Page 1
Empresa de Tecnologia da Informação e Comunicação do Município de São Paulo CONTRATANTE-SP S/A
Avenida Francisco Matarazzo, 1500 - Torre Los Angeles Água Branca CEP 05001-100 – São Paulo – SP Tel.: (011) 3396- 9000 - Fax: (011) 3396- 9001
Contratação de Provedor de Nuvem Publica
DIRETORIA DE INFRAESTRUTURA E TECNOLOGIA
Maio /2016
Page 2
DIT/GIS Termo de Referência Nuvem Publica 2/26
1. Objetivo/Especificações técnicas/Quantidade
1.1. Contratação de serviço de Computação em Nuvem, composto por
Infraestrutura Computacional como Serviço (IaaS), para ambiente de
Produção e os sistemas descritos no plano de continuidade do negócio
por um período de 12 (Doze) meses.
2. Especificações do Objeto
2.1. Os serviços de computação em Nuvem descritos neste termo de
referência estabelecem padrões de desempenho e de qualidade para
diferentes perfis de serviços de infraestrutura como serviço (IaaS) e define
as suas características de forma objetiva.
2.2. Tabela de Composição dos Itens
2.2.1. Tabela de Recursos Computacionais máximos a serem utilizados na
vigência do contrato deste Termo de Referência:
Tabela de Serviços de Recursos Computacionais em Nuvem
Itens Serviços Componentes Unidade de
Medida Quantidade
Máxima Anual
Item 1
Instancia Virtual
Processamento Virtual
vCPU/hora
Memória Ram Virtual
vRAM (GB)/hora
Item 2
Armazenamento Armazenamento de Dados na Nuvem
GB/mês
Item 3
Rede Internet GB/mês
Tabela 1 - Recursos Computacionais em Nuvem
Page 3
DIT/GIS Termo de Referência Nuvem Publica 3/26
2.2.2. Glossário:
2.2.2.1. Computação em Nuvem :Computação em Nuvem é um
modelo que permite acesso ubíquo, conveniente e sob demanda,
através da rede, a um conjunto compartilhado de recursos
computacionais configuráveis (por exemplo: redes, servidores,
armazenamento, aplicações e serviços), que podem ser
rapidamente provisionados e disponibilizados com o mínimo de
esforço de gerenciamento ou de interação com o provedor de
serviços.
2.2.2.2. Características da Computação em Nuvem ;
2.2.2.2.1. Auto-provisionamento sob demanda (“on-demand
self-service”): o consumidor pode ter a
iniciativa de provisionar recursos na nuvem, e ajustá-los de
acordo com as suas necessidades ao decorrer do tempo, de
maneira automática, sem a necessidade de interação com
cada provedor de serviços.
2.2.2.2.2. Acesso amplo pela rede (“broad network access”):
os recursos da nuvem estão disponíveis para acesso pela
rede por diferentes dispositivos (tais como: estações de
trabalho, tablets e
smartphones) através de mecanismos padrões;
2.2.2.2.3. Compartilhamento através de pool de recursos
(“resource pooling”): Os recursos computacionais do
provedor são agrupados para servir a múltiplos
consumidores (modelo multitenant), com recursos físicos e
virtuais sendo alocados e realocados dinamicamente, de
acordo com a demanda dos seus consumidores. Há uma
ideia geral de independência de localização, uma vez que o
cliente geralmente não possui controle ou conhecimento
sobre a localização exata dos recursos providos. No entanto,
é possível especificar este local em um nível mais alto de
Page 4
DIT/GIS Termo de Referência Nuvem Publica 4/26
abstração (por exemplo: país, estado, ou data center). Os
serviços são concebidos como um padrão, com a finalidade
de atender à demanda de vários consumidores de maneira
compartilhada, não sendo focados em necessidades
customizadas de um único consumidor.
2.2.2.3. Rápida elasticidade: os recursos podem ser elasticamente
provisionados e liberados, e, em alguns casos, de maneira
automática, adaptando-se à demanda. Do ponto de vista do
consumidor, os recursos disponíveis para provisionamento
parecem ser ilimitados, podendo ser alocados a qualquer hora e
em qualquer volume.
2.2.2.4. Serviços medidos por utilização (“measured service”): os
serviços de computação em nuvem automaticamente controlam e
otimizam a utilização de recursos, através de mecanismos de
medição utilizados em nível de abstração associado ao tipo de
serviço utilizado (por exemplo: armazenamento, processamento,
largura de banda, e contas de usuário ativas). A utilização dos
recursos pode ser monitorada, controlada e reportada,
fornecendo transparência tanto para provedores como para
consumidores. Portanto, a precificação, se houver, será balizada
pelo uso dos serviços.
2.2.3. Nuvem Pública: A infraestrutura de nuvem pública está disponível
para uso aberto do público em geral e fica nas instalações do
provedor. A sua propriedade, gerenciamento e operação podem ser
de uma empresa, uma instituição acadêmica, uma organização do
governo, ou de uma combinação desses.
