Guia Requisitosde SIpara Contratacoesde TI

Guia de Boas Práticas para
Especificação de Requisitos de
Segurança da Informação e
Privacidade em Contratações de
Tecnologia da Informação
Brasília, dezembro de 2020

GUIA DE BOAS PRÁTICAS PARA ESPECIFICAÇÃO DE REQUISITOS DE SEGURANÇA DA
INFORMAÇÃO E PRIVACIDADE EM CONTRATAÇÕES DE TECNOLOGIA DA INFORMAÇÃO
MINISTÉRIO DA ECONOMIA
Paulo Roberto Nunes Guedes
Ministro
SECRETARIA ESPECIAL DE DESBUROCRATIZAÇÃO, GESTÃO E GOVERNO DIGITAL
Caio Mario Paes de Andrade
Secretário Especial de Desburocratização, Gestão e Governo Digital
SECRETARIA DE GOVERNO DIGITAL
Luis Felipe Salin Monteiro
Secretário de Governo Digital
DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES
Mauro Cesar Sobrinho
Diretor do Departamento de Governança de Dados e Informações
COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO
Loriza Andrade Vaz de Melo
Coordenadora-Geral de Segurança da Informação
Novembro
Equipe Técnica de Elaboração
/2019
Denis Marcelo Oliveira
Julierme Rodrigues da Silva
Loriza Andrade Vaz de Melo
Luiz Henrique do Espírito Santo Andrade
Tássio Correia da Silva
Wellington Francisco Pinheiro de Araújo

Histórico de Versões
Data Versão Descrição Autor

Primeira versão do Guia de Boas Práticas para
Equipe
especificação de Requisitos de Segurança da
11/12/2020 1.0 Técnica de
Informação em Contratações de Tecnologia da
Elaboração
Informação.
SUMÁRIO
INTRODUÇÃO ...................................................................................................................................... 6
1 REQUISITOS GERAIS DE ESTRUTURAÇÃO DE SEGURANÇA E PRIVACIDADE ........... 8
1.1 Tratamento e Processamento de Dados Pessoais ................................................... 8
1.2 Política de Segurança da Informação (POSIN) .......................................................... 9
1.3 Relatório de Impacto à Proteção de Dados Pessoais - RIPD ................................. 9
1.4 Análise e Avaliação de Riscos ......................................................................................... 9
1.5 Arquitetura, Controles de Segurança e Matriz de Responsabilidades ........... 10
1.6 Continuidade Operacional e Contingência .............................................................. 10
1.7 Gestão de Incidentes ....................................................................................................... 10
1.8 Gestão de Mudanças ....................................................................................................... 11
1.9 Gestão de Capacidade ..................................................................................................... 11
1.10 Desenvolvimento Seguro........................................................................................... 11
1.11 Segurança de Rede Corporativa .............................................................................. 11
1.12 Política de Backup........................................................................................................ 12
2 REQUISITOS DE SEGURANÇA DA SOLUÇÃO DE TIC ...................................................... 13
2.1 Controles Criptográficos ................................................................................................ 13
2.2 Controle de Acesso ........................................................................................................... 13
Registro de Eventos, Incidentes e Rastreabilidade ........................................................... 14
2.3 Registro de Atividades .................................................................................................... 14
2.4 Proteção da Informação ................................................................................................. 14
2.5 Ambiente em Nuvem ...................................................................................................... 15
2.6 Análise de Vulnerabilidades ......................................................................................... 15
2.7 Internet das Coisas (IoT) ................................................................................................ 15
3 REQUISITOS DE PRIVACIDADE ........................................................................................... 16
3.1 Anonimização .................................................................................................................... 16
3.2 Autorização do proprietário ......................................................................................... 16
3.3 Exclusão segura de dados pessoais ............................................................................ 17
3.4 Funcionalidade de anonimização/pseudoanonimização .................................... 17
3.5 Compartilhamento de dados ........................................................................................ 17
3.6 Política de Privacidade ................................................................................................... 17

3.7 Análise de Impacto .......................................................................................................... 18
3.8 Processamento Contratado .......................................................................................... 18
3.9 Tratamento de dados ...................................................................................................... 18
3.10 Política de proteção de dados .................................................................................. 18
3.11 Estratégia de Capacitação ......................................................................................... 19
3.12 Monitoramento de ações de privacidade de dados ......................................... 19
3.13 Atendimento de Finalidade Pública ....................................................................... 19
3.14 Atendimento de Finalidade de Tratamento ........................................................ 19
3.15 Notificação do Controlador ...................................................................................... 19
3.16 Precisão dos dados ...................................................................................................... 20
3.17 Controles de Integridade ........................................................................................... 20
3.18 Registro de operações ................................................................................................ 20
3.19 Canal de comunicação com os titulares de dados pessoais .......................... 20
4 AÇÕES DE RESPONSABILIDADE DA CONTRATADA ...................................................... 21
4.1 Recursos em Versões Comprovadamente Seguras e Atualizadas ................... 21
4.2 Reportar Incidentes ......................................................................................................... 21
4.3 Termo de Compromisso e Ciência ............................................................................... 22
4.4 Descarte ............................................................................................................................... 22
4.5 Revogação de Privilégios ................................................................................................ 22
4.6 Utilização de Serviços de Terceiros ............................................................................ 22
4.7 Segurança Física e do Ambiente .................................................................................. 22
4.8 Segregação de Ambientes ............................................................................................. 23
4.9 Auditabilidade Contínua ................................................................................................ 23
5 SANÇÕES - RESPONSABILIDADE DO ÓRGÃO CONTRATANTE ................................... 24
5.1 Sanções Administrativas .................................................................................................... 24
6 CONCLUSÃO ............................................................................................................................ 25
6.1 Importância e Relevância .............................................................................................. 25
6.2 Benefícios esperados ...................................................................................................... 25
6.3 Abrangência deste Guia ................................................................................................. 25
6.4 Recomendações Finais.................................................................................................... 25
ANEXO A .............................................................................................................................................. 26
Referências Bibliográficas ............................................................................................................ 33

