Portaria nº 9.675/STI, DE 3 de novembro de 2022.

Institui a Norma Complementar nº 8 de Gestão de Segurança da Informação e Comunicação na utilização de recursos e serviços de computação em nuvem da ANAC.

O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe confere o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e

 

Considerando as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação; e

 

Considerando as orientações para a Estrutura de Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 27 de maio de 2020, e em suas Normas Complementares; e

 

Considerando a Instrução Normativa nº 5 do Gabinete de Segurança Institucional da Presidência da República, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal; e

 

Considerando a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação; e

 

Considerando as Instruções Normativas nº 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, nº 120, de 22 de fevereiro de 2018, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e nº 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais; e

 

Considerando o que consta do processo nº 00058.016701/2022-19,

 

RESOLVE:

 

Art. 1º Instituir a Norma Complementar que disciplina a Gestão de Segurança da Informação e Comunicações - SIC na utilização de recursos e serviços de computação em nuvem da Agência Nacional de Aviação Civil - ANAC, nos termos do anexo.

 

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

 

JOSÉ ASSUMPÇÃO RODRIGUES DE ALMEIDA

 

ANEXO À PORTARIA Nº 9.675/STI, DE 3 DE NOVEMBRO DE 2022.

 

NORMA COMPLEMENTAR Nº 8

GESTÃO DE SIC NA UTILIZAÇÃO DE RECURSOS E SERVIÇOS DE COMPUTAÇÃO EM NUVEM DA ANAC

 

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

 

Art. 1º Para fins desta Norma, considera-se os conceitos constantes do “Glossário de Segurança da Informação”, aprovado e atualizado por portaria do Gabinete de Segurança Institucional da Presidência da República e os que seguem:

I. medida técnica: controle relacionado à segurança cibernética, obtido por processo que possibilite a conformidade legal e normativa e a confidencialidade, disponibilidade e integridade dos dados pessoais;

II. medida administrativa: controle organizacional, físico ou procedimental, obtido por processo que possibilite a conformidade legal e normativa e a confidencialidade, disponibilidade e integridade dos dados pessoais;

III. suíte de escritório: plataforma para trabalho colaborativo disponibilizada pela Superintendência de Tecnologia da Informação, STI, a todos os usuários de rede da ANAC com o objetivo de facilitar a gestão do trabalho e a interação entre os membros das equipes, independentemente de onde as pessoas estejam, inclusive fora das dependência da ANAC, a partir de computadores ou smartphones.

IV. single sign-on (SSO): é uma solução tecnológica que permite que diversos aplicativos com senhas de acesso diferentes possam ser acessados de forma transparente e segura pela utilização de uma única senha principal ou meio de identificação pessoal (como a biometria ou um personal identification number- PIN, por exemplo). Ou seja, com o SSO, o usuário digita apenas uma senha quando faz o primeiro acesso e depois vai abrindo os demais aplicativos sem necessidade de digitar a senha específica do aplicativo;

V. máquina virtual (virtual machine - VM): as máquinas virtuais são computadores de software, com a mesma funcionalidade que os computadores físicos. Assim como os computadores físicos, elas executam aplicativos e um sistema operacional. No entanto, as máquinas virtuais são arquivos de computador, executados em um computador físico, e se comportam como um computador físico. Geralmente, são criadas para tarefas específicas, cujas execuções são arriscadas em um ambiente host, como por exemplo, o acesso a dados infectados por vírus e a testes de sistemas operacionais. Como a máquina virtual é separada por sandbox do restante do sistema, o software dentro dela não pode adulterar o computador host. As máquinas virtuais também podem ser usadas para outras finalidades, como a virtualização de servidores

VI. hypervisor: também conhecido como monitor de máquina virtual, é um software, firmware ou hardware que cria e roda máquinas virtuais;

V. máquina virtual confiável (Trusted VM): instância de uma máquina virtual (VM), que apresenta as seguintes características: a) máquinas virtuais devem ser lançadas em servidores com integridade de inicialização comprovável; b) imagens de máquinas virtuais devem ser criptografadas em trânsito, em repouso e durante a execução. Isso é essencial para preservar a confidencialidade e o sigilo. As chaves estão sob o controle do cliente e só são disponibilizadas (política de gerenciamento de chaves) para o provedor de serviços, quando ele atesta que as imagens da máquina virtual estão sendo lançadas em servidores confiáveis; c) apenas imagens de máquinas virtuais qualificadas e atestadas podem ser lançadas e provisionadas, sendo o provedor de serviço responsável por atestar a integridade de lançamento na infraestrutura;

VI. firewalls: ferramenta para evitar acesso não autorizado, tanto na origem quanto no destino, a uma ou mais redes. Podem ser implementados por meio de hardware ou software, ou por meio de ambos. Cada mensagem que entra ou sai da rede passa pelo firewall, que a examina a fim de determinar se atende ou não os critérios de segurança especificados

VII. Service and Organization Controls 2 (SOC 2): desenvolvido pelo American Institute of CPAs (AICPA), define critérios para gerenciamento de dados dos usuários, baseados nos cinco princípios de confiança do serviço - disponibilidade, integridade, confidencialidade, segurança e privacidade - sendo considerado um requisito mínimo a ser atendido pelo provedor de serviço de nuvem. O relatório tipo I informa se o projeto dos sistemas do provedor de serviço de nuvem é adequado para atender os princípios de confiança relevantes. O relatório tipo II detalha a efetividade operacional dos sistemas do provedor de serviço de nuvem

VIII. cloud broker: indivíduo ou organização que oferece consultoria, medeia e facilita a seleção de soluções de computação em nuvem em nome de uma organização. Um cloud broker serve como um terceiro entre um provedor de serviço de nuvem (PSN) e uma organização que contrata serviços de computação em nuvem. Para as infraestruturas de multi-nuvem, o cloud broker proporciona uma visão mais centralizada de todos os fornecedores e soluções, o que auxilia no gerenciamento dos recursos disponíveis e também dos custos. Em geral, consideram-se quatro tipos de cloud broker: a) serviços de agregação, que garantem a interoperabilidade entre diversos provedores de serviço de nuvem, por meio da agregação de todos os serviços contratados em uma única interface; b) serviços de integração, que adicionam valor automatizando fluxos de trabalho em ambientes híbridos, por meio de uma única orquestração, para melhorar o desempenho e reduzir o risco de negócios; c) serviços de personalização (ou customização), que modificam os serviços de nuvem existentes, a fim de atender às necessidades dos negócios da contratante, podendo inclusive desenvolver recursos adicionais para executar corretamente os serviços desejados; d) serviços de arbitragem, fornecendo flexibilidade ao contratante por intermédio da oferta de vários serviços semelhantes para avaliação e seleção;

Art. 2º A computação em nuvem é composta:

I.  pelos seguintes modelos de implantação:

a) nuvem privada (ou interna): infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade e seu gerenciamento podem ser da própria organização, de terceiros ou de ambos;

b) nuvem comunitária: infraestrutura de nuvem dedicada para uso exclusivo de uma comunidade, ou de um grupo de usuários de órgãos ou de entidades não vinculados, que compartilham a mesma natureza de trabalho e obrigações, e sua propriedade e seu gerenciamento podem ser de organizações da comunidade, de terceiros ou de ambos;

c) nuvem pública (ou externa): infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de organizaç&otiotilde;es públicas, privadas ou de ambas; e

d) nuvem híbrida: infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.

II. pelos seguintes tipos de serviço:

a) Infraestrutura como Serviço (Infrastructure as a Service - IaaS): tipo de serviço de computação em nuvem onde o provedor de serviço de nuvem oferece ao cliente a capacidade de criar redes virtuais em seu ambiente de computação. Uma solução IaaS permite que o cliente selecione quais sistemas operacionais instalar em máquinas virtuais, bem como a estrutura da rede, incluindo o uso de switches virtuais, roteadores e firewalls. O IaaS também fornece total liberdade quanto ao software ou código personalizado executado nas máquinas virtuais. Uma solução IaaS é a mais flexível de todos os serviços de computação em nuvem; permite uma redução significativa do hardware pelo cliente em sua própria instalação local. Geralmente, é a forma mais cara de serviço de computação em nuvem;

b) Plataforma como Serviço (Plataform as a Service - PaaS): tipo de serviço de computação em nuvem, em que o provedor de serviço de nuvem oferece ao cliente a capacidade de operar códigos ou aplicativos personalizados. Um provedor PaaS determina quais sistemas operacionais ou ambientes de execução são oferecidos, não sendo permitido ao cliente modificar os sistemas operacionais (mesmo patches de segurança) ou alterar o espaço da rede virtual. A principal vantagem do PaaS é permitir ao cliente reduzir a implantação de hardware em sua própria instalação local e aproveitar um modelo de computação sob demanda (no qual o cliente pagará apenas pelos recursos utilizados);

c) Software como Serviço (Software as a Service - SaaS): tipo de serviço de computação em nuvem em que o provedor de serviço de nuvem oferece ao cliente a capacidade de usar um aplicativo fornecido. São exemplos de SaaS serviços de e-mail on-line e sistemas de edição de documentos on-line. Um usuário de uma solução SaaS só é capaz de usar o aplicativo oferecido e de fazer pequenos ajustes de configuração. O provedor SaaS é responsável pela manutenção da aplicação;

Art. 3º Fica autorizada a utilização e migração de soluções de TI para ambiente de computação em nuvem, desde que sejam atendidos os requisitos de segurança previstos nesta norma.

§ 1º A contratação de soluções de computação em nuvem deve ser realizada a fim de garantir benefícios à Agência, o que deve ser demonstrado em Estudo Técnico Preliminar.

§ 2º Fica vedada a utilização de serviços em ambiente de computação em nuvem sem a celebração de contrato ou acordo de cooperação, ressalvados os serviços gratuitos amparados por contrato de adesão e desde que a informação seja sem restrição de acesso.

 

CAPÍTULO II

DOS OBJETIVOS E METAS

 

Art. 4º Constituem objetivos a serem alcançados com o uso da computação em nuvem na ANAC:

I. Otimizar a produtividade da equipe de TI com a aceleração do desenvolvimento e implantação de aplicações, bem como a automatização do gerenciamento desses recursos;

II. Otimizar a produtividade e/ou experiência do usuário final da Agência;

III. Reduzir o potencial de falha no ambiente e risco de downtime, e com isso aumentar a disponibilidade dos serviços de TI;

IV. Aprimorar a capacidade de resposta na entrega de serviços nos momentos de mudanças de requisitos ou em períodos de picos;

V. Reduzir o tempo de implementação na capacidade de processamento e armazenamento dos dados;

VI. Reduzir o ônus administrativo de novas contratações para atualização da infraestrutura tecnológica da Agência;

VII. Acelerar a implementação de iniciativas de Big Data, Dados Abertos, Machine Learning e outras tecnologias inovadoras na Agência. 

 

Art. 5º Deverão ser estipuladas no Estudo Técnico Preliminar do Planejamento de Contratação que resultem em serviço em nuvem metas atreladas aos objetivos estabelecidos no art. 4º.

 

CAPÍTULO III

DAS RESPONSABILIDADES

 

Art. 6º Ao Gestor de Segurança da Informação da ANAC compete:

I. instituir e coordenar a equipe responsável pelas elaboração e revisões do ato normativo sobre uso seguro de computação em nuvem;

II. supervisionar a aplicação do ato normativo sobre uso seguro de computação em nuvem;

III. assegurar a contínua efetividade da comunicação com o provedor de serviço de nuvem, que fornece tais serviços a ANAC, de forma a assegurar que os controles e os níveis de serviço acordados sejam cumpridos;

IV. supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios;

V. comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem à ETIR, conforme a relevância dos incidentes previamente estabelecida; e

VI. encaminhar para aprovação do CSIP as minutas de revisões do ato normativo sobre o uso seguro de computação em nuvem.

Art. 7º Ao Comitê de Segurança da Informação e Proteção de Dados Pessoais – CSIP compete:

I. estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem;

II. definir os requisitos criptográficos mínimos para o armazenamento de dados e informações, custodiados pela ANAC, em soluções de computação em nuvem; e

III. analisar e aprovar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem e divulgá-las às partes interessadas.

IV. apoiar o Gestor de Segurança da Informação nas competências previstas nos incisos II, III, IV e V do Art. 6°.

Art. 8º A Equipe de Planejamento da Contratação que estiver avaliando a possibilidade de contratação de solução de computação em nuvem compete:

I. durante a elaboração do Estudo Técnico Preliminar verificar se a solução pretendida está em conformidade com a presente norma;

II. atualizar o Mapa de Gerenciamento de Riscos; e

III. se após a conclusão do Estudo Técnico Preliminar a solução pretendida for baseada em computação em nuvem a Equipe de Planejamento da Contratação deverá:

a) prever a capacitação da equipe responsável pelo gerenciamento da solução nas tecnologias utilizadas pelo provedor de serviço de nuvem; e

b) enviar o processo de planejamento da contratação para conhecimento do Comitê de Segurança da Informação e Proteção de Dados Pessoais – CSIP  através de despacho contendo relatório de conformidade dos requisitos da presente norma.

Art. 9º A Equipe de Fiscalização do Contrato de solução de computação em nuvem compete:

I. aplicar, pelo menos, uma vez a cada vigência do contrato checklist de verificação de cumprimento dos requisitos da presente norma junto à contratada;

II. atualizar o Mapa de Gerenciamento de Riscos do contrato; e

III. comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem ao Comitê de Segurança da Informação.

Art. 10 Aos usuários compete zelar pelo tratamento das informações em nuvem conforme as determinações desta norma.

 

CAPÍTULO IV

DOS REQUISITOS PARA A ADOÇÃO SEGURA DE COMPUTAÇÃO EM NUVEM

 

Art. 11 Deverão ser observados os requisitos mínimos deste Capítulo para que a ANAC adote soluções de computação em nuvem de forma segura, com o objetivo de elevar o nível de proteção das informações no uso dessa tecnologia.

 

Seção I

Da Transferência de Serviços para um Provedor de Serviço de Nuvem

 

Art. 12 Antes de transferir serviços ou informações para um provedor de serviço de nuvem, a ANAC (equipe responsável) deverá, no mínimo:

I. garantir que estejam alinhadas à Política de Segurança da Informação, Política de Proteção de Dados Pessoais da ANAC, legislação brasileira e aos direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros as seguintes operações:

a) de coleta, armazenamento, guarda e tratamento de registros de dados pessoais; e

b) de comunicações realizada por provedores de conexão e de aplicações de internet, em que pelo menos um desses atos ocorra em território nacional;

II. realizar o gerenciamento de riscos, em conformidade com a Política de Gestão de Riscos Corporativos da ANAC, precedido por análise e relatório de impacto de dados pessoais, em conformidade com a Política de Proteção de Dados Pessoais da ANAC e a legislação pertinente, dos seguintes itens:

a) o tipo de informação a ser migrada;

b) o fluxo de tratamento dos dados que podem ser afetados com a adoção da solução;

c) o valor dos ativos envolvidos; e

d) os benefícios da adoção de uma solução de computação em nuvem, em relação aos riscos de segurança e privacidade referentes à disponibilização de informações e serviços a um terceiro;

III. definir o modelo de serviço e de implantação de computação em nuvem que será adotado;"

IV. avaliar quais informações serão hospedadas na nuvem, considerando:

a) o processo de classificação da informação de acordo com a legislação;

b) o valor do ativo de informação;

c) os controles de acessos físico e lógico relativos à segurança da informação; e

d) o modelo de serviço e de implantação de computação em nuvem;

VI. definir as medidas de mitigação de riscos e de custos para a implementação de solução de computação em nuvem e para possibilidade de crescimento dessa solução; e

VII. planejar custos de migração das informações e dos serviços, nos casos de ingresso e de saída do serviço de computação em nuvem.

 

Seção II

Da Capacidade do Provedor de Serviço de Nuvem para Implementar Atualizações

 

Art. 13 Em função da capacidade de o provedor de serviço de nuvem implementar atualizações relacionadas à segurança da informação em seus produtos e serviços, a ANAC (equipe responsável) deverá, no mínimo:

I. definir os critérios e a periodicidade das atualizações dos procedimentos e dos recursos computacionais a serem observados pelo provedor de serviço de nuvem; e

II. revisar e atualizar periodicamente o mapa de gerenciamento de riscos de segurança da informação.

 

Seção III

Do Gerenciamento de Identidades e de Registros (logs)

 

Art. 14 Em relação ao gerenciamento de identidades e de registros, a ANAC deverá, no mínimo:

I. adotar um padrão de identidade para permitir o uso de tecnologia single sign-on no processo de autenticação de seus usuários no provedor de serviço de nuvem;

II. negar ao provedor de serviço de nuvem permissão de uso e acesso direto ao ambiente de autenticação do órgão ou da entidade;

III. adotar, sempre que possível e de acordo com o nível de criticidade da informação, o uso da tecnologia single sign-on, o qual deve ser acompanhado:

a) de autenticação multifator; ou

b) de outra alternativa que aumente o grau de segurança no processo de autenticação de seus usuários no provedor de serviço de nuvem.

IV. exigir do provedor de serviço de nuvem que:

a) registre todos os acessos, incidentes e eventos cibernéticos, incluídas informações sobre sessões e transações; e

b) armazene, pelo período de um ano e permita o download de todos os registros de que trata a alínea a;

V. armazenar os registros de todos os acessos, incidentes e eventos cibernéticos, incluindo informação sobre sessões e transações, por cinco anos, no ambiente do provedor de serviço de nuvem ou em ambiente próprio controlado, a critério da ANAC;

VI. capacitar a equipe de segurança para acessar e utilizar os registros gerados pelo provedor de serviço de nuvem.

 

Seção IV

Do Uso de Recursos Criptográficos

 

Art. 15 Em relação à necessidade do uso de recursos criptográficos, a ANAC (equipe responsável) deverá , no mínimo:

I. verificar se os dados da organização estão sendo tratados e armazenados de acordo com a legislação;

II. analisar a necessidade de criptografar dados com base nos requisitos legais, nos riscos, no nível de criticidade, nos custos e nos benefícios;

III. utilizar, sempre que possível, chaves de encriptação baseadas em hardware.

 

Seção V

Da Segregação de Dados e da Separação Lógica

 

Art. 16 Em relação à segregação de dados e à separação lógica em ambientes de computação em nuvem, a ANAC, em conjunto com o provedor de serviço de nuvem, deverá estabelecer, no mínimo, as seguintes ações:

I. garantir que o ambiente contratado seja protegido de usuários externos do serviço em nuvem e de pessoas não autorizadas e implementar controles de segurança da informação de forma a propiciar o isolamento adequado dos recursos utilizados pelos diferentes clientes ou usuários do serviço em nuvem;

II. garantir que seja aplicada segregação lógica apropriada dos dados das aplicações virtualizadas, dos sistemas operacionais, do armazenamento e da rede a fim de estabelecer a separação de recursos utilizados;

III. garantir a separação de todos os recursos utilizados pelo provedor de serviço de nuvem daqueles recursos utilizados pela administração interna da ANAC; e

IV. avaliar os riscos associados à execução de softwares proprietários a serem instalados no serviço de nuvem.

 

Seção VI

Do Gerenciamento da Nuvem

 

Art. 17 Em relação ao gerenciamento da nuvem, a ANAC deverá, no mínimo:

 I. capacitar a equipe responsável por esse gerenciamento nas tecnologias utilizadas pelo provedor de serviço de nuvem;

II. exigir que o provedor de serviço de nuvem documente e comunique seus recursos, papéis e responsabilidades de segurança da informação para o uso de seus serviços em nuvem;

III. elaborar uma matriz de responsabilidades que inclua obrigações e responsabilidades próprias; e

IV. elaborar um processo de tratamento de incidentes junto ao provedor de serviço de nuvem e comunicá-lo à equipe responsável pelo gerenciamento da nuvem.

 

Seção VII

Do Tratamento da Informação

 

Art. 18 Em relação ao tratamento da informação em ambiente de computação em nuvem, a ANAC, além de cumprir as orientações contidas na Política de Proteção de Dados Pessoais da ANAC, no normativo que trata do grau de sigilo das informações da ANAC  e na legislação sobre proteção de dados pessoais, deve observar as seguintes diretrizes:

I. informação sem restrição de acesso poderá ser tratada em ambiente de nuvem, considerada a legislação e os riscos de segurança da informação;

II. informação classificada em grau de sigilo e documento preparatório que possa originar informação classificada não poderão ser tratados em ambiente de computação em nuvem; e

III. poderão ser tratados em ambiente de computação em nuvem, observados os riscos de segurança da informação e a legislação vigente:

a) a informação com restrição de acesso prevista na legislação;

b) a informação pessoal relativa à intimidade, vida privada, honra e imagem; e

c) o documento preparatório não previsto no inciso II do caput.

Art. 19 Os dados, metadados, informações e conhecimentos produzidos ou custodiados pela ANAC, transferidos para o provedor de serviço de nuvem, devem estar hospedados em territórios brasileiros, observando-se as seguintes disposições:

I. pelo menos uma cópia atualizada de segurança deve ser mantida em território brasileiro;

II. a informação sem restrição de acesso poderá possuir cópias atualizadas de segurança nos territórios aprovados pelo Comitê de Segurança da Informação e Proteção de Dados - CSIP, conforme legislação aplicável;

III. a informação com restrição de acesso prevista na legislação e o documento preparatório não previsto no inciso II do caput art. 18, bem como suas cópias atualizadas de segurança, não poderão ser tratados fora do território brasileiro, conforme legislação aplicável;

IV. no caso de dados pessoais, deverão ser observadas as orientações previstas na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, na Política de Proteção de Dados Pessoais da ANAC e demais legislações sobre o assunto.

Parágrafo único. Poderá ser avaliado pela ANAC a manutenção de pelo menos uma cópia de segurança dos dados, metadados, informações e conhecimentos produzidos ou custodiados pela ANAC em infraestrutura própria da ANAC ou serviço de nuvem diverso do serviço principal.

 

Seção VIII

Das Cláusulas Contratuais Específicas

 

Art. 20 O instrumento contratual a ser firmado com um provedor de serviço de nuvem para a prestação do serviço de computação em nuvem deve conter dispositivos que tratem dos requisitos estabelecidos nos art. 11 a art. 19 além de, no mínimo, os seguintes procedimentos de segurança:

I. termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações da ANAC para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;

II. garantia da exclusividade de direitos, por parte da ANAC, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;

III. proibição do uso de informações da ANAC pelo provedor de serviço de nuvem para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não-autorizado;

IV. conformidade da política de segurança da informação do provedor de serviço de nuvem com a legislação brasileira;

V. devolução integral dos dados, informações e sistemas sob custódia do provedor de serviço de nuvem à ANAC ao término do contrato;

VI. eliminação, por parte do provedor de serviço de nuvem, ao término do contrato, de qualquer dado, informação ou sistema da ANAC sob sua custódia, observada a legislação que trata da obrigatoriedade de retenção de dados; e

VII. garantia do direito à eliminação dos dados, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 - LGPD.

 

CAPÍTULO V

DOS REQUISITOS DO PROVEDOR DE SERVIÇO DE NUVEM

 

Art. 21 Para que esteja habilitado a prestar serviços de computação em nuvem para a ANAC, o provedor de serviço de nuvem deverá cumprir, no mínimo, os seguintes requisitos:

I. possuir metodologia de gestão de riscos, elaborada em conformidade com as melhores práticas e com a legislação, bem como realizar o gerenciamento de riscos descrito no inciso II do art. 12;

II. implementar práticas de fortalecimento dos mecanismos de virtualização, que devem incluir, no mínimo, os seguintes procedimentos:

a) desabilitar ou remover todas as interfaces, portas, dispositivos ou serviços desnecessários executados pelo sistema operacional;

b) configurar com segurança todas as interfaces de rede e áreas de armazenamento virtuais;

c) estabelecer limites para a utilização dos recursos de máquina virtual (Virtual Machine - VM);

d) manter todos os sistemas operacionais e as aplicações em execução na máquina virtual em suas versões mais atuais;

e) validar a integridade das operações de gerenciamento de chaves criptográficas;

f) possuir controles que permitam aos usuários autorizados da ANAC acessarem os registros de acesso administrativo do monitor de máquina virtual - Hypervisor;

g) habilitar o registro completo do Hypervisor; e

h) suportar o uso de máquinas virtuais confiáveis (Trusted VM) fornecidas pela ANAC, que estejam em conformidade com as políticas e práticas de fortalecimento de redes exigidas ao provedor de serviço de nuvem.

III. em relação ao gerenciamento de identidades e registros:

a) possuir procedimentos de controle de acesso que abordem a transição entre as funções, os limites e controles dos privilégios dos usuários e os controles de utilização das contas de usuários;

b) impor mecanismo de autenticação que exija tamanho mínimo, complexidade, duração e histórico de senhas de acesso;

c) suportar tecnologia single sign-on para autenticação;

d) suportar, sempre que aplicável, mecanismos de autenticação multifator ou outra alternativa que aumente o grau de segurança no processo de autenticação de usuários da ANAC e no provedor de serviço de nuvem, de acordo com nível de criticidade da informação;

e) permitir à ANAC gerenciar as próprias identidades, inclusive criação, atualização, exclusão e suspensão no ambiente fornecido pelo provedor de serviço de nuvem; e

f) atender aos requisitos legais, às melhores práticas de segurança e a outros critérios exigidos pela ANAC em seus processos de autenticação, controle de acesso, contabilidade e de registro (formato, retenção e acesso).

IV. em relação à segurança de aplicações web disponibilizadas no ambiente de nuvem:

a) utilizar firewalls especializados na proteção de sistemas e aplicações;

b) desenvolver código web em conformidade com as melhores práticas de desenvolvimento seguro e com os normativos existentes;

c) utilizar melhores práticas de segurança de sistemas operacionais e de aplicações;

d) realizar periodicamente testes de penetração de redes e de aplicações; e

e) possuir um programa de correção de vulnerabilidades.

