Qual provedor de Computação em Nuvem vai fazer chover primeiro? Office 364 ou AmazOff? Uma crítica sobre Computação em Nuvem

Com todo o buzz de mercado sobre Computação em Nuvem, é comum que uma empresa queira fazer a movimentação de seus dados e aplicações para a nuvem.

Claro que a Computação em Nuvem tem seus benefícios reais, como escalabilidade e pagar sob demanda, é um modelo de negócio bem atrativo.

Mas do lado do datacenter, qual a complexidade para atender todos esses clientes? Dezenas de milhares de clientes significa milhares de servidores, milhares de portas nos switches, tecnologia de ponta (e menos base testada), ferramentas de automatização específicas (usada apenas pelos grandes provedores, com bugs que podem acontecer só com eles), enfim, um problema que acontecer no datacenter de grande porte, sempre vai ser mais complexo de resolver do que um simples reboot em um servidor local.

Sim, isso já aconteceu antes:

Se continuarmos buscando, vamos encontrar mais e mais casos de problemas nos principais datacenters e serviços de nuvem online.

Sua empresa pode ficar 1 dia sem e-mail porque o provedor de nuvem está com um problema sério? Ou porque estão sofrendo um ataque DDoS? E se sua empresa sofrer um ataque DDoS? Além de ficar sem Internet, fica sem acesso aos dados e aplicativos.

Sem duvidar da competência ou da capacidade de solução de problemas de cada um deles, será que toda a complexidade extra não adiciona uma camada extra de problemas que não teríamos se os servidores estivessem “em casa”?

Falando em complexidade extra, como os dados estão fora da empresa, a mesma fica obrigada a ter no mínimo 2 links de Internet com operadoras diferentes para acessar os dados, o que não precisaria se os dados estivessem na empresa… bom, redundância de Internet sempre é bom, mas poderiam ser 2 links de baixo custo e não 2 links profissionais com SLA e tudo mais.

E o que falar da segurança? Será que um funcionário desse datacenter não é corruptível a ponto de entregar os dados da sua empresa para seu concorrente? E as operadoras de interconexão? Você tem certeza que todas as conexões e dados estão criptografados? Já ouviu falar dos ataques de Man-In-The-Middle contra conexões SSLv2? Ataque de Heartbleed? E o ataque de Blue Pill?

E quando acontecer a falha? Você vai culpar quem? Será que a culpa não é sua por ter escolhido o datacenter errado? Mas qual o datacenter correto?

Os dados da sua empresa estão hospedados no seu país? E os backups, também estão no seu país? E a contingência deles? Será que os dados estando na nuvem não ficam mais suscetíveis a espionagem de agências e concorrentes mundo afora?

Será que o Datacenter escolhido está localizado em uma área sujeita a desastres naturais? E as linhas de comunicação que ligam o mesmo até sua empresa? E as linhas de energia nesse caminho? Mesmo que não seja uma interrupção total, mas uma degradação nos serviços pode custar horas de produtividade da equipe.

E os impostos? Você contratou um datacenter que é local, mas e a fatura? Um  grande provedor de nuvem, embora tenha infraestrutura no Brasil, tem efetuado as cobranças pela matriz nos EUA, com isso sua empresa fica responsável por recolher os impostos. E se não está recolhendo, está sonegando, sujeito a multa.

Por último, o que acontece se um provedor de nuvem entender que você não pagou a conta? O cartão de crédito foi cancelado e seu financeiro esqueceu de trocar no provedor, depois saiu de férias e ninguém está olhando os e-mails de alerta, em quanto tempo seu serviço será cancelado? E em quanto tempo será reestabelecido assim que efetuar o pagamento?

Enfim, embora a nuvem tenha suas vantagens, deve-se considerar os riscos, e ficar atento aos detalhes para que não se transforme numa tempestade e para que seus dados não vão embora com a chuva.

 

Sobre o autor
Fernando Ulisses dos Santos
Diretor de Tecnologia na Blue Solutions
Especialista em Segurança da Informação
Certificado VCP-DCV, VCAP-DT, VCP-DT

 

 

Leita também:

Oito grandes problemas com a computação na nuvem

O que é computação em nuvem e quais os principais tipos?

Avaliação de Plataformas em Nuvem: Microsoft Azure vs Amazon AWS vs Google Cloud vs Oracle Cloud

Nova norma ABNT estabelece critérios para Segurança em Serviços em Nuvem

Read More

O que é computação em nuvem e quais os principais tipos?

