A carta resume sugestões da BRASSCOM sobre a regulamentação do Decreto 8.135, incluindo: não criar padrões locais de certificação, definir caminhos para proteger dados em cooperação com a indústria, e ter cautela na implementação do decreto para não transferir custos indevidos ou causar mais turbulência.
CONTRIBUIÇÕES AO PLS 330/2013, QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS...
Sobre o Decreto 8135 e sua regulamentação – Sugestões.
1. BRASSCOM – Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal, 263 – conjunto 151 – Vila Olímpia – CEP: 04551-060 - São Paulo – SP
Tel: +55 11 3053-9100 / Fax: +55 11 3053-9115
www.brasscom.org.br
São Paulo, 17 de fevereiro de 2014.
À Secretária de Logística e Tecnologia da Informação do MPOG
Loreni Foresti
Assunto: Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Prezada Secretária,
A segurança de dados é um desafio de todos os governos e empresas no mundo e a
indústria de Tecnologia da Informação tem como uma de suas facetas principais a
construção de softwares e o desenvolvimento de arquiteturas de sistemas e de redes que
forneçam tal proteção.
A experiência ao longo de toda a história desta indústria mostra que proteções não são
invioláveis, porque os sistemas não são estáticos, mas dinâmicos, sujeitos à intervenção
humana, para o bem ou para o mal.
A garantia de sistemas robustos é baseada numa arquitetura integrada que leve em
consideração os pontos de maior fragilidade do sistema, por meio dos quais se quebra a
segurança da informação. A consistência do sistema implica uma solução integrada
composta por, entre outros, uma arquitetura adequada, linguagens, processos de
desenvolvimento, codificações, qualificações e criptografia. As possibilidades de ataques
aos sistemas ocorrem em múltiplas situações e não apenas porque neles sejam inseridos,
premeditadamente, recursos lógicos ou físicos para a espionagem. Auditorias podem até
ser feitas, mas não são segurança de infalibilidade anti-hackers.
A regulamentação do Decreto 8.135 deve levar em conta esses elementos centrais e
também considerar que o estabelecimento de padrões não aceitos globalmente podem
provocar custos e distúrbios na indústria de Tecnologia da Informação no País,
extremamente sensível a regras de Propriedade Intelectual.
É forçoso reconhecer que, já no estágio atual, a indústria de TI se ressente em seus
negócios das consequências dessa mudança de regra em curso, com paralisia de contratos
em andamento e contratações programadas. Isso poderá ser tanto mais danoso quanto
maior for a instabilidade por ela causada.
Preocupa no decreto a ampliação da dispensa de licitação a título de segurança nacional,
porque muito ampla e imprecisa. Também preocupa o alargamento do conceito de redes
de telecomunicações, a ponto de poder contaminar Tecnologia da Informação com outros
impostos, a exemplo de ICMS, o qual incide sobre Telecom, mas não sobre TI.
2. BRASSCOM – Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal, 263 – conjunto 151 – Vila Olímpia – CEP: 04551-060 - São Paulo – SP
Tel: +55 11 3053-9100 / Fax: +55 11 3053-9115
www.brasscom.org.br
Como sugestão, a BRASSCOM indica ao governo que a adoção de padrões e
certificações internacionais, a exemplo do Common Criteria, representará o melhor
caminho para dotar o País de critérios de segurança comumente aceitos pela indústria.
Nesse sentido, trabalhar com o estado da arte das tecnologias neste campo coaduna-se
com o papel que o Brasil pretende desempenhar no debate global sobre a governança da
Internet, o qual terá um momento de destaque em abril na Reunião Multissetorial Global
sobre o Futuro da Governança da Internet (NETmundial)
Como sugestões finais, a BRASSCOM propõe, na regulamentação do referido decreto:
a. Não criação de padrões locais de certificação e auditoria de sistemas;
b. Definição de um caminho plausível, em cooperação com a indústria, para
desenvolver os pontos críticos da proteção de dados;
c. Cautela na implementação do § 2º do Art. 1º, de modo que os serviços de correio
eletrônico oferecidos por órgãos e entidades da Administração Pública Federal
não sejam restritivos nem causem, com rupturas desnecessárias, mais turbulências
do que soluções.
d. Para garantir que as soluções sejam adequadas e efetivas, os critérios de
qualificação das mesmas devem ser uniformes, quaisquer que sejam os entes
provedores, público ou privado.
e. Que as mudanças almejadas pelo Decreto tenham o cuidado de não transferir
custos indevidos para a indústria, comprometendo a confiança em investimentos
futuros.
Com esses propósitos e sugestões, continuamos, como sempre, abertos e dispostos a colaborar
com o governo para o melhor entendimento possível.
Respeitosamente,
Edmundo M. Oliveira
Diretor de Relações Institucionais da Brasscom