INTRODUÇÃO
O objetivo deste guia é fornecer orientações básicas às instituições públicas para
a especificação de requisitos mínimos necessários de Segurança da Informação e
Privacidade em contratações de Soluções de Tecnologia da Informação (TIC). Ressaltamos
que no processo de elaboração dos artefatos inerentes a uma contratação de TIC este
guia trata de um passo adicional acrescido ao referido processo, conforme destacado no
passo 4 da Figura 1 a seguir, que é a inclusão dos Requisitos de Segurança da Informação
e Privacidade na contratação de produto ou serviço de TIC.
Figura 1 – Inclusão de Requisitos de Segurança de Informação e Privacidade
A Secretaria de Governo Digital (SGD) ressalta que tais orientações foram objeto
de discussão e validação pelo Núcleo de Segurança da Informação das Plataformas de
Governo Digital, composto por representantes da DATAPREV, Diretoria de Projetos da
Secretaria Especial De Desburocratização, Gestão E Governo Digital (SEDGG) do Ministério
da Economia (ME), Departamento de Segurança da Informação do Gabinete de Segurança
Institucional da Presidência da República (DSI/GSI/PR), Secretaria Geral da PR, SERPRO e
SGD/ME.
Destaca-se que aspectos inerentes à Lei Geral de Proteção de Dados Pessoais
(LGPD), Lei 13.709 de 14 de agosto de 2018, foram abordados, em especial os que
abrangem a implantação de mecanismos de gerenciamento de riscos e análise de
impacto na privacidade dos dados pessoais, bem como diversos mecanismos de controle
de privacidade, que constam em normas ABNT, conforme destacado na Fig 2.
Documentos Aplicáveis.
Cabe ressaltar que fica a cargo da equipe de planejamento da contratação identificar
os requisitos aplicáveis às especificidades do objeto a ser contratado. Por este motivo, os
requisitos, presentes neste guia, não possuem caráter obrigatório tampouco exaustivos.
Este guia de boas práticas para a especificação de requisitos de Segurança da Informação
e Privacidade em contratações de Tecnologia da Informação foi estruturado em três
capítulos:
• O Capítulo 1 discorre sobre os requisitos gerais de estruturação de segurança e
privacidade a serem adotados pela Contratada;
• O Capítulo 2 trata sobre requisitos mínimos de segurança para a Solução de TIC;
• O Capítulo 3 aborda requisitos de controle de privacidade; e
• O Capítulo 4 aborda as ações de responsabilidade da Contratada.
Sugere-se a aplicabilidade, no que couber, das orientações contidas nos
documentos referenciados no item deste guia, Bibliografia (Documentos Aplicáveis -
Figura 2), esclarecendo que em alguns casos fazemos sua referência explícita.
Figura 2 – Documentos Aplicáveis
Este guia será atualizado e ampliado periodicamente com objetivo de mantê-lo alinhado
às diretrizes e normativos vigentes.

1 REQUISITOS GERAIS DE ESTRUTURAÇÃO DE SEGURANÇA E
PRIVACIDADE
Ao firmar um contrato de fornecimento de solução de TIC, ou mesmo em
renovação contratual, o órgão contratante deve estabelecer, no que couber, requisitos
gerais de estruturação de segurança e privacidade (Figura 3) de modo que a empresa
contratada apresente documentos comprobatórios referentes às exigências
destacadas a seguir:
Figura 3 - Processos de Gestão Contratual – Diretrizes Gerais
1.1 Tratamento e Processamento de Dados Pessoais
Para este tipo de contratação ou renovação contratual, que claramente está
sujeito à conformidade com a Lei 13.709/2018, sugere-se a aplicabilidade com
comprovação pelo contratado, no que couber, das orientações contidas na norma ISO/IEC
29151:2017. Deve ser dada especial atenção ao item 15 da referida norma que discorre
sobre a questão de relacionamento com controladores e operadores 1 que atuam no
fornecimento de serviços sobre dados pessoais, como por exemplo, política de segurança
da informação neste relacionamento, diretrizes para implantação da privacidade de
1
Lei 13.709/2018, Art 5º - VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;
VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador.
dados pessoais, dados mínimos que devem estar contidos no contrato, abordagem de
segurança dentro dos acordos, cadeia de suprimentos de TIC, entregas etc.
1.2 Política de Segurança da Informação (POSIN)
A empresa contratada deverá possuir uma Política de Segurança da Informação
(POSIN), publicada e disponível em fácil acesso e aderente às publicações correlatas do
GSI/PR, incluindo políticas ou normas, para privacidade de dados pessoais, vigentes e
atualizadas, com processo de revisão periódico formalizado e institucionalizado, de forma
a garantir, dentre outros requisitos, o uso de sistemática e procedimentos de segurança
da informação para assegurar a integridade , a privacidade e a confiabilidade dos
dados e informações que serão tratados pela Solução de TIC em contratação ou
renovação contratual;
1.3 Relatório de Impacto à Proteção de Dados Pessoais - RIPD
Juntamente com o órgão contratante, a empresa contratada elaborará o RIPD
relacionado à Solução de TIC em questão, devendo considerar as informações levantadas
pelo relatório de impacto, de acordo com o item 2.5 do Guia de Boas Práticas da LGPD
(CCGD, 2020), para a privacidade de dados pessoais, em conformidade ao previsto na Lei
13.709/2018. Ressalta-se ainda a questão de compartilhamento de dados pessoais de
acordo com a descrição presente no referido Guia de Boas Práticas da LGPD (CCGD, 2020)
em seu item 1.1, que apresenta as bases legais para utilização de dados pessoais e seu
respectivo compartilhamento, sem necessidade prévia de autorização, desde que
estritamente previsto com a finalidade de atender políticas públicas ou competência
legal.
1.4 Análise e Avaliação de Riscos
Disponibilizar ao órgão contratante, periodicamente, uma análise e avaliação de
riscos dos recursos de processamento da informação, sistemas de segurança da
informação e quaisquer outros ativos relacionados a Solução de TIC. Assim, será indicado
o nível de risco ao qual a solução e o órgão contratante estão expostos, baseado em
análise de vulnerabilidades, resguardando os segredos de negócio, direitos autorais e
direitos de propriedade intelectual aplicáveis, conforme metodologia indicada pelo órgão.

1.5 Arquitetura, Controles de Segurança e Matriz de Responsabilidades
Apresentar periodicamente ao órgão contratante documentação que descreve a
arquitetura física e lógica da Solução de TIC, os controles de segurança da informação
implementados em cada componente descrito na arquitetura física e lógica e uma matriz
de responsabilidades, descrevendo os papéis e suas respectivas responsabilidades pela
segurança da informação relacionada à Solução de TIC em questão.
1.6 Continuidade Operacional e Contingência
Possuir e implementar um Plano de Continuidade Operacional e um Plano de
Contingência relacionado à Solução de TIC contratada, que garanta o nível requerido de
continuidade.
1.7 Gestão de Incidentes
Possuir um processo de Gestão de Incidentes que registre os incidentes de
segurança da informação ocorridos e que guarde informações como: a descrição dos
incidentes ou eventos, as informações e sistemas envolvidos, as medidas técnicas e de
segurança utilizadas para a proteção das informações, os riscos relacionados ao incidente
e às medidas tomadas para mitigá-los e evitar reincidências. O processo de Gestão de
Incidentes também deve implementar e manter controles e procedimentos específicos
para detecção, tratamento, coleta/preservação de evidências e resposta a incidentes de
segurança da informação, de forma a reduzir o nível de risco ao qual a Solução de TIC
e/ou o órgão contratante estão expostos, considerando os critérios de aceitabilidade de
riscos definidos pelo órgão contratante.
Vale ressaltar que em se tratando de contratos para tratamento de dados
pessoais, a contratada deve provar que tem capacidade de fornecer uma resposta
organizada e eficaz a um incidente de privacidade. Neste sentido, o órgão contratante
deve, portanto, desenvolver e implementar juntamente com o fornecedor do serviço um
plano de resposta a incidentes de privacidade, que inclua por exemplo, definição de
incidente de privacidade e o escopo da resposta ao incidente, estabelecimento de equipes
multifuncionais de resposta a incidente de privacidade, entre outros aspectos relevantes.

