados de um sistema de emissão de CNH
Evento
Anexo I –
Cláusulas
Contratuais
Tipo
Probabilidade
Impacto
Exposição
Vazamento dos dados, serviços
ou sistema do contratante,
devido a falhas de segurança dos
sistemas do provedor.
3.3.3; 3.3.4;
3.14.1
Ameaça
Média
Alto
Alto
- Mitigar
- Eliminar
- Transferir
- Aceitar
Exemplo 1 : Risco de violação de dados de um sistema de itinerário de ônibus
- Explorar
- Compartilhar
ANÁLISE DE RISCO DE SEGURANÇA DO SERVIÇO
SER MIGRADO PARA A NUVEM
- Melhorar
Análise de Risco
Evento
Vazamento dos dados, serviços
ou sistema do contratante,
devido a falhas de segurança dos
sistemas do provedor.
Estratégia de
Resposta
Aceitar
Ação
Corrigir impactos
causados pela
invasão.
Responsável
Prazo
Contratante
/ Provedor
Assim
que
ocorrer
Exemplo 2 : Risco de violação de dados de um sistema de emissão de CNH
ANÁLISE DE RISCO DE SEGURANÇA DO SERVIÇO SER MIGRADO PARA A NUVEM
Evento
Vazamento dos dados, serviços
ou sistema do contratante,
devido a falhas de segurança dos
sistemas do provedor.
Estratégia de
Resposta
Ação
Eliminar
1- Incluir no contrato
as cláusulas contratuais
referentes;
2- Exigir o cumprimento
do contrato;
3- Auditar o contratado
Responsável
Prazo
Contratante Auditoria
/ Provedor Semestral
Classificação da Segurança do Serviço,
Sistema ou Informação
Sistema
Neste trabalho realizou-se
uma classificação
da informação, baseada na importância
Sistema
de
de
Emissão
e necessidade e tambémEtinerário
nos requisitos de confidencialidade, integridade e
de Ônibuspossui, definindo quatro critérios de classificação
de CNH
disponibilidade que a informação
como segue:
Sem Critério
Recomendável
Importante
Crítico
A segurança não
é necessária
Certo grau de
segurança é desejável
Segurança é
necessária
Segurança é
critério primário
Confidencialidade
Pública
Protegida
Crucial
Obrigatório
(A informação é
acessada por
pessoas autorizadas)
A informação
pode ser
publicada
Somente pode ser
visto por um grupo
seleto de pessoas
Somente pode ser
visto por pessoas
envolvidas
O negócio pode
ser gravemente
afetado
Exigência de
Segurança
Integridade
(Proteção contra
alteração ou
destruição)
Passiva
Sem proteção
necessária
Ativa
Os processos de
negócio toleram alguns
erros
Disponibilidade
(A informação deve
estar disponível
quando for
necessário)
Desnecessária
Necessária
Sem garantia de
disponibilidade
Indisponibilidade
ocasional é aceitável
Detectável
Essencial
Um número mínimo
de erros é permitido
Processos de
negócio não
permitem erros
Importante
Essencial
Em períodos de
indisponibilidade há
demora em
processos
Indisponibilidade
somente em
ocasiões
excepcionais
Categorização de Cláusulas Contratuais
Com base nos critérios adotados na classificação da informação foram definidos os grupos
de cláusulas contratuais divididos em: Básico, Recomendável, Importante e Crítico,
onde:
Grupos de
Cláusulas
Contratuais
Anexo I – Cláusulas contratuais de serviços em nuvem
Básico
3.1.1; 3.1.2; 3.1.3; 3.1.4; 3.1.5; 3.9.1; 3.9.2; 3.9.4; 3.9.5; 3.9.6; 3.9.7; 3.10.2;
3.10.3; 3.11.1; 3.16.3; 3.18.2; 3.18.3; 3.18.5
Recomendável
3.2.1; 3.5.1; 3.5.2; 3.7.3; 3.7.4; 3.7.5; 3.7.6; 3.7.7; 3.9.3; 3.9.5; 3.10.4; 3.10.5;
3.11.2; 3.11.3; 3.11.4; 3.11.5; 3.11.6; 3.11.7; 3.11.8; 3.12.1; 3.17.1; 3.17.2;
3.18.1; 3.18.4
Importante
3.2.2; 3.2.3; 3.3.1; 3.3.3; 3.3.4; 3.4.1; 3.7.1; 3.7.2; 3.8.3; 3.8.4; 3.10.1; 3.10.6;
3.10.7; 3.13.1; 3.13.2; 3.13.3; 3.13.4; 3.14.1; 3.16.2
Crítico
3.3.2; 3.4.2; 3.4.3; 3.4.4; 3.4.5; 3.6.1; 3.6.2; 3.6.3; 3.6.4; 3.6.5; 3.6.6; 3.8.1;
3.8.2; 3.13.5; 3.15.1; 3.15.2; 3.15.3; 3.15.4; 3.15.5; 3.15.6; 3.16.1
Conclusões e Recomendações
Este guia busca apontar as questões críticas para contratação de serviços em nuvem,
referenciando as cláusulas contratuais;
Devido à amplitude do tema, não se pretende esgotá-lo, mas sim oferecer uma referência
para a criação de uma política que regulamente junto a Secretaria de Gestão Pública do
Estado de São Paulo;
Cada serviço ou ativo disponibilizado na nuvem necessita ser avaliado quanto aos
requisitos de segurança: confidencialidade, integridade e disponibilidade;
Devem-se avaliar potenciais pontos de exposição das informações e operações sensíveis
ao considerar mover aplicações ou serviços para a nuvem;
A análise dos riscos de segurança do serviços, sistemas e dados do Governo se tornam
muito importante para decisão de migrar para a nuvem, além de avaliar termos e
cláusulas contratuais a serem inseridos nos contratos de serviço do provedor;
Recomenda-se que serviços, sistemas ou informações que sejam estratégicos para o
governo que não sejam migrados para nuvem, pois se atribui o controle do negócio a um
terceiro;
Para tanto se torna importante conhecer as combinações e os modelos de implantações
e serviços disponíveis e em constante evolução;
Em conclusão, a construção de uma política de adesão à computação em nuvem em
organizações públicas deve considerar as ponderações elencadas no Guia, para garantir
reduzir o risco de contratações que não atendam as necessidades em termos de
segurança, confidencialidade e privacidade, além de flexibilidade que o setor público
exige.
Obrigado!
www.cpqd.com.br