Ambientes lógicos (ciclo de vida)
O contrato de Operação (C2-OPR) sustenta, corrige e executa mudanças nos ativos alocados a cada faixa — desenvolvimento, homologação, pré-produção (se existir) e produção. O que entra em cada faixa vem de escopo, catálogo e ANS; janelas, criticidade e SLAs podem variar entre elas.
- Desenvolvimento (e/ou sandbox, laboratório)
- Homologação (teste integrado, validação de release ou UAT)
- Pré-produção, quando houver
- Produção
Níveis de suporte (N1, N2, N3) e modelo operativo
No âmbito do contrato de Operação (C2-OPR), o atendimento e a sustentação organizam-se em camadas de competência — em geral designadas N1, N2 e N3 — que definem quem trata o quê, com que profundidade técnica e até onde se desloca o problema antes de envolver fabricante, terceiro especializado ou a equipe de Segurança (C3-SEC). A matriz exata (catálogo, escalamentos e SLAs) fica no ANS e no ITSM; aqui fixa-se o racional para o TR e para a gestão do serviço.
Competências típicas por nível
| Nível | Foco | Competências e exemplos |
|---|---|---|
| N1 — primeira linha | Registro, triagem, resolução de casos conhecidos | Abertura e qualificação de incidentes e pedidos no ITSM; orientação a procedimentos e base de conhecimento; redefinições e pedidos padronizados (contas, acessos de rotina, impressão, VPN de usuário quando previsto); encaminhamento correto quando o sintoma não corresponde a causa conhecida. |
| N2 — segunda linha | Campo e usuário — presencial na localidade | Diagnóstico e execução presencial no ambiente do usuário e nos ativos de endpoint de escopo (estações, periféricos, impressoras, cabeamento local e outros CIs de campo definidos no TR); instalação, configuração e suporte a software de usuário; demandas que exijam intervenção física no posto; encaminhamento estruturado ao N3 quando a causa raiz estiver em infraestrutura de rede corporativa, servidores ou nuvem — com registro completo no ITSM do que foi descartado em campo e hipóteses levantadas. |
| N3 — terceira linha / especialização | Infraestrutura e plataformas — predominância remota | O N3 responde pela infraestrutura de servidores, rede (corporativa/datacenter), nuvem e plataformas de serviço de escopo C2, operando predominantemente de forma remota (console, acesso seguro, APIs). A presença física concentra-se na sede e em polos com datacenter/telecom robustos (TR). Investigação avançada (performance, integrações, plataforma); desenho ou revisão de solução no escopo; interface com fabricante; apoio a incidentes graves com NOC/SOC conforme matriz; evitar atalho sem registro. |
N1/N2/N3 não substituem o RACI nem o OLA interno entre equipes do fornecedor; alinham-se ao catálogo de serviço e às filas definidas no ITSM, com métricas em C1-GOV.
Formas de operação
O fornecedor pode combinar turnos fixos (horário comercial ampliado ou 24/7), plantões para fora do expediente e, quando aplicável, modelo follow-the-sun com equipes em outros fusos horários — desde que o ANS e o canal de contato único (por exemplo, service desk) permaneçam claros para a Administração e os usuários. O NOC (monitoramento e reação a alarmes) pode estar integrado ou acoplado ao fluxo N2/N3; o SOC permanece no âmbito de C3-SEC, com handover definido para C2-OPR em execução e restauração.
- Centralizado — um ponto de entrada (ITSM) e escalamento interno N1→N2→N3.
- Hub e spoke — núcleo técnico N2/N3 com N1 local ou por território (útil com muitas localidades).
- Embutido (dedicated) — recursos com horário alinhado a equipes da Administração, para projetos ou produção crítica; exige cláusula de substituição e ausências.
Requisitos que o TR e o ANS devem explicitar
- Cobertura horária por criticidade (por exemplo, P1 24/7, P5 horário útil) e tempo máximo de primeira resposta e restauração.
- Percentual mínimo de resolução em N1 (quando mensurável) e regras de escalamento obrigatório (por exemplo, alteração em produção só via mudança aprovada).