V. possuir processos de gestão de continuidade de negócios e de gestão de mudanças, em conformidade com os normativos existentes e com as melhores práticas nessas áreas;

VI. possuir um plano de recuperação de desastres que estabeleça procedimentos de recuperação e de restauração de plataforma, infraestrutura, aplicações e dados após incidentes de perda de dados;

VII. estabelecer um canal de comunicação seguro utilizando, no mínimo, Secure Sockets Layer/Transport Layer Security (SSL/TLS);

VIII. utilizar um padrão de encriptação seguro, conforme padrão internacional reconhecidamente aceito, que possa ser implementado com chaves de encriptação geradas e armazenadas pelas equipes da ANAC;

IX. disponibilizar facilidades que possibilitem a aplicação de uma proteção criptográfica própria da ANAC;

X. em relação à segregação de dados:

a) isolar, utilizando separação lógica, todos os dados e serviços da ANAC de outros clientes de serviço em nuvem;

b) segregar o tráfego de gerenciamento do tráfego de dados da ANAC; e

c) implementar dispositivos de segurança entre zonas.

XI. possuir procedimentos em relação ao descarte de ativos de informação e de dados, que assegurem:

a) sanitizar ou destruir, de modo seguro, os dados existentes nos dispositivos descartados por meio da utilização de métodos que estejam em conformidade com os padrões estabelecidos para a conduta e as melhores práticas;

b) destruir, de modo seguro, ativo de informação no fim do ciclo de vida ou considerado inservível, com o fornecimento de um Certificado de Destruição de Equipamento Eletrônico (Certificate of Electronic Equipment Destruction - CEED) e discriminar os ativos que foram reciclados, bem como o peso e os tipos de materiais obtidos em virtude do processo de destruição; e

c) armazenar, de modo seguro, ativos de informação a serem descartados, em ambiente com acesso físico controlado, com registro de toda movimentação de entrada e de saída de dispositivos.

XII. notificar, imediatamente, à ANAC incidente cibernético contra os serviços ou dados sob sua custódia;

XIII. possuir procedimentos necessários para preservação de evidências, conforme legislação; e

XIV. demonstrar estar em conformidade com os padrões de segurança de nuvem, por meio de auditoria anual Service and Organization Controls 2 (SOC 2), conduzida por um auditor independente, com a apresentação dos relatórios de tipo I e tipo II.

 

CAPÍTULO VI

DA UTILIZAÇÃO DE CLOUD BROKERS

 

Art. 22 O cloud broker deverá atuar como integrador dos serviços de computação em nuvem entre a ANAC e dois ou mais provedores de serviço de nuvem.

Art. 23 Caso a ANAC contrate por meio do cloud broker plataforma de gestão multinuvem para realizar procedimentos de provisionamento e orquestração do ambiente, é necessário que a ferramenta possua, no mínimo:

I. em relação às funcionalidades de provisionamento e orquestração de multinuvem:

a) um único portal integrado de provisionamentos para o usuário final;

b) utilização de modelos de provisionamento;

c) automação segura de provisionamento simultâneo e utilização, no que couber, ferramentas de código aberto e interoperáveis;

d) fluxos de trabalho de orquestração baseada em eventos; e

e) soluções seguras integradas de criação de infraestrutura por código - IaaC.

II. em relação às funcionalidades de monitoramento e análise em multinuvem:

a) relatórios de monitoramento de desempenho de recursos na nuvem;

b) coleta e monitoramento de registros; e

c) procedimentos de monitoramento de alertas.

III. em relação às funcionalidades de inventário e classificação em multinuvem:

a) inventário de recursos na nuvem;

b) procedimentos de segurança para configuração de recursos na plataforma de gestão multinuvem; e

c) detecção de recursos sem etiqueta.

IV. em relação às funcionalidades de gerenciamento de segurança, conformidade e identidade:

a) mecanismos de single sign-on e de autenticação multifator das plataformas em nuvem;

b) gerenciamento seguro de usuários e de grupos de usuários;

c) gerenciamento de segurança dos recursos;

d) notificações de eventos de alerta multicanal;

e) gerenciamento de identidade e acesso - IAM; e

f) registros de atividade da plataforma em nuvem.

