Quando contratar um projeto de segurança junho de 2013
Resposta sci
1. AÇÃO DECLARATÓRIA PROCESSO
04.032.772-9 6ª VARA CÍVEL DA COMARCA DE
CAMPINAS
Resposta à
Manifestação da Unimed de 06-12-2011
São Paulo, 05 de Março de 2012
Preparada pelo Assistente Técnico da SCI
Wilson Fukushima
2. Sumário
O contrato de prestação de serviços de licenciamento de uso, atualização,
treinamento e configuração dos softwares ScanDo e InterDo para proteger o
ambiente da Unimed contra o ataque de “hackers” e vírus requeria
responsabilidades tanto da Unimed como da fornecedora SCI.
Como amplamente esclarecido na literatura de negócios, existe uma diferença
fundamental entre produtos e serviços. Os produtos são tangíveis, na sua
maioria materiais, sensíveis aos cinco sentidos e a satisfação do cliente está
diretamente relacionada a atributos físicos que devem estar de acordo com os
anunciados e esperados. As responsabilidades do cliente são acessórias e
limitam-se ao uso adequado do produto.
Em contrário, os serviços são intangíveis, muitas vezes não sensíveis aos cinco
sentidos e a satisfação do cliente estão relacionados a resultados de
atividades como, por exemplo a segurança e proteção de programas, no caso
da Unimed. As responsabilidades do cliente são essenciais para o bom
resultado de serviços e estendem-se desde a correta especificação da
abrangência esperada dos serviços, da provisão de condições necessárias ao
bom desempenho das atividades do fornecedor de serviços, à colaboração no
caso de alguma dificuldade imprevista. Em resumo, a prestação de serviços,
mesmo um simples corte de cabelo, dependem de um ambiente de
colaboração entre e o cliente e o fornecedor dos serviços. Essa necessidade
de colaboração do cliente é essencial neste caso específico de instalação de
produtos antivírus no ambiente computacional da cliente Unimed.
Após o estudo da abundante documentação do presente caso e do Laudo do Perito
distinguimos duas fases no contrato de prestação de serviços entre a SCI e a
Unimed.
A primeira fase refere-se ao período em que a área de informática da Unimed
esteve sob a gestão do Sr. Valmir Piaia. Neste curto período de tempo os
softwares ScanDo e InterDo foram instalados, corretamente configurados e
protegeram o ambiente da Unimed contra o ataque de vírus e “hackers”. O
software foi alugado por três meses até a comprovação da sua efetividade,
após o 2
5. I. Introdução
Histórico e Comportamento da SCI
Como já foi informado nestes autos, a SCI foi a primeira empresa de software
fundada no país (1972), portanto conta com mais de 40 anos de atuação
e de experiência no ramo. Tem como clientes as maiores e mais
reputadas empresas e organizações do país, dentre as quais o Banco
Bradesco, a Caixa Econômica Federal, o Serpro (serviço federal de
processamento de dados) e até o Ministério da Justiça.
Foi por essas qualificações técnicas e sua reputação de serviços de alta
qualidade que a UNIMED selecionou a SCI, para instalar nos seus
sistemas de computação os softwares antivírus ScanDo e InterDo.
Como já foi também amplamente comprovado nestes autos, a SCI:
11. Concedeu formalmente a Licença de Uso dos softwares
12. Instalou o software nos equipamentos da Unimed
13. As funcionalidades do software eram as anunciadas
14. Conduziu o treinamento
15. Não tinha controle (nem deveria tê-lo) sobre o ambiente técnico da
Unimed
16. Trabalhou fora dos dias e horários normais de trabalho
17. Não recebeu da Unimed as chaves de acesso para “vacinar” os
aplicativos
18. Foi surpreendida pela interrupção unilateral dos trabalhos por parte da
Unimed
19. Fez todo o possível para instalar e configurar os softwares ScanDo e
InterDo, mesmo perante o comportamento inconsistente da Autora.
5
7. “marido e mulher”, as crianças acabaram não sendo levadas ao médico para
vacinação”.
