Leitura Digital

Prévia do material em texto

LEGISLAÇÃO DE TI E 
GESTÃO DE CONTRATOS
W
B
A
00
53
_v
2.
0
2
Anderson Souza de Araújo
Londrina 
Editora e Distribuidora Educacional S.A. 
2020
LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS
1ª edição
3
2020
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Presidente
Rodrigo Galindo
Vice-Presidente de Pós-Graduação e Educação Continuada
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Braga de Oliveira Higa
Carolina Yaly
Giani Vendramel de Oliveira
Henrique Salustiano Silva
Juliana Caramigo Gennarini
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Tayra Carolina Nascimento Aleixo
Revisor
Diego Santos Sanchez
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Gilvânia Honório dos Santos
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)
_________________________________________________________________________________________ 
Araújo, Anderson Souza de.
A663l Legislação de TI e gestão de contratos/ Anderson 
 Souza de Araújo, – Londrina: Editora e Distribuidora 
 Educacional S.A. 2020.
 42 p.
 
 ISBN 978-65-5903-044-6
 1. Crime por computador 2. Contratos eletrônicos 3. 
Gerenciamento de níveis de serviço I. Título. 
 
CDD 004 ____________________________________________________________________________________________
Raquel Torres – CRB 6/2786
© 2020 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Editora e Distribuidora Educacional S.A.
4
SUMÁRIO
O crime cibernético e a legislação brasileira _________________________ 05
Tipos de crimes cibernéticos e suas formas de investigação ________ 22
Frameworks de gestão de contratos de TIC __________________________ 38
Acordo de nível de serviço __________________________________________ 54
LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS
5
O crime cibernético 
e a legislação brasileira
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
Objetivos
• Entender os conceitos relacionados ao tema de 
crime cibernético.
• Analisar a relação do Direito Penal e outros 
dispositivos legais brasileiros com os crimes digitais 
e a segurança no espaço cibernético.
null
null
6
1. Crime cibernético
1.1 O que é um crime cibernético
Um crime cibernético ou crime de computador é definido pelo Glossário 
de Segurança da Informação do Gabinete de Segurança Institucional da 
Presidência da República (GSI/PR), publicado pela Portaria GSI/PR nº 93, 
de 26 de setembro de 2019, como um:
Ato criminoso ou abusivo contra redes ou sistemas de informações, seja 
pelo uso de um ou mais computadores utilizados como ferramentas 
para cometer o delito ou tendo como objetivo uma rede ou sistema de 
informações a fim de causar incidente, desastre cibernético ou obter 
lucro financeiro. (BRASIL, 2019, [s.p.])
De maneira geral, pode-se entender como crime cibernético qualquer 
ilícito cometido no âmbito do “mundo cibernético” ou do “espaço 
cibernético”, sendo este conceito também definido pelo Glossário de 
Segurança da Informação do GSI/PR (BRASIL, 2019):
ESPAÇO CIBERNÉTICO–espaço virtual composto por um conjunto de 
canais de comunicação da internet e outras redes de comunicação que 
garantem a interconexão de dispositivos de TIC e que engloba todas 
as formas de atividades digitais em rede, incluindo o armazenamento, 
processamento e compartilhamento de conteúdo além de todas as ações, 
humanas ou automatizadas, conduzidas através desse ambiente. (BRASIL, 
2019, [s.p.])
Diante do exposto, depreende-se que os ilícitos cometidos no âmbito 
do espaço cibernético, ou que se utilizem de dispositivos eletrônicos, 
meios ou dados digitais e que, de alguma forma ou em algum 
momento, estejam ou estiveram conectados ao espaço cibernético, 
podem ser considerados como crimes cibernéticos ou crimes digitais.
null
null
7
Na maioria das vezes, esses crimes visam a obtenção de recursos 
financeiros de outrem ou simplesmente a degradação da honra 
e da imagem da pessoa para obtenção de vantagens ilícitas, 
vingança e outros objetivos espúrios. Quase sempre, violam direitos 
constitucionais e atingem, não somente suas vítimas, mas outros que 
fazem parte do seu ciclo familiar, de amizade ou profissional. Também 
existem os crimes contra pessoas jurídicas, que visam obter vantagens 
financeiras, segredos de negócio, patentes etc.
Outra definição interessante trazida pelo Glossário de Segurança da 
Informação do GSI/PR (BRASIL, 2019) é a definição de “terrorismo 
cibernético”, qual seja:
TERRORISMO CIBERNÉTICO – crime cibernético perpetrado por razões 
políticas, religiosas ou ideológicas contra qualquer elemento da 
infraestrutura cibernética com os objetivos de: provocar perturbação 
severa ou de longa duração na vida pública; causar danos severos à 
atividade econômica com a intenção de intimidar a população; forçar 
as autoridades públicas ou uma organização a executar, a tolerar, a 
revogar ou a omitir um ato; ou abalar ou destruir as bases políticas, 
constitucionais, econômicas ou sociais de um Estado, organização 
ou empresa. É principalmente realizado por atos de sabotagem 
cibernética organizados e gerenciados por indivíduos, grupos político-
fundamentalistas, ou serviços de inteligência estrangeiros. (BRASIL, 2019)
Aqui fica clara a intenção do legislador na tipificação do crime 
cibernético de terrorismo, incluindo os temas de política, religião, 
razões ideológicas e prejuízo econômico. Percebe-se uma clara 
preocupação com questões de Estado, especialmente no que diz 
respeito a segurança da sociedade brasileira.
null
8
1.2 A relação do crime cibernético com o Direito Penal
1.2.1 A relação do crime cibernético com o Código Penal 
Brasileiro e com o Código Penal Militar
É possível encontrar na legislação brasileira, diversos dispositivos legais 
que foram elaborados no sentido de tipificar certos crimes relacionados 
ao mundo cibernético ou espaço cibernético. Seja porque os criminosos 
utilizam-se desse espaço para cometer algum crime já previsto no 
Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal Brasileiro) 
ou no Decreto-Lei nº 1.001, de 21 de outubro de 1969 (Código Penal 
Militar), ou porque se utilizam de tecnologias computacionais, dados 
digitais ou afins para o cometimento de crimes.
Nesse sentido, as leis n. 12.735 e n. 12.737, de 30 de novembro de 2012, 
modificaram o Código Penal Brasileiro e o Código Penal Militar, bem 
como a Lei n. 7.716, de 5 de janeiro de 1989. O objetivo dessas leis foi 
tipificar criminalmente os delitos informáticos e “condutas realizadas 
mediante uso de sistema eletrônico, digital ou similares, que sejam 
praticadas contra sistemas informatizados e similares” (BRASIL, 2012, 
[s.p.]).
A Lei n. 12.735/2012, trata do uso de sistemas de informação para atacar 
outros sistemas de informação ou similares. No caso específico da Lei n. 
12.737/2012, trata-se dos crimes de “invasão de dispositivo informático”, 
“interrupção ou perturbação de serviço telegráfico, telefônico, 
informático, telemático ou de informação de utilidade pública e equipara 
ao crime de “falsificação de documento particular” a falsificação de 
cartão de crédito ou débito.
null
9
1.2.2 A relação do crime cibernético com o Estatuto da 
Criança e do Adolescente
O Estatuto da Criança e do Adolescente(ECA) é uma lei brasileira 
publicada no ano de 1990 (Lei n. 8.069, de 13 de julho de 1990) que trata 
dos direitos humanos de crianças e adolescentes. O principal objetivo 
do ECA é estabelecer medidas protetivas para crianças e adolescentes 
no sentido de orientar os juízes a lidarem com casos que envolvam esse 
tipo de público.
Nesse contexto, a Lei n. 11.829, de 25 de novembro de 2008 alterou 
o Estatuto da Criança e do Adolescente, no sentido de “aprimorar o 
combate à produção, venda e distribuição de pornografia infantil, bem 
como criminalizar a aquisição e a posse de tal material e outras condutas 
relacionadas à pedofilia na internet (BRASIL, 2008, [s.p.])”.