- Idioma, canal (telefone, portal, e-mail) e evidência de atendimento em ITSM para IMR.
- Acessos (VPN, PAM, contas privilegiadas) e segregação: quem em N2/N3 pode tocar em produção e sob que aprovação.
- Teletrabalho e remoto: mesmos SLAs que presencial, salvo cláusula excepcional documentada; segurança de posto (MDM/UEM, criptografia) alinhada a C3-SEC.
Presencial, remoto e teletrabalho
Presencial exige deslocamento a instalações da Administração ou de telecomunicações quando o serviço assim o fixar (por exemplo, “mãos no hardware”, salas seguras, cabeamento, impressão em balcão). Remoto designa a realização técnica à distância (console, sessão segura, nuvem) sem implicar necessariamente o regime jurídico de teletrabalho do trabalhador. Teletrabalho (trabalho em domicílio ou fora da sede habitual do empregador, nos termos da lei e do contrato de trabalho ou de prestação de serviços) pode ser a forma como o fornecedor organiza N1–N3, desde que haja controle de jornada acordado, confidencialidade, meios seguros e continuidade (substituição em caso de ausência).
A Administração pode exigir períodos mínimos presenciais para auditoria, repasse de conhecimento ou intervenções em perímetro físico; isso deve constar do TR, sem contradizer metas de ANS. A combinação presencial + remoto + teletrabalho é comum: o que não pode é haver “buracos” de responsabilidade entre modalidades (sempre um titular de fila e um registro no ITSM).
Regras mínimas do TR — Operação (C2-OPR)
As regras abaixo materializam exigências do Termo de Referência e do ANS para o contrato de Operação, com base única de contagem: itens de configuração (CIs) inventariados no CMDB e no período congelado (ver secção 2 do ANS), por categoria (PC, servidor, rede, serviço digital, etc., conforme TR). Evita-se dupla contagem do mesmo CI em denominadores incompatíveis: o TR deve fechar a regra (por localidade, por perfil N3, por escopo de campo N2).
N1 — central própria do fornecedor (primeiro atendimento integral)
O N1 é operado em central própria do fornecedor (não basta “pegar o telefone” sem capacidade de resolução). Deve ser capaz de promover o primeiro atendimento de forma integral, com:
- Acesso remoto (canal e ferramenta pactuados) à máquina do usuário, quando o incidente o exigir, observando LGPD, segregação e política de acesso aprovada pela Administração.
- Leitura de logs e correlação com o serviço de segurança do contrato C3-SEC (por exemplo, SIEM, EDR, eventos de identidade) no mesmo nível de visibilidade necessário para identificar e sanear a causa do problema operacional, sem substituir a função de decisão e resposta a incidente de segurança do SOC (C3-SEC) — o N1 atua com C2-OPR; incidentes de segurança puros seguem a matriz C3-SEC e Segurança.
Encaminhamento ao N2 é excepcional quando resolve por remoto; é obrigatório quando houver necessidade de intervenção física no posto ou em ativos de campo de escopo N2. Justificativas típicas além do físico: requisito de negócio com presença na unidade; fila VIP (prioridade, sem alterar postos N2 salvo TR). Causa em servidor/rede/nuvem → N3 remoto, com histórico no ITSM.
VIP: elegíveis automáticos — ocupantes de cargo de direção ou equivalente, conforme estrutura do órgão (detalhe no TR). A Administração pode designar usuários estratégicos com solicitação formal e aprovação expressa do gestor/fiscal. O teto percentual e a base do denominador são definidos no TR (referência de planejamento no modelo: até 5%). Lista auditada pelo C1-GOV; atualização em até 30 dias quando houver perda de elegibilidade.
Todo repasse ao N2 deve trazer, no ITSM, histórico sintético do que já foi feito, com resultados (o que funcionou, o que foi descartado, hipóteses e próximo passo).
N2 — presencial (júnior e pleno) por localidade
O N2 é presencial, com perfis júnior e pleno, com janela contínua (horário de cobertura) definida para cada localidade (por exemplo, cada superintendência estadual), alinhada ao parque e ao planejamento (IN 94/ETP).
