Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 12/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121200077
77
Nº 237, sexta-feira, 12 de dezembro de 2025
ISSN 1677-7042
Seção 1
PORTARIA MDS Nº 1.138, DE 11 DE DEZEMBRO DE 2025
Aprova as diretrizes para o uso do serviço de rede
privada virtual, Virtual Private Network - VPN, no
âmbito 
do
Ministério 
do
Desenvolvimento 
e
Assistência Social, Família e Combate à Fome.
O MINISTRO DE ESTADO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL,
FAMÍLIA E COMBATE À FOME, no uso das atribuições que lhe confere o art. 87, parágrafo
único, incisos I e II, da Constituição Federal, e tendo em vista o disposto no Decreto nº
12.572, de 4 de agosto de 2025, resolve:
Art. 1º Ficam aprovadas as diretrizes para o uso do serviço de rede privada
virtual, Virtual Private Network - VPN, no âmbito do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome.
CAPÍTULO I
DISPOSIÇÕES GERAIS
SEÇÃO I
DO OBJETIVO
Art. 2º Este documento tem por objetivo regulamentar o acesso remoto aos
ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome e enfatizar a importância de proteger as informações confidenciais
transmitidas por meio do acesso remoto.
SEÇÃO II
DA ABRANGÊNCIA
Art. 3º As regras estabelecidas nesta Portaria devem ser cumpridas por todos
os colaboradores que utilizam a Virtual Private Network - VPN.
SEÇÃO III
DOS CONCEITOS E DEFINIÇÕES
Art. 4º Para efeitos desta Portaria, aplicam-se os conceitos e definições
elencados no Glossário de Segurança da Informação do Gabinete de Segurança Institucional
da Presidência da República - GSI/PR e da Política de Segurança da Informação - POSIN do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
CAPÍTULO II
DAS RESPONSABILIDADES
Art. 5º São responsabilidades dos usuários de Virtual Private Network -
VPN:
I - manter sigilo das informações de acesso ao ambiente de rede do Ministério
do Desenvolvimento e Assistência Social, Família e Combate à Fome e da conexão remota,
sendo de sua total e exclusiva responsabilidade qualquer operação realizada por meio de
suas credenciais de acesso;
II - comunicar, imediatamente, à Subsecretaria de Tecnologia da Informação -
STI qualquer situação que coloque em risco os ativos de informação do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome; e
III - informar formalmente ao seu chefe imediato e solicitar a revogação de seu
acesso à informação quando identificar direitos de acesso remoto desnecessários à
execução das suas atividades.
Art. 6º São responsabilidades dos gestores dos ativos de informação:
I - solicitar o acesso ou a revogação das credenciais de acesso remoto dos
usuários sob sua gestão;
II - conscientizar os usuários em seu domínio administrativo quanto às
orientações presentes nesta Portaria e nas boas práticas de segurança;
III - comunicar, imediatamente, à Subsecretaria de Tecnologia da Informação -
STI, após tomar conhecimento, quaisquer indícios de ameaça, vulnerabilidade ou situação
que possa colocar em risco os ativos de informação institucionais; e
IV - manter atualizada a relação de usuários e a necessidade de acesso à
Virtual Private Network - VPN para verificação de conformidade com esta Portaria e com
as normas internas de controle de acesso.
Parágrafo
único.
Cabe ao
gestor
estabelecer
o
ciclo de
validação
e
continuidade das credenciais.
Art. 7º São responsabilidades da Subsecretaria de Tecnologia da Informação -
STI quanto ao acesso à Virtual Private Network - VPN:
I - administrar os acessos remotos ao ambiente de rede de dados do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;
II - manter a disponibilidade, integridade, confidencialidade e autenticidade em
todo o ambiente de rede;
III - monitorar todo o ambiente de modo a identificar proativamente anomalias
e acessos maliciosos;
IV - manter os registros de acesso para fins de auditoria respeitando a
legislação e as boas práticas de mercado;
V - manter mecanismos de segregação de acesso lógico entre os ambientes de
acesso remoto e os recursos computacionais em ambiente de rede local controlando o
acesso por meio de política de mínimo privilégio;
VI - manter registro histórico de solicitações de criação e revogação de
usuários para fins de auditoria e controle por período de tempo indeterminado;
VII - efetuar análises críticas periodicamente no ambiente como forma de
garantir que os mecanismos de segurança adotados se mantenham eficientes; e
VIII - conscientizar os servidores quanto às orientações presentes nesta
Portaria e na Política de Segurança da Informação - POSIN.
