Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 24/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025122400096
96
Nº 245, quarta-feira, 24 de dezembro de 2025
ISSN 1677-7042
Seção 1
II - com autorização concedida pelo gestor responsável pelo ativo de
informação; e
III - com supervisão e monitoramento.
Art. 30. Os ativos de armazenamento e tratamento de dados que se encontrem
fora do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome
devem ser protegidos contra perda, roubo, danos e acesso físico não autorizados,
devendo-se:
I - manter sempre o ativo em constante vigilância quando em locais públicos e
inseguros;
II - proteger o ativo contra riscos associados à visualização de informações por
outra pessoa; e
III - implementar as funcionalidades de rastreamento e limpeza remota.
Art. 31. A gestão de mídias de armazenamento compete à Subsecretaria de
Tecnologia da Informação - STI, devendo-se:
I - exigir autorização para a saída de mídias de armazenamento do Ministério
do Desenvolvimento e Assistência Social, Família e Combate à Fome;
II - armazenar mídias em local seguro, de acordo com a classificação de suas
informações;
III - criptografar as mídias de acordo com a classificação de suas informações;
e
IV - manter cópias de segurança de mídias de acordo com a classificação de
suas informações.
Art. 32. As condições e restrições pertinentes ao acesso físico nos dispositivos
de trabalho remoto serão definidas pela Subsecretaria de Tecnologia da Informação - STI,
consideradas:
I - a segurança física do local de trabalho remoto; e
II - as regras e orientações quanto ao acesso de familiares e visitantes ao
dispositivo.
CAPÍTULO IV
DO GERENCIAMENTO DE DIREITOS DE ACESSOS PRIVILEGIADOS
Art. 33. Devem ser realizados o gerenciamento e a proteção de informações de
autenticação das identidades com acessos privilegiados aos ativos de informação do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 34. O fornecimento de direitos de acesso privilegiado aos ativos de
informação se dará:
I - mediante solicitação formal para a Subsecretaria de Tecnologia da
Informação - STI, com a devida justificativa, de tempo necessário para o acesso
privilegiado e com a autorização da chefia imediata e do gestor da unidade responsável,
via formulário Sistema Eletrônico de Informações - SEI;
II - somente a usuários com a competência necessária para realizar atividades
que exijam acesso privilegiado e com base no requisito mínimo para suas funções
funcionais;
III - com a manutenção de um processo de autorização, determinando-se quem
pode aprovar direitos de acesso privilegiado ou com a não concessão de direitos de acesso
privilegiado até que o processo de autorização seja concluído, com um registro de todos
os privilégios alocados;
IV - regularmente, devendo os direitos de acesso privilegiados ser revisados
após qualquer mudança organizacional, a fim de se verificar se os deveres, papéis,
responsabilidades e competências ainda qualificam para o trabalho com direitos de acesso
privilegiados;
V - com a proibição do uso de IDs genéricos de usuário de administração
(como root), dependendo dos recursos de configuração dos sistemas;
VI - com a concessão de acesso privilegiado, fornecida temporariamente dentro
da janela de tempo necessária para implementar alterações ou atividades aprovadas (por
exemplo, para atividades de manutenção ou algumas mudanças críticas), proibido o
fornecimento permanente de acesso privilegiado;
VII - com todo o acesso privilegiado aos ativos de informação devendo ser
registrado para fins de auditoria;
VIII - devendo ser compartilhadas ou vinculadas identidades com direitos de
acesso privilegiados a várias pessoas, atribuindo-se uma identidade única a cada usuário
ou entidade;
IX - com os direitos de acesso privilegiados devendo ser usados apenas para a
realização de tarefas específicas e por tempo limitado; e
X - com o histórico de acessos privilegiados devendo ser registrado em log,
para efeito de comprovação em situações que violem as normas.
§ 1º Todos os acessos
privilegiados não autorizados, justificados ou
injustificados serão removidos sem a necessidade de aviso prévio.
§
2º
É de
responsabilidade
das
áreas
finalísticas do
Ministério
do
Desenvolvimento e Assistência Social, Família e Combate à Fome a análise e aprovação das
solicitações de acessos privilegiados.
§ 3º É de responsabilidade da Subsecretaria de Tecnologia da Informação - STI
a aprovação e a concessão de acesso aos ativos de informação, garantindo que seja
concedido de forma segura, rastreável e em conformidade com as políticas técnicas
(autenticação ou logs de auditoria).
CAPÍTULO V
DA MOVIMENTAÇÃO INTERNA E CONTA DE ACESSO BIOMÉTRICO
Art. 35. Nos casos em que houver transferência de usuário entre setores ou
ocupação de nova função pelo usuário, os direitos de acesso à rede local serão
revogados.
