PORTARIA NORMATIVA AGU Nº 183, DE 24.07.2025

Buscar:

PORTARIA NORMATIVA AGU Nº 183, DE 24.07.2025

Voltar

CONTEÚDO

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

CAPÍTULO II - DOS REQUISITOS PARA CONTRATAÇÃO E USO DE SOFTWARE E DE SERVIÇOSDE COMPUTAÇÃO EM NUVEM

CAPÍTULO III - DA GOVERNANÇA DO USO DE SOFTWARE E SERVIÇOS DE COMPUTAÇÃO EM NUVEM

CAPÍTULO IV - DISPOSIÇÕES FINAIS

PORTARIA NORMATIVA AGU Nº 183, DE 24.07.2025

Institui a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União e altera a Portaria Normativa AGU nº 166, de 12 de março de 2025, que institui a Política de Segurança da Informação da Advocacia-Geral da União.

O ADVOGADO-GERAL DA UNIÃO SUBSTITUTO, no uso das atribuições que lhe confere o art. 4º, caput, incisos I, XIII e XVIII, da Lei Complementar nº 73, de 10 de fevereiro de 1993, tendo em vista o disposto na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, e o que consta no Processo Administrativo nº 00400.000354/2025-16, resolve:

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União, com a finalidade de estabelecer regras e procedimentos para orientar o seu uso, conforme disposto no item 5 do Anexo I da Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

§ 1º Para fins do disposto no art. 4º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, esta Portaria Normativa contém também normas sobre o uso seguro de computação em nuvem.

§ 2º O disposto nesta Portaria Normativa se aplica aos:

I - órgãos previstos no art. 2º do Anexo I ao Decreto nº 12.540, de 30 de junho de 2025; e

II - usuários dos softwares e serviços de computação em nuvem da Advocacia-Geral da União.

Art. 2º A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União se aplica a todo software e serviço de computação em nuvem, tais como:

I - software sob o modelo de:

a) licenciamento permanente de direitos de uso;

b) cessão temporária de direitos de uso;

c) subscrição ou como serviço - SaaS;

II - infraestrutura como serviço - IaaS;

III - plataforma como serviço - PaaS;

IV - suporte técnico para software e serviços de computação em nuvem;

V - serviço de operação e gerenciamento de recursos em nuvem;

VI - serviço de migração de recursos para ambiente de nuvem;

VII - integração de serviços de computação em nuvem; e

VIII - consultoria especializada em software ou serviços de computação em nuvem.

Art. 3º São objetivos da Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União:

I - orientar a seleção e a contratação de softwares e serviços de computação em nuvem alinhados aos objetivos estratégicos institucionais, priorizando soluções que otimizem recursos operacionais e agreguem valor aos processos de trabalho;

II - garantir a segurança das informações armazenadas e minimizar os riscos associados à adoção de novas tecnologias ou modalidades de contratação;

III - ampliar a capacidade de armazenamento, escalabilidade e processamento de dados, promovendo a integração entre sistemas e evitando a dependência excessiva de um único fornecedor;

IV - implementar soluções de tecnologia da informação que aumentem a produtividade e a eficiência dos serviços prestados, otimizando custos de infraestrutura e alocação de recursos; e

V - definir o modelo de governança para o uso de software e serviços de computação em nuvem.

Art. 4º O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União será norteado pelos seguintes princípios e diretrizes:

I - confidencialidade, integridade e disponibilidade das informações armazenadas e processadas em nuvem;

II - priorização de soluções que promovam economia de custos, escalabilidade e melhor alocação de recursos;

III - adoção de padrões abertos e arquiteturas flexíveis para a integração entre diferentes sistemas;

IV - redução da dependência de fornecedores únicos e garantia de migração de serviços;

V - seleção de soluções de nuvem que minimizem o impacto ambiental;

VI - capacitação contínua em gestão, operação e segurança de ambientes em nuvem; e

VII - integração aos planos estratégicos e de segurança da informação da Advocacia-Geral da União.

Art. 5º Para os efeitos desta Portaria Normativa, aplicam-se os termos:

I - do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021; e

II - do Modelo de Contratação de Software e de Serviços de Computação em Nuvem, aprovado pela Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

CAPÍTULO II
DOS REQUISITOS PARA CONTRATAÇÃO E USO DE SOFTWARE E DE SERVIÇOSDE COMPUTAÇÃO EM NUVEM

Seção I
Da identificação das necessidades de negócio

Art. 6º O Departamento de Tecnologia da Informação, com o apoio das áreas requisitantes da solução, deve identificar as necessidades de negócio previamente à contratação de software e de serviços de computação em nuvem.

