Resolução SFP-41, de 05-08-21 – DOE 06-08-21
Dispõe sobre as regras gerais para o uso da computação em nuvem pública no âmbito da Secretaria da Fazenda e Planejamento.
O SECRETÁRIO DA FAZENDA E PLANEJAMENTO, considerando a Deliberação COETIC n° 01/2017, de 14 de março de 2017, que estabelece a política para o uso de computação em nuvem no âmbito da Administração direta, autárquica e fundacional do Estado de São Paulo;
Considerando as diretrizes, os objetivos e os princípios constantes da Resolução SFP-31, de 24 de maio de 2021, que instituiu a Política de Segurança da Informação no âmbito da Secretaria da Fazenda e Planejamento (Sefaz);
Considerando a necessidade de prover recursos de Tecnologia da Informação e Comunicação (TIC) de forma ágil e eficiente para a prestação de serviços à sociedade;
Considerando que a constante evolução da tecnologia leva a novos paradigmas para provimento de recursos e serviços de Tecnologia da Informação e Comunicação, dentre eles a computação em nuvem;
Considerando que a computação em nuvem permite o desenvolvimento de soluções que agregam valor em termos de efetividade e economicidade, sendo amplamente utilizada no setor privado e em diversas iniciativas na Administração Pública, resolve:
CAPÍTULO I - DISPOSIÇÕES GERAIS
Artigo 1º - Ficam instituídas as regras gerais para o uso da computação em nuvem pública no âmbito da Sefaz.
Artigo 2º - Para efeito do disposto nesta Resolução, entende-se por:
I - Acordo de nível de serviço: compromisso assumido pelo prestador de serviço perante o cliente, descrevendo o serviço envolvido, os níveis de qualidade garantidos, as responsabilidades do prestador de serviço e do cliente, e eventuais compensações quando os níveis de qualidade não forem atingidos;
II - Ativo de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
III - Computação em nuvem: prestação de serviço que permite acesso ubíquo, oportuno e sob demanda, a um conjunto compartilhado de recursos computacionais configuráveis capazes de serem rapidamente provisionados e disponibilizados;
IV - Confidencialidade: restrição de acesso ao ativo de informação somente a indivíduos, órgãos e entidades autorizados;
V - Disponibilidade: acesso ao ativo de informação conforme os parâmetros definidos contratualmente;
VI - Forma de prestação de serviço de nuvem: provimento do serviço realizado por meio de três modelos diferentes:
a. Infraestrutura como Serviço (IaaS): modelo de provimento que permite ao cliente implementar uma infraestrutura completa de TIC em nuvem;
b. Plataforma como Serviço (PaaS): modelo de provimento no qual o provedor fornece uma plataforma que permite ao cliente desenvolver, executar, implementar e gerenciar aplicações, sem a necessidade de elaborar, operar ou manter uma infraestrutura de TIC;
c. Software como Serviço (SaaS): modelo de provimento no qual o provedor do software se responsabiliza por toda a infraestrutura necessária à disponibilização do sistema e o cliente utiliza o software via internet, pagando um valor pelo serviço;
VII - Integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino;
VIII - Nuvem pública: modelo de provimento de computação em nuvem no qual um provedor disponibiliza recursos de TIC como um serviço para qualquer consumidor na internet, sendo esses recursos compartilhados com outros clientes do provedor;
IX - Provedor de serviço de nuvem: empresa contratada que
fornece plataformas, infraestrutura, aplicativos ou outros serviços de armazenamento de dados e hospedagem de sistemas por meio de computação em nuvem;
X - Recursos de TIC: Recursos de Tecnologia da Informação e Comunicação abrangendo:
a. Recursos Físicos, tais como rede de computadores, equipamentos de rede, servidores corporativos de rede, estações de trabalho, impressoras, dispositivos móveis, mídias de armazenamento e mídias de identificação;
b. Recursos Lógicos, tais como aplicativos, sistemas e aplicações, rede lógica, pastas de rede corporativa, caixa postal de correio eletrônico, listas de distribuição de e-mail, bases de dados, arquivos, documentos e demais informações em formato digital.