1.8 Gestão de Mudanças
Possuir e implementar processo de gestão de mudanças adequado para que
mudanças na organização, nos processos de negócio e nos recursos de processamento
da informação sejam controlados e não afetem a segurança da informação, reduzindo o
nível de risco ao qual a Solução de TIC está exposta. Em se tratando de sistema de
informação, se aplicável, considerar na gestão de mudanças o processo referente à
migração dos dados do sistema legado para o novo sistema e vice-versa. Sugere-se
também que o contratado tenha capacidade de aplicar as orientações de implementação
associadas, bem como outras informações contidas na ISO / IEC 27002:2013, nesse
contexto de Gestão de Mudanças.
1.9 Gestão de Capacidade
Dispor e implementar processo de gestão de capacidade de forma que a utilização
dos recursos seja monitorada, ajustada e as projeções das necessidades de capacidade
futura sejam avaliadas para garantir o desempenho dos ativos relacionados à Solução
de TIC. Assegurar, também, a disponibilidade e recuperação de dados e informações,
em conformidade com um plano de continuidade relacionado à Solução de TIC, que
garanta o nível requerido de continuidade.
1.10 Desenvolvimento Seguro
Possuir e manter trilhas de qualidade e teste de software, bem como realizar
desenvolvimento seguro (Privacy by Design), aderente ao disposto em dispositivo legal
correlato publicado pelo GSI/PR e orientado à proteção da privacidade dos dados
pessoais. Sugere-se também que o contratado tenha capacidade de aplicar as
orientações de implementação associadas, bem como outras informações contidas na
ISO / IEC 27002:2013, nesse contexto de Desenvolvimento Seguro.
1.11 Segurança de Rede Corporativa
Implementar e manter controles e procedimentos específicos para assegurar o
nível adequado de segurança da informação às suas redes corporativas.

1.12 Política de Backup
Possuir e implementar política de backup das informações e dos registros de log
da Solução de TIC, em conformidade com os dispositivos legais aplicáveis, a ser
homologada pelo órgão contratante. Tal política de backup deve assegurar a manutenção
de cópias de segurança de todos os componentes de software dos sistemas, de suas
bases de dados e da documentação associada, observando a técnica, os cuidados
requeridos para cada caso, de modo a ser possível a plena recuperação de versões dos
sistemas e dados salvaguardados em caso de falha, ou por solicitação do órgão
contratante.
2 REQUISITOS DE SEGURANÇA DA SOLUÇÃO DE TIC
Nas descrições abaixo apresentam-se os requisitos mínimos de Segurança da
Informação, em destaque na Figura 4, a serem incluídos, no que couber, no Termo de
Referência ou Projeto Básico do edital de contratação, se pertinente, de acordo com a
definição da equipe responsável pela elaboração das especificações técnicas e funcionais
da Solução de TIC.
Figura 4 - Requisitos Mínimos de Segurança da Solução de TIC
2.1 Controles Criptográficos
Implementar e manter controles criptográficos para armazenamento, tráfego e
tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da
informação definido pelo órgão contratante. Ressalta-se que o compartilhamento ou
transferência de dados pessoais deve ser realizado através de canal criptografado
e de cifra.
2.2 Controle de Acesso
Implementar controles de acesso baseados em uma política de controle de acesso
para a Solução de TIC, elaborada pelo órgão contratante em conjunto com a contratada,
tendo em vista o princípio do menor privilégio e a proteção adequada aos dados pessoais.
A política deve, dentre outros critérios, somente conceder as autorizações de acesso
estritamente necessárias para o desempenho de uma atividade específica, definindo
também protocolos para cadastramento, mecanismo de controle de acesso (como, por
exemplo, validação de formulário), habilitação, inabilitação, atualização de direitos de
acesso e exclusão de usuário, além de revisões periódicas da política. A política também
deve definir situações e protocolos específicos para acesso às informações sensíveis,
necessidades de não repúdio, situações que requerem duplo fator de autenticação (2FA)
e acesso via certificado digital.
Registro de Eventos, Incidentes e Rastreabilidade
Implementar os controles necessários para o registro de eventos e incidentes de
segurança da informação e privacidade, bem como implementar e manter controles
específicos para o registro de rastreabilidade. Assim, será mantida trilha de auditoria de
segurança da informação, aderente ao disposto em dispositivo legal correlato publicado
pelo GSI/PR, assegurando a rastreabilidade das ações de usuário por meio de logs de
transações e de acesso aos sistemas, conforme especificação de requisitos, gerando-os e
disponibilizando-os ao órgão contratante para fins de auditorias e inspeções.
2.3 Registro de Atividades
Implementar medidas de salvaguarda para os logs, bem como controles
específicos para registro das atividades dos administradores e operadores dos sistemas
relacionados à Solução de TIC em questão, de forma que esses não tenham permissão
de exclusão ou desativação dos registros (log) de suas próprias atividades.
2.4 Proteção da Informação
Implementar procedimentos e controles adequados, quanto ao uso, para uma
efetiva proteção da informação. Destacando-se que é vedado o compartilhamento de
informações com terceiros ou subcontratados e as exceções devem ser avaliadas pelo
órgão contratante, por meio da autoridade competente, a qual caberá autorizar e
justificar a divulgação das informações, preservados os casos de sigilo previstos na
legislação aplicável e de proteção de dados pessoais dispostos pela Lei nº 13.709/2018.