2.2.4. Nuvem Privada: A infraestrutura de nuvem privada está disponível
para uso exclusivo por uma única organização. Sua utilização,
gerenciamento e operação podem ser feitos pela própria organização,
terceiros, ou por uma combinação dos dois, e pode estar localizada
em suas dependências ou fora delas. No entanto, o cliente terá
Page 5
DIT/GIS Termo de Referência Nuvem Publica 5/26
controle sobre sua localização geográfica, o que a faz tornar atrativa
para dados ou sistemas com restrições de acesso ou que são de
missão crítica.
2.2.5. Nuvem híbrida: A infraestrutura de nuvem é uma composição de
duas ou mais infraestruturas de nuvem (privada, comunitária, ou
pública), interligadas por tecnologias padronizadas ou proprietárias
que permitem portabilidade de aplicações e de dados entre as
nuvens.
2.2.6. Software como um Serviço (Software as a Service - SaaS): São
as aplicações do fornecedor executadas em uma infraestrutura de
nuvem (conforme as cinco características de computação em nuvem),
disponíveis ao consumidor. As aplicações podem ser acessadas por
vários dispositivos clientes, tais como um navegador web ou um
software cliente. O consumidor não gerencia nem controla a
infraestrutura da nuvem associada ao serviço, incluindo rede,
servidores, sistemas operacionais, armazenamento, ou mesmo
recursos individuais da aplicação. Para este último, há a possível
exceção de restritas configurações de aplicação, específicas a
usuário.
2.2.7. Plataforma como um Serviço (Platform as a Service - PaaS): O
recurso fornecido ao consumidor são linguagens de programação,
bibliotecas, serviços e ferramentas de suporte ao desenvolvimento de
aplicações, para que o consumidor possa implantar, na infraestrutura
da nuvem, aplicativos criados ou adquiridos por ele. O consumidor
não gerencia nem controla a infraestrutura subjacente da nuvem
(rede, servidores, sistema operacional, banco de dados ou
armazenamento), mas tem controle sobre as aplicações implantadas
e possivelmente sobre as configurações do ambiente que hospeda as
aplicações.
2.2.8. Infraestrutura como um Serviço (Infrastructure as a Service -
IaaS): É o provisionamento de processamento, armazenamento,
Page 6
DIT/GIS Termo de Referência Nuvem Publica 6/26
comunicação de rede e outros recursos de computação fundamentais
pelo fornecedor, nos quais o consumidor pode instalar e executar
softwares em geral, incluindo sistemas operacionais e aplicativos. O
consumidor não gerencia nem controla a infraestrutura subjacente da
nuvem, mas tem controle sobre os sistemas operacionais, espaço de
armazenamento, e aplicativos instalados, e possivelmente possui
controle limitado sobre a alguns componentes de rede (como
firewalls).
2.2.8.1. Elasticidade: Permitem aumentar ou reduzir de forma
simples e dinâmica, sem interrupções e em tempo de execução,
a quantidade de recursos computacionais utilizados, suprindo,
desta forma, momentos de picos de demanda.
2.2.8.2. Confidencialidade: Propriedade que limita o acesso à
informação somente às entidades autorizadas pelo proprietário
da informação.
2.2.8.3. Integridade: Propriedade que assegura que a informação
manipulada mantém todas as características originais
estabelecidas pelo proprietário da informação.
2.2.8.4. Disponibilidade: Propriedade que garante que a informação
esteja sempre disponível para o uso dos usuários autorizados
pelo proprietário da informação.
2.2.8.5. Autenticidade: Propriedade que garante que a informação
provém da fonte anunciada e que não foi alterada no decorrer de
um processo.
2.2.8.6. Classificação de data centers em Tiers de acordo com a
norma TIA 942: A classificação Tier adotada em data centers foi
desenvolvida pelo Uptime Institute, nos EUA, é usada desde
1995 e tem reconhecimento mundial. Os níveis de
disponibilidade associados às classificações Tier foram
determinados por meio de resultados de análises de
disponibilidade de data centers reais.
Page 7
DIT/GIS Termo de Referência Nuvem Publica 7/26
2.2.8.7. Tier III: Data Center paralelamente sustentável que possui
componentes de capacidade redundantes e múltiplas rotas
independentes de distribuição (energia e conexão de dados) que
servem o ambiente crítico. Apenas uma rota de distribuição é
necessária para servir o ambiente crítico em qualquer momento.
Qualquer componente nas rotas de distribuição pode ser
interrompido sem impactar qualquer equipamento do ambiente
crítico. A disponibilidade para o Tier III é de 99,982%.
2.2.8.8. Recursos Computacionais: São os elementos
computacionais memoria, disco, rede e ou um conjunto deles,
utilizados nos ambientes de Computação em Nuvem.
2.2.9. Plano de Transição de Serviço: O Plano de Transição de Serviço
fornece orientações para o desenvolvimento e melhoria de
capacidades para a transição de serviços novos e modificados para
operações. Esta publicação fornece orientação sobre como as
exigências de Estratégia de Serviço codificado em Design de Serviços
são efetivamente realizados em Operações de Serviço ao controlar os
riscos de falha e ruptura. A publicação combina práticas em
gerenciamento de liberação, programa gestão e
gestão de risco e coloca-os no contexto da prática de Gerenciamento
de Serviço. Ele fornece orientações sobre o gerenciamento da
complexidade relacionada a alterações nos serviços e processos de
gerenciamento de serviços, evitando consequências indesejáveis,
permitindo a inovação. Orientação é fornecida sobre a transferência
do controlar de serviços entre clientes e provedor de serviços.
