FacebookLinkedinTwitterRss

Governo cria novas regras e requisitos de segurança para uso de computação em nuvem em órgãos federais

Voce está em :Home-Farol Tech, Negócios-Governo cria novas regras e requisitos de segurança para uso de computação em nuvem em órgãos federais

Governo cria novas regras e requisitos de segurança para uso de computação em nuvem em órgãos federais

Novo texto publicado hoje no Diário Oficial também pode abrir mais espaço para compras junto ao setor privado pelos órgãos públicos

Novo texto, publicado hoje no Diário Oficial, também pode abrir mais espaço para compras junto ao setor privado pelos órgãos públicos.  / Foto: Getty Images


[31.08.2021]
Por Farol Tech, faroltech@scinova.com.br 

A instrução normativa publicada nesta terça-feira (31.08) no Diário Oficial da União regulamenta os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal. 

O texto revoga portaria publicada ainda em março de 2018 sobre o mesmo tema, mas que não trazia detalhes técnicos sobre a atuação de provedores e empresas privadas que atuam neste setor. Na norma anterior, ficavam definidas apenas “princípios, diretrizes e responsabilidades” da segurança da informação no meio estatal com o uso das nuvens. 

Por isso, o novo texto também pode abrir mais espaço para compras junto ao setor privado pelos órgãos públicos, pois define itens específicos para contratação de provedores e empresas privadas.

O texto também traz definições sobre os modelos de implantação deste tipo de serviço no Executivo federal:

I – nuvem privada (ou interna) – infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade e seu gerenciamento podem ser da própria organização, de terceiros ou de ambos;

II – nuvem comunitária – infraestrutura de nuvem dedicada para uso exclusivo de uma comunidade, ou de um grupo de usuários de órgãos ou de entidades não vinculados, que compartilham a mesma natureza de trabalho e obrigações, e sua propriedade e seu gerenciamento podem ser de organizações da comunidade, de terceiros ou de ambos;

III – nuvem pública (ou externa) – infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de organizações públicas, privadas ou de ambas; e

IV – nuvem híbrida – infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.


Abaixo segue um exemplo extraído da nova norma e desta abertura de mercado privado. Elas seguem as regras de segurança firmadas agora pelo ato assinado pelo general Augusto Heleno, ministro da pasta:

1- “Seção VIII

Das cláusulas contratuais específicas

Art. 19. O instrumento contratual a ser firmado com um provedor de serviço de nuvem para a prestação do serviço de computação em nuvem deve conter dispositivos que tratem dos requisitos estabelecidos nos art. 10 a art. 18 além de, no mínimo, os seguintes procedimentos de segurança:

I – termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações do órgão ou da entidade para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;

II – garantia da exclusividade de direitos, por parte do órgão ou da entidade, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;

III – proibição do uso de informações do órgão ou da entidade pelo provedor de serviço de nuvem para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não-autorizado;

IV – conformidade da política de segurança da informação do provedor de serviço de nuvem com a legislação brasileira;

V – devolução integral dos dados, informações e sistemas sob custódia do provedor de serviço de nuvem aos órgãos ou às entidades contratantes ao término do contrato;

VI – eliminação, por parte do provedor de serviço de nuvem, ao término do contrato, de qualquer dado, informação ou sistema do órgão ou entidade sob sua custódia, observada a legislação que trata da obrigatoriedade de retenção de dados; e

VII – garantia do direito ao esquecimento para dados pessoais, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 – LGPD”.

PARA SABER MAIS:

INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021 –
Dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal.
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-5-de-30-de-agosto-de-2021-341649684
[Portaria revogada pela instrução normativa]
PORTARIA Nº 9, DE 15 DE MARÇO DE 2018:
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/7019183/do1-2018-03-19-portaria-n-9-de-15-de-marco-de-2018-7019179

LEIA TAMBÉM:

Governo federal abre consulta pública sobre novas regras da LGPD para startups e pequenas empresas
CATEGORIAS: Farol Tech, Negócios
TAGS:
Artigos relacionados