Parágrafo único. A identificação das necessidades do negócio deve considerar os objetivos estratégicos da Advocacia-Geral da União e a otimização dos recursos disponíveis.

Art. 7º O processo de identificação das necessidades de negócio deve considerar os seguintes parâmetros de análise:

I - tomada de decisões baseada em dados;

II - capacidade de inovação;

III - segurança da informação;

IV - aprimoramento da experiência dos usuários internos e externos;

V - flexibilidade e adequação à demanda; e

VI - disponibilidade de serviços sob demanda.

Art. 8º No processo de identificação das necessidades de negócio, o Departamento de Tecnologia da Informação deve:

I - consultar as áreas requisitantes da solução para mapear requisitos específicos, requisitos regulatórios, apoio aos desafios operacionais e oportunidades de melhoria;

II - avaliar as condições mínimas de infraestrutura de tecnologia da informação e comunicação, como conectividade, largura de banda e requisitos de segurança;

III - analisar custos e benefícios da adoção de serviços em nuvem, considerando escalabilidade, flexibilidade e impacto financeiro;

IV - assegurar o cumprimento das normas de segurança da informação aplicáveis ao armazenamento e processamento de dados em nuvem;

V - identificar as necessidades de capacitação das equipes envolvidas, considerando os perfis de gestores, operadores e usuários finais;

VI - mapear os requisitos de portabilidade e interoperabilidade entre sistemas, dados e serviços, de modo a evitar dependência de fornecedores específicos;

VII - verificar a viabilidade e os requisitos da contratação, garantindo alinhamento com as melhores práticas do setor; e

VIII - indicar sistemas, aplicações, dados e serviços que podem ser migrados para a nuvem e como eles serão acessados.

Art. 9º A identificação das necessidades de negócio deve ser realizada no âmbito da elaboração dos artefatos de planejamento da contratação e deve conter os seguintes elementos:

I - descrição do problema ou oportunidade;

II - metodologia de levantamento das informações com as áreas requisitantes da solução;

III - resultados esperados;

IV - diagnóstico da situação atual;

V - requisitos da solução desejada;

VI - avaliação de viabilidade e benefícios;

VII - estratégia de saída;

VIII - capacitação da equipe;

IX - portabilidade e interoperabilidade;

X - resultados da prova de conceito;

XI - análise de riscos da migração, conforme determinado no art. 20;

XII - classificação de criticidade e confidencialidade dos dados;

XIII - classificação do software ou serviço de computação em nuvem como de alta materialidade ou alta relevância, conforme definição prevista nos itens 5.6.2.1 e 5.6.2.2 do Anexo I da Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

XIV - recomendação técnica; e

XV - documentos anexos, como:

a) estimativas de custo;

b) especificações técnicas; e

c) outros documentos relevantes para a instrução do processo.

Parágrafo único. Na classificação prevista no inciso XIII do caput, devem ser considerados como de alta relevância os softwares e serviços de computação em nuvem classificados pelo Departamento de Tecnologia da Informação como muito críticos, considerando as seguintes metodologias:

I - análise de impacto no negócio, realizada no processo de gestão de continuidade de negócios em segurança da informação da Advocacia-Geral da União, conforme disposto na Seção IX do Capítulo II da Portaria Normativa AGU nº 166, de 12 de março de 2025; e

II - boas práticas de avaliação de criticidade, por meio do alinhamento entre processos de tecnologia da informação e estratégias institucionais.

Seção II
Da seleção dos modelos adequados

Art. 10. O Departamento de Tecnologia da Informação deve selecionar o modelo de implantação e o tipo de software e serviço de computação em nuvem mais adequado, considerando:

I - as características de cada carga de trabalho;

II - os requisitos de segurança da informação;

III - o nível de sigilo e a sensibilidade das informações; e

IV - os parâmetros legais e regulatórios vigentes.

Parágrafo único. A seleção do modelo de implantação, do tipo de software e do serviço de computação em nuvem deve ser feita com o apoio das áreas requisitantes da solução, considerando os resultados da identificação das necessidades de negócio, de que trata a Seção I.

Art. 11. As cargas de trabalho que tratem informações com restrição de acesso devem usar ambientes de nuvem de governo, salvo autorização do Comitê de Governança Digital da Advocacia-Geral da União.

Art. 12. É vedado o tratamento em ambiente de nuvem pública de:

I - informações classificadas em grau de sigilo nos termos do Decreto nº 7.724, de 16 de maio de 2012; e

II - documentos preparatórios que possam originar tais informações.

Art. 13. As cargas de trabalho que tratem informações sem restrição de acesso podem ser alocadas em ambientes de nuvem pública, desde que seja garantido:

I - o cumprimento das regras de proteção de dados pessoais; e

II - o cumprimento dos requisitos de segurança da informação definidos na Portaria Normativa AGU nº 166, de 12 de março de 2025.

Art. 14. Os dados tratados em software e serviços de computação em nuvem devem, preferencialmente, ser armazenados em território nacional.

§ 1º O armazenamento de dados fora do território nacional somente poderá ocorrer quando forem observadas as seguintes condições:

I - seja mantida pelo menos uma cópia de segurança atualizada dos dados em território nacional;

II - não sejam armazenadas informações com restrição de acesso prevista em lei, seus documentos preparatórios e suas cópias de segurança;

III - o armazenamento ocorra exclusivamente em países autorizados pelo Comitê de Segurança da Informação da Advocacia-Geral da União, conforme disposto no inciso I do art. 8º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021; e

IV - havendo tratamento de dados pessoais, seja assegurado o cumprimento das disposições da Lei nº 13.709, de 14 de agosto de 2018.

§ 2º O Termo de Referência das contratações de software e serviços de computação em nuvem deve estabelecer a obrigação do fornecedor de indicar a região dos dados armazenados, em conformidade com as regras estabelecidas nesta Portaria Normativa.

Seção III
Da avaliação de fornecedores

Art. 15. O Departamento de Tecnologia da Informação, na fase de planejamento da contratação de softwares e serviços de computação em nuvem, deve realizar o levantamento e a avaliação dos possíveis fornecedores, com base nos seguintes critérios:

I - segurança da informação;

II - conformidade legal e regulatória;

III - disponibilidade dos serviços e continuidade operacional;

IV - qualidade e abrangência do suporte técnico;

V - custo e complexidade de migração;

VI - custo de capacitação de usuários e equipes técnicas;

VII - impactos ambientais e mitigação de externalidades negativas; e

VIII - certificações e práticas de sustentabilidade.

Seção IV
Dos requisitos de segurança e do uso seguro

Art. 16. O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União deve observar:

I - a Política de Segurança da Informação da Advocacia-Geral da União - POSIN-AGU, instituída pela Portaria Normativa AGU nº 166, de 12 de março de 2025;

II - os requisitos mínimos de segurança previstos na Instrução Normativa GSI/PR nº 05, de 30 de agosto de 2021; e

III - os requisitos mínimos de adequação previstos na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

Art. 17. A não implementação dos requisitos de segurança previstos no art. 16, caput, somente poderá ocorrer:

I - após a realização de avaliação de risco específica e justificativa técnica registrada em relatório no processo da gestão de riscos de segurança da informação do Departamento de Tecnologia da Informação; e

II - quando autorizada pelo Comitê de Segurança da Informação da Advocacia-Geral da União.

Art. 18. O uso de software e de serviços de computação em nuvem deve observar os mesmos controles, restrições e requisitos aplicáveis aos softwares instalados em ambiente computacional local da Advocacia-Geral da União.

Art. 19. Antes do início do uso de um novo software ou serviço de computação em nuvem, o Departamento de Tecnologia da Informação, com o apoio das áreas solicitantes da solução, deve realizar análise técnica para homologação do cumprimento dos requisitos de segurança.

§ 1º A análise técnica para homologação do cumprimento dos requisitos de segurança deve:

I - avaliar a compatibilidade do serviço com a arquitetura tecnológica vigente, os requisitos de desempenho, escalabilidade, integração e disponibilidade;

II - verificar se há tratamento de dados pessoais ou sensíveis e sua fundamentação legal;

III - analisar os controles de segurança aplicáveis, incluindo:

a) proteção dos dados;

b) conformidade com a Lei nº 13.709, de 14 de agosto de 2018;

c) cumprimento dos requisitos criptográficos mínimos definidos pelo Comitê de Segurança da Informação da Advocacia-Geral da União, nos termos do inciso II do art. 8º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

d) controles de acesso;

e) políticas de cópias de segurança e de recuperação de dados;

f) resposta a incidentes; e

g) gestão de vulnerabilidades.

IV - verificar a aderência do serviço às práticas de desenvolvimento seguro, integração com sistemas legados e aderência a padrões internos de codificação e viabilidade de automação;

V - examinar a compatibilidade com os sistemas de gerenciamento de dados adotados pela Advocacia-Geral da União, os mecanismos de leitura e gravação, além de aspectos de performance e replicação; e

VI - indicar as medidas de gerenciamento de riscos para resguardar as informações sigilosas ou com restrição de acesso que poderão ser tratadas em ambiente de nuvem.