Comportamento da Unimed na Primeira Fase
Antes da crise política, a gestão de informática da Unimed era de responsabilidade
do Sr. Valmir Piaia. Neste período,a Unimed especificou o ambiente a ser
protegido, concedeu as chaves de acesso e correspondeu a todas as necessidades
para instalação e correta configuração dos softwares ScanDo e InterDo. Como
consequência, o ambiente da Unimed ficou protegido contra o ataque de
“hackers”. Todo o trabalho foi feito de maneira rápida e eficaz e a Unimed decidiu
alugar o software por três meses até que o rigoroso processo de compras da
Unimed cumprisse todos os trâmites incluindo uma demonstração na reunião do
Conselho de Administração, na presença de toda a Diretoria da Unimed.
Comportamento Errático da Unimed na Segunda Fase
Como consequência da crise política, a área de informática passou a ser
comandada pelo Sr. Maurício Rosa. Em sua gestão foram introduzidas muitas
mudanças no ambiente de computadores da Unimed assim como um novo
conjunto de programas de computador interligados aos programas anteriores,
tornando um ambiente mais complexo.
Nesta nova realidade, se fazia necessário re-instalar novamente o ScanDo (um
programa que pesquisa as vulnerabilidades dos programas de computador) para
adaptar a configuração do InterDo, o programa que faz a proteção dos programas a
partir de regras de acesso indicadas pelo programa ScanDo.
7
9. Organização deste Documento
Este documento contém esta Introdução seguida dos seguintes tópicos:
II. Resumo da Inicial e Laudo do Perito
Neste capítulo destacamos as principais questões da Inicial e as respostas do Laudo
do Perito comprovando que a SCI cumpriu suas obrigações contratuais e a Unimed
não. Resumimos também os fatos observados no Laudo do Perito que se referem à
primeira fase distinguindo-as dos fatos da segunda fase da gestão Unimed da área
de informática.
III. Respostas à Ultima Manifestação da Unimed
Neste capítulo apresentamos o descuido no tratamento das questões e os erros da
última manifestação da Unimed, reflexos de um ambiente de conflitos internos da
segunda fase da gestão do Sr. Maurício Rosa.
Um comportamento característico da Unimed é de contrapor fatos da primeira fase
como respostas a questões surgidas na segunda fase. Por exemplo alegar que a
falta de um ambiente de testes e a restrições de horários eram conhecidas da SCI
no momento da contratação e portanto o prazo de execução dos trabalhos já
contemplava estas restrições. Ou seja de confundir o sucesso com a instalação
provisória do sistema na primeira fase com o insucesso da instalação na segunda
fase por falta de condições técnicas cuja responsabilidade era da Unimed.
IV. Conclusão
Concluímos que a SCI cumpriu suas obrigações, porém a Unimed não cumpriu
9
10. parte devido a um ambiente político de muitos conflitos internos e interrompeu
unilateralmente os trabalhos, fechando-se à negociação de prazos e condições
por sua decisão exclusiva.
10
11. I. Resumo da Inicial e Laudo do Perito
Após perícia realizada nos computadores da Unimed e exame das provas
juntadas aos autos, o Laudo do Perito demonstra que as alegações da
Inicial da Autora carecem de fundamento.
Alegações da Inicial Laudo do Perito
da Autora. Texto em itálico transcrito do Laudo.
O software não teria A SCI instalou o software (Fls. 339 a 349)
sido instalado “Ocorreu a instalação do programa ...”
A SCI teria feito A SCI não fez propaganda enganosa
propaganda enganosa (Fls. 343)
“ O certificado da ABES do anexo III a estes
quesitos atesta que a SCI era representante
exclusiva da empresa KaVaDo e que os softwares
ScanDo e InterDo tinham as funcionalidades que a
SCI apresentou à Unimed na proposta comercial
das fls. 50 a 63 dos autos?
Sim, à época, a requerida era representante da
empresa KaVaDo no Brasil e os programas
apresentados continham as funcionalidades
apresentadas na proposta mencionada.”