Computação em Nuvem é o termo aplicado para um conjunto de recursos computacionais, normalmente armazenados em um Datacenter remoto, disponível sob demanda.

O termo surgiu por volta de 2009, do original em inglês “cloud computing“, utilizado para designar tecnologia contratada sob serviço (normalmente pagando-se uma mensalidade)

Como é a tecnologia

Computação em Nuvem hoje representa três modelos de negócio e tecnologias, embora alguns fornecedores possam listar mais modelos, são variações dos três modelos básicos oferecidos no mercado:

  • Software As a Service (SaaS)

É considerado SaaS quando uma aplicação para  um fim específico é vendido sob a forma de serviços. Ao contrário da venda de aplicativos como licença de software, que permite o uso do software por tempo ilimitado a partir da aquisição da licença por um único pagamento, a venda como serviço normalmente é feita como um pagamento mensal para que o serviço fique disponível no fornecedor, que providencia infraestrutura de servidores e conexões necessários para a prestação do serviço.

Normalmente é vista com bons olhos pelos fornecedores e clientes, os fornecedores porque garantem uma renda fixa mensal independente de novas vendas, e os clientes porque pagam apenas pela utilização, normalmente medida em quantidade de usuários ou recursos computacionais alocados para ele, dividindo os custos de uma estrutura maior entre múltiplos clientes que se beneficiam.

O principal exemplo de fornecedor de software é a Salesforce, líder mundial em sistema CRM, mas existem diversos serviços mais populares que podem ser classificados como SaaS, como Google Docs, GMail, Office365 e mesmo sites populares como Facebook e Dropbox.

  • Infrastructure As a Service (IaaS)

IaaS é o termo aplicado quando o fornecedor entrega recursos computacionais de infraestrutura, como servidores, espaço de armazenamento e capacidade de rede, sob uma taxa mensal de utilização. O modelo mais básico seria o aluguel de um servidor físico em um datacenter, onde o cliente não precisa se preocupar com garantia e disponibilidade do servidor, contratação de links e disponibilidade de energia elétrica.

Hoje em dia, normalmente é vendido como virtualização de servidores sobre um hypervisor, e os clientes não tem que se preocupar com a camada de drivers, basta contratar uma máquina virtual, indicar o sistema operacional desejado, e receberá o mesmo instalado, com toda a parte de rede, como IP e roteamento configurados e utilizando recursos compartilhados com outros usuários.

Alguns exemplos de fornecedores de infraestrutura são: Amazon S3 e Microsoft Azure, e diversos datacenters pelo mundo.

Quando se utiliza virtualização de servidores dentro da empresa, utilizando algum software de gerência avançado com o vCloud Suite, também pode ser considerado como IaaS.

  • Plataform As a Service (PaaS)

PaaS é o termo indicado quando o fornecedor entrega uma plataforma de desenvolvimento de software, que pode ser usada em diferentes ambientes, ou mesmo em um único fornecedor. Para utilizar PaaS, um software deve ser desenvolvido utilizando as bibliotecas de uma determinada plataforma. Isso normalmente permite escalabilidade do software, com recursos como rodar em múltiplos servidores em grid, alta disponibilidade e resiliência a falhas.

Alguns exemplos de fornecedores de PaaS são VMware vFabric SpringSource, Node.js, embora a Amazon Elastic e Microsoft Azure também possam ser classificados como PaaS se consideramos toda a oferta disponível.

Onde são hospedados

Além da classificação da oferta do serviço, a computação em nuvem também pode ser nomeado dependendo onde estão alocados os recursos, existem três tipos distintos:

  • Public Cloud (Nuvem Pública)

Quando a aplicação ou máquina virtual é hospedada em um fornecedor que atende diversos clientes, e um mesmo host físico pode atender diferentes clientes, e uma camada de software (que pode ser o hypervisor quando for IaaS) isola os dados entre os clientes, para que um não enxergue os dados dos demais.

Tem as vantagens de rápido provisionamento, custo sob demanda e até custos reduzidos frente à Nuvem Privada, mas a principal preocupação é quanto ao sigilo e disponibilidade dos dados.

É comum ser utilizada pelas empresas para aplicações secundárias para o negócio, como e-mail, hospedagem de sites, vídeos e material de marketing, mas também tem sido fortemente adotada devido a alguns aplicativos líderes de mercado só estarem disponíveis nessa forma de comercialização, como o Salesforce e o Office365 (embora possa ser instalado localmente, a Microsoft tem feito ofertas especiais para clientes que utilizem sua plataforma na nuvem).

