Estabelece modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal.

Art. 1º  Estabelecer o modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal.

Art. 2º As contratações de software e de serviços de computação em nuvem deverão ser realizadas observando-se o processo de contratação de soluções de tecnologia da informação e comunicação disposto pela Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022, e o modelo de contratação descrito no Anexo I desta Portaria.  

Art. 3º O modelo de contratação descrito no Anexo I desta Portaria é de utilização obrigatória pelos órgãos e entidades do SISP.   Parágrafo único.  Os órgãos e entidades poderão utilizar outros modelos de contratação, desde que devidamente justificado pela área técnica proponente, comunicado via Ofício e aprovado previamente pela Secretaria de Governo Digital - SGD.

Art. 4º O Modelo descrito no Anexo I desta Portaria prevê a contratação de:

I - Software - disponibilização de qualquer tipo de software por meio de cessão temporária de direitos de uso, licenciamento permanente de direitos de uso, subscrição ou utilização como serviço (Software como Serviço);

II - Serviços de computação em nuvem - disponibilização de grupo escalável e elástico de recursos físicos ou virtuais, compartilháveis, acessados via rede, com provisionamento via autoatendimento e administração sob demanda; e

III - Serviços de operação e gerenciamento de serviços de computação em nuvem - gerenciamento, monitoramento, interoperabilidade, portabilidade, continuidade e suporte à gestão de custos de serviços de computação em nuvem.

Art. 5º As contratações de software, serviços de computação em nuvem e serviços de operação e gerenciamento de serviços de computação em nuvem são passíveis de execução indireta por tratarem de bens ou serviços comuns, cujos padrões de desempenho e qualidade podem ser objetivamente definidos por meio de especificações usuais de mercado.

Art. 6º O modelo descrito no Anexo I desta Portaria abrange a contratação de:

I - software sob o modelo de licenciamento permanente de direitos de uso;

II - software sob o modelo de cessão temporária de direitos de uso;

III - software sob o modelo de subscrição ou como Serviço (SaaS);

IV - Infraestrutura como Serviço (IaaS);

V - Plataforma como Serviço (PaaS);

VI - suporte técnico para software e serviços de computação em nuvem;

VII - serviço de operação e gerenciamento de recursos em nuvem;

VIII - serviço de migração de recursos para ambiente de nuvem;

IX - integração de serviços de computação em nuvem; e

X - consultoria especializada em software e/ou serviços de computação em nuvem.

Art. 7º A contratação de software, serviços de computação em nuvem e/ou a contratação de serviços de operação e gerenciamento de serviços em nuvem podem ser realizadas por meio de empresas cujo ramo de atividade seja compatível com o objeto, mediante análise da habilitação jurídica, fiscal e social, a exemplo da Classificação Nacional de Atividades Econômicas (CNAE), verificação do Contrato Social da empresa e verificação do cadastro junto à Fazenda Pública.

Art. 8º Os casos omissos decorrentes da aplicação desta Portaria serão dirimidos pela Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, que poderá expedir normas complementares, bem como disponibilizar informações adicionais em meio eletrônico.  

Art. 9º O disposto nesta Portaria não se aplica às contratações em andamento que se encontrem em fase posterior à análise jurídica do respectivo órgão ou entidade e nas renovações de contratos assinados antes da vigência desta Portaria, sendo facultado aos órgãos e entidades a aplicação do modelo de contratação descrito no Anexo I.  

Art. 10 Esta Portaria entra em vigor em 1º de agosto de 2023.

1.1. A Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos, na condição de órgão central do SISP, estabelece um modelo para contratação de software e de serviços de computação em nuvem, nos termos da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022, frente às necessidades de órgãos e entidades do SISP e observando as recomendações dispostas nos acórdãos do TCU nº 2.569/2018-Plenário, nº 2.037/2019-Plenário, nº 1.508/2020-Plenário e nº 980/2023-Plenário.

1.2.Nesse sentido, este modelo observa as recomendações apresentadas pelo TCU, pela CGU e considera as boas práticas, a legislação e a jurisprudência relacionadas às contratações de software e de serviços de computação em nuvem.

1.3. De forma excepcional, admite-se a não aplicação das diretrizes dispostas neste modelo, desde que solicitada via ofício e obtida a autorização prévia da SGD. Devem-se observar as seguintes orientações:
a) avaliar a viabilidade de utilização de modelos já adotados na Administração, pois aumenta o nível de padronização nas contratações no âmbito do SISP;
b) não utilizar métrica de remuneração cuja medição não seja passível de verificação, nos termos da Súmula TCU 269;
c) avaliar a economicidade dos preços estimados e contratados, realizando a análise crítica da composição de preços unitários e do custo total estimado da contratação; e
d) abster-se de criar unidades de medida de forma unilateral, sem prévia avaliação técnica, econômica e de padronização.

1.4. O objetivo deste modelo é padronizar e simplificar o processo de contratação de software e de serviços de computação em nuvem e orientar a Equipe de Planejamento da Contratação - EPC e a Equipe de Fiscalização do Contrato - EFC em controles mais apurados por parte dos gestores de tecnologia da informação e comunicação - TIC dos órgãos e entidades, de modo a minimizar os problemas encontrados na contratação e gestão dessas soluções.

1.5. O presente modelo busca proporcionar à comunidade SISP um instrumento abrangente, flexível e eficaz que assegure e aprimore a qualidade da contratação de software e de serviços de computação em nuvem pela Administração Pública, alinhada ao estabelecido nas normas e legislação relacionadas às contratações de serviços de TIC.

1.6. As orientações contidas neste modelo, além de objetivarem a realização de um planejamento da contratação adequado com a melhor utilização dos recursos públicos, estão alinhadas à Estratégia de Governo Digital e à Estratégia Brasileira para a Transformação Digital (E-Digital), Ciclo 2022 - 2026, conforme objetivo específico do eixo G "Cidadania e transformação digital do governo": "Adotar tecnologia de processos e serviços governamentais em nuvem como parte da estrutura tecnológica dos serviços e setores da administração pública federal".

a) Atualização de versões: disponibilização, por parte do fabricante, de uma versão completa do software, o parcial, mas com funcionalidades adicionais ou evoluções tecnológicas que compreendam uma nova versão estável do produto. Podem, também, incluir correções de comportamentos disfuncionais que não tenham sido corrigidos por manutenções anteriores do software, por critério do fabricante;

b) Catálogo de Serviços de Computação em Nuvem Padronizados: relação de serviços de computação em nuvem que um órgão ou entidade fornece aos seus usuários, elaborada de forma padronizada, de acordo com as necessidades do órgão ou entidade e conforme as orientações estabelecidas pela SGD;

c) Catálogo de Soluções de TIC com condições padronizadas: relação de soluções de TIC ofertadas pelo mercado que possuem condições padrões definidas pelo Órgão Central do SISP, podendo incluir o nome da solução, descrição, níveis de serviço, Preço Máximo de Compra de Item de TIC - PMC-TIC, entre outros;

d) Carga de trabalho (workload): conjunto de recursos que compõem uma arquitetura técnica destinada a suportar um ou mais serviços de TIC. As cargas de trabalho podem requerer uma combinação de recursos computacionais e de serviços técnicos para agregar valor ao negócio por meio de serviços de TIC;

e) Co-location: locação de infraestrutura de datacenter pertencente a terceiros para hospedar equipamentos computacionais de uma organização;

f) Computação em nuvem: modelo que possibilita o provisionamento e a utilização sob demanda de recursos e serviços computacionais de qualquer lugar e a qualquer momento, de maneira conveniente, com acesso por meio de rede a recursos configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços em nuvem;

g) Consultoria especializada em software: serviços especializados de configuração, customização, instalação, otimização e manutenção em software cujos padrões de desempenho e qualidade podem ser objetivamente definidos no Termo de Referência. Esses serviços não se confundem com os serviços técnicos especializados de natureza predominantemente intelectual, dispostos no inciso XVIII do art. 6º da lei nº 14.133, de 1º de abril de 2021.

h) Datacenter: instalação física equipada com a infraestrutura necessária para armazenar, processar, gerenciar e distribuir dados ou serviços. Datacenters são projetados e construídos de acordo com padrões internacionais, como a International Organization for Standardization - ISO e o National Institute of Standads and Technology - NIST, para garantir que os serviços sejam oferecidos de forma segura, eficiente e confiável;

i) Disponibilidade: condição de um serviço ou recurso estar acessível e apto para desempenhar plenamente suas funções, em determinado momento ou durante um período acordado;

j) Hosting: locação de recursos computacionais localizados em infraestrutura física tradicional de datacenter pertencente a terceiros, sem o compartilhamento de recursos entre clientes, para a hospedagem de aplicações e soluções de TIC;

k) Incidente: qualquer acontecimento não planejado que cause redução na qualidade do serviço ou interrupção do serviço em parte ou como um todo, ou evento que ainda não impactou o serviço do usuário;

l) Incidente de Segurança da Informação: qualquer evento de segurança da informação indesejável e inesperado, seja único ou em série, que pode comprometer as operações de negócio e ameaçar a segurança da informação;

m) IN GSI/PR nº 5, de 2021: Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

n) IN SGD/ME nº 94, de 2022: Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022, que dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;

o) Instância de Computação: componente de computação em nuvem composto de máquina virtual e serviços agregados, como armazenamento, dispositivos de rede e demais serviços necessários para manter essa máquina virtual em operação.

p) Integrador de Serviços em Nuvem (Cloud Broker): intermediário entre os usuários e provedores de serviços de computação em nuvem. O Cloud Broker ajuda os usuários a descobrir, contratar, configurar e gerenciar serviços de computação em nuvem de forma segura e eficiente. Os serviços prestados pelo Cloud Broker são orientados de acordo com os padrões internacionais relevantes, como a ISO e a NIST e, no Brasil, a Associação Brasileira de Normas Técnicas - ABNT, para garantir que os serviços sejam oferecidos de forma segura, eficiente e confiável;

q) Licença de software: documento que fornece diretrizes legalmente vinculantes para o uso e a distribuição de determinado software. A licença de software geralmente fornece aos usuários finais o direito a uma ou mais cópias do software sem incorrer em violação de direitos autorais. Também define as responsabilidades das partes envolvidas no contrato de licença. Além disso, pode impor restrições sobre como o software pode ser usado. Os termos e condições de licenciamento de software geralmente incluem o uso justo do software, as limitações de responsabilidade, garantias e isenções de responsabilidade e proteções se o software ou seu uso infringirem os direitos de propriedade intelectual de terceiros;

r) Licença de uso: instrumento que estabelece o direito de usar o software sem haver a transferência da sua propriedade entre o licenciante e o licenciado, e inclui, entre outros direitos, o serviço de correção de erros, sem ônus ao licenciado;

s) Licença por subscrição/assinatura: permite aos usuários acessar o software por meio de serviços online, em vez de adquirir uma licença de uso único. As licenças por assinatura também podem fornecer aos usuários acesso a atualizações de software, suporte técnico e outros serviços;

t) Licença perpétua: é uma licença que concede ao usuário o direito de usar o software por tempo indeterminado, bem como acesso a updates e suporte técnico por tempo determinado;

u) Manutenção de software (Correção de erros): é o processo de fornecer suporte técnico, atualizações e melhorias para um determinado software. É um processo contínuo que garante que o software se mantenha atualizado e funcione corretamente;

v) Marketplace: loja virtual operada por um provedor de nuvem que oferece acesso a software e serviços que são desenvolvidos, se integram ou complementam as soluções disponibilizadas pelo provedor de nuvem;

w) Modelos de implantação de nuvem: representam como a computação em nuvem pode ser organizada, com base no controle e no compartilhamento de recursos físicos ou virtuais. Os modelos de implantação em nuvem incluem: nuvem pública, nuvem privada, nuvem comunitária e nuvem híbrida;

x) Modelo de Serviços em nuvem IaaS (Infrastructure as a Service - Infraestrutura como Serviço): capacidade fornecida ao cliente para provisionar processamento, armazenamento, comunicação de rede e outros recursos de computação fundamentais, nos quais o cliente pode instalar e executar software em geral, incluindo sistemas operacionais e aplicativos. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento e aplicativos instalados e, possivelmente, um controle limitado de alguns componentes de rede;

y) Modelo de Serviços em nuvem PaaS (Platform as a Service - Plataforma como Serviço): capacidade fornecida ao cliente para provisionar na infraestrutura de nuvem aplicações adquiridas ou criadas para o cliente, desenvolvidas com linguagens de programação, bibliotecas, serviços e ferramentas suportados pelo provedor de serviços em nuvem. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, incluindo rede, servidores, sistema operacional ou armazenamento, mas tem controle sobre as aplicações instaladas e possivelmente sobre as configurações do ambiente de hospedagem de aplicações;

z) Modelo de Serviços em nuvem SaaS (Software as a Service - Software como Serviço): capacidade de fornecer uma solução de software completa que pode ser contratada de um provedor de serviços em nuvem. Toda a infraestrutura subjacente, middleware, software de aplicativo e dados de aplicativo ficam no datacenter do provedor de serviços. O provedor de serviço gerencia hardware e software e garante a disponibilidade e a segurança do aplicativo e de seus dados;

aa) Multinuvem (multicloud): uma estratégia de utilização dos serviços de computação em nuvem por meio
de dois ou mais provedores de nuvem pública;

ab) Nuvem comunitária: modelo de implantação de nuvem em que os serviços de computação em nuvem são exclusivamente suportados e compartilhados por um grupo específico de clientes de serviços de computação em nuvem que têm requisitos compartilhados e um relacionamento entre si, e onde os recursos são controlados por pelo menos um membro deste grupo, conforme ISO/IEC 22123-1:2023 (Information technology - Cloud computing - Part 1: Vocabulary).

ac) Nuvem de governo: infraestrutura de nuvem privada ou comunitária gerida exclusivamente por órgãos ou empresas públicas;

ad) Nuvem híbrida: infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.

ae) Nuvem privada ou interna: infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade pode ser do próprio órgão ou de empresas públicas com finalidade específica relacionada à tecnologia da informação;

af) Nuvem pública ou externa: infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de órgãos públicos, empresas privadas ou de ambos;

ag) Orquestração: habilidade de coordenar e gerenciar recursos em diferentes provedores de nuvem públicas;

ah) Plataforma de gerenciamento de serviços em nuvem (Cloud Management Platform - CMP): sistema capaz de realizar o provisionamento e orquestração, requisição de serviço, inventário e classificação, monitoramento e análise, gerenciamento de custos e otimização de carga de trabalho, migração em nuvem , backup e recuperação de desastres, gerenciamento de segurança, conformidade e identidade e deployment e implantação dos recursos nos provedores de nuvem ofertados;

ai) Provedor de serviços em nuvem: empresa que possui infraestrutura de Tecnologia da Informação - TI destinada ao fornecimento de infraestrutura, plataformas e aplicativos baseados em computação em nuvem;

aj) Região: agrupamento de localizações geográficas específicas em que os recursos computacionais se encontram hospedados;

ak) Serviço: meio de entregar valor aos usuários internos ou externos à organização ao facilitar o alcance de resultados almejados;

al) Serviços agregados: são serviços adicionais providos pelo fornecedor da solução que oferecem aos usuários acesso a recursos adicionais relacionados ao objeto principal. Esses serviços podem incluir suporte técnico, treinamento, atualizações, implementação e outros serviços.

am)Sistemas estruturantes: são sistemas de informação desenvolvidos e mantidos para operacionalizar e sustentar as atividades de pessoal, orçamento, estatística, administração financeira, contabilidade e auditoria, e serviços gerais, além de outras atividades auxiliares comuns a todos os órgãos da Administração que, a critério do Poder Executivo, necessitem de coordenação central;

an) Software livre: tipo de software de código aberto que pode ser usado, estudado, modificado e redistribuído gratuitamente. O software livre é publicado sob uma licença que permite aos usuários acessar os códigos-fonte e modificá-los para atender às suas necessidades;

ao) Software open source (ou de código aberto): tipo de software de código aberto que pode ser usado, estudado, modificado e redistribuído gratuitamente. O software open source é publicado sob uma licença que permite aos usuários acessar o código-fonte, mas impõe certas limitações quanto a sua modificação ou personalização;

ap) Software pronto para uso: software disponibilizado (pago ou não) com um conjunto de funcionalidades pré-concebidas, também conhecido como Ready to Use Software Product (RUSP) ou mais comumente como "software de prateleira";

aq) Suporte técnico: serviço provido pelo fornecedor para auxiliar os usuários com problemas relacionados ao serviço contratado. O suporte técnico pode incluir resolução de problemas, treinamento, atualizações, implementação e instalação;

ar) Tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação destinação ou controle da informação;

3.1. Este modelo abrange a contratação de:
a) software sob o modelo de licenciamento permanente de direitos de uso;
b) software sob o modelo de cessão temporária de direitos de uso;
c) software sob o modelo de licenciamento por subscrição ou como Serviço (SaaS);
d) Infraestrutura como Serviço (IaaS);
e) Plataforma como Serviço (PaaS);
f) suporte técnico para software e serviços de computação em nuvem;
g) serviço de operação e gerenciamento de recursos em nuvem;
h) serviço de migração de recursos para ambiente de nuvem;
i) integração de serviços de computação em nuvem; e
j) consultoria especializada em software e/ou serviços de computação em nuvem.