11
12. Alegações da Inicial Laudo do Perito
da Autora. Texto em itálico transcrito do Laudo.
A licença de uso do A SCI entregou devidamente a licença de uso (Fls.
software não teria sido 349 e 358)
entregue “ A carta confirmando a Licença de Uso da própria
KaVaDo à fls. 142 e traduzida às fls. 143 e recebido
pela Sra. Silvia Couto Regina, advogada da
UNIMED conforme página 152, esclarece que o
fornecedor KaVaDo reconhecia o direito de uso do
software pela UNIMED e que a UNIMED estava
ciente deste direito?
Sim. Aliado a este fato ambas as partes
concordaram que a licença de uso estava
regularizada e estava emitida em nome da
UNIMED.”
“b) Durante a sessão de perícia os assistentes da
UNIMED e o próprio Sr. Maurício Rosa
confirmaram que estavam cientes de que a licença
havia sido fornecida?
Sim, conforme descrito acima, não restam dúvidas
de que a licença havia sido fornecida.”
12
13. Alegações da Inicial Laudo do Perito
da Autora. Texto em itálico transcrito do Laudo.
A SCI não teria A Unimed interrompeu unilateralmente os trabalhos
concluído os trabalhos (Fls. 355)
O Laudo Oficial afirma às fls. 353 e 354 :
“d) Para proteger cada aplicativo seria necessário
a SCI receber da UNIMED as chaves e perfis de
acesso de usuários exemplo destes aplicativos?
No caso do programa ScanDo, sim. Com esta chave
o programa deveria efetuar os testes necessários
para descobrir possíveis pontos de falha e fornecer
essas informações ao InterDo para que este faça a
proteção.
e) Quem detém essas chaves e perfis de acesso, a
UNIMED ou a SCI?
Quem detém o controle dessas chaves é a UNIMED.
f) Poderia a SCI sem a colaboração da gerência e
dos técnicos da UNIMED incluir os aplicativos da
própria UNIMED sob a proteção do InterDo e
ScanDo?
Não, para incluir os aplicativos da UNIMED sob a
proteção do InterDo e para a supervisão do ScanDo
a SCI necessitaria do apoio técnico da
13
14. Alegações da Inicial Laudo do Perito
da Autora. Texto em itálico transcrito do Laudo.
UNIMED incluir os aplicativos da própria
UNIMED sob a proteção do InterDo e ScanDo?
Não, para incluir os aplicativos da UNIMED sob a
proteção do InterDo e para a supervisão do ScanDo
a SCI necessitaria do apoio técnico da UNIMED,
como ocorreu em todas as sessões relatadas nos
relatórios técnicos de visitas anexos ao processo.
Respondendo ao quesito suplementar Parte II item 5
à folha 357
“a) A demora em fornecer as chaves de acesso
impediria a SCI de continuar os trabalhos?
Sim, essa demora implicaria em suspensão dos
trabalhos até o fornecimento das chaves.
b) De quem foi à iniciativa de interromper os
trabalhos, da SCI ou da UNIMED?
Conforme notificação extrajudicial as folhas 75 e
76, a iniciativa foi da UNIMED.
c) Sem autorização da UNIMED poderia a SCI ter
dado continuidade aos trabalhos?
Não, sem a autorização da UNIMED a SCI não
poderia ter dado continuidade aos trabalhos.”
14
15. Alegações da Inicial Laudo do Perito
da Autora. Texto em itálico transcrito do Laudo.
Mais Adiante às Fls. 356 item 4 subitem e):
“e) Se as chaves de acesso aos aplicativos foram
solicitados em 1/12/2003 e fornecidas por volta do
dia 26/02/2004, durante este período a SCI poderia
ter continuado a proteger os respectivos aplicativos
sob o software ScanDo e InterDo?.”
Sem as chaves de acesso, a SCI não poderia ter
executado o programa ScanDo para analisar os
aplicativos da UNIMED, poderia apenas ter
executado o programa InterDo em seu modo básico,
sem que o mesmo estivesse corretamente
configurado para proteger os pontos falhos dos
aplicativos alvo.”