Seção V
Das análises de riscos de migração e de contratação

Art. 20. A migração de sistemas ou cargas de trabalho para ambientes de computação em nuvem deve ser precedida de análise de risco de migração.

§ 1º A análise de risco de migração será conduzida pela unidade responsável pela gestão do serviço a ser migrado, com apoio do Departamento de Tecnologia da Informação, considerando, no mínimo:

I - os requisitos de negócio, desempenho, disponibilidade e escalabilidade;

II - a classificação da informação tratada no sistema, especialmente nos casos que envolvam dados sigilosos ou pessoais;

III - os controles de segurança exigidos na Política de Segurança da Informação da Advocacia-Geral da União, incluindo os critérios de segmentação, criptografia, rastreabilidade e controle de acesso;

IV - a compatibilidade com os modelos de serviço e de implantação em nuvem; e

V - os aspectos contratuais, regulatórios e orçamentários envolvidos.

§ 2º O relatório da análise de risco da migração deverá:

I - identificar os ativos informacionais e processos de negócio impactados;

II - levantar ameaças, vulnerabilidades e impactos associados à operação do sistema em nuvem;

III - definir controles mitigatórios, planos de contingência e requisitos técnicos para continuidade e segurança da informação; e

IV - indicar o nível de risco residual e a sua respectiva aceitação pela autoridade competente.

§ 3º A análise de risco de migração deverá ser anexada ao processo administrativo de contratação e poderá servir como subsídio para o estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 21. O Departamento de Tecnologia da Informação deve realizar a análise de riscos da contratação de software e serviços de computação pela Advocacia-Geral da União.

§ 1º A análise de risco da contratação deve seguir:

I - as determinações da Instrução Normativa SGD/ME nº 94, de23 de dezembro 2022;

II - as diretrizes estabelecidas na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

III - a Política de Segurança da Informação da Advocacia-Geral da União; e

IV - a Política de Gestão de Riscos da Advocacia-Geral da União.

§ 2º A análise de riscos da contratação de software e serviços de computação deve conter, no mínimo:

I - identificação dos riscos;

II - análise e avaliação;

III - plano de tratamento de riscos; e

IV - monitoramento contínuo.

Art. 22. Os riscos de segurança da informação identificados devem ser inseridos no plano de gestão de riscos de segurança da informação previsto no art. 39 da Portaria Normativa AGU nº 166, de 12 de março de 2025.

Art. 23. O Departamento de Tecnologia da Informação cientificará o Comitê de Segurança da Informação da Advocacia-Geral da União dos riscos críticos identificados e das medidas de segurança necessárias.

Seção VI
Das condições mínimas de infraestrutura de tecnologia da informação e comunicação

Art. 24. O Departamento de Tecnologia da Informação, na fase de planejamento da contratação de software e de serviço de computação em nuvem, deve:

I - indicar as condições mínimas de infraestrutura de tecnologia da informação e comunicação necessárias para a sua utilização;

II - avaliar a capacidade da infraestrutura de tecnologia da informação e comunicação existente em atender aos requisitos mínimos indicados, considerando aspectos como:

a) desempenho;

b) escalabilidade;

c) disponibilidade;

d) continuidade; e

e) integração.

III - se for o caso, estabelecer medidas para a adequação da infraestrutura de tecnologia da informação e comunicação, considerando critérios de vantajosidade.

Parágrafo único. As condições mínimas de infraestrutura devem ser estabelecidas com base nas necessidades do negócio e nas referências técnicas pertinentes, observando-se, sempre que aplicável:

I - os recursos da rede interna; e

II - os padrões adotados para serviços prestados por terceiros.

Art. 25. No estabelecimento das condições mínimas de infraestrutura de tecnologia da informação e comunicação, o Departamento de Tecnologia da Informação deve adotar, no mínimo, as seguintes práticas:

I - utilização de ferramentas de monitoramento de rede para medir a utilização da banda, identificar gargalos e planejar melhorias necessárias;

II - estabelecimento de parâmetros mínimos para conexões seguras e estáveis em ambientes de nuvem, seguindo diretrizes de órgãos de referência;

III - estabelecimento de acordos com provedores de internet que garantam níveis mínimos de disponibilidade e desempenho da conexão, com métricas claras para porcentagem de tempo em que um sistema está ativo e funcionando e largura de banda; e

IV - implementação de soluções redundantes para garantir continuidade dos serviços em caso de falhas na conexão principal.