Art. 8º Cabe à Coordenação-Geral de Gestão de Pessoas do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome:
I - notificar, semanalmente, à Subsecretaria de Tecnologia da Informação - STI,
as licenças sem vencimento, desligamento definitivo, desligamento temporário por decisão
judicial e afastamentos por licença de saúde; e
II - conscientizar os novos servidores quanto às orientações presentes nesta
Portaria e na Política de Segurança da Informação - POSIN.
Parágrafo único. Cabe aos gestores de contratos de terceirização, consultoria,
estágios, organizações externas e outros que tenham acesso à Virtual Private Network -
VPN:
I - notificar, semanalmente, à Subsecretaria de Tecnologia da Informação - STI,
as licenças sem vencimento, desligamento definitivo, desligamento temporário por decisão
judicial e afastamentos por licença de saúde; e
II - conscientizar os novos servidores quanto às orientações presentes nesta
Portaria e na Política de Segurança da Informação - POSIN.
CAPÍTULO III
DAS DIRETRIZES
Art. 9º A instalação e
configuração dos aplicativos homologados pela
Subsecretaria de Tecnologia da Informação - STI e necessários ao estabelecimento da
conexão Virtual Private Network - VPN ficarão a cargo do próprio usuário, apoiado pelo
atendimento da STI, quando necessário.
Art. 10. O acesso à rede corporativa por meio da Virtual Private Network - VPN
deverá ser exclusivamente para usos relacionados às atividades corporativas do Ministério
do Desenvolvimento e Assistência Social, Família e Combate à Fome, proibida a sua utilização
para outra finalidade que não o desempenho das atividades relacionadas à sua função.
Art. 11. O usuário das credenciais de acesso à Virtual Private Network - VPN
é o único responsável pela salvaguarda das informações necessárias ao acesso à rede
corporativa, como senha, nome de usuário, endereço do gateway remoto e demais
informações de acesso remoto.
Art. 12. O compartilhamento das credenciais de acesso à Virtual Private
Network - VPN é terminantemente proibido, podendo caracterizar crime de violação de
sigilo funcional, sendo todo acesso registrado e auditado, em conformidade com a Lei
Geral de Proteção de Dados - LGPD e a Política de Segurança da Informação - POSIN.
Art. 13. O acesso Virtual Private Network - VPN implica em riscos para os
ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome, sendo possível através dele acessá-los, de forma privilegiada, a partir de
qualquer ponto da internet, como se o usuário estivesse fisicamente nas instalações
institucionais.
Art. 14. Todos os usuários deverão:
I - manter-se conectados à rede via Virtual Private Network - VPN apenas pelo
tempo necessário à execução da tarefa que requereu o uso do serviço, numa emergência
ou para uso diário, em caso de trabalho home office; e
II - não usar a Virtual Private Network - VPN em redes wi-fi públicas, abertas
(sem criptografia) ou compartilhadas por terceiros.
Parágrafo único. Se houver indícios de quebra de segurança, o acesso à Virtual
Private Network - VPN será bloqueado.
Art. 15. Os computadores que possuírem aplicativos configurados com as
informações de acesso à rede corporativa por meio da Virtual Private Network - VPN
deverão possuir mecanismo de controle de acesso que utilize, no mínimo, usuário e
senha, e aplicativo antivírus atualizado, devendo o seu uso ser restrito ao usuário
detentor da credencial de acesso.
Parágrafo único. Havendo necessidade do compartilhamento do computador,
as informações definidas no aplicativo de acesso à Virtual Private Network - VPN deverão
ser excluídas.
Art. 16. A responsabilidade de informar à Subsecretaria de Tecnologia da
Informação - STI o desligamento ou inatividade de qualquer integrante possuidor de
credenciais de acesso à Virtual Private Network - VPN é do solicitante, colaborando com
a segurança da rede corporativa do Ministério do Desenvolvimento e Assistência Social,
Família e Combate à Fome - MDS.
Art. 17. O acesso ao serviço de Virtual Private Network - VPN a usuários que
não fazem parte do corpo de colaboradores do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome terá validade definida conforme a demanda
dos serviços que serão prestados, havendo necessidade de renovação do prazo.
Art. 18. A solicitação de revalidação do acesso Virtual Private Network - VPN
deve ser realizada pelo solicitante legal, dentro dos prazos de validade para cada conta,
com a devida justificativa, sendo aprovada pela chefia imediata e pelo gestor da
unidade.