Como contar os postos (use o total de CIs de escopo N2 da localidade no CMDB):
- Calcule quantos profissionais plenos são necessários: para cada 50 CIs (contando em blocos completos), aloque um pleno. Exemplos: com 75 CIs há um bloco de 50 (ficam 25 CIs fora desse bloco); com 100 CIs há dois blocos de 50.
- O que sobrar depois de formar os blocos de 50 CIs serve para os júniores: a cada 25 CIs restantes, aloque um júnior (também em blocos completos de 25).
Localidades com menos de 50 CIs de escopo N2 não recebem N2 presencial dedicado. Critério: custo-benefício — unidades pequenas (tipicamente poucos usuários) não justificam técnico permanente na própria sede quando o custo é desproporcional à demanda.
A solução primária é atendimento remoto pelo N1 e, quando necessário, escalonamento remoto ao N3. O fornecedor garante cumprimento dos SLAs do ANS sem lacuna de responsabilidade.
Em situações excepcionais que exijam intervenção física (ex.: hardware crítico sem peça local), o TR pode prever visita eventual por N2 da mesma localidade ou região metropolitana pactuada, nos limites da legislação aplicável à administração pública. Deslocamentos além do município/RM pactuados são exceção aprovada pela Administração caso a caso. O TR deve registrar explicitamente essa solução.
Se houver apenas um técnico alocado na unidade, ele contará como pleno, jornada no horário comercial, até 8 h/dia.
| Total de CIs na localidade | Plenos (1 a cada 50 CIs em bloco completo) | O que sobra após os blocos de 50 | Júniores (1 a cada 25 CIs do que sobrou) |
|---|---|---|---|
| 49 | nenhum (abaixo do mínimo; ver TR) | — | — |
| 75 | 1 | 25 CIs | 1 |
| 100 | 2 | nada | 0 |
A prioridade VIP altera SLA e escalonamento de chamado, não a tabela de postos de N2 acima (salvo o TR dizer o contrário de forma explícita).
N3 — júnior, pleno e sênior (por perfil de especialidade)
O N3 cobre infraestrutura (servidores, rede corporativa/datacenter, nuvem, plataformas), com execução técnica predominantemente remota; presença física na sede (Brasília-DF) e em polos robustos — lista no TR (siglas regionais sem fixar localidade sem aprovação).
N3 divide-se em júnior, pleno e sênior. A presença física mínima concentra-se na sede e em outras localidades com infraestrutura robusta — lista a definir no TR.
Modalidade de trabalho (semana, por padrão): Sênior — híbrida 3 dias presenciais / 2 remotos; Pleno N3 — híbrida 4 presenciais / 1 remoto; Júnior N3 — presencial (sede ou polo pactuado).
Perfis de especialidade (cada qual com a sua contagem de CIs no escopo N3, mesma família lógica do CMDB; exemplos: nuvem (IaaS/PaaS); dados (SGBD, DW); SO; rede; segurança da operação — endurecimento, segmentação, WAF a nível de serviço, distinto do SOC e da resposta a incidente C3-SEC; serviços — web, DNS, filas, APIs operadas pelo C2-OPR).
Para cada perfil, pegue o total de CIs desse perfil no escopo N3 e aplique, nesta ordem (o TR pode exigir pelo menos um sênior em todo perfil que tenha algum CI, a confirmar):
- Profissionais sênior: a cada 300 CIs (em blocos completos) do perfil, aloque um profissional sênior naquele perfil.
- O que sobrar depois de contar os blocos de 300: use esse resto para plenos N3 — a cada 100 CIs ainda em jogo, aloque um pleno N3.
- O que ainda sobrar depois dos plenos: use para júniores N3 — a cada 50 CIs nesse resto, aloque um júnior N3 (presencial).
A base de CIs de N2 (por localidade) e de N3 (por perfil) deve ser acordo distinto no mesmo CMDB, sem contar o mesmo ativo duas vezes em dotação de N2 e N3. O fechamento fica no anexo de capacidade do TR/ANS.
