Contratação de Serviços em Data Center
Fatores-Chave para Contratação

Secretaria de Governo

DO ESTADO DE SÃO PAULO


SUMÁRIO

1       Resumo............................................................................................................................ 4

2       Introdução........................................................................................................................ 6

3       Considerações sobre a classificação da informação a ser armazenada................. 6

3.1      Confidencialidade:................................................................................................... 6

3.1.1         Acordos de confidencialidade............................................................................ 6

3.1.2         Processo de autorização para os recursos de processamento da informação 6

3.1.3         Identificando segurança da informação nos acordos com terceiros................. 6

3.1.4         Recomendações para classificação.................................................................. 7

3.1.5         Segurança em recursos humanos..................................................................... 7

3.1.6         Registros de auditoria......................................................................................... 7

3.1.7         Proteção das informações dos registros (logs).................................................. 7

3.1.8         Registros (log) de administrador e operador...................................................... 7

3.1.9         Registro de usuário............................................................................................. 7

3.2      Integridade:.............................................................................................................. 7

3.2.1         Perímetro de segurança física........................................................................... 7

3.2.2         Controles de entrada física................................................................................. 7

3.2.3         Instalação e proteção do equipamento.............................................................. 8

3.2.4         Utilidades............................................................................................................ 8

3.2.5         Manutenção dos equipamentos......................................................................... 9

3.2.6         Reutilização e alienação segura de equipamentos............................................ 9

3.2.7         Remoção de propriedade................................................................................... 9

3.2.8         Procedimentos e responsabilidades operacionais............................................. 9

3.3      Disponibilidade....................................................................................................... 10

3.3.1         Controle de vulnerabilidades técnicas.............................................................. 10

3.3.2         Notificação de fragilidades e eventos de segurança da informação............... 10

3.3.3         Gestão da continuidade do negócio................................................................. 11

4       Considerações sobre os níveis de Data Center segundo a ANSI/TIA 942............. 11

5       Requisitos para data centers....................................................................................... 12

5.1      Considerações sobre o ambiente do data center.................................................. 12

5.2      Conectividade a internet, conectividade entre equipamentos, conectividade com a rede corporativa e serviços adicionais a serem fornecidos.......................................... 15

5.3      Requisitos para a segurança física........................................................................ 16

5.4      Requisitos para a segurança lógica....................................................................... 17

5.5      Requisitos para a segurança elétrica..................................................................... 17

5.6      Requisitos sobre espaço de armazenamento....................................................... 18

5.7      Requisitos de SLA para os serviços contratados.................................................. 19

5.7.1         Disponibilidade da Infraestrutura básica do Data Center................................. 19

5.7.2         Disponibilidade da conectividade à internet..................................................... 20

5.7.3         Desempenho da conectividade a internet........................................................ 20

5.7.4         Atendimento de Service Desk......................................................................... 20

6       Matriz de classificação das informações e sistemas................................................ 21

6.1      Fase 1: Confidencialidade..................................................................................... 21

6.2      Fase 2: Integridade................................................................................................ 22

6.3      Fase 3: Disponibilidade.......................................................................................... 22

7       Conclusões e considerações finais............................................................................ 24

8       Anexos............................................................................................................................ 24

9       Referência bibliográfica............................................................................................... 24

 


1       Resumo

Este relatório é parte integrante do Contrato nº: 014/2013, Processo SGP 48456/2013, celebrado entre a Secretaria de Governo do Governo do Estado de São Paulo – SGP – e o CPqD.

O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web sejam competitivos.

Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a contratação de serviços de data center que será utilizado pelos órgãos do Estado.

Este documento consolida os resultados das atividades 2 e 3, que compreendem, respectivamente o levantamento dos fatores-chave na definição de contratação e a elaboração de uma metodologia que relacione requisitos de data center ao tipo de serviço. Na primeira, faz-se o levantamento de todas as informações relevantes para a especificação de contratação de serviços de data centers, considerando os níveis de segurança lógica, elétrica e física, além de questões de conectividade, espaço, disponibilidade e modelagem de informações. Na segunda, são descritas as necessidades de um data center de acordo com tipo de serviço a ser hospedado e frente à importância dos fatores-chave.

Antes de definir quais requisitos são desejáveis na contratação de um data center, o contratante deve analisar cada informação ou sistema que migrará para um provedor de data center, independente da modalidade (colocation ou hospedagem). De fato, conforme exposto no item 4.1 do relatório PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de data center” as informações devem ser classificadas quanto à sua: confidencialidade, limitando seu acesso apenas à entidades legítimas, autorizadas pelo detentor da informação; integridade, garantindo que a informação detém as características originais estabelecidas pelo seu detentor durante todo seu ciclo de vida; e disponibilidade, garantindo que a informação esteja sempre disponível para um acesso legítimo.

Para se garantir que os serviços contratados estejam atendendo de maneira adequada aos requisitos de confidencialidade, integridade e disponibilidade, deve-se buscar sempre contratar uma infraestrutura compatível com as necessidades identificadas. Em outras palavras, nem sempre é necessário se contratar um data center Tier IV, quando um Tier II atende plenamente às necessidades do contratante. De fato, níveis crescentes de serviço invariavelmente implicam em prêmios sobre os preços, uma vez que são obtidos com uso de equipamentos e infraestrutura redundante.

Atualmente, a categorização mais empregada para se diferenciar data centers é aquela proposta pelo The Uptime Institute [1], que os classifica em Tiers que vão de I a IV, conforme o grau de serviço que são capazes de entregar. Maiores índices de disponibilidade são atingidos à custa de redundâncias cada vez maiores, obtidas por meio de investimentos e custos de operação crescentes, os quais se projetam nos preços cobrados de seus clientes.

A Tabela 1 apresenta sinteticamente alguns números em função do Tier em que se enquadra determinado data center. Data centers que não se enquadram em nenhuma das categorias apresentadas são considerados como estrutura não classificada ou não garantida.

Tabela 1 Comparação de especificações entre Tiers[2]

Requisito

Tier I

Tier II

Tier III

Tier IV

Número de caminhos de distribuição

1

1

1 Ativo e 1 Passivo

2 Ativo

Componentes redundantes

N

N + 1

N + 1

2 (N+1)

Tempo de indisponibilidade no ano

28,8 hrs

22,0 hrs

1,6 hrs

0,4 hrs

Disponibilidade do site

99,671%

99,749%

99,982%

99,995%

Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data center, abrangendo desde aspectos relacionados ao ambiente do data center, conectividade a internet, conectividade entre equipamentos, conectividade com a rede corporativa, segurança física, segurança lógica, segurança elétrica, espaço de armazenamento e SLA para os serviços contratados.

Uma vez definidos os tipos de serviço que se pretende colocar em infraestrutura terceirizada, pode-se então definir o quão apertados se desejam os requisitos dessa infraestrutura. No âmbito deste trabalho, criou-se uma metodologia com o objetivo de orientar a seleção desses requisitos.

Essa metodologia parte da classificação da informação ou sistema que se deseja colocar ou hospedar em infraestrutura de terceiros com base nos preceitos preconizados na norma ABNT NBR ISO/IEC 27001.

Em outras palavras, o detentor da informação ou sistema classifica-os com base nos critérios de confidencialidade, integridade e disponibilidade. O quanto mais rígidos forem os requisitos levantados, mais se exigirá da infraestrutura do terceiro.

Esse processo foi automatizado por meio de uma ferramenta computacional baseada em Microsoft Excel, que facilita e orienta o usuário na tarefa de classificar adequadamente sua informação ou sistema. Como resultado, aponta o tipo mais adequado de data center a ser contratado pela administração pública, contribuindo para que esta efetue contratações de infraestrutura mais eficazes e eficientes.


 

2       Introdução

O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web sejam competitivos.

Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a contratação de serviços de data center que será utilizado pelos órgãos do Estado.

Este relatório consolida os resultados das atividades 2 e 3, que compreendem, respectivamente o levantamento dos fatores-chave na definição de contratação e a elaboração de matriz de necessidades por tipo de serviço. Na primeira, faz-se o levantamento de todas as informações relevantes para a especificação de contratação de serviços de datacenters, considerando os níveis de segurança lógica, elétrica e física, além de questões de conectividade, espaço, disponibilidade e modelagem de informações. Na segunda, são descritas as necessidades de um datacenter de acordo com tipo de serviço a ser hospedado e frente à importância dos fatores-chave.

O presente documento encontra-se dividido da seguinte forma: a seção 3 apresenta uma proposta para classificação das informações e sistemas que, eventualmente, serão transferidas para um data center operado por terceiro; a seção 4 recapitula algumas considerações acerca dos níveis de data center segundo a norma ANSI/TIA 942, ao passo que a seção 5 apresenta os diversos fatores-chave requeridos pelos data centers para conseguirem atingir esses níveis de serviço; a seção 6 apresenta uma metodologia para classificar os serviços, relacionando-os a necessidades de infraestrutura de data center; finalmente, a seção 7 apresenta as considerações finais deste documento.

3       Considerações sobre a classificação da informação a ser armazenada

O CONTRATANTE deve analisar cada informação ou sistema que migrará para um provedor de data center, independente da modalidade (colocation ou hospedagem). As informações devem ser classificadas quanto à sua confidencialidade, integridade e disponibilidade. Esses quesitos são descritos nas subseções a seguir.

3.1      Confidencialidade:

De acordo com a Norma ISO 27001:2006, a confidencialidade da informação deve ser mantida considerando os seguintes objetivos de controle.

3.1.1      Acordos de confidencialidade

Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular, ou seja, a informação ou sistema deve ser classificado pela secretaria ou órgão antes de enviá-la à CONTRATADA e este controle deve ser revisto em periodicidade regular.

3.1.2          Processo de autorização para os recursos de processamento da informação

Deve ser definido e implementado um processo de gestão de autorização para novos recursos de processamento da informação pela secretaria ou órgão. Isto se deve ao fato da informação, assim que hospedada na CONTRATADA possa ser autorizada devidamente para seu acesso.

3.1.3          Identificando segurança da informação nos acordos com terceiros

Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, devem cobrir todos os requisitos de segurança da informação relevantes. Em outras palavras, os acordos de confidencialidade devem ser considerados também para acordo envolvendo terceiros da CONTRATADA.

3.1.4          Recomendações para classificação

A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. Esta classificação deve ser feita pela secretaria ou órgão antes de disponibiliza-la para a hospedagem em um ambiente contratado, seja por hospedagem ou por colocation.

3.1.5          Segurança em recursos humanos

Antes da contratação de um serviço onde há manipulação das informações, a secretaria ou órgão deve assegurar que os funcionários da CONTRATADA, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Para isso, o CONTRATANTE deve verificar se há um processo de assinatura mediante aos Termos e condições de contratação garantindo que os funcionários da CONTRATADA como parte das suas obrigações contratuais, fornecedores e terceiros devem concordar e assinar os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e da organização para a segurança da informação.

3.1.6          Registros de auditoria

Registros contendo atividades executadas pelos usuários da CONTRATADA (obrigatório) e CONTRATANTE (quando possível), exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um período de tempo acordado entre as partes para auxiliar em futuras investigações e monitoramento de controle de acesso.

3.1.7          Proteção das informações dos registros (logs)

Todos os registros devem ser protegidos contra falsificação ou alteração do conteúdo por meio de políticas de segurança ou auditorias / permissão por segregação de função.

3.1.8          Registros (log) de administrador e operador

Os logs de informação das atividades dos operadores e administradores da CONTRATADA e CONTRATANTE devem ser registrados seguindo os itens de Proteção das informações dos registros (logs) acima citado. Todos os itens de Gerenciamento do usuários da norma ISO27001:2006 devem ser considerados pela CONTRATADA:

3.1.9          Registro de usuário

Deve existir um procedimento formal para liberação e revogação de acesso indevido às informações da CONTRATANTE pela CONTRATADA com periodicidade controlada.

3.2      Integridade:

A integridade dos dados enviados para a CONTRATADA deve ser garantida contratualmente. Dados armazenados no ambiente do Data Center não devem ser corrompidos, violados ou mesmo perdidos. Para tanto, deve-se considerar os seguintes objetivos.

3.2.1          Perímetro de segurança física

Barreiras para acesso indevido devem ser implementadas. Perímetros de segurança devem ser aplicados na CONTRATADA de forma a evitar o acesso de pessoas não autorizadas aos locais de guarda das informações.

3.2.2          Controles de entrada física

As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. A CONTRATADA deve ter processos de controle para garantir que somente pessoas autorizadas (seja para operação no Data center ou por Entrega de cargas) tenham acesso às dependências do Data Center; dependendo do nível de TIER escolhido, o acesso ao estacionamento deve ser restrito conforme mostra Tabela 2.

Tabela 2 - Controle de acesso ao estacionamento conforme o TIER do data center

Áreas Estruturais

Básico

Tier 1

Tier 2

Tier 3

Tier 4

Estacionamento separado para visitantes e empregados

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distintas

Separação de entrada de cargas

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distintas

Proximidade do estacionamento de visitantes até o prédio do DataCenter

N/A

N/A

N/A

Mínimo de 10 metros sem acesso a veiculos

Mínimo de 20 metros sem acesso a veiculos

Compartilhamento de estrutura do prédio

N/A

N/A

N/A

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no DataCenter

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no DataCenter

O item da Tabela 2 refere-se ao item A.9.1.6 da norma ISO 27001:2006 que trata do item de controle: “Acesso do público, áreas de entrega e de carregamento”.

3.2.3          Instalação e proteção do equipamento

A CONTRATADA deve ter um processo para controlar o local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.

3.2.4          Utilidades

Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades. Este item é apresentado na Tabela 3 dos requisitos ANSI/ TIA 942 a seguir.

Tabela 3 - Sistema UPS

Áreas Estruturais

Básico

Tier 1

Tier 2

Tier 3

Tier 4

Redundância

 

 

 

 N+1

 2N 

Topologia

 

 

 

Módulos Paralelos Redundante ou módulos de redundância distribuída ou bloqueio de sistema redundante

Módulos Paralelos Redundante ou módulos de redundância distribuída ou bloqueio de sistema redundante

Bypass Automático

 

 

 

Bypass de manutenção dedicado ao UPS

Bypass de manutenção dedicado ao UPS

Distribuição de saída de Força

 

 

 

Panelboard incorporando disjuntores que são coordenados em sobrecarga e falta à terra condição atual

Panelboard incorporando disjuntores que são coordenados em sobrecarga e falta à terra condição atual

Rede de Baterias

 

 

 

String dedicada a cada módulo

String dedicada a cada módulo

Tipo de Baterias

 

 

 

15 anos

20 anos

Mínimo de Tempo de Retenção das Baterias

 

 

 

10 minutos

15 minutos

Sistema de monitoramento das Baterias do UPS

 

 

 

Nível de String por UPS

sistema centralizado para verificar todas as celulas

Flywheel

 

 

 

Permitido

Permitido

Transformador

 

 

 

K-Rated or Harmonic Canceling
Acessivel à manutenção pela frontal

K-Rated or Harmonic Canceling
Acessivel à manutenção pela frontal

3.2.5          Manutenção dos equipamentos

A CONTRATADA deve ter contratos de manutenção preventiva e corretiva com os fornecedores de equipamentos ou facilities (utilidades) para minimizar o impacto no caso de falha. Os índices de SLA devem ser observados pela secretaria ou órgão CONTRATANTE.

3.2.6          Reutilização e alienação segura de equipamentos

A CONTRATADA deve ter procedimentos específicos para descarte de equipamentos que contenham mídia reutilizável e informações da CONTRATANTE. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos com segurança. Dependendo da criticidade do sistema da Secretaria ou órgão o mesmo pode requerer da CONTRATADA hardware exclusivo para utilização. Este item também se aplica para confidencialidade 3.1

3.2.7          Remoção de propriedade

No caso mais específico da modalidade colocation, equipamentos, informações ou software não devem ser retirados do local sem autorização prévia da secretaria ou órgão (CONTRATANTE). Este item também se aplica para confidencialidade 3.1.

3.2.8          Procedimentos e responsabilidades operacionais

Figura 1 - Data Center e Sala de Utilidades separadas

Cabe ressaltar que outras considerações podem ser acrescidas a este documento conforme necessidade da CONTRATANTE.

3.3      Disponibilidade

A disponibilidade dos sistemas da CONTRATANTE deve ser contratada conforme diretrizes de SLA (Service Level Agreement) deste documento no item 5.7. Como forma de minimizar o risco de indisponibilidade, a CONTRATANTE deverá observar, na CONTRATADA, entre outros, os aspectos a seguir.

3.3.1          Controle de vulnerabilidades técnicas

Deve ser obtida informação em tempo hábil pela CONTRATADA sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. Em quaisquer decisões tomadas pela CONTRATADA, a CONTRATANTE deve ser informada imediatamente.