  • Private Cloud (Nuvem Privada)

Quando a aplicação ou máquina virtual é hospedada dentro da empresa, em uma infraestrutura que a empresa comprou ou alugou para uso exclusivo.

Embora tenha maiores custos, normalmente é a preferida para armazenar dados estratégicos e que precisem de tempo de resposta rápido, pois os servidores estão dentro da empresa, garantindo uma baixa latência de rede, e garantindo maior segurança, pois ninguém fora do perímetro da empresa terá acesso sem passar pelo firewall da empresa.

Normalmente é caracterizada pela virtualização de servidores, mas uma Nuvem Privada só pode ser considerada assim se tiver uma camada extra, que permita o self-service de aplicações sob demanda, como por exemplo, a equipe de Marketing instalar um “appliance” de mercado que faz análise de redes sociais.

  • Hybrid Cloud (Nuvem Híbrida)

É considerado Hybrid Cloud quando a empresa faz uso de ambos os locais de armazenamento: remoto em uma Nuvem Pública e local em uma Nuvem Privada, e tem uma camada de software que permita transferir cargas de trabalho entre ambas.

Seria o modelo ideal, onde a empresa tem uma quantidade de recursos computacionais locais para dar conta do dia a dia, e quando precisar executar tarefas mais intensivas, poderia alocar recursos extras de um fornecedor para tal. O principal desafio para adoção da Nuvem Híbrida são os custos de link e a segurança das informações, já que normalmente uma Nuvem Privada executa softwares com informações críticas e confidenciais, não convém transferir para terceiros esses dados, mesmo que por um curto espaço de tempo.

Conclusão

Diversas ferramentas surgiram para tornar mais fácil a administração desses ambientes, entre elas podemos destacar o VMware vCloud Suite, que permite mover cargas de trabalho (normalmente máquinas virtuais) entre nuvens públicas e privada sob demanda e de forma automatizada, através de políticas pré-estabelecidas.

São funcionalidades normalmente encontradas em computação em nuvem: escalonar recursos computacionais sob demanda e fácil administração.

Computação em nuvem é uma forte tendência nas empresas, pois permite que usuários finais com pouco conhecimento possam utilizar os recursos computacionais sob demanda, sem necessidade de um especialista tomando conta de todos os recursos necessários, e que pequenas demandas possam pagar apenas uma fração da infraestrutura mínima para execução de um aplicativo.

 

 

Read More

A nuvem pode ficar mais cara!

Ao contratar o serviço, é importante contabilizar o recolhimento de impostos, mesmo que o fornecedor esteja fora do país e o pagamento seja feito por cartão de crédito ou transferência bancária internacional

 Quanto mais digital fica a operação, quanto menos fronteiras físicas, mais ou menos impostos para a TI? E no uso da tal cloud computing ou, como ficou conhecida no Brasil, “da nuvem”, será que estamos pagando mais ou menos impotos pelo serviço?


Um dos motivos para uso da nuvem tem sido a justificativa de barateamento dos custos. Dependendo do que constar do contrato (solução técnica contratada), para fins de recolhimento de impostos o uso de uma “nuvem nacional” (de fornecedor no Brasil) ou de uma “nuvem estrangeira” (de fornecedor de fora como é o caso do uso da plataforma da Amazon Web Services, Inc., disponibilizado no site <aws.amazon.com>) pode fazer toda a diferença.

Hoje, muitas empresas pagam pelo uso da nuvem de fornecedores sediados no exterior com cartão de crédito ou transferência bancária internacional. E o que ocorre é que a grande maioria acaba esquecendo de recolher o imposto devido, pois o fato de a retenção destes impostos não vir descrita na fatura do fornecedor, isso não significa que o sujeito passivo ou o responsável tributário (que no caso é o contratante no Brasil) não seja obrigado ao seu recolhimento.

Em geral, a computação em nuvem é tratada no Brasil como “serviço”, não obstante o seu enquadramento tributário ainda seja controvertido. Em linhas gerais, o cloud computing (a nuvem) consiste, basicamente, em uma série de recursos físicos (computadores, servidores, softwares) que podem ser utilizados remotamente pelo contratante conforme a sua necessidade. Vê-se, portanto, que envolve o uso remunerado de equipamentos e software.

