O Ministério do Planejamento baixou no dia 12/5/2016, um novo manual de Boas Práticas, Orientações e Vedações para a Contratação de Serviço de Computação em Nuvem, onde, como o nome já sugere, diz o que pode e o que não pode ser contratado nesse tipo de serviço.

Ministério do Planejamento recomenda que os órgãos públicos só podem contratar nuvem com dados armazenados no Brasil

A primeira regra geral é que os dados devem necessariamente ser armazenados no território brasileiro. Essa previsão remete ao disposto na norma complementar 14, do Departamento de Segurança da Informação e Comunicações (DSIC), embora com o novo manual passa a ser expressamente vedada a contratação com armazenamento fora do Brasil.

A NC 14 já prever que “a legislação brasileira prevaleça sobre qualquer outra, de modo a ter todas as garantias legais enquanto tomadora do serviço e proprietária das informações hospedadas na nuvem”, a NC 14 já trazia desde 2012  uma série de outras recomendações.

Ainda assim, dos 25 órgãos públicos que já se valem de serviços de ‘nuvem’ na administração federeal, apenas 11 exigem armazenamento local de dados. Vai daí que o novo manual de boas práticas adotou uma redação direta sobre o tema:

“Os órgãos deverão exigir, por meio de cláusulas contratuais, em conformidade com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups), de modo que o contratante disponha de todas as garantias da legislação brasileira enquanto tomador do serviço e responsável pela guarda das informações armazenadas em nuvem.”

O manual também proíbe expressamente a contratação de salas-cofre pelos órgãos federais. O objetivo é cortar gastos. “A aquisição de salas-cofre e de equipamentos para montagem dessas salas não é a forma mais eficiente para a administração trabalhar. Precisamos racionalizar a compra de ativos, que cresceu muito nos últimos anos”, diz o secretário de tecnologia da informação, Cristiano Heckert.

O documento recomenda aos órgãos que privilegiem o modelo de nuvem híbrida. A contratação de fornecedores privadas é possível, desde que não envolva dados relacionados à segurança nacional – nesses casos, como previsto no Decreto 8135/13, tanto redes quando serviços de TI devem ser fornecidos dentro da administração (notadamente por Telebras e Serpro).