3.3.2          Notificação de fragilidades e eventos de segurança da informação

As fragilidades e eventos de segurança da informação associados aos sistemas da CONTRATANTE devem ser informados à CONTRATANTE permitindo tempo hábil de resposta à ações corretivas necessárias:

3.3.3          Gestão da continuidade do negócio

A CONTRATADA deve possuir um plano de continuidade de negócios (PCN) de modo a garantir a disponibilidade e o retorno das informações da CONTRATANTE em caso de acidente intencional ou natural; A CONTRATADA deve não deve permitir a interrupção do negócio, sistema da CONTRATANTE. A CONTRATADA deve possuir de forma processual:

Além disso, o CONTRATANTE deve assegurar que o provedor será contratualmente proibido do uso dos dados que não seja para o propósito para o qual foi contratado. O CONTRATANTE deve assegurar via contrato que o provedor de serviço proteja os seus dados, independente se o provedor esteja local no próprio país ou fora do país de origem do CONTRATANTE. Quando a operação do provedor ocorre fora do país, o CONTRATANTE deve se precaver se esta requisição poderá ser atendida em virtude da legislação local.

Para se garantir que os serviços contratados estejam atendendo de maneira adequada às necessidades elencadas, deve-se buscar sempre contratar uma infraestrutura compatível com os requisitos funcionais acima descritos. Em outras palavras, nem sempre é necessário se contratar um data center Tier IV, quando um Tier II atende plenamente às necessidades do contratante. A seção 5 descreverá em detalhe os requisitos que um data center deve cumprir em função de seu nível de serviço. Antes, contudo, a seção a seguir relembra os diferentes níveis de data center conforme a norma ANSI/TIA 942.

4       Considerações sobre os níveis de Data Center segundo a ANSI/TIA 942

Conforme apresentado em [1], diversas normas regem o desenho, implantação e operação de data centers. Para análise de infraestrutura de ambiente de hospedagem de elementos de tecnologia da informação aplicam-se, em particular, os padrões de referência descritos na norma ANSI/TIA 942, que indica requisitos que vão desde a construção até a ativação do data center.

De maneira resumida, os data centers são categorizados em quatro níveis, ou tiers, descritos na Tabela 4, onde são classificados por sua disponibilidade e credibilidade das informações.

Tabela 4 - Classificação de Data Center segundo a ANSI/TIA 942

Classe/Tier

Requisitos

1

·         Caminho único de distribuição não redundante que serve o equipamento de TI;

·         Componentes não redundantes em sua capacidade;

·         Infraestrutura básica local garantindo a disponibilidade 99,671%.

2

·         Atende ou excede todos os requisitos do Tier 1;

·         Componentes locais redundantes garantindo disponibilidade 99,741%.

3

·         Atende ou excede todos os requisitos de Tier 1 e Tier 2;

·         Múltiplos caminhos de distribuição independentes que servem os equipamentos de TI;

·         Todos os equipamentos de TI devem ser de dupla alimentação e totalmente compatível com a topologia da arquitetura de um site;

·         Redundância de site com Infraestrutura local semelhante para garantir a disponibilidade sustentável 99,982%.

4

·         Atende ou excede todos os requisitos Tier 1, Tier 2 e Tier 3;

·         Todos os equipamentos de refrigeração (HVAC) são independentes com dupla alimentação;

·         Tolerante a falhas de infraestrutura local com armazenamento de energia elétrica (UPS) e instalações de distribuição garantindo disponibilidade 99,995%.

Os requisitos acima mencionados são de extrema importância para garantir a disponibilidade e a confidencialidade dos dados armazenados no Data Center. De fato, a norma ANSI/TIA-942 estabelece nomenclaturas para as definições da redundância dos data centers, da seguinte maneira:

Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data center. A seção a seguir apresenta em maior detalhe os requisitos acima indicados.

5       Requisitos para data centers

As subseções a seguir discorrem sobre os requisitos que devem ser cumpridos para que os data centers atinjam níveis crescentes de serviço, conforme apresentado na seção anterior.

5.1      Considerações sobre o ambiente do data center

Um ambiente de Data center deve ser concebido em sua arquitetura para contemplar os seguintes itens principais: A Tabela 5 apresenta esses requisitos de forma clara e objetiva.

 

 

Tabela 5 - Considerações de construção do ambiente do Data Center

Áreas Estruturais

Básico

Tier 1

Tier 2

Tier 3

Tier 4

Características Ambiente

Proximidade de área de risco de inundação

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Proximidade de litoral ou área navegável

N/A

N/A

N/A

Distância mínima de 100m

Distância mínima de 800m

Proximidade de vias de concentração de tráfego

N/A

N/A

N/A

Distância mínima de 100m

Distância mínima de 800m

Proximidade de Aeroportos

N/A

N/A

N/A

Distância mínima de 1,6 KM e máxima de 40KM

Distância mínima de 8KM e máxima de 40KM

Proximidade de área metropolitana

 

 

 

Menos de 48KM

Menos de 16KM

Estacionamento

Estacionamento separado para visitantes e empregados

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distinta

Separação de entrada de cargas

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distinta

Proximidade do estacionamento de visitantes até o prédio do Data Center

N/A

N/A

N/A

Mínimo de 10 metros sem acesso a veículos

Mínimo de 20 metros sem acesso a veículos

Compartilhamento de estrutura do prédio

N/A

N/A

N/A

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no Data Center

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no Data Center

Construção Civil

Tipo de construção

N/A

N/A

N/A

 Type IIA, IIIA, or VA   (modelo americano)

 Type IA or IB  (modelo americano)

Componentes da Construção

Possui barreiras de vapor nas paredes e salas destinadas a hospedagem de equipamentos

N/A

N/A

N/A

Sim

Sim

Teto e forros

N/A

N/A

N/A

Suspenso com revestimento em placa de gesso e telhas de cerâmica

Suspenso com revestimento em placa de gesso e telhas de cerâmica

Portas e Janelas

Largura portas de acesso

N/A

N/A

N/A

Entre 1m a 2,20m

Entre 1,2m a 2,20m

Janelas na sala de equipamentos

N/A

N/A

Com proteção (barras, vidros fixos)

Não Permitido

Não Permitido

Controle de acesso com verificação de entrada dupla (carona) e controle de acesso

Apenas controle (catracas)

Apenas controle (catracas)

Apenas controle (catracas)