Exemplo (um único perfil com 750 CIs):
| Etapa | Conta e resultado |
|---|---|
| Profissionais sênior | Dois blocos de 300 CIs, logo 2 sênior; sobram 150 CIs (750 menos 600) |
| Plenos N3 | Nesses 150 CIs, um bloco de 100 = 1 pleno; sobram 50 CIs |
| Júniores N3 | Nos 50 CIs finais, um bloco de 50 = 1 júnior N3 |
Especialista (remoto, sob demanda)
Profissionais especialistas em nichos de ferramentas e soluções usados pela contratante (banco de dados, web, servidores, nuvem, segurança, etc.), em geral remotos e sob demanda. A estratégia de uso e o custeio interno são de responsabilidade do fornecedor.
O pagamento pela Administração das até 3 ocorrências/trimestre aplica-se a demandas de interesse da contratante fora do escopo padrão (avaliações pontuais, consultoria ad hoc, apoio estratégico). Incidentes, sustentação, continuidade e crise operacional são ônus integral do fornecedor (C2 ou C3 conforme o caso), sem limite de “especialista remunerado pela Administração” para garantir resposta.
Remuneração pela contratante (fora do escopo padrão do preço) só ocorre quando houver aprovação prévia, expressa e por escrito da Administração para a ocorrência, até 3 ocorrências por trimestre (por contratante, salvo anexo com outro teto). Demais ativações: sem ônus para a contratante, competindo alocação e custo ao fornecedor, salvo regra distinta aprovada no TR / aditivo.
As ocorrências aprovadas seguem faixas de duração máxima (horas efetivas de trabalho, que podem ser fracionadas no período) e valor — o TR e o anexo de preços fixam, por faixa, o valor da ocorrência (ou teto) e a tarifa-hora de cada categoria de especialista (obrigatório constar do contratação), por exemplo:
- até 3 horas;
- até 10 horas;
- até 20 horas.
Valores, faixas e critério de aprovação prévia devem estar no ANS (remissão) e no instrumento contratual. visualizar o ANS em HTML
Fonte normativa (SDR): texto canônico entre os arquivos sdr-*.md — visualizar em HTML · baixar sdr-0006-operacao-c2-niveis-capacidade.md · índice no planejamento da contratação.
Domínios de infraestrutura — Operação (C2-OPR)
A coluna de Segurança (C3-SEC) cobre postura e validação na mesma matriz (nuvem, borda, endpoints, redes, servidores e aplicações), para todas as faixas do escopo do contrato.
| Domínio | Operação (C2-OPR) |
|---|---|
| Nuvem | Contas, workloads, rede e capacidade. |
| Cloudflare | Publicação, DNS, CDN e roteamento. |
| Endpoints | Instalação, suporte e ciclo operacional. |
| Redes | Switches, roteadores, AP, SD-WAN e links. |
| Servidores e aplicações | Sustentação técnica, mudanças e disponibilidade. |
Disciplinas transversais (ênfase em C2-OPR)
Impressão
Operação principal em C2-OPR com trilhas de auditoria; alinhamento a requisitos de segurança em C3-SEC.
MDM/UEM
Gestão operacional em C2-OPR; controle de postura em coordenação com C3-SEC.
Patch management
Execução em C2-OPR; priorização por risco validada com C3-SEC; medição em C1-GOV.
Self-service (N0)
Obrigação do C2-OPR: implantar e divulgar autoatendimento (senha, acessos padrão, software catalogado, status de chamado). N1 encaminha chamados elegíveis ao canal N0. No modelo por IC, item ativo pode contar como IC se houver uso no período — ver SDR-0023d; catálogo: SDR-0023a. C1-GOV audita uso no ciclo mensal.
Resposta a incidentes e sob ataque
C2-OPR executa bloqueios e restauração técnica quando C3-SEC orienta a resposta. Ver Segurança — Condição sob ataque e o documento de referência para o quadro completo.
O C2-OPR materializa medidas PPSI de inventário, mudança e continuidade operacional alinhadas à IN GSI/PR nº 3/2021 (Cap. II e Cap. V) quando o TR assim vincular. Mapa PPSI × contratos: SDR-0014a · catálogo GSI/DSIC: SDR-0015a · Segurança — normas e sub-SDRs (C3-SEC).