2.3. Fontes: Acórdão 1739/2015-TCU-Plenário;
2.3.1. National Institute of Standards and Technology – NIST;
2.3.2. Uptime Institute Professional Services – Data Center Site
Infrastructure Tier Standard;
2.3.3. ITIL V3 - Transição de Serviço.
Page 8
DIT/GIS Termo de Referência Nuvem Publica 8/26
2.4. Detalhamento dos Itens:
2.4.1. Item I - Instância Virtual:
2.4.1.1. É um serviço web que fornece capacidade de computação
em diferentes dimensões e diferentes performances, definidas
pela capacidade de processamento, memória reservada e
armazenamento alocado.
2.4.1.2. A Unidade de medida da Instância na Nuvem é uma medida
para dimensionar a capacidade computacional disponibilizada
pela CONTRATADA. Essa unidade será usada pela
CONTRATANTE para requisição e apuração de disponibilização
do serviço.
2.4.1.3. A referência padrão para 1 (uma) Unidade de Instância
virtual na Nuvem é a configuração de uma Instância Virtual com
no mínimo 1 (uma) vCPU, 1 (um) GB de memória virtual
reservada, disco para área de boot, sistema operacional e
interfaces de redes virtuais.
2.4.1.4. O recurso de processamento é definido por vCPU (virtual
CPU). Para este projeto a definição de vCPU corresponde a 1
(um) thread de um core (núcleo) de CPU (socket processador)
virtual.
2.4.1.5. O recurso de memória virtual corresponde a quantidade de
memória RAM reservada para a Instância Virtual.
2.4.1.6. Para cada máquina está disponível uma área de no mínimo
50 GB de disco para carregar o sistema operacional da Instância
Virtual (disco de boot).
2.4.1.7. Cada Instância Virtual poderá ter os seguintes sistemas
operacionais: Microsoft Windows (em versões suportadas pelo
fabricante) ou Red Hat Linux (em versões suportadas pelo
fabricante) ou CentOS ou Ubuntu. No caso das opções de
sistema operacional da Microsoft e Red Hat, a CONTRATADA
Page 9
DIT/GIS Termo de Referência Nuvem Publica 9/26
poderá ou não prover licenças e/ou subscrições necessárias (por
decisão da CONTRATANTE).
2.4.2. Item II - Armazenamento
2.4.2.1. Armazenamento de Nuvem é um serviço para disponibilizar
volumes de armazenamento (bloco ou objetos) para serem acessadas
pela Instância Virtual e/ou suas aplicações.
2.4.2.2. A unidade de medida para o Armazenamento em Nuvem é uma
medida para dimensionar a capacidade de armazenamento
disponibilizada pela CONTRATADA. Essa unidade será usada pela
CONTRATANTE para requisição e apuração de disponibilização do
serviço.
2.4.2.3. A referência padrão com no mínimo 1 (uma) Unidade de
Armazenamento em Nuvem foi de um bloco de 1 GB (um gigabyte) de
TIPO SAS, SSD ou Híbrido.
2.4.2.4. Os volumes devem oferecer capacidade de snapshots duráveis
que podem ser usados em conjunto com o serviço de Backup em
Nuvem.
2.4.2.5. O tipo de Armazenamento em Nuvem na modalidade objetos deve
permitir o armazenamento de objetos com os recursos de gravação,
leitura e exclusão de objetos.
2.4.2.6. Os objetos podem ter até 5 (cinco) terabytes de tamanho.
2.4.2.7. O Armazenamento em Nuvem na modalidade de objetos deve
prover recurso de versionamento para preservar, recuperar e restaurar
todas as versões de cada objeto armazenado.
2.4.2.8. O Armazenamento em Nuvem deverá oferecer capacidade de
cifragem dos dados.
Page 10
DIT/GIS Termo de Referência Nuvem Publica 10/26
2.4.3. Item III - Serviço de Rede
2.4.3.1. O Serviço de Rede prevê dois tipos de prestação de serviço:
2.4.3.1.1. Acesso bidirecional à internet com cobrança através
de franquia mínima de consumo para as instancias virtuais
criadas na Nuvem Publica da CONTRATANTE.
2.4.3.1.1.1. A referência padrão para 1 (uma) Unidade de
Serviço de Rede é a de no mínimo um link de acesso a
internet com uma franquia mínima de consumo de
1GBytes de dados por mês de tráfego de internet.
2.4.3.1.1.2. Caso a franquia mínima de 1Gbyte por mês seja
ultrapassada, deverá ser cobrado uma nova franquia de
1Gbyte por mês.
2.4.3.1.1.3. Os enlaces de internet não podem possuir
nenhum tipo de restrição de uso, com a disponibilidade
de 99,99% de operação, sem limite de quantidade e
nem restrição de tipo de dados trafegados, porta lógica
ou serviço.
2.4.3.1.2. O Serviço de Rede entre as instancias virtuais
provisionadas e/ou os elementos de rede alocada na rede
privada do ambiente de Nuvem Publica, provisionada pela
CONTRATANTE, sem custo adicional.
2.4.3.1.2.1. O serviço de Rede entre as instancias virtuais
não deverá sofrer bilhetagem, nem mesmo entrar nos
relatório de cobrança de utilização da Nuvem Publica.
