Modelo de qualidade do Componente de software
Os Componentes de software a serem certificados para a obtenção do Selo ANOREG/ABNT deverão atender, no mínimo, às seguintes características de qualidade, conforme estabelecido na norma ABNT.
NBR ISO/IEC 25030:
a) Funcionalidade: A capacidade do produto de software em fornecer funções que satisfaçam as necessidades implícitas e explícitas quando o software é utilizado em condições especificadas;
b) Confiabilidade: A capacidade do produto de software em manter um nível específico de desempenho quando utilizado em condições especificadas.
As outras características, usabilidade, eficiência, manutenibilidade, portabilidade e qualidade em uso, só serão parte do processo de certificação do Componente de software se forem exigências específicas dos Cartórios que os estiverem adquirindo.
Este modelo de qualidade deve ser documentado.
Determinação dos requisitos de qualidade do Componente de software
A organização deve identificar todas as partes interessadas no processo de fornecimento de Componentes de softwares utilizados pelos Cartórios, tais como: clientes, acionistas, usuários dos cartórios, fornecedores, órgãos reguladores etc. Este levantamento deve ser documentado.
A organização deve identificar os requisitos de qualidade do componente de software, considerando, no mínimo, o seguinte:
a) Os requisitos de funcionalidade especificados pelo cliente e pelo Provimento 74;
b) Os requisitos de confiabilidade especificados pelo cliente e pelo Provimento 74;
c) Os requisitos não explicitados pelo cliente, mas necessários para o uso específico ou pretendido, se conhecidos;
d) Os requisitos das partes interessadas, incluindo os identificados, mas não explicitados;
e) Os requisitos legais e regulatórios relacionados;
f) Os cenários e interações com o usuário, incluindo um conjunto de representações das sequências de atividades para identificar todos os serviços necessários que correspondem a cenários e ambientes
de apoio e operacionais previstos;
g) As restrições do Componente de software;
h) Quaisquer requisitos adicionais determinados pela organização.
A interação entre os usuários e o sistema (item “f”, acima) deve ser documentada.
Os requisitos de qualidade do Componente de software devem considerar todos os requisitos de qualidade das partes interessadas relevantes, devem ser identificados e devem ser rastreados em relação aos requisitos das partes interessadas.
Os requisitos de qualidade do Componente de software devem estar associados com as características (ou subcaracterísticas) de qualidade, conforme definido no modelo de qualidade aplicado (funcionalidade e confiabilidade).
Análise crítica dos requisitos de qualidade do Componente de software
Os requisitos de qualidade do Componente de software devem ser analisados criticamente para transformar a perspectiva de requisitos dos serviços desejados em uma perspectiva técnica de um produto requerido que poderia prestar esses serviços. A análise crítica dos requisitos de qualidade do Componente de software deve abranger, no mínimo:
a) Uma análise de risco para garantir cobertura dos aspectos críticos;
b) Identificar conflitos entre os requisitos de diferentes partes interessadas;
c) Identificar funções relacionados à proteção, segurança e outros que se relacionem com qualidades críticas.
Os requisitos de qualidade do Componente de software devem ser validados e aprovados. Todas as questões relacionadas a eventuais conflitos entre os requisitos de diferentes partes interessadas devem ser resolvidas. Deve-se registrar quem validou e aprovou os requisitos de qualidade do Componente de software.
Eventuais requisitos específicos de partes interessadas que possam ter sido excluídos dos requisitos de qualidade do Componente de software devem ser registrados e informados aos interessados.
Fronteiras do Software
A finalidade pretendida do Componente de software deve ser definida e documentada. A documentação deve descrever o papel do Componente de software no sistema do qual faz parte. Os limites funcionais do software em termos de comportamento funcional e propriedades a serem providenciadas também devem ser documentados.
Devem ser mantidos registros para as limitações de implementação relevantes para os requisitos de qualidade do Componente de software.
Requisitos de Segurança
De forma a assegurar um padrão mínimo de segurança da informação, o Componente de software deve:
a) Possuir requisitos para a complexidade e a duração das senhas utilizadas pelos usuários, estabelecidos para todos os acessos dentro da organização;
b) Possuir, como parte dos requisitos; a exigência de alteração periódica da senha, bem como de sua complexidade;
c) Possuir a concessão de níveis de acesso para os colaboradores internos e terceiros analisando a classificação dos dados e o perfil de acesso;
d) Garantir que todos os usuários com acesso à conta administrativa usem uma conta dedicada ou secundária para atividades elevadas de acesso;
e) Garantir, quando autenticação de vários fatores não é suportada (como administrador), que as contas usem senhas exclusivas desse sistema;
f) Planejar e realizar testes de segurança (Cenários de testes).
Os padrões de configuração de segurança do Componente de software devem ser documentados.
