Bellacosa Mainframe e o SMP/E o poder da atualização do Sysprog

☕🔐 SMP/E INTERNET SERVICE RETRIEVAL — O “WINDOWS UPDATE” DO MAINFRAME QUE TRANSFORMOU O SYSProg EM UM ENGENHEIRO DE SEGURANÇA ENTERPRISE ☕🔐

Existe um momento na vida de todo profissional de mainframe em que ele percebe uma verdade brutal:

O z/OS deixou de ser “apenas um sistema operacional”.

Ele virou uma fortaleza criptográfica conectada à internet.

E poucos exemplos mostram isso tão bem quanto o SMP/E Internet Service Retrieval.

Lançado oficialmente nas gerações modernas do SMP/E do z/OS no início dos anos 2000 e amplamente consolidado durante a era z/OS 1.10/1.11 em diante, esse recurso mudou completamente a forma como o mainframe recebe manutenção.
E diferente de muitos recursos clássicos do universo IBM, ele nunca foi oficialmente retirado do mercado — pelo contrário: tornou-se praticamente obrigatório no ecossistema moderno de manutenção enterprise.

---

☕ O DIA EM QUE O SMP/E PAROU DE SER “SÓ UM INSTALADOR”

Antigamente, baixar manutenção para mainframe parecia operação militar.

O SYSProg precisava:

• entrar no portal do fabricante,
• procurar PTF manualmente,
• baixar arquivos,
• transferir para o z/OS,
• organizar datasets,
• conferir HOLDDATA,
• aplicar RECEIVE/APPLY/CHECK.

Era praticamente um ritual xamânico corporativo.

Então surgiu o RECEIVE ORDER via internet.

E o jogo mudou.

Agora o próprio SMP/E:

consulta servidores,
autentica via SSL,
baixa manutenção,
valida certificados,
e entrega tudo pronto no z/OS.

O que antes parecia um processo artesanal virou quase um:

yum install do mundo mainframe.

---

☕ O SYSProg MODERNO VIROU UM “ENGENHEIRO DE PKI”

E aqui está a parte que muita gente fora do z/OS não entende.

Para configurar SMP/E Internet Service Retrieval, você NÃO aprende só SMP/E.

Você aprende:

• SSL/TLS,
• PKI,
• certificados X.509,
• RACF Digital Certificates,
• ACF2,
• Top Secret,
• Java no z/OS,
• USS,
• segurança enterprise,
• autenticação criptográfica.

Ou seja:

o SYSProg moderno virou meio administrador Linux,
meio especialista em segurança,
meio engenheiro de criptografia.

---

☕ O MAINFRAME AGORA FALA HTTPS COMO UM NAVEGADOR MODERNO

Esse é o detalhe mais fascinante.

O SMP/E literalmente age como um cliente HTTPS corporativo.

Ele conversa com:

Broadcom Order Server
Broadcom Download Server

usando:

• SSL,
• certificados digitais,
• trust chain,
• autenticação mútua.

Sim.

O z/OS está fazendo praticamente o mesmo tipo de handshake TLS que:

• Chrome,
• Firefox,
• Edge,
• APIs REST modernas.

Só que dentro do coração bancário do planeta.

---

☕ O “CHAVEIRO DIGITAL” DO MAINFRAME

A parte mais linda disso tudo é o conceito de KEYRING.

O nome parece inocente.

Mas o keyring é basicamente:

o cofre de identidade digital do z/OS.

Ali ficam:

• certificados pessoais,
• certificados trusted,
• chaves privadas,
• cadeias de confiança.

Sem keyring:

não existe SSL no mundo mainframe.

---

☕ RACF, ACF2 E TOP SECRET — A GUERRA DOS IMPÉRIOS

Uma das coisas mais clássicas do universo z/OS aparece aqui:

Cada ESM faz tudo de um jeito diferente.

O curso mostra comandos para:

• RACF,
• CA ACF2,
• CA Top Secret.

E isso revela uma verdade histórica maravilhosa:

no mainframe até os certificados têm guerra política.

O RACF virou o padrão dominante.

Mas ACF2 e Top Secret ainda vivem fortíssimos em bancos, seguradoras e governos.

E cada ambiente tem sua própria “religião operacional”.

---

☕ O ERRO QUE TODO SYSProg COMETE PELO MENOS UMA VEZ

O material mostra algo que parece pequeno:

RECFM=VB
LRECL=84
ASCII

Mas aqui mora o terror psicológico do SMP/E moderno.

Porque basta transferir um certificado errado…

e o inferno começa.

Você ganha:

SSL handshake failure
GSK_ERROR_BAD_CERT
certificate validation error

E aí começa o clássico ritual do SYSProg:

• olhar JESMSGLG,
• abrir IPCS,
• conferir encoding,
• verificar RACDCERT,
• revisar keyring,
• discutir com segurança,
• culpar firewall,
• descobrir depois que o FTP foi BINÁRIO.