§ 1º Cabe ao novo superior imediato ou à Unidade de Gestão de Pessoas
realizar a solicitação de novos acessos de acordo com o novo setor ou a nova função do
usuário.
§ 2º Os direitos de acesso antigos serão imediatamente cancelados, de ofício,
pela Subsecretaria de Tecnologia da Informação - STI ou por solicitação do antigo superior
imediato ou da Unidade de Gestão de Pessoas.
Art. 36. As contas de acesso biométrico, ao serem implementadas, quando
possível, serão vinculadas às contas de acesso lógico, podendo ambas ser utilizadas para
se obter um acesso com autenticação multifatores.
Parágrafo único. Os dados biométricos serão tratados como dados com acesso
restrito, preferencialmente utilizando-se de criptografia que atenda à legislação vigente.
CAPÍTULO VI
DOS ADMINISTRADORES
Art. 37. A utilização de identificação (login) com acesso no perfil de
administrador é permitida somente para usuários cadastrados para execução de tarefas
específicas da administração de ativos de informação.
Art. 38. Somente os técnicos da Subsecretaria de Tecnologia da Informação -
STI, devidamente identificados e habilitados, poderão ter senha com privilégios de
administrador nos equipamentos locais e na rede.
Art. 39. Em caso de necessidade de utilização de login com privilégio de
administrador do equipamento local, o usuário encaminhará a solicitação para a
Subsecretaria de Tecnologia da Informação - STI, a qual poderá negar os casos em que
entender desnecessária a utilização.
§ 1º Se concedida a permissão como administrador local na estação de
trabalho, o usuário será responsável por manter a integridade da máquina, não podendo
instalar, desinstalar ou remover qualquer programa sem autorização formal da
Subsecretaria de Tecnologia da Informação - STI.
§ 2º Caso constatada alguma irregularidade, o usuário perderá o acesso como
administrador, não mais podendo requerer outra permissão.
§ 3º A identificação (login) com privilégio de administrador nos equipamentos
locais será fornecida em caráter provisório, podendo ser renovada por solicitação formal
do titular da unidade requisitante.
Art. 40. Salvo para atividades específicas da área responsável pela gestão da
Subsecretaria de Tecnologia da Informação - STI do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome, não será concedida para um mesmo usuário
identificação (login) com privilégio de administrador para mais de uma estação de trabalho
ou para acesso a equipamentos servidores e a dispositivos de rede.
Art. 41. Excepcionalmente, poderá ser concedida identificação (login) de acesso
à rede de comunicação de dados a visitante em caráter temporário, após apreciação da
Subsecretaria de Tecnologia da Informação - STI.
Art. 42. A Subsecretaria de Tecnologia da Informação - STI deve implementar o
Múltiplos Fatores de Autenticação - MFA para todas as contas de administrador.
Art. 43. A Subsecretaria de Tecnologia da Informação - STI deve gerenciar os
privilégios das contas locais de administrador nos ativos de informação, de forma que o
usuário com privilégio administrativo não consiga realizar atividades gerais de computação,
como navegação na internet ou uso de e-mail e de pacote de produtividade.
Parágrafo único. As atividades previstas no caput devem ser executadas
preferencialmente a partir da conta primária e não privilegiada.
Art. 44. Ao tratar dados pessoais, o Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome observará o princípio da necessidade, como
regra, para garantir que o usuário receba apenas os direitos mínimos necessários para
executar suas atividades, podendo:
I - remover os direitos de administrador nos dispositivos finais;
II - remover todos os direitos de acesso root ou admin aos servidores e utilizar
tecnologias que permitam a elevação granular de privilégios, conforme a necessidade, ao
mesmo tempo em que fornecem recursos claros de auditoria e monitoramento;
III - eliminar privilégios permanentes, que estão "sempre ativos", sempre que
possível; e
IV - limitar a associação de uma conta privilegiada ao menor número possível
de pessoas e minimizar o número de direitos para cada conta privilegiada.
CAPÍTULO VII
DA RESTRIÇÃO DE ACESSO À INFORMAÇÃO
Art. 45. O controle de acesso aos ativos de informação devem seguir a
legislação vigente de restrição de acesso às informações.
Art. 46. Devem ser implementados controles de acesso físico ou lógico para o
isolamento
de
ativos que
tratem
de
informações
com restrição
de
acesso,
considerando:
I - o controle sobre quem pode acessar tais informações, durante qual o
período e de que forma;
II - o controle sobre o que ou quem pode acessar informações compartilhadas
com restrições de acesso, interna e externamente ao Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome;
III - o gerenciamento sobre o uso e distribuição das informações;
IV - a proteção das informações contra alterações não autorizadas, cópia e
distribuição, incluindo impressão;
V - o monitoramento do uso das informações com restrição de acesso; e
VI - o registro de quaisquer alterações nas informações que ocorram, no caso
de uma futura investigação, se necessária.