CAPÍTULO II - DISPOSIÇÕES ESPECÍFICAS
Seção I - Das Diretrizes Para Adoção de Serviços de Computação em Nuvem Pública
Artigo 3º - A utilização de serviços de computação em nuvem pública deverá ser direcionada pelos seguintes princípios:
I - Preservação dos requisitos de segurança da informação: devem ser tomadas medidas visando à manutenção da confidencialidade, disponibilidade e integridade de sistemas e informações, bem como a proteção das informações sigilosas e pessoais;
II - Gestão de riscos: antes de considerar o uso de computação em nuvem para hospedagem de sistemas, armazenamento de informações e uso de aplicações, deverão ser avaliados os possíveis riscos decorrentes de sua adoção, em cada caso;
III - Continuidade dos serviços: deverão ser adotados mecanismos e medidas que garantam a continuidade dos serviços hospedados em ambiente de nuvem;
IV - Uso preferencial de padrões abertos e aplicativos de mercado: deverá prevalecer, preferencialmente, a utilização de padrões abertos e aplicativos de mercado, em detrimento de soluções proprietárias, a fim de garantir a interoperabilidade e a portabilidade dos sistemas e das informações hospedados em nuvem, mitigando relações de dependência da Sefaz com o provedor do serviço;
V - Extraterritorialidade: os dados e informações hospedados em serviço de nuvem pública deverão estar sob a jurisdição das leis brasileiras, mesmo que residam foram do território nacional;
VI - Oportunidade e economicidade: deve-se levar em consideração a comparação de custos e benefícios da adoção de computação em nuvem frente a tecnologias semelhantes, visando prover soluções de forma ágil e econômica.
Artigo 4º - Poderão ser hospedados em serviços de nuvem pública quaisquer sistemas e informações da Sefaz, desde que previamente classificados quanto ao grau de sigilo das informações, observada a análise de riscos, conforme o caso, e de acordo com as restrições estabelecidas por esta Resolução.
Parágrafo único – A classificação em relação ao grau de sigilo indicada no caput deste artigo é de responsabilidade da unidade administrativa gestora da respectiva informação ou sistema.
Artigo 5º - Os sistemas e as informações hospedados em provedores de serviços de nuvem pública deverão ser protegidos por mecanismos de segurança adequados ao grau de sigilo requerido, de acordo com a classificação das informações.
Artigo 6º - Deverá ser elaborado um plano de continuidade de negócio para ambientes, sistemas ou serviços críticos da Sefaz hospedados em provedores de serviços de nuvem pública, incluindo estratégias para sua portabilidade e interoperabilidade.
Artigo 7º - A Política de Segurança da Informação e as demais normas internas da Sefaz que disciplinam a utilização de recursos e serviços de TIC deverão ser aplicadas quando da utilização de provedor de serviço de nuvem pública.
Seção II - Das Restrições ao Uso de Nuvem Pública
Artigo 8º - É vedado armazenar, processar ou hospedar em serviços de nuvem pública dados, documentos e informações que não estejam classificados em relação ao grau de sigilo.
Artigo 9º - A utilização, pelos usuários da Sefaz, de soluções e softwares de terceiros que estejam hospedados em provedores de nuvem pública depende de autorização do Departamento de Tecnologia da Informação (DTI).
SEÇÃO III - Da Contratação de Serviços de Nuvem Pública
Artigo 10 - O contrato de provimento de serviço de computação em nuvem pública compreenderá, dependendo da forma de prestação do serviço, cláusulas que estabeleçam:
I - Os acordos de nível de serviço prevendo disponibilidade, tempo de resposta, desempenho e tempo para correção de erros ou incidentes;
II - A previsibilidade de custos e um modelo de remuneração vinculada aos níveis de serviço estabelecidos, prevendo glosas no caso de descumprimento dos parâmetros mínimos;
III - As sanções no caso de descumprimento reiterado dos parâmetros mínimos de níveis de serviço estabelecidos;
IV - A responsabilidade do provedor do serviço na manutenção da confidencialidade e da integridade das informações armazenadas em seu ambiente;
V - O atendimento às normas e aos padrões de segurança da Sefaz, bem como a aderência às melhores práticas e aos padrões de segurança para provedores de serviço de nuvem pública;
VI - A manutenção da atualização e da segurança do ambiente computacional que suportará o objeto da contratação, incluindo controles de segurança, atualização de patches de segurança e gestão de vulnerabilidades, de modo a salvaguardar o ambiente computacional;
VII - A comunicação com antecedência razoável a respeito de mudanças programadas no ambiente, como forma de evitar indisponibilidade dos serviços;
VIII - A comunicação imediata à Sefaz sobre a ocorrência de incidentes de segurança em seu ambiente computacional que possam afetar a integridade, disponibilidade e confidencialidade das informações, incluindo a existência de vulnerabilidades relativas ao objeto da contratação;
IX - A responsabilidade do provedor em garantir o isolamento de recursos e dados contra acesso indevido por outros clientes;
X - Que o serviço a ser contratado permita a portabilidade de dados e aplicações, e que as informações da Sefaz estejam disponíveis para transferência de localização, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar a transição contratual;
XI - A responsabilidade do provedor e da Sefaz em relação à portabilidade dos dados, sistemas e informações hospedados no serviço de nuvem;
XII - A possibilidade de realização de auditorias de Segurança da Informação no ambiente de nuvem pela própria Sefaz ou por empresa acreditada, ou ainda o aceite, pela Sefaz, de certificação de Segurança da Informação baseada em norma amplamente aceita pelo mercado;
XIII - O expurgo seguro de quaisquer dados e informações da Sefaz ao término do contrato ou no descomissionamento de qualquer serviço utilizado;
XIV - Que as comunicações com tráfego de dados e informações restritas ou sigilosas sejam realizadas de forma segura;
XV - A prevalência da legislação brasileira sobre as leis internacionais, no caso de os dados e as informações da Sefaz ficarem armazenados ou hospedados fora do território nacional;
XVI - A adoção do foro brasileiro para dirimir quaisquer questões jurídicas relacionadas aos contratos firmados entre a Sefaz e o fornecedor do serviço, mesmo que os dados e os serviços estejam hospedados fora do território nacional, inclusive se a contratada não for a provedora do serviço de nuvem;
XVII - A proibição de acesso, manipulação e uso de quaisquer dados e informações da Sefaz pelo provedor do serviço de nuvem ou por terceiros não autorizados;
XVIII - A responsabilidade e o nível de acesso do provedor aos ativos físicos e virtuais, incluindo os dados armazenados no ambiente de computação disponibilizado para a Sefaz.
