SEI/UFLA - 0601915

UNIVERSIDADE FEDERAL DE LAVRAS

Superintendência de Governança (SGV)

Trevo Rotatório Professor Edmir Sá Santos , Campus Universitário - https://ufla.br

Lavras/MG, CEP 37203-202

Estabelece a Estratégia de Uso de Software e de Serviços de Computação em Nuvem no âmbito da Universidade Federal de Lavras.

A Superintendente de Governança da Universidade Federal de Lavras, no uso das competências que lhe confere em especial, a RESOLUÇÃO NORMATIVA CUNI Nº 058, DE 11 DE OUTUBRO DE 2022 , a RESOLUÇÃO NORMATIVA CUNI Nº 019, DE 19 DE MAIO DE 2022 e a PORTARIA REITORIA Nº 349, DE 13 DE MAIO DE 2024, e considerando a necessidade da definição da Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Universidade Federal de Lavras, com vista ao atendimento à Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023,

Art. 1º Fica aprovado, na forma do Anexo Único desta Portaria, o Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem do da Universidade Federal de Lavras, em conformidade com a SGD/MGI nº 5.950, de 26 de outubro de 2023.

Art. 2º A área de TI da Universidade Federal de Lavras deverá adotar, monitorar e garantir a aplicação das diretrizes estabelecidas na Estratégia de Uso de Software e de Serviços de Computação em Nuvem, visando garantir a qualidade e a conformidade na utilização dos recursos e nas contratações de software e dos serviços de nuvem de acordo com as necessidades de negócio do órgão.

Dispõe sobre a estratégia de uso de software e de serviços de computação em nuvem no âmbito da Universidade Federal de Lavras.

Art. 1° Para fins de compreensão dos termos utilizados nesta norma serão considerados os seguintes conceitos e definições:

I - Carga de trabalho (workload): conjunto de recursos que compõem uma arquitetura técnica destinada a suportar um ou mais serviços de TIC. As cargas de trabalho podem requerer uma combinação de recursos computacionais e de serviços técnicos para agregar valor ao negócio por meio de serviços de TIC;

II - Computação em nuvem: modelo que possibilita o provisionamento e a utilização sob demanda de recursos e serviços computacionais de qualquer lugar e a qualquer momento, de maneira conveniente, com acesso por meio de rede a recursos configuráveis (ex.: redes, segurança, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços em nuvem;

III - Consultoria especializada em software: serviços especializados de configuração, customização, instalação, otimização e manutenção em software cujos padrões de desempenho e qualidade podem ser objetivamente definidos no Termo de Referência. Esses serviços não se confundem com os serviços técnicos especializados de natureza predominantemente intelectual, dispostos no inciso XVIII do art. 6º da lei nº 14.133, de 1º de abril de 2021;

IV - Data center ou centro de dados: Consiste em uma estrutura, ou grupo de estruturas, dedicada à acomodação centralizada, interconexão e operação dos equipamentos de tecnologia da informação e redes de telecomunicações que fornece serviços de armazenamento de dados, processamento e transporte, em conjunto a todas as instalações e infraestruturas de distribuição de energia e controle ambiental, juntamente com os níveis necessários de recuperação e segurança requeridos para fornecer a disponibilidade de serviço desejada, conforme ABNT NBR ISO/IEC 22.237-1:2023;

V - Disponibilidade: condição de um serviço ou recurso estar acessível e apto para desempenhar plenamente suas funções, em determinado momento ou durante um período acordado;

VI - Incidente: qualquer acontecimento não planejado que cause redução na qualidade do serviço ou interrupção do serviço em parte ou como um todo, ou evento que ainda não impactou o serviço do usuário;

VII - Incidente de Segurança da Informação: qualquer evento de segurança da informação indesejável e inesperado, seja único ou em série, que pode comprometer as operações de negócio e ameaçar a segurança da informação;

VIII - Instância de Computação: componente de computação em nuvem composto de máquina virtual e serviços agregados, como armazenamento, dispositivos de rede e demais serviços necessários para manter essa máquina virtual em operação;