Sim

Sim

Salas Administrativas

Fisicamente separadas da estrutura do Data Center

N/A

N/A

Mesmo prédio

Sim

Sim

Sala de operações fisicamente separadas do Data Center

N/A

N/A

Mesmo prédio

Sim

Sim

Controle de Acesso ao ambiente

Centro de Operações de Segurança

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Centro de Operações de Rede

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Sala de Equipamentos

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Sala de Servidores

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão para entrada e saída e identificação biométrica

Controle de acesso via cartão para entrada e saída e identificação biométrica

Controle de acesso via cartão para entrada e saída e identificação biométrica

Acesso ao prédio

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Controle de acesso via cartão

Circuito Interno de Câmeras de Segurança

Perímetro de prédio e estacionamento

Somente prédio

Sim

Sim

Sim

Sim

Sistema interrupção energia

N/A

N/A

Sim

Sim

Sim

Portas controladas

N/A

Sim

Sim

Sim

Sim

Sala do datacenter

Sim

Sim

Sim

Sim

 Yes

Circuito Interno de Câmeras de Segurança - Retenção Imagens

Gravação das imagens

N/A

Sim

Sim

Sim, digital

Sim, digital

Taxa de gravação de quadros

N/A

N/A

N/A

20 quadros/s

20 quadros/s

5.2      Conectividade a internet, conectividade entre equipamentos, conectividade com a rede corporativa e serviços adicionais a serem fornecidos

Os equipamentos da CONTRATANTE deverão ter acesso e conectividade à internet na velocidade de upstream e downstream compatível com o tráfego de dados publicados pela contratante no lançamento do edital. Para atender os requisitos de SLA descritos neste documento, o fornecimento deste serviço deverá considerar a redundância de cabeamento, interfaces e equipamento de acesso a internet. A Redundância está relacionada ao SLA requerido conforme Tabela 4.

Devem ser fornecidos endereços IP válidos em número suficiente para contemplar os servidores da contratante, além disso toda conexão deve ser redundante, evitando indisponibilidade do serviço.

Adicionalmente, é necessário quer a empresa de fornecimento de serviços de Data Center seja um AS (autonomous system) de internet fazendo a função de resolução de nomes (DNS) Primária e Secundária, não sendo dependente de terceiros para efetuar a resolução de nomes. Isto se dá devido à alta disponibilidade requerida para os serviços que serão incluídos como essenciais, importantes e críticos.

Para fins de proteção lógica, junto com o serviço de conectividade a internet, deverá ser fornecida pela CONTRATADA, equipamento firewall. A instalação e operação deste firewall ficarão sob responsabilidade da CONTRATADA. A CONTRATANTE irá especificar as regras de firewall e a CONTRATADA irá fazer a programação necessária no mesmo.

Para fins de conectividade entre os equipamentos fornecidos pela CONTRATANTE ou alugados da CONTRATADA, deverá ser fornecido switch, a ser disposto dentro do rack, com os seguintes requisitos:

·         Portas 10/100/1000 Mbps;

·         Aplicação de VLANs.

A aplicação de VLANs é necessária para contemplar a segurança e SLA requeridos neste documento.

Para fins de conectividade com a rede corporativa do Sistema da secretaria ou órgão, a CONTRATADA será responsável por prover os meios necessários, dentro de suas instalações, visando prover a plena interconexão com os provedores de rede indicados pela Secretaria, órgão. Dentre outros, estes meios ou facilidades podem ser: duto de acesso ao prédio, ponto energia, espaço para instalação do equipamento terminal, cabeamento para conexão interna e demais facilidades necessárias.

Todos os custos referentes a estas facilidades serão de responsabilidade da empresa contratada. Esta deverá ainda autorizar, mediante comunicado oficial da contratante, a entrada e a execução do serviço de instalação destes links por parte dos técnicos dos fornecedores destes serviços. O Data Center deverá fornecer serviço operacional de reset dos equipamentos da CONTRATANTE a partir de abertura de chamado / solicitação por telefone ou e-mail.

O Data Center deverá fornecer serviço de manipulação e armazenagem, em sala cofre, das fitas de backup operadas por equipamento contratado ou de responsabilidade da Contratante. Todas as normas de manipulação e armazenagem devem seguir os itens da norma ISO27001 como melhores práticas de mercado.

A manipulação destas fitas será de responsabilidade da contratada. A manipulação consiste na troca de fitas e armazenamento das demais em Sala-Cofre  em um volume esperado a ser definido pela contratante.

Caso a empresa proponente não possua sala cofre, deverá considerar o uso de sala cofre em empresas especializadas neste tipo de serviço sem custo adicional, mesmo quando for necessário o deslocamento de fitas entre o Datacenter e a Sala Cofre, além disso, deverá respeitar os requisitos técnicos para transporte e armazenagem, podendo sofrer auditoria por parte da contratante para a garantia do fornecimento.

5.3      Requisitos para a segurança física

O Data Center deverá possuir vigilância patrimonial 24 horas por dia, 7 dias por semana, 365 dias por ano, permitindo apenas a entrada de pessoas autorizadas pela contratante (secretaria ou órgão) e devidamente identificadas.

O Data Center deverá estar equipado com sistema de climatização adequada e de alta disponibilidade (Ar-condicionado com redundância n+1), de preferência por sistema de insuflamento. As características de climatização deverão seguir regras da Norma TIA 942.

O Data Center deverá possuir sistema e solução de combate a incêndio com sensores de fumaça, extintores de incêndio e sistema gasoso, que permita uma ação rápida e eficiente no combate a possíveis focos de incêndio não importando sua classificação. A extinção de incêndio deverá ser feita com métodos que não prejudiquem o funcionamento dos equipamentos da secretaria ou órgão, por exemplo com sistemas gasosos do tipo FM200 ou INERGEN (no caso de informações elencadas para TIER III ou TIER IV.