3.2. Não são objetos deste modelo:
a) aquisição de ativos de infraestrutura de TIC;
b) aquisição de ativos de rede;
c) contratação de hosting;
d) contratação de co-location;
e) contratação de serviços de desenvolvimento, manutenção e sustentação de software, escopo da Portaria SGD/MGI nº 750, de 20 de março de 2023, e suas atualizações; e
f) contratação de serviços de operação de infraestrutura e atendimento a usuários de Tecnologia da Informação e Comunicação, escopo da Portaria SGD/MGI nº 1.070, de 1º de junho de 2023, e suas atualizações.

4.1. O modelo está orientado a partir das seguintes bases:
a) padronização dos tipos de remuneração: aderência às modalidades de remuneração previstas neste documento;
b) diretrizes para a seleção da modalidade de contratação: adoção de métricas padronizadas para cada modalidade de contratação;
c) utilização de catálogos padronizados: orientações para o uso de catálogos padronizados no planejamento das contratações;
d) definição de níveis mínimos de serviços: estabelecimento de padrões de níveis mínimos de serviço que devem servir de referência às contratações;
e) gerenciamento de riscos: adoção de processos e estudos abrangentes para a análise dos riscos, atentando
para os possíveis impactos financeiros e não financeiros decorrentes desses riscos; e
f) segurança da informação: observância à legislação, normativos e orientações de órgãos de controle relacionados à segurança da informação.
g) Continuidade do Serviço Público: adoção de infraestrutura de tecnologia capaz de assegura a continuidade, disponibilidade, segurança e integridade dos serviços públicos.

5.1. A definição de uma estratégia de uso de software e serviços de computação em nuvem é uma iniciativa fundamental para assegurar que o órgão ou entidade obtenha os resultados esperados e mitigue os riscos associados à adoção de possíveis novas tecnologias ou novas formas de contratação. 

5.2. A estratégia a ser adotada pelo órgão ou entidade deve pautar-se nos requisitos de negócio, nos resultados pretendidos e na segurança da informação e privacidade, levando em consideração as especificidades de cada carga de trabalho.

5.3. O órgão ou entidade deve submeter os dados à classificação prévia da informação, nos termos do Decreto nº 7.724, de 16 de maio de 2012, de forma a assegurar que não haja restrições normativas ou legais para o tratamento da informação em ambiente de nuvem, conforme os direcionadores de utilização de serviços de computação em nuvem a seguir.

5.4.1. A identificação do modelo de implantação de nuvem deve considerar as características de cada carga de trabalho em relação ao nível de sigilo das informações armazenadas ou manipuladas pelos serviços de TIC mantidos por essas cargas de trabalho.

5.4.2. Admite-se a utilização em ambiente de nuvem (pública, privada, híbrida, comunitária ou de governo) das cargas de trabalho que tratem informações sem restrição de acesso;

5.4.3. Devem ser mantidas em ambiente de nuvem de governo, exceto se expressamente determinado pelo Comitê de Governança Digital ou instância equivalente do órgão ou entidade, cargas de trabalho que tratem informação com restrição de acesso prevista na legislação, a exemplo de: sigilo fiscal, bancário, comercial, empresarial, contábil, de segredo industrial, de direito autoral, de propriedade intelectual, industrial, policial, processual civil, processual penal e disciplinar administrativa.

5.4.4. Não poderão ser tratadas em ambiente de nuvem pública informações e cargas de trabalho que tratem informações classificadas em grau de sigilo (reservadas, secretas e ultrassecretas), nos termos do Decreto nº 7.724, de 16 de maio de 2012, e documentos preparatórios que possam originar informação classificada em grau de sigilo.

5.5.1. O Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem é o ato normativo aprovado pelo Comitê de Governança Digital ou instância equivalente que orientará o uso de software e de serviços de computação em nuvem do órgão ou entidade, observando os direcionadores de utilização de software e de serviços de computação em nuvem descritos neste modelo, inclusive quanto aos aspectos de segurança da informação e privacidade. 

5.5.2. A critério do órgão ou entidade, o Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem poderá integrar o Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC.

5.5.3. O Ato Normativo sobre o Uso Seguro de Computação em Nuvem de que trata o art. 4º da IN GSI/PR nº 5, de 2021, poderá integrar, a critério do órgão ou entidade, o Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem.

5.5.4. O Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve conter, no mínimo, as informações contidas no modelo de referência descrito no ANEXO II.

5.6. Da aprovação e acompanhamento pela alta administração

5.6.1. As diretrizes e decisões relacionadas à contratação de software e de serviços de computação em nuvem que sejam de alta relevância para a continuidade dos serviços finalísticos da organização pública devem ser aprovadas previamente pelo Comitê de Governança de TI do órgão ou estrutura colegiada equivalente.

5.6.2. A execução dos contratos de software e de serviços de computação em nuvem que sejam de alta relevância para a continuidade dos serviços finalísticos da organização pública deve ser supervisionada pelo Comitê de Governança de TI do órgão ou estrutura colegiada equivalente, que poderá determinar ajustes ou mudanças nos rumos estratégicos desses contratos.

6.1. Para a contratação de software, a definição do objeto deverá conter necessariamente o tipo de software pretendido, o modelo de licenciamento, a modalidade de remuneração, a vigência e a identificação dos tipos de serviços agregados (suporte técnico, treinamento, atualizações, implementação etc.), além da observância dos demais elementos estabelecidos no art. 13 da IN SGD/ME nº 94, de 2022.

6.1.1. Os documentos de planejamento da contratação, assim como as tabelas de identificação dos itens do objeto da contratação constante do Termo de Referência, as propostas comerciais das empresas licitantes e da empresa vencedora do certame e o Termo Contratual devem conter, sempre que possível, informações necessárias à identificação do software, serviço ou produto contratado, abrangendo, no mínimo, os seguintes
elementos:
a) nome específico, nome oficial e/ou descrição;
b) categoria ou linha do software, serviço ou produto;
c) código de identificação unívoca do fabricante (part number, SKU etc.);
d) modelo de licenciamento;
e) métrica ou unidade;
f) tipo de software, serviço ou produto; e
g) unidade de referência.

6.2. Para a contratação de serviços em nuvem, a definição do objeto deverá conter necessariamente a indicação do modelo de implantação de nuvem (pública, privada, híbrida, comunitária ou de governo), a modalidade de remuneração, a vigência e a identificação dos tipos de serviços (implantação, provisionamento, orquestração, migração, gerenciamento etc.), além da observância dos demais elementos estabelecidos no art. 13 da IN SGD/ME nº 94, de 2022.

6.2.1. Os documentos de planejamento da contratação, assim como as tabelas de identificação dos itens do objeto da contratação constante do Termo de Referência, as propostas comerciais das empresas licitantes e da empresa vencedora do certame e o Termo Contratual devem conter, sempre que possível, informações necessárias à identificação dos serviços ou produtos contratados, abrangendo, no mínimo, os seguintes elementos:
a) nome específico, nome oficial e/ou descrição do serviço ou produto ;
b) categoria ou linha do serviço ou produto;
c) código de identificação unívoca do provedor (part number, SKU etc.);
d) métrica ou unidade;
e) tipo de serviço ou produto; e
f) unidade de referência.

6.3. As contratações de serviços utilizados em sistemas estruturantes devem utilizar somente os modelos de implementação de nuvem privada ou de nuvem comunitária, desde que restritas às infraestruturas de órgãos ou de entidades, conforme estabelecido no art. 11, inciso IV da IN GSI/PR nº 5, de 2021.

6.4. Sempre que possível deve-se avaliar o parcelamento do objeto quando se tratar de software de diferentes naturezas, devendo constar no Estudo Técnico Preliminar as justificativas para o parcelamento ou não do objeto.

6.5. Havendo necessidade de indicação de fabricante de software, marca ou provedor, a decisão pela escolha deve ser devidamente justificada no Estudo Técnico Preliminar, tanto em termos técnicos como econômicos, com a realização de uma ampla pesquisa e comparação efetiva com alternativas existentes, demonstrando que a solução escolhida é a mais vantajosa e a única que atende às necessidades do órgão ou entidade.

6.5.1. A indicação de fabricante de software, marca ou provedor é justificável somente:
a) em decorrência da necessidade de padronização do objeto;
b) em decorrência da necessidade de manter a compatibilidade com plataformas e padrões já adotados pela Administração; e/ou
c) quando determinado provedor for o único capaz de atender às necessidades do contratante;

7.1.1. A contratação de software e de serviços de computação em nuvem pode ser realizada por meio de diferentes abordagens, denominadas modalidades de remuneração.

7.1.2. Admite-se a adoção de mais de uma modalidade de remuneração para diferentes itens ou lotes, a depender da seleção da estratégia de contratação dos serviços pelo órgão ou entidade.

7.1.3. Cada modalidade de remuneração apresenta vantagens, desvantagens, bem como diferentes níveis de riscos que podem variar em decorrência de cada realidade, natureza das aplicações, capacidade de gerenciamento, entre outros fatores internos e externos ao órgão ou entidade.

7.2.1. Na etapa de planejamento da contração devem ser avaliadas diferentes formas de provimento e remuneração do objeto a ser contratado.

7.2.2. Há diferentes modalidades de remuneração de software e serviços de computação em nuvem, cada uma adequada ao atendimento de um cenário específico.

7.2.3. Para identificar a modalidade de remuneração que melhor se adequa à necessidade do órgão ou entidade é preciso levar em consideração:
a) os requisitos de negócio;
b) as necessidades tecnológicas;
c) as tecnologias já adotadas;
d) a maturidade do órgão ou da entidade quanto à adoção de serviços em nuvem e
virtualização;
e) a cultura organizacional;
f) os riscos de indisponibilidade de serviço;
g) os riscos de dependência tecnológica;
h) a disponibilidade orçamentária;
i) os requisitos ambientais;
j) os resultados pretendidos; e
k) outros fatores que possam afetar a efetividade na utilização dos recursos computacionais.

7.2.4. São premissas que devem ser observadas na construção do Termo de Referência, independentemente da modalidade de remuneração adotada:
a) fixação dos critérios de aceitação dos serviços prestados;
b) definição dos níveis mínimos de serviço e de qualidade;
c) pagamento vinculado ao alcance de resultados;
d) escolha do modelo adequado de precificação ou pagamento pelo serviço e os devidos controles, com vistas a mitigar riscos;
e) clareza quanto à definição do escopo dos serviços e seus entregáveis;
f) previsão de faixas de valores de ajustes nas metas dos indicadores de níveis de serviço;
g) adoção dos mecanismos adequados de penalidades, objetivando punir falhas de disponibilidade dos serviços contratados;
h) utilização de Termo de Confidencialidade ou Termo de Compromisso de Manutenção de Sigilo;
i) observância da legislação brasileira quanto à segurança da informação, proteção de dados pessoais e privacidade, em especial à Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709, de 14 de agosto de 2018);
j) respeito ao direito de propriedade intelectual e direitos autorais da contratante sobre o conteúdo hospedado, tratado, criado e alterado no ambiente de nuvem objeto do contrato; e
k) observância às disposições contidas na Lei de Acesso à Informação - LAI (Lei nº 12.527, de 18 de novembro de 2011).

7.2.5. As modalidades de remuneração padronizadas por este modelo são:

7.3.1.1. A remuneração por licença perpétua adquirida é um modelo em que as contratações de software são realizadas pela aquisição do direito de uso do software de forma permanente, com base em métricas de quantidades previamente definidas (a exemplo de: por estação de trabalho, por usuários concorrentes, por servidor de rede, por núcleo de processamento computacional ou para todo o órgão, área ou departamento).

7.3.1.2. O licenciamento perpétuo pode ser adquirido com ou sem alguns serviços agregados (suporte técnico, manutenção, atualização de versões) que estão vinculados às licenças contratadas, por um período determinado, conforme estudo a ser realizado pelo órgão ou entidade, observando as suas necessidades e eventuais riscos.

7.3.1.3. Deve-se avaliar, durante o planejamento da contratação, a possibilidade do parcelamento da contratação dos serviços agregados em relação à aquisição das licenças, bem como a necessidade de contratação futura de outros serviços agregados.

7.3.2.1. O órgão ou entidade deve demandar os volumes de licenças e serviços agregados, de forma gradual, seguindo cronograma de implantação, cabendo o pagamento apenas sobre os quantitativos demandados, fornecidos e efetivamente implantados.

7.3.2.2. Deve-se adotar mecanismos de gestão baseados no encaminhamento de ordens de serviço, conforme o art. 32 da IN SGD/ME nº 94, de 2022, que contenham, no mínimo, a identificação inequívoca do software (a exemplo de part number, SKU, ou outro identificador utilizado pelo fabricante) e a quantidade das licenças estritamente necessárias, vinculando o pagamento às licenças que serão efetivamente fornecidas, conforme previsto na ordem de serviço.

7.3.2.3. Para os casos em que o software ou serviço conste em um dos Catálogos de Soluções de TIC com Condições Padronizadas, publicados pela SGD, a indicação do número do item ou identificador SGD deve figurar obrigatoriamente na identificação do software ou serviço, juntamente com o part number ou SKU do fabricante.

7.3.2.4. Deve constar nas ordens de serviço a identificação dos serviços agregados que efetivamente serão fornecidos.

7.3.2.5. A definição dos indicadores de níveis de serviço deve considerar as necessidades de negócio, os riscos associados ao processo e a criticidade dos serviços. Cada órgão ou entidade deve avaliar quais as variáveis mais adequadas para medir da melhor maneira possível a qualidade dos serviços prestados, considerando os indicadores mínimos, conforme seção VERIFICAÇÃO DA QUALIDADE DOS SERVIÇOS e a realidade da instituição.

7.3.2.6. Deve-se definir penalidades padrões, compatíveis e diretamente relacionadas ao descumprimento dos níveis de serviço estabelecidos, de forma a induzir a aplicação das sanções contratuais sempre que necessário ao bom desenvolvimento da execução contratual, conforme o item Glosas e Sanções deste modelo.

7.3.2.7. A execução dos serviços está condicionada à emissão de ordem de serviço, contendo no mínimo as informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.3.2.8. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.3.2.9. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº
94, de 2022.

7.3.3.1. A estimativa da quantidade de licenças a serem adquiridas ou contratadas deve se pautar em critérios objetivos devidamente registrados em memória de cálculo, a exemplo de:
a) levantamento da quantidade de licenças e de serviços agregados a serem contratados, que deve refletir a necessidade do órgão ou entidade;
b) expectativa de crescimento com novas contratações de servidores/empregados, estagiários e terceirizados;
c) necessidade de ampliação do parque tecnológico; e
d) avaliação da quantidade de licenças a serem adquiridas em função da adoção de políticas de teletrabalho.

7.3.3.2. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.3.4.1. Admite-se diferentes cenários na contratação do licenciamento perpétuo e respectivos serviços agregados, a exemplo de:
a) pagamento apenas da licença;
b) pagamento à vista da licença mais pagamento dos serviços agregados à vista; e
c) pagamento da licença à vista mais pagamentos mensais dos serviços agregados.

7.3.4.2. O pagamento deverá ser efetuado de acordo com o quantitativo de licenças ou serviços agregados efetivamente fornecidos, no âmbito da Ordem de Serviço (OS).

7.3.4.3. Caso admita-se a antecipação de pagamento, deve-se observar o disposto na seção Da previsão de antecipação de pagamentos.

7.3.4.4. O pagamento será calculado de acordo com a seguinte fórmula:
Vt = soma(P x Q) - soma(ajuste NMS)
onde:
Vt: valor total a ser pago à empresa contratada;
P: preço unitário por licença estabelecido e/ou por serviço agregado previstos no contrato;
Q: quantidade de licenças efetivamente adquiridas ou serviço agregado; e
ajuste NMS: valor total de desconto aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.3.5.1. Devem-se implementar mecanismos de controle que busquem:
a) validar as características das licenças contratadas com aquelas especificadas no Termo de Referência (a exemplo de: identificação do produto, tipo ou modelo de licenciamento, vigência das licenças);
b) verificar a autenticidade das licenças entregues;
c) monitorar o quantitativo de licenças efetivamente em uso para eventual readequação da quantidade demandada;
d) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
e) monitorar a manutenção das condições para assinatura do contrato;

7.4.1.1. A remuneração por subscrição é um modelo em que o usuário paga pelo direito de uso do software por um período determinado de tempo. Nesse modelo, o usuário não adquire uma licença permanente, mas sim uma assinatura que lhe permite usar o software pelo período contratado.

7.4.1.2. O licenciamento por subscrição permite ao órgão ou entidade, nos limites pré-estabelecidos no Termo de Referência e na Lei nº 14.133, de 2021, realizar ajustes na quantidade a ser efetivamente demandada, conforme mudanças nas necessidades de negócio durante o período de execução contratual, evitando-se o pagamento por produtos ou serviços que não serão demandados.