2.4.3.1.2.2. O serviço de rede pode ser um balanceamento
de carga com o intuito de que a instância obtenha uma
melhor capacidade de resposta no momento da
requisição.
2.4.3.1.2.3. O sistema de balanceamento de carga deve ter
os seus componentes dedicados para uso exclusivo na
Page 11
DIT/GIS Termo de Referência Nuvem Publica 11/26
Nuvem Publica da CONTRATANTE. Deve prover
arquitetura redundante sem ponto único de falha.
2.4.3.1.2.4. O serviço de balanceamento de carga pode ser
utilizado para o escopo interno (acesso entre servidores
na nuvem) ou externo acesso vindo da rede mundial de
computadores.
2.4.3.1.2.5. A unidade de serviço de rede deve prover os
recurso de Web Application Firewall, defesas de DDoS,
técnicas de detecção e mitigação, patching virtual, e
visibilidade granular dos ataques para proteger de
ameaças mais sofisticadas antes que eles atinjam os
servidores.
2.4.3.1.2.6. O serviço de Rede deve prover recursos de
firewall e oferecer a capacidade de inspeção do tráfego
além da analise do acesso de rede. Ao analisar a
comunicação na camada 7 deve identificar possíveis
ataques contextualizando e ponderando o tipo de
aplicação e o usuário, além de origem e destino.
2.4.3.1.2.7. A critério da CONTRATANTE poderá ser
adicionado ao item de Serviço de Rede a adição do
serviço extras solicitando Balanceador de Carga,
Firewall de Aplicação, Firewall de Rede ou qualquer
outro serviço e/ou dispositivo que possa ser inserido
neste contexto de Serviço de Rede sem custo adicional.
Page 12
DIT/GIS Termo de Referência Nuvem Publica 12/26
2.5. Requisitos da Plataforma de Computação em Nuvem:
2.5.1. Requisitos funcionais
2.5.1.1. A plataforma deve prover acesso seguro via link dedicado,
VPN para gestão administrativa do ambiente sendo acessado de
qualquer ponto da rede mundial de computadores.
2.5.1.2. A CONTRATADA deve prover link dedicado com no máximo
de 4(quatro) milisegundos para a CONTRATANTE acessar a
plataforma de computação em Nuvem Publica solicitadas neste
termo para realizar a gestão e administração do ambiente de
Nuvem Publica.
2.5.1.3. A proposta técnica deve identificar de forma clara a
apresentação de evidencias de como a CONTRATADA irá
prestar os serviços definidos neste Termo, detalhando ao
máximo todas as solicitações e das soluções que serão utilizadas
pela CONTRATANTE.
2.5.2. Requisitos de Auditoria
2.5.2.1. A CONTRATATANTE pode solicitar copias dos processos de
certificações que a CONTRATADA possuir para serem
analisados pelos auditores designados pela CONTRATANTE;
2.5.2.2. A CONTRATANTE pode efetuar auditorias e diligencias, para
se certificar que os termos deste edital estejam sendo
executados;
2.5.2.3. O direito de auditoria aplica-se também aos agentes e
subcontratados (se houver) para fins de cumprimento das
obrigações da CONTRATADA nos termos deste Contrato
2.5.3. Requisitos de Gestão Operacional da Nuvem
2.5.3.1. Todos os serviços da plataforma devem ser gerenciados de
forma computacional, não dependendo de ação humana, a
Page 13
DIT/GIS Termo de Referência Nuvem Publica 13/26
CONTRATANTE deve apresentar os devidos procedimentos
comprobatórios para tal gerenciamento.
2.5.3.2. A Plataforma deve prover mecanismos de monitoração de
métricas das máquinas virtuais, tais como: quantidade de
acessos, erros, utilização de CPU, leitura e escrita em disco,
porcentagem de disponibilidade do serviço;
2.5.3.3. A Plataforma deve prover mecanismos de automação de
gestão de Instância virtuais e rede, com serviços de criação,
inicialização, paralização e remoção de máquinas
automaticamente através de execução de script ou ferramenta de
orquestração;
2.5.3.4. A Plataforma deve prover mecanismos de alertas baseados
no gerenciamento de métricas. Caso uma métrica (uso de disco,
processamento, armazenamento, memoria e rede) exceda certo
valor, um alerta deve ser gerado e um e-mail enviado para
usuários definidos;
2.5.3.5. A Plataforma deve prover mecanismos de configuração de
escala automática (para cima ou para baixo), sendo possível que
máquinas virtuais sejam ligadas ou desligadas automaticamente,
baseadas no valor de métricas como processamento de CPU,
memoria RAM ou fila de requisições;
2.5.3.6. A Plataforma deve prover múltiplos acessos de forma segura
via tokens e/ou senhas, e criação e/ou remoção de qualquer
elemento de forma simultânea executados por diferentes
usuários.
2.5.3.7. A Plataforma deve prover gerenciamentos de identidades,
delegando diferentes tipos de acesso aos usuários, deve prover
trilhas de auditoria para todos os eventos da plataforma.
2.5.4. Requisitos de Gestão da Segurança da Informação
Page 14
DIT/GIS Termo de Referência Nuvem Publica 14/26
2.5.4.1. O provedor de serviços de infraestrutura deve proteger o
acesso às informações e unidades processamento.
