Na primeira matéria publicada pelo Correio Braziliense, o ex-superintendente Mário Evangelista acusou a direção do Serpro de ter feito uma má compra de oito mil licenças de softwares de gerenciamento de identidade e acesso na plataforma Oracle, através da empresa IT7 Sistemas. Alegou que a própria Receita Federal não concordou com o projeto:
“A Receita Federal, na época, disse que os produtos não atendiam. O Fisco não queria um produto que apenas revelasse quem teve acesso ao banco de dados. A Receita queria uma ferramenta que, além de identificar o invasor, detalhasse o que ele tinha feito no banco de dados.” Para isso, de acordo com as denúncias, o Serpro teve que comprar novos produtos, no valor de R$ 3,8 milhões”, alegou Evangelista.
Fato: Este Blog investigou junto ao Serpro a compra e verificou inconsistências nas declarações de Evangelista em relação a valores e objetivos. O que fica patente que o ex-superintendente, na sua preocupação se vingar do presidente do Serpro por ter perdido o cargo, passou informações erradas ao Correio Braziliense e possivelmente ao Ministério Público Federal, já que não tinha conhecimento dos projetos da empresa junto à Receita Federal, porque não participou diretamente deles.
Em primeiro lugar, esse segundo contrato com a IT7 Sistemas – que Evangelista alega que foi feito às pressas pelo Serpro, para cobrir um erro quando adquiriu oito mil licenças Oracle de gerenciamento de identidade – não encontra nenhum amparo técnico para corroborar essa tese e nem houve reclamação formal da Receita federal ou recusa das soluções, conforme denunciado pelo ex-superintendente. A direção do Serpro atesta essa informação.
O segundo contrato tem o número 45196 e a informação está disponível no site do Serpro. Foi assinado em 15/12/2010- com vigência prevista de 12 meses. O seu valor não é de R$ 3,8 milhões conforme informado por Mário Evangelista mas, sim, de R$ 8,2 milhões.
O objeto desta aquisição, em termos formais era: “Aquisição de solução de auditoria, segurança e segregação de papéis, classificação de informações, criptografia e mascaramento de dados e monitoração de base de dados de plataforma avançada”.
Essa solução é comumente conhecida como “Audit Vault” da Oracle e entre as suas funcionalidades, destaca-se a possibilidade da TI da Receita ter acesso diretamente no mainframe à dezenas de relatórios, sobre as atividades do seu pessoal (auditores fiscais) que diariamente acessa o sistema para realizar alguma atividade.
Em termos bem chulos para um leigo entender: Se um auditor entrar no banco de dados para quebrar o sigilo fiscal de alguém que não esteja sendo investigado pelo fisco, o “Audit Vault” entrega o sujeito. Essa é a garantia de que a Receita Federal não permite, impunemente, que o sigilo fiscal de um cidadão seja quebrado.
Fato: Por que o Serpro não comprou essa solução conjuntamente com as outras oito mil licenças de gerenciamento de identidade de usuários? Essa resposta somente a direção do Serpro poderá esclarecer futuramente. Mas sabe-se de antemão que isso não constava do projeto básico elaborado pelo corpo técnico da empresa, que gerou a compra das oito mil licenças iniciais.
Por que houve a compra do Audit Vault? Entre 2009 e 2010 a Receita Federal passou por uma das maiores crises de credibilidade perante a opinião pública. Foi descoberto e denunciado pela imprensa na época, que auditores fiscais acessaram o banco de dados e quebraram o sigilo de integrantes do PSDB, com objetivo de criar um escândalo com fins eleitoreiros.
Denunciados pelo próprio PSDB, a Receita Federal se viu numa saia-justa. Tinha um sistema que identificava todo usuário que entrava no seu banco de dados e de forma superficial que tipo de informações poderiam estar sendo acessadas, de acordo com as denúncias do PSDB, mas num ambiente de plataforma baixa os técnicos da Receita não tinham como comprovar com exatidão quais dados esses auditores copiaram para benefício próprio. Tais informações exigiam um intenso trabalho de auditoria diretamente no mainframe, onde está o banco de dados, mas a TI da Receita não dispunha de uma solução para executar o serviço.
O Serpro – como contratado pela Receita Federal para gerir seus sistemas – foi obrigado a adquirir às pressas o “Audit Vault”, para que os técnicos da Receita pudessem colher informações no bando de dados, e obter relatórios que comprovassem a ilegalidade cometida por alguns auditores fiscais.
*A direção do Serpro não confirma e nem desmente essa versão, por enquanto.
Mas os fatos da época indicam que Mário Evangelista faltou com a verdade quando informou ao Correio Braziliense que a compra tinha ocorrido porque a Receita Federal recusou as oito mil licenças de gerenciamento de identidade e acesso à plataforma Oracle. Se tem provas de que isso procedeu desta forma está desafiado a entregar para este Blog informações e documentos que desmintam essa versão colhida por essa reportagem informalmente junto ao Serpro.
* De qualquer forma, como fez denúncias ao Ministério Público Federal, no futuro saberemos quem blefou: Se Evangelista ou todo o corpo técnico do Serpro, a quem ele acusou de negligente com a compra das soluções de identificação e de auditoria, além de favorecimento a uma empresa fornecedora das mesmas.
(* Tem mais informação a caminho, mas por hoje chega)