Os equipamentos da secretaria ou órgão deverão ser instalados em racks que atendem a norma IEC 297-1 observando principalmente:

·         O correto espaçamento entre equipamentos

·         O limite de fornecimento de energia por rack especificado pelo fabricante deste terá que estar adequado a potência nominal dos equipamentos da CONTRATANTE dispostos dentro do mesmo.

·         A temperatura dentro do rack terá que permanecer dentro dos limites máximos especificados pelos fabricantes dos equipamentos da CONTRATANTE;

A Sala-Cofre, onde serão armazenadas as fitas de backup, deverá ter os seguintes requisitos:

·         O mesmo nível de restrição de acesso ao rack utilizado no serviço de Data Center;

·         Porta de acesso anti-chamas;

·         Paredes de alvenaria com material anti-chamas evitando a saída ou entrada de fogo ou fumaça. Para isso deve-se haver isolamento em dutos, calhas, por exemplo.

·         Em caso de condicionar as fitas dentro de um Cofre anti-chamas, o mesmo deve ser guardado em local reservado, com controle de acesso e sem visibilidade para meios externos;

·         Sistema de extinção de incêndio que não danifique as fitas;

·         Suportar o calor de incêndio externo não permitindo o dano as fitas;

·         Garantir proteção contra:

o   Fogo;

o   Fumaça;

o   Gases corrosivos;

o   Água;

o   Acesso indevido;

o   Explosão;

o   Poeira;

o   Arma de fogo e

o   Pulso eletromagnético.

Deve-se considerar ainda os requisitos de TIER da ANSI/TIA 942.

5.4      Requisitos para a segurança lógica

A rede local montada para a conectividade entre os equipamentos da CONTRATANTE somente poderá ter conectividade externa ao link de internet objeto da secretaria ou órgão em questão, assim como aos links de conectividade corporativa, serviço este a ser adquirido conforme regra vigente no Estado de São Paulo para contratação de links de internet. É vedada qualquer outra conectividade a esta rede local sob pena de cancelamento do contrato.

Para a conectividade com a internet, a solução de firewall fornecida deverá possibilitar a aplicação de NAT e a criação de políticas de regras de segurança básicas e avançadas utilizando filtros de software para restrições de portas e filtros de hardware que contemplem, no mínimo:

Regras básicas

Regras avançadas

HTTP - TCP/80 - Navegação WEB

Streaming - porta 80 HTTP

HTTPS - TCP/443 - Navegação WEB Segura

Streaming - TCP/554 e TCP/070 e UDP/6970 a UDP 7170

 

FTP - TCP/21 - Troca de Arquivos

Inclusão de SSL

SMTP - TCP/25 - Envio de e-mails

Serviços de DNS

POP - Recebimento de e-mails

Acesso aos equipamentos via VPN

RADIUS - Serviços de Autenticação

 

Acesso Remoto - VNC (porta 5900) ou Terminal Service

 

RDP) TCP/3389 - via VPN

 

5.5      Requisitos para a segurança elétrica

O Data Center deverá ter uma infraestrutura de entrada de energia atendida pela companhia energética local através de circuitos AC de alta tensão; A quantidade de entradas de energia deve seguir os padrões da Tabela 4.

O provimento interno de energia deverá ser feito de tal forma que estejam disponíveis duas entradas de energia com alimentação redundante. Caso haja falha no fornecimento de energia em uma das entradas por qualquer motivo físico ou elétrico, a outra deverá continuar fornecendo energia aos equipamentos da CONTRATANTE;

Cada régua de energia deverá ter a quantidade de pontos de energia requisitados pelos equipamentos da CONTRATANTE e suportar o consumo da potência nominal prevista nos equipamentos fornecidos pela mesma.

Para fins de redundância no fornecimento de energia, o Data Center deve complementar a infraestrutura de energia elétrica através de grupo motor-gerador e nobreak (redundância n+1 ou de acordo com a Tabela 4 pelo nível de data center contratado). O nobreak deve assumir a alimentação dos equipamentos do Data Center na falta de energia da concessionária até que o grupo motor-gerador entre em operação, garantindo assim o suprimento contínuo e ininterrupto de energia elétrica aos equipamentos da CONTRATANTE.

O grupo motor-gerador deverá possuir a autonomia necessária para suprir a energia necessária aos equipamentos enquanto a concessionária de energia não voltar a fornecer a energia necessária. Para tanto deverá haver um processo de abastecimento monitorado de combustível no grupo moto-gerador e entregue ao Contratante no momento da assinatura do contrato.

Os requisitos de elétrica conforme a ANSI/TIA 942 estão exemplificados na Tabela 6 e contidas no anexo I deste documento;

Tabela 6 - Classificação sobre a TIER do Data center e as necessidades elétricas

Áreas Estruturais

Básico

Tier 1

Tier 2

Tier 3

Tier 4

 Elétrica

Sistema permite manutenção concorrente

 

 

 

Down to but not including power distribution unit

Throughout distribution system

Ponto único de Falha

 

 

 

Sem ponto único de Falha

Sem ponto único de falha

Análise do sistema de emissão de força

 

 

 

Short Circuity Study
Coordination Study
Arc Flash Analysis
Load Flow Study

Short Circuity Study
Coordination Study
Arc Flash Analysis
Load Flow Study

Computer & Telecommunications Power Cords

 

 

 

Alimentação de cabos Redundantes com  100% de capacidades de cabos remanescentes

Alimentação de cabos Redundantes com  100% de capacidades de cabos remanescentes

Entrada de Circuito

 

 

 

 Alimentação N+1 Redundante

Alimentação 2N Redundante de diferentes subestações

Serviço

 

 

 

Dedicado

Dedicado

Construção

 

 

 

Panelboard com parafusos nos Disjuntores

Panelboardcom parafusos nos Disjuntores

Supressão de Surto

 

 

 

Sim

Sim

5.6      Requisitos sobre espaço de armazenamento

Requisitos de armazenamento devem estar disponíveis pela CONTRATADA em caso de necessidade. No caso de colocation, o espaço de armazenamento deverá ser provido pela Secretaria ou Órgão de acordo com a previsão de crescimento da secretaria e embasado em relatórios de espaço alocado emitido pela CONTRATADA.