2.5.4.1.1. Plataforma deve prever medidas para garantir a
proteção dos dados, antecipando ameaças à privacidade,
segurança e integridade, prevenindo acesso não autorizado
as informações.
2.5.4.1.2. A plataforma deve possibilitar especificar a localização
geográfica dos dados e Instâncias virtuais utilizados;
2.5.4.1.3. A plataforma deve possibilitar comunicação cifrada na
transferência de dados;
2.5.4.1.4. Os dados devem possibilitar ser cifrados na
armazenagem;
2.5.4.1.5. Os dados devem ser armazenados de uma forma a
impedir que clientes em um mesmo datacenter tenham
acesso aos dados. Os mesmos devem ser independentes;
2.5.4.1.6. Todos os serviços da plataforma devem ser
gerenciados de forma computacional, não dependendo de
ação humana;
2.5.4.1.7. Plataforma deve passar semestralmente por testes de
segurança interna e/ou auditorias (incluindo verificação de
vulnerabilidades, avaliação de segurança dos serviços e
testes de penetração) sendo estes relatórios disponibilizados
a CONTRATANTE;
2.5.4.1.8. Todos os Incidentes de Segurança da Informação da
Informação da CONTRATADA devem ser comunicados e
encaminhados ao Grupo de Resposta de Incidente da
CONTRATANTE;
2.5.4.1.9. A CONTRATANTE poderá a seu critério efetuar
diligencia para auditoria interna, possa avaliar seus
processos de segurança da Informação.
Page 15
DIT/GIS Termo de Referência Nuvem Publica 15/26
2.5.4.1.10. A CONTRATANTE deverá seguir os controles e
melhores praticas exigidas na família da Norma ISO27001.
2.5.4.1.11. Oferecer garantias de deleção das informações ao fim
do contrato;
2.5.4.1.12. Lista dos mecanismos de segurança da Informação
utilizados pela CONTRATANTE.
2.6. Dinâmica de Execução
2.6.1. Após assinatura do contrato os recursos computacionais descritos
no Item deste dito Termo, devem ser disponibilizados para sua
utilização 24(Vinte e Quatro) horas após a assinatura do contrato,
2.6.2. Será solicitado via portal de provisionamento da plataforma de
Gestão da Nuvem e/ou Via API disponibilizada pela CONTRATADA
para a CONTRATANTE;
2.7. Modelo de Remuneração
2.7.1. Os serviços descritos nos itens da tabela 2.2.1 deste Termo de
Referencia devem ser precificados no modelo "pago pelo uso"
conforme itens abaixo:
2.7.1.1. Para o item 1 (VCpu e VRAM), os serviços de Infraestrutura
de Nuvem Publica utilizados pelo CONTRATANTE devem ser
cobrados por hora de utilização de recursos computacionais para
cada item provisionado.
2.7.1.1.1. A cobrança do processamento da máquina virtual deve
ser parada quando a máquina estiver desligada;
2.7.1.2. Para o item 2 (Armazenamento), os serviços de Infraestrutura
de Nuvem Publica utilizados pelo CONTRATANTE devem ser
cobrados por configuração provisionada.
2.7.1.2.1. Os serviços descritos no item 2 devem ser cobrados
pela sua alocação, ou seja, em caso de desalocação este
Page 16
DIT/GIS Termo de Referência Nuvem Publica 16/26
recurso deve ser contabilizado somente até o momento da
desalocação.
2.7.1.3. Para o item 3 (recurso de Rede), os serviços de Infraestrutura
de Nuvem Publica utilizados pelo CONTRATANTE devem ser
cobrados por recurso utilizados e/ou consumido.
2.7.1.3.1. Os serviços descritos no item 3 deste Termo de
Referencia devem ser precificados no modelo "pago item
por mês" e devem ser contabilizado "total de item consumido
por mês".
2.7.2. A CONTRATADA deverá entregar o Relatório Mensal de utilização
dos recursos computacionais em nuvem utilizados, anexando
evidências dos níveis de serviços alcançados no período.
2.7.3. A homologação do Relatório Mensal estará sujeita à aprovação pela
CONTRATANTE que emitirá o respectivo aceite.
2.7.4. A CONTRATADA deverá ser comunicada, até o 5º (quinta) dia útil
após a entrega do Relatório Mensal, por meio do Relatório de
Serviços, informando o total a ser faturado, assim como as glosas e
descontos aplicados, devendo a mesma apor a ciência e devolver ao
Gestor juntamente com a nota de cobrança.
2.7.5. As glosas poderão ser aplicadas, quando não atenderem ao
resultado esperado, nos seguintes casos:
2.7.6. No Acordo de Nível de Serviço aplicáveis mensalmente sobre cada
resultado que não atingir as metas previstas para cada indicador.
2.7.7. O faturamento deverá ser mensal, mediante apresentação de nota
de cobrança consolidada, determinando o total aprovado pela
CONTRATANTE, e já descontadas as glosas aplicadas em função do
não atendimento dos níveis de qualidade definidos nas Ordens de
Serviços e das metas e indicadores.