O art. 241 original do Estatuto da Criança e do Adolescente previa 
apenas como crime em espécie:
Art. 241. Fotografar ou publicar cena de sexo explícito ou pornográfica 
envolvendo criança ou adolescente:
Pena–reclusão de um a quatro anos. (BRASIL, 1990)
Com a nova redação dada pela Lei n. 11.829/2008, não só aumentou a 
pena para esse tipo de crime, como também foi ajustada a redação do 
caput para acompanhar as inovações tecnológicas para a atualidade, 
com a inclusão dos termos como veda, exposição vídeo, quais sejam:
Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que 
contenha cena de sexo explícito ou pornográfica envolvendo criança ou 
adolescente: (Redação dada pela Lei nº 11.829, de 2008)
Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela 
Lei nº 11.829, de 2008). (BRASIL, 1990)
10
Além disso, a Lei n. 11.829/2008 incluiu os artigos 241 A, B, C, D e E com 
uma série de crimes em espécie que se enquadram perfeitamente na 
definição de crime cibernético apresentada anteriormente, quais sejam:
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou 
divulgar por qualquer meio, inclusive por meio de sistema de informática 
ou telemático, fotografia, vídeo ou outro registro que contenha cena 
de sexo explícito ou pornográfica envolvendo criança ou adolescente: 
(Incluído pela Lei nº 11.829, de 2008)
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº 
11.829, de 2008)
§ 1o Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 
2008)
I – assegura os meios ou serviços para o armazenamento das fotografias, 
cenas ou imagens de que trata o caput deste artigo; (Incluído pela Lei nº 
11.829, de 2008)
II – assegura, por qualquer meio, o acesso por rede de computadores às 
fotografias, cenas ou imagens de que trata o caput deste artigo. (Incluído 
pela Lei nº 11.829, de 2008)
§ 2o As condutas tipificadas nos incisos I e II do § 1 o deste artigo 
são puníveis quando o responsável legal pela prestação do serviço, 
oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de 
que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, 
vídeo ou outra forma de registro que contenha cena de sexo explícito 
ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 
11.829, de 2008)
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela Lei nº 
11.829, de 2008)
null
11
§ 1o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena 
quantidade o material a que se refere o caput deste artigo. (Incluído pela 
Lei nº 11.829, de 2008)
§ 2o Não há crime se a posse ou o armazenamento tem a finalidade 
de comunicar às autoridades competentes a ocorrência das condutas 
descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a 
comunicação for feita por: (Incluído pela Lei nº 11.829, de 2008)
I – agente público no exercício de suas funções; (Incluído pela Lei nº 11.829, 
de 2008)
II – membro de entidade, legalmente constituída, que inclua, entre 
suas finalidades institucionais, o recebimento, o processamento e o 
encaminhamento de notícia dos crimes referidos neste parágrafo; (Incluído 
pela Lei nº 11.829, de 2008)
III – representante legal e funcionários responsáveis de provedor de acesso 
ou serviço prestado por meio de rede de computadores, até o recebimento 
do material relativo à notícia feita à autoridade policial, ao Ministério 
Público ou ao Poder Judiciário. (Incluído pela Lei nº 11.829, de 2008)
§ 3o As pessoas referidas no § 2 o deste artigo deverão manter sob sigilo o 
material ilícito referido. (Incluído pela Lei nº 11.829, de 2008)
Art. 241-C. Simular a participação de criança ou adolescente em cena 
de sexo explícito ou pornográfica por meio de adulteração, montagem 
ou modificação de fotografia, vídeo ou qualquer outra forma de 
representação visual: (Incluído pela Lei nº 11.829, de 2008)
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. (Incluído pela Lei nº 
11.829, de 2008)
Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda, 
disponibiliza, distribui, publica ou divulga por qualquer meio, adquire, 
possui ou armazena o material produzido na forma do caput deste artigo. 
(Incluído pela Lei nº 11.829, de 2008)
null
12
Art. 241-D. Aliciar, assediar, instigar ou constranger, por qualquer meio 
de comunicação, criança, com o fim de com ela praticar ato libidinoso: 
(Incluído pela Lei nº 11.829, de 2008)
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. (Incluído pela Lei nº 
11.829, de 2008)
Parágrafo único. Nas mesmas penas incorre quem: (Incluído pela Lei nº 
11.829, de 2008)
I – facilita ou induz o acesso à criança de material contendo cena de sexo 
explícito ou pornográfica com o fim de com ela praticar ato libidinoso; 
(Incluído pela Lei nº 11.829, de 2008)
II – pratica as condutas descritas no caput deste artigo com o fim de 
induzir criança a se exibir de forma pornográfica ou sexualmente explícita. 
(Incluído pela Lei nº 11.829, de 2008)
Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena 
de sexo explícito ou pornográfica” compreende qualquer situação que 
envolva criança ou adolescente em atividades sexuais explícitas, reais ou 
simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente 
para fins primordialmente sexuais. (Incluído pela Lei nº 11.829, de 2008). 
(BRASIL, 1990, [s.p.])
Diante do exposto, evidencia-se a criminalização da publicação, troca ou 
divulgação de foto ou vídeo que contenha pornografia ou de cenas de 
sexo explícito envolvendo criança ou adolescente, independentemente 
do meio da comunicação, inclusive internet.
Da mesma forma, imputará nesse mesmo crime aqueles que 
assegurarem os mecanismos necessários para armazenar esse tipo 
de material com sites, blogs etc., permitindo seu acesso a usuários 
da internet. Significa dizer que as empresas ou qualquer organização 
(pessoa jurídica) que mantêm esse tipo de material armazenados em 
13
seus servidores, computadores, bases de dados etc., está sujeita às 
penalidades previstas na lei.
Entretanto, essa penalidade só pode ser aplicada se, mesmo após 
uma notificação oficial efetuada pelo representante legal da criança ou 
adolescente, o material não for retirado do ar (ficar indisponível).
1.2.3 A Lei Geral de Proteção de Dados Pessoais 
brasileira
Em agosto de 2018, o Governo brasileiro publicou a Lei n. 13.709, 
de 14 de agosto de 2018: a Lei Geral de Proteção de Dados Pessoais 
(LGPD) brasileira. Inspirada no modelo da União Europeia, General Data 
Protection Regulation (GDPR), a LGPD dispõe sobre a proteção de dados 
pessoais promove algumas alterações no Marco Civil da Internet. Assim:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive 
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito 
público ou privado, com o objetivo de proteger os direitos fundamentais 
de liberdade e de privacidade e o livre desenvolvimento da personalidade 
da pessoa natural. (BRASIL, 2018)
A LGPD define requisitos para o tratamento de dados pessoais 
em geral, dados pessoais sensíveis e dados pessoais de crianças 
e de adolescentes. Além disso, a lei introduz no arcabouço legalbrasileiro uma série de direitos ao titular dos dados, bem como 
responsabilizações, ressarcimentos e sanções àqueles que tratam dados 
pessoais e, porventura, violem direitos dos titulares dos dados que são 
objetos de tratamento. Sua abrangência é toda a sociedade brasileira, 
pessoas físicas e jurídicas, órgãos públicos e iniciativa privada, ou seja, 
qualquer um que trate dados pessoais de cidadãos brasileiros. A LGPD 
tem relação direta com a evolução tecnológica e do espaço cibernético 
(mundo digital) e o inciso X do art. 5o da Constituição de 1988 (BRASIL, 
1988).
null
null
14
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, 
garantindo-se aos brasileiros e aos estrangeiros residentes no País a 
inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à 
propriedade, nos termos seguintes:
[...]
X–são invioláveis a intimidade, a vida privada, a honra e a imagem das 
pessoas, assegurado o direito a indenização pelo dano material ou moral 
decorrente de sua violação; [...]. (BRASIL, 2018)
A LGPD também cria a Autoridade Nacional de Proteção de Dados 
Pessoais (ANPD) e o Conselho Nacional de Proteção de dados Pessoais e 
da Privacidade. As principais competências da ANPD são:
Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019)
I–zelar pela proteção dos dados pessoais, nos termos da legislação; 
(Incluído pela Lei nº 13.853, de 2019)
II–zelar pela observância dos segredos comercial e industrial, observada a 
proteção de dados pessoais e do sigilo das informações quando protegido 
por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta 
Lei; (Incluído pela Lei nº 13.853, de 2019)
[...]
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado 
em descumprimento à legislação, mediante processo administrativo que 
assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído 
pela Lei nº 13.853, de 2019)
[...]
VII–promover e elaborar estudos sobre as práticas nacionais e 
internacionais de proteção de dados pessoais e privacidade; (Incluído pela 
Lei nº 13.853, de 2019)
null
15
VIII–estimular a adoção de padrões para serviços e produtos que facilitem 
o exercício de controle dos titulares sobre seus dados pessoais, os quais 
deverão levar em consideração as especificidades das atividades e o porte 
dos responsáveis; (Incluído pela Lei nº 13.853, de 2019)
[...]
XI–solicitar, a qualquer momento, às entidades do poder público que 
realizem operações de tratamento de dados pessoais informe específico 
sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento 
realizado, com a possibilidade de emitir parecer técnico complementar 
para garantir o cumprimento desta Lei; (Incluído pela Lei nº 13.853, de 
2019)
[...]
XIII–editar regulamentos e procedimentos sobre proteção de dados 
pessoais e privacidade, bem como sobre relatórios de impacto à proteção 
de dados pessoais para os casos em que o tratamento representar alto 
risco à garantia dos princípios gerais de proteção de dados pessoais 
previstos nesta Lei; (Incluído pela Lei nº 13.853, de 2019)
[...]
XVI–realizar auditorias, ou determinar sua realização, no âmbito 
da atividade de fiscalização de que trata o inciso IV e com a devida 
observância do disposto no inciso II do caput deste artigo, sobre o 
tratamento de dados pessoais efetuado pelos agentes de tratamento, 
incluído o poder público; (Incluído pela Lei nº 13.853, de 2019)
XVII–celebrar, a qualquer momento, compromisso com agentes de 
tratamento para eliminar irregularidade, incerteza jurídica ou situação 
contenciosa no âmbito de processos administrativos, de acordo com o 
previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; (Incluído pela 
Lei nº 13.853, de 2019)
[...]
null
null
16
XXI–comunicar às autoridades competentes as infrações penais das quais 
tiver conhecimento; (Incluído pela Lei nº 13.853, de 2019)
XXII–comunicar aos órgãos de controle interno o descumprimento do 
disposto nesta Lei por órgãos e entidades da administração pública 
federal; (Incluído pela Lei nº 13.853, de 2019) [...] (BRASIL, 2018)
Já ao Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade, compete o seguinte:
Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e 
da Privacidade: (Incluído pela Lei nº 13.853, de 2019)
I–propor diretrizes estratégicas e fornecer subsídios para a elaboração da 
Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a 
atuação da ANPD; (Incluído pela Lei nº 13.853, de 2019)
II–elaborar relatórios anuais de avaliação da execução das ações da Política 
Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela 
Lei nº 13.853, de 2019)
III–sugerir ações a serem realizadas pela ANPD; (Incluído pela Lei nº 13.853, 
de 2019)
IV–elaborar estudos e realizar debates e audiências públicas sobre a 
proteção de dados pessoais e da privacidade; e (Incluído pela Lei nº 13.853, 
de 2019)
V–disseminar o conhecimento sobre a proteção de dados pessoais e da 
privacidade à população. (BRASIL, 2018)
1.2.4 Outros dispositivos legais e a segurança jurídica do uso 
da internet
Além dos dispositivos legais citados anteriormente, outros merecem 
destaque. Apesar de não lidarem de maneira explícita com o tema 
null
null
17
de crime cibernético, ou crime digital, servem como balizadores de 
comportamento, boas práticas e condutas que, se negligenciadas, 
podem imputar em ilícitos penais e crimes cibernéticos.