2.5 Ambiente em Nuvem
A utilização ou contratação de soluções de computação em nuvem deverão
observar os critérios, princípios e diretrizes dispostos em dispositivo legal correlato
publicado pelo GSI/PR, dos quais destacam-se: envidar esforços para que a legislação
brasileira prevaleça sobre qualquer outra e avaliar quais informações serão hospedadas
em nuvem, considerando o processo de classificação da informação e o valor da
informação.
2.6 Análise de Vulnerabilidades
Deve-se executar periodicamente análise de vulnerabilidades, na Solução de TIC,
para detecção de vulnerabilidades técnicas e execução de medidas para seu saneamento
ou contenção. Além disso, também é necessário rever periodicamente as medidas de
segurança aplicada nos ativos que realizam o tratamento de dados pessoais como a
coleta, retenção, processamento, compartilhamento e descarte.
2.7 Internet das Coisas (IoT)
Implementar mecanismos relativos à Internet das Coisas (IoT), conforme critérios,
diretrizes, princípios e métodos dispostos em dispositivo legal correlato publicado pelo
GSI/PR.
3 REQUISITOS DE PRIVACIDADE
Nas descrições abaixo são apresentados os requisitos mínimos de Privacidade, em
destaque na Figura 5, a serem incluídos, no que couber, no Termo de Referência ou
Projeto Básico do edital de contratação, se pertinente, de acordo com a definição da
equipe responsável pela elaboração das especificações técnicas e funcionais da Solução
de TIC, de modo a atender aos princípios da Lei Geral de Proteção de Dados Pessoais
(LGPD), conforme destacado a seguir.
Figura 5 – Requisitos de Privacidade
3.1 Anonimização
Os dados pessoais utilizados em ambiente de TDH (Teste, Desenvolvimento e
Homologação) devem passar por um processo de anonimização.
3.2 Autorização do proprietário
A utilização dos dados pessoais não anonimizados em ambiente de TDH deve ser
autorizada pelo proprietário do ativo de informação.

3.3 Exclusão segura de dados pessoais
A Contratada deve utilizar técnicas ou métodos apropriados para garantir exclusão
ou destruição segura de dados pessoais (incluindo originais, cópias e registros
arquivados), de modo a impedir sua recuperação no processo e garantindo
desenvolvimento seguro.
3.4 Funcionalidade de anonimização/pseudoanonimização
A aplicação desenvolvida pela Contratada deve ter funcionalidade para fornecer a
base de informações para órgãos de pesquisa de forma que os dados pessoais sejam
anonimizados ou pseudoanonimizados.
3.5 Compartilhamento de dados
A aplicação desenvolvida, pela Contratada, ao compartilhar dados com terceiro
operador ou órgãos públicos deve ter funcionalidade de registro e emissão de relatório
dos dados pessoais compartilhados.
3.6 Política de Privacidade
A Contratada deve possuir e implementar política de privacidade que atenda aos
princípios da Lei Geral de Proteção de Dados Pessoais (LGPD), a ser homologada pelo
órgão contratante, assegurando o adequado tratamento dos dados pessoais e
principalmente sua classificação em sensíveis e não sensíveis, incluindo categorias de
informações pessoais de saúde e informações pessoais financeiras. Garantir a
transparência com relação à coleta, finalidade da coleta, processamento (tratamento) e
o compartilhamento de dados pessoais. Deve-se também notificar os titulares no caso de
alterações na finalidade do tratamento de seus dados pessoais e, quando permitido pela
legislação aplicável, prover acesso, capacidade de revisão de seus dados pessoais e canal
de comunicação.
3.7 Análise de Impacto
O Contratante e Contratada realizarão a análise de impacto na privacidade dos
dados pessoais relacionada à Solução de TIC, devendo considerar as informações
levantadas pelo relatório de impacto da Contratada.
3.8 Processamento Contratado
A Equipe de Planejamento da Contratação, para contratos firmados com os
operadores, deve incluir cláusulas que contemplem, não se limitando a: uma declaração
adequada sobre a escala, natureza e finalidade do processamento contratado; relatar
casos de violação de dados, processamento não autorizado ou outro não cumprimento
dos termos e condições contratuais; medidas aplicáveis na rescisão do contrato,
especialmente no que diz respeito à exclusão segura de dados pessoais; impedimento de
tratamento de dados pessoais por subcontratados, exceto por aprovação do controlador.
3.9 Tratamento de dados
A Equipe de Planejamento da Contratação, para contratos firmados com os
operadores de dados pessoais, deve incluir cláusulas que asseguram o tratamento de
dados pessoais conforme previsto pela Lei Geral de Proteção de Dados, Lei nº
13.709/2018.
3.10 Política de proteção de dados
A Equipe de Planejamento da Contratação deve garantir que o contrato contenha
uma política ou norma de privacidade de dados pessoais que aborde a finalidade da
Contratada perante o tratamento de dados; a transparência com relação à coleta e
processamento de dados pessoais; a estrutura estabelecida para a privacidade de dados
pessoais; regras para tomar decisões em questões de privacidade de dados pessoais;
critérios de aceitação de risco de privacidade; compromisso de satisfazer os requisitos
aplicáveis de proteção à privacidade.

3.11 Estratégia de Capacitação
item que possibilite a implementação e manutenção de estratégia abrangente de
treinamento e conscientização, destinada a garantir que os envolvidos entendam suas
responsabilidades e os procedimentos de privacidade de dados pessoais.
3.12 Monitoramento de ações de privacidade de dados
item que garanta o monitoramento continuo das ações de privacidade de dados pessoais,
a fim de determinar o progresso no cumprimento dos requisitos de conformidade com a
privacidade de dados pessoais e dos controles de privacidade de dados pessoais,
comparando o desempenho em todo processo e também da organização, capaz de
identificar vulnerabilidades e lacunas na política e na implementação e capaz identificar
modelos de sucesso.
3.13 Atendimento de Finalidade Pública
item(s) de forma que o tratamento de dados pessoais seja realizado para o atendimento
de sua finalidade pública, na persecução do interesse público, com o objetivo de executar
políticas públicas ou cumprir as atribuições legais do serviço público (embasamento
legal).
3.14 Atendimento de Finalidade de Tratamento
item(s) de forma que os dados coletados e seu processamento sejam limitados ao mínimo
necessário para atendimento da finalidade do tratamento.
3.15 Notificação do Controlador
item(s) definindo a obrigação do operador de dados pessoais notificar o Controlador em
caso de ocorrência de violação de dados pessoais.

3.16 Precisão dos dados
item(s) definindo que a Contratada implemente medidas que garantam e maximizem a
precisão dos dados pessoais coletados, antes de qualquer armazenamento ou
processamento de dados pessoais.
3.17 Controles de Integridade
item(s) definindo que os dados pessoais armazenados/retidos possuam controles de
integridade permitindo identificar se os dados foram alterados sem permissão.
3.18 Registro de operações
item(s) definindo que as operações de processamento realizadas com dados pessoais
sejam registradas de modo a identificar a operação realizada, quem realizou, data e hora;
3.19 Canal de comunicação com os titulares de dados pessoais
dispositivo(s) definindo um canal de comunicação ativo, seguro e autenticado para o
recebimento de reclamações e manter um ponto de contato para receber e responder a
reclamações, preocupações ou perguntas dos titulares sobre o tratamento de dados
pessoais realizados pela Contratada.

4 AÇÕES DE RESPONSABILIDADE DA CONTRATADA
Nas descrições abaixo e conforme Figura 6, destacam-se itens relativos às
responsabilidades que devem ser imputadas, no que couber, à empresa Contratada, de
acordo com o inciso VI do caput do art. 12 da IN SGD/SEDGG/ME nº 1/2019, quando da
contratação de Solução de TIC.
Recursos em
Versões
Segurança Física e
Comprovadamente Descarte
do Ambiente
Seguras e
Atualizadas
Revogação de Segregação de
Reportar Incidentes
Privilégios Ambientes
Termo de Utilização de
Auditabilidade
Compromisso e Serviços de
Contínua
Ciência Terceiros
Figura 6 - Ações de Responsabilidade da Contratada
4.1 Recursos em Versões Comprovadamente Seguras e Atualizadas
Utilizar recursos de segurança da informação e de tecnologia da informação de
qualidade, eficiência e eficácia reconhecidas e em versões comprovadamente seguras e
atualizadas, de forma reduzir o nível de risco ao qual o objeto do contrato ou a
contratante está exposta.
4.2 Reportar Incidentes
Reportar de imediato ao órgão contratante incidentes que envolvam vazamento
de dados, indisponibilidade ou comprometimento da informação relacionados à Solução
de TIC. Para tanto, deve haver um canal formal e apropriado para notificar os incidentes
de segurança da informação de forma rápida e eficaz.

4.3 Termo de Compromisso e Ciência
Implementar e manter controles e procedimentos específicos para assegurar o
sigilo quanto aos dados e informações aos quais os empregados da Contratada venham
tomar conhecimento. Assim, assegura-se que os empregados e outros profissionais sob
sua direção e/ou controle respeitem o uso dos dados somente para as finalidades
previstas em contrato e as restrições de uso dos ativos utilizados para desenvolvimento
e/ou operação da Solução de TIC, fazendo cumprir o disposto nos Termo de
Compromisso e Termo(s) de Ciência firmados, pelo representante legal e pelo(s)
empregado(s) da Contratada.
4.4 Descarte
Definir e executar procedimento de descarte seguro dos dados pessoais ou
sigilosos da contratante, que estejam em posse da Contratada, ao encerrar a execução
do contrato.
4.5 Revogação de Privilégios
Comunicar ao órgão contratante, de imediato, a ocorrência de transferência,
remanejamento ou demissão de funcionário, para que seja providenciada a revogação de
todos os privilégios de acesso aos sistemas, informações e recursos do órgão contratante.
4.6 Utilização de Serviços de Terceiros
Informar e obter a anuência do órgão contratante sobre a utilização de serviços
de terceiros (como Content Delivery Network, Youtube, Flicker etc.) para sustentar ou
viabilizar o funcionamento da Solução de TIC.
4.7 Segurança Física e do Ambiente
Implementar e manter, em conjunto com a Contratante, controles e
procedimentos específicos para assegurar a segurança física e lógica dos ativos que
compõem a Solução de TIC. Previne-se, portanto, qualquer tipo de ocorrência de evento
de efeitos danosos ou prejudiciais ao funcionamento dos recursos de processamento das
informações relacionadas à Solução de TIC. Assegurar, também, a proteção das
credenciais de acesso dos usuários, durante o seu tráfego e armazenamento e que os

acessos externos à Solução de TIC sejam realizados por meios seguros, por exemplo,
implementando VPN.
4.8 Segregação de Ambientes
Certificar que os ambientes tecnológicos de desenvolvimento, teste, homologação
e produção estejam segregados e possuam controles de segurança da informação
adequados a cada ambiente, de forma a reduzir o nível de riscos de acessos ou
modificações não autorizadas.
4.9 Auditabilidade Contínua
Apresentar ao órgão contratante, sempre que solicitado, toda e qualquer
informação e documentação que comprovem a implementação dos requisitos de
segurança especificados na contratação, de forma a assegurar a auditabilidade do objeto
contratado, bem como demais dispositivos legais aplicáveis.

5 SANÇÕES - RESPONSABILIDADE DO ÓRGÃO CONTRATANTE
Na descrição abaixo, é apresentada item relativo às responsabilidades que devem
ser imputadas à empresa Contratada, de acordo com o inciso VI do caput do art. 12 da IN
SGD/SEDGG/ME nº 1/2019, quando da contratação de Produto ou Serviço de TIC.
5.1 Sanções Administrativas
A Equipe de Planejamento da Contratação, ao elaborar o Modelo de Gestão do
Contrato de que trata o art. 19 da INSTRUÇÃO NORMATIVA Nº 1, SGD/SEDGG/ME, de
4/04/2019, deve vincular sanções administrativas viáveis a serem aplicadas no caso de
descumprimento dos itens anteriormente descritos, que forem selecionados como
requisitos a constarem da contratação.
Desta forma, no Anexo A deste guia são relacionadas as possíveis sanções que
devem ser aplicadas em caso de descumprimento de cláusulas contratuais.

6 CONCLUSÃO
6.1 Importância e Relevância
Constata-se ser de extrema relevância a adoção de Requisitos de Segurança da
Informação e Privacidade de Dados Pessoais bem como a respectiva gestão contratual
com abordagem específica desse aspecto, quando da contratação de produtos e/ou
serviços de TIC, pelos órgãos da administração pública.
6.2 Benefícios esperados
Espera-se, portanto, que o presente guia contribua para uma complementação e
consolidação necessária ao estabelecimento de requisitos funcionais de produto e/ou
serviços de TIC. Consideramos que tal ação representa um marco importante para o
aprimoramento das ações contratuais que visam assegurar a disponibilidade, a
integridade, a confidencialidade e a autenticidade das informações que serão tratadas
neste tipo de aquisição no âmbito da administração pública.
6.3 Abrangência deste Guia
Este guia não pretende ser exaustivo em suas recomendações, ficando a cargo das
equipes de planejamento de contratação, com os respectivos responsáveis pelas
especificações operacionais e funcionais, a verificação de conformidade com os produtos
e/ou serviços desejados. Dessa forma, espera-se mitigar as possibilidades de lacuna que
vierem a existir para a segurança da informação e privacidade de dados pessoais da
aquisição em processo de contratação.
6.4 Recomendações Finais
Conforme já citado anteriormente, é de suma importância a leitura das
orientações contidas nos documentos referenciados no item Referências Bibliográficas
deste guia, face procederem de órgão normativo e de relevância nas questões de
padronização de metodologias e procedimentos.
Lembramos mais uma vez que este documento será atualizado e ampliado
periodicamente com objetivo de mantê-lo alinhado às diretrizes e normativos vigentes.

ANEXO A
SANÇÕES ADMINISTRATIVAS PELO DESCUMPRIMENTO DOS REQUISITOS DE SEGURANÇA DA

INFORMAÇÃO
1. Tendo em vista a tabela de infrações destacada abaixo, a Equipe de Planejamento da

Contratação deve, no que couber, estabelecer percentual de multa (diária ou mensal) sobre o
faturamento mensal ou valor total do contrato, de acordo com o cronograma financeiro
previsto para a contratação.
2. As infrações apresentadas neste Anexo, devem ser ajustadas de acordo com a realidade
específica de cada contratação, desde que para cada requisito de segurança da informação
especificado seja definida, no mínimo, uma infração correspondente.
Item de
Referência Infração Cometida
do Guia
1.2 Não apresentar a POSIN - Política de Segurança da Informação.
Não apresentar o Relatório de Impacto à Proteção de Dados Pessoais – RIPD

1.3
relacionado a solução de TIC.
Não apresentar o relatório de análise e avaliação de riscos de acordo com a

1.4
periodicidade definida pela CONTRATANTE.
Não apresentar documentação, quando solicitada, que descreve a arquitetura

1.5
física e lógica do objeto.
Não apresentar descrição dos controles de segurança da informação

1.5
implementados em cada componente listado na arquitetura física e lógica.
1.5 Não elaborar a matriz de responsabilidades.
A - Não apresentar documentação, quando solicitada, que evidencie a

elaboração do Plano de Continuidade Operacional e do Plano de Contingência.
1.6
B - Não apresentar documento que evidencie a realização de simulações e/ou
testes do planejado pelo Plano de Continuidade Operacional e pelo Plano de
Contingência.
A - Não apresentar documento que evidencie o processo formal de tratamento

de incidentes adotado para coleta e preservação das mídias de
1.7 armazenamento dos dispositivos afetados e modelo de registro desses do
incidente; 2) O escopo da resposta; 3) Quando e por quem as autoridades
devem ser contactadas; 4) Papéis, responsabilidades e autoridades; 5)
Avaliação de impacto dos diferentes tipos de incidente; 6) Medidas de
segurança adotadas para reduzir a probabilidade e mitigar o impacto do
incidente; 7) Descrição da natureza dos dados pessoais afetados; e 8)
Informações sobre os titulares envolvidos.
B - Não apresentar documento que evidencie o processo formal de tratamento

de incidentes e medidas de segurança utilizadas para coleta nos casos em que
seja inviável preservar as mídias de armazenamento.
C - Não apresentar documento probatório que evidencie que os arquivos

coletados como evidências são gravados acompanhado do arquivo com a lista
dos resumos criptográficos
Não apresentar documento que evidencie os controles implementados para

1.7
coleta e preservação de evidências de incidentes de segurança.
A - Não apresentar documento que evidencie o fluxo de mudanças com as

seguintes informações obrigatórias: 1) Relatório de impactos potenciais, riscos
e consequências; 2) Processo de comunicação de mudanças; e 3) Processo
emergencial de mudança para resolver um incidente de segurança que tenha
1.8 como evento de risco: fraudes digitais, comprometimento ou vazamento de
dados.
B- Não apresentar documento que evidencie inventário dos ativos que

suportam o serviço.
Não apresentar documento que evidencie os mecanismos utilizados para

monitoramento do uso dos recursos de forma a atender as necessidades de
1.9
capacidade futura e garantir o desempenho requerido da Solução de TIC
Contratada.
A - Não apresentar documentação, quando solicitada, que evidencie o processo

de desenvolvimento, os requisitos de segurança analisados em cada fase do
desenvolvimento e as ações realizadas para que esses requisitos de segurança
sejam atendidos.
B - Não apresentar documentação, quando solicitada, que evidencie: a) os

1.10
testes executados para que mensagens de erro do sistema não revelem
detalhes de sua estrutura interna; b) periodicidade desses testes; e c) os
responsáveis por executá-los.
C - Não apresentar documento que evidencie a realização de análise de código

estático e dinâmico.
1.11 Não apresentar documento que evidencie: 1) Estabelecimento de restrições

aos dispositivos não pertencentes ao rol de equipamentos da CONTRATADA
que se conectem à rede corporativa; 2) Segmentação da rede corporativa em
domínios lógicos a fim de impedir acessos indevidos;
3) Estabelecimento de restrições ao acesso externo; e 4) Execução de

processos periódicos de cópias de segurança das configurações dos
dispositivos de rede (switches e roteadores).
A - Não apresentar política ou norma de cópia de segurança (backup),

constando as seguintes informações: 1) Abrangência dos procedimentos de
cópia de segurança e tipo de cópia realizada para cada informação; 2)
Frequência estabelecida para geração das cópias de segurança; 3) Abrangência
dos testes de cópias de segurança e sua periodicidade; e 4) Período de retenção
das cópias.
B – Não apresentar documento que evidencie as medidas de segurança

1.12 adotadas para proteção física e ambiental das cópias de segurança.
C – Não apresentar documentação, quando solicitada, evidenciando que as

cópias de segurança são armazenadas em uma localidade remota e diversa da
localidade dos ativos que suportam a Solução de TIC em ambiente tecnológico
de produção.
D – Não apresentar documento que evidencie o descarte seguro das cópias de

segurança que armazenam informações sigilosas.
Não apresentar documentação, quando solicitada, que evidencie: 1) A adoção

de criptografia no canal de comunicação; e 2) A adoção de criptografia das
2.1
informações armazenadas em banco de dados e em dispositivos móveis e
mídias removíveis.
A - Não apresentar documento que evidencie o procedimento de

monitoramento das contas ativas.
B - Não apresentar documento que evidencie o armazenamento separado das

credenciais de acesso e registros (logs) dos dados das aplicações e sistemas.
C - Não apresentar documento probatório que evidencie:

2.2
1) A adoção de bloqueios de direito de acesso após um número excessivo de

tentativas de acesso mal sucedidas; 2) A adoção de mecanismos para
encerramento de sessão cuja inatividade do usuário exceda um período de
tempo predeterminado; 3) A adoção de bloqueios dos direitos de acesso de
usuários que não acessaram a aplicação por um período de tempo
predeterminado contados do último acesso; e 4) A adoção de restrições de
autenticação do usuário para acesso simultâneo a serviço(s), sistema(s) e/ou
rede(s).
Não apresentar comprovação de registros (logs) com as seguintes informações:

2.2 / 2.3
1) realização de login de administrador e demais acessos privilegiados com a
identificação do usuário; 2) endereço IP que efetuou o acesso (ou outro atributo
utilizado com a justificativa para seu uso); 3) ações realizadas pelo usuário
2.2 / 2.3 (consulta ao banco de dados, inclusão/modificação/exclusão de dados, etc); e
4) data e hora de acesso dos usuários e data e hora das ações realizadas por
eles.
Não apresentar comprovação de registros (logs) com as seguintes informações:

1) medidas de segurança utilizadas para proteção da integridade das
2.4 informações de log; 2) medidas de segurança utilizadas para proteção do
acesso indevido ao registro de log; 3) procedimento, a periodicidade e o
período de retenção das cópias dos registros de log.
A - Não apresentar documentação, quando solicitada, que evidencie controles

adequados para uso e proteção da informação processada pela Solução de TIC.
2.5
B - Não obter concordância formal da CONTRATANTE para compartilhamento
com terceiros de informações mantidas pela Solução de TIC.
Não apresentar documentação, quando solicitada, que evidencie a

implementação de tratamento de informações em ambiente computacional
2.6
em nuvem conforme os critérios, princípios e diretrizes dispostos em
dispositivo legal correlato publicado pelo GSI/PR.
Não apresentar documento que evidencie o processo de tratamento das

2.7 vulnerabilidades e os prazos estipulados para tratamento de cada
vulnerabilidade.
Não apresentar documentação, quando solicitada, que evidencie a

implementação de mecanismos relativos à Internet das Coisas (IoT) conforme
2.8
critérios, diretrizes, princípios e métodos dispostos em dispositivo legal
correlato publicado pelo GSI/PR.
Não apresentar documentação, quando solicitada, que evidencie que os dados

3.1 pessoais utilizados em ambiente de TDH (Teste, Desenvolvimento e
Homologação) passaram por um processo de anonimização.
Não apresentar documentação, quando solicitada, que evidencie que a

utilização dos dados pessoais em ambiente de TDH (Teste, Desenvolvimento e
3.2
Homologação), não anonimizados, foi autorizada pelo proprietário do ativo de
informação.
Não apresentar documentação, quando solicitada, que evidencie a utilização
de técnicas ou métodos apropriados para garantir exclusão ou destruição
3.3 segura de dados pessoais (incluindo originais, cópias e registros arquivados),
de modo a impedir sua recuperação no processo e garantindo
desenvolvimento seguro.
Não apresentar documentação, quando solicitada, que a aplicação

desenvolvida pela Contratada tem funcionalidade para ao fornecer a base de
3.4
informações para órgãos de pesquisa, os dados pessoais sejam anonimizados
ou pseudoanonimizados.
Não apresentar documentação, quando solicitada, que a aplicação

3.5
desenvolvida pela Contratada tem funcionalidade de registro e emissão de
relatório dos dados pessoais compartilhados.
Não apresentar documentação, quando solicitada, que a Contratada possui e
implementa política de privacidade que atenda aos princípios da Lei Geral de
Proteção de Dados Pessoais (LGPD), a ser homologada pelo órgão contratante,
3.6
assegurando o adequado tratamento dos dados pessoais e principalmente sua
classificação em sensíveis e não sensíveis, incluindo categorias de informações
pessoais de saúde e informações pessoais financeiras.
Não apresentar documentação, quando solicitada, que a Solução de TIC possui

3.7 processamento que abrange as informações levantadas pelo relatório de
impacto da Contratada.
Não atender cláusulas contratuais que contemplem, não se limitando a: uma

declaração adequada sobre a escala, natureza e finalidade do processamento
contratado; relatar casos de violação de dados, processamento não autorizado
3.8 ou outro não cumprimento dos termos e condições contratuais; medidas
aplicáveis na rescisão do contrato, especialmente no que diz respeito à
exclusão segura de dados pessoais; impedimento de tratamento de dados
pessoais por subcontratados, exceto por aprovação do controlador.
Não atender cláusulas contratuais que asseguram o tratamento de dados

3.9 pessoais conforme previsto pela Lei Geral de Proteção de Dados, Lei nº
13.709/2018
Não atender a política ou norma de privacidade de dados pessoais que aborde

pelo menos: a finalidade da Contratada perante o processamento de dados; a
transparência com relação à coleta e processamento de dados pessoais; a
3.10 estrutura estabelecida para a privacidade de dados pessoais; regras para
tomar decisões em questões de privacidade de dados pessoais; critérios de
aceitação de risco de privacidade; compromisso de satisfazer os requisitos
aplicáveis de proteção à privacidade.
Não atender a dispositivo(s) contratuais para implementação e manutenção de
estratégia abrangente de treinamento e conscientização, destinada a garantir
3.11
que os envolvidos entendam suas responsabilidades e os procedimentos de
privacidade de dados pessoais.
Não atender a dispositivo(s) contratuais de monitoramento continuo das ações

de privacidade de dados pessoais, a fim de determinar o progresso no
3.12
cumprimento dos requisitos de conformidade com a privacidade de dados
pessoais e dos controles de privacidade de dados pessoais.
Não atender a dispositivo(s) contratuais de modo que o tratamento de dados

pessoais seja realizado para o atendimento de sua finalidade pública, na
3.13
persecução do interesse público, com o objetivo de executar as competências
legais ou cumprir as atribuições legais do serviço público (embasamento legal).
Não atender a dispositivo(s) contratuais de modo que os dados coletados e seu

3.14 processamento sejam limitados ao mínimo necessário para atendimento da
finalidade do tratamento.
Não atender a dispositivo(s) contratuais da obrigação do operador de dados

3.15 pessoais notificar o Controlador em caso de ocorrência de violação de dados
pessoais.
Não atender a dispositivo(s) contratuais de implementação de medidas que

3.16 garantam e maximizem a precisão dos dados pessoais coletados, antes de
qualquer armazenamento ou processamento de dados pessoais.
Não atender a dispositivo(s) contratuais de modo que os dados pessoais

3.17 armazenados/retidos possuam controles de integridade permitindo identificar
se os dados foram alterados sem permissão.
Não atender a dispositivo(s) contratuais de modo que as operações de

3.18 processamento realizadas com dados pessoais sejam registradas identificando
a operação realizada, quem realizou, data e hora.
Não atender a dispositivo(s) contratuais implantando um canal de

comunicação ativo, seguro e autenticado para o recebimento de reclamações
3.19 e manter um ponto de contato para receber e responder a reclamações,
preocupações ou perguntas dos titulares sobre o tratamento de dados
pessoais realizados pela Contratada.
Não apresentar documentos que evidenciem que as versões adotadas nos

4.1
softwares utilizados são comprovadamente seguras.
Não apresentar documento que evidencie o fluxo de notificação de incidentes
4.2
e os canais disponíveis para notificação.
Não fazer com que seu preposto ou outros empregados cumpram os acordos
4.3 de confidencialidade especificados pelos Termo de Compromisso e Termo(s)
de Ciência.
Não apresentar documentação, quando solicitada, que evidencie a definição e

4.4 execução de procedimento de descarte seguro dos dados pessoais ou sigilosos
da CONTRATANTE ao encerrar o contrato.
Não providenciar a revogação de todos os privilégios de empregados que não

4.5
mais estejam alocados ao projeto objeto da contratação.
Não obter anuência da CONTRATANTE sobre a utilização de serviços de