Art. 19. Todos os computadores conectados às redes internas do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome via Virtual Private
Network - VPN devem estar com as versões mais atualizadas de softwares antivírus e com
os últimos patches de segurança instalados.
Art. 20. Deverá ser estabelecida apenas uma única conexão Virtual Private
Network - VPN com a rede institucional.
Art. 21. Não se deve alterar, sem prévio consentimento, a configuração default
da Virtual Private Network - VPN fornecida pela área de Tecnologia da Informação - TI
institucional.
Art. 22. O usuário deve restringir o uso do acesso via Virtual Private Network
- VPN para as finalidades relacionadas à execução de suas atividades, devendo abster-se
de usar a funcionalidade para quaisquer outras atividades.
Art. 23. O usuário nunca deve deixar sessões Virtual Private Network - VPN
abertas (logadas), devendo realizar o executar logoff ou bloquear seu equipamento.
Art. 24. É obrigatório ao usuário de Virtual Private Network - VPN, a assinatura
de termo de responsabilidade em que constará as condições legais a que está sujeito.
Art. 25. Os dispositivos pessoais devem ser configurados de acordo com os
normativos de segurança mandatórios estabelecidos pelo Ministério do Desenvolvimento
e Assistência Social, Família e Combate à Fome.
Art. 26. Para a concessão de credencial de acesso à Virtual Private Network -
VPN, o solicitante do setor, obrigatoriamente, necessitará requisitar formalmente para a
Subsecretaria de Tecnologia da Informação - STI, por meio de formulário específico de
cadastramento de usuários no Sistema Eletrônico de Informação - SEI.
CAPÍTULO IV
DO GERENCIAMENTO DA VPN - AUTENTICAÇÃO DE USUÁRIOS
Art. 27. A autenticação para a Virtual Private Network - VPN e para outras
ferramentas e sistemas utilizados na rede deverá ser centralizada por meio de um sistema
de Single Sign-On - SSO e poderá ser gerenciado na plataforma em nuvem do gov.br.
Art. 28. O sistema de que trata o art. 27 adere estritamente a todos os
protocolos de segurança estabelecidos, incluindo a exigência de senhas robustas e a
implementação de Autenticação Multifatorial - MFA.
Art. 29. Para manter a integridade e a segurança da rede, os protocolos de
que trata o art. 28 produzem registros detalhados em todas as camadas relevantes,
incluindo processos de autenticação, atividades do firewall e registros de acesso.
Art. 30. As práticas de que trata este Capítulo são essenciais para atender às
políticas de segurança e ao provimento da documentação abrangente durante processos
de auditoria, que constarão na base de custódia de todos os eventos.
CAPÍTULO V
DO MONITORAMENTO E REVISÃO
Art. 31. A Subsecretaria de Tecnologia da Informação - STI reserva-se o direito
de monitorar o uso da Virtual Private Network - VPN para garantir a conformidade com
a Política de Segurança da Informação - POSIN.
§ 1º Os dados eventualmente coletados serão tratados em conformidade com
a legislação vigente de proteção de dados pessoais e privacidade.
§ 2º Os ativos de informação do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome, tais como e-mail, internet, intranet, Virtual Private
Network - VPN, computadores, sistemas e informações são passíveis de monitoramento e
devem ter seu uso investigado quando houver indícios de quebra de segurança, por meio
de mecanismos que permitam a rastreabilidade do uso dos ativos.
CAPÍTULO VI
CONSIDERAÇÕES FINAIS
Art. 32. As dúvidas e questões decorrentes não descritas nesta Portaria
deverão ser encaminhadas à Subsecretaria de Tecnologia da Informação - STI.
Art. 33. A violação da política disciplinada por qualquer usuário será reportada
à Subsecretaria de Tecnologia da Informação - STI, que poderá tomar decisões cabíveis,
cujo objetivo é suspender de imediato, temporariamente ou permanentemente os seus
privilégios de acesso à infraestrutura computacional do Ministério, sem prejuízo da adoção
de ações legais contra o infrator.
Art. 34. Havendo precedentes e novos fatores a serem considerados, a
Subsecretaria de Tecnologia da Informação - STI tomará iniciativas com vistas a proceder
a alterações a qualquer tempo, mediante o surgimento de fatos relevantes ou que não
tenham sido contemplados nesta Portaria.
Art. 35. Esta Portaria entra em vigor na data de sua publicação.
JOSÉ WELLINGTON BARROSO DE ARAÚJO DIAS

Fechar