IX - Integrador de Serviços em Nuvem (Cloud Broker): realiza a integração dos serviços de computação em nuvem com agregação de valor entre o órgão ou a entidade e dois ou mais provedores de serviço de computação em nuvem. O Cloud Broker apoia o órgão ou entidade em descobrir, planejar, migrar, configurar, utilizar, gerenciar e evoluir os serviços de computação em nuvem de forma segura e eficiente;

X - Modelos de implantação de nuvem: representam como a computação em nuvem pode ser organizada, com base no controle e no compartilhamento de recursos físicos ou virtuais. Os modelos de implantação em nuvem incluem: nuvem pública, nuvem privada, nuvem comunitária e nuvem híbrida;

XI - Modelo de Serviços em nuvem IaaS (Infrastructure as a Service - Infraestrutura como Serviço): capacidade fornecida ao cliente para provisionar processamento, armazenamento, comunicação de rede e outros recursos de computação fundamentais, nos quais o cliente pode instalar e executar software em geral, incluindo sistemas operacionais e aplicativos. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento e aplicativos instalados e, possivelmente, um controle limitado de alguns componentes de rede;

XII - Modelo de Serviços em nuvem PaaS (Platform as a Service – Plataforma como Serviço): capacidade fornecida ao cliente para provisionar na infraestrutura de nuvem aplicações adquiridas ou criadas para o cliente, desenvolvidas com linguagens de programação, bibliotecas, serviços e ferramentas suportados pelo provedor de serviços em nuvem. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, incluindo rede, servidores, sistema operacional ou armazenamento, mas tem controle sobre as aplicações instaladas e possivelmente sobre as configurações do ambiente de hospedagem de aplicações;

XIII - Modelo de Serviços em nuvem SaaS (Software as a Service – Software como Serviço): capacidade de fornecer uma solução de software completa que pode ser contratada de um provedor de serviços em nuvem. Toda a infraestrutura subjacente, middleware, software de aplicativo e dados de aplicativo ficam no data center do provedor de serviços. O provedor de serviço gerência hardware e software e garante a disponibilidade e a segurança do aplicativo e de seus dados;

XIV - Multinuvem (multicloud): uma estratégia de utilização dos serviços de computação em nuvem por meio de dois ou mais provedores de nuvem pública;

XV - Nuvem comunitária: modelo de implantação de nuvem em que os serviços de computação em nuvem são exclusivamente suportados e compartilhados por um grupo específico de órgãos e entidades de serviços de computação em nuvem que têm requisitos compartilhados e um relacionamento entre si, e onde os recursos são controlados por pelo menos um membro deste grupo, conforme ISO/IEC 22123-1:2023 (Information technology — Cloud computing — Part 1: Vocabulary). O modelo de nuvem comunitária admite o uso de recursos computacionais de provedores de nuvem pública somente se assegurado o isolamento lógico e físico desses recursos, no ambiente do próprio órgão ou de empresas públicas, e não se configurando como uso de Nuvem Pública;

XVI - Nuvem híbrida: infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações;

XVII - Nuvem privada ou interna - infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade pode ser do próprio órgão ou de empresas públicas com finalidade específica relacionada à tecnologia da informação, conforme ISO/IEC 22123-1:2023 (Information technology — Cloud computing — Part 1: Vocabulary). O modelo de nuvem privada admite o uso de recursos computacionais de provedores de nuvem pública somente se assegurado o isolamento lógico e físico desses recursos, no ambiente do próprio órgão ou de empresas públicas, e não se configurando como uso de Nuvem Pública;

XVIII - Nuvem pública ou externa - infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de órgãos públicos, empresas privadas ou de ambos;

XIX - Orquestração: habilidade de coordenar e gerenciar recursos em diferentes provedores de nuvem públicas;

XX - Provedor de serviços em nuvem: empresa que possui infraestrutura de Tecnologia da Informação - TI destinada ao fornecimento de infraestrutura, plataformas e aplicativos baseados em computação em nuvem;

XXI - Cloud first: é uma estratégia de negócios e TI onde a nuvem é considerada a primeira opção para novas iniciativas, serviços e infraestrutura, em vez de depender de soluções locais tradicionais (on-premise);

XXII - Lift and shift: é uma estratégia de migração para a nuvem que envolve mover um aplicativo ou carga de trabalho de um ambiente local (on-premises) para a nuvem, replicando-o com poucas ou nenhuma alteração;

XXIII - Broker multicloud: intermediário que ajuda empresas a gerenciar e otimizar o uso de serviços de computação em nuvem de múltiplos provedores

Art. 2° A estratégia de uso de software e de serviços de computação em nuvem tem o objetivo de assegurar que a Universidade Federal de Lavras (UFLA) obtenha os resultados esperados e mitigue os riscos associados à adoção de possíveis novas tecnologias ou novas formas de contratação no âmbito do UFLA.