A Lei n. 12.965, de 23 de abril de 2014, mais conhecida como Marco Civil 
da Internet, estabelece princípios, garantias, direitos e deveres para o 
uso da internet no Brasil. O principal objetivo quando de sua criação era 
trazer mais segurança jurídica para utilização da rede. A lei trata temas 
como:
• Direitos e garantias dos usuários.
• Proteção aos registros, aos dados pessoais e às comunicações 
privadas.
• Responsabilidade por danos decorrentes de conteúdo gerado por 
terceiros.
• Requisição judicial de registros.
Da mesma forma, o Decreto n. 9.637, de 26 de dezembro de 2018 
instituiu a Política Nacional de Segurança da Informação, tratando temas 
como:
• Segurança cibernética.
• Defesa cibernética.
• Segurança física e a proteção de dados organizacionais.
• Ações destinadas a assegurar a disponibilidade, a integridade, a 
confidencialidade e a autenticidade da informação.
Em cumprimento ao Decreto n. 9.637/2018, o Gabinete de Segurança 
Institucional da Presidência da República publicou, por meio do Decreto 
n. 10.222, de 5 de fevereiro de 2020, a Estratégia Nacional de Segurança 
null
null
null
null
18
Cibernética do Brasil. Dentre os temas tratados no documento, 
destacam-se:
• Prevenção e mitigação de ameaças cibernéticas.
• Promoção de um ambiente participativo, colaborativo, confiável e 
seguro, entre setor público, setor privado e sociedade.
• Elevar o nível de proteção das infraestruturas críticas nacionais.
• Elevar o nível de maturidade da sociedade em segurança 
cibernética.
A Figura 1 ilustra a relação do crime cibernético com os principais 
dispositivos legais brasileiros.
Figura 1 – Relação do crime cibernético com os principais 
dispositivos legais brasileiros
Fonte: elaborada pelo autor.
null
19
1.3 Características dos crimes cibernéticos
Existem diversas classificações e tipificações para os crimes digitais 
ou crimes cibernéticos. Essas classificações levam em consideração 
os diversos pontos de vista a que se pretendem apresentar os crimes 
cibernéticos. Uma classificação bastante utilizada, do ponto de vista 
da segurança da informação e da segurança cibernética, é a que diz 
respeito aos tipos de ataques cibernéticos que um determinado sistema, 
aplicação, organização ou indivíduo pode sofrer. Essa classificação 
considera, basicamente, quatro aspectos à informação, ao dado 
cibernético ou ao sistema/aplicação: a disponibilidade, a integridade, a 
confidencialidade e a autenticidade.
Conforme dispostona Instrução Normativa GSI/PR nº 1, de 13 de junho 
de 2008:
Art. 2º Para fins desta Instrução Normativa, entende-se por:
III–disponibilidade: propriedade de que a informação esteja acessível e 
utilizável sob demanda por uma pessoa física ou determinado sistema, 
órgão ou entidade;
IV–integridade: propriedade de que a informação não foi modificada ou 
destruída de maneira não autorizada ou acidental;
V–confidencialidade: propriedade de que a informação não esteja 
disponível ou revelada a pessoa física, sistema, órgão ou entidade não 
autorizado e credenciado;
VI–autenticidade: propriedade de que a informação foi produzida, 
expedida, modificada ou destruída por uma determinada pessoa física, ou 
por um determinado sistema, órgão ou entidade. (BRASIL, 2008, [s.p.])
Assim, pode-se entender que, independentemente da classificação 
utilizada, os ataques cibernéticos possuem como objetivo, inicialmente:
20
• Prejudicar a disponibilidade de um sistema, dados ou informação, 
tornando seu acesso impossível para quem precisa dela.
• Adulterar, indevidamente, fraudar uma informação ou dado, 
deixando de ser íntegra a informação.
• Vazar ou divulgar informações a pessoas ou organizações não 
autorizadas a ter acesso a essas informações, seja porque são 
informações pessoais, informações que violam a intimidade, a 
honra a privacidade de pessoas, segredos de negócio, patentes etc.
• Fraudar a origem (o remetente) das informações, fazendo com que 
aqueles que recebem a informação acreditem que ela foi enviada 
ou produzida por outra pessoa ou organização.
Nesse sentido, diversos crimes podem ser cometidos, por exemplo, os 
crimes contra a imagem, a honra e a intimidade das pessoas, pornografia 
infantil, pedofilia, racismo, fraudes bancárias, cyberbullying etc.
Referências Bibliográficas
BRASIL. Presidência da República. Portaria nº 93, de 26 de setembro de 2019. 
Aprova o Glossário de Segurança da Informação. Brasília: D.O.U., 2019. Disponível 
em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-
de-2019-219115663. Acesso em: 17 jul. 2020.
BRASIL. Presidência da República. Lei nº 12.735, de 30 de novembro de 2012. 
Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal [...]. Brasília: 
D.O.U., 2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011-
2014/2012/Lei/L12735.htm. Acesso em: 17 jul. 2020.
BRASIL. Presidência da República. Lei nº 8.069, de 13 de julho de 1990. Dispõe 
sobre o Estatuto da Criança e do Adolescente e dá outras providências. Brasília: 
D.O.U., 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. 
Acesso em: 17 jul. 2020.
BRASIL. Presidência da República. Lei no 12.737, de 30 de novembro de 2012. 
Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 
2.848, de 7 de dezembro de 1940–Código Penal; e dá outras providências. Brasília: 
http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm
http://www.planalto.gov.br/ccivil_03/leis/l8069.htm
null
21
D.O.U., 2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2012/lei/l12737.htm. Acesso em: 18 jul. 2020.
BRASIL. Presidência da República. Lei no 13.709, de 14 de agosto de 2018. Dispõe 
sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 
2014 (Marco Civil da Internet). Lei Geral de Proteção de Dados Pessoais (LGPD). 
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.
htm. Acesso em: 19 jul. 2020.
BRASIL. Gabinete de Segurança Institucional da Presidência da República. 
Departamento de Segurança da Informação. Instrução Normativa GSI/PR nº 1, de 
13 de junho de 2008. Disponível em: http://dsic.planalto.gov.br/legislacao/in_01_gsi 
dsic.pdf. Acesso em: 19 jul. 2020.
MANDARINO JR, Raphael. Segurança e a Defesa do Espaço Cibernético Brasileiro. 
Recife: Cuzbac, 2010.
PINHEIRO, Patrícia P. Direito cibernético. 6. ed. São Paulo: Editora Saraiva, 2016.
PINHEIRO, Patrícia P. Proteção de Dados Pessoais: comentários à Lei n. 
13.709/2018 (LGPD). 2. ed. São Paulo: Editora Saraiva Jur, 2020.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://dsic.planalto.gov.br/legislacao/in_01_gsi dsic.pdf
http://dsic.planalto.gov.br/legislacao/in_01_gsi dsic.pdf
22
Tipos de crimes cibernéticos e suas 
formas de investigação
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
Objetivos
• Entender os conceitos relacionados ao tema de 
crime cibernético.
• Conhecer as técnicas de investigação dos crimes 
cibernéticos.
null
null
23
1. Tipos de crimes cibernéticos
1.1 Os crimes cibernéticos previstos no Estatuto da 
Criança e do Adolescente
O Estatuto da Criança e do Adolescente (ECA) já elencava, no seu art. 
241, os crimes de divulgação e publicação de imagens pornográficas 
de crianças e adolescentes por meio da internet. Entretanto, com 
a publicação da Lei n. 11.829, de 25 de novembro de 2008, esse 
entendimento foi aumentado para abranger também os atos de 
armazenar, disponibilizar, expor à venda ou transmitir conteúdo 
pornográfico de crianças e adolescentes.
Portanto, fica criminalizada a publicação, troca ou divulgação de 
quaisquer conteúdos (imagem, foto, vídeo) que contenha cenas 
de sexo explícito ou pornografia com crianças ou adolescentes, 
independentemente do meio de comunicação que seja utilizado, 
incluindo a internet.
Vale destacar, ainda, que a pessoa física ou jurídica que disponibilizar 
os meios necessários para armazenar esse tipo de conteúdo e que 
permita acesso aos mesmos internautas, por exemplo, fica enquadrada 
na prática do mesmo crime citado acima. Isso inclui, por exemplo, 
provedores de acesso à internet, aplicativos ou empresas que usam a 
rede e que possui infraestrutura como data centers, servidores de rede 
etc.
Entretanto, as organizações citadas acima só incorrem em crime caso, 
após serem notificados oficialmente por um representante legal da 
criança e/ou do adolescente envolvido, ou ainda por decisão judicial, não 
excluírem o acesso ao conteúdo. De toda forma, é importante entender 
que o acesso ao conteúdo não é relevante, uma vez que a simples 
existência deste já caracteriza o crime cibernético.
24
Na prática, esse tipo de crime cibernético se consome no local e no 
momento que é realizado o acesso por parte de usuários da internet. 
Dessa forma, é importante que a denúncia contenha evidências que 
permitam o acesso ao conteúdo criminoso por parte dos órgãos de 
investigação competentes.
A Lei n. 11.829/2008, também criminalizou, por meio do Estatuto da 
Criança e Adolescente, os atos de compra, posse ou guarda de conteúdo 
pornográfico envolvendo criança ou adolescente. Esses podem se dar 
na residência do criminoso ou na nuvem (cloud computing). Não importa 
onde o conteúdo esteja armazenado, se no computador pessoal, 
smartphone, pen-drive, CDs, DVDs etc.
