SEI/UFLA - 0700275 - Resolução

UNIVERSIDADE FEDERAL DE LAVRAS
Comitê Interno de Governança (CIGOV/REITORIA)
Trevo Rotatório Professor Edmir Sá Santos , Campus Universitário - https://ufla.br
Lavras/MG, CEP 37203-202

Dispõe sobre a Política de Uso Seguro de Serviços de Computação em Nuvem da UFLA, estabelecendo princípios, diretrizes e requisitos para a adoção, contratação, utilização e gestão segura de soluções de computação em nuvem.

O COMITÊ INTERNO DE GOVERNANÇA DA UNIVERSIDADE FEDERAL DE LAVRAS, no uso das atribuições regimentais e em conformidade com a Resolução Normativa CUNI nº 155, de 23 de abril de 2025, que dispõe sobre o Regimento Interno do Comitê Interno de Governança da Universidade Federal de Lavras,

CONSIDERANDO a Instrução Normativa nº 5, de 30 de agosto de 2021, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

CONSIDERANDO a Portaria SGD/MGI nº 5950, de 26 de outubro de 2023 , que estabelece modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;

CONSIDERANDO a Portaria SGV nº 27, de 24 de outubro de 2025, que estabelece a Estratégia de Uso de Software e de Serviços de Computação em Nuvem no âmbito da Universidade Federal de Lavras; e,

A Política de Uso Seguro de Serviços de Computação em Nuvem da Universidade Federal de Lavras (PSN/UFLA) entra em vigor nos termos desta Resolução.

Documento assinado eletronicamente por JACKSON ANTONIO BARBOSA, Reitor(a), em Exercício, em 15/04/2026, às 07:16, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufla.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0700275 e o código CRC 3474B793.

Art. 1º Fica instituída a Política de Uso Seguro de Serviços de Computação em Nuvem da Universidade Federal de Lavras (PSN/UFLA), com a finalidade de estabelecer diretrizes, requisitos e responsabilidades para a adoção, contratação, utilização e gestão segura de soluções de software e de computação em nuvem no âmbito da Universidade.

Art. 2º A PSN/UFLA aplica-se a todas as unidades administrativas e acadêmicas da UFLA, bem como a agentes públicos, colaboradores, terceiros e demais usuários que utilizem, direta ou indiretamente, recursos de tecnologia da informação vinculados à Instituição.

Parágrafo único. Esta Política aplica-se a todas as instalações físicas e ambientes lógicos administrados, mantidos ou utilizados pela UFLA, inclusive aqueles operados por terceiros ou em regime de contratação de serviços, abrangendo ainda entidades subsidiárias e unidades descentralizadas.

I – Agente responsável pelo serviço de nuvem: agente público formalmente designado pela unidade organizacional para atuar como ponto focal na utilização de serviços de computação em nuvem, sendo responsável pelo acompanhamento da operação, pela gestão de acessos e pela interlocução com a área de tecnologia da informação, de modo a assegurar a adequada utilização do serviço em conformidade com as normas institucionais e a legislação vigente.

II – Ambiente de nuvem: infraestrutura tecnológica, própria ou de terceiros, utilizada para disponibilização de serviços de computação em nuvem;

III – Ativo de informação: qualquer dado, informação, sistema ou recurso que possua valor para a Instituição;

IV – Autenticação multifator (MFA, do inglês Multi Factor Authentication): mecanismo de autenticação que requer dois ou mais fatores independentes para validação da identidade do usuário; V – Classificação da informação: processo de categorização das informações conforme seu nível de sensibilidade e restrição de acesso;

VI – Cloud broker (integrador de serviço de nuvem): entidade ou serviço responsável por intermediar, integrar e gerenciar a utilização de serviços de computação em nuvem entre a instituição e um ou mais provedores;

VII – Computação em nuvem: modelo que permite acesso sob demanda, via rede, a um conjunto compartilhado de recursos computacionais configuráveis, passíveis de provisionamento e liberação com mínimo esforço de gestão;

VIII – Confidencialidade: garantia de que a informação seja acessada apenas por pessoas autorizadas;

IX – Console administrativa do provedor de serviço de nuvem: interface web centralizada que permite gerenciar, monitorar e configurar os recursos de computação, armazenamento e rede contratados. Ela funciona como um painel de controle único para interagir com a infraestrutura do provedor sem a necessidade de acessar os servidores físicos;

X – Controle de segurança da informação: medida administrativa, técnica ou física adotada para proteger ativos de informação;

XI – Dados pessoais: informações relacionadas à pessoa natural identificada ou identificável, nos termos da legislação vigente;

XII – Dados pessoais sensíveis: dados pessoais sobre origem racial ou étnica, convicção

XIII – Disponibilidade: garantia de que a informação esteja acessível quando necessária; XIV – Gestão de riscos: conjunto de atividades coordenadas para identificar, analisar, avaliar e tratar riscos relacionados à segurança, nos termos dessa resolução, da informação; XV – Identidade federada: mecanismo de autenticação que permite o uso de credenciais institucionais em serviços externos de forma segura;

XVI – Incidente de segurança da informação: evento adverso que compromete ou tem potencial de comprometer a confidencialidade, integridade ou disponibilidade da informação; XVII – Infraestrutura como Serviço (IaaS, do inglês Infrastructure as a Service): modelo que disponibiliza recursos computacionais fundamentais, como processamento, armazenamento e redes; XVIII – Integridade: garantia de que a informação não foi alterada indevidamente; XIX – Logs de auditoria: registros de eventos e atividades realizadas em sistemas e ambientes computacionais;

XX – Plataforma como Serviço (PaaS, do inglês Platform as a Service): modelo que fornece ambiente para desenvolvimento, testes e implantação de aplicações;

XXI – Portabilidade de dados: capacidade de transferir dados entre diferentes provedores ou ambientes de nuvem, de forma estruturada e interoperável;

XXII – Provedor de serviço de nuvem: organização responsável por ofertar serviços de computação em nuvem;

XXIII – Responsabilidade compartilhada: modelo de governança no qual as responsabilidades de segurança, operação e conformidade são distribuídas entre a contratante, o provedor de serviços de nuvem e, quando aplicável, o cloud broker;

XXIV – Reