RESOLUÇÃO NORMATIVA Nº 13/2023-CGE, de 10 de julho de 2023.
Estabelece diretrizes para o uso seguro da computação em nuvem no âmbito da Universidade Federal do Rio Grane do Norte - a UFRN.
O PRESIDENTE DO COMITÊ DE GOVERNANÇA ESTRATÉGICA - CGE, DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, usando das competências previstas no artigo 16, §1º e §2º, da Resolução no 013/2022-CONSAD, de 14 de julho de 2022,
CONSIDERANDO a Instrução Normativa da Presidência da República/Gabinete de Segurança Institucional nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal; e
CONSIDERANDO a Resolução Normativa nº 06/2022 - CGRC, de 16 de agosto de 2022, que dispõe sobre a Política de Segurança da Informação e Comunicação (POSIC) da Universidade Federal do Rio Grande do Norte;
RESOLVE,
Art. 1º Estabelecer diretrizes para o uso seguro da computação em nuvem no âmbito da Universidade Federal do Rio Grane do Norte - a UFRN.
Art. 2º As diretrizes estabelecidas nesta Resolução aplicam-se:
I - a toda comunidade universitária;
II - aos agentes envolvidos nas atividades da Universidade que utilizem serviços de computação em nuvem; e
III - a todos os tipos de dados e informações institucionais armazenados ou processados na nuvem, independentemente do nível de classificação ou confidencialidade.
Art. 3º Para fins desta Resolução, considera-se:
I - agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nas entidades da Administração Pública Federal;
II - agente responsável pelo serviço de nuvem: agente público responsável pela administração, manutenção, contato técnico, contato para incidentes de segurança relacionados a determinado serviço em nuvem;
III - autenticação em dois fatores (2FA - 2 Factor Authentication): processo de segurança que exige que os usuários forneçam dois meios de identificação antes de acessarem suas contas;
IV - CeTRIS: Centro de Tratamento e Resposta a Incidentes de Segurança - ETIR da UFRN;
V - CGSI: Comitê Gestor de Segurança da Informação da UFRN;
VI - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
VII - ETIR - Equipe de tratamento e resposta a incidentes em redes: grupo constituído pela gestão da instituição para a realização de prevenção, tratamento e resposta a incidentes em segurança da informação;
VIII - gestor de segurança da informação: servidor da UFRN designado pela alta gestão para coordenar as ações de segurança da informação na instituição;
IX - GPGIS - guia do processo de gestão de incidentes de segurança da UFRN: documento guia para a resolução de incidentes cibernéticos e/ou com dados pessoais, instituído pela gestão da UFRN;
X - incidente: qualquer evento adverso relacionado à segurança de sistemas de informação levando ao comprometimento de um ou mais princípios básicos de Segurança da Informação;
XI - PDTI - Plano Diretor de Tecnologia da Informação: documento que dispõe sobre o planejamento e a gestão dos recursos e processos de Tecnologia da Informação visando atender às necessidades da UFRN;
XII - POSIC - Política de Segurança da Informação e Comunicações: documento instituído pela gestão da UFRN, que define normas e procedimentos para o uso seguro dos ativos da informação da instituição;
XIII - serviços de computação em nuvem: modelo computacional que permite acesso, por demanda e independente da localização, a conjunto compartilhado de recursos configuráveis de computação (rede de computadores, servidores, armazenamento, aplicativos e serviços), provisionados com esforços mínimos de gestão ou interação com o provedor de serviços;
XIV - tecnologia da informação: conjunto de ativos e métodos estratégicos que apoiam processos de negócios institucionais, mediante a conjugação de recursos, processos e técnicas, utilizados para obter, processar, armazenar, disseminar e fazer uso de informações; e
XV - unidade organizacional: unidade administrativa ou acadêmica que compõe a estrutura da UFRN, possuindo suas próprias atribuições, competências e responsabilidades específicas dentro da instituição.
Parágrafo único. Os demais termos relacionados à segurança da informação são definidos por meio do Glossário de Segurança da Informação, conforme a Portaria Nº 93 GSI/PR, de 18 de outubro de 2021, e suas alterações.
Art. 4º São objetivos do serviço de computação em nuvem na UFRN:
I - redundância: os serviços e ativos TI devem oferecer alta disponibilidade e minimizar impactos de situações inesperadas, desastres, falhas de segurança;
II - continuidade: considerando a necessidade de persistência das características inerentes aos serviços, ações e processos relacionados aos serviços de computação em nuvem, devem ser definidas e regularmente testadas operações de teste de continuidade em plano específico para esse fim; e
III - privacidade e segurança da informação: a gestão e proteção da informação devem ser garantidas e evidenciadas para os usuários dos serviços de datacenter e computação em nuvem.
Parágrafo único: O uso de serviços de computação em nuvem pela UFRN deve atender, ainda, aos objetivos e às metas descritas no Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) e documentos a ele associados.
Art. 5º O agente responsável pelo serviço em nuvem é o agente público indicado pela unidade organizacional da UFRN, consumidora dos serviços de nuvem, para intermediar as questões de suporte com o provedor de tais serviços e questões de segurança da informação com a ETIR da UFRN.
Parágrafo único. As unidades organizacionais que usarem serviços de computação em nuvem deverão manter ao menos um agente responsável, preferencialmente, um técnico em TI capacitado.
Art. 6º Antes de iniciar o uso dos serviços de computação em nuvem, a unidade organizacional deverá informar ao provedor e ao órgão gestor da TI na UFRN os dados de contato do agente designado, sendo sua responsabilidade mantê-los atualizados.
Art. 7º Entre os dados informados serão obrigatórios, no mínimo, nome completo, telefone celular e e-mail.
Art. 8º O agente deverá ser maior de 18 anos, possuir plena capacidade civil, e declarar ser plenamente capaz de realizar as atividades técnicas a que se propõe.
Art. 9º o agente receberá credenciais de acesso pessoais, login e senha, que asseguram o acesso individual para administração dos seus serviços.
Parágrafo único. É responsabilidade exclusiva do agente a guarda dessas credenciais de maneira confidencial e segura, evitando o acesso indevido a elas.
Art. 10. Toda atividade realizada com o uso das credenciais de acesso será de responsabilidade do agente, que deverá informar prontamente ao provedor quaisquer casos de uso indevido ou vazamento das credenciais.
Art. 11. As credenciais de acesso são pessoais e intransferíveis, não sendo permitido ceder, vender, alugar ou transferir.
Art. 12. Sempre que possível, o agente responsável deverá receber capacitação adequada para poder realizar o gerenciamento dos serviços em nuvem a ele designados, bem como para poder acessar os registros de log desses serviços.
Art. 13. A unidade organizacional poderá, a qualquer tempo, requerer a adição, substituição ou remoção de seu agente junto ao provedor.
Art. 14. A regulamentação sobre controle de acesso é objeto da Política de Controle de Acesso (PCA/UFRN).
Art. 15. A forma como as estruturas de gestão deve realizar o gerenciamento dos serviços de TI é objeto da Política de Gerenciamento de Serviços de Tecnologia da Informação (PGSTI/UFRN).
Art. 16. A segurança dos ativos de TI é objeto da PoSIC e da Política de Gestão de Ativos da UFRN.
Art. 17. Todos os ativos, serviços e acessos que exijam autenticação devem seguir o disposto na Norma de Senhas da UFRN e, sempre que possível, usar autenticação em dois fatores (2FA) ou outro método que eleve a segurança do procedimento.
Art. 18. A unidade organizacional consumidora dos serviços de nuvem, em conjunto com seu agente responsável, deverá:
I - elaborar matriz de responsabilidades que inclua obrigações e responsabilidades próprias;
II - elaborar processo de tratamento de incidentes relativos ao(s) serviço(s) consumido(s);
III - zelar para que a equipe de TI local responsável pelo gerenciamento das tecnologias utilizadas no serviço de nuvem, incluindo o seu agente responsável, estejam capacitados a desempenhar suas atividades;
IV - zelar pelas atualizações de segurança dos ativos em nuvem e por aqueles usados para a sua gerência; e
V - manter registros de log conforme a legislação vigente.
Art. 19. O provedor de serviço de nuvem deverá:
I - Em relação ao gerenciamento de identidades, registrar todos os acessos, incidentes e eventos cibernéticos, incluídas informações sobre sessões e transações, mantendo-os armazenados pelo período mínimo de um ano ou conforme legislação vigente;
II - documentar e comunicar seus recursos, papéis e responsabilidades de segurança da informação para o uso de seus serviços em nuvem;
III - manter seus ativos com as atualizações de segurança em dia;
IV - verificar se o tratamento e armazenamento de dados institucionais estão de acordo com a legislação vigente;
V - implementar medidas que visem garantir a proteção do ambiente contra usuários externos dos serviços de computação em nuvem e de pessoas não autorizadas;
VI - implementar controles de segurança da informação de forma a propiciar o isolamento adequado dos recursos utilizados de outros usuários dos serviços; e
VII - implementar medidas para garantir a separação de todos os recursos utilizados pelo provedor de serviço de computação em nuvem daqueles recursos utilizados pela administração interna.
Art. 20. Com relação à segurança física, o provedor de serviço de nuvem deverá dispor de:
I - infraestrutura física capaz de preservar equipamentos e suas informações, que deve possuir redes seguras e estruturas de redundância para acesso à informação de forma contínua e ininterrupta;
II - proteção do ambiente físico quanto a sinistros, inclusive eventos da natureza;
III - mecanismos de segurança ambiental contra invasões e danos físicos, que devem incluir sensores de monitoria ligados a um sistema que permita a monitoração remota;
IV - ontroles de acessos físico e lógico relativos à segurança da informação;
V - cabeamento estruturado de acordo com normas técnicas relacionadas;
VI - rotina de manutenção preventiva periódica para manter a operacionalidade contínua dos equipamentos e dos sistemas contidos no datacenter;
VII - sistema de fornecimento de energia elétrica do tipo Uninterruptible Power Supply (UPS);
VIII - ambiente de geração de energia elétrica standby;
IX - sistema de refrigeração adequado para evitar a sobrecarga térmica, desligamento e/ou danos dos equipamentos;
X - sistema de combate e prevenção contra incêndios, que deve ser composto por sistema de detecção de fumaça, extintores e gases inibidores;
XI - iluminação de emergência e interruptores elétricos de emergência, que permitam o desligamento em caso de necessidade;
XII - investimentos na renovação periódica dos ativos de TI ;
XIII - contratos de manutenção e garantia com seus fornecedores cobrindo o parque que provê os serviços de nuvem; e
XIV - licenciamento válido para os ativos em uso no sistema de nuvem provido.
DO INSTRUMENTO CONTRATUAL
Art. 21. Ao utilizar serviços de nuvem de provedores externos, deve-se exigir instrumento contratual para contemplar os direitos e deveres das partes e, no mínimo, os seguintes procedimentos de segurança:
I - termo de confidencialidade que impeça o provedor de serviços de computação em nuvem de usar, transferir e liberar dados, sistemas, processos e informações da contratante para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;
II - garantia da exclusividade de direitos, por parte da contratante, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;
III - proibição do uso de informações da contratante pelo provedor para propaganda, otimização de mecanismos de inteligência artificial, ou qualquer uso secundário não-autorizado;
IV - conformidade da política de segurança da informação do provedor com a legislação brasileira vigente;
V - devolução integral dos dados, informações e sistemas sob custódia do provedor à contratante ao término do contrato;
VI - nformação da necessidade da separação dos ambientes para recursos de desenvolvimento, teste e produção;
VII - eliminação, por parte do provedor, ao término do contrato, de qualquer dado, informação ou sistema da contratante sob sua custódia, observada a legislação, que trata da obrigatoriedade de retenção de dados; e
VIII - garantia do direito ao esquecimento para dados pessoais, conforme art. 16, da Lei nº 13.709, de 14 de agosto de 2018 - LGPD.
Art. 22. Os incidentes de segurança da informação serão tratados pela ETIR da UFRN, seguindo o plano definido no GPGIS/UFRN, podendo receber colaboração das equipes de TI das unidades organizacionais e do agente responsável pelo serviço.
Parágrafo único: Quando o incidente envolver dados pessoais, o Comitê de Privacidade da UFRN deverá ser informado para acompanhar o processo de tratamento, tomando as providências necessárias exigidas pela Lei Geral de Proteção de Dados - LGPD.
Art. 23. É vedado às unidades organizacionais consumidoras de serviços de nuvem:
I - usar ferramentas para mapeamento de redes, scan de vulnerabilidade da rede, geração de tráfego, ou qualquer outra ferramenta que possa comprometer o desempenho ou a segurança dos serviços de computação em nuvem; e
II - armazenar qualquer material ilegal, disponibilização de serviços ilegais, terceirização dos serviços oferecidos/contratados ou a mineração de criptomoedas com fins lucrativos.
Parágrafo único. As restrições descritas no inciso I deste artigo não se aplicam à ETIR da UFRN nem às unidades organizacionais da UFRN quando estiverem desempenhando suas atribuições.
Art. 24. Esta instrução normativa deverá ser divulgada para toda a comunidade universitária, incluindo agentes envolvidos direta ou indiretamente nas atividades institucionais que utilizem serviços de computação em nuvem fornecidos pela instituição ou por terceiros.
Art. 25. Esta instrução normativa deverá ser revisada a cada dois anos, ou a qualquer tempo, quando houver mudanças significativas nos requisitos de segurança da informação que influenciem o uso seguro de computação em nuvem.
Art. 26. Os casos omissos deverão ser tratados pelo Comitê Gestor de Segurança da Informação (CGSI) da UFRN.
Art. 27. Esta instrução normativa entra em vigor na data de sua publicação.
HÊNIO FERREIRA DE MIRANDA
Vice-Presidente do Comitê de Governança Estratégico