Art. 47. As técnicas dinâmicas de gerenciamento de acesso devem proteger as
informações durante todo o seu ciclo de vida, que abrange criação, processamento,
armazenamento, transmissão e descarte, incluindo:
I - estabelecer regras sobre a gestão do acesso dinâmico com base em casos
específicos de uso, considerando:
a) conceder permissões de acesso com base em identidade, dispositivo,
localização ou aplicação; e
b) aproveitar o esquema de classificação das informações para determinar
quais informações precisam ser protegidas com técnicas dinâmicas de gerenciamento de
acesso;
II - estabelecer processos operacionais, de monitoramento e de comunicação,
bem como suporte à infraestrutura técnica.
Parágrafo único. Os sistemas dinâmicos de gerenciamento de acesso devem
proteger as informações através de:
I - exigência de autenticação, credenciais apropriadas ou um certificado para
acessar informações;
II - restrição de acesso, como por um prazo especificado, por exemplo, após
uma determinada data ou até uma data específica;
III - uso de criptografia para proteger informações;
IV - definição de permissões de impressão das informações;
V - registro sobre quem acessa as informações e como as informações são
usadas; e
VI - alertas no caso de detecção de tentativas de uso indevido das
informações.
CAPÍTULO VIII
DO ACESSO AO CÓDIGO FONTE
Art. 48. Os acessos de leitura e escrita ao código-fonte, ferramentas de
desenvolvimento e bibliotecas de software devem ser adequadamente gerenciados.
Art. 49. Devem ser implementados controles para evitar a introdução de
funcionalidades não autorizadas, prevenir mudanças não intencionais ou maliciosas e
manter a confidencialidade de propriedade intelectual.
Art. 50. O acesso ao código-fonte e itens associados, como projetos,
especificações, planos de verificação e planos
de validação, e ferramentas de
desenvolvimento, por exemplo, compiladores, construtores, ferramentas de integração,
plataformas de teste e ambientes, devem ser estritamente controlados.
Art. 51. O acesso de gravação no código fonte deve ser restrito.
Art. 52. Devem ser consideradas as seguintes diretrizes para o controle do
acesso e às bibliotecas de código do programa:
I - gerenciamento do acesso ao código fonte do programa e às bibliotecas de
origem do programa de acordo com procedimentos estabelecidos;
II - concessão do acesso de leitura e de escrita ao código fonte com base nos
requisitos de negócio e na gestão de tratativas de riscos de alteração ou uso indevido e
de acordo com procedimentos estabelecidos;
III - atualização do código-fonte e dos itens associados, e concessão de acesso
ao código-fonte de acordo com os procedimentos de controle de mudança, iniciando-se
sua execução somente após a autorização adequada ter sido recebida;
IV - não concessão aos desenvolvedores de acesso direto ao repositório de
código-fonte, mas sim através de ferramentas de desenvolvedor que controlem atividades
e autorizações no código fonte;
V - armazenamento da listagem dos programas em um ambiente seguro, onde
o acesso à leitura e escrita seja devidamente gerenciado e atribuído; e
VI - manutenção de um registro de auditoria de todos os acessos e de todas
as alterações no código fonte.
Art. 53. Devem ser implementados controles adicionais para a publicação do
código-fonte do programa para fornecimento da garantia sobre sua integridade.
CAPÍTULO IX
DOS LOGS
Art. 54. Devem ser produzidos registros (logs), atividades, exceções, falhas e
outros eventos relevantes relacionados ao controle de acesso, tais como:
I - IDs do usuário;
II - atividades do sistema;
III - datas, horários e detalhes dos eventos relevantes, por exemplo, log-on e
log-off;
IV - identidade do dispositivo, identificador do sistema e localização;
V - endereços e protocolos de rede;
VI - tentativas de acesso aos ativos de informação bem sucedidas e
rejeitadas;
VII - dados bem-sucedidos e rejeitados e outras tentativas de acesso a
recursos;
VIII - alterações na configuração dos ativos de informação;
IX - uso de privilégios;
X - uso de programas e aplicativos;
XI - arquivos acessados e o tipo de acesso, incluindo a exclusão de arquivos e
informações relevantes;
XII - alarmes levantados pelo sistema de controle de acesso;
XIII - ativação e desativação de sistemas de segurança, como sistemas antivírus
e sistemas de detecção de intrusões;
XIV - criação, modificação ou exclusão de identidades; e
XV - transações executadas pelos usuários em aplicativos.

Fechar