A montagem de conteúdo pornográfico de criança ou adolescente, a 
partir da adulteração de imagens ou vídeos, também é considerada 
crime da mesma forma que quem comercializa, adquire ou guarda esse 
tipo de material, ainda que não adulterado. O convite ou a incitação da 
criança para práticas de sexo ou atos libidinosos também é considerado 
crime. Também comete crime quem incentiva ou facilita o acesso da 
criança a conteúdo pornográfico ou à prática de atos libidinosos em 
chats, salas de bate papo, redes sociais etc.
1.2 O cyberbullying
Tipo de crime surgido juntamente com a internet e bastante 
disseminado nas redes sociais. Vindo do chamadobullying, trata-
se de atitudes que visam denegrir pessoas, seja com violência física 
ou psicológica, intimidações, humilhações ou ameaças intencionais 
e repetitivas, podendo evoluir para outros crimes como o racismo. 
Pode ser praticado por uma ou mais pessoas ao mesmo tempo contra 
uma ou mais vítimas. Os meios utilizados podem ser mensagens, 
imagens, comentários em redes sociais, compartilhamento de conteúdo 
degradante para a vítima visualizado por muitas pessoas, de forma 
null
null
null
25
a prejudicar a vida pessoal e/ou profissional da vítima, causando 
constrangimento perante a sociedade. São considerados delitos contra a 
honra e/ou crime de ameaça.
Na maioria das vezes, o dano causado à vítima acaba sendo de difícil 
reparação, pois mesmo que o conteúdo seja retirado, ele pode ter sido 
armazenado por qualquer pessoa do mundo que o tenha visualizado.
Não se trata apenas de um crime associado apenas ao ambiente escolar, 
como era o caso do bullying, pois no caso do cyberbullying, refere-
se ao ambiente da internet em que existe uma sensação aparente de 
anonimato e que as pessoas adultas têm sido tanto autores quanto 
vítimas de cyberbullying.
Uma das formas de se praticar tal crime é a partir de um perfil falso 
da vítima criado por alguém em uma rede social para submetê-la a 
situações constrangedoras ou humilhantes. E, ainda, o criminoso pode 
criar um perfil falso qualquer para disparar postagens vexatórias, 
difamatórias, ameaças ou notícias falsas (fake news) contra as vítimas.
De qualquer forma, não importa se o criminoso utiliza de perfil falso 
ou do seu próprio para realizar a prática do cyberbullying. O crime é o 
mesmo, e apenas e altera o modus operandi.
Do ponto de vista da investigação, uma boa prática é que o investigador 
tente identificar endereços de Protocolo de Internet (endereço IP – 
Internet Protocol) da origem das postagens criminosas e grave as páginas 
que contém o conteúdo ofensivo. Obviamente, é preciso, após esse 
procedimento, providenciar a notificação ao provedor para retirada do 
conteúdo ofensivo identificado.
Importante destacar que o cyberbullying pode ser cometido por crianças 
e adolescentes, sendo esta situação bastante comum, até pela natureza 
e origem do delito. Nesse caso, a conduta passa a ser considerada ato 
null
26
infracional, podendo serem aplicadas medidas socioeducativas para 
adolescentes ou medidas protetivas caso a conduta tenha sido cometida 
por uma criança.
2. Técnicas de investigação de crimes 
cibernéticos
2.1 Visão geral
Toda investigação relacionada a crimes cometidos no âmbito do espaço 
cibernético, deve ser iniciada com a chamada “notícia crime”. Essa 
notificação do cometimento de um crime cibernético pode ser realizada 
por qualquer cidadão, inclusive a própria vítima.
Uma vez recebida a denúncia, o agente responsável por recepcioná-la 
deve orientar o queixante a não apagar as possíveis provas do crime 
cibernético. Ou seja, é importante que as páginas, mensagens, imagens, 
vídeos, postagens, e-mails etc., ainda que estejam armazenadas no 
computador do queixante, permaneçam inalteradas.
Como a internet existe em nível global, o conteúdo pode estar disponível 
para ser acessado por qualquer pessoa em qualquer lugar do mundo. 
Portanto, é possível que o mesmo crime tenha sido reportado por outra 
pessoa em outro local. Logo, é preciso que o agente responsável pela 
investigação verifique, inicialmente, se não há duplicidade de “notícias 
crimes”. Isso é importante, apesar das providências.
Após a fase de verificação da duplicidade de denúncia, a investigação 
de um crime cibernético consiste, basicamente, na realização de mais 
quatro etapas: coleta de evidências, preservação de evidências, análise 
de evidências e apresentação de evidências. A Figura 1 ilustra esse 
processo.
27
Figura 1 – Processos de investigação de crimes cibernético
Fonte: elaborada pelo autor. 
Observe que todas as etapas ilustradas na Figura 1 possuem, como 
foco principal, de seu objeto a evidência digital. Segundo o Glossário de 
Segurança da Informação do Gabinete institucional da Presidência da 
República (BRASIL, 2019):
EVIDÊNCIA DIGITAL – informação ou dado, armazenado ou transmitido 
eletronicamente, em modo binário, que pode ser reconhecida como parte 
de um evento. (BRASIL, 2019, [s.p.])
Quando falamos de evento, estamos falando de qualquer ato:
Ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso 
não autorizado, interrupção ou mudança nas operações (inclusive 
pela tomada de controle), destruição, dano, deleção ou mudança da 
informação protegida, remoção ou limitação de uso da informação 
protegida ou ainda a apropriação, disseminação e publicação indevida de 
informação protegida de algum ativo de informação crítico ou de alguma 
atividade crítica por um período de tempo inferior ao tempo objetivo de 
recuperação. (BRASIL, 2019, [s.p.])
Além disso, é importante conhecer alguns conceitos constante do 
Glossário de Segurança da Informação do Gabinete institucional da 
Presidência da República relacionados aos processos apresentados na 
Figura 1. São eles:
AQUISIÇÃO DE EVIDÊNCIA–processo de coleta e cópia das evidências de 
incidente de segurança em redes computacionais;
null
28
CADEIA DE CUSTÓDIA – processo que acompanha o movimento 
de evidência através de sua coleta, salvaguarda e ciclo de análise, 
documentando cada indivíduo que manuseou a evidência, o momento 
(data/hora) em que a evidência foi coletada ou transferida, além do 
propósito de cada transferência;
COLETA DE EVIDÊNCIAS DE SEGURANÇA EM REDES COMPUTACIONAIS–
processo de obtenção de itens físicos que contém uma potencial evidência, 
mediante a utilização de metodologia e de ferramentas adequadas. Esse 
processo inclui a aquisição, ou seja, a geração das cópias das mídias, ou a 
coleção de dados que contenham evidências do incidente;
PRESERVAÇÃO DE EVIDÊNCIA DE INCIDENTES EM REDES 
COMPUTACIONAIS–processo que compreende a salvaguarda das 
evidências e dos dispositivos, de modo a garantir que os dados ou 
metadados não sofram alteração, preservando-se a integridade e a 
confidencialidade das informações. (BRASIL, 2019, [s.p.])
Por fim, é preciso atentar, também, para algumas características 
necessárias para que as evidências sejam consideradas legítimas e 
possam ser aceitas num processo judicial. A RFC 3227 (FAQS.ORG, 2002) 
apresenta essas características:
Admissível: deve estar em conformidade com certas regras legais antes de 
ser levada a um tribunal.
Autêntica: deve ser possível vincular positivamente o material de prova ao 
incidente.
Completa: deve contar toda a história e não apenas uma perspectiva 
particular.
Confiável: não deve haver nada sobre como as evidências foram coletadas 
e subsequentemente tratadas que lance dúvidas sobre sua autenticidade e 
veracidade.
null
null
null
null
null
29
Crível: deve ser facilmente crível e compreensível por um tribunal. (FAQS.
ORG, 2002)
2.2 Coleta de evidências
As técnicas de coleta de evidências digitais dependem muito do 
ambiente onde essas evidências vão ser coletadas. Apesar de estarmos 
sempre falando do espaço cibernético, esse espaço é composto por 
diversos ambientes com características próprias e bastante dinâmico. 
Uma técnica definida hoje para a coleta de evidências digitais em 
um determinado ambiente, pode estar obsoleta no dia seguinte, 
considerando a rápida evolução tecnológica que acontece nesses 
ambientes digitais. Uma coleta de evidências em um smartphone é 
diferente de uma coleta realizada em um computador pessoal ou em 
um website, por exemplo. Portanto, cada ambiente possui técnicas 
diferentes e que podem mudar rapidamente em virtude da evolução 
dessas tecnologias. A seguir, citaremos algumas técnicas utilizadas nos 
ambientes mais comuns do espaço cibernético.
2.2.1 Logs e trilhas de auditoria
Segundo o Glossário de Segurança da Informação do Gabinete 
institucional da Presidência da República (BRASIL, 2019):
LOGOU REGISTRO DE AUDITORIA–registro de eventos relevantes em um 
dispositivo ou sistema computacional;
TRILHA DE AUDITORIA – registro ou conjunto de registros gravados 
em arquivos de log ou outro tipo de documento ou mídia, que possam 
indicar, de forma cronológica e inequívoca, o autor e a ação realizada em 
determinada operação, procedimento ou evento. (BRASIL, 2019, [s.d.])
A maioria dos softwares, sistemas operacionais ou aplicativos possuem 
trilhas de auditoria que precisam ser coletadas e examinadas com 
null
null
null
30
vistas a identificar tarefas executadas pelos usuários desses sistemas 
e comportamentos não usuais. Os logs e trilhas de auditoria são uma 
importante fonte de informação para as investigações de crimes 
cibernéticos.