Se a opção por contratação do Data Center não for no modo colocation, deve-se considerar a armazenagem de dados em Discos com redundância, de preferência em storages externos com SLA contratado no caso de perda de dados;

5.7      Requisitos de SLA para os serviços contratados

Os indicadores do nível de qualidade do serviço (SLA) prestado pelo Data Center deverão ser monitorados pela contratada e serão considerados e medidos conforme segue:

5.7.1      Disponibilidade da Infraestrutura básica do Data Center.

Conceito: Disponibilidade da infraestrutura do Data Center considerando segurança física, energia (geradores, inversores e nobreaks), condicionamento do ar e temperatura, e cabeamento para a conectividade com a internet e o link da rede corporativa.

Nível de Serviço (SLA) acordado: deverá seguir os padrões da Tabela 4, sendo este indicador medido mensalmente.

Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de horas no período.

Neste cálculo será considerado somente o tempo de indisponibilidade não-previsto ou não-planejado, reservando para posterior negociação períodos de manutenção preventiva ou corretiva que serão planejados com antecedência de no mínimo 72 horas.

O subtotal de horas de indisponibilidade será contabilizado conforme abaixo:

SI = SIAP + ½*SIMP

Sendo:

·         SI = subtotal de horas de indisponibilidade;

·         SIAP = subtotal de horas de indisponibilidade considerando o tempo gasto para a solução de incidentes de alta prioridade;

·         SIMP = subtotal de horas de indisponibilidade considerando o tempo gasto para a solução de incidentes de média prioridade.

A classificação do nível de prioridade do incidente será definida pela CONTRATANTE no momento da abertura do chamado. Algumas características básicas de infraestrutura seguem na Tabela 7 e também no Anexo I deste Documento. Vale ressaltar que o cálculo do SLA é um processo de alta maturidade e que acordos internos no nível operacional em cada secretaria ou órgão devem ser feitos antes para garantir o nível de serviço ao cliente;

Tabela 7 - Infraestrutura Básica de Data center

Áreas Estruturais

Básico

Tier 1

Tier 2

Tier 3

Tier 4

Características Ambiente

Proximidade de área de risco de inundação

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Distância mínima de 800m

Proximidade de litoral ou área navegável

N/A

N/A

N/A

Distância mínima de 100m

Distância mínima de 800m

Proximidade de vias de concentração de tráfego

N/A

N/A

N/A

Distância mínima de 100m

Distância mínima de 800m

Proximidade de Aeroportos

N/A

N/A

N/A

Distância mínima de 1,6 KM e máxima de 40KM

Distância mínima de 8KM e máxima de 40KM

Proximidade de área metropolitana

 

 

 

Menos de 48KM

Menos de 16KM

Estacionamento

Estacionamento separado para visitantes e empregados

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distinta

Separação de entrada de cargas

Compartilhado

Compartilhado

Compartilhado

Fisicamente separados

Fisicamente separados por muros ou separadores com entrada de acesso distinta

Proximidade do estacionamento de visitantes até o prédio do Data Center

N/A

N/A

N/A

Mínimo de 10 metros sem acesso a veículos

Mínimo de 20 metros sem acesso a veículos

Compartilhamento de estrutura do prédio

N/A

N/A

N/A

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no Data Center

Permitido se todas as empresas alocadas no prédio forem referentes aos serviços prestados no Data Center

5.7.2      Disponibilidade da conectividade à internet

Conceito: Disponibilidade da conectividade dos equipamentos dispostos no Data Center com qualquer outro equipamento disponível na internet.

Nível de Serviço (SLA) acordado: tempo disponível de acordo com a Tabela 4, sendo este indicador medido mensalmente.

Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de horas no período.

Neste cálculo será considerado somente o tempo de indisponibilidade não-previsto ou não-planejado, reservando para posterior negociação períodos de manutenção preventiva ou corretiva que serão planejados com antecedência de no mínimo 72 horas.

Em caso da conectividade a internet operar com mais de 10% de perda de pacotes, o tempo que durar esta instabilidade será contabilizado como tempo de indisponibilidade da conectividade a internet afetando este SLA correspondente.

A Disponibilidade do serviço de Internet pela contratada deverá seguir os padrões da Tabela 4 conforme classificação do Serviço em questão pela secretaria ou órgão.

5.7.3      Desempenho da conectividade a internet

Conceito: A demanda de tráfego a internet dos equipamentos dispostos no Data Center assim como dos demais equipamentos dispostos nas redes gerenciadas pelo Sistema da secretaria ou órgão deverá ser atendida pelo serviço de conectividade a internet até o limite da velocidade contratada especificada pela secretaria ou órgão. Acima deste limite contratado, o trafego poderá ser descartado.

Nível de Serviço (SLA) acordado: disponibilidade de acordo com a Tabela 4, sendo este indicador medido mensalmente.

Cálculo: SLA realizado = (total de horas no período – total de horas de indisponibilidade) / total de horas no período.

A partir do relatório mensal emitido pela CONTRATADA ou a partir de ferramenta de medição implantada pela CONTRATANTE, a demanda de trafego deverá poder atingir o limite de velocidade contratado neste SLA.

5.7.4      Atendimento de Service Desk

Conceito: Atendimento em primeiro nível (telefônico ou sistema de Incidentes). Trata-se da principal interface operacional entre a CONTRATADA e a CONTRATANTE, tendo como objetivos prestar atendimento em primeiro nível para todas as perguntas, solicitações e reclamações, gerenciar o ciclo do incidente e comunicar ocorrências.

Os chamados devem ser encaminhados pela CONTRATADA no intuito de resolver em primeiro nível em torno de 90% dos chamados abertos pela CONTRATANTE.

