Escolar Documentos
Profissional Documentos
Cultura Documentos
Especificação de Requisitos de
Segurança da Informação e
Privacidade em Contratações de
Tecnologia da Informação
MINISTÉRIO DA ECONOMIA
Ministro
Novembro
Equipe Técnica de Elaboração
/2019
Denis Marcelo Oliveira
INTRODUÇÃO ...................................................................................................................................... 6
6 CONCLUSÃO ............................................................................................................................ 25
ANEXO A .............................................................................................................................................. 26
que no processo de elaboração dos artefatos inerentes a uma contratação de TIC este
A Secretaria de Governo Digital (SGD) ressalta que tais orientações foram objeto
SGD/ME.
impacto na privacidade dos dados pessoais, bem como diversos mecanismos de controle
Documentos Aplicáveis.
Cabe ressaltar que fica a cargo da equipe de planejamento da contratação identificar
requisitos, presentes neste guia, não possuem caráter obrigatório tampouco exaustivos.
capítulos:
Figura 2), esclarecendo que em alguns casos fazemos sua referência explícita.
Este guia será atualizado e ampliado periodicamente com objetivo de mantê-lo alinhado
destacadas a seguir:
comprovação pelo contratado, no que couber, das orientações contidas na norma ISO/IEC
29151:2017. Deve ser dada especial atenção ao item 15 da referida norma que discorre
fornecimento de serviços sobre dados pessoais, como por exemplo, política de segurança
1
Lei 13.709/2018, Art 5º - VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;
VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador.
dados pessoais, dados mínimos que devem estar contidos no contrato, abordagem de
renovação contratual;
pelo relatório de impacto, de acordo com o item 2.5 do Guia de Boas Práticas da LGPD
acordo com a descrição presente no referido Guia de Boas Práticas da LGPD (CCGD, 2020)
em seu item 1.1, que apresenta as bases legais para utilização de dados pessoais e seu
legal.
informação e quaisquer outros ativos relacionados a Solução de TIC. Assim, será indicado
continuidade.
pessoais, a contratada deve provar que tem capacidade de fornecer uma resposta
migração dos dados do sistema legado para o novo sistema e vice-versa. Sugere-se
associadas, bem como outras informações contidas na ISO / IEC 27002:2013, nesse
futura sejam avaliadas para garantir o desempenho dos ativos relacionados à Solução
homologada pelo órgão contratante. Tal política de backup deve assegurar a manutenção
requeridos para cada caso, de modo a ser possível a plena recuperação de versões dos
contratante.
2 REQUISITOS DE SEGURANÇA DA SOLUÇÃO DE TIC
da Solução de TIC.
e de cifra.
para a Solução de TIC, elaborada pelo órgão contratante em conjunto com a contratada,
tendo em vista o princípio do menor privilégio e a proteção adequada aos dados pessoais.
necessidades de não repúdio, situações que requerem duplo fator de autenticação (2FA)
pelo GSI/PR, assegurando a rastreabilidade das ações de usuário por meio de logs de
específicos para registro das atividades dos administradores e operadores dos sistemas
relacionados à Solução de TIC em questão, de forma que esses não tenham permissão
publicado pelo GSI/PR, dos quais destacam-se: envidar esforços para que a legislação
brasileira prevaleça sobre qualquer outra e avaliar quais informações serão hospedadas
informação.
segurança aplicada nos ativos que realizam o tratamento de dados pessoais como a
GSI/PR.
3 REQUISITOS DE PRIVACIDADE
Nas descrições abaixo são apresentados os requisitos mínimos de Privacidade, em
de TIC, de modo a atender aos princípios da Lei Geral de Proteção de Dados Pessoais
3.1 Anonimização
A utilização dos dados pessoais não anonimizados em ambiente de TDH deve ser
desenvolvimento seguro.
base de informações para órgãos de pesquisa de forma que os dados pessoais sejam
anonimizados ou pseudoanonimizados.
princípios da Lei Geral de Proteção de Dados Pessoais (LGPD), a ser homologada pelo
legislação aplicável, prover acesso, capacidade de revisão de seus dados pessoais e canal
de comunicação.
3.7 Análise de Impacto
operadores, deve incluir cláusulas que contemplem, não se limitando a: uma declaração
dados pessoais conforme previsto pela Lei Geral de Proteção de Dados, Lei nº
13.709/2018.
item que garanta o monitoramento continuo das ações de privacidade de dados pessoais,
modelos de sucesso.
item(s) de forma que o tratamento de dados pessoais seja realizado para o atendimento
legal).
item(s) de forma que os dados coletados e seu processamento sejam limitados ao mínimo
sejam registradas de modo a identificar a operação realizada, quem realizou, data e hora;
Recursos em
Versões
Segurança Física e
Comprovadamente Descarte
do Ambiente
Seguras e
Atualizadas
Revogação de Segregação de
Reportar Incidentes
Privilégios Ambientes
Termo de Utilização de
Auditabilidade
Compromisso e Serviços de
Contínua
Ciência Terceiros
de TIC. Para tanto, deve haver um canal formal e apropriado para notificar os incidentes
sigilo quanto aos dados e informações aos quais os empregados da Contratada venham
sua direção e/ou controle respeitem o uso dos dados somente para as finalidades
empregado(s) da Contratada.
4.4 Descarte
do contrato.
de terceiros (como Content Delivery Network, Youtube, Flicker etc.) para sustentar ou
procedimentos específicos para assegurar a segurança física e lógica dos ativos que
implementando VPN.
Desta forma, no Anexo A deste guia são relacionadas as possíveis sanções que
serviços de TIC. Consideramos que tal ação representa um marco importante para o
Este guia não pretende ser exaustivo em suas recomendações, ficando a cargo das
e/ou serviços desejados. Dessa forma, espera-se mitigar as possibilidades de lacuna que
Lembramos mais uma vez que este documento será atualizado e ampliado
2. As infrações apresentadas neste Anexo, devem ser ajustadas de acordo com a realidade
específica de cada contratação, desde que para cada requisito de segurança da informação
especificado seja definida, no mínimo, uma infração correspondente.
Item de
Referência Infração Cometida
do Guia
1.6
B - Não apresentar documento que evidencie a realização de simulações e/ou
testes do planejado pelo Plano de Continuidade Operacional e pelo Plano de
Contingência.
Não fazer com que seu preposto ou outros empregados cumpram os acordos
4.3 de confidencialidade especificados pelos Termo de Compromisso e Termo(s)
de Ciência.
ABNT NBR ISO/IEC 27701:2019. Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001
ABNT NBR ISO/IEC 27002:2013 para gestão da privacidade da informação — Requisitos e diretrizes.
ABNT NBR ISO/IEC 29134:2017. Information technology – Security techniques – Guidelines for
ABNT NBR ISO/IEC 29151:2017. Information technology – Security techniques – Code of practice
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº 13.709, de
COMITÊ CENTRAL DE GOVERNANÇA DE DADOS - CCGD. Guia de Boas Práticas LGPD. Abril 2020.
praticas-lei-geral-de-protecao-de-dados-lgpd >.
LEGISLAÇÃO GSI/PR