Parágrafo único. O processo de definição das condições mínimas de infraestrutura para o uso de softwares e serviços de computação em nuvem deve ser consolidado no estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Seção VII
Do estabelecimento de indicadores, linhas de base e metas

Art. 26. O Departamento de Tecnologia da Informação, com o apoio das áreas requisitantes da solução, durante a fase de planejamento da contratação, deve:

I - mapear o cenário atual quanto ao uso de software e serviços de computação em nuvem e indicar o cenário desejado; e

II - definir indicadores de desempenho, linhas de base e metas mensuráveis para avaliar o progresso e o sucesso da contratação, conforme os modelos de serviços e as necessidades das unidades.

Art. 27. As linhas de base devem ser estabelecidas a partir do diagnóstico do ambiente computacional atual, considerando:

I - a infraestrutura legada;

II - os sistemas ativos;

III - os contratos vigentes; e

IV - os serviços que poderão ser migrados ou contratados em ambiente de nuvem.

Art. 28. Os indicadores e as metas devem considerar, no mínimo:

I - nível de disponibilidade e tempo de resposta;

II - eficiência de custos e elasticidade da solução;

III - conformidade com requisitos legais, normativos e de segurança da informação;

IV - percentual de migração de cargas de trabalho dentro do cronograma previsto;

V - frequência e gravidade de incidentes relacionados ao uso de serviços em nuvem; e

VI - adesão às práticas de governança e arquitetura institucional.

Art. 29. A definição de linhas de base, indicadores e metas deve constar no estudo técnico preliminar e no termo de referência previstos na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 30. O Departamento de Tecnologia da Informação deve monitorar os indicadores e o cumprimento das metas.

Parágrafo único. Os resultados de indicadores e metas serão apresentados anualmente ao Comitê de Governança Digital da Advocacia-Geral da União.

Seção VIII
Da portabilidade e interoperabilidade

Art. 31. O uso de software e serviços de computação na Advocacia-Geral da União deve assegurar flexibilidade e integração entre plataformas e serviços, em nuvem ou não, a fim de garantir a continuidade dos serviços.

Parágrafo único. O Departamento de Tecnologia da Informação deve adotar, no mínimo, as seguintes medidas para mitigar a dependência tecnológica ou o aprisionamento ao provedor:

I - contratação de soluções baseadas em padrões abertos, a fim de facilitar a migração entre diferentes provedores de nuvem;

II - distribuição de cargas de trabalho entre diferentes provedores de nuvem pública ou privada, reduzindo o risco de dependência, considerando:

a) o custo de transferência de dados entre provedores de nuvem; e

b) a eficiência do serviço contratado.

III - utilização de ferramentas e serviços de migração, a fim de facilitar a transferência de aplicativos e dados entre ambientes de nuvem; e

IV - uso de ferramentas de monitoramento e gestão que abranjam múltiplos ambientes de nuvem.

Seção IX
Da estratégia de retorno para a infraestrutura local

Art. 32. O Departamento de Tecnologia da Informação deve definir a estratégia de retorno à infraestrutura local na fase de planejamento das contratações de softwares e serviços de computação em nuvem.

Parágrafo único. A estratégia de retorno à infraestrutura local deve considerar ao menos os seguintes aspectos:

I - dependências entre sistemas, aplicativos e dados na nuvem;

II - interconexões críticas que possam impactar a migração de volta à infraestrutura local;

III - portabilidade de soluções e dados armazenados na nuvem, considerando padrões abertos e evitando bloqueios em virtude de fornecedores;

IV - utilização de ferramentas de migração e cópias de segurança que suportem a transferência eficiente de dados entre a nuvem e a infraestrutura local;

V - celebração de contratos de apoio para retorno das operações;

VI - realização de cópias de segurança completas e atualizadas de todos os dados digitais e sistemas armazenados em serviços de computação em nuvem; e

VII - estratégias para garantir a integridade dos dados e seu retorno à infraestrutura local em caso de desastre.

Art. 33. A estratégia de retorno para a infraestrutura local deve constar do estudo técnico preliminar e do termo de referência previstos na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 34. As estratégias de retorno para a infraestrutura local devem ser revistas periodicamente pelo Departamento de Tecnologia da Informação, conforme a criticidade do serviço, os resultados do monitoramento de desempenho e os riscos para cada sistema ou serviço em nuvem.

Seção X
Do alinhamento com planos estratégicos

Art. 35. A contratação de software e de serviços de computação em nuvem deve estar alinhada, no mínimo, aos seguintes planos estratégicos da Advocacia-Geral da União:

I - Plano Estratégico Institucional - PEI;

II - Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC; e

III - Plano de Contratações Anual - PCA.

Parágrafo único. A adequação da contratação aos planos estratégicos da Advocacia-Geral da União deve ser demonstrada no estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022, com a indicação de ações, projetos e programas relacionados.