2.7.8. No caso de discordância das glosas aplicadas numa Ordem de
Serviço, a CONTRATADA deverá apresentar o recurso com as
Page 17
DIT/GIS Termo de Referência Nuvem Publica 17/26
justificativas que será analisado pelas áreas demandantes e gestoras
envolvidas.
2.8. Unidades de Medida do Serviço
2.8.1. As unidades de medida foram definidas diferentes unidades para
realizar a demanda, contabilização e remuneração.
2.8.2. Para medição mensal será utilizado como base 730 horas mensais.
2.9. Níveis Mínimo de Serviço
2.9.1. O serviço será medido com base em indicadores de níveis
específicos, para os quais serão estabelecidas metas e faixas de
atendimento;
2.9.2. A apuração dos indicadores será feita a partir do próprio sistema de
administração da Nuvem Publica e/ou de ferramenta de
monitoramento dedicadas/proprietárias ou ainda por qualquer outro
recurso disponível, sendo que nesse último caso, o recurso utilizado
para medição deve ser validado previamente pelas partes;
2.9.3. As medições serão realizadas ao final de cada mês,
compreendendo o período entre o primeiro e o último dia, exceto no
mês de assinatura do contrato, no qual a medição compreenderá os
serviços realizados entre a data de início da prestação do serviço e o
último dia do mês, bem como no último mês de vigência do contrato,
em que se medirá o serviço prestado entre o primeiro dia deste mês e
a data de encerramento do contrato;
2.9.4. Os indicadores relativos ao tempo para solução de incidentes e
requisições serão calculados levando em consideração o horário de
prestação do serviço contratado e a data/hora de registro inicial. No
cálculo desses indicadores, serão desconsiderados os períodos em
que as demandas estiveram fora do horário de prestação do serviço
contratado ou não estiveram sob a responsabilidade da
CONTRATADA. Para tanto, a suspensão e o repasse deverão
Page 18
DIT/GIS Termo de Referência Nuvem Publica 18/26
observar estritamente as condições e os procedimentos estabelecidos
pela CONTRATADA;
2.9.5. O Atendimento às solicitações críticas que estejam sob
responsabilidade da CONTRATADA não poderá ser interrompido até
o restabelecimento do serviço ou a aplicação de solução de contorno,
mesmo que se estenda para além do horário de prestação do serviço
contratado. Nesse caso, não poderão acarretar custos adicionais a
CONTRATANTE. A interrupção de atendimento desse tipo que não
tenha sido previamente autorizada pela equipe da CONTRATANTE
poderá ensejar a aplicação de penalidades;
2.9.6. A CONTRATANTE poderá, a seu exclusivo critério, definir tipos de
requisições a serem desconsideradas nos cômputos dos
compromissos de tempo de solução, como possíveis erros de
hardware, falhas e erros de softwares/sistemas ou ações decorrentes
da prestação de serviço de representantes técnicos oficiais,
fabricantes e/ou terceiros;
2.9.7. Os Indicadores que serão considerados para a prestação do serviço
da Nuvem Publica, deverá estar de acordo com a Tabela de
Indicadores de Nível de Serviço;
2.9.8. Tabela de Indicadores
TABELA 2 - INDICADORES DE NÍVEIS DE SERVIÇO
Item
Indicador
es de
níveis de
serviço/m
ês
Unida
de de
medid
a
Forma de Cálculo Meta
Page 19
DIT/GIS Termo de Referência Nuvem Publica 19/26
INS-DC-
1
Disponibili
dade da
Nuvem
Publica
% (Total de tempo com
disponibilidade no mês) /
(Total do tempo no mês –
Tempo fora do escopo de
responsabilidade da
contratada) X 100
>99,7
INS-DC-
2
Índice de
resolução
de
incidentes
de
criticidade
alta.
% (Total de incidentes de
criticidade alta resolvidos
em até 2 horas do seu
recebimento (mês) / Total
de incidentes de criticidade
alta recebidos (mês)) X 100
>= 95
INS-DC-
3
Índice de
resolução
de
incidentes
de
criticidade
média.
% (Total de incidentes de
criticidade alta resolvidos
em até 8 horas do seu
recebimento (mês) / Total
de incidentes de criticidade
alta recebidos (mês)) X 100
>= 95
INS-DC-
4
Índice de
resolução
de
incidentes
de
criticidade
baixa.
% (Total de incidentes de
criticidade alta resolvidos
em até 24 horas do seu
recebimento (mês) / Total
de incidentes de criticidade
alta recebidos (mês)) X 100
>= 95
3. Critérios de Habilitação
3.1. ATESTADO DE CAPACIDADE TÉCNICA: documento (s) expedido (s) por
pessoa jurídica de direito público ou privado, comprovando que a Licitante
Page 20
DIT/GIS Termo de Referência Nuvem Publica 20/26
executou e/ou está executando, a contento, serviço técnico de
sustentação de ambiente de Provedor de Serviço de Nuvem devendo o(s)
documento(s) conter o nome, endereço, telefone dos atestadores ou
qualquer outra forma de que a CONTRATANTE possa valer-se para
manter contato com os declarantes.
3.1.1. O(s) atestado(s) apresentado(s) deverá comprovar a execução, de
serviços de sustentação em um ambiente tecnológico que possua em
no mínimo os seguintes certificados e requisitos:
3.1.1.1. Certificados e/ou em Conformidade com as normas nacionais
e internacionais: Norma ABNT NBR ISO/IEC 27.001:2005,
Certificação TIER III em design facilities e/ou operation,
Certificação SSAE 16/ISAE 3402 e HIPAA.