7.4.1.3. Caso admita-se a antecipação de pagamento, deve-se observar o disposto na seção Da previsão de antecipação de pagamentos.

7.4.1.4. Caso o órgão ou entidade decida admitir o pagamento antecipado, é necessário apresenta justificativas técnicas e econômicas no Estudo Técnico Preliminar e no Termo de Referência e também incluir cláusulas contratuais com previsão de garantias que assegurem o pleno cumprimento do objeto pactuado.

7.4.2.1. O órgão ou entidade deve demandar os volumes de subscrições e serviços agregados, de forma gradual, seguindo cronograma de implantação, cabendo o pagamento apenas sobre os quantitativos demandados, fornecidos e efetivamente implantados.

7.4.2.2. Deve-se adotar mecanismos de gestão baseados no encaminhamento de ordens de serviço, conforme o art. 32 da IN SGD/ME nº 94, de 2022, que contenham, no mínimo, a identificação inequívoca do software (a exemplo de part number, SKU, ou outro identificador utilizado pelo fabricante) e a quantidade das licenças estritamente necessárias, vinculando o pagamento às licenças que serão efetivamente fornecidas, conforme previsto na ordem de serviço.

7.4.2.3. Para os casos em que o software ou serviço conste em um dos Catálogos de Soluções de TIC com Condições Padronizadas, publicados pela SGD, a indicação do número do item ou identificador SGD deve figurar obrigatoriamente na identificação do software ou serviço, juntamente com o part number ou SKU do fabricante.

7.4.2.4. Deve constar nas ordens de serviço a identificação dos serviços agregados que efetivamente serão fornecidos.

7.4.2.5. A definição dos indicadores de níveis de serviço deve considerar as necessidades de negócio, os riscos associados ao processo e a criticidade dos serviços. Cada órgão ou entidade deve avaliar quais as variáveis mais adequadas para medir da melhor maneira possível a qualidade dos serviços prestados, considerando os indicadores mínimos, conforme seção VERIFICAÇÃO DA QUALIDADE DOS SERVIÇOS e a realidade da instituição.

7.4.2.6. Definir penalidades padrões, que devem ser compatíveis e diretamente relacionadas ao descumprimento dos níveis de serviço definidos, de forma a induzir a aplicação das sanções contratuais sempre que necessário ao bom desenvolvimento da execução contratual, conforme o item Glosas e Sanções neste modelo.

7.4.2.7. A execução dos serviços está condicionada à emissão de ordem de serviço, contendo no mínimo as informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.4.2.8. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.4.2.9. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.4.3.1. A estimativa da quantidade de licenças a serem adquiridas ou contratadas deve-se pautar em critérios objetivos devidamente registrados na memória de cálculo, a exemplo de:
a) quantidade de licenças e de serviços agregados a serem contratados, que deve refletir a necessidade do órgão ou entidade;
b) expectativa de crescimento com novas contratações de servidores/empregados, estagiários e terceirizados;
c) necessidade de ampliação do parque tecnológico;
d) avaliação da quantidade a ser adquirida em função da adoção de políticas de teletrabalho; e
e) flutuações decorrentes de sazonalidade de demandas.

7.4.3.2. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.4.4.1. Sempre que possível deve-se prever o pagamento mensal sob as subscrições efetivamente disponibilizadas.

7.4.4.2. O pagamento será calculado de acordo com a seguinte fórmula:
Vt = soma(P x Q) - soma(ajuste NMS)
onde:
Vt: valor total a ser pago à empresa contratada;
P: preço unitário por licença estabelecido no contrato;
Q: quantidade de licenças efetivamente adquiridas; e
ajuste NMS: valor total de desconto aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.4.5.1. Devem-se implementar mecanismos de controle que busquem:
a) validar as características das subscrições contratadas com aquelas especificadas no Termo de Referência (a exemplo de: identificação do produto, tipo ou modelo de licenciamento, vigência das licenças);
b) monitorar o quantitativo de licenças efetivamente em uso para eventual readequação da quantidade demandada.
c) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
d) monitorar a manutenção das condições para assinatura do contrato;

7.5.1.1. Essa modalidade consiste na utilização de unidades de uma métrica padronizada para remuneração pela utilização de recursos de IaaS, PaaS e SaaS, fornecidos pelos provedores de nuvem.

7.5.1.2. A Unidade de Serviços em Nuvem - USN consiste em uma métrica aplicável aos serviços de computação em nuvem (IaaS, PaaS e SaaS), contratados por intermédio de cloud brokers. A métrica foi construída com a finalidade de aferir e remunerar os serviços de computação em nuvem consumidos, de modo a vincular a execução dos serviços a critérios objetivos de qualidade e resultados, bem como prover maior previsibilidade do cronograma físico e financeiro da execução contratual e maior transparência dos custos associados para os órgãos ou entidades.

7.5.1.3. A USN é composta por dois elementos:

1. Unidade da USN - Valor monetário em reais (R$) que servirá como base para determinar a remuneração total que a contratada terá direito pelos serviços efetivamente fornecidos ao órgão ou entidade durante um determinado intervalo de tempo. As propostas comerciais apresentadas pelas empresas licitantes em processos licitatórios e contratações abrangidos por esta modalidade deverão ser expressas em reais (R$) por unidade de USN. 

Para fins de definição do valor da Unidade da USN, cada empresa licitante deverá considerar todas as despesas ordinárias diretas e indiretas decorrentes dos serviços em nuvem a serem prestados, com agregação de valor, inclusive tributos e/ou impostos, encargos sociais, trabalhistas, previdenciários, fiscais e comerciais incidentes, taxa de administração, seguro, orquestração, suporte, percentual de lucro e outros necessários ao cumprimento integral da disponibilização dos serviços ao órgão ou entidade.

2. Fator da USN - Valor fixo de referência associado a cada serviço em nuvem referenciado no catálogo de serviços a constar do Termo de Referência. O Fator da USN busca estabelecer um critério objetivo, rastreável e padronizado que diferencia os serviços de computação em nuvem ofertados por diferentes provedores, assemelhando-se a um fator de peso entre eles, em termos de custo operacional para o provimento de cada serviço.

7.5.1.4. O Fator da USN é um valor adimensional, que diferencia o peso de um determinado serviço frente aos demais constantes no catálogo de serviços de um determinado provedor. Logo, não se deve confundir essa medida, que representa os recursos envolvidos para a prestação de um serviço, com o valor estabelecido para cada unidade da USN, o qual será ofertado oportunamente pelas empresas licitantes em reais (R$). 

7.5.1.5. A utilização da remuneração por USN pressupõe a elaboração, pelo órgão ou entidade, de catálogo de serviços de nuvem, a constar do Termo de Referência, observando as diretrizes estabelecidas na seção Da elaboração e utilização de catálogos de serviços de computação em nuvem padronizados (catálogo único e multicatálogo).

7.5.1.6. É vedada a vinculação direta a catálogo externo ao Termo de Referência, conforme art. 5º, inciso X da IN SGD/ME nº 94, de 2022.

7.5.1.7. Admite-se a construção de um catálogo único ou de catálogos individualizados por provedor.

7.5.1.8. Os provedores de serviços em nuvem cujos serviços integrarão os catálogos de serviços em nuvem padronizados a serem elaborados pelo órgão ou entidade devem, individualmente, ser capazes de cumprir os requisitos de segurança da informação estabelecidos nos artigos 20 e 25 da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021.

7.5.1.9. Na elaboração de um catálogo único, devem-se observar as seguintes diretrizes:
a) cada serviço de computação em nuvem deve ser atendido por, pelo menos, três provedores distintos;
b) é possível a inclusão de serviços atendidos por menos de três provedores, com vistas a ampliar a competitividade, quando se tratarem de serviços semelhantes ou complementares, mas que são baseados em métricas distintas, conforme o modelo de comercialização do provedor. Nesse caso, o serviço deverá figurar no catálogo em mais de um item, diferenciado pela métrica e pelo valor do fator da USN, devendo ser prestado na métrica definida no respectivo item, que será indicada pela empresa contratada na proposta de preços conforme o provedor ofertado;
c) o fator da USN estabelecido para cada serviço previsto no catálogo deve ser calculado tendo por base o valor constante do respectivo serviço em lista oficial do provedor para a região referente ao Brasil, sem qualquer tipo de conversão para a moeda brasileira ou aplicação de índices de preços; e
d) o fator da USN para cada serviço deve ser calculado por meio da média simples ou da mediana dos valores obtidos dos diferentes provedores.

7.5.1.10. Na elaboração de catálogos individualizados por provedor, devem-se observar as seguintes
diretrizes:
a) sempre que possível, deve-se prever um catálogo para cada provedor apto à prestação dos serviços, nos termos do art. 20 da IN GSI/PR nº 5, de 30 de agosto de 2021, assegurando-se a ampliação da competitividade;
b) os catálogos devem abranger categorias de serviços de computação em nuvem equivalentes, conforme as necessidades de negócio identificadas;
c) o fator da USN estabelecido para cada serviço deve consistir no valor constante do respectivo serviço em lista oficial de cada provedor para a região referente ao Brasil, sem qualquer tipo de conversão para a moeda brasileira ou aplicação de índices de preços;
d) o fator de USN deve ser estipulado para cada serviço, de forma individualizada por catálogo; e
e) o valor da unidade da USN deve ser único para todos os catálogos previstos, admitindo-se diferentes valores de USN por modelo de prestação de serviços (IaaS, PaaS, SaaS).

7.5.1.11. Os catálogos de serviços de computação em nuvem padronizados a serem licitados
deverão referenciar os valores de todos os serviços em fator da USN, conforme as seguintes diretrizes:
a) o fator da USN deverá ser expresso com 4 (quatro) casas decimais; e
b) o fator da USN se manterá fixo durante toda a vigência do contrato, salvo alteração decorrente
de aditamento contratual, previsto no art. 124 da Lei nº 14.133, de 2021.

7.5.1.12. A alteração dos serviços constantes no catálogo só poderá ocorrer mediante processo de aditamento contratual, nos termos do art. 124 da Lei nº 14.133, de 2021.

7.5.1.13. É vedado a conversão para remuneração por USN a partir de outras modalidades de remuneração ou tipos de serviços não previstos nesta seção.

7.5.1.14. Os fatores da USN dos serviços a constar em cada catálogo devem ser compatíveis aos valores públicos utilizados nas calculadoras de custos de serviços em nuvem disponibilizadas pelos provedores. O armazenamento das evidências dessa compatibilidade devem constar dos autos do processo de planejamento da contratação.

7.5.2.1. A execução dos serviços deve ser condicionada à emissão de ordem de serviço, contendo, no mínimo, as informações estabelecidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, e também a quantidade máxima estimada de USNs a serem consumidas mensalmente, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.5.2.2. Será apurada mensalmente a quantidade de USNs efetivamente consumidas para fins de pagamento, respeitando-se o limite máximo estimado na ordem de serviço.

7.5.2.3. O Termo de Referência deve prever que durante a execução dos serviços o cloud broker implemente as condições necessárias para gestão do consumo das USNs, de modo a observar os limites máximos previstos nas ordens de serviço. 

7.5.2.4. Admite-se a contratação de empresa especializada na realização de auditorias, com vistas a apoiar a fiscalização técnica do contrato.

7.5.2.5. A verificação da adequação da prestação dos serviços deverá ser realizada com base em Níveis Mínimos de Serviço (NMS), capazes de aferir objetivamente os resultados pretendidos com a utilização dos serviços contratados.

7.5.2.6. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.5.2.7. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.5.3.1. O dimensionamento do volume dos serviços consiste na identificação do quantitativo de serviços de computação em nuvem suficientes para atender à demanda a ser suprida com a contratação pretendida.

7.5.3.2. São elementos que auxiliarão no dimensionamento:
a) a definição de uma estratégia para utilização de serviços em nuvem (totalmente cloud ou híbrida);
b) o mapeamento dos tipos de informações passíveis de serem transferidas para a nuvem;
c) a existência de equipe técnica com conhecimento em ambiente de nuvem; e
d) o histórico de consumo de recursos em ambiente de nuvem pública, privada, híbrida, comunitária ou de governo.

7.5.3.3. Após conhecidos os aspectos relevantes para o dimensionamento da contratação, devem ser definidas as cargas de trabalho (workloads) e levantados individualmente, de acordo com cada perfil, o quantitativo atual e a quantidade esperada para o período contratual definido para a contratação. Para tanto, deve-se proceder com a análise de contratos anteriores, levantamento do parque computacional de TIC a ser migrado para nuvem, levantamento dos serviços em nuvem em execução no órgão ou entidade e estimativa de novos projetos previstos para o período de vigência do contrato. 

7.5.3.4. Essa etapa é relevante para verificar se há inconsistências na relação entre a real necessidade do órgão, os serviços a serem contratados para suprir a demanda e os respectivos quantitativos estimados. Os workloads devem ser tabulados em termos quantitativos. Devem ser levantadas, por exemplo, a quantidade de aplicações que utilizam determinado banco de dados, bem como o espaço de armazenamento (storage) utilizado por esse banco de dados. O mesmo deve ser feito para os demais workloads, a exemplo de sistemas virtualizados, que devem ser agrupados pelos diferentes tipos de virtualizadores existentes. Também é necessário levantar a quantidade de aplicações que utilizam tecnologia de contêineres e/ou microsserviços, caso existam. 

7.5.3.5. O próximo passo é a elaboração de uma metodologia para cálculo da volumetria em USN estimada para cada um dos serviços previstos pelo órgão ou entidade. A partir dos workloads que foram quantificados, é necessário definir quais serviços de computação em nuvem serão necessários para operacionalização desses workloads. Por exemplo: para a aplicação X, que utiliza o banco de dado Y, será necessário contratar o serviço de máquinas virtuais (também é necessário especificar as configurações de cada máquina, além do quantitativo), o banco de dados Y como serviço, armazenamento em SSD, backup, tráfego de saída de rede (necessário estimar o quantitativo), serviço de balanceamento de carga, etc. A identificação dos serviços em nuvem que integrarão a metodologia para cálculo da volumetria em USN é uma tarefa crucial, que deve ser executada de modo a assegurar que todos os serviços que o órgão ou entidade necessitará para manter seus workloads em funcionamento na nuvem foram previstos e poderão ser contratados quando demandados.

7.5.3.6. O dimensionamento deve ser segmentado por modelo de prestação de serviço (IaaS, PaaS, SaaS) e conter, no mínimo, as seguintes informações:
a) descrição do serviço: deve ser suficiente clara para que seja possível a identificação individualizada do serviço;
b) forma de uso: no caso de existirem serviços a serem contratados sob demanda ou de forma reservada, sendo que neste último caso, deve-se informar o período de reserva (por exemplo: por um ano, por 3 anos, ...);
c) unidade: deve-se informar a unidade de remuneração prevista para cada serviço, como, por exemplo: Máquina Virtual ou Instância por hora, Gigabyte/Mês, Usuário/Mês, etc.
d) fator da USN: definido individualmente para cada serviço, conforme as diretrizes estabelecidas nesta seção;
e) quantidade mensal estimada: cálculo do consumo mensal estimado para cada serviço, que deve estar de acordo com a unidade de remuneração definida (por exemplo: se a unidade definida for instância/hora, deve-se multiplicar a quantidade de instâncias estimadas pela quantidade de horas previstas no período);
f) volume mensal estimado de USNs: valor expresso em unidades de USN, calculado pelo produto da quantidade mensal pelo valor do fator da USN; e
g) justificativa: descrição das premissas que fundamentaram os cálculos, de acordo com as diretrizes estabelecidas na seção Dimensionamento do Volume de Serviços deste modelo.

7.5.3.7. Ao final da listagem dos serviços em nuvem a serem contratados, deve-se apresentar o somatório total do volume mensal de USNs estimados e do volume total previsto para toda a vigência do contrato (12 meses, por exemplo) para cada modelo de serviço (IaaS, PaaS, SaaS).

7.5.3.8. De posse das informações sobre os workloads e, após definidos, segmentados e listados todos os serviços necessários para sua operacionalização em nuvem, deve-se proceder com o dimensionamento, contabilizando o total de USNs estimadas que deverão ser contratadas. 

7.5.3.9. É fundamental que as fórmulas de cálculo definidas para se chegar às quantidades a contratar e os parâmetros de entrada, que são quantidades usadas nos cálculos, com as respectivas fontes dessas informações, ou seja, quantidades devidamente evidenciadas, assim como a explicitação dos cálculos feitos e a identificação das pessoas que elaboraram a metodologia para cálculo da volumetria, que pode ser utilizada como memória de cálculo dos itens a serem contratados, estejam documentados e sejam incluídos no estudo técnico preliminar da contratação ou disponibilizados para consulta, por ocasião da publicação do ETP.