Conclusão do Perito às Fls. 340:
“No entanto tais problemas poderiam ser
minimizados caso tivesse sido negociado um novo
cronograma de instalação entre as partes, com
novos prazos.”
15
16. III. Respostas à Última Manifestação da Unimed
A Manifestação da Unimed juntada em 06 de Dezembro de 2011 não
acrescenta provas relevantes e repete argumentos já anteriormente
expostos. Adicionalmente introduz erros que mostram pouco cuidado
com o objeto da lide e inconsistência devido à frequente troca de
diretores e gerentes na Unimed.
A pior inconsistência refere-se ao item 7 – Falha na Entrega das Chaves. Nesta
manifestação a Unimed alega que as chaves só eram necessárias para a
execução do programa ScanDo e que portanto a configuração do
programa InterDo independia das chaves e poderia ser feita sem a
entrega dos mesmos.
7. Trabalhou fora dos dias e horários normais de trabalho
8. Não recebeu da Unimed as chaves de acesso para “vacinar” os
aplicativos
9. Foi surpreendida pela interrupção unilateral dos trabalhos por parte da
Unimed
10. Fez todo o possível para instalar e configurar os softwares ScanDo e
InterDo, mesmo perante o comportamento inconsistente da Autora.
Ora, como já foi explicado pelo perito no Laudo, o programa ScanDo verifica
os programas aplicativos da Unimed para descobrir os pontos
vulneráveis. “Scan” em inglês pode ser traduzido por “Verificar”. A
partir dos pontos vulneráveis o programa InterDo cria as barreiras de
proteção, também chamadas de regras. A execução do programa
ScanDo, por sua vez, dependia das chaves de acesso aos programas
aplicativos da Unimed de forma que o programa ScanDo verificasse um
a um os programas aplicativos da Unimed.
16
Em nossa analogia do médico, o ScanDo funciona como um exame preliminar
para verificar se as crianças já tomaram a vacina e se têm alguma alergia
18. Manifestação Unimed Resposta da SCI
1.Instalação do software O Laudo do Sr Perito confirma que
houve a instalação do software.O
A Unimed afirma que o Laudo do sucesso na configuração dependia da
Perito confirma que houve a disposição da Autora em colaborar
instalação mas não obteve sucesso na com horários, ambiente e
configuração de modo que o disponibilização das chaves dos
ambiente não ficou protegido. programas a serem protegidos no
ambiente da Unimed.
Na primeira fase do projeto, sob
gestão do Sr. Valmir Piaia, quando
existia a colaboração, os softwares
ScanDo e InterDo protegiam o
ambiente da Unimed. O Laudo do
Perito refere-se a este ambiente como
“ambiente antigo”. Às Fls 343,
respondendo a quesito da própria
Autora diz:
“Segundo os dados apresentados, em
18/03/2003 o ScanDo foi executado
para analisar o ambiente antigo”
“Segundo os dados apresentados, em
19/03/2003 o InterDo foi colocado
para proteger o ambiente antigo”
Na segunda fase do projeto, devido ao
ambiente político interno
caracterizado por
18
19. Manifestação Unimed Resposta da SCI
desentendimentos que levaram à saída
do Gerente de Informática Sr. Valmir
Piaia substituído pelo Sr. Maurício
Rosa, esta disposição não se verificou.
A partir de então, a Unimed
dificultou os horários de instalação e
configuração, impediu a criação de
um ambiente de testes adequado e não
entregou em tempo hábil as chaves
dos programas a serem protegidos.
2.Propaganda enganosa Não há relação entre a acusação de
propaganda enganosa e um email em
Junta email do Sr. Valmir Piaia que o Sr. Valmir Piaia pergunta ao Sr.
perguntando a Sr. Lincoln Firmino o Lincoln Firmino o que deve dizer no
que deve dizer no atestado de atestado de capacidade técnica.
capacidade técnica.
Ademais o Laudo do Perito
demonstrou amplamente que não
houve propaganda enganosa.
