Novo texto, publicado hoje no Diário Oficial, também pode abrir mais espaço para compras junto ao setor privado pelos órgãos públicos. / Foto: Getty Images
[31.08.2021]
Por Farol Tech, faroltech@scinova.com.br
A instrução normativa publicada nesta terça-feira (31.08) no Diário Oficial da União regulamenta os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal.
O texto revoga portaria publicada ainda em março de 2018 sobre o mesmo tema, mas que não trazia detalhes técnicos sobre a atuação de provedores e empresas privadas que atuam neste setor. Na norma anterior, ficavam definidas apenas “princípios, diretrizes e responsabilidades” da segurança da informação no meio estatal com o uso das nuvens.
Por isso, o novo texto também pode abrir mais espaço para compras junto ao setor privado pelos órgãos públicos, pois define itens específicos para contratação de provedores e empresas privadas.
O texto também traz definições sobre os modelos de implantação deste tipo de serviço no Executivo federal:
I – nuvem privada (ou interna) – infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade e seu gerenciamento podem ser da própria organização, de terceiros ou de ambos;
II – nuvem comunitária – infraestrutura de nuvem dedicada para uso exclusivo de uma comunidade, ou de um grupo de usuários de órgãos ou de entidades não vinculados, que compartilham a mesma natureza de trabalho e obrigações, e sua propriedade e seu gerenciamento podem ser de organizações da comunidade, de terceiros ou de ambos;
III – nuvem pública (ou externa) – infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de organizações públicas, privadas ou de ambas; e
IV – nuvem híbrida – infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.
Abaixo segue um exemplo extraído da nova norma e desta abertura de mercado privado. Elas seguem as regras de segurança firmadas agora pelo ato assinado pelo general Augusto Heleno, ministro da pasta:
1- “Seção VIII
Das cláusulas contratuais específicas
Art. 19. O instrumento contratual a ser firmado com um provedor de serviço de nuvem para a prestação do serviço de computação em nuvem deve conter dispositivos que tratem dos requisitos estabelecidos nos art. 10 a art. 18 além de, no mínimo, os seguintes procedimentos de segurança:
I – termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações do órgão ou da entidade para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;
II – garantia da exclusividade de direitos, por parte do órgão ou da entidade, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;
III – proibição do uso de informações do órgão ou da entidade pelo provedor de serviço de nuvem para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não-autorizado;
IV – conformidade da política de segurança da informação do provedor de serviço de nuvem com a legislação brasileira;
V – devolução integral dos dados, informações e sistemas sob custódia do provedor de serviço de nuvem aos órgãos ou às entidades contratantes ao término do contrato;
VI – eliminação, por parte do provedor de serviço de nuvem, ao término do contrato, de qualquer dado, informação ou sistema do órgão ou entidade sob sua custódia, observada a legislação que trata da obrigatoriedade de retenção de dados; e
VII – garantia do direito ao esquecimento para dados pessoais, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 – LGPD”.
PARA SABER MAIS:
| INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021 – Dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal. |
| https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-5-de-30-de-agosto-de-2021-341649684 |
| [Portaria revogada pela instrução normativa] PORTARIA Nº 9, DE 15 DE MARÇO DE 2018: |
| https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/7019183/do1-2018-03-19-portaria-n-9-de-15-de-marco-de-2018-7019179 |
LEIA TAMBÉM:
SIGA NOSSAS REDES