7.5.3.10. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.5.4.1. O valor em reais (R$) a ser pago à empresa contratada como remuneração pelos serviços disponibilizados e utilizados pelo órgão ou entidade contratante será calculado pela seguinte fórmula:
Fm = soma(Q x F x USN) - soma(ajuste NMS)
onde:
Fm: faturamento mensal em reais (R$) devido à empresa contratada pelos serviços utilizados no período apurado;
Q: quantidade de unidades efetivamente consumidas de um determinado serviço no período apurado, conforme a respectiva métrica definida no catálogo de serviços de computação em nuvem padronizado;
F: fator da USN conforme o fator específico para o serviço, definido no catálogo de serviços de computação em nuvem padronizado;
USN: valor em reais (R$) da USN estabelecido em contrato para respectiva categoria de serviços (IaaS, PaaS, SaaS); e
ajuste NMS: valor total de desconto sobre o faturamento mensal, aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.5.4.2. Deve-se prever no Termo de Referência, quando aplicável, que os serviços ou recursos, condições, bem como suas faixas e franquias, declarados como gratuitos na política de preços praticada pelo provedor de serviços em nuvem, integrantes ou não do catálogo de serviços a serem contratados, deverão ser disponibilizados sem ônus ao órgão ou entidade contratante.

7.5.4.3. O órgão ou entidade contratante fará uso e efetuará o pagamento apenas das USNs relativas aos serviços solicitados à empresa contratada, até o limite máximo das USNs estimadas.

7.5.5.1. Devem-se implementar mecanismos de controle que busquem:
a) assegurar que os serviços mensurados por USN observem as diretrizes constantes do catálogo de serviços;
b) garantir que os serviços mensurados por USN foram efetivamente prestados, observando os critérios mínimos de qualidade estabelecidos;
c) monitorar o quantitativo de serviços em computação em nuvem efetivamente consumidos, para eventual readequação da quantidade demandada;
d) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
e) monitorar a manutenção das condições para assinatura do contrato.

7.5.5.2. Deve-se prever no Termo de Referência que a empresa contratada deverá disponibilizar ferramenta ou mecanismo que alerte o órgão ou entidade nas situações em que o consumo atingir determinados limites. 

7.5.5.3. O gestor do contrato, com apoio do fiscal técnico, deve assegurar nos autos do processo de fiscalização a rastreabilidade dos serviços consumidos com a finalidade pretendida, conforme art. 33 da Instrução Normativa SGD/ME nº 94, de 2022.

7.6.1.1. A remuneração por créditos de nuvem não se confunde com remuneração baseada em Unidade de Serviços de Nuvem - USN.

7.6.1.2. Esta modalidade consiste em uma forma de pagamento ofertada por alguns provedores de nuvem. Os clientes adquirem créditos que são usados para remunerar os custos de uso dos serviços em nuvem. Os créditos podem ser comprados antecipadamente e, à medida em que os recursos em nuvem são utilizados, os custos são deduzidos dos créditos, em vez de serem cobrados diretamente na conta do cliente.

7.6.1.3. A remuneração por créditos de nuvem pode se basear numa sistemática orientada a pagamento conforme o uso ou em uma sistemática de antecipação de pagamentos.

7.6.1.4. Deve-se prever, no Termo de Referência, catálogo contendo a identificação dos serviços e a respectiva quantidade de créditos relacionada a cada unidade de serviço, evitando-se a vinculação do Termo de Referência a catálogo externo.

7.6.1.5. Toda mudança aplicada aos Catálogos deve ser realizada mediante Termo Aditivo do contrato, nos termos do art. 124 da Lei nº 14.133, de 2021, acompanhado de expediente, a exemplo de Nota Técnica, contendo as justificativas para as alterações dos Catálogos.

7.6.1.6. Na sistemática de pagamento pelo uso, o pagamento pelos créditos utilizados deverá ser realizado mediante comprovação dos créditos efetivamente utilizados.

7.6.1.7. Caso admita-se a antecipação de pagamento, deve-se observar o disposto na seção Da previsão de antecipação de pagamentos.

7.6.1.8. O órgão ou entidade poderá exigir a prestação de garantia adicional como condição para o pagamento antecipado.

7.6.1.9. Caso o objeto não seja executado no prazo contratual, o valor antecipado deverá ser devolvido.

7.6.1.10. A utilização da modalidade pressupõe a elaboração pelo órgão ou entidade de estudos técnicos preliminares que evidenciem a necessidade de contratação de créditos do provedor de nuvem definido, sendo possível a indicação do provedor somente:
a) em decorrência da necessidade de padronização do objeto;
b) em decorrência da necessidade de manter a compatibilidade com plataformas e padrões já adotados pela Administração; e/ou
c) quando determinado provedor for o único capaz de atender às necessidades do contratante;

7.6.1.11. Deve-se prever no Termo de Referência a validade dos créditos ou, quando aplicável, a imprescritibilidade dos créditos.

7.6.1.12. O escopo de utilização ou eventuais limites para o uso dos créditos adquiridos devem constar no Termo de Referência.

7.6.2.1. Deve-se adotar mecanismos de gestão sob demanda, baseados na emissão de ordens de serviço.

7.6.2.2. Deve-se prever meios de controle do consumo dos créditos que não dependam exclusivamente das ferramentas fornecidas pela contratada, a exemplo de controle do consumo em relatório próprio que evidencie a quantidade e a finalidade dos créditos consumidos. 

7.6.2.3. A execução dos serviços está condicionada à emissão de ordem de serviço, contendo no mínimo as informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.6.2.4. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.6.2.5. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.6.3.1. O dimensionamento do volume dos serviços consiste na identificação do quantitativo de créditos a serem consumidos no período de vigência do contrato, a exemplo de: análise de contratos anteriores, levantamento do parque computacional de TIC, migração entre ambientes de nuvem, levantamento dos serviços em nuvem em execução pelo órgão ou entidade e a estimativa de novos projetos previstos para o período de vigência do contrato.

7.6.3.2. É necessário realizar Estudo Técnico Preliminar para estimativa de consumo para o período total de vigência do contrato, podendo ser solicitada uma quantidade de créditos menor no início da execução contratual, de acordo com a necessidade do órgão. 

7.6.3.3. Os estudos técnicos preliminares devem conter a memória de cálculo adotada para estimativa da quantidade serviços de computação em nuvem que embasou o dimensionamento do valor estimado para remuneração por créditos de nuvem.

7.6.3.4. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.6.3.5. Em caso de situação não prevista ou quantidade insuficiente de créditos para a realização de determinado projeto, novos créditos poderão ser adquiridos, desde que devidamente justificado e aprovado, através de Termo Aditivo do contrato, nos termos do art. 124 da Lei nº 14.133, de 2021.

7.6.4.1. O pagamento será efetuado mensalmente e relativo aos créditos consumidos no mês.

7.6.4.2. Caso admita-se a antecipação de pagamento, deve-se observar o disposto na seção Da previsão de antecipação de pagamentos. 

7.6.4.3. Caso o órgão ou entidade decida por utilizar o pagamento antecipado, é necessário apresentar justificativas técnicas e/ou econômicas no Estudo Técnico Preliminar e no Termo de Referência e também incluir cláusulas contratuais com previsão de garantias que assegurassem o pleno cumprimento do objeto pactuado.

7.6.4.4. O valor dos créditos deve ser contabilizado em reais e deverá incluir todos os impostos e taxas aplicáveis.

7.6.4.5. Deve-se prever que as condições praticadas pelo provedor de nuvem relativas a créditos promocionais ou gratuitos não impliquem em ônus à contratante.

7.6.4.6. A alteração do valor dos créditos só poderá ocorrer mediante processo de aditamento contratual, nos termos do art. 124 da Lei nº 14.133, de 2021.

7.6.5.1. O consumo dos créditos deverá ser controlado e documentado, vinculando à necessidades específicas durante a gestão do contrato.

7.6.5.2. O gestor do contrato, com apoio do fiscal técnico, deve assegurar nos autos do processo de fiscalização a rastreabilidade dos serviços consumidos com a finalidade pretendida, conforme art. 33 da Instrução Normativa SGD/ME nº 94, de 2022.

7.6.5.3. Deve-se prever no Termo de Referência que a empresa contratada deverá disponibilizar ferramenta ou mecanismo que alerte o órgão ou entidade nas situações em que o consumo atingir determinados limites.

7.6.5.4. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.

7.7.1.1. Essa modalidade de remuneração requer a definição de catálogos específicos por provedor que contenham, no mínimo, a definição dos serviços de nuvem, métricas e preços unitários para cada serviço.

7.7.1.2. Essa modalidade baseia-se na aplicação de desconto linear sobre os catálogos de serviços de computação em nuvem padronizados, previstos no Termo de Referência.

7.7.1.3. Os valores dos serviços deverão ser contabilizados em reais e deverão incluir todos os impostos e taxas aplicáveis.

7.7.1.4. O maior desconto oferecido pelo licitante vencedor será estendido aos eventuais termos aditivos.

7.7.1.5. O desconto deverá ser aplicado de forma linear para todos os itens constante no catálogo de serviços.

7.7.1.6. As atividades ou serviços técnicos adicionais que não se caracterizem como serviços de computação em nuvem previstos nos catálogos deverão ser remunerados por meio de outra modalidade constante neste modelo, sendo vedada a conversão de serviços executados por terceiros para os serviços previstos nos catálogos.

7.7.2.1. Os serviços de computação em nuvem constantes nos catálogos de serviços serão prestados sob demanda, conforme a necessidade do órgão ou entidade.

7.7.2.2. Os serviços de computação em nuvem que serão disponibilizados pela contratada deverão atender aos níveis mínimos de serviço estipulados pelo órgão ou entidade. 

7.7.2.3. Os serviços devem ser demandados mediante a emissão de ordem de serviço contendo, no mínimo, as informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.7.2.4. O órgão ou entidade deverá criar o catálogo de serviços de acordo com a sua necessidade, sendo vedado o mero apontamento aos catálogos disponibilizadas no sítio eletrônico do provedor de nuvem.

7.7.2.5. O catálogo de serviços de computação em nuvem padronizados deve ser elaborado seguindo as diretrizes estabelecidas na seção Da elaboração e utilização de catálogos de serviços de computação em nuvem padronizados (catálogo único e multicatálogo).

7.7.2.6. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada. 

7.7.2.7. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.7.3.1. O dimensionamento do volume dos serviços consiste na identificação do quantitativo de serviços de computação em nuvem, considerando a análise de contratos anteriores, levantamento do parque computacional de TIC a ser migrado para nuvem, migração entre ambientes de nuvem, levantamento dos serviços em nuvem em execução pelo órgão ou entidade e a estimativa de novos projetos previstos para o período de vigência do contrato. 

7.7.3.2. Os estudos técnicos preliminares devem conter a memória de cálculo adotada para estimativa da quantidade serviços de computação em nuvem e o preço estimado que embasou o dimensionamento para a modalidade.

7.7.3.3. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.7.4.1. A contratada será remunerada pelo serviço efetivamente prestado no âmbito da Ordem de Serviço (OS), aplicando-se o valor de desconto licitado para cada serviço de computação em nuvem consumido constante do catálogo de serviços previsto no Termo de Referência, observando o adimplemento dos níveis mínimos de serviços definidos.

7.7.4.2. Quando não houver OS aberta, não haverá prestação de serviço a ser remunerado.

7.7.4.3. O faturamento mensal será calculado de acordo com a seguinte fórmula:
Fm = soma((P x Q) - D) - soma(ajuste NMS)
onde:
Fm: faturamento mensal a ser pago à contratada;
P: preço de cada serviço constante no catálogo;
Q: quantidade de serviços efetivamente consumidos;
D: valor do desconto licitado; e
ajuste NMS: valor total de desconto, aplicado em virtude de não atendimento dos níveis
mínimos de serviço pela contratada.

7.7.5.1. O consumo dos serviços deverá ser controlado e documentado, vinculado à necessidades específicas durante a gestão do contrato.

7.7.5.2. O gestor do contrato, com apoio do fiscal técnico, deve assegurar nos autos do processo de fiscalização a rastreabilidade dos serviços consumidos com a finalidade pretendida, conforme art. 33 da Instrução Normativa SGD/ME nº 94, de 2022.

7.7.5.3. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.

7.8.1.1. Esta modalidade utiliza como métrica para fins de pagamento a instância computacional ou de banco de dados a ser gerenciado, incluindo o gerenciamento de todos os recursos tecnológicos relacionados à instância, a exemplo de recursos de rede, orquestração, virtualização, conteinerização, segurança, armazenamento, conectividade e outros serviços necessários à operação, gerenciamento, otimização, provisionamento, descomissionamento.

7.8.1.2. Os serviços que abrangem a modalidade são: planejamento, projeto, construção, execução, operação, monitoramento e otimização das instâncias gerenciadas e de todos os recursos tecnológicos em nuvem relacionados.

7.8.1.3. Os serviços deverão ser executados por profissionais especializados no provedor de nuvem ofertado, conforme critérios definidos pelo órgão ou entidade.

7.8.1.4. O objeto desta modalidade está delimitado à contratação do serviço de gerenciamento de instâncias computacionais e/ou de banco de dados, além do gerenciamento de todos os recursos tecnológicos em nuvem relacionados, não se confundindo com a intermediação dos recursos tecnológicos do provedor, ressalvados aqueles recursos utilizados exclusivamente para o serviço de gerenciamento, que deverão ser prestados sem ônus adicional ao órgão ou entidade.

7.8.1.5. O serviço de gerenciamento das instâncias independe do regime de operação dos recursos tecnológicos abrangidos pelo escopo das instâncias computacionais, tampouco do tempo de uso desses recursos, pois a finalidade do serviço de gerenciamento das instâncias é assegurar a disponibilidade, o desempenho, a segurança e a efetividade na alocação dos recursos computacionais relacionados à quantidade de instâncias computacionais previstas durante todo o período de utilização dos recursos previamente estabelecido na ordem de serviço.

7.8.2.1. Os serviços de gerenciamento de instâncias computacionais e/ou de banco de dados e seus recursos relacionados será realizado sob demanda, conforme escopo definido em Ordem de Serviço (OS), que deverá conter a quantidade máxima de instâncias a serem gerenciadas no período, além das informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.8.2.2. O órgão ou entidade deverá definir os prazos para execução dos serviços de gerenciamento, a exemplo de criação de instâncias de computação ou banco de dados, configuração ou alteração de atributos em instâncias de computação ou banco de dados, criação ou configuração de recurso de rede, armazenamento e segurança relacionados à instância gerenciada, etc.

7.8.2.3. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.8.2.4. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.8.3.1. O dimensionamento do volume dos serviços de gerenciamento de instâncias computacionais e/ou de banco de dados a ser contratada deve pautar-se, por exemplo:
a) pelo histórico de necessidades de gerenciamento de instâncias computacionais ou de banco de dados;
b) pela expectativa de criação de projetos ou cargas de trabalho específicas; e/ou
c) pela sazonalidade das necessidades de negócio que demandem o gerenciamento de instâncias computacionais ou de banco de dados em determinados períodos.

7.8.3.2. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.8.4.1. Deve-se prever o pagamento baseado apenas nas instâncias de computação ou de banco de dados efetivamente gerenciadas, observando-se a quantidade máxima de instâncias prevista na Ordem de Serviço (OS) para o período aferido e o atendimento aos níveis mínimos de serviços.

7.8.4.2. Quando não houver OS aberta não haverá prestação de serviço a ser remunerado.

7.8.4.3. O faturamento será calculado de acordo com a seguinte fórmula:
F = soma(P x Qig) - soma(Ajuste NMS)
onde,
F: faturamento a ser pago à empresa contratada;
P: preço fixo definido no contrato para remuneração do serviço de gerenciamento de cada instância gerenciada de computação ou de banco de dados;
Qig: quantidade efetiva de instâncias gerenciadas de computação ou de banco de dados aferida no período; e
Ajuste NMS: valor total de desconto sobre o faturamento, aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.8.5.1. Deve-se verificar a efetiva realização do serviço de gerenciamento para a quantidade de instâncias de computação ou de banco de dados, incluindo os recursos tecnológicos relacionados por parte da contratada, seja por meio da verificação de atendimento aos chamados, constatação do serviço de gerenciamento por meio de logs ou de registros realizados pelo órgão ou entidade contratante durante a fiscalização da execução do serviço.

7.8.5.2. O órgão ou entidade deverá verificar a qualificação profissional dos recursos humanos que serão alocados nesta modalidade a fim de garantir que eles estão de acordo com a especificação do Termo de Referência.

7.8.5.3. O órgão ou entidade poderá realizar auditorias, inclusive com apoio de terceiros, para comprovar que o serviço de gerenciamento foi executado adequadamente, conforme previsto no Termo de Referência.

7.8.5.4. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.

7.9.1.1. Esta modalidade utiliza como métrica para fins de pagamento a instância computacional ou de banco de dados migrada, do ambiente computacional utilizado pelo órgão ou entidade para o ambiente de nuvem (on-premises to cloud) ou de outro ambiente em nuvem utilizado pelo órgão ou entidade diferente da nuvem fornecida pela empresa contratada (cloud to cloud).

7.9.1.2. O escopo da migração deve incluir a instância a ser migrada propriamente dita e todos os recursos tecnológicos relacionados à instância, a exemplo de recursos de rede, orquestração, virtualização, conteinerização, segurança, armazenamento, conectividade, e outros serviços necessários à operação, gerenciamento, otimização, provisionamento, descomissionamento, com as devidas adaptações para o ambiente de destino.