3.1.1.2. Atestar que possui no mínimo 2 (dois) Datacenter no
Território Nacional onde serão prestados os serviços.
4. Obrigações do CONTRATANTE
4.1.1. Prestar, por meio de seu Gestor do Contrato, as informações e os
esclarecimentos pertinentes ao serviço contratado que venham a ser
solicitados pela CONTRATADA;
4.1.2. Registrar os incidentes e problemas ocorridos durante a execução
do Contrato;
4.1.3. Disponibilizar ferramenta para registro, acompanhamento e controle
das solicitações, sendo facultado à CONTRATADA utilizar ferramenta
própria, desde que aprovada pela CONTRATADA e sem que isso
implique acréscimos dos preços contratados;
4.1.4. Comunicar oficialmente à CONTRATADA sobre quaisquer falhas
verificadas na fiscalização do cumprimento do serviço prestado;
4.1.5. Exercer permanente fiscalização na execução do serviço,
registrando ocorrências relacionadas com a execução do objeto
Page 21
DIT/GIS Termo de Referência Nuvem Publica 21/26
contratado e determinando as medidas necessárias à regularização
dos problemas observados;
5. Obrigações da CONTRATADA
5.1.1. Prestar o serviço contratado conforme especificações, quantidades,
prazos e demais condições estabelecidas no Edital e em seus
Anexos;
5.1.2. Utilizar melhores práticas, capacidade técnica, materiais,
equipamentos, recursos humanos e supervisão técnica e
administrativa, para garantir a qualidade do serviço e o atendimento
às especificações contidas no Contrato, Edital e em seus Anexos;
5.1.3. Seguir as instruções e observações efetuadas pelo Gestor do
Contrato, e fiscais técnicos, bem como reparar, corrigir, remover,
reconstruir ou substituir às suas expensas, no todo ou em parte,
serviços efetuados em que se verificarem vícios, defeitos ou
incorreções;
5.1.4. Reportar formal e imediatamente ao Gestor do Contrato quaisquer
problemas, anormalidades, erros e irregularidades que possam
comprometer a execução do serviço;
5.1.5. Prestar as informações e os esclarecimentos que venham a serem
solicitados pelos técnicos da CONTRATANTE, referentes a qualquer
problema detectado ou ao andamento de atividades previstas;
5.1.6. Detalhar e repassar, conforme orientação e interesse da
CONTRATANTE, o conhecimento técnico utilizado na execução do
serviço contratado;
5.1.7. Indicar Preposto e cuidar para que esse mantenha permanente
contato com o Gestor do Contrato e adote as providências requeridas,
além de comandar, coordenar e controlar a execução do serviço
contratado, inclusive os seus profissionais;
Page 22
DIT/GIS Termo de Referência Nuvem Publica 22/26
5.1.8. Recrutar e selecionar os profissionais necessários à realização do
serviço, de acordo com a qualificação técnica adequada;
5.1.9. Providenciar e manter qualificação técnica adequada dos
profissionais que prestam serviço para a CONTRATANTE;
5.1.10. Planejar, desenvolver, implantar, executar e manter o objeto
do contrato dentro dos níveis de serviço exigidos e indicadores;
5.1.11. Responsabilizar-se integralmente pela sua equipe técnica,
primando pela qualidade, desempenho, eficiência e produtividade,
visando à execução dos trabalhos durante todo o Contrato, dentro dos
prazos estipulados, sob pena de ser considerada infração passível de
aplicação de penalidades previstas, caso os prazos, níveis,
indicadores e condições não sejam cumpridas;
5.1.12. Responsabilizar-se pela conservação dos ambientes da
CONTRATANTE em que desempenhe o serviço contratado;
5.1.13. Elaborar e apresentar, mensalmente, Relatório Gerencial das
Ordens de Serviços executadas, contendo detalhamento dos níveis
de serviço executados em confronto aos exigidos e as eventuais
justificativas no caso de desempenho inferior ao padrão esperado e
demais informações necessárias ao acompanhamento e avaliação da
execução do serviço.
5.1.14. Manter sigilo, sob pena de responsabilidade civil, penal e
administrativa, sobre todo e qualquer assunto de que tomar
conhecimento em razão da execução do objeto do Contrato,
respeitando todos os critérios de sigilo, segurança e inviolabilidade, e
aplicáveis aos dados, informações, regras de negócios, documentos,
entre outros, e ao Termo de Confidencialidade da Informação ;
5.1.15. Entregar o Termo de Confidencialidade da Informação (do
qual trata o item anterior) assinado concomitantemente com o
contrato;
Page 23
DIT/GIS Termo de Referência Nuvem Publica 23/26
5.1.16. Cumprir e garantir que seus profissionais estejam cientes de
acordo com o Termo de Confidencialidade da Informação, e às
normas e aos procedimentos estabelecidos na Política de Segurança
da Informação da CONTRATANTE;
6. DA TRANSFERÊNCIA DE CONHECIMENTO
6.1. A CONTRATADA deverá transferir para a equipe técnica designada pelo
CONTRATANTE a respeito dos conhecimentos relativos à Solução e as
melhores práticas para sua administração.