Seção XI
Dos requisitos regulatórios e de conformidade

Art. 36. O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União deve obedecer aos requisitos regulatórios e de conformidade em vigor, tais como os estabelecidos pelos seguintes instrumentos:

I - Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

II - Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

III - Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022;

IV - Portaria Normativa AGU nº 166, de 12 de março de 2025; e

V - Portaria Normativa AGU nº 165, de 12 de março de 2025.

Seção XII
Da capacitação

Art. 37. O Departamento de Tecnologia da Informação deve atuar, em parceria com a Escola Superior da Advocacia-Geral da União Ministro Victor Nunes Leal, para capacitar os agentes responsáveis pelo planejamento, pela contratação, operação e utilização de software e serviços de computação em nuvem.

Parágrafo único. A capacitação deve priorizar o desenvolvimento das competências necessárias à gestão segura, eficiente e inovadora de software e serviços de computação em nuvem.

Art. 38. A capacitação deve contemplar, no mínimo, os seguintes perfis e conhecimentos:

I - para os gestores e responsáveis pelo planejamento e pela contratação de software e serviços de computação em nuvem:

a) conhecimento sobre modelos e implantação de software e serviços de computação em nuvem;

b) fundamentos de segurança da informação e proteção de dados pessoais;

c) gestão de riscos e conformidade normativa, com base em modelos de referência; e

d) elaboração e análise de processos de contratação de software e serviços de computação em nuvem.

II - para os técnicos e operadores de infraestrutura, segurança e sistemas:

a) administração de ambientes em nuvem, incluindo ferramentas específicas dos provedores contratados;

b) monitoramento, configuração e automação de recursos em nuvem;

c) implementação de controles de segurança; e

d) práticas de resiliência e recuperação.

III - para os usuários finais e os responsáveis pela definição dos requisitos do negócio:

a) noções básicas de uso seguro de soluções em nuvem;

b) boas práticas de proteção de dados;

c) responsabilidades compartilhadas entre provedor e cliente; e

d) cultura de inovação e colaboração digital, promovendo experimentação, uso consciente e aprendizado contínuo.

Art. 39. O Departamento de Tecnologia da Informação deverá:

I - manter registro das capacitações realizadas; e

II - elaborar, em parceria com a Escola Superior da Advocacia-Geral da União Ministro Victor Nunes Leal, plano anual de desenvolvimento de competências em computação em nuvem, com base nos objetivos estratégicos da Advocacia-Geral da União.

CAPÍTULO III
DA GOVERNANÇA DO USO DE SOFTWARE E SERVIÇOS DE COMPUTAÇÃO EM NUVEM

Seção I
Dos eixos de gestão

Art. 40. A governança do uso de software e serviços de computação em nuvem na Advocacia-Geral da União será realizada por meio dos seguintes instrumentos de gestão:

I - definição de responsabilidades;

II - gestão de riscos e conformidade;

III - gestão de fornecedores e contratos;

IV - gestão de continuidade de negócio;

V - monitoramento de eventos;

VI - melhoria contínua;

VII - auditoria;

VIII - identificação e classificação de dados; e

IX - controle de acesso.

Seção II
Das responsabilidades

Art. 41. No âmbito da governança do uso de software e serviços de computação em nuvem, compete:

I - ao Departamento de Tecnologia da Informação:

a) implementar as medidas relacionadas ao uso de software e serviços de computação em nuvem, em conformidade com as determinações desta Portaria Normativa e com normas e regulamentos estabelecidos na legislação pertinente;

b) informar o Comitê de Governança Digital da Advocacia-Geral da União acerca do progresso e dos fatos relevantes do planejamento e da execução da contratação de softwares e serviços de computação em nuvem classificados como de alta relevância ou alta materialidade; e

c) apresentar informações e esclarecimentos sobre o uso de software e de serviços de computação em nuvem sempre que solicitado pelo Comitê de Governança Digital da Advocacia-Geral da União;

II - ao Comitê de Governança Digital da Advocacia-Geral da União:

a) acompanhar e monitorar os processos de gestão de software e serviços de computação em nuvem;

b) editar, nos termos do que dispõe o art. 7º da Portaria Normativa AGU nº 141, de 19 de junho de 2024, regras complementares à Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União;

c) autorizar que cargas de trabalho que tratem informações com restrição de acesso sejam mantidas em ambientes de nuvem que não sejam de governo, nos termos do art. 11; e

d) supervisionar a execução dos contratos de software e de serviços de computação em nuvem que sejam de alta relevância ou de alta materialidade.