7.9.1.3. A migração deve envolver ao menos as seguintes ações: diagnóstico, planejamento, identificação das máquinas e/ou imagens de instâncias, avaliação, preparação dos ambientes, execução, backup ou criação de condição de retorno em caso de falha, testes e estabilização do ambiente migrado em nuvem.

7.9.1.4. Recomenda-se, sempre que possível, prever a migração de instâncias computacionais e de banco de dados em itens separados, uma vez que a formação de preços da migração de instância computacional pode ser diferente da formação de preços da migração de instâncias de banco de dados.

7.9.1.5. Os serviços deverão ser executados por profissionais especializados da contratada no provedor de nuvem ofertado, conforme critérios definidos pelo órgão ou entidade.

7.9.2.1. Os serviços de migração de instâncias computacionais e/ou de banco de dados e seus recursos relacionados será realizado sob demanda, conforme escopo definido em Ordem de Serviço, que deverá conter a quantidade máxima de instâncias a serem migradas no período, além das informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022. 

7.9.2.2. O órgão ou entidade deverá definir os prazos para execução dos serviços de migração, a exemplo de criação de instâncias de computação ou banco de dados, configuração ou alteração de atributos em instâncias de computação ou banco de dados, criação ou configuração de recurso de rede, armazenamento e segurança relacionados à instância migrada.

7.9.2.3. A execução dos serviços está condicionada à emissão de ordem de serviço, contendo no mínimo as informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.9.2.4. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.9.2.5. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.9.3.1. São consideradas instâncias migradas para efeitos de contabilização da métrica associada ao serviço, as instâncias de computação criadas resultantes do processo de migração, independentemente da quantidade de ambientes, aplicações e soluções.

7.9.3.2. O processo de dimensionamento deve realizar a avaliação do ambiente computacional para migração (assessment), que consiste na determinação do estado atual do escopo de recursos computacionais a serem migrados em relação ao grau de compatibilidade ou aptidão para migração.

7.9.3.3. Para efeito de definição da quantidade estimada de instâncias computacionais e/ou de banco de dados a serem migradas, o órgão ou entidade deve realizar:
a) o levantamento da quantidade de instâncias atuais presentes nas cargas de trabalho que possuem potencial de migração para o ambiente de nuvem; e
b) a estimativa da quantidade adicional de instâncias a serem criadas no ambiente de nuvem, decorrente da migração, seja por meio de análise histórica, análise de contratações similares ou da aplicação de método próprio a ser documentado no estudo técnico preliminar.

7.9.3.4. Na elaboração da memória de cálculo, deve-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.9.4.1. Deve-se prever o pagamento baseado apenas nas instâncias de computação e/ou de banco de dados efetivamente migradas, observando-se a quantidade máxima de instâncias prevista na Ordem de Serviço (OS) para o período aferido e o atendimento aos níveis mínimos de serviços.

7.9.4.2. Deverão integrar o preço da unidade de serviço de migração de instâncias de computação e/ou de banco de dados migradas os custos com recursos humanos, tecnológicos e de processos da empresa contratada.

7.9.4.3. As ferramentas e recursos de nuvem utilizados pela empresa contratada exclusivamente para a realização do processo de migração deverão ser fornecidos sem ônus ao órgão ou entidade.

7.9.4.4. Quando não houver OS aberta, não haverá prestação de serviço a ser remunerado.

7.9.4.5. O faturamento será calculado de acordo com a seguinte fórmula:
F = soma(P x Qim) - soma(Ajuste NMS)
onde,
F: faturamento a ser pago à empresa contratada;
P: preço fixo definido no contrato para remuneração de cada instância migrada;
Qim: quantidade de instâncias migradas, conforme o respectivo valor definido n contrato; e
Ajuste NMS: valor total de desconto sobre o faturamento, aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.9.5.1. Deve-se manter o registro que contenha a identificação lógica ou física do recurso migrado com vistas a manter a rastreabilidade entre as instâncias migradas do ambiente de origem para o ambiente de destino.

7.9.5.2. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.

7.10.1.1. Remuneração por produtos de consultoria especializada em software e/ou serviços de computação em nuvem refere-se à forma de pagamento pela prestação de serviços de consultoria associados diretamente a produtos cujos padrões de qualidade, desempenho e precificação são aferidos de forma objetiva.

7.10.1.2. Nesse modelo de remuneração, o preço cobrado pela consultoria deve ser estabelecido com base em produtos previstos em catálogo de serviços a constar no Termo de Referência. Cada produto é dimensionado em termos de descrição detalhada do serviço, respectivos entregáveis e atividades, qualificação dos profissionais necessários, esforço necessário à execução dos serviços, prazo máximo de entrega dos produtos e quantitativo estimado de produtos a serem demandados.

7.10.1.3. A precificação de cada produto previsto no catálogo de serviços de consultoria baseia-se na definição prévia da quantidade de horas de referência relacionadas à entrega de cada produto. Dessa forma, o núcleo da unidade de medida que balizará o catálogo de serviços é a hora de serviço de consultoria.

7.10.1.4. Ressalta-se que a presente modalidade não admite o pagamento de horas de serviços desvinculadas de produtos previamente previstos no catálogo de serviços de consultoria anexo ao Termo de Referência cujos padrões de qualidade e desempenho são previamente definidos, assim como os limites máximos de produtos a serem demandados.

7.10.1.5. As atividades escopo do objeto a ser remunerado por produtos de consultoria devem necessariamente demandar conhecimento técnico especializado e que não sejam consideradas atividades rotineiras ou de possível realização por meio dos usuários, técnicos do órgão ou entidade ou de desenvolvedores contratados na construção ou manutenção da solução ou sistema.

7.10.2.1. O serviço de consultoria especializada em software e/ou serviços de computação em nuvem será realizado sob demanda, conforme escopo definido em Ordem de Serviço (OS), que deverá conter a quantidade máxima de horas de consultoria, além das informações contidas no Art. 32 da Instrução Normativa SGD/ME nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não funcionais, a exemplo de critérios mínimos de desempenho operacional da solução, critérios de segurança da informação, critérios de identidade visual e usabilidade.

7.10.2.2. O órgão ou entidade deve definir claramente as expectativas em relação ao trabalho a ser realizado e ao tempo necessário para concluir a consultoria, conforme os produtos previamente definidos no catálogo de serviços.

7.10.2.3. A equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria contratada.

7.10.2.4. Deve-se prever no Termo de Referência que a emissão de Nota Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.

7.10.3.1. No dimensionamento da remuneração por produtos de consultoria especializada em software e/ou serviços de computação em nuvem diversos fatores devem ser avaliados, a exemplo de:
a) histórico das necessidades de produtos e serviços de consultoria, caso exista;
b) estimativa dos perfis profissionais e respectivos quantitativos que serão necessários para execução dos serviços; e
c) estimativa do prazo máximo de entrega por produto de consultoria.

7.10.3.2. Na elaboração da memória de cálculo, devem-se observar as diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste modelo.

7.10.4.1. O valor da unidade de medida que balizará os produtos de consultoria especializada em software e/ou serviços de computação em nuvem (hora de referência de consultoria) deve ser contabilizado em reais e deve incluir todos os impostos e taxas aplicáveis.

7.10.4.2. O pagamento deverá ser realizado sempre vinculado ao produto após seu recebimento e aceite.

7.10.4.3. A contratada será remunerada pelo serviço efetivamente prestado no âmbito da Ordem de Serviço, aplicando-se o valor licitado para cada produto executado constante do catálogo de serviços previsto no Termo de Referência, observando o adimplemento dos níveis mínimos de serviços definidos.

7.10.4.4. O faturamento será calculado de acordo com a seguinte fórmula:
F = soma(P x Q) - soma(ajuste NMS)
onde:
F: faturamento a ser pago à contratada;
P: preço unitário por hora de consultoria especializada em software e/ou serviços de computação em nuvem por atividade constante no catálogo;
Q: quantidade máxima de horas previstas no catálogo para cada produto; e
ajuste NMS: valor total de desconto sobre o faturamento, aplicado em virtude de não atendimento dos níveis mínimos de serviço pela contratada.

7.10.5.1. Deve-se verificar os produtos efetivamente entregues e os resultados efetivamente alcançados pelo serviço de consultoria especializada em software e/ou serviços de computação em nuvem, conforme quantidade máxima prevista na Ordem de Serviço.

7.10.5.2. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.

7.10.5.3. Deve-se manter registro da execução do contrato, contendo a quantidade de horas utilizadas para cada produto entregue pelos serviços de consultoria para compor uma base histórica.

8.1. Deve ser avaliado o grau de dependência da solução a ser contratada e devem ser planejadas ações para minimizar impactos causados por eventual necessidade de substituir a solução a ser adquirida.

8.2. Como forma de mitigar os riscos de dependência tecnológica ou aprisionamento (lock-in), sempre que possível, devem ser realizadas ações preventivas antes ou durante a adoção de software ou da execução dos serviços em nuvem, a exemplo de:
a) utilizar APIs e padrões tecnológicos abertos;
b) trabalhar com multirregiões no provedor;
c) considerar o uso de tecnologia de contêineres, de forma a facilitar a implantação padronizada de soluções;
d) evitar o uso de tecnologias e ferramentas proprietárias que possam dificultar a portabilidade de aplicações e
de dados entre nuvens de diferentes provedores;
e) evitar o uso de bancos de dados proprietário de um provedor de nuvem específico;
f) considerar a contratação de mais de um provedor de nuvem como contingência; e
g) considerar a alternativa de utilizar a própria infraestrutura de TIC como contingência.

8.3. Deve-se prever mecanismos que assegurem a continuidade dos serviços, a exemplo de:
a) avaliar abordagens híbridas;
b) avaliar abordagens multicloud; e
c) avaliar a elaboração e a manutenção de um Plano de Continuidade de Negócios (PCN), relacionado aos serviços públicos suportados pela contratação de serviços de computação em nuvem.

8.4. Deve ser avaliada a relação custo-benefício de manter a solução implantada ou de substituí-la em casos que, mesmo havendo alto impacto na migração da solução, haja ganhos financeiros para o órgão ou entidade. Essa avaliação deve ser executada por meio da análise de TCO dos possíveis cenários, observando as orientações publicadas pela SGD.

8.5. Deve-se assegurar no Termo de Referência que os serviços a serem contratados permitam a portabilidade de dados e aplicativos e que as informações do Contratante estejam disponíveis para transferência de localização em prazo adequado, definido no termo de referência, e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar a transição contratual.

9.1. O suporte técnico deve ser prestado em nível corporativo, por intermédio do fabricante do software ou do provedor de nuvem com, no mínimo, a disponibilização das seguintes características:
a) central de atendimento para abertura de chamados para atendimento dos chamados de suporte técnico. O regime de atendimento (24x5, 8x5, 24x7x365 etc.) deve ser definido de acordo com a necessidade do órgão ou entidade. A central deverá ser acionada, preferencialmente, por meio de ligação gratuita ou ligação local, podendo a empresa contratada disponibilizar abertura de chamados pela internet. O atendimento deverá ser realizado em língua portuguesa, salvo em situações expressas previstas no Termo de Referência;
c) orientações para provisionar recursos, seguindo as práticas recomendadas do fabricante ou provedor para, por exemplo, reduzir custos, aumentar o desempenho e a tolerância a falhas e melhorar a segurança; e
e) orientações relacionadas à arquitetura, projeto, design, operação e resolução de problemas.

9.2. Deve-se exigir no Termo de Referência que a empresa contratada apresente comprovação da aquisição do suporte junto ao fabricante do software ou do provedor de nuvem pelo período estabelecido no contrato.

9.3. O órgão ou entidade deve avaliar a prestação de suporte técnico diretamente pela empresa contratada, caso esta não seja o fabricante ou provedor da solução ofertada.

10.1. O Termo de Referência deve conter, no que couber ao objeto contratado, requisitos e obrigações de privacidade e segurança da informação, devendo o órgão ou entidade empregar, conforme critérios próprios, aqueles requisitos que forem imprescindíveis, considerando a legislação vigente e os riscos de privacidade e segurança da informação.

10.2. Nas contratações de serviços em nuvem devem ser observados, no mínimo, os requisitos de privacidade e segurança da informação, além daqueles constantes nos templates de artefatos da contratação disponibilizados pela SGD em parceria com a AGU:

a) a contratação deve estar alinhada às normas correlatas publicadas pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR, a exemplo da IN GSI/PR nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

b) cada provedor de nuvem deve possuir, no mínimo, um datacenter no Brasil, capaz de ofertar serviços padronizados e altamente automatizados, nos quais os recursos de infraestrutura (por exemplo, computação, rede e armazenamento) são complementados por serviços de plataforma integrados, e deve cumprir os requisitos de segurança da informação estabelecidos nos artigos 20 e 25 da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

c) deve-se exigir, mediante justificativa prévia, que os provedores de serviços em nuvem possuam, no momento da assinatura do contrato, certificações de normas de segurança da informação aplicáveis ao objeto da contratação, assim como outros requisitos que objetivem mitigar riscos relativos à segurança da informação;

d) devem ser predefinidos canais para comunicação - de maneira rápida e eficiente, e de acordo com os requisitos legais, regulatórios e contratuais - de eventos de segurança da informação;

e) o contrato entre o órgão/entidade e o provedor/broker deve estabelecer direitos claros e exclusivos de propriedade do órgão ou da entidade contratante sobre todos os dados, informações e códigos tratados decorrentes do contrato, incluídas eventuais cópias, cópias de segurança, logs, além do acesso aos dados.

f) logs de auditoria do provedor, que registrem atividades de acesso de usuários privilegiados, tentativas de acesso autorizados e não autorizados, exceções do sistema e eventos de segurança da informação, devem ser
mantidos em conformidade com as políticas e regulamentos aplicáveis, e devem estar de acordo com as políticas do cliente;

g) deve-se prever cópia dos logs fornecidos pelo provedor, de acordo com a política de retenção do cliente;

h) deve-se implementar controle de acesso lógico apropriado ao grau de confidencialidade dos dados armazenados na nuvem e controles para transferência de dados, como criptografia e uso de VPN adequada;

i) cada provedor deve garantir controles eficazes e compatíveis com as políticas e procedimentos do cliente para gerenciamento de identidades de usuários e controle de acessos;

j) devem ser estabelecidas políticas e procedimentos para o uso de criptografia, incluindo gerenciamento de chaves criptográficas, que devem ser seguidos pelo cliente e pelo provedor;

k) os dados armazenados no provedor devem estar criptografados, sendo que o esquema criptográfico deve ser adequado ao nível de sigilo das informações e as chaves criptográficas não devem ser armazenadas na nuvem;

l) devem ser estabelecidos os limites do acesso do provedor aos dados do cliente e a responsabilidade do provedor em garantir o isolamento de recursos e dados contra acesso indevido por outros clientes;

m) devem ser definidos os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, e o provedor deve assegurar que dados sujeitos a limites geográficos não sejam migrados para além de fronteiras definidas em contrato; e

n) a utilização de termo de confidencialidade, que deverá conter cláusula que impeça o integrador ou provedor
de serviço de nuvem de usar, transferir, e liberar dados, sistemas, processos e informações do órgão ou da entidade para terceiros, como empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros, além de incluir a proibição do uso de informações do órgão ou da entidade para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não-autorizado.

11.1. A análise comparativa de soluções deve ser documentada e instruída no Estudo Técnico Preliminar, evidenciando-se a análise das seguintes perspectivas:
a) atendimento às necessidades de negócio, ou seja, deve-se verificar se cada solução possui capacidade de
atendimento aos requisitos de negócio de forma aderente e alinhada ao Plano Estratégico Institucional - PEI, ao Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC do órgão ou entidade, ao Plano de Contratações Anual - PCA e a outros instrumentos de planejamento externos, a exemplo da Estratégia de Governo Digital - EGD e do Plano Plurianual - PPA;
b) sustentação orçamentária, ou seja, deve-se verificar se cada solução proposta é composta de uma estrutura de custeio compatível ao alocado pelo órgão ou entidade para atender às necessidades de negócio;
c) efetividade da solução, ou seja, deve-se verificar se cada solução proposta apresenta a capacidade de alcance da finalidade pretendida com a contratação; e
d) comparação entre formas de fornecimento da solução (licenciamento perpétuo, subscrição, on-premises, como serviço e abordagem híbrida), considerando, sempre que possível, os custos totais de propriedade de cada forma, riscos e grau de atendimento às necessidades de negócio esperadas.

11.2. Para realização da análise comparativa de soluções, deve-se considerar aspectos qualitativos e quantitativos (aquisição, implantação, manutenção, ampliação/redução, renovação/substituição), conforme modelo de referência constante do ANEXO III, que poderá ser ajustado de acordo com a realidade do órgão ou projeto.