4.6 terceiros (como Content Delivery Network, Youtube, Flicker, etc.) para sustentar
ou viabilizar o funcionamento da Solução de TIC.
Não apresentar documento que evidencie que as seguintes medidas de

segurança são implementadas: 1) O local que processa as informações é
restrito somente ao pessoal autorizado; 2) O acesso às áreas onde são
4.7 processadas informações sensíveis são controladas por meio de mecanismos
de autenticação em duas etapas; 3) O trabalho nas áreas seguras é
supervisionado; e 4) Há mecanismos de monitoramento das condições
ambientais dos locais de processamento da informação.
Não apresentar documentação, quando solicitada, comprovando que os

diferentes ambientes tecnológicos (produção, testes, homologação e
4.8
desenvolvimento) estão devidamente segregados, incluindo controle de
versão.
Não apresentar, documentação, quando solicitada, que comprove a

4.9 implementação dos requisitos de segurança especificados no Termo de
Referência ou Projeto Básico.
Não disponibilizar recursos necessários para atividade continuada de auditoria

4.9
de segurança cibernética relacionadas ao objeto do contrato.
Referências Bibliográficas
ABNT NBR ISO/IEC 27001:2013. Tecnologia da Informação - Técnicas de Segurança
ABNT NBR ISO/IEC 27005:2011. Tecnologia da informação – Técnicas de segurança – Gestão de
riscos de segurança da informação.
ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001
ABNT NBR ISO/IEC 27002:2013 para gestão da privacidade da informação — Requisitos e diretrizes.
ABNT NBR ISO/IEC 29134:2017. Information technology – Security techniques – Guidelines for
privacy impact assessment.
ABNT NBR ISO/IEC 29151:2017. Information technology – Security techniques – Code of practice
for personally identifiable information protection.
ABNT NBR ISO/IEC 31000:2018. Gestão de riscos - Diretrizes.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº 13.709, de
14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.
Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm >.
Acesso em: dezembro 2020.
COMITÊ CENTRAL DE GOVERNANÇA DE DADOS - CCGD. Guia de Boas Práticas LGPD. Abril 2020.
Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-
praticas-lei-geral-de-protecao-de-dados-lgpd >.
Acesso em: dezembro 2020.
LEGISLAÇÃO GSI/PR
Disponível em: < https://www.gov.br/gsi/pt-br/assuntos/dsi/legislacao >
Acesso em : dezembro 2020
PORTARIA Nº 93, DE 26 DE SETEMBRO DE 2019 - Glossário de Segurança da Informação
INSTRUÇÃO NORMATIVA Nº 4, DE 26 DE MARÇO DE 2020 - Segurança Cibernética em redes 5G
DECRETO Nº 10.222, DE 5 DE FEVEREIRO DE 2020 - Estratégia Nacional de Segurança Cibernética.

Guia Requisitosde SIpara Contratacoesde TI

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia Requisitosde SIpara Contratacoesde TI

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Boas Práticas para

Brasília, dezembro de 2020

INFORMAÇÃO E PRIVACIDADE EM CONTRATAÇÕES DE TECNOLOGIA DA INFORMAÇÃO

Paulo Roberto Nunes Guedes

SECRETARIA ESPECIAL DE DESBUROCRATIZAÇÃO, GESTÃO E GOVERNO DIGITAL

Caio Mario Paes de Andrade

Secretário Especial de Desburocratização, Gestão e Governo Digital

SECRETARIA DE GOVERNO DIGITAL

Luis Felipe Salin Monteiro

Secretário de Governo Digital

DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES

Mauro Cesar Sobrinho

Diretor do Departamento de Governança de Dados e Informações

COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO

Loriza Andrade Vaz de Melo

Coordenadora-Geral de Segurança da Informação

Julierme Rodrigues da Silva

Loriza Andrade Vaz de Melo

Luiz Henrique do Espírito Santo Andrade

Tássio Correia da Silva

Wellington Francisco Pinheiro de Araújo

Data Versão Descrição Autor

1 REQUISITOS GERAIS DE ESTRUTURAÇÃO DE SEGURANÇA E PRIVACIDADE ........... 8

1.1 Tratamento e Processamento de Dados Pessoais ................................................... 8

1.2 Política de Segurança da Informação (POSIN) .......................................................... 9

1.3 Relatório de Impacto à Proteção de Dados Pessoais - RIPD ................................. 9

1.4 Análise e Avaliação de Riscos ......................................................................................... 9

1.5 Arquitetura, Controles de Segurança e Matriz de Responsabilidades ........... 10

1.6 Continuidade Operacional e Contingência .............................................................. 10

1.7 Gestão de Incidentes ....................................................................................................... 10

1.8 Gestão de Mudanças ....................................................................................................... 11

1.9 Gestão de Capacidade ..................................................................................................... 11

1.10 Desenvolvimento Seguro........................................................................................... 11

1.11 Segurança de Rede Corporativa .............................................................................. 11

1.12 Política de Backup........................................................................................................ 12

2 REQUISITOS DE SEGURANÇA DA SOLUÇÃO DE TIC ...................................................... 13

2.1 Controles Criptográficos ................................................................................................ 13

2.2 Controle de Acesso ........................................................................................................... 13

Registro de Eventos, Incidentes e Rastreabilidade ........................................................... 14

2.3 Registro de Atividades .................................................................................................... 14

2.4 Proteção da Informação ................................................................................................. 14

2.5 Ambiente em Nuvem ...................................................................................................... 15

2.6 Análise de Vulnerabilidades ......................................................................................... 15

2.7 Internet das Coisas (IoT) ................................................................................................ 15

3 REQUISITOS DE PRIVACIDADE ........................................................................................... 16

3.1 Anonimização .................................................................................................................... 16

3.2 Autorização do proprietário ......................................................................................... 16

3.3 Exclusão segura de dados pessoais ............................................................................ 17

3.4 Funcionalidade de anonimização/pseudoanonimização .................................... 17

3.5 Compartilhamento de dados ........................................................................................ 17

3.6 Política de Privacidade ................................................................................................... 17

3.8 Processamento Contratado .......................................................................................... 18

3.9 Tratamento de dados ...................................................................................................... 18

3.10 Política de proteção de dados .................................................................................. 18

3.11 Estratégia de Capacitação ......................................................................................... 19

3.12 Monitoramento de ações de privacidade de dados ......................................... 19

3.13 Atendimento de Finalidade Pública ....................................................................... 19

3.14 Atendimento de Finalidade de Tratamento ........................................................ 19

3.15 Notificação do Controlador ...................................................................................... 19

3.16 Precisão dos dados ...................................................................................................... 20

3.17 Controles de Integridade ........................................................................................... 20

3.18 Registro de operações ................................................................................................ 20