2.2.2 Websites e e-mails
Um website contém mídias de texto, imagem, áudio e vídeo. Além 
disso, existem links (ligações) para outros websites e para arquivos de 
diversos tipos, inclusive executáveis. Portanto, nesse ambiente é preciso 
considerar todos esses componentes na coleta de evidências digitais.
Basicamente, é preciso coletar todo conteúdo relevante para a 
investigação e os dados relacionados à identificação do website como 
domínio e endereço de protocolo de internet (Internet Protocol – IP), 
por exemplo. Além disso, a fim de preservar as características de 
admissibilidade, autenticidade, completude, confiabilidade e criabilidade 
das evidências digitais, é necessário que esses procedimentos sejam 
realizados em cópias instantâneas completas e incrementais de volume 
(do inglês snapshot). Dessa forma, mantêm-se localmente todas as 
informações do website para coleta e análise de evidências digitais.
Já o chamado correio eletrônico, popularmente conhecido como e-mail, 
é um arquivo digital estruturado em quatro campos de dados: endereço 
de e-mail do remetente; endereço(s) de e-mail(s) do(s) destinatário(s); 
assunto da mensagem; corpo (conteúdo) da mensagem, que pode 
conter além de texto, arquivos e/ou mídias como imagens, áudios e 
vídeos.
Além disso, é preciso analisar os metadados do e-mail, que são 
utilizados para processar a mensagem pelos softwares e/ou aplicativos 
de envio e leitura de mensagens eletrônicas. Aqui é possível, identificar, 
por exemplo, data e hora que a mensagem foi enviada e recebida, os 
endereços IPs da máquina que enviou a mensagem e as máquinas que 
null
null
31
receberam ou transmitiram a mensagem, refazendo todo o trajeto que a 
mensagem percorreu na internet até chegar ao seu destinatário.
2.2.3 Phishing e Malwares
Phishing é um tipo de ataque cibernético em que o atacante envia 
uma mensagem para a vítima de forma a induzi-la ao acesso a sites 
maliciosos ou softwares ou aplicativos maliciosos, vírus, que se instalam 
no computador ou dispositivo eletrônico da vítima, com o objetivo de 
capturar dados e informações sigilosas que serão usadas em fraudes 
posteriores. Dessa forma, a mensagem eletrônica funciona como uma 
espécie de isca para “pescar” a vítima. Daí o termo em inglês phishing 
(pescaria).
Assim, é necessário, ao examinar dispositivos eletrônicos (computador, 
notepad, smartphone etc.), identificar códigos, aplicativos ou softwares 
maliciosos, também conhecidos como malware. Nesse caso é necessário 
que o investigador acesse o website fraudulento ou execute o malware 
para verificar seu comportamento e coletar os resultados. Dessa forma, 
uma técnica bastante utilizada é a utilização de uma máquina virtual 
(Virtual Machine – VM) para assegurar que a máquina original não será 
afetada pela execução do malware.
Diversas técnicas são utilizadas para análises de malwares como 
engenharia reversa, localização de padrões textuais (strings matching), 
descompilação, desmontagem do código executável, depuração de 
código etc. Também é possível monitorar a rede para descobrir a origem 
e o destino desses pacotes maliciosos.
2.3 Preservação de evidências
Para que uma evidência digital possa ser admissível e confiável é 
necessário utilizar-se de mecanismos que assegurem que ela não foi 
null
null
null
32
alterada quando realizada sua coleta. Além disso, é preciso assegurar, 
também, que ela não foi alterada após a coleta e que permanece 
a mesma até ser apresentada como prova, considerando toda sua 
cadeia de custódia. Independentemente da fonte de coleta (notebooks, 
smartphones, discos rígidos, dispositivo de memória flash ou na própria 
internet) é preciso assegurar a admissibilidade e confiabilidade da prova 
(evidência digital).
Uma técnica muito utilizada é aplicar um resumo criptográfico, 
conhecida como hash, assinatura ou marca d’água no arquivo coletado. 
Conforme tal conceito:
Função de resumo criptográfico é uma transformação matemática que 
faz o mapeamento de uma sequência de bits de tamanho arbitrário para 
uma sequência de bits de tamanho fixo conhecido como resultado hash 
ou resumo criptográfico, de forma que seja muito difícil encontrar duas 
mensagens produzindo o mesmo resumo criptográfico (resistência à 
colisão) e que o processo inverso também não seja realizável (dado um 
resumo criptográfico, não é possível recuperar a mensagem que o gerou). 
(BRASIL, 2015, [s.p.])
Trata-se de uma função matemática que é aplicada na sequência de bits 
do arquivo cujo resultado será sempre único para aquela sequência de 
bits do arquivo específico. Portanto, caso o arquivo original seja alterado, 
ao aplicar a mesma função matemática na sequência de bits do novo 
arquivo, o resultado será diferente do obtido quando aplicada a mesma 
função no arquivo original. Esse mecanismo assegura que eventuais 
alterações ou adulterações na evidência sejam detectadas.
Existem algoritmos públicos utilizados para aplicação da função hash, 
como o MD5 e SHA-1. A Figura 2 ilustra uma operação de hash.
null
null
33
Figura 2 – Modelo simplificado da aplicação de um 
resumo criptográfico (hash)
Fonte: elaborada pelo autor.
Há várias outras técnicas que podem ser utilizadas para preservar 
evidências digitais, mas os algoritmos de resumos criptográficos 
são os mais utilizados. Qualquer procedimento a ser realizado na 
evidência digital (arquivo) após a coleta e geração do hash, deve ser 
realizado em cópias idênticas as originais.
2.4 Análise de evidências
O primeiro passo para analisar as evidências digitais é se organizar, 
realizar a classificação das informações e separar o que está 
realmente relacionado ao que está sendo investigado. Esse processo 
deve ser realizado em cópias dos arquivos originais, considerando as 
necessidades descritas no item anterior: preservação de evidências.
As evidências devem ser reduzidas ao mínimo necessário relacionado 
à investigação para análise de um investigador. Por exemplo, ao 
se examinar um computador pessoal, os arquivos do sistema 
operacional, na maioria das vezes, não precisam ser analisados. 
Arquivos duplicados ou várias cópias do mesmo arquivo, podem 
ser dispensadas, selecionando-se apenas um arquivo. Outra técnica 
bastante utilizada é a consulta por padrões e/ou palavras-chave. Nos 
null
null
34
casos de crimes de pornografia infantil, por exemplo, é interessante 
identificar os e-mails que possuem imagens ou arquivos anexados. 
Classificar arquivos por data de criação, nome, tamanho, tipo etc., 
também é uma técnica bastante eficiente. Além disso, existe a 
possibilidade de o investigador realizar consultas ou cruzamento 
de dados com outras bases de dados nacionais e até internacionais 
como as disponibilizadas pela Organização Internacional de Polícia 
Criminal (INTERPOL).
Os chamados metadados também são uma fonte importante de 
informações sobre as evidências digitais. Portanto, sua análise 
deve ser considerada. Os metadados são informações inteligíveis 
para uma máquina, mas, também, podem ser lidas por humanos. 
Normalmente, apresentam informações descritivas sobre a evidência 
digital tais como: autor do arquivo/documento, data e local de 
criação, forma, dimensões, esquema de cor, versão do aplicativo/software utilizado, tamanho do arquivo, fabricante do hardware etc.
A Figura 3 apresenta um exemplo de metadados retirados de um 
arquivo do tipo Portable Document Format (PDF).
35
Figura 3 – Exemplo de metadados retirados de um arquivo tipo PDF
Fonte: elaborada pelo autor.
2.5 Apresentação de evidências
Uma vez analisadas as evidências digitais, deve-se preparar a 
apresentação desses resultados para análise do poder judiciário. Nesta 
etapa é preciso analisar o caso concreto de forma a construir uma 
narrativa argumentativa de qualidade. O documento deve ser elaborado 
em linguagem direta e clara, eximindo-se de interpretações ambíguas e 
suposições, com foco no caso concreto.
O documento de apresentação das evidências digitais, deve estar 
estruturado da seguinte forma:
1. Campos de identificação contendo dados como número do 
processo, inquérito, identificação do solicitante, identificação do 
null
36
elaborador, data, local, número de protocolo da instituição que 
analisou as evidências etc.
2. Um resumo inicial descrevendo a origem das informações 
coletadas, forma de coleta, as técnicas de preservação de 
evidência utilizadas, sumário acerca das evidências examinadas.
3. Descrição detalhada das técnicas utilizadas para análise das 
evidências digitais, apontando as ferramentas e tecnologias 
utilizadas.
4. Descrição do histórico de busca das evidências digitais, 
procedimentos utilizados e eventuais ausências de evidências 
buscadas e não localizadas.
5. Descrição da correlação entre as evidências digitais apresentadas, 
das hipóteses definidas, confirmadas e negadas e seus respectivos 
metadados.
6. Conclusão, contendo um resumo do que foi apresentado e 
concluindo de forma clara e objetiva por um determinado 
posicionamento da equipe que realizou os procedimentos e 
elaborou o documento.
O documento, ainda deve conter referências bibliográficas utilizadas e 
um glossário de termos técnicos utilizados ao longo do documento.
As evidências, principalmente em áudio e vídeo, podem ser 
apresentadas em mídia digital não alterável, mas precisam estar 
indexadas no documento de apresentação de evidências.
Referências Bibliográficas
BRASIL. Presidência da República. Portaria nº 93, de 26 de setembro de 2019. 