Requisitos para o desenvolvimento de Componentes de software
Para assegurar que o Componente de software atenda aos requisitos deste procedimento, a Organização deve:
a) Manter um controle específico para Registro de Incidentes, incluindo: análise de causa, responsáveis, ações de prevenção e ações corretivas para o Componente de software;
b) Possuir um procedimento mínimo de desenvolvimento de software, manutenções e incidentes que garantam os testes em ambiente propício;
c) Possuir um procedimento mínimo de desenvolvimento de software, manutenções e incidentes que garantam o controle de mudança e verificações técnicas.
Requisitos de Sistema de Gestão da Qualidade
Controle de informação documentada
A organização deve assegurar que toda informação documentada necessária para o fornecimento dos Componentes de software aos cartórios:
a) Esteja disponível e adequada para o uso onde e quando for necessária;
b) Seja aprovada, atualizada, distribuída e controlada, evitando o uso não intencional de informação documentada obsoleta.
A organização deve reter informação documentada referente aos controles que influenciam na qualidade do Componente de software. Esses devem ser disponibilizados para avaliação sempre que o cliente solicitar.
Análise crítica dos requisitos relacionados aos produtos ou serviços
A organização deve analisar criticamente os requisitos relacionados ao Componente de software. Esta análise crítica deve ser realizada antes da organização assumir o compromisso de fornecer um Componente de software para um cartório. Informação documentada desta análise crítica deve ser retida e deve assegurar que:
a) Os requisitos dos Componentes de software estão definidos;
b) A organização tem a capacidade para atender aos requisitos definidos.
Competência e conscientização
A organização deve:
a) Determinar os requisitos mínimos de competência para as pessoas que trabalham na organização para execução das tarefas inerentes aos Componentes de software fornecidos aos cartórios;
b) Assegurar que estas pessoas sejam competentes com base em educação, treinamento ou experiência apropriados;
c) Assegurar que as pessoas estejam conscientes:
ð Da sua contribuição e implicações de não estarem conforme com os requisitos do sistema de gestão da qualidade;
ð Da importância de suas atividades no processo de atingimento dos objetivos estabelecidos (ver item 2, acima).
Infraestrutura
A organização deve determinar, prover e manter a infraestrutura necessária para a realização de suas atividades e para alcançar a conformidade dos Componentes de software fornecidos aos cartórios.
Comunicação com o Cliente
A organização deve possuir uma sistemática de comunicação com os cartórios que inclua, no mínimo:
a) Informação relativa aos Componentes de software a serem fornecidos;
b) Obter retroalimentação dos cartórios relativa aos Componentes de software, incluindo as reclamações do cliente.
Subcontratação
Caso a organização não seja responsável pela produção de todos os itens dos Componentes de software a serem fornecidos aos cartórios, ela deve estabelecer um procedimento que descreva o processo de subcontratação que englobe, no mínimo:
a) Assegurar que a parte do Componente de software adquirida esteja conforme com as especificações de compra;
b) Assegurar que o provedor externo tem capacidade para atender as demandas e cumpre todas as exigências para assegurar a qualidade e entrega do Componente de software no prazo estipulado;
c) As responsabilidades pelo processo de subcontratação, incluindo inspeções de recebimento;
d) Reter informação documentada dos resultados das avaliações e ações tomadas no caso de reprovação dos Componentes de software adquiridos.
Controle do fornecimento do Componente de software
A organização deve produzir o Componente de software com o uso de equipamentos adequados, implementando um processo de monitoramento do processo de produção, fornecendo instruções de trabalho e informações claras que descrevam as características do Componente de software a ser fornecido.
Propriedade Pertencente a Clientes ou Provedores Externos
A organização deve identificar, verificar, proteger e salvaguardar a propriedade dos Cartórios ou provedores externos, fornecida para uso ou incorporação no Componente de software a ser fornecido.
Controle de dispositivos de medição e monitoramento
A organização deve determinar o monitoramento a ser realizado no processo produtivo dos Componentes de software, bem como a forma de realizar este monitoramento. A Organização deve reter informação documentada relativa ao monitoramento realizado.
Controle de Componente de software não-conforme
A organização deve assegurar que os Componentes de software que não estejam conformes com os requisitos especificados sejam identificados e controlados para evitar seu uso ou entrega não pretendido, devendo também definir os responsáveis para tomar as ações necessárias.
Ação corretiva
A organização deve executar ações corretivas para eliminar as causas de não-conformidades, de forma a evitar sua recorrência. Informação documentada sobre as ações tomadas e os resultados obtidos deve ser retida.
Auditoria Interna
A organização deve conduzir auditorias internas a intervalos planejados para prover informações se o sistema de gestão da qualidade:
a) Está conforme com os requisitos da própria organização e os requisitos deste documento;
b) Está implementado e mantido eficazmente.