Logo, do ponto de vista tributátrio, a “nuvem” estaria sujeita à incidência do Imposto sobre Serviços de Qualquer Natureza (ISS) edo Imposto de Renda (IR), além do Imposto sobre Operações Financeiras, da Contribuição de Intervenção de Domínio Econômico (CIDE) e das contribuições PIS/Pasep e Cofins.

Mas o que é a nuvem afinal? Bem, juridicamente, a tecnologia de computação em nuvem (cloud computing) disponibiliza aos usuários (pessoas físicas ou jurídicas) o acesso a uma série de recursos tecnológicos (equipamentos, servidores, redes, softwares) para uso remoto e sob demanda. Permite, assim, o armazenamento de dados fora do ambiente físico de uma empresa ou organização.

Outra importante característica dos serviços de computação em nuvem oferecidos no mercado é o conceito de autosserviço: a ativação e uso das máquinas é feita diretamente pelo usuário, a partir de um sistema totalmente automatizado.

São três os principais modelos de operação de cloud: SaaS (Software as a Service), IaaS (Infrastructure ou Hardware as a service) e PaaS (Plataform as a Service). Contudo, a identificação das funcionalidades oferecidas por cada um deles deve ser feita com cuidado, uma vez que nem todos os recursos tecnológicos podem ser efetivamente classificados como “produto” ou como “serviço”, o que excluiria a incidência de impostos.

Por exemplo: o portfólio de serviços da AWS, fornecedor atuante no mercado brasileiro, inclui diversos tipos de recursos: computação sob demanda (Amazon EC2), que é seu principal produto, armazenamento sob demanda (Amazon S3), distribuição geográfica de conteúdo e streaming (Amazon CloudFront), banco de dados (Amazon RDS), serviços de pagamento e faturamento (Amazon Flexible Payments Service – FPS), redes privadas (Amazon Route 53), softwares (AWS Marketplace) e até mesmo a contratação de profissionais sob demanda (Amazon Mechanical Turk, ainda em desenvolvimento).

Vê-se, portanto, que além de recursos computacionais e de armazenamento (hardware) os fornecedores oferecem também o uso de licenças de softwares, atrelados à ativação das máquinas.

Pela lei, o ISS incide mesmo que o serviço seja proveniente do exterior, ocasião em que o responsável pelo recolhimento passa a ser o tomador sediado ou domiciliado no Brasil. Pela lista anexa LC 116/2003, o enquadramento seria em um dos dois itens previstos: 1.03 (processamento de dados e congêneres) ou 1.05 (licenciamento ou cessão de direito de uso de programas de computador).

Apesar da lista não prever o serviço de computação em nuvem )já que foi criada há mais de dez anos), deve-se considerar, contudo, que a lei determina que o imposto deve ser recolhido independentemente da denominação conferida ao serviço (art. 1º, § 4º). Caso o enquadramento seja feito sob o subitem 1.03, a alíquota, no município de São Paulo, será de 5% sobre o preço final do serviço. Caso o enquadramento seja feito no subitem 1.03, a alíquota será de 2% (Lei nº 13.701/2003).

O enquadramento em um ou outro item trará implicações também sobre a alíquota do Imposto de Renda incidente sobre os valores remetidos ao exterior, bem como sobre a incidência ou não da Contribuição de Intervenção de Domínio Econômico prevista na Lei nº 10.168/2000.

Nesta situação, o responsável está obrigado ao recolhimento integral do imposto, multa e acréscimos legais, independentemente de ter realizado a retenção deste tributo sobre o pagamento enviado ao prestador. Excluem-se dessa hipótese de incidência apenas os serviços de comunicações (art. 155, II, CF/88).

Assim, ainda que a pessoa obrigada ao pagamento do imposto seja o próprio prestador, quando o serviço é iniciado ou prestado no exterior a obrigação de recolhimento é atribuída ao contratante do serviço.

No tocante ao Imposto de Renda, se a atividade for enquadrada no subitem 1.05 da LC 116/2003 (Licenciamento de software), a retenção deverá ser feita conforme a alíquota prevista para rendimentos de prestação de serviços, que é de 25% sobre o valor bruto dos valores remetidos ao fornecedor.