Aprova o Glossário de Segurança da Informação. Brasília: D.O.U., 2019. Disponível 
em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-
de-2019-219115663. Acesso em: 17 jul. 2020.
http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
null
37
BRASIL. Presidência da República. Casa Civil da Presidência da República. Instituto 
Nacional de Tecnologia da Informação. Visão Geral Sobre Assinaturas Digitais na 
ICP-Brasil. DOC-ICP-15. v. 3.0, 2015. Disponível em: https://antigo.iti.gov.br/images/
repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_
SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf. Acesso em: 10 ago. 2020.
FAQS.ORG. RFC 3227 – Guidelines for Evidence Collection and Archiving. The 
Internet Society, 2002. Disponível em: http://www.faqs.org/rfcs/rfc3227.html. Acesso 
em: 9 ago.2020.
MANDARINO JR, Raphael. Segurança e a Defesa do Espaço Cibernético Brasileiro. 
Recife: Cuzbac, 2010.
PINHEIRO, Patrícia P. Direito cibernético. 6. ed. São Paulo: Editora Saraiva, 2016.
https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf
https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf
https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf
http://www.faqs.org/rfcs/rfc3227.html
38
Frameworks de gestão de 
contratos de TIC
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
Objetivos
• Compreender os principais conceitos relacionados à 
gestão de contratos de TIC.
• Aplicar processos de gestão de contratos de TIC.
null
null
39
1. Frameworks de aquisições de TIC
Segundo Michaelis (2020), um framework é um conjunto de normas ou 
diretrizes que estabelecem algum tipo de orientação para resolução 
de um problema ou conjunto de problemas específicos. Existem vários 
frameworks que tratam da aquisição de bens ou serviços de Tecnologia 
da Informação e Comunicação (TIC). Alguns tratam o assunto de forma 
isolada e outros são parte de um framework maior relacionado à TIC.
1.1 COBIT
O Control Objectives for Information and Related Technologies (COBIT) é um 
framework criado pela Information Systems Audit and Control Association 
(ISACA) que trata da governança de Tecnologia de Informação (TI) para 
uma organização por inteiro. Esse framework é bastante utilizado no 
mercado como um modelo de referência para prover o alinhamento da 
TI com o negócio.
A primeira versão do COBIT foi lançada pela ISACA em 1996. O 
framework estava estruturado como um conjunto de objetivos de 
controle com foco em auditoria financeira relacionada a ambientes de 
Tecnologia da Informação. A versão 2 do COBIT foi lançada pela ISACA 
em 1998, tendo como principal característica a expansão do framework 
para além do tema de auditoria financeira. As versões 4 e 4.1 do COBIT 
foram lançadas, respectivamente, nos anos de 2005 e 2007, e a principal 
característica dessas versões é que, além das melhorias relacionadas 
às diretrizes de gestão, o modelo incorporou boas práticas de padrões 
internacionais como o ISO/IEC 38.500, que é uma norma internacional 
para a governança corporativa de Tecnologia da Informação. Aqui 
merece destaque à incorporação de práticas de gestão de riscos. Em 
2012 foi lançado o COBIT 5 com a incorporação de melhores práticas 
internacionais, tanto da International Organization for Standardization 
(ISO) quanto da Information Technology Infrastructure Library (ITIL).
null
null
null
40
O COBIT, na sua versão 2019, tem como princípios: prover valor para 
as partes interessadas; abordagem holística; sistema de governança 
dinâmico; governança distinta da gestão; ajustado às necessidades da 
organização; sistema de governança. O modelo está estruturado em 
35 objetivos de governança e gestão, distribuídos em quatro domínios: 
alinhar, planejar e organizar; construir, adquirir e implementar; entrega, 
serviço e suporte; monitorar e avaliar (ISACA, 2019).
O domínio de construir, adquirir e implementar trata, dentre outros 
assuntos, do tema de aquisição de TI. Esse domínio possui objetivos 
e diretrizes para realização de aquisições de software aplicativo, 
infraestrutura tecnológica e recursos de TI (ISACA, 2019).
1.2 MPS.BR
Outro framework bastante utilizado no Brasil é o Melhoria de Processo 
do Software Brasileiro (MPS.BR). Segundo SOFTEX (2013):
O Programa MPS.BR é um programa mobilizador, de longo prazo, criado 
em dezembro de 2003, coordenado pela Associação para Promoção da 
Excelência do Software Brasileiro (SOFTEX), com apoio do Ministério da 
Ciência, Tecnologia e Inovação (MCTI). O objetivo do programa MPS.BR é a 
melhoria do processo de software brasileiro. (SOFTEX, 2013, p. 4)
O MPS.BR possui uma série de guias que descrevem processos e 
atividades a serem realizadas pela organização que está em avaliação, 
tais como:
Guia Geral MPS de Software: contém a descrição da estrutura dos modelos 
MPS e detalha o Modelo de Referência MPS para Software (MR-MPS-
SW), seus componentes e as definições comuns necessárias para seu 
entendimento e aplicação;
Guia Geral MPS de Serviços: contém a descrição da estrutura dos modelos 
MPS e detalha o Modelo de Referência MPS para Serviços (MR-MPS-
null
null
null
41
SV), seus componentes e as definições comuns necessárias para seu 
entendimento e aplicação;
Guia de Avaliação: descreve o processo e o método de avaliação MA-
MPS, os requisitos para avaliadores líderes, avaliadoresadjuntos e 
Instituições Avaliadoras (IA);
Guias de Implementação: série de documentos que fornecem 
orientações para implementar, nas organizações, os níveis de 
maturidade descritos nos Modelos de Referência;
Guia de Aquisição de Software: descreve um processo de aquisição 
de software e serviços correlatos. É descrito como forma de apoiar 
as instituições que queiram adquirir produtos de software e serviços 
correlatos. (SOFTEX, 2013, [s.p.])
Especificamente sobre o Guia de Aquisição, esse framework descreve 
um processo bem estruturado de aquisição, abordando temas como 
preparação da aquisição, seleção do fornecedor, monitoração do 
contrato, plano de aquisição, proposta dos fornecedores, contrato, 
aspectos relevantes na aquisição, problemas comuns na aquisição 
etc. O guia é baseado no padrão ISO/IEC 12.207:2008, que define 
processos de Engenharia de Software, e na série de padrões de 
qualidade definidos na norma ISO/IEC 25.000 (SOFTEX, 2013).
1.3 Instrução Normativa SGD/ME no 01/2019
Na Administração Pública Federal (APF) brasileira, existe um 
framework publicado pela Secretaria de Governo Digital do Ministério 
da Economia (SGD/ME) por meio da Instrução Normativa no 1, de 4 de 
abril de 2019 (IN SGD/ME no 1/2019). Essa Instrução Normativa:
Dispõe sobre o processo de contratação de soluções de Tecnologia da 
Informação e Comunicação–TIC pelos órgãos e entidades integrantes do 
null
null
null
null
42
Sistema de Administração do Recursos de Tecnologia da Informação–
SISP do Poder Executivo Federal. (BRASIL, 2019, [s.p.])
A IN SGD/ME no 1/2019 apresenta alguns conceitos relacionados ao 
tema, processos e fluxos de trabalho para realização de planejamento 
das contratações públicas de soluções de TIC, práticas para seleção 
de fornecedores e um modelo detalhado de gestão e fiscalização 
contratual. O framework também apresenta modelos de documentos 
(templates) e fluxos desenhados na notação Business Process Model 
and Notation (BPMN).
Trata-se da quarta versão desse framework, sendo a primeira lançada 
em 2008 pelo então Ministério do Planejamento, Orçamento e 
Gestão. Essa versão, tratava apenas do modelo de contratação para 
serviços de TI. Na versão 2010 foi incorporado o termo Solução 
de Tecnologia da Informação, atualmente Solução de TIC, que é o 
“conjunto de bens e/ou serviços que apoiam processos de negócio, 
mediante a conjugação de recursos, processos e técnicas utilizados 
para obter, processar, armazenar, disseminar e fazer uso de 
informações” (BRASIL, 2019, [s.p.]).
Essa nova definição aumentou a abrangência, fazendo que sua 
aplicação não ficasse restrita somente a serviços de TI mas, também, 
a quaisquer bens ou serviços de TI. Foi nessa versão que foi lançado, 
pela primeira vez, O Guia Prático para Contratação de Soluções de 
TI, que contém os desenhos dos processos de planejamento da 
contratação, seleção de fornecedor e gestão de contratos. Também 
nesse guia estão disponíveis os templates para os documentos que 
são gerados ao longo da execução do processo. O framework foi 
revisado novamente em 2014 e em 2019, resultando na atual IN SGD/
ME no 1/2019.
null
null
null
null
43
2. Gestão de contratos de Tecnologia da 
Informação e Comunicação
2.1 Visão geral
De maneira geral, os frameworks de aquisição relacionados a ativos ou 
serviços de TIC (Soluções de TIC) possuem três etapas: planejamento 
da contratação, seleção de fornecedor e gestão de contratos. A Figura 1 
ilustra esse processo.
Figura 1 – Etapas do processo de aquisição de Soluções de TIC
Fonte: elaborada pelo autor.
Na Figura 1, observa-se claramente um fluxo sequencial onde o 
sucesso da execução de uma etapa depende da boa execução da etapa 
anterior. Portanto, um bom planejamento da contratação conduzirá a 
organização a selecionar um bom fornecedor que, por consequência, 
fará com que a etapa de gestão contratual seja o mais célere possível. 
Logo, conclui-se que uma boa gestão contratual só ocorrerá se o 
planejamento da contratação for realizado da forma mais efetiva 
possível. Um planejamento ruim pode deixar a gestão contratual 
bastante complicada, ainda que se tenha realizado uma boa seleção 
de fornecedor, embora essa probabilidade seja remota, considerando 
que um mau planejamento influencia negativamente todas as etapas 
subsequentes do fluxo de aquisição.