12.1. As pesquisas de preços para estimativa de valor dos objetos a serem licitados devem ser baseadas em uma "cesta de preços", devendo o órgão ou entidade dar preferência para preços públicos, oriundos de outros certames, sendo que a pesquisa de preços junto a fornecedores somente deve ser utilizada em caso extremo e, nesses casos, os requisitos da contratação devem ser os mínimos necessários, a fim de que a administração busque a competição durante o pregão.

12.2. O Preço Máximo de Compra de Item de TIC - PMC-TIC de itens constantes nos Catálogos de Soluções de TIC com Condições Padronizadas publicados pela SGD deverão ser utilizados como preço estimado, salvo se a pesquisa de preços realizada resultar em valor inferior ao PMC-TIC.

12.3. A estimativa de preço da contratação deverá ser realizada para elaboração do orçamento detalhado, composta por preços unitários e de acordo com a Instrução Normativa SEGES/ME nº 65, de 7 de julho de 2021, e suas atualizações, que versa sobre o procedimento administrativo para a realização de pesquisa de preços para a aquisição de bens e contratação de serviços em geral.

12.4. O órgão ou entidade deve realizar um juízo crítico na análise dos preços coletados, em especial quando houver grande variação entre os valores.

13.1. A Planilha de Custos e Formação de Preços é uma importante ferramenta que contribui para a análise crítica da composição dos preços unitários e total, com vistas a mitigar a assimetria de informações e auxiliar na eventual realização de diligências destinadas a esclarecer ou a complementar a instrução do processo. 

13.2. O órgão ou entidade deve disponibilizar, para cada item a ser licitado, uma Planilha de Custos e Formação de Preços, elaborada em conformidade com os modelos constantes no ANEXO VI.

13.3. A Planilha de Custos e Formação de Preços deve ser entregue pelo licitante durante a fase de recebimento de propostas e não se vincula à estimativa apresentada pelo órgão contratante na fase de planejamento da contratação. 13.4. Por se tratar de contratação exclusivamente vinculada à entrega de produtos e ao atendimento aos níveis mínimos de serviços, não se configura como contratação com dedicação exclusiva de mão de obra, contratação por homem/hora tampouco por postos de trabalho. 

14.1. A critério do órgão ou entidade, uma amostra do objeto poderá ser exigida da licitante classificada provisoriamente em primeiro lugar, a fim de comprovar as funcionalidades e as especificações estabelecidas no edital.

14.2. A avaliação da amostra do objeto deve ser isonômica e realizada em conformidade com os requisitos definidos no edital. 

14.3. As tarefas a serem executadas na amostra do objeto pela licitante vencedora do certame devem estar descritas de forma clara e precisa no Termo de Referência, abrangendo o tempo máximo para execução e, se necessário, as regras para aceitação de cada atividade, como, por exemplo, se será permitido o uso de scripts prontos e de ferramentas proprietárias na execução da tarefa.

14.4. Na contratação de software, deve-se evitar permitir apresentação de software trial ou equivalente como amostra do objeto.

15.1.1. O dimensionamento das necessidades é uma etapa fundamental a ser executada durante a construção do Estudo Técnico Preliminar. Para auxiliar essa atividade, a equipe de planejamento pode utilizar informações baseadas em aspectos como:
a) levantamento de ambientes;
b) tipos de usuários;
c) tipos de serviços;
d) histórico de chamados;
e) análise de contratos anteriores; e
f) informações relacionadas ao padrão esperado de atividades do órgão ou entidade.

15.1.3. Para mitigar problemas de inconsistências no dimensionamento da demanda é recomendável contar com pessoal qualificado, dotado de conhecimento técnico suficiente para compreender os principais aspectos tecnológicos envolvidos no dimensionamento e na execução de uma contratação de software ou de serviços de computação em nuvem. Quando não for possível atender a esse requisito, é recomendável priorizar a capacitação da equipe encarregada de dimensionar os serviços a serem contratados, ou contratar uma empresa especializada para prestação de apoio técnico nas atividades de planejamento da contratação.

15.1.4. A equipe de planejamento deve observar que a definição prévia da quantidade de horas para cada serviço requer experiência e base histórica para mitigar o risco de sobrepreço e/ou superfaturamento.

15.2.1. No Estudo Técnico Preliminar, o dimensionamento do volume de serviços a serem contratados deve ser precedido de memória de cálculo, conforme ANEXO V, que deve conter, no mínimo, os seguintes elementos:
a) as premissas que fundamentam os cálculos, devidamente justificadas, que devem, sempre que possível, se basear em medidas de mercado, com a identificação de quem as estabeleceu e de como a equipe de planejamento da contratação teve ciência delas;
b) as fórmulas de cálculo definidas para se chegar às quantidades a contratar;
c) os parâmetros de entrada, que são quantidades usadas nos cálculos, com as respectivas fontes dessas informações, ou seja, quantidades devidamente evidenciadas;
d) a explicitação dos cálculos feitos, utilizando-se os elementos anteriores; e
e) a identificação das pessoas que elaboraram a memória de cálculo.

16. DA UTILIZAÇÃO DE CATÁLOGOS DE SOLUÇÕES DE TIC COM CONDIÇÕES PADRONIZADAS NA CONTRATAÇÃO DE SOFTWARE

16.1. A existência de Catálogos de Soluções de TIC com Condições Padronizadas, publicados pela SGD, não obriga, direta ou indiretamente, qualquer órgão ou entidade que integre os poderes da União, Estados ou Municípios a celebrar qualquer contrato para a aquisição ou fornecimento de licenças ou serviços dos fabricantes que possuem catálogos publicados.

16.2. O órgão ou entidade, a partir de sua necessidade, deve realizar os estudos técnicos preliminares, analisando soluções alternativas e demais orientações previstas nas leis e normas que regem as contratações de soluções de tecnologia da informação e comunicação.

16.3. Caso a solução escolhida, resultante do Estudo Técnico Preliminar, contenha item presente nos Catálogos de Soluções de TIC com Condições Padronizadas publicados pela SGD, os documentos de planejamento da contratação, assim como as propostas comerciais das empresas licitantes e da empresa vencedora do certame e o Termo Contratual, deverão utilizar obrigatoriamente, no mínimo, os seguintes elementos:
a) item ou identificador SGD;
b) nome específico, nome oficial e/ou descrição;
c) categoria ou linha do software, serviço ou produto;
d) código de identificação unívoca do fabricante (part number, SKU etc.);
e) modelo de licenciamento;
f) métrica ou unidade;
g) tipo de software, serviço ou produto;
h) unidade de referência; e
i) PMC-TIC.

17.1. Os serviços de computação em nuvem a serem contratados devem ser dispostos em uma lista denominada Catálogo de Serviços de Computação em Nuvem Padronizado, que deve conter todas as informações necessárias à identificação inequívoca de cada serviço. A depender das especificidades da demanda, pode ser necessária a elaboração de um catálogo único ou de um catálogo composto (multicatálogo).

17.1.1.1. Existem dois possíveis cenários para elaboração de um Catálogo de Serviços de Computação em Nuvem Padronizado Único:

17.1.1.2. O primeiro cenário refere-se aos casos em que os serviços a serem contratados possam ser prestados por qualquer provedor de nuvem que atenda aos requisitos do edital. Os itens que compõem o catálogo único devem ser definidos com base nos estudos técnicos preliminares, quando o órgão ou entidade deve proceder com a identificação dos serviços em nuvem que serão necessários ao atendimento da demanda e que são comuns à maior quantidade possível de provedores de nuvem, observados os requisitos previamente estabelecidos, como níveis de disponibilidade e de segurança da informação. 

17.1.1.3. Essa abordagem de elaboração de Catálogo de Serviços de Computação em Nuvem Padronizado Único é adequada para demandas que incluam principalmente serviços básicos ou essenciais, que são ofertados pela maioria dos provedores de nuvem (recursos de IaaS e bancos de dados de uso mais disseminado, por exemplo). A oferta desses serviços geralmente encontra-se em um nível razoável de padronização por parte dos provedores, o que permite equipará-los e definir uma métrica única para medir o consumo e a remuneração por cada serviço.

17.1.1.4. Por outro lado, se demanda a ser atendida necessitar de serviços muito diversos ou de alta complexidade, a construção do catálogo único pode ser difícil de concretizar. Isso por que serviços mais específicos, ou que utilizam tecnologias mais avançadas (inteligência artificial, big data e machine learning, por exemplo), podem possuir diferentes modelos de negócio e formas de remuneração distintas entre dois ou mais provedores de nuvem, o que dificulta a padronização e consequente definição de uma métrica única.

17.1.1.5. O segundo cenário possível para elaboração de Catálogo de Serviços de Computação em Nuvem Padronizado Único refere-se aos casos em que os serviços a serem contratados sejam específicos de um determinado provedor de nuvem. Os itens a compor o catálogo único devem ser definidos com base nos estudos técnicos preliminares, quando o órgão ou entidade deve proceder com a identificação dos serviços em nuvem ofertados pelo provedor que serão necessários ao atendimento da demanda.

17.1.1.6. O órgão ou entidade contratante deverá incluir o Catálogo de Serviços de Computação em Nuvem Padronizado como anexo do Termo de Referência, composto pela lista de todos os serviços ofertados pelo provedor de nuvem estabelecido, sendo vedado referenciar links, ou catálogo eletrônico fornecido pelo provedores de nuvem.

17.1.1.7. Importa salientar que para utilização dessa abordagem é necessário que os estudos técnicos preliminares demonstrem de forma clara, precisa e inequívoca que a demanda do órgão ou entidade somente poderá ser atendida por meio da contratação dos serviços ofertados por um determinado provedor de nuvem ou que a contratação de um provedor de nuvem em específico é a estratégia que apresenta maior vantajosidade para o órgão ou entidade.

17.2.1. Para as demandas que necessitam de serviços em nuvem de alta complexidade ou de difícil predefinição, em virtude, por exemplo, da impossibilidade de definir, na fase de estudos técnicos preliminares, todos os serviços que serão necessários para implementação de projetos futuros, o órgão ou entidade pode considerar a elaboração de um catálogo composto ou Multicatálogo de Serviços de Computação em Nuvem Padronizado.

17.2.2. O multicatálogo deve ser composto pelas listas de serviços individuais ofertados pela maior quantidade possível de provedores de nuvem, observados os requisitos previamente estabelecidos, como níveis de disponibilidade e de segurança da informação.

17.2.3. Os itens que compõem o multicatálogo devem ser definidos com base nos estudos técnicos preliminares, quando o órgão ou entidade deve proceder com a identificação dos serviços em nuvem ofertados pelos provedores que serão necessários ao atendimento da demanda. Caso os estudos demonstrem a impossibilidade de definição de todos os itens que poderão ser contratados durante a vigência contratual, o órgão ou entidade poderá compor o multicatálogo com todos os serviços ofertados por todos os possíveis provedores.

17.2.4. O órgão ou entidade contratante deverá incluir o Multicatálogo de Serviços de Computação em Nuvem Padronizado como anexo do Termo de Referência, composto pelas listas individuais de todos os serviços ofertados pelos provedores de nuvem que forem estabelecidos, sendo vedado referenciar links, ou catálogos eletrônicos fornecidos pelos provedores de serviços de computação em nuvem.

17.3. Os Catálogos de Serviços de Computação em Nuvem Padronizados (sejam Únicos ou Multicatálogos) conterão, no mínimo, os seguintes atributos para cada serviço:
a) código de identificação do serviço: código a ser utilizado para individualizar e facilitar a identificação dos itens do Catálogo de Serviços;
b) nome do serviço: declaração do nome do serviço, conforme nomenclatura padronizada pelo órgão ou entidade contratante ou utilizada pelo provedor de nuvem;
c) descrição do serviço: exposição resumida do serviço;
d) descrição complementar: complementações à descrição do serviço, caso existam;
e) métrica: unidade utilizada para fins de mensuração do serviço em função do volume consumido; e
f) fator de mensuração do serviço: valor adimensional fixo associado ao custo do serviço em função de cada
unidade da métrica utilizada.

17.4. Toda a mudança aplicada aos Catálogos de Serviços de Computação em Nuvem, incluindo a adição de novos serviços ou atualizações em serviços de computação em nuvem que os integram, ou ainda, a desativação de serviços, deve ser realizada mediante Termo Aditivo do contrato, nos termos do art. 124 da Lei nº 14.133, de 2021.

17.5. Reforça-se que é vedada a vinculação direta a catálogo externo ao Termo de Referência, conforme art. 5º, inciso X da IN SGD/ME nº 94, de 2022. 17.6. Caso verifique-se a necessidade de previsão de serviços específicos disponibilizados via marketplace dos provedores de nuvem, todos os serviços de computação em nuvem necessários, inclusive aqueles prestados via marketplace, deverão constar dos catálogos de serviços e deverão estar sujeitos aos mesmos limites e regras de alteração e utilização aplicados aos demais serviços a constar dos catálogos de serviços de computação em nuvem.

18.1. A contratação do serviço de consultoria especializada em software e/ou serviços de computação em nuvem deve se pautar em catálogos de serviços que contenham, no mínimo:
a) a descrição da atividade de consultoria;
b) o volume de horas a serem remuneradas pela execução da atividade;
c) os perfis mínimos de profissionais aptos a executarem a atividade;
d) os produtos e os resultados esperados para cada atividade;
e) o prazo máximo de execução da atividade; e
f) os critérios de aceitação dos produtos e resultados gerados pela atividade.

18.2. As atividades constantes do catálogo devem se referir apenas aos serviços de consultoria especializada em software e/ou serviços de computação em nuvem, sendo vedada a conversão de outros serviços de licenciamento de software ou intermediação de recursos de serviços em nuvem em serviços de consultoria.

19.1.1. A verificação da qualidade constitui-se em procedimento indispensável para a fiscalização e a gestão de contratos de serviços da Administração Pública. Proporciona a devida verificação na medida em que o que está sendo entregue ao longo do contrato efetivamente corresponde ao resultado esperado (ou planejado). Nesse sentido, indicadores de níveis de serviços devem ser definidos para todo e qualquer contratação de software e de serviços de computação em nuvem, observando-se o conjunto mínimo de indicadores capaz de assegurar a efetiva prestação de serviço com a qualidade esperada.

19.2.1. O gerenciamento dos níveis mínimos de serviço consiste no monitoramento e controle da qualidade na execução dos serviços em função dos resultados pretendidos, por meio de um conjunto de procedimentos preestabelecidos pelo órgão ou entidade.

19.2.2. Com vistas a assegurar a efetiva prestação dos serviços com a qualidade esperada, os indicadores de níveis de serviço devem adotar métricas associadas a resultado e abranger, no mínimo, as dimensões de qualidade, desempenho do produto e prazo de entrega. 

19.2.3. Os indicadores são instrumentos práticos de aferição do cumprimento do alcance dos níveis mínimos de serviço, evidenciando de maneira objetiva e mensurável o desempenho e as tendências de um serviço demandado. Devem ser objetivamente mensuráveis e compreensíveis, de preferência facilmente coletáveis, relevantes e adequados à natureza e características do serviço.

19.2.4. Devem-se adotar cláusulas contratuais relacionadas a níveis de serviço que sejam alinhadas aos objetivos de negócio, observando as práticas adotadas pelo mercado, evitando estipular prazos para resolução de problemas que sejam inferiores àqueles definidos no modelo de comercialização do fabricante, salvo situações devidamente justificadas nos autos.

19.2.5. Recomenda-se que o órgão realize a aferição dos indicadores de níveis de serviço por meio de ferramenta automatizada, que não esteja sob gestão da contratada, de modo a otimizar a rotina de fiscalização e a gestão do contrato.

19.2.6. É vedada a aferição de indicadores de níveis de serviço baseada exclusivamente em dados fornecidos pela própria contratada.

19.2.7. A definição dos indicadores de níveis de serviço deve considerar as necessidades de negócio, os riscos associados ao processo e a criticidade dos serviços.

19.2.8. A seguir, apresenta-se uma lista exemplificativa de indicadores aplicáveis nas contratações de software e de serviços de computação em nuvem:

a) Indicador de Atraso na Entrega (IAE)

b) Indicador de Chamados atendidos dentro do Prazo (ICP)

c) Indicador de Disponibilidade de Serviço (IDS)

d) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI)

e) Indicador de Satisfação dos Usuários (ISU)

f) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG)

g) Indicador de Tempestividade no Gerenciamento ou Migração dos serviços (ITGM)

h) Indicador de Conformidade no Gerenciamento ou Migração dos serviços (ICGM)

19.2.9. Devem-se adotar, no mínimo, os seguintes indicadores por modalidade de remuneração:

19.2.9.1. Remuneração de software por licença perpétua adquirida:
a) Indicador de Atraso na Entrega (IAE); e
b) Indicador de chamados atendidos dentro do prazo (ICP).

19.2.9.2. Remuneração por subscrição:
a) Indicador de Atraso na Entrega (IAE);
b) Indicador de Chamados atendidos dentro do Prazo (ICP); e
c) Indicador de Disponibilidade de Serviço (IDS).

19.2.9.3. Remuneração por Unidade de Serviço em Nuvem:
a) Indicador de Atraso na Entrega (IAE);
b) Indicador de Chamados atendidos dentro do Prazo (ICP);
c) Indicador de Disponibilidade de Serviço (IDS);
d) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI); e
e) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG).