Contudo, se a atividade for enquadrada no subitem 1.03 da LC 116/2003 (Processamento de dados), o serviço atrai a incidência da Lei nº 10.168/2003, a qual institui a contribuição de intervenção de domínio econômico (CIDE) destinada a financiar o Programa de Estímulo à Interação Universidade-Empresa para o Apoio à Inovação, e aí o imposto cai para 10% sobre os rendimentos remetidos para o exterior em decorrência de contratos de transferência de tecnologia e prestação de assistência técnica.

A referida lei prevê também a redução da alíquota do Imposto de Renda na fonte incidente sobre as importâncias pagas, creditadas, entregues, empregadas ou remetidas ao exterior a título de remuneração de serviços de assistência administrativa, que será de 15% (artigo 2º da Lei nº 10.168/2003). Assim, se o enquadramento do serviço for feito no subitem 1.03 da LC 116/2003 (Processamento de dados), o Imposto de Renda será reduzido para 15%, porém, haverá a incidência da CIDE no valor de 10% dos valore remetidos ao exterior.

No entanto, as empresas podem ficar livres de ter que recolher o IR na fonte quando pagam pelo serviço de empresa contratada no exterior, devido ao entendimento do Parecer nº 2.363 da PGFN, de 19 de dezembro de 201 e a Nota Cosit nº 23 da Receita Federal, que reconhecem a necessidade de revisão da aplicação do imposto após várias decisões judiciais a favor dos contribuintes, devido a bitributação (como é o caso analisado pelo STJ que envolveu a Copesul e demais casos julgados pelos TRFs favorecendo Nestlé, Fibria, Veracel, Philips e Sodexo, entre outras).

Abaixo um quadro resumo dos impostos incidentes sobre a nuvem ofertada fora do país: 

Processamento de dados
(IAAS)
Licença de Software
(SAAS)
ISS 5% 2%
IR 25% 15%
CIDE —- 10%
PIS/COFINS 9.25% 9,25%
IOF 0,38% 0,38%

Fonte: Patricia Peck Pinheiro Advogados 2014

Portanto, os pagamentos efetuados por meio de cartão de crédito sem a retenção dos tributos acima descritos poderão ser questionados e cobrados futuramente pela Receita Federal, gerando um passivo tributário pra a empresa e um risco de isso vir a prejudicar futuras licitações, trabalhos para a Administração Pública e obtenção de certidões negativas.

Em caso de autuação ou lançamento de ofício, as penalidades incidentes sobre os valores não recolhidos serão as seguintes: ISS de 50% (art. 13 da Lei 13.476/2002 de SP); IR de 75% (art. 957 do RIR); IOF de 75% (art. 49 do Decreto 3.603/2007) e PIS/Cofins de 75% (art. 19 da Lei 10.850/04 c/c art. 44 da Lei 9430/96).

As empresas que estão pagando com cartão (e não estão recolhendo tributos referidos neste parecer) têm a opção da denúncia espontânea (138 CTN), para se eximir do pagamento da multa (incidem apenas juros de mora sobre o valor não recolhido).

Muitas das publicidades de serviços de cloud acabam induzindo em erro, pois não veem com qualquer ressalva sobre os impostos a recolher que impactam diretamente o preço. Esta prática pode ser entendida como um ato de concorrência desleal, pois gera a impressão equivocada de que um determinado serviço é mais barato do que o dos demais concorrentes.

Em caso de dúvida, devido a complexidade da matéria, é importante que o CIO solicite formalmente uma manifestação do próprio fornecedor sobre a incidência de impostos e se proteja no tocante ao recolhimento dos mesmos fazendo um estudo jurídico especializado para análise do conjunto da oferta técnica, contrato e enquadramento de impostos.

Concluindo, hoje para um CIO, dentro de uma visão de GRC (Governança, Riscos e Compliance), o importante ao contratar cloud realize a conta certa, com o devido enquadramento, e que seja feito o respectivo recolhimento de impostos em conformidade com legislação brasileira (mesmo que o serviço seja ofertado fora do país), em especial atendendo ao artigo 156 da Constituição Brasileira, Código Tributário Nacional (Lei nº 5172/1996), Lei Complementar nº 116/2003, lei nº 9.779/1999, Regulamento do Imposto de Renda (Decreto 30 (00/1999), Lei nº 10.168/2000, Lei nº 10.865/2004, Decreto nº 6.306/2007.

(*) Patricia Peck Pinheiro é advogada especialista em Direito Digital e sócia do escritório Patricia Peck Pinheiro Advogados

Leia também:
O que é virtualização?
O que é uma máquina virtual?
O que é computação em nuvem?

Read More