Uma das atividades mais importantes da etapa de planejamento 
da contratação é o alinhamento da contratação com a estratégia e 
o negócio da organização conforme preconizado em Isaca (2019, p. 
null
null
44
17). Segundo Softex (2013, p. 9), para isso, é preciso: 1. Estabelecer 
a necessidade; 2. Definir os requisitos; 3. Revisar os requisitos; 4. 
Desenvolver uma estratégia de aquisição; 5. Definir os critérios de 
seleção de fornecedores.
Segundo Brasil (2019):
Art. 10. A fase de Planejamento da Contratação terá início com o 
recebimento pela Área de TIC do Documento de Oficialização da Demanda, 
elaborado pela Área Requisitante da solução, que conterá no mínimo:
I–necessidade da contratação, considerando os objetivos estratégicos 
e as necessidades corporativas do órgão ou entidade, bem como o seu 
alinhamento ao Plano Diretor de Tecnologia da Informação e Comunicação 
e ao Plano Anual de Contratações;
II–explicitação da motivação e dos resultados a serem alcançados com a 
contratação da solução de TIC;
III–indicação da fonte dos recursos para a contratação; e
IV–indicação do Integrante Requisitante para composição da Equipe de 
Planejamento da Contratação. (BRASIL, 2019, p. 5)
Dessa forma, fica clara a necessidade de que a aquisição da solução 
de TIC esteja devidamente prevista e alinhada aos planos, estratégias, 
diretrizes e necessidades de negócio da organização.
2.2 Planejamento da contratação
Uma vez levantadas as necessidades e definidos os objetivos da 
organização que a aquisição ajudará a atingir, é preciso especificar o(s) 
produto(s) e/ou serviço(s) que será(ão) contratado(s). Para isso, faz-se 
necessário, inicialmente, prospectar e estudar soluções disponíveis no 
mercado. Uma técnica bastante utilizada é a análise do custo total de 
null
45
propriedade (Total Cost of Ownership – TCO). A técnica consiste em avaliar 
os custos diretos e indiretos relacionados à aquisição. Por exemplo, na 
compra de um computador portátil, além do custo de aquisição existem 
custos relacionados a manutenção, garantia, energia, softwares etc. 
De maneira geral, recomenda-se que se analise o custo relacionado a 
todo o ciclo de vida da solução a ser adquirida, não somente o custo da 
aquisição. Conforme Brasil (2016), essa análise também é importante 
para verificar a viabilidade econômica da aquisição.
Segundo Brasil (2019):
Estudo Técnico Preliminar da Contratação: documento que descreve as 
análises realizadas em relação às condições da contratação em termos de 
necessidades, requisitos, alternativas, escolhas, resultados pretendidos e 
demais características, e que demonstra a viabilidade técnica e econômica 
da contratação. (BRASIL, 2019, p. 2)
Após o levantamento das soluções disponíveis e economicamente 
viáveis, é necessário especificar a solução, definir seus requisitos. 
Segundo Brasil (2019, p. 2), “requisitos: conjunto de características 
e especificações necessárias para definir a solução de TIC a ser 
contratada”. Segundo Softex (2013, p. 14):
Especificação de requisitos é um documento que define os requisitos e 
restrições definidas pelo cliente, incluindo requisitos dos interessados 
(stakeholders), do sistema (quando for o caso), do software, de projeto, 
de manutenção, de treinamento e de implantação, restrições legais, 
financeiras, de prazo e de número de usuários. (SOFTEX, 2013, p. 14)
Nessa etapa, também devem ser avaliados os riscos inerentes à 
contração e a Solução de TIC escolhida. Além disso, devem ser definidos 
critérios para a etapa seguinte: seleção de fornecedor. Segundo Softex 
(2013), trata-se de:
null
46
Estabelecer e acordar os critérios de seleçãode fornecedores, bem 
como a forma de avaliação a ser aplicada.
Como fatores que podem influenciar na escolha do fornecedor 
podem ser citados: localização geográfica do fornecedor; registro de 
desempenho em trabalhos similares; equipe e infraestrutura disponíveis 
para o desenvolvimento do produto desejado; tempo de mercado; 
experiência no domínio do problema; nível de qualidade de seus 
processos utilizados; e certificações exigidas. (SOFTEX, 2013, p. 13)
Outra tarefa importante dessa etapa e que tem bastante influência na 
etapa de gestão contratual é a definição do Acordo de Nível de Serviço 
(Service Level Agreement – SLA), para os casos em que a solução a ser 
adquirida envolver a prestação de algum tipo de serviço. Trata-se de 
uma descrição dos níveis de qualidade do serviço, bem como definição 
de responsabilidades entre as partes envolvidas na prestação e recepção 
do serviço. Aspectos como tempo de atendimento, disponibilidade do 
serviço etc.
2.3 Seleção de fornecedor
Segundo Softex (2013), a etapa de seleção de fornecedor, consiste 
basicamente na realização de três atividades: avaliar a capacidade 
dos fornecedores, selecionar o fornecedor e preparar e negociar um 
contrato. A Figura 2 ilustra essa etapa:
47
Figura 2 – Atividades da etapa de seleção de fornecedor
Fonte: elaborada pelo autor.
Na avaliação da capacidade dos fornecedores, deve-se aplicar os 
critérios de seleção de fornecedor definidos na etapa de planejamento 
da contratação, considerando um conjunto de potenciais fornecedores 
selecionados previamente.
Para selecionar um fornecedor é necessário analisar, comparativamente, 
as competências de cada um que passou nos critérios de seleção. 
Analisar, também, se o produto e/ou serviço ofertado pelo fornecedor 
atende plenamente aos requisitos da Solução de TIC definidos na etapa 
anterior. Dependendo da complexidade da solução que está sendo 
contratada, pode ser necessária a análise de processos utilizados pelo 
fornecedor, avaliação da qualidade de seus produtos ou até mesmo 
a realização de uma prova de conceito (Proof of Concept – PoC) com a 
solução ofertada.
É importante que os potenciais fornecedores, apresentem propostas 
técnicas e de preço, que devem ser avaliadas e que servirão de base 
para elaboração do contrato entre as partes. Além da proposta, o 
contrato deve conter todos os aspectos especificados quando do 
planejamento da contratação além de aspectos jurídicos, cláusulas de 
sanções e rescisão etc. Neste momento, será de grande importância 
a análise de riscos realizada durante a etapa de planejamento da 
contratação, pois essas informações influenciaram em diversos aspectos 
do documento contratual, inclusive nos aspectos jurídicos.
null
48
2.4 Gestão de contrato de TI
Após a assinatura do contrato, se inicia, para o fornecedor selecionado, 
a etapa de execução contratual. Para a organização contratante, se inicia 
a etapa de gestão do contrato. Para os casos que envolvem aquisições 
de bens/produtos, essa etapa pode ser bastante simples. Entretanto, 
em casos que envolvem prestação de serviço, principalmente serviços 
continuados, a gestão contratual pode ser um tanto quanto complexa.
Segundo Brasil (2019, p. 13): “A fase de Gestão do Contrato visa 
acompanhar e garantir a adequada prestação dos serviços e o 
fornecimento dos bens que compõem a solução de TIC durante todo o 
período de execução do contrato”.
De maneira geral, a etapa de gestão contratual envolve a realização das 
seguintes atividades:
Figura 3 – Atividades da etapa de gestão de contratos
Fonte: elaborada pelo autor.
A iniciação é uma atividade que envolve reuniões com o fornecedor para 
apresentação das partes, pessoas, tirar as dúvidas e esclarecer questões 
operacionais, administrativas, de gestão, prazos, substituição de 
pessoas, disponibilização de recursos para a contratada (infraestrutura, 
acesso à sistemas, redes etc.), acesso da contratada à contratante, 
horários, repasse de conhecimento etc. Além disso, nessas atividades 
podem ser realizadas, se for o caso, as assinaturas de termos de 
compromisso, termo de sigilo etc.
null
null
null
null
49
A tarefa de encaminhamento de demandas é muito comum quando 
a contratação envolve prestação de serviço e, normalmente, é 
realizada por maio da emissão de Ordens de Serviço (OS). As OS 
contêm a especificação dos serviços que devem ser executados e o 
volume estimado conforme métricas definidas em contrato, prazos e 
identificação de responsáveis. Aqui é importante atentar para os prazos 
definidos em contrato.