19.2.9.4. Remuneração por créditos de nuvem:
a) Indicador de Atraso na Entrega (IAE);
b) Indicador de Chamados atendidos dentro do Prazo (ICP);
c) Indicador de Disponibilidade de Serviço (IDS);
d) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI); e
e) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG).

19.2.9.5. Remuneração de serviços de nuvem por maior desconto:
a) Indicador de Atraso na Entrega (IAE);
b) Indicador de Chamados atendidos dentro do Prazo (ICP);
c) Indicador de Disponibilidade de Serviço (IDS);
d) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI); e
e) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG).

19.2.9.6. Remuneração por instâncias gerenciadas:
a) Indicador de Atraso na Entrega (IAE);
b) Indicador de Chamados atendidos dentro do Prazo (ICP);
c) Indicador de Disponibilidade de Serviço (IDS);
d) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI);
e) Indicador de Satisfação dos Usuários (ISU); e
f) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG).

19.2.9.7. Remuneração por instâncias migradas:
a) Indicador de Chamados atendidos dentro do Prazo (ICP);
b) Indicador de Disponibilidade de Serviço (IDS);
c) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI);
d) Indicador de Satisfação dos Usuários (ISU);
e) Indicador de Tempestividade no Gerenciamento ou Migração dos serviços (ITGM); e
f) Indicador de Conformidade no Gerenciamento ou Migração dos serviços (ICGM).

19.2.9.8. Remuneração por produtos de consultoria especializada em software e/ou serviços de computação em nuvem:
a) Indicador de Atraso na Entrega (IAE); e
b) Indicador de Satisfação dos Usuários (ISU).

19.2.10. Cada órgão ou entidade deverá avaliar a necessidade da criação de outros indicadores além daqueles mínimos obrigatórios descritos nesta seção, com vistas a assegurar o atendimento às necessidades de negócio e ao alcance dos resultados pretendidos com a contratação.

19.3.1. As glosas e sanções devem ser proporcionais à relevância ou significância de cada indicador de Nível Mínimo de Serviço (NMS), de modo a assegurar o alcance da qualidade, segurança e tempestividade na contratação de software ou de serviços de computação em nuvem.

19.3.2. Para a contratação de serviços de software, incluindo subscrição, e serviços de computação em nuvem, sempre que possível, a equipe de planejamento da contratação deve implementar um mecanismo gradual de aplicação de glosas proporcionais ao grau ou ao impacto do inadimplemento das condições previstas no Termo de Referência. Para a contratação ou aquisição de licenciamento de software quando for previsto pagamento à vista, a equipe de planejamento da contratação deve implementar um mecanismo gradual de aplicação de sanções, uma vez que somente cabe aplicação de glosas quando houver pagamento pendente.

19.3.3. Há duas abordagens na definição dos mecanismos de glosas que podem ser adotadas:
a) Abordagem fixa, baseada na definição de faixas fixas de ajuste no pagamento, de forma independente entre os Níveis Mínimos de Serviço; e
b) Abordagem ponderada, baseada na definição de um valor máximo de desconto possível, em conjunto com a adoção de um mecanismo de ponderação de acordo com a relevância de cada Nível Mínimo de Serviço.

19.3.4. Na abordagem fixa, a definição do nível de desconto para cada faixa de ajuste por nível de serviço deve ser dimensionada em função do risco associado ao descumprimento do NMS e o respectivo impacto para o alcance dos resultados, assegurando-se a proporcionalidade entre o ajuste e o impacto da ação ou comportamento que se deseja coibir.

19.3.5. Na abordagem ponderada, devem-se atribuir pesos percentuais para cada NMS que, somados, não ultrapassem um valor situado no intervalo de 250 a 300%, além de se fixar um limite máximo de desconto. Assim, durante a aplicação de uma penalidade, se o limite aplicável de glosa sobre as faturas for de 30%, tem-se a seguinte fórmula: peso do NMS descumprido x 30%. Caso o somatório dos pesos dos NMS descumpridos ultrapasse 100%, aplica-se o desconto máximo previsto, a exemplo de 30%.

19.3.6. As condições passíveis de aplicação de sanções devem ser apresentadas de forma detalhada em quadro específico, a exemplo do quadro constante no template de Termo de Referência para serviços de TIC, publicado pelo Órgão Central do SISP.

19.4.1. Com vistas a assegurar a qualidade dos serviços e a fim de mitigar os riscos de recebimento de serviços diferentes daqueles especificados pelo órgão ou entidade, devem-se estabelecer critérios mínimos de aceitação, ou seja, condições de aceite ou não do serviço executado, avaliando, quando couber:
a) qual é o software específico ou serviço em nuvem que está sendo disponibilizado;
b) se o software ou serviço em nuvem especificado na proposta comercial é o mesmo que está sendo entregue ao órgão ou entidade, considerando aspectos como: o nome, a versão, a categoria, forma de licenciamento e o código de identificação unívoca;
c) se o software entregue está devidamente licenciado junto ao fabricante;
d) se o quantitativo demandado foi efetivamente disponibilizado ou prestado;
e) se foram disponibilizadas informações inerentes ao uso do software entregue, por meio de consoles ou portais disponibilizados pelo próprio fabricante;
f) se o prazo de suporte e/ou garantia do software ou serviço em nuvem contratado é o mesmo estabelecido no contrato;
g) se foram fornecidos registros de licença do software ou chaves de instalação e documentação técnica original do fabricante;
h) se foi disponibilizado acesso a portal do fabricante, que permite a administração das licença de software; e
i) se a contratada disponibilizou as licenças e o acesso ao portal do cliente.

19.4.2. Recomenda-se a adoção de checklist para a conferência dos critérios mínimos de aceitação apresentados nesta seção, conforme os exemplos de listas de verificação contidos no ANEXO VII. 

19.4.3. Deve-se registrar nos autos do processo de fiscalização a verificação do atendimento aos critérios mínimos de aceitação ou registro de ocorrência.

19.4.4. Cada órgão ou entidade deve manter um processo interno de recebimento dos serviços de software e de computação em nuvem, observando as diretrizes constantes no art. 33 da IN SGD/ME nº 94, de 2022.

20.1. Os mecanismos de gerenciamento de custos de serviços de computação em nuvem são elementos fundamentais para assegurar a governança e a supervisão na gestão contratual em relação aos limites autorizados de execução dos recursos a serem previstos nas ordens de serviço.

20.2. O órgão ou entidade deve prever no Termo de Referência a estrita observância, para fins de pagamento, aos limites de recursos e serviços estabelecidos em cada ordem de serviço formalmente demandados pelo gestor do contrato.

20.3. O órgão ou entidade deve assegurar que cada carga de trabalho:
a) seja precedida de planejamento operacional compatível com os objetivos previstos na ordem de serviço;
b) possua cotas que limitem o consumo de determinado recurso de acordo com as necessidades da CONTRATANTE;
c) permita o gerenciamento de capacidade com antecedência com vistas a evitar a limitação inesperada do consumo de recursos conforme limites previamente estabelecidos na ordem de serviço; e
d) preveja mecanismos de controle de custos por meio de alertas relacionados a situações em que os gasto atingirem determinados limites previamente estabelecidos na ordem de serviço.

20.4. O gerenciamento de custos deve ser responsabilidade da contratada, conforme diretrizes previamente estabelecidas nas ordens de serviço.

20.5. O órgão ou entidade poderá avaliar durante o planejamento da contratação a necessidade da contratação de serviços especializados de auditoria técnica de serviços de computação em nuvem, com vista a assegurar a otimização dos recursos de computação em nuvem utilizados.

21.1. O contrato a ser firmado poderá ter vigência de até 5 (cinco) anos, nas hipóteses de serviços e fornecimentos contínuos, podendo ser prorrogado, até o limite de 10 (dez) anos, conforme as regras e diretrizes estabelecidas nos arts. 105 a 107 da Lei nº 14.133, de 2021.

21.2. A definição da vigência do contrato deve considerar aspectos técnicos e econômicos do objeto, devidamente registrados nos Estudos Técnicos Preliminares pela equipe de planejamento da contratação. As justificativas para o prazo de vigência adotado devem constar no Termo de Referência.

22.1. Excepcionalmente, admite-se o pagamento antecipado para remuneração por créditos se constatado que a solução propiciará sensível economia de recursos ou representará condição indispensável para a prestação do serviço, hipóteses que deverão ser previamente justificadas no estudo técnico preliminar por meio de memória de cálculo específica e serem expressamente previstas no Termo de Referência.

22.1.1. Entende-se por sensível economia, a redução no custo total de propriedade igual ou superior a 30% (trinta por cento) em relação às demais modalidades comparadas, ou outro percentual definido pelo órgão, desde que demonstrada de forma clara a vantajosidade econômica em nível de custo total de propriedade (TCO).

22.2. O órgão ou entidade deverá avaliar, durante o planejamento da contratação, a necessidade de exigência da prestação de garantia adicional como condição para o pagamento antecipado, considerando os respectivos riscos identificados no mapa de gerenciamento de riscos da contratação.

2.3. Deverão constar no Termo de Referência cláusulas que prevejam a devolução do valor antecipado caso o objeto não seja executado no prazo contratual.

23.1. O órgão ou entidade deve realizar um estudo abrangente para a análise dos riscos sobre os itens a serem licitados e sobre o contrato, contemplando, entre outras medidas, a identificação, a análise, a avaliação, o plano de tratamento e o monitoramento dos riscos identificados.

23.2. Devem ser incluídos no escopo da análise de riscos as etapas de execução contratual, de negociação das prorrogações do contrato e de licitação para a substituição do fornecedor, aplicando, em cada etapa, as ações cabíveis previstas no referido plano de tratamento de riscos.

23.3.1. Os riscos durante o processo de contratação de software ou de serviços de computação em nuvem devem ser tratados de acordo com a política de gestão de riscos de cada órgão ou entidade, embasando as decisões de tratamento do risco de acordo com a realidade da organização e levando-se em consideração o apetite de risco da alta administração, o limite de exposição a riscos, o impacto na política pública que pode ser afetada, os instrumentos de governança em vigor, as questões legais em curso, a dependência tecnológica do fornecedor, a dificuldade de substituição do fornecedor, a descontinuidade no fornecimento por eventos imprevistos ligados ao fornecedor, dentre outros, sempre atentando para os possíveis impactos decorrentes desses riscos.

23.3.2. Independentemente da modalidade adotada, o órgão deve realizar o mapeamento de riscos da contratação, detalhando a identificação, a classificação e o tratamento dos riscos associados às contratações públicas. De forma complementar, deve-se considerar, no mínimo, os seguintes riscos, específicos para contratação de software ou serviços de computação em nuvem:

a) Volumetria da contratação incompatível com a realidade do órgão ou entidade.
Descrição: Utilização de critérios não condizentes com a realidade do órgão ou entidade para elaboração da análise de custo total de propriedade (TCO), levando a um subdimensionamento ou superdimensionamento do quantitativo do objeto licitado, com consequente necessidade de aditivos ou novas contratações e com possibilidade de insuficiência de saldo contratual ou dano ao erário;

b) Não cumprimento dos níveis de serviços mínimos estabelecidos no Termo de Referência.
Descrição: Entrega de uma solução com características de qualidade inferiores às especificadas, levando ao não atendimento das necessidades de negócio, com consequente prejuízo às atividades finalísticas do órgão e ao alcance dos resultados pretendidos com a contratação;

c) Falhas na segurança da informação e privacidade da solução.
Descrição: Não observância dos padrões mínimos de segurança e privacidade da informação, levando a problemas de disponibilidade, integridade, confidencialidade e autenticidade, com consequente prejuízo às atividades finalísticas do órgão ou entidade e ao alcance dos resultados pretendidos com a contratação;

d) Contratação de modelo licenciamento de software, de implantação ou de prestação de serviços em
nuvem que não atenda a necessidade do órgão ou entidade.
Descrição: Não observância dos requisitos de contratação, levando à escolha de um modelo incompatível com a necessidade, com consequente prejuízo às atividades finalísticas do órgão ou entidade, ao alcance dos resultados pretendidos com a contratação e dano ao erário;

e) Atraso na entrega dos serviços contratados.
Descrição: Demora pela contratada em entregar o produto ou serviço contratado, levando ao não atendimento das necessidades de negócio, com consequente prejuízo às atividades finalísticas do órgão ou entidade e ao alcance dos resultados pretendidos com a contratação;

f) Especificação incorreta dos modelos de licenciamento de software, de implantação ou de prestação de serviços em nuvem.
Descrição: Especificação dos modelos fora dos padrões técnicos apropriados, levando a um subdimensionamento ou superdimensionamento da capacidade dos serviços com consequente prejuízo às atividades finalísticas do órgão ou entidade, ao alcance dos resultados pretendidos com a contratação e dano ao erário;

g) Incompatibilidade do modelo de licenciamento de software, de implantação ou de prestação de serviços em nuvem escolhido com outras soluções de TIC existentes no órgão ou entidade.
Descrição: Contratação de um modelo de serviço sem levar em consideração possíveis impactos na infraestrutura de TIC atual do órgão, levando ao não atendimento das necessidades de negócio, com consequente prejuízo às atividades finalísticas do órgão ou entidade e ao alcance dos resultados pretendidos com a contratação; e

h) Encerramento de chamados de forma prematura.
Descrição: Falha no controle que permita que a contratada encerre chamados sem a efetiva finalização e comprovação de cumprimento dos níveis de serviço, levando a prejuízo às atividades finalísticas do órgão ou entidade, com consequente prejuízo ao alcance dos resultados pretendidos com a contratação e dano ao erário.

i) Não alinhamento da contratação às reais necessidades finalísticas do órgão ou entidade.
Descrição: Risco de não alinhamento dos produtos e serviços de software e nuvem a serem contratados às reais necessidades finalísticas do órgão ou entidade, levando a prejuízo às atividades finalísticas do órgão ou entidade, com consequente prejuízo ao alcance dos resultados pretendidos com a contratação e dano ao erário.

j) Baixa Resiliência da infraestrutura de TIC.
Descrição: Adoção de infraestruturas de TIC vulneráveis ou com fragilidades estruturais ou de segurança, levando a indisponibilidades dos serviços mantidos pela infraestrutura, com consequente prejuízo aos serviços públicos prestados, à segurança e à integridade dos dados mantidos.

k) Dependência aos fornecedores de nuvem (riscos na saída).
Descrição: Aumento da dependência dos recursos e serviços específicos de determinado provedor de serviços de computação em nuvem, levando à necessidade de prorrogações ou novas contratações específicas de determinado provedor com consequente prejuízo à economicidade da contratações ou à indisponibilidade dos serviços em eventual migração em um cenário de alta dependência tecnológica.

l) Ocorrência de sanções comerciais nos países em que se localizam as infraestruturas de TIC que mantêm os serviços de computação em nuvem ou subscrição de software.
Descrição: Eventual sanção comercial entre países em que se encontram as infraestruturas de TIC que sustentam os serviços de computação em nuvem ou as subscrições do software contratado levando à indisponibilidade dos dados mantidos ou dos serviços contratados, independentemente da aplicação das sanções contratuais previstas sobre a contratada, com consequente prejuízo à prestação dos serviços públicos.

m) Não observância de restrições legais quanto às informações sujeitas a sigilo.
Descrição: Manter informações sujeitas a diferentes tipos de sigilo com previsão legal em ambientes de TIC não autorizados legalmente, levanto à ofensa ao principio da legalidade com consequente exposição de informações sigilosas a situações de vulnerabilidade a acesso não autorizado ou à indisponibilidade de acesso.

n) Perda do controle ou da governança sobre as informações mantidas em ambiente de nuvem.
Descrição: A dependência dos serviços de computação em nuvem ou de utilização de software sob o regime de subscrição pode resultar na perda do controle do órgão sobre as informações armazenada no provedor de nuvem ou mantidas em software sob regime de subscrição, levando a um aumento da fragilidade na prestação dos serviços com consequente prejuízo à disponibilidade, integridade, segurança das informações mantidas em ambiente de nuvem ou em software sob subscrição.

o) Não padronização dos serviços em cenário de multicloud.
Descrição: A diferença entre produtos entre os provedores de serviços em nuvem pode dificultar a padronização dos serviços utilizados pela área de TIC do órgão ou entidade, levando a oscilações na qualidade dos serviços prestados e dificuldade de migração dos serviços entre provedores, com consequente queda na qualidade dos serviços públicos mantidos na infraestrutura de TIC.

p) Migração de aplicação para ambiente ou para provedor que não ofereça os recursos mais adequados à otimização do uso de recursos com a aplicação.
Descrição: Migrar aplicações para provedores que não possuam os recursos de otimização mais adequados à aplicação, levando a aumento do consumo ou redução do desempenho com consequente prejuízo ao erário e prejuízo à qualidade do serviço público.

q) Aumento de custos de cargas de trabalho não distribuídas entre provedores de forma eficiente e otimizada.
Descrição: Distribuição de cargas de trabalho não planejadas ou não otimizadas em termos de custos entre diferentes provedores levando a um consumo elevado de recursos com consequente gasto ineficiente de recursos públicos.

r) Redução da competitividade em longo prazo.
Descrição: Mudanças no mercado de provedores de computação em nuvem podem reduzir a competitividade, levando à dificuldade na continuidade da contração de determinados provedores com consequente necessidade de alteração constante, implicando em maior chance de indisponibilidade.

s) Redução ou ausência de recursos humanos especializados.
Descrição: Quantidade reduzidas de técnicos especializados em determinado provedor levando a aumento dos custos de gerenciamento e operação dos recursos em nuvem com consequente prejuízo ao erário.

t) Redução da quantidade de cloud brokers especializados em determinado provedor.
Descrição: A redução do marketshare de determinado provedor ou de sua penetração no mercado
brasileiro pode implicar na redução da cadeia de revendas e na quantidade de cloud brokers levando à redução da competição e, por conseguinte, aumento dos custos e da dependência a grupo restrito de cloud brokers.

u) Descontinuidade dos serviços ou mudanças dos recursos tecnológicos a longo prazo.
Descrição: Os recursos tecnológico remotos podem sofrer mudanças significativas ou até mesmo descontinuidade dos produtos levando a aumento de custos para migração ou adaptação às mudanças com consequente possibilidade de interrupção dos serviços e aumento não previstos de gastos.