Parágrafo único. O cloud broker poderá utilizar ferramenta de Software as a Service (SaaS) comum de mercado, desde que não haja risco de dependência tecnológica para disponibilizar essa plataforma.

Art. 24 O cloud broker é o responsável por garantir que os provedores de serviço de nuvem que ele representa:

I. cumpram todos os requisitos previstos nesta Norma e na legislação brasileira; e

II. operem de acordo com as melhores práticas de segurança.

Parágrafo único. A ANAC deverá prever no instrumento contratual que o cloud broker poderá ser responsabilizado, civil e administrativamente, por qualquer desconformidade nos provedores que ele representa.

 

CAPÍTULO VII

DISPOSIÇÕES COMPLEMENTARES

 

Art. 25 Para garantir a segurança de que trata esta norma, a ANAC poderá adotar outras diretrizes complementares, desde que não confrontem as previsões da legislação.

Art. 26 A apresentação dos relatórios de tipo I e tipo II da auditoria SOC 2, comprovada a conformidade com os padrões de segurança em nuvem, é condição essencial, tanto para habilitar a participação em processo licitatório, como para renovar o contrato de prestação de serviço em nuvem com a ANAC.

Parágrafo único. Na hipótese de utilização de cloud broker, esse será o responsável por apresentar os relatórios de tipo I e tipo II da auditoria SOC 2 de todos os provedores de serviço de nuvem que ele representa.

Art. 27 Os contratos da ANAC que já estiverem utilizando os serviços de provedor de serviço de nuvem terão um prazo de 12 meses, após a entrada em vigor desta norma, para adequação de seus dispositivos.

Art. 28 A ferramenta de Suíte de Escritório da ANAC poderá utilizar solução de computação em nuvem e quando adotá-la deverá seguir os seguintes requisitos:

I. informações compartilhadas ou armazenadas na solução de Suíte de Escritório pelos usuários da rede devem considerar o disposto nos art. 18 e 19.

II. informações que se enquadram no inciso II do art. 18 não poderão ser compartilhadas ou armazenadas na solução de Suíte de Escritório.

III. informações que se enquadram no inciso III do art. 18 somente devem ser compartilhadas utilizando a funcionalidade que permita a especificação do(s) usuário(s) com as quais o compartilhamento será realizado.

Art. 29 A ferramenta de e-mail corporativo da ANAC poderá utilizar solução de computação em nuvem e quando adotá-la deverá seguir os seguintes requisitos:

I. informações compartilhadas ou armazenadas na solução de e-mail pelos usuários da rede devem considerar o disposto nos art. 18 e 19.

II. informações que se enquadram no inciso II do art. 18 não poderão ser compartilhadas ou armazenadas na solução de e-mail corporativo.

III. informações que se enquadram no inciso III do art. 18:

a. não devem ser expostas no corpo do e-mail; e

b. se anexadas, devem ser criptografadas.

 Art. 30 A disponibilização dos serviços em nuvem aos usuários da ANAC deverá ser sempre precedida da ciência do Termo de Uso dos Serviços em Nuvem.

Parágrafo único. O Termo de Uso dos Serviços em Nuvem conterá, no mínimo, as definições e orientações sobre o tratamento das informações contidas na Seção VII do Capítulo IV desta norma, precauções no uso dos serviços em nuvem, vigência, penalidades e aceitação do Termo.

 

CAPÍTULO VIII

DISPOSIÇÕES FINAIS E TRANSITÓRIAS

 

Art. 31 Esta norma deverá ser revisada, no máximo, a cada 02 anos.

Parágrafo único. A revisão do ato normativo previsto no caput poderá ocorrer a qualquer tempo, quando houver mudanças significativas nos requisitos de segurança da informação que influenciem o uso seguro de computação em nuvem, de forma a assegurar sua continuidade, sustentabilidade, adequação e efetividade.

Art. 32 As violações à segurança da informação estão sujeitas às sanções previstas em lei. A ausência de providências ou a não observância das determinações legais pode acarretar repercussões negativas à ANAC e em sanções administrativas, civis e penais, isolada ou cumulativamente, aos responsáveis, nos termos da legislação aplicável, assegurado aos envolvidos o contraditório e a ampla defesa.

Art. 33 Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP da ANAC apoiado pelo Comitê de Tecnologia da Informação quando for necessário.  

 

_______________________________________________________________________________________

Publicado em 10 de novembro de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 45, de 7 a 11 de novembro de 2022.