Já o processo de monitoramento da execução processual é a atividade 
mais complexa da etapa de gestão contratual. Segundo Brasil (2019):
Art. 33. O monitoramento da execução deverá observar o disposto no 
Modelo de Gestão do Contrato, e consiste em:
I–confecção e assinatura do Termo de Recebimento Provisório, a cargo 
do Fiscal Técnico do Contrato, quando da entrega do objeto constante na 
Ordem de Serviço ou de Fornecimento de Bens;
II–avaliação da qualidade dos serviços realizados ou dos bens entregues e 
justificativas, a partir da aplicação das listas de verificação e de acordo com 
os critérios de aceitação definidos em contrato, a cargo dos Fiscais Técnico 
e Requisitante do Contrato;
III–identificação de não conformidade com os termos contratuais, a cargo 
dos Fiscais Técnico e Requisitante do Contrato;
IV–verificação de aderência aos termos contratuais, a cargo do Fiscal 
Administrativo do Contrato;
V–verificação da manutenção das condições classificatórias referentes à 
pontuação obtida e à habilitação técnica, a cargo dos Fiscais Administrativo 
e Técnico do Contrato;
VI–encaminhamento das demandas de correção à contratada, a cargo do 
Gestor do Contrato ou, por delegação de competência, do Fiscal Técnico do 
Contrato;
null
50
VII–encaminhamento de indicação de glosas e sanções por parte do Gestor 
do Contrato para a Área Administrativa;
VIII–confecção e assinatura do Termo de Recebimento Definitivo, a 
cargo do Fiscal Requisitante e Fiscal Técnico do Contrato, com base nas 
informações produzidas nos incisos I a VII deste artigo;
IX–autorização para o faturamento, a cargo do Gestor do Contrato 
com base nas informações produzidas no inciso VIII deste artigo, a ser 
encaminhada ao preposto da contratada;
X–verificação das regularidades fiscais, trabalhistas e previdenciárias para 
fins de pagamento, a cargo do Fiscal Administrativo do Contrato;
XI–verificação da manutenção da necessidade, economicidade e 
oportunidade da contratação, a cargo do Fiscal Requisitante do Contrato, 
com apoio dos Fiscais Técnico e Administrativo do Contrato;
XII–verificação de manutenção das condições definidas nos Modelos 
de Execução e de Gestão do Contrato, a cargo dos Fiscais Técnico e 
Requisitante do Contrato;
XIII–encaminhamento à Área Administrativa de eventuais pedidos de 
modificação contratual, a cargo do Gestor do Contrato; e
XIV–manutenção do Histórico de Gestão do Contrato, contendo registros 
formais de todas as ocorrências positivas e negativas da execução do 
contrato, por ordem histórica, a cargo do Gestor do Contrato, com apoio 
dos Fiscais Requisitante, Técnico e Administrativo. (BRASIL, 2019, p. 14)
A Figura 4, a seguir, ilustra o fluxo de trabalho do processo de 
monitoramento da execução do contrato.
51
Figura 4 – Atividades do processo de monitoramento do contrato
Fonte: elaborada pelo autor.
Uma vez entregue os bens/produtos da Solução de TIC ou executado 
o serviço, é preciso formalizar o recebimento provisório dos bens ou 
serviços constantes da OS emitida para posterior avaliação da qualidade.
Na avaliação da qualidade é preciso que os técnicos da contratante 
verifiquem se o que foi entregue, possui as características especificadas 
no contrato. Uma técnica bastante utilizada aqui é a aplicação de 
checklists e planos de teste que podem ser elaborados previamente 
quando da etapa de planeamento da contratação. Caso sejam 
identificadas pendências ounão conformidade, estas devem ser 
encaminhadas para a contratada para correção e eventuais aplicações 
de sanções podem ser necessárias.
A próxima atividade é a verificação da aderência aos termos contratuais. 
Aqui o gestor do contrato deve verificar questões como prazos, a forma 
de execução do serviço, respeito às cláusulas contratuais, termos 
assinados, conduta das pessoas envolvidas na execução do serviço ou 
entregas dos bens. Caso existam pendências ou não conformidades, 
estas devem ser encaminhadas à contratada para correção e eventuais 
aplicações de sanções podem ser necessárias.
A qualquer momento, nas atividades de avaliação da qualidade 
e verificação de aderência ao contrato, podem ser identificadas 
necessidades de alteração contratual, seja por questões técnicas ou 
força maior identificadas quando da execução do serviço ou entrega 
dos bens. Por exemplo, pode haver restrição orçamentária que impacte 
em redução do escopo do contrato; podem ser identificadas outras 
52
necessidades não previstas no contrato original que precisam ser 
supridas no contrato atual, o que também impactaria em alteração do 
escopo do contrato. Essas possibilidades são reais e não são incomuns, 
considerando que, quanto mais se avança no processo de execução 
contratual, mais se conhece sobre a solução que está sendo contratada, 
fazendo com que a visão que se tinha inicialmente sobre a solução, seja 
alterada. Por isso, é importante, neste caso, a utilização de metodologias 
ágeis, e que esses eventos estejam previstos na análise de riscos da 
contratação, com as respectivas contramedidas previamente definidas.
Por fim, procede-se o pagamento à contratada. Entretanto, nos casos em 
que a contratante for um órgão público, esse processo é um pouco mais 
complexo, conforme pode ser observado nos incisos IX e X do art. 33 da 
IN SGD/ME no 1/2019.
Em relação à atividade de encerramento do contrato, segundo Brasil 
(2019), essa atividade deve observar, dentre outros aspectos:
I–a manutenção dos recursos materiais e humanos necessários à 
continuidade do negócio por parte da Administração;
II–a entrega de versões finais dos produtos e da documentação;
III–a transferência final de conhecimentos sobre a execução e a 
manutenção da solução de TIC;
IV–a devolução de recursos;
V–a revogação de perfis de acesso;
VI–a eliminação de caixas postais. (BRASIL. 2019, p. 15)
null
null
null
53
Referências Bibliográficas
ASSOCIAÇÃO PARA PROMOÇÃO DA EXCELÊNCIA DO SOFTWARE BRASILEIRO – 
SOFTEX. MPS.BR – Guia de Aquisição. 2013. Disponível em: www.softex.br. Acesso 
em: 21 ago. 2020.
BRASIL. Ministério da Economia. Secretaria de Governo Digital. Instrução 
Normativa nº 1, de 4 de abril de 2019. Brasília: D.O.U., 2019. Disponível 
em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/
content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-de-abril-
de-2019-70267535. Acesso em: 22 ago. 2020.
BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão; Secretária de 
Tecnologia da Informação e Comunicação. Guia de Boas Práticas em Contratação 
de Soluções de Tecnologia da Informação V3.0–2016. Disponível em: http://www.
mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-
Prticas-em-Contratao-de-Solues-de-Tecnologia-da-Informao.pdf. Acesso em: 23 ago. 
2020
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 2019 
Framework: Introduction and Methodology. ISACA, 2019.
MICHAELIS, 2016. Moderno Dicionário da Língua Portuguesa. São Paulo: 
Melhoramentos. Disponível em: http://michaelis.uol.com.br. Acesso em: 21 ago. 
2020.
http://www.softex.br
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d
http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d
http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d
http://michaelis.uol.com.br
54
Acordo de nível de serviço
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
Objetivos
• Elaborar acordos de níveis de serviço.
• Entender o ciclo e vida do Service Level Agreement 
(SLA).
null
null
55
1. Acordo de nível de serviço
Segundo ABNT (2011, p. 13), Acordo de Nível de Serviço (ANS) ou, do 
inglês, Service Level Agreement (SLA) é um “acordo documentado entre 
o provedor de serviço e cliente que identifica serviços e metas de 
serviço”. Ou seja, trata-se de um documento que descreve indicadores, 
metas e objetivos da prestação do serviço. Nesse documento, podem 
estar presentes indicadores e métricas referentes ao desempenho do 
serviço contratado, tempo de atendimento, segurança, disponibilidade, 
privacidade etc. Esses critérios serão utilizados para mensurar a 
qualidade do serviço que está sendo executado pelo provedor do serviço 
(fornecedor, contratada), e também pode servir de referência para 
eventuais aplicação de sanções à contratado, por descumprimento do 
ANS e prestação de uma serviço de baixa qualidade, que não atende as 
necessidades do contratante.
1.1 Ciclo de vida do SLA
Segundo Rojas (2016), o SLA possui um ciclo de vida de, basicamente 
quatro fases: definir e especificar o SLA, negociar a implantar o SLA, 
executar e gerenciar o SLA e finalizar e bilhetar o SLA. O autor descreve:
Fase 1–Definir e especificar o SLA: Nesta fase é realizada a especificação 
dos requisitos que contemplam o SLA, identificando as necessidades do 
consumidor e as características do modelo de serviço adotado e suportado 
pelo provedor, bem como aspectos legais;
Fase 2–Negociar e implantar o SLA: Nesta fase, são negociadas, entre o 
provedor de serviço e o consumidor, as condições financeiras e os níveis 
aceitáveis de atendimento das necessidades do consumidor. Além disso, 
são definidas sanções para ambas as partes em caso de não atendimento 
de alguma cláusula definida., bem como a periodicidade e o conteúdo dos 
relatórios a serem entregues pelo provedor de serviço.
null
null
56
Fase 3–Executar e gerenciar o SLA: Nesta fase, é efetuada a 
operacionalização do serviço que está ativo e sendo executado, atendendo 
os requisitos especificados no SLA. Simultaneamente a execução são 
realizados: a monitoração em tempo real da instância em execução, o 
gerenciamento dos requisitos a serem atendidos, a emissão de relatórios 
de controle, a aplicação de política de uso, ações corretivas a serem 
tomadas, ações reativas a serem adotadas e o controle de violações;
Fase 4–Finalizar e bilhetar o SLA: Nesta fase, é tratado o encerramento 
dos serviços em função do fim do contrato ou violação do mesmo. A 
desativação da instância é realizada, além da liberação dos recursos 
alocados e da revogação dos acessos ao consumidor. Também são 
tratados assunto relacionados a bilhetagem dos recursos consumidos e 
emissão de faturas de cobranças. Em caso de penalidade em função do 
não atendimento de algum requisito por parte do provedor, o mesmo 
pode ser revertido como desconto para o consumidor ou ser oferecido 
outro mecanismo de compensação. (ROJAS, 2016, p. 39)
A Figura 1 ilustra esse processo:
Figura 1 – Fases do ciclo de vida do SLA
Fonte: adaptada de Rojas (2016, p. 39).
Observe que durante a execução da fase de finalização e bilhetagem, 
pode ser necessário “requisitar novos recursos”, ou seja, alterar a 
especificação do SLA devido o surgimento de novas necessidades 
durante a execução do serviço, o que pode impactar na alteração do 
preço do serviço. É possível, ainda, que seja necessário renegociar o 
null
null
57
SLA, evento esse também provocado pela alteração das necessidades 
iniciais da contratante. Essa renegociação provavelmente irá impactar o