24.1. O órgão ou entidade deve estabelecer procedimento relacionado à transição e encerramento contratual, incluindo, no mínimo, a obrigação do integrador/provedor em efetuar a devolução dos dados, informações e sistemas à contratante, a eliminação de dados, a retenção de dados conforme legislação e a garantia ao direito ao esquecimento para os dados pessoais.

25.1. Na contratação de serviços de computação em nuvem via integrador (cloud broker), deve-se assegurar que todo serviço de computação em nuvem seja intermediado com agregação de valor por parte do cloud broker. Ou
seja, a contratação via cloud broker pressupõe dois modelos de compartilhamento de responsabilidades:
a) totalmente gerenciado pelo cloud broker; e
b) parcialmente gerenciado pelo cloud broker.

25.2. Nas contratações de serviços multinuvem o cloud broker deverá atuar como integrador dos serviços de computação em nuvem entre o órgão ou a entidade, conforme estabelecido no art. 21 da IN GSI/PR nº 5, de 2021.

25.3. Para se definir os limites dos modelos de compartilhamento de responsabilidades, deve-se estabelecer no Termo de Referência uma matriz de responsabilidades capaz de identificar, controlar e assegurar as responsabilidades na relação entre o cloud broker e o órgão ou entidade contratante, identificando-se o ator e o respectivo papel ou função.

25.4. A matriz de responsabilidades, cujo modelo consta no ANEXO IV, deve incluir um registro formal sobre o uso de serviços de computação em nuvem no órgão ou entidade, contendo, a exemplo, as seguintes informações:
a) a função na prestação dos serviços;
b) o responsável pelos serviços (órgão/entidade ou cloud broker); e
c) nível de responsabilidade.

26.1. Toda emissão de ordem de serviço deverá ser precedida de levantamento da demanda real dos volumes de bens ou serviços a constar da ordem de serviços, considerando as atuais necessidades de negócio e eventuais riscos inerentes à prestação dos serviços finalísticos do órgão ou entidade e observando os limites previstos no contrato.

26.2. Os fiscais técnicos devem manter nos autos dos processos administrativos de fiscalização do contrato todas as evidências de modo a conter as informações suficientes que permitam a verificação posterior do que foi pago e do que foi utilizado.

26.3. Os volumes de bens e serviços a constar de toda ordem de serviço devem ser precedidos de levantamentos, estimativas e cálculos que justifiquem a real demanda associada às cargas de trabalho a serem implementadas ou mantidas, considerando, sempre que possível, o padrão de atividade do negócio, eventuais picos de consumo ou sazonalidades relacionadas aos requisitos de negócio e riscos inerentes às atividades finalísticas associadas aos objetivos da ordem de serviço.

27.1. O presente modelo substitui o Guia de Boas Práticas, Orientações e Vedações Para Contratação de Serviços de Computação em Nuvem, e deve ser observado nos planejamentos da contratação iniciados após a sua publicação, sendo facultativo a sua adoção para os processos cujo planejamento da contratação tenha se iniciado antes de sua publicação ou para os casos de prorrogação de contratos anteriores.

(Nesta seção podem constar considerações iniciais e gerais sobre o escopo do documento.)

(Nesta seção pode constar a identificação dos objetivos a serem alcançados na adoção da estratégia de uso de software e de serviços de computação em nuvem, além da identificação das áreas e respectivas competências relacionadas à implementação da estratégia.)

(Os seguintes aspectos podem ser considerados na definição das diretrizes de uma estratégia para o uso de software e de serviços de computação em nuvem:

a) Identificação das necessidades do negócio: é necessário identificar e avaliar as necessidades de negócio antes da contratação de software e de serviços de computação em nuvem. Deve-se determinar quais sistemas, aplicações, dados e serviços precisam ser movidos para a nuvem, como eles serão acessados e quais recursos computacionais e de armazenamento serão necessários;

b) Seleção dos modelos adequados: é necessário avaliar quais modelos de serviço (IaaS, PaaS, SaaS) e de implementação (nuvem pública, nuvem privada, nuvem híbrida etc.) melhor se adequam aos requisitos de negócio. Caso o órgão ou entidade não possua maturidade suficiente na contratação de serviços em nuvem ou possua impedimentos técnicos ou normativos para migração de alguns workloads, é recomendável sempre dar preferência à adoção de uma abordagem estratégica de nuvem híbrida. Caso o órgão possua maturidade e já tenha concluído que a demanda prevista pode ser atendida integralmente por meio de serviços em nuvem, uma abordagem completa, incluindo as demandas de migração do ambiente on-premises para a nuvem pode ser adotada;

c) Avaliação dos possíveis fornecedores: os estudos técnicos preliminares devem abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos requisitos de negócio, de forma a garantir que exista uma quantidade mínima de fornecedores com experiência e que atendam aos requisitos necessários ao atendimento da demanda. Fatores como segurança, conformidade, disponibilidade e suporte técnico devem ser considerados nessa avaliação;

d) Definição de requisitos de segurança: deve-se determinar quais requisitos de segurança são importantes ou mandatórios para o negócio e deve ser avaliado, quando for o caso, como cada possível fabricante ou fornecedor atende a esses requisitos;

e) Estabelecimento de uma política de governança: deve-se assegurar que a política de governança do órgão ou entidade abranja a identificação e classificação de dados, controle de acesso, gerenciamento de configuração e, quando for o caso, monitoramento das atividades em nuvem, de modo a garantir que os serviços a serem contratados sejam executados em conformidade com os padrões adotados pelo órgão ou entidade; 

f) Diretrizes de uso seguro de software e de serviços de computação em nuvem: o órgão ou entidade deve conhecer os normativos que versam sobre segurança da informação e sobre o tratamento de informações em nuvem, bem como identificar, sob essa perspectiva, quais os sistemas ou workloads que podem ser migrados, assim como as medidas de gerenciamento de risco a serem adotadas para resguardar as informações sigilosas que eventualmente serão tratadas em ambiente de nuvem;

g) Avaliação quanto às condições mínimas de infraestrutura de TIC do órgão ou entidade para utilizar serviços de computação em nuvem, a exemplo de conexão estável com a Internet e com banda suficiente;

h) Definição de diretrizes de governança para o uso da nuvem, com papéis e responsabilidades dos atores organizacionais (da TI, das áreas de negócio e da nuvem);

i) Estabelecimento dos princípios norteadores da estratégia (ex.: cloud first, liftand-shift como último recurso, uso de broker multicloud etc.); j) Alinhamento com outros planos estratégicos, a exemplo do Plano Estratégico Institucional (PEI), Plano Estratégico de TI (PETI), Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC), Plano de Contratações Anual (PCA), Planos de Segurança da Informação, etc.;

k) Estabelecimento de linhas de base e metas de benefícios/resultados esperados, a exemplo de mapeamento "AS IS" e "TO BE", objetivando maior agilidade, redução de custos, resiliência, mais segurança etc.);

l) Considerações sobre capacitação da equipe do órgão ou entidade que gerenciará, operará ou utilizará os recursos de software e de computação de serviços em nuvem, identificando as capacidades e habilidades necessárias;

m) Considerações sobre portabilidade e interoperabilidade entre sistemas, dados e serviços, bem como a viabilidade de adoção de medidas para mitigar a dependência tecnológica ou aprisionamento ao provedor;

n) Requisitos regulatórios e de conformidade;

o) Indicação da Estratégia de Saída, considerando a análise de dependências e aspectos de portabilidade, (backup, redundância, contratos de apoio, retorno para a infraestrutura local etc.); e

p) Análise de riscos, considerando os itens apresentados no 23.3.2 do Anexo II desta portaria.)

(Nesta seção podem ser descritos os aspectos dispostos na Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021.)

(O documento deve ser assinado por membros do Comitê de Governança ou instância equivalente ou superior do órgão ou entidade.)

1. Análise Comparativa de soluções sob os aspectos qualitativos:

2. Análise Comparativa de Soluções sob os aspectos quantitativos:

1. Os papéis e responsabilidades do integrador de nuvem e os diferentes serviços previstos na contratação devem ser dispostos conforme exemplo constante nesta seção.

2. Recomenda-se adotar elementos padronizados para caracterizar a forma de relação entre o ator e o respectivo
papel ou função, conforme a seguir:
a) Responsável (R): executor da função;
b) Avaliador (A): instância de aprovação prévia;
c) Consultado (C): possui informações e capacidade necessária à conclusão do serviço; e
d) Informado (I): deve ser notificado após a conclusão do serviço.

3. Há dois modelos de compartilhamento de responsabilidades previstos na contratação de serviços em nuvem:
a) totalmente gerenciado pelo cloud broker, cenário em que há a oferta de recursos de computação em nuvem, incluindo uma camada de gerenciamento total dos recursos por parte do cloud broker; e
b) parcialmente gerenciado pelo cloud broker, cenário em que o cloud broker oferta os recursos de computação em nuvem agregando valor a cada serviço por meio de suporte técnico e disponibilização de meios para orquestração e provisionamento dos serviços.

4. O modelo de governança descrito nesta seção admite a coexistência de ambos cenários durante a execução do
contrato, conforme condições a serem previstas no Termo de Referência pelo órgão ou entidade. Por exemplo, pode-se prever que o cloud broker atue de três formas distintas:
a) em um modelo parcialmente gerenciado: neste modelo, o órgão ou entidade demanda apenas os serviços de computação em nuvem (IaaS, PaaS e SaaS) e se responsabiliza pelo aprovisionamento, gerenciamento e operação dos recursos, utilizando a plataforma de gestão de recursos disponibilizada pelo cloud broker;
b) em um modelo totalmente gerenciado: o órgão ou entidade demanda os serviços de computação em nuvem (IaaS, PaaS e SaaS) e adicionalmente demanda os serviços de gerenciamento completo desses recursos. Neste caso, o cloud broker assume a responsabilidade total pelo aprovisionamento, gerenciamento e operação dos serviços de computação em nuvem. Este cenário é adequado para o órgão ou entidade que não possui equipe especializada própria; ou
c) em um modelo híbrido: o órgão ou entidade demanda parte dos recursos de computação em nuvem (IaaS, PaaS e SaaS) no modelo parcialmente gerenciado, e outra parte dos recursos no modelo totalmente gerenciado. Este cenário é adequado para situações que demandem picos de sazonalidade ou para cargas de trabalho consideradas críticas pelo órgão ou entidade.

5. A seguir, apresenta-se um exemplo de matriz de responsabilidades para o modelo parcialmente gerenciado:

I. Premissas adotadas para contratação de software:
1. alocar uma licença de uso por pessoa, considerando servidores e estagiários dos departamentos XXXXX que necessitam do software, como previsto pelo Comitê de Governança da organização pública e registrado na ata do dia XX/XX/XXXX (conforme evidências em Anexo XXXXX);

II. Fórmulas de cálculo:
1. nº de licenças necessárias = nº de servidores (pessoas) + nº de estagiários + nº de ....;
2. nº de licenças compartilhadas = nº de recursos de TI compartilhados.

III. Parâmetros de entrada:
1. 2.500 servidores (pessoas), de acordo com consulta ao sistema de pessoal da organização pública realizada em XX/XX/XXXX (conforme evidências em Anexo XXXXX);
2. 300 estagiários, de acordo com memorando enviado à equipe de planejamento da contratação pela unidade que os contrata e os dispensa em XX/XX/XXXX (Anexo XXXX);
3. 5 funcionários contratados (conforme Anexo XXXX);
4. 200 licenças atualmente em uso que não necessitam de substituição/renovação.

IV. Execução dos cálculos:
1. Cálculo do número de licenças necessárias:

2. Cálculo do número de licenças a contratar:
nº de licenças a contratar = 2.805 licenças necessárias - 200 licenças atualmente em uso que não necessitam de
substituição/renovação = 2.605 licenças a contratar.

V. Equipe responsável pela elaboração da memória de cálculo da quantidade a contratar:

1.1. O órgão ou entidade deve elaborar uma Planilha de Custos e Formação de Preços para cada item a ser licitado, conforme a estrutura mínima abaixo, nas contratações de software ou de serviços de computação em nuvem nas modalidades de remuneração:
a) de software por licença perpétua adquirida
b) por subscrição;
c) por Unidade de Serviço em Nuvem;
d) por créditos de nuvem; ou
e) de serviços de nuvem por maior desconto.

2.1. O órgão ou entidade deve elaborar uma Planilha de Custos e Formação de Preços para cada item a ser licitado, conforme a estrutura mínima abaixo, nas contratações de software ou de serviços de computação em nuvem nas modalidades de remuneração por:
a) instâncias gerenciadas;
b) instâncias migradas; ou
c) serviço de consultoria especializada em software e/ou serviços de computação em nuvem.

a) Custo de Pessoal: consolida todos os custos incorridos com a utilização de serviços de profissionais necessários à intermediação, operação e utilização dos recursos tecnológicos. Deverá ser computado o somatório de todos os custos acrescidos dos encargos aprovisionados (tais como remuneração, encargos sociais, auxílios e benefícios dos recursos humanos diretamente envolvidos);

b) Custos com software: equivale ao somatório de todos os custos de disponibilização e utilização de recursos de software que integrarão a prestação dos serviços (tais como licenciamento, subscrição);

c) Custos com recursos de computação: equivale ao somatório de todos os custos de disponibilização e utilização de recursos lógicos e virtuais de computação que integrarão a prestação dos serviços (tais como infraestrutura como serviço, plataforma como serviço, instâncias de computação, plataformas, armazenamento, rede, backup, segurança, middlewares, centrais de processamento de dados, entre outros recursos de computação);

d) Custos com suporte técnico: equivale ao somatório de todos os custos de suporte técnico que integrarão a prestação dos serviços (tais como atendimento e suporte técnico dos produtos de software ou recursos computacionais);

e) Custos com atualização e correção: equivale ao somatório de todos os custos de atualização e correção dos recursos tecnológicos que integrarão a prestação dos serviços (tais como atualizações de versão dos produtos e correção de erros - bug fix);

f) Custos com hardware: equivale ao somatório de todos os custos de disponibilização e utilização de hardware localmente e diretamente na prestação dos serviços (tais como appliances, controladoras, servidores de computação, recursos tecnológicos físicos);

g) Custos com serviços de informações: equivale ao somatório de todos os custos de fornecimento de informações técnicas especializadas às equipes que prestam os serviços (tais como plataformas digitais de fornecimento de conteúdo técnico especializado, serviços de mentoring e consultoria, plataformas de suporte especializado, entre outras soluções de fornecimento de informações técnicas especializadas);

h) Elementos Comerciais (Fatores/Ajustes Comerciais): fator de preço que pode ser aplicado, tendo como base estratégias de negócio, elementos mercadológicos e estratégias de precificação da empresa (tais como margem operacional, margem de risco, margem de lucro, markup, custo de revenda dentre outros fatores interno e externos considerados na precificação);

i) Cobertura Tributária: fator de preço que inclui os custos tributários associados à prestação dos serviços que variam de acordo com o planejamento tributário de cada empresa.

1.1. As listas de verificação apresentadas neste anexo devem ser utilizadas como referência para elaboração das listas de verificação que constarão da seção relacionada aos critérios de aceitação dos serviços no respectivo Termo de Referência. 

1.2. A análise dos critérios de aceitação dos serviços não se confunde com a análise dos níveis mínimos de serviços, que devem ser realizados após a verificação dos critérios de aceitação e registrados em documento próprio a constar dos autos do processo de fiscalização do contrato.

2.1 Para contratação de software

2.2.  Para contratação de serviços de computação em nuvem (IaaS, PaaS, SaaS)

2.3. Para contratação de instâncias gerenciadas

2.4. Para contratação de instâncias migradas

2.5. Para contratação de consultoria especializada em software e/ou serviços de computação em nuvem