Tão importante para a Contratada quanto à sua disponibilidade é a sua rapidez e eficiência em resolver os chamados críticos para a CONTRATANTE.

Para isso, a contratada deve seguir uma metodologia de gerenciamento de incidentes, problemas, mudanças e todos os demais previstos no ITIL V3 em sua completude.

6       Matriz de classificação das informações e sistemas

Neste capítulo descreve-se a metodologia e forma de utilização de uma ferramenta baseada em Microsoft Excel para classificação e seleção de datacenter que atenda a requisitos mínimos de acordo com a classificação da informação do sistema que se prevê transferia para um data center terceirizado.

O passo a passo dessa metodologia de classificação e seleção consiste em três fases, e encontra-se descrito nas subseções a seguir.

6.1      Fase 1: Confidencialidade

Para se classificar o sistema que será objeto de transferência para um data center operado por um terceiro, utilizar-se-á os critérios elencados na norma ABNT NBR ISO/IEC 27001, nomeadamente aqueles relativos à confidencialidade, integridade e disponibilidade.

Assim, a fase 1 compreende, inicialmente, classificar o sistema de acordo com sua confidencialidade, de acordo com o destaque da Figura 2. Considere-se, por exemplo, um sistema de emissão de tabela de horários de transporte público. Este sistema pode ser considerado como um sistema de baixa confidencialidade.

Figura 2 – Classificação do sistema com relação ao critério confidencialidade

Em seguida, deve-se classificar as informações contidas no sistema. Tomando novamente o sistema de emissão de tabela de horários de transporte público como exemplo, as informações ali contidas devem ser classificadas como Pública, uma vez que o acesso ou distribuição das informações contidas nele não possuem um nível significativo de risco ao Estado ou Secretaria responsável. A classificação da informação contida nesse sistema encontra-se ilustrada na Figura 3.

Figura 3 – Classificação da Informação contida no sistema

Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua integridade e disponibilidade.

6.2      Fase 2: Integridade

Considera-se íntegros os dados que possuem a salvaguarda de exatidão da informação garantida; ou seja, uma informação Íntegra deve ser conservada da maneira que foi gravada na base sem alterações abruptas ou não aprovadas. Para classificar a integridade da informação do sistema em questão, deve-se seguir o indicado na Figura 4.

Figura 4 – Classificando a Integridade das informações

Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua disponibilidade.

6.3      Fase 3: Disponibilidade

A Disponibilidade do sistema deve ser avaliada pelo dono do sistema ou dono da informação, conforme Figura 5.

Figura 5 – Classificação da Disponibilidade do sistema a ser transferido ao datacenter

Deve-se considerar que a disponibilidade mínima deverá estar de acordo com a Tabela 4 deste relatório. A combinação dos três aspectos avaliados redundará em uma classificação de data center sugerida para contratação, conforme mostrado na Figura 6.

Figura 6 – Classificação sugerida mínima de TIER do Datacenter

Como referência, esta sugestão apresentada na Figura 6 deverá nortear as decisões por classificação das informações e também para contratação de um serviço de datacenter nos modelos do relatório de consultoria [Referência 1].

Ainda como referência deve-se considerar os requisitos da Figura 7 como os requisitos necessários para o atingimento, pelo fornecedor contratado, dos requisitos necessários em função dos diversos TIER de datacenter, conforme a ANSI/TIA 942.

Figura 7 – Características do TIER de Datacenter

Adicionalmente, como boa prática, um certificado emitido e válido para a classificação do datacenter deve ser exigido pela CONTRATANTE no momento da contratação do serviço. A tabela da Figura 7 apresenta em fundo preto destacado de forma automática as características a serem seguidas pela CONTRATADA de acordo com o resultado da Figura 6.

Vale lembrar que estes requisitos apresentados na Figura 7 são norteadores para uma decisão embasada. Para que este método de classificação do data center seja efetivo, a secretaria ou órgão deve classificar seus sistemas e informações antecipadamente à classificação pela planilha da Figura 6. Esta responsabilidade da classificação cabe ao dono da informação, com as devidas aprovações, conforme [Referência 2].

7       Conclusões e considerações finais

O presente documento buscou levantar os fatores-chave na definição de contratação de um data center, que pudesse atender a uma miríade de serviços presentes na administração do Estado de São Paulo.

Para tanto, fez-se o levantamento de todas as informações relevantes para a especificação de contratação de serviços de data centers, considerando os níveis de segurança lógica, elétrica e física, além de questões de conectividade, espaço, disponibilidade e modelagem de informações necessárias.

Em seguida, vincularam-se esses requisitos aos níveis de serviço oferecidos por empresas prestadoras desse tipo de infraestrutura. A partir daí, criou-se uma metodologia que permite tipificar os diversos serviços passíveis de transferência à uma infraestrutura terceirizada, relacionando-os ao tipo mais adequado de data center a ser buscado quando no momento da contratação.

Pelo presente instrumento, automatizado por meio de ferramenta computacional implantada em Microsoft Excel, a administração pública do Estado de São Paulo poderá classificar qualquer serviço que se apresente futuramente, com vistas à sua eventual colocação ou hospedagem em data center de empresa terceirizada.

8       Anexos

Constituem parte integrante deste documento as planilhas em formato Microsoft Excel contidas no arquivo “Abordagem_diagnóstico_DATACENTER_FINAL_V2.xlsx”.

9       Referência bibliográfica

[Referência 1] PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de data center.

[Referência 2] ABNT – Associação Brasileira De Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia Da Informação - Técnicas De Segurança – Sistemas De Gestão De Segurança Da Informação - Requisitos. ABNT, 2006.

 

Data da emissão: 16/set/13

 



[1] Adaptados de “Data Center Site Infrastructure Tier Standard: Topology”, de Uptime Institute, LCC.

[2] Adaptado de http://lautankencana.com/data-center-solutions, e http://en.wikipedia.org/wiki/Uptime_Institute, acessado em 14 de agosto de 2013.