III - ao Comitê de Segurança da Informação:

a) exercer as competências relacionadas à segurança da informação, nos termos do art. 48 da Portaria Normativa AGU nº 166, de 12 de março de 2025;

b) estabelecer os países nos quais dados e informações poderão ser armazenados em soluções de computação em nuvem nos termos do art. 8º, inciso I, da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

c) definir os requisitos criptográficos mínimos para o armazenamento de dados e informações em soluções de computação em nuvem, nos termos do art. 8º, inciso II, da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021; e

d) autorizar a não implementação dos requisitos de segurança previstos no art. 16, caput.

IV - às áreas requisitantes da solução:

a) avaliar continuamente a adequação dos softwares e serviços de computação em nuvem;

b) reportar imediatamente ao Departamento de Tecnologia da Informação a ocorrência de falhas ou vulnerabilidades; e

c) apontar necessidades de melhorias ou alterações dos processos de trabalho que utilizam softwares ou serviços de computação em nuvem.

Seção III
Da gestão de riscos e conformidade

Art. 42. O Departamento de Tecnologia da Informação deve implementar e executar a gestão dos riscos no uso de software e de serviços de computação em nuvem de forma permanente e seguindo:

I - a metodologia de gestão de riscos da Advocacia-Geral da União;

II - as determinações referentes à gestão de riscos de segurança da informação previstas na Portaria Normativa AGU nº 166, de 12 de março de 2025; e

III - demais normas sobre gestão de riscos da Advocacia-Geral da União.

Art. 43. A verificação da conformidade do uso de serviços em nuvem deve seguir:

I - as regras previstas na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, e na Portaria SGD/MGI nº 852, de 28 de março de 2023; e

II - os controles definidos em normas de referência e demais atos normativos em vigor.

Seção IV
Da gestão de fornecedores e contratos

Art. 44. O Departamento de Tecnologia da Informação, com apoio das áreas requisitantes da solução, deve monitorar permanentemente os fornecedores de software e de serviços de computação em nuvem, considerando ao menos os seguintes aspectos:

I - cumprimento das regras de segurança da informação;

II - conformidade contratual;

III - desempenho;

IV - satisfação dos usuários; e

V - disponibilidade.

Parágrafo único. Os resultados do monitoramento dos fornecedores de software e serviços de computação em nuvem deve ser documentado no processo administrativo de contratação.

Seção V
Da gestão de continuidade de negócio

Art. 45. O Departamento de Tecnologia da Informação deve atuar para garantir:

I - a continuidade dos softwares e serviços de computação em nuvem, conforme recomendações da ISO/IEC 22301; e

II - a capacidade de recuperação dos dados em caso de desastres.

Art. 46. O Departamento de Tecnologia da Informação deve manter registro atualizado dos testes de recuperação de dados realizados nos softwares e serviços de computação em nuvem, indicando seus resultados e as ações de melhoria adotadas.

Art. 47. A gestão de continuidade de negócio e a recuperação de dados no uso de software e serviços de computação em nuvem devem seguir, no que couber:

I - as diretrizes institucionais sobre gestão de continuidade de negócio de que trata o inciso III do art. 41 da Portaria Normativa AGU nº 166, de 12 de março de 2025; e

II - as regras sobre gestão de cópias de segurança e de recuperação de dados digitais da Advocacia-Geral da União, a serem estabelecidas em ato do Comitê de Segurança da Informação.

Seção VI
Do monitoramento de eventos

Art. 48. O Departamento de Tecnologia da Informação deve estabelecer rotina de monitoramento de eventos que envolvam software e serviços de computação em nuvem, incluindo a definição:

I - dos eventos que serão monitorados;

II - da frequência de monitoramento;

III - da metodologia de análise dos dados; e

IV - do processo de resposta a incidentes com prazos de resposta e indicação dos responsáveis.

Art. 49. O monitoramento dos eventos deve ser realizado por meio de métodos de controle como:

I - ferramentas de observabilidade;

II - controle de acesso; e

III - geração de alertas conforme a classificação de criticidade do serviço.

Art. 50. O monitoramento dos incidentes em segurança da informação deve indicar, ao menos:

I - comportamentos anômalos;

II - acessos indevidos; e

III - falhas operacionais.

Seção VII
Da melhoria contínua

Art. 51. A melhoria contínua dos processos, controles e das diretrizes relativos à gestão dos softwares e serviços de computação em nuvem deve ser promovida com base no ciclo planejar, fazer, verificar e agir, como prática sistemática de evolução dos instrumentos de gestão previstos no art. 40.

Parágrafo único. O Departamento de Tecnologia da Informação deve manter registro mensal das iniciativas de melhoria implementadas e de seus impactos.

Seção VIII
Da auditoria

Art. 52. A Secretaria de Controle Interno da Advocacia-Geral da União poderá realizar auditorias para verificar a conformidade do uso de software e serviços de computação em nuvem, devendo:

I - avaliar o cumprimento desta Portaria Normativa; e

II - monitorar o tratamento das informações, conforme previsto no art. 6º, parágrafo único, da Portaria Normativa AGU nº 166, de 12 de março de 2025.

Seção IX
Da identificação e classificação de dados

Art. 53. Todos os dados armazenados ou processados em ambientes de computação em nuvem devem ser previamente classificados quanto à sua criticidade e confidencialidade, na forma do art.9º, inciso XII.

Parágrafo único. A classificação de criticidade e confidencialidade dos dados armazenados ou processados em ambientes de computação em nuvem deve ser utilizada para a definição de controles de acesso, de requisitos de criptografia e de requisitos contratuais.

Art. 54. A classificação de confidencialidade dos dados armazenados ou processados em ambientes de computação em nuvem deve seguir o disposto na Portaria Normativa AGU nº 166, de 12 de março de 2025, e na Portaria AGU nº 529, de 23 de agosto de 2016.

Seção X
Do controle de acesso

Art. 55. O controle de acesso aos softwares e serviços de computação em nuvem deve assegurar, no mínimo:

I - a integridade dos dados de acesso;

II - a confidencialidade das credenciais e informações sensíveis;

III - a autenticação multifator para usuários com privilégios elevados;

IV - o princípio do menor privilégio, garantindo que os acessos sejam concedidos apenas conforme a necessidade do cargo ou função;

V - a revisão periódica dos acessos concedidos, com remoção de permissões obsoletas ou não utilizadas; e

VI - o registro e monitoramento de atividades para auditoria e detecção de comportamentos incomuns.

Parágrafo único. O controle de acesso aos softwares e serviços de computação em nuvem deve seguir, no que couber, as regras sobre gestão de acesso da Advocacia-Geral da União, a serem estabelecidas em ato do Comitê de Segurança da Informação.

Art. 56. A concessão, revisão e revogação de acessos aos softwares e serviços de computação em nuvem devem estar integradas a processos formais de gestão de identidade, com registro de usuário responsável pela autorização.

CAPÍTULO IV
DISPOSIÇÕES FINAIS

Art. 57. A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União e suas regras complementares devem ser amplamente divulgadas a todos os usuários e às partes interessadas para garantir sua disseminação e seu cumprimento.

Art. 58. Os softwares e serviços de computação em nuvem contratados ou implantados anteriormente à entrada em vigor desta Portaria Normativa devem ser avaliados quanto à sua conformidade às regras estabelecidas nesta Portaria Normativa.

§ 1º O Departamento de Tecnologia da Informação deverá elaborar, no prazo de até um ano contado da entrada em vigor desta Portaria Normativa, plano de adequação dos serviços em operação, priorizando aqueles classificados como de alta materialidade, alta relevância ou com maior exposição a riscos.

§ 2º Durante o período de transição, os serviços existentes poderão continuar em funcionamento, desde que não apresentem risco relevante à segurança da informação, à conformidade legal ou à continuidade das operações institucionais.

Art. 59. Compete ao Departamento de Tecnologia da Informação propor a revisão da presente Portaria Normativa sempre que as alterações de regulamentação e atualizações tecnológicas assim determinarem, ou, no mínimo, a cada dois anos.

Art. 60. A Portaria Normativa AGU nº 166, de 12 de março de 2025, passa a vigorar com as seguintes alterações:

"Art. 29-A. O uso de software e serviços de computação em nuvem deve seguir o disposto na Portaria Normativa AGU nº 183, de 24 de julho de 2025." (NR)

"Art. 48................................................................................................................

.......................................................................................................................................

VIII - avaliar as ações propostas pelo gestor de segurança da informação;

IX - acompanhar, no âmbito da Advocacia-Geral da União, a execução do Programa de Privacidade e Segurança da Informação, de que trata a Portaria SGD/MGI nº 852, de 28 de março de 2023, e suas atualizações; e

X - exercer as competências previstas no art. 41, inciso III, da Portaria Normativa AGU nº 183, de 24 de julho de 2025." (NR)

Art. 61. Esta Portaria Normativa entra em vigor na data de sua publicação.

FLAVIO JOSÉ ROMAN

(DOU de 25.07.2025 – págs. 4 a 7 - Seção 1)

Área do Assinante

PORTARIA NORMATIVA AGU Nº 183, DE 24.07.2025

CONTEÚDO