---

☕ O DETALHE MAIS ASSUSTADOR: JAVA

Sim.

JAVA.

O SMP/E moderno depende de Java para HTTPS.

Isso quebra completamente a cabeça do velho operador de MVS raiz.

Porque o sujeito que cresceu no:

IEBGENER
IDCAMS
IEHLIST

agora precisa entender:

classpath
javahome
TLS stack
USS

É a colisão definitiva:

mainframe clássico VS infraestrutura moderna.

---

☕ CONTENT(ALL) — O BOTÃO DO APOCALIPSE

Existe uma parte especialmente perigosa no RECEIVE ORDER:

CONTENT(ALL)

Na teoria:

“baixe tudo que está faltando”

Na prática:

“prepare espaço em disco porque o tsunami de PTFs vem aí”

O primeiro RECEIVE ORDER CONTENT(ALL) de um ambiente antigo pode parecer:

um dump nuclear de manutenção acumulada.

---

☕ O MAINFRAME ENTROU NA ERA DA AUTOMAÇÃO

O mais fascinante é perceber o impacto histórico disso.

Durante décadas, manutenção de mainframe foi algo extremamente manual.

Hoje:

• jobs podem ser agendados,
• downloads automatizados,
• HOLDDATA atualizada sozinha,
• recomendações críticas baixadas automaticamente.

Ou seja:

o z/OS entrou oficialmente na era DevOps…
do jeito mainframe.

---

☕ O SYSProg MODERNO NÃO É MAIS “OPERADOR”

Esse talvez seja o maior ensinamento de todo esse tema.

Quem acha que mainframe é:

“tela preta e COBOL”

não sobrevive 10 minutos configurando SMP/E Internet Service Retrieval.

Porque aqui o profissional precisa dominar:

• segurança,
• rede,
• certificados,
• autorização,
• Java,
• USS,
• automação,
• SMP/E,
• RACF,
• troubleshooting SSL.

Isso não é mais “operar sistema”.

Isso é:

engenharia pesada de infraestrutura enterprise.

---

☕ LANÇAMENTO E STATUS HISTÓRICO

Item	Informação
Tecnologia	SMP/E Internet Service Retrieval
Fabricante	IBM + Broadcom ecosystem
Consolidação comercial	Anos 2000
Popularização massiva	Era z/OS 1.10+
Função	Download automatizado de manutenção
Situação atual	Ainda ativa e amplamente utilizada
Data de retirada                                                                                     Nunca oficialmente retirada ☕ CONCLUSÃO O SMP/E Internet Service Retrieval é uma das provas mais impressionantes de como o mainframe evoluiu silenciosamente. Enquanto muita gente imagina o z/OS como um fóssil corporativo… o sistema já estava fazendo: TLS enterprise, autenticação criptográfica, automação de manutenção, integração internet/mainframe, quando muito “sistema moderno” ainda engatinhava. E talvez essa seja a maior ironia da computação corporativa: o computador mais antigo do datacenter acabou se tornando o mais sofisticado.

 

Bellacosa Mainframe fala sobre segurança mainframe RACF TSS ACF2

🔥 Quem Realmente Manda no Seu z/OS? — RACF vs TSS vs ACF2, a Guerra Silenciosa que Decide Tudo

Se você trabalha com mainframe há tempo suficiente, já sabe:
o sistema pode ser o mais estável do mundo… mas quem decide o que acontece nele não é o z/OS — é o ESM.

E aí entra o trio que moldou décadas de segurança no mainframe:

• IBM RACF
• CA Top Secret (TSS)
• CA ACF2

Três filosofias. Três formas de pensar segurança.
E, mais importante: três maneiras completamente diferentes de cometer erros — ou evitá-los.

---

🧠 Capítulo 1 — Origem: Quando Segurança Virou Necessidade (não luxo)

Volta para os anos 70/80.

Mainframe já processava:

• bancos
• governo
• folha de pagamento
• defesa

E aí veio a pergunta que mudou tudo:

“Quem pode acessar o quê?”

A resposta não era trivial — porque o z/OS (na época MVS) não nasceu com segurança robusta nativa.

🔵 RACF (IBM)

Criado pela própria IBM:

• integração total com o sistema
• modelo corporativo
• foco em governança

👉 DNA:

segurança como parte da arquitetura

---

🟢 TSS (CA Top Secret)

Criado pela CA:

• foco em simplicidade
• modelo centrado no usuário

👉 DNA:

segurança como controle direto

---

🟣 ACF2

Também da CA:

• abordagem radicalmente diferente
• rule-based

👉 DNA:

segurança como linguagem

---

🧬 Capítulo 2 — O DNA de Cada Um

🔵 RACF — O Burocrata Organizado

RACF pensa assim:

Usuário → Grupo → Recurso → Permissão

Ele cria estrutura.