§ 1º - Para a seleção das cláusulas que constarão do contrato de provimento de serviço de computação em nuvem pública deverão ser consideradas, em cada caso, as condições aplicáveis à forma de prestação do serviço e suas especificidades.
§ 2º – Caso o contrato de que trata o caput deste artigo não seja firmado diretamente com o provedor de serviço de nuvem pública, a contratada deverá assegurar que todos os termos do contrato sejam cumpridos pelo provedor do serviço de nuvem pública.
CAPÍTULO III - RESPONSABILIDADES GERAIS
Artigo 11 – Cabe ao Departamento de Tecnologia da Informação (DTI), dependendo da forma de prestação dos serviços de nuvem pública e do objeto da contratação:
I - Avaliar a viabilidade e definir quais sistemas e informações poderão ser hospedados ou integrados a serviços hospedados em nuvem pública, observado o disposto nesta Resolução;
II - Prover equipe capacitada para administrar e operar o serviço de nuvem pública, quando aplicável;
III - Selecionar a forma de prestação de serviço de nuvem pública mais adequada, de acordo com a demanda;
IV - Realizar o gerenciamento e a governança do serviço de nuvem pública, quando aplicável;
V - Autorizar e prover apoio na contratação e na utilização de soluções e softwares de terceiros hospedados na nuvem;
VI - Definir o plano de arquitetura tecnológica e garantir a integridade da arquitetura dos serviços de tecnologia da informação mantidos pelo provedor de nuvem pública;
VII - Prover os mecanismos de segurança necessários para a comunicação e a integração entre os sistemas da Sefaz e a nuvem pública;
VIII - Administrar e operar o serviço de nuvem pública contratado pela Sefaz, quando aplicável;
IX - Monitorar, identificar, notificar os responsáveis e mitigar ameaças e ataques que possam comprometer a segurança dos ativos de tecnologia da informação implementados em serviços de nuvem pública;
X - Realizar auditorias periódicas, análise de risco e vulnerabilidade relativos à segurança da informação em ambiente de nuvem pública, quando aplicável;
XI - Zelar para que as políticas e normas da Sefaz sejam aplicadas no ambiente de nuvem pública;
XII - Monitorar a disponibilidade, integridade, confidencialidade e continuidade dos serviços e ativos de tecnologia da informação implementados em serviços de nuvem pública, quando aplicável;
XIII - Selecionar as cláusulas aplicáveis a cada contrato de provimento de serviço de computação em nuvem pública, de acordo com o § 1º do artigo 10 desta Resolução.
Artigo 12 – Cabe ao Departamento de Suprimentos e Infraestrutura (DSI):
I - Garantir que os contratos de provimento de serviço de computação em nuvem pública observem o disposto no artigo 10 desta Resolução, com o apoio do DTI;
II - Assegurar que as contratações de serviços de nuvem pública tenham sido previamente avaliadas e autorizadas pelo DTI.
Artigo 13 – Cabe às unidades demandantes de serviços de TIC:
I - Submeter à avaliação do DTI suas necessidades de aquisição de softwares e serviços de nuvem pública;
II - Administrar e operar o serviço de nuvem pública de uso restrito à sua unidade;
III - Reportar ao DTI a ocorrência de eventos adversos relacionados à utilização de serviços de nuvem pública.
CAPÍTULO IV - DISPOSIÇÕES FINAIS
Artigo 14 - Casos omissos nesta Resolução serão resolvidos pelo Comitê Gestor de Tecnologia da Informação (CGTI).
Artigo 15 – Esta Resolução entra em vigor na data de sua Publicação.
