Todos os artigos
Segmentos em Licitação

Licitação para computação em nuvem e data center no governo: regras e requisitos

Saiba como contratar serviços de nuvem e data center na administração pública: marco normativo, modelo de governança, fiscalização do TCU e padronização com o IPP-TIC.

A contratação de serviços de computação em nuvem e data center pelo governo brasileiro é disciplinada por um conjunto de normas específicas, que incluem a Instrução Normativa SGD/ME nº 94/2022 e a Portaria SGD/MGI nº 5.950/2023. Essas regras definem desde os requisitos técnicos e de segurança até o modelo obrigatório de processo de contratação para órgãos do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP).

Qual é o marco normativo das contratações de nuvem no governo federal?

O principal marco normativo é a Instrução Normativa SGD/ME nº 94/2022, que disciplina o processo de contratação de soluções de TIC no âmbito do SISP. Ela estabelece as fases de planejamento, seleção do fornecedor e gestão contratual. Para as contratações de software e serviços de computação em nuvem, a Portaria SGD/MGI nº 5.950/2023 tornou obrigatório o uso de um modelo específico de contratação para processos iniciados a partir de 30 de abril de 2024. Esse modelo inclui minutas de edital, termo de referência e contrato adaptados ao regime da Lei nº 14.133/2021.

Além disso, os órgãos devem observar os requisitos de segurança da informação definidos pela Instrução Normativa GSI/PR nº 5/2021, que trata da política de segurança da informação nos órgãos da administração pública federal.

Quais são os requisitos de governança e técnicos para contratar nuvem e data center?

O modelo de contratação de software e serviços de computação em nuvem do governo federal incentiva abordagens híbridas e a atuação de cloud brokers para gestão multi-nuvem. Os principais requisitos técnicos e de governança incluem:

RequisitoDescrição
Nacionalidade dos dadosDados governamentais devem ser armazenados em território nacional; armazenamento externo é permitido apenas com cópia em solo brasileiro.
Segurança e privacidadeO contrato deve prever controles de acesso, criptografia e proteção de dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD).
Qualidade do data centerA norma ABNT ISO/IEC 22.237-1:2023 é de observância obrigatória para requisitos e níveis de qualidade de data centers.
Continuidade de negóciosO serviço deve garantir disponibilidade, redundância geográfica e plano de contingência.

O modelo também prevê a possibilidade de contratação por meio de Sistema de Registro de Preços (SRP), permitindo que múltiplos órgãos adquiram serviços padronizados.

Como o TCU fiscaliza as contratações de nuvem?

O Tribunal de Contas da União (TCU) monitora as contratações centralizadas de nuvem no governo federal, apontando riscos de fragmentação e falhas de governança. O órgão recomenda que os contratos incluam cláusulas rigorosas de disponibilidade, proteção de dados e redundância geográfica. A ausência de uma estratégia nacional abrangente para adoção de nuvem é um ponto de atenção recorrente nos relatórios de auditoria. Os gestores devem, portanto, estruturar a contratação com base em estudos técnicos preliminares sólidos e justificativas claras de economicidade.

O que é o IPP-TIC e como padroniza as contratações?

O Instrumento de Padronização dos Procedimentos de Contratação de Soluções de TIC (IPP-TIC) foi lançado pela Advocacia-Geral da União (AGU) e pelo Ministério da Gestão e da Inovação em Serviços Públicos. Ele uniformiza os procedimentos de contratação de TIC, incluindo os serviços de nuvem e data center, em conformidade com a Lei nº 14.133/2021. O guia detalha o fluxo completo, desde o Documento de Formalização da Demanda (DFD) até a gestão contratual, oferecendo modelos de artefatos e checklists. Para o licitante, conhecer esse instrumento ajuda a entender as etapas e a preparar propostas mais alinhadas às exigências dos órgãos.

Perguntas frequentes

Qual a validade do modelo de contratação de nuvem da Portaria 5.950/2023?

O modelo é obrigatório para processos iniciados após 30 de abril de 2024. Ele deve ser utilizado por todos os órgãos do SISP, salvo justificativa técnica aprovada pela autoridade competente.

É obrigatório usar a IN SGD/ME nº 94/2022 para toda contratação de nuvem?

Sim, a IN 94/2022 se aplica a todas as contratações de soluções de TIC no âmbito do SISP, incluindo serviços de computação em nuvem e data center. Ela estabelece as fases de planejamento, seleção e gestão contratual.

O que acontece se os dados governamentais forem armazenados fora do Brasil?

A regra geral é o armazenamento em território nacional. O armazenamento externo é excepcional e exige autorização com justificativa, além da manutenção de cópia dos dados em solo brasileiro, conforme diretrizes de segurança da informação.

Como o licitante pode se preparar para participar de uma licitação de nuvem?

O licitante deve conhecer o modelo de contratação da Portaria 5.950/2023 e o IPP-TIC, além de comprovar experiência em serviços de nuvem com atestados de capacidade técnica. A habilitação técnica exige demonstração de conhecimento em arquiteturas híbridas, segurança e padrões como a ISO/IEC 22237.

O TCU já decidiu algo relevante sobre contratação de nuvem?

Em auditorias recentes, o TCU destacou a necessidade de cláusulas contratuais que assegurem disponibilidade e proteção de dados, além de alertar para o risco de fragmentação das contratações. Recomenda-se acompanhar acórdãos específicos sobre o tema para adequar as práticas.