6.2. A CONTRATANTE devera efetuar treinamentos, workshops e
alinhamentos técnicos totalizando 220hrs;
6.2.1. Compreendem melhores práticas, o conhecimento necessário para:
6.2.1.1. Instalação, configuração e manutenção do ambiente.
7. MULTAS E PENALIDADES
7.1. a) Multa de 10% (Dez por cento) sobre o valor total da parcela
correspondente ao serviço, por violação do indicador INS-DC-1 descrito no
item 2.7.7.
7.2. b) Multa de 5% (Cinco por cento) sobre o valor total da parcela
correspondente, por violação do indicador INS-DC-2 descrito no item 2.7.7,
até o limite de 10% (cinco por cento), a qual deverá ser descontada da Nota
Fiscal até a totalidade da multa ou cobrada judicialmente, conforme o caso.
7.3. c) Multa de 1% (um por cento) sobre o valor total da parcela
correspondente, por violação do indicador INS-DC-3 e INS-DC-4 descrito no
item 2.7.7, até o limite de 10% (Dez por cento), a qual deverá ser
descontada da Nota Fiscal até a totalidade da multa ou cobrada
judicialmente, conforme o caso.
7.4. Multa de 10% (Dez por cento) sobre o valor total do contrato correspondente
ao serviço, por não entrega do Plano de Transição de Serviços.
Page 24
DIT/GIS Termo de Referência Nuvem Publica 24/26
7.5. Multa de 10% (Dez por cento) sobre o valor total do contrato correspondente
ao serviço, por não entrega dos dados previstos no item 8.1.6 e seus
subitens.
7.6. Multa de 10% (Dez por cento) sobre o valor total do contrato correspondente
ao serviço, por não comprovação da destruição dos dados previstos no item
8.1.7.1.
8. APOIO A TRANSIÇÂO DO SERVIÇO
8.1.1. A CONTRATADA devera desenvolver fornecer e entregar no prazo
máximo de 90 (Noventa) dias corridos após a data de assinatura do
contrato o Plano de Transição de Serviço e/ou Plano de Saída. No
Plano citado acima deverá constar todos os detalhes e procedimentos
necessários para a desativação do serviço contratado em nuvem sem
interrupção.
8.1.2. Durante a vigência do contrato o Plano de Transição de Serviço
e/ou Plano de Saída deverá ser validado e testado pela
CONTRATADA em conjunto com a CONTRATANTE.
8.1.3. Durante a vigência do contrato a CONTRATADA deverá prestar
apoio à transição do serviço sem nenhum custo adicional para a
CONTRATANTE.
8.1.4. No prazo máximo de 90 (Noventa) dias corridos antes da data de
termino da vigência do contrato, a CONTRATADA deverá sem custo
executar os testes dos serviços para garantir que eles estão
funcionando de acordo com plano de Transição de Transição de
Serviços.
8.1.5. Ao final e/ou após a notificação de cancelamento do contrato, a
CONTRATADA deverá fornecer em até no máximo 30 (trinta) dias
corridos todos os dados da seguinte forma:
8.1.5.1. A entrega de instâncias virtuais será utilizando os padrões
internacionais de exportação de instancias virtual chamado OVA
Page 25
DIT/GIS Termo de Referência Nuvem Publica 25/26
e/ou OVF e/ou o padrão de exportação do virtualizador usado
pela CONTRATADA;
8.1.5.2. A entrega dos dados e Objetos que estão disponibilizados
dentro do Armazenamento na Nuvem deve ser disponibilizados
em uma área para a transferência destes objetos e dados pela
CONTRATADA sem ônus quaisquer para a CONTRATANTE.
8.1.6. A CONTRATADA deve manter e disponibilizar para a
CONTRATANTE e/ou outro provedor que a CONTRATANTE
designar, todos os dados pelo período máximo de 90 dias após o
encerramento do contrato.
8.1.7. Após decorrido o prazo de 90(noventa) dias acima, todos os dados
deverão ser destruídos. Deverá ser apresentado um relatório que
comprove a destruição dos dados.
9. CONDIÇOES GERAIS
9.1.1. Todas as características técnicas apresentadas neste Termo de
Referência devem ser entendidas como mínimas, serão aceitos
características e desempenho sejam superiores ao solicitado;
9.1.2. Subcontratados ou terceiros, em qualquer nível utilizado na
operação da CONTRATADA, está obrigado a cumprir os mesmos
termos e condições previstos neste termo.
9.1.3. A CONTRATADA é responsável exclusiva e diretamente por
todos os subcontratados ou terceiros utilizados na operação para o
cumprimento das obrigações neste termo.
10. CONFIDENCIALIDADE
10.1.1. A CONTRATADA deverá zelar pelo sigilo de quaisquer
informações referentes à estrutura, sistemas, usuários, contribuintes,
topologia, configurações e ao modo de funcionamento e tratamento
Page 26
DIT/GIS Termo de Referência Nuvem Publica 26/26
das informações da CONTRATANTE, durante e após fim do contrato,
salvo quando houver autorização expressa da CONTRATANTE para
divulgação.
São Paulo, 31 de maio de 2016.
Marcelus Guirardello
Gerência de Suporte à Infraestrutura