Exemplo real:

ADDUSER DEV01 DFLTGRP(DEV)
PERMIT PROD.APP.* CLASS(DATASET) ID(DEV01) ACCESS(READ)

👉 RACF gosta de:

• hierarquia
• governança
• previsibilidade

---

🟢 TSS — O Operador Pragmático

TSS elimina intermediários:

ACID → Permissões

Exemplo:

TSS PERMIT(DEV01) DATASET(PROD.APP.*) ACCESS(READ)

👉 TSS gosta de:

• simplicidade
• rapidez
• controle direto

---

🟣 ACF2 — O Hacker Formal

ACF2 inverte tudo:

Recurso → Regra → Usuário

Exemplo:

$KEY(PROD)
 UID(DEV01) ALLOW

👉 ACF2 gosta de:

• regras
• lógica
• flexibilidade extrema

---

⚔️ Capítulo 3 — A Diferença que Ninguém Te Conta

Aqui está o ponto que separa júnior de sênior:

Esses produtos não são equivalentes — eles são modelos mentais diferentes

---

🧠 RACF pensa em “organização”

Você define estrutura e depois controla acesso.

---

🧠 TSS pensa em “identidade”

Você dá poder direto ao usuário.

---

🧠 ACF2 pensa em “lógica”

Você escreve regras e deixa o sistema decidir.

---

🧨 Capítulo 4 — Onde os Projetos Quebram

Vamos direto ao campo de batalha.

🔥 Caso real 1 — Migração TSS → RACF

Problema:

• TSS:

  DIVISION / DEPARTMENT
  

• RACF:

  GROUP
  

👉 Não existe equivalência direta.

Resultado:

• perda de contexto
• decisões arquiteturais obrigatórias

---

🔥 Caso real 2 — ACF2 mal governado

ACF2 permite:

• regras complexas
• lógica condicional

👉 Sem controle vira:

“ninguém entende mais quem tem acesso a quê”

---

🔥 Caso real 3 — RACF mal configurado

Erro clássico:

UACC(READ)

👉 Tradução:

você abriu o dataset para meio mundo

---

🧠 Capítulo 5 — Como Eles Funcionam HOJE (2026)

🔵 RACF hoje

• integrado ao z/OS
• forte com ferramentas como:
  • auditoria
  • compliance
• padrão de mercado

👉 Usado em:

• bancos
• governo
• grandes corporações

---

🟢 TSS hoje

• ainda muito presente
• especialmente em ambientes antigos

👉 Problema:

• escassez de profissionais
• pressão de custo

---

🟣 ACF2 hoje

• nicho forte
• ambientes altamente customizados

👉 Perfil:

• organizações com regras complexas

---

🧩 Capítulo 6 — Easter Eggs de Quem Já Viveu Isso

🥚 1. O mito do “ALL”

No TSS:

ACCESS(ALL)

👉 Pode significar mais do que você imagina…

---

🥚 2. O clássico “por que isso funcionava antes?”

Resposta:

porque estava no TSS… e ninguém sabia

---

🥚 3. O fantasma do dataset genérico

PROD.*

👉 Um único profile pode abrir acesso para centenas de datasets.

---

🥚 4. O usuário com SPECIAL no RACF

👉 Isso aqui é praticamente “root do mainframe”

---

🧠 Capítulo 7 — Comparação Brutal (sem filtro)

Critério	RACF	TSS	ACF2
Governança	Alta	Média	Alta
Simplicidade	Média	Alta	Baixa
Flexibilidade	Alta	Média	Extremamente alta
Risco operacional	Médio	Médio	Alto
Mercado atual	Dominante	Caindo	Nicho

---

💣 Capítulo 8 — A Verdade que Poucos Dizem

Não existe “melhor” absoluto.

Existe:

• o mais adequado ao seu ambiente
• o mais governável pela sua equipe
• o menos arriscado para auditoria

---

🧠 Insight de arquiteto

Se você precisa:

• padronização → RACF
• simplicidade → TSS
• controle extremo → ACF2

---

🔥 Conclusão — A Guerra Invisível

Enquanto todo mundo fala de:

• cloud
• APIs
• microservices

No mainframe, a pergunta continua sendo a mesma há 40 anos:

“Quem pode fazer o quê?”

E a resposta continua dependendo de um desses três.

---

☕ Frase final estilo Bellacosa

“Você pode modernizar o COBOL, migrar para APIs, colocar z/OS Connect…
mas se errar no RACF, TSS ou ACF2 — nada disso importa.”