Art. 3° Esta estratégia deve ser aplicada para novas contratações de software e de serviços de computação em nuvem no âmbito da UFLA, tais como:

X - consultoria especializada em software e/ou serviços de computação em nuvem.

Art. 4º Para o desenvolvimento da estratégia de uso de software e de serviços de computação em nuvem, cabe a UFLA observar, sem prejuízo das demais normas em vigor:

I - Instrução Normativa GSI/PR nº 8, de 6 de outubro de 2025, que dispõe sobre os requisitos mínimos de segurança da informação para o tratamento de informação classificada em computação em nuvem;

II - Decreto nº 12.572, de 4 de agosto de 2025, que institui a Política Nacional de Segurança da Informação e a governança da segurança da informação no âmbito da administração pública federal;

III - Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023 que estabelece modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;

IV - Instrução Normativa Nº 5, de 30 de agosto de 2021: dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

V - Decreto Nº 12.572, de 4 de agosto de 2025, que institui a Política Nacional de Segurança da Informação;

VI - Resolução SE/GSI nº 1, de 11 de setembro de 2019, que aprova o Regimento Interno do Comitê Gestor de Segurança da Informação;

VII - Portaria GSI/PR nº 93, de 26 de setembro de 2019, que aprova o Glossário de Segurança da Informação;

VIII - Decreto Nº 12.573, de 4 de agosto de 2025 , que a institui a Estratégia Nacional de Cibersegurança – E-Ciber;

IX - Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020 que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

X - Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021 que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

XI - Portaria SGD/MGI nº 852, de 28 de março de 2023, que dispõe o Programa de Privacidade e Segurança da Informação; XII - demais leis, decretos, resoluções, portarias e instruções normativas relacionadas à segurança da informação, publicadas pelo Gabinete de Segurança Institucional da Presidência da República;

XII - Padrões nacionais e internacionais pertinentes à segurança da informação e à computação em nuvem, como ISO/IEC 27001, 27017, 27018 e 27701, e

XIII - Decreto Nº 12.572, de 4 de agosto de 2025, que dispõe sobre os requisitos mínimos de segurança da informação para tratamento de informação classificada em computação em nuvem.

I - respeito aos princípios e diretrizes constitucionais, legais e regulamentares que regem a administração pública federal;

II - garantia de integridade, autenticidade e disponibilidade da informação sob a custódia da UFLA, com respeito ao princípio da transparência e atribuição de confidencialidade apenas nos casos expressamente previstos na legislação;

III - alinhamento estratégico da Política de Segurança da Informação e Comunicação com os demais planos institucionais;

IV - responsabilidade pelo cumprimento das normas pertinentes à segurança da informação vigentes;

V - conscientização, educação e comunicação como alicerces fundamentais para o fomento da cultura em segurança da informação;

VI - soberania e localização nacional de dados classificados e sensíveis;

VIII - Transparência, rastreabilidade e auditoria das operações em nuvem;

Art. 6° A apresentação dos relatórios de tipo I e tipo II da auditoria SOC 2, comprovada a conformidade com os padrões de segurança em nuvem, é condição essencial, tanto para habilitar a participação em processo licitatório, como para renovar o contrato de prestação de serviço em nuvem com órgãos ou entidades da administração pública federal.

Parágrafo único. Na hipótese de utilização de cloud broker, esse será o responsável por apresentar os relatórios de tipo I e tipo II da auditoria SOC 2 de todos os provedores de serviço de nuvem que ele representa.

DAS DIRETRIZES PARA DEFINIÇÃO DA ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM

Art. 7° Diretrizes deverão ser observadas pela UFLA ao adotar soluções de computação em nuvem de forma segura, com o objetivo de elevar o nível de proteção das informações no uso dessa tecnologia.

Art. 8° A UFLA deve identificar e avaliar as necessidades de negócio antes da contratação de software e de serviços de computação em nuvem.

Parágrafo único. Deve-se determinar quais sistemas, aplicações, dados e serviços precisam ser movidos para a nuvem, como eles serão acessados e quais recursos computacionais e de armazenamento serão necessários.

Art. 9° A UFLA deve avaliar quais modelos de serviço (IaaS, PaaS, SaaS) e de implementação (nuvem pública, nuvem privada, nuvem híbrida etc.) melhor se adequam aos requisitos de negócio.

§1º Caso as unidades da UFLA não possuam maturidade suficiente na contratação de serviços em nuvem ou possua impedimentos técnicos ou normativos para migração de alguns workloads, é recomendável sempre dar preferência à adoção de uma abordagem estratégica de nuvem híbrida.

§2º Caso as unidades da UFLA possua maturidade e já tenha concluído que a demanda prevista pode ser atendida integralmente por meio de serviços em nuvem, uma abordagem completa, incluindo as demandas de migração do ambiente on-premises para a nuvem pode ser adotada

Art. 10° Os estudos técnicos preliminares devem abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos requisitos de negócio, de forma a garantir que exista uma quantidade mínima de fornecedores com experiência e que atendam aos requisitos necessários ao atendimento da demanda.

Parágrafo único. Fatores como segurança, conformidade, disponibilidade e suporte técnico devem ser considerados nessa avaliação.

Art. 11° A UFLA deve determinar quais requisitos de segurança são importantes ou mandatórios para o negócio e deve ser avaliado, quando for o caso, como cada possível fabricante ou fornecedor atende a esses requisitos.

Art. 12° A política de governança deve abranger a identificação e classificação de dados, controle de acesso, gerenciamento de configuração e, quando for o caso, monitoramento das atividades em nuvem, de modo a garantir que os serviços a serem contratados sejam executados em conformidade com os padrões adotados pela UFLA.

Das diretrizes de uso seguro de software e de serviços de computação em nuvem

Art. 13° A UFLA deve definir políticas e normas que versam sobre segurança da informação e sobre o tratamento de informações em nuvem, bem como identificar, sob essa perspectiva, quais os sistemas ou workloads que podem ser migrados, assim como as medidas de gerenciamento de risco a serem adotadas para resguardar as informações sigilosas que eventualmente serão tratadas em ambiente de nuvem.

Da avaliação quanto às condições mínimas de infraestrutura de TIC da UFLA para utilizar serviços de computação em nuvem

Art. 14° A UFLA deve ter conexão estável com a Internet e com banda suficiente para gerenciar softwares e serviços de computação em nuvem.

Art. 15° A UFLA deve definir papéis e responsabilidades para as áreas de TI, de negócio e da nuvem.

Art. 16° A UFLA deve adotar os seguintes princípios norteadores da estratégia:

Art. 17° Esta estratégia deve estar alinhada com os seguintes planos estratégicos:

Do estabelecimento de linhas de base e metas de benefícios/resultados esperados

Art. 18° A UFLA deve definir linhas de base e metas de benefícios e resultados esperados, objetivando maior agilidade, redução de custos, resiliência e segurança.

Art. 19° A UFLA deve capacitar periodicamente a equipe que gerenciará, operará ou utilizará os recursos de software e de computação de serviços em nuvem, identificando as capacidades e habilidades necessárias.

Das considerações sobre portabilidade e interoperabilidade entre sistemas, dados e serviços

Art. 20° A UFLA deve considerar a viabilidade de adoção de medidas para mitigar a dependência tecnológica ou aprisionamento ao provedor.

Art. 21° A UFLA deve considerar os requisitos regulatórios e de conformidade para o uso seguro de software e serviços de computação em nuvem no âmbito do UFLA e da administração pública federal.

Art. 22° A UFLA deve considerar a análise de dependências e aspectos de portabilidade (backup, redundância, contratos de apoio, retorno para a infraestrutura local e etc.)

Art. 23° A UFLA deve considerar as diretrizes de gerenciamento de riscos constantes no modelo de contratação de software e de serviços de computação em nuvem estabelecidos na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023 ou documento equivalente publicado posteriormente.

