DOU 24/12/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025122400095
95
Nº 245, quarta-feira, 24 de dezembro de 2025
ISSN 1677-7042
Seção 1
Seção II
Do Escopo
Art. 5º Esta portaria se aplica a todas as informações e dados pessoais cujo
tratamento esteja sob responsabilidade do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome, independentemente do meio utilizado para este
tratamento, seja digital ou físico, e às suas dependências físicas, bem como a qualquer
pessoa que circule nas dependências ou que interaja exercendo controle administrativo,
técnico ou operacional, mesmo que eventual, dos meios de tratamento, incluindo,
especificamente:
I - todos os servidores, sejam efetivos ou temporários;
II - todos os colaboradores, contratados e terceiros que trabalham para o
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome; e
III - todos os colaboradores de parceiros que acessam fisicamente as
dependências ou que acessam ativos de informação do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome.
Seção III
Dos Conceitos e Definições
Art. 6º Os conceitos e definições utilizados nesta Portaria seguem o glossário
de segurança da informação do Gabinete de Segurança Institucional - GSI, da Presidência
da República.
Seção IV
Dos Princípios
Art. 7º Constituem princípios que fundamentam o gerenciamento de
identidades e controle de acessos:
I - necessidade de conhecer, segundo o qual uma entidade só tem acesso às
informações que requerer para executar suas tarefas (diferentes tarefas ou funções
significam diferentes informações de necessidade de conhecer e diferentes perfis de
acesso);
II - necessidade de uso, segundo o qual a uma entidade só é atribuído acesso
à infraestrutura de tecnologia da informação caso haja uma necessidade clara presente;
III - menor privilégio, que estabelece que um utilizador, aplicativo ou sistema
deve ter acesso apenas ao mínimo de permissões e recursos estritamente necessários para
realizar suas funções;
IV - segregação de funções, que estabelece que nenhuma pessoa deve ter todo
o poder ou controle sobre um processo crítico;
V - acesso Just-in-Time - JIT e temporário, segundo o qual o acesso privilegiado
deve ser concedido apenas quando necessário e por um período limitado, devendo um
administrador solicitá-lo para uma tarefa específica, em vez de ter privilégios permanentes,
e o acesso revogado automaticamente após a conclusão;
VI - confiança zero, que estabelece que não se deve confiar em qualquer
entidade interna ou externa à rede de infraestrutura de tecnologia da informação da
organização, atuando sempre com a suposição de que existem violações de segurança,
implicando o modelo em alteração na postura, na política e no processo institucional,
visando eliminar os problemas de estratégias, com foco apenas no perímetro, por meio da
adoção de três princípios básicos:
a) exigência de acesso seguro a todos os recursos, independentemente da
origem da solicitação interna ou externa ou de quais recursos acesse;
b) adoção de um modelo de privilégio mínimo, com a utilização de políticas
adaptativas baseadas em risco e proteção de dados, em especial pelo controle de
permissões desnecessárias e usuários inativos; e
c) inspeção e registro de todos os eventos, com a aplicação de análises
avançadas, para detectar e responder às anomalias em tempo real.
CAPÍTULO II
DO ACESSO LÓGICO
Art. 8º O acesso lógico aos recursos da rede local do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome será realizado por meio
de sistema de controle de acesso.
§ 1º Compete à Subsecretaria de Tecnologia da Informação - STI administrar o
acesso dos usuários baseado em suas funções e responsabilidades.
§ 2º A Subsecretaria de Tecnologia da Informação - STI deve realizar,
periodicamente ou quando novas funções e ativos forem inseridos na organização, análises
de controle de acesso nos ativos institucionais para validar se todos os privilégios estão
autorizados para a execução de atividades de cada função.
Art. 9º Os acessos lógicos serão concedidos e mantidos pela Subsecretaria de
Tecnologia da Informação - STI, observado o disposto no § 1º do art. 8º e as seguintes regras:
I - terão direito a acesso lógico aos recursos da rede local os usuários de
recursos de tecnologia da informação;
II -
o acesso remoto aos
ativos de informação do
Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser realizado por
meio de Rede Virtual Privada (Virtual Private Network - VPN), no que couber, após as
devidas autorizações;
III - quando suportado pelo ativo, é obrigatória a utilização de Múltiplos
Fatores de Autenticação - MFA para a autenticação de acessos remotos; e
IV - quando suportado pelos ativos, o acesso a todas as aplicações corporativas
ou de terceiros que estejam hospedadas em fornecedores deve utilizar o Múltiplos Fatores
de Autenticação - MFA.
Art. 10. A concessão de acesso aos usuários que lidam com dados pessoais é limitada,
estritamente, aos sistemas que processam esses dados e para cumprir as finalidades a que se destinam,
em conformidade com o princípio da necessidade mencionado na Lei nº 13.709, de 14 de agosto de 2018,
alterada pela Lei nº 13.853, de 8 de julho de 2019 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Parágrafo único. Ao atribuir ou revogar os direitos de acesso, a Subsecretaria
de Tecnologia da Informação - STI deverá:
I - verificar se o nível de acesso concedido é apropriado às operações de
tratamento de dados pessoais, além de ser consistente com outros requisitos, tal como a
segregação de funções;
II - assegurar que os direitos de acesso não foram ativados antes que o
procedimento de autorização esteja completo;
III - manter um registro preciso e atualizado dos perfis de acesso criados,
incluindo a relação dos usuários autorizados e as matrizes de acesso correspondentes a
cada um em relação ao respectivo ativo de informação;
IV - manter atualizados os direitos de acesso dos usuários que tenham mudado
de função ou de atividades e promover a imediata remoção ou bloqueio dos direitos de
acesso dos usuários que não estejam mais vinculados ao Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome; e
V - analisar criticamente os direitos de acesso em intervalos regulares.
Art. 11. A Subsecretaria de Tecnologia da Informação - STI deverá manter um inventário
de todas as contas gerenciadas, incluindo contas de usuário, administrativas, de testes e de serviço.
§ 1º O inventário das contas de serviço deve abranger, no mínimo, informações
sobre:
I - a unidade organizacional gestora do serviço; e
II - a data de criação ou última autorização de renovação de acesso.
§ 2º Compete à Subsecretaria de Tecnologia da Informação - STI validar todas
as contas ativas do Ministério do Desenvolvimento e Assistência Social, Família e Combate
à Fome, a cada 90 (noventa) dias.
Art. 12. A Subsecretaria de Tecnologia da Informação - STI deverá manter um
inventário dos sistemas de autenticação e autorização do Ministério do Desenvolvimento
e Assistência Social, Família e Combate à Fome, revisado periodicamente.
Art. 13. Quando suportadas, a Autenticação, Autorização e Auditoria - AAA dos
ativos de informação da infraestrutura de rede do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome devem ser geridas de forma centralizada, se
possível, por meio de um serviço de diretório ou provedor de autenticação único, como o
Single Sign-On - SSO.
Art. 14. O acesso à rede local do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome deve assegurar que apenas colaboradores e dispositivos
autorizados possam interagir com partes específicas da rede, não se limitando, dentre elas:
I - à segmentação de rede; e
II - a protocolos de comunicação e redes seguros.
Seção I
Das Contas de Acesso Lógico
Art. 15. Para a utilização das estações de trabalho do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome, é obrigatório o uso de
uma conta de acesso lógico (login) e senha, fornecidos pela Subsecretaria de Tecnologia da
Informação - STI mediante solicitação formal do gestor da unidade ao qual o usuário está
vinculado.
§ 1º O formulário de solicitação de criação de conta de acesso se encontra
disponível para preenchimento via Sistema Eletrônico de Informação - SEI.
§ 2º Os privilégios de acesso dos usuários à rede local são definidos pela
unidade à qual o usuário está vinculado, limitando-se a atividades estritamente necessárias
à realização de suas atribuições.
§ 3º Na necessidade de utilização de perfil diferente do disponibilizado, o
gestor da unidade à qual o usuário está vinculado deverá encaminhar solicitação para a
Subsecretaria de Tecnologia da Informação - STI, que a examinará, podendo negá-la nos
casos em que entender desnecessária.
Art. 16. O login e a senha são de uso pessoal e intransferível, sendo vedados
o seu compartilhamento e a sua divulgação e estando sujeitos ao bloqueio imediato pela
Subsecretaria de Tecnologia da Informação - STI se constatado o uso indevido ou qualquer
irregularidade que possa prejudicar a segurança do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome.
Parágrafo único. No caso do bloqueio citado no caput, para retomar o acesso
à rede, deverá ser formalizada nova requisição de desbloqueio pelo gestor da unidade à
qual o usuário está vinculado.
Art. 17. Preferencialmente, o identificador da conta de acesso do usuário deve
seguir a estrutura [primeiro nome] + [ponto] + [último sobrenome].
§ 1º Caso seja constatada a existência de uma conta de acesso em uso com o
mesmo nome do novo usuário, a Subsecretaria de Tecnologia da Informação - STI realizará
uma combinação distinta utilizando as outras possibilidades de sobrenome que conste no
nome completo do usuário para o qual a conta está sendo criada.
§ 2º A Subsecretaria de Tecnologia da Informação - STI fornecerá uma senha
temporária para cada conta de acesso criada, que deverá ser alterada pelo usuário no
primeiro acesso à rede local.
Art. 18. O padrão adotado para o formato da senha é o definido pela
Subsecretaria de Tecnologia da Informação -STI, considerando:
I - a obrigatoriedade do uso de letras maiúsculas, minúsculas e números, com
tamanho mínimo de oito caracteres para contas que utilizam Multi-Factor Authentication
- MFA e 14 (catorze) caracteres para as contas que não utilizam Multi-Factor
Authentication - MFA;
II - a recomendação de utilização de letras maiúsculas, minúsculas e caracteres
especiais (ex: $, %, &);
III - a não utilização de sequência numérica (123...), alfabética (abc...), nomes
próprios, palavras de fácil dedução, datas, placa de carro, número de telefone, a própria
conta de acesso, apelidos ou abreviações, ou termos óbvios, tais como Brasil, senha,
usuário, password ou system; e
IV - a não reutilização das últimas 5 (cinco) senhas.
Art. 19. As senhas de acesso possuem validade de 90 (noventa) dias, devendo
o usuário efetuar a troca ao ser notificado.
Parágrafo único. Caso a mudança da senha não seja efetuada no prazo
estabelecido, o login será bloqueado, impossibilitando seu acesso à rede local até que seja
realizada solicitação de desbloqueio e uma nova senha seja atribuída.
Seção II
Do Bloqueio, Desbloqueio e Cancelamento da Conta de Acesso
Art. 20. A conta de acesso será bloqueada nos seguintes casos:
I - após 3 (três) falhas consecutivas de tentativas de acesso;
II - mediante solicitação do superior imediato do usuário, com a devida
justificativa;
III - quando houver suspeita de uso indevido dos serviços disponibilizados pelo
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome ou de
descumprimento da Política de Segurança da Informação - POSIN e normas correlatas em
vigência; e
IV - após 45 (quarenta e cinco) dias consecutivos sem utilização pelo
usuário.
Art. 21. O desbloqueio da conta de acesso à rede local será realizado mediante
solicitação formal com justificativa do gestor imediato ao qual o usuário está vinculado à
Subsecretaria de Tecnologia da Informação - STI.
Art. 22. Em caso de afastamento temporário do usuário, a conta de acesso
deverá ser bloqueada a pedido do superior imediato ou da Unidade de Gestão de
Pessoas.
Art. 23. A conta de acesso não utilizada há mais de 45 (quarenta e cinco) dias
deverá ser excluído o acesso.
Parágrafo único. O acesso não será excluído se o servidor ou colaborador
estiver em gozo de licença ou afastamento legalmente permitido.
Art. 24. O processo formal de cancelamento de usuários que administram ou
operam sistemas e serviços, estabelecido pela Subsecretaria de Tecnologia da Informação
- STI, deve incluir a desativação ou exclusão imediata de usuário que tenha deixado o
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Parágrafo único. Em caso de usuários com acesso privilegiado, a Subsecretaria
de Tecnologia da Informação - STI priorizará a revogação ou a desativação de contas com
o objetivo de manter dados e logs para possíveis auditorias.
Art. 25. A Subsecretaria de Tecnologia da Informação - STI deve configurar
bloqueio
automático de
sessão nos
ativos
após um
período de
inatividade
preestabelecido.
Parágrafo único. O período de inatividade de que trata o caput é específico
para cada tipo de ativo.
CAPÍTULO III
DO ACESSO FÍSICO
Art. 26. A Subsecretaria de Tecnologia da Informação - STI estabelecerá
perímetros de segurança para proteger ambientes e ativos contra acesso físico não
autorizado, danos e interferências, com base nas seguintes diretrizes:
I - indicação da localização e resistência dos perímetros de acordo com os
requisitos de segurança da informação relacionados aos ativos que se encontrem dentro
dos perímetros;
II - proteção dos ambientes seguros contra acessos não autorizados por meio
de mecanismos de controle de acesso, como fechaduras tradicionais ou digitais, que
possibilitem autenticação por biometria, senhas, Personal Identification Number - PIN ou
cartões de acesso;
III - execução de testes nos mecanismos de controle de acesso em períodos
pré-definidos para assegurar a funcionalidade total dos equipamentos;
IV - monitoramento dos mecanismos de controle de acesso por parte da
Subsecretaria de Tecnologia da Informação - STI; e
V - estabelecimento de uma área de recepção ou outros meios de controle de
acesso físico a ambientes em que não seja conveniente a implementação de mecanismos
de controle de acesso.
Art. 27. O acesso físico a ambientes seguros ou ativos de tratamento e
armazenamento de dados do Ministério do Desenvolvimento e Assistência Social, Família
e Combate à Fome é destinado apenas a pessoal autorizado.
Parágrafo único. A Subsecretaria de Tecnologia da Informação - STI mantém
um processo de gestão de acessos para fornecimento, revisão periódica, atualização e
revogação das autorizações.
Art. 28. A Subsecretaria de Tecnologia da Informação - STI retém e mantém
seguros os logs ou registros de todos os acessos físicos aos ativos de informação.
Art. 29. O acesso por fornecedores ou prestadores de serviços a ambientes
seguros ou ativos de
tratamento e
armazenamento de
dados que estejam nas
dependências do Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fome será concedido, somente quando necessário:
I - para fins específicos e autorizados;
Fechar