19
20. Manifestação Unimed Resposta da SCI
3.Licença de Uso
Este texto lacônico só demonstra o
“OK” pouco cuidado com que a Unimed está
tratando este caso.
O Laudo do Perito explicita que na
reunião de perícia os próprios
representantes da Unimed
reconheceram que a Licença de Uso
foi devidamente entregue e que
portanto a acusação carecia de
fundamento.
4. Treinamento Técnico O Laudo do Perito já demonstrou que
o treinamento foi ministrado.
A Unimed alega que somente foi O email juntado refere-se a um
ministrado um workshop de duas workshop de duas horas e encerra
horas e insinua que este workshop colocando a SCI à disposição para
teria sido insuficiente. maiores esclarecimentos.
Conforme já demonstramos, existe
outro email nos autos às Fls em que a
SCI declara não ter recebido nenhum
pedido adicional de treinamento e que
se surgir a necessidade, o treinamento
poderá ser repetido seguindo a
conveniência da Unimed.
Portanto o email juntado não é prova
de que o treinamento não fora
ministrado.
20
21. Manifestação Unimed Resposta da SCI
5.Ambiente Técnico A Unimed não apresenta uma prova
de que a separação foi efetivada. A
A Unimed alega agora que a SCI validou uma proposta de
separação do tráfego havia sido feita separação. A separação de tráfego não
pela empresa Compugraf e foi efetivamente feita e funcionando
“validada” pela SCI em relatório ao adequadamente para que o InterDo
CA. conseguisse proteger os programas da
Unimed sem ser sobrecarregado pelo
tráfego de outros componentes do
ambiente da Unimed.
6.Restrição dos horários de As restrições de horários e ambientes
trabalho eram de conhecimento tanto da
Unimed como da SCI. Estas restrições
A Unimed junta uma nova prova que existiam por motivos de força maior
não tem nenhuma relação com o em função das necessidades da própria
impacto que a restrição de horários e Unimed.
ambientes provocou na configuração
do InterDo. Apenas diz que a SCI A Unimed sabia que estas restrições
tinha pleno conhecimento destas impactariam o prazo que poderia
restrições. esperar para a configuração total do
InterDo. Tanto é que não existem
emails ou comunicações reclamando o
cumprimento estrito dos prazos
propostos no cronograma.
Durante a gestão do Sr. Valmir Piaia,
as dificuldades eram apontadas e a
Unimed
21
22. Manifestação Unimed Resposta da SCI
tomava as providências para resolver
os problemas. Este quadro foi
profundamente modificado na gestão
seguinte.
A SCI se esforçou em instalar e
configurar os softwares mesmo
sabendo das restrições de horários e
ambientes, disponibilizando técnicos
em finais de semana e no período
noturno, em caráter especial e arcando
com custos extraordinários. Porém a
Unimed não seguiu as recomendações
solicitadas e não entregou as chaves
de acesso em tempo hábil.
7.Falha na entrega das chaves de De todos os descuidos e equívocos
acesso aos aplicativos pela Unimed desta manifestação da Unimed, este é
Campinas o pior.
Tecnicamente a execução do ScanDo
A Unimed alega que as chaves de PRECEDE a configuração do InterDo.
acesso não eram necessárias para a
configuração do InterDo e só O ScanDo pesquisa as
serviam para a execução do ScanDo. vulnerabilidades dos aplicativos da
Portanto a configuração do InterDo Unimed. Assim como um médico
deveria ser feita independentemente cuidadoso deve primeiro examinar as
das chaves dos aplicativos. crianças e saber quais vacinas estas
crianças já tomaram anteriormente e
22
23. Manifestação Unimed Resposta da SCI
que alergias manifestaram aos
componentes da fórmula.
A palavra “Scan” em inglês denota o
ato de verificar e pesquisar.
O programa ScanDo portanto
pesquisa os pontos vulneráveis dos
aplicativos da Unimed para então
configurar o programa InterDo que
efetivamente protegerá contra os
ataques de “hackers”.
O Laudo do Perito também confirma
que o programa ScanDo pesquisa as
vulnerabilidades que posteriormente
são configuradas para que o programa
InterDo proteja.
Portanto as chaves eram igualmente
necessárias para que o ScanDo
pesquisasse as vulnerabilidades. Uma
vez identificadas as vulnerabilidades,
o programa InterDo seria configurado
para proteger os aplicativos da
Unimed.
A SCI se viu impedida de concluir o
processo pela interrupção unilateral
dos trabalhos pela Unimed.
23
24. Manifestação Unimed Resposta da SCI
8.Interrupção unilateral dos
A interrupção unilateral ocorreu de
trabalhos pela Unimed
fato e neste documento a Unimed não
“Respondida juntamente com item
apresenta documento em contrário
9”.
porque sabe perfeitamente este foi o
fato.
Alega responder no item 9, mas
efetivamente não o faz.
9.Comportamento Inconsistente da Conforme já consta nos autos, no dia
Autora 26/02/2004 a Unimed entregou as
chaves do aplicativos e um dia depois
Refere-se a um email do dia no dia 27/02/2004, sem tempo hábil
27/02/2004, não juntado aos autos, para que o trabalho técnico fosse
do Sr Maurício Rosa dirigindo-se ao realizado, a Unimed interrompeu
Sr. Lincoln Firmino solicitando para unilateralmente os trabalhos. Esta
que a configuração do InterDo seja interrupção se deu de forma
finalizado. intempestiva e humilhante para os
técnicos da SCI que tiveram seus
crachás de ingresso ao ambiente da
Unimed literalmente arrancados.
Enviar ao mesmo tempo um email
como o que é citado no mesmo dia
27/02/2004 confirma o
comportamento inconsistente do
Gerente de Informática da época.
24
25. Manifestação Unimed Resposta da SCI
A Unimed promete no item 8
responder à observação de que
interrompeu unilateralmente os
trabalhos juntamente com o item 9.
Porém, Ao chegar ao item 9, não faz
referência ao que prometera no item 8.
Este é o mesmo comportamento
inconsistente já demonstrado durante
a execução dos trabalhos de instalação
e configuração dos softwares ScanDo
e InterDo.
25
27. IV. Conclusão
A SCI cumpriu com suas obrigações contratuais e sempre esteve disposta a
renegociar as condições para que a Unimed pudesse se beneficiar da
proteção dos seus programas de computador, também chamados de
aplicativos, pelos softwares ScanDo e InterDo.
O contrato da SCI com a Unimed é de prestação de serviços de licenciamento,
instalação, treinamento e configuração dos softwares ScanDo e InterDo
que efetivamente protegeram os programas de computador da Unimed
contra o ataque de “hackers” à época da gestão do Sr. Valmir Piaia. Após
três meses de aluguel do software, comprovada a utilidade do mesmo
para a proteção dos programas de computadores, a Unimed fez a
contratação da licença de uso permanente. Emitiu inclusive um atestado
de capacidade técnica como referência dos serviços da SCI para outros
eventuais clientes. Este período de bom funcionamento dos softwares
atestam a capacidade dos mesmos, da SCI, da efetividade do
treinamento dado aos técnicos da Unimed, da entrega correta da licença
de uso, do bom suporte técnico e do correto anúncio de todas as
funcionalidades dos softwares.
A Unimed passou então por um período de mudanças nos sistemas de
computadores que requeriam novos serviços de instalação e
configuração dos mesmos softwares ScanDo e InterDo. A SCI foi então
contratada para executar tais serviços. Ao mesmo tempo a Unimed
enfrentou conflitos políticos internos que culminaram com a troca do
presidente e do diretor de informática. O novo diretor de informática
( Sr. Maurício Rosa) tomou uma atitude de criar obstáculos à prestação
de serviços da SCI: não atendeu as mudanças no ambiente
recomendadas pela SCI, dificultou os horários de trabalho da equipe
técnica da SCI, não entregou as chaves dos aplicativos em tempo hábil
e de forma intempestiva, humilhando os técnicos da SCI, interrompeu
27
de maneira abrupta e unilateral os trabalhos da SCI.