Parágrafo único: A análise de riscos deve considerar a Política de Gestão de Riscos da Universidade Federal de Lavras, estabelecida pela Portaria Reitoria/UFLA nº 1.426, de 03 novembro de 2020 ou documento equivalente publicado posteriormente.

Art. 24° A UFLA trata os requisitos para uso seguro de computação em nuvem em norma específica para esta finalidade, conforme Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021.

I - assegurar a utilização de tecnologias de computação em nuvem em conformidade com as orientações contidas neste documento; e

II - disponibilizar recursos financeiros e humanos para a implementação desta estratégia.

I - aprovar as minutas de elaboração e de revisões do ato normativo sobre estratégia e o uso seguro de computação em nuvem e divulgá-las às partes interessadas;

II - estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem;

III - definir os requisitos criptográficos mínimos para o armazenamento de dados e informações, custodiados pela administração pública federal, em soluções de computação em nuvem; e

IV - analisar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre estratégia e o uso seguro de computação em nuvem.

I - instituir e coordenar a equipe para elaboração e revisões do ato normativo sobre estratégia e o uso seguro de computação em nuvem;

II - supervisionar a aplicação do ato normativo sobre estratégia e o uso seguro de computação em nuvem;

III - assegurar a contínua efetividade da comunicação com o provedor de serviço de nuvem, de forma a assegurar que os controles e os níveis de serviço relacionados à segurança da informação acordados sejam cumpridos;

IV - supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios relacionados à segurança da informação;

V - comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem aos órgãos competentes para os seus tratamentos, conforme a relevância dos incidentes previamente estabelecida;

VI - encaminhar para aprovação da alta administração as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem;

VII - propor ações de segurança da informação para a implementação ou a contratação, de tecnologias de computação em nuvem em conformidade com as orientações contidas neste documento; e

VIII - Assegurar o alinhamento da Instituição a Política de Segurança da Informação e Comunicações da Universidade Federal de Lavras.

Da Diretoria de Tecnologia da Informação e demais setores de TI das unidades do UFLA

Art. 28° Compete à Diretoria de Gestão Tecnologia da Informação e suas coordenadorias subordinadas:

I - implementar os procedimentos relativos ao uso de tecnologias de computação em nuvem em conformidade com as orientações contidas neste documento e legislação pertinente.

Art. 29° Esta estratégia, bem como os documentos gerados a partir dela devem ser revisados, aprovados e atualizados em função de alterações na legislação pertinente, de diretrizes políticas do governo federal, de alterações nas políticas e normas da UFLA, quando considerada necessária pelo Comitê Interno de Governança da UFLA - CIGOV.

Art. 30° Em função da capacidade de os provedores de serviço de computação em nuvem implementar atualizações relacionadas à segurança da informação em seus produtos e serviços, a presente estratégia deve ser revisada periodicamente para:

I - definir novos critérios e a periodicidade das atualizações dos procedimentos e dos recursos computacionais a serem observados pelo provedor de serviço de nuvem;

II - atualizar periodicamente os processos internos de gestão de riscos de segurança da informação;

III - quando ocorrerem eventos, fatores relevantes, novos requisitos tecnológicos, corporativos e/ ou legais que exijam sua revisão imediata; e

IV - assegurar a continuidade, sustentabilidade, adequação e efetividade quando houver mudanças significativas nos requisitos de segurança da informação que influenciam o uso seguro da computação em nuvem.

Art. 31° As novas contratações de software e serviços de computação em nuvem devem observar as diretrizes apresentadas neste documento, bem como o modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal.

Art. 32° Esta estratégia e seus documentos complementares devem ser divulgados a todos os usuários e partes interessadas a fim de promover sua observância e conhecimento.

Art. 33° A alta administração deve disponibilizar os recursos (humanos, tecnológicos e financeiros) necessários para a execução desta estratégia.

Art. 34° Os casos omissos não abordados neste documento serão analisados pelo Comitê Interno de Governança da UFLA - CIGOV.

Documento assinado eletronicamente por JOZIANA MUNIZ DE PAIVA BARCANTE, Superintendente de Governança, em 24/10/2025, às 13:57, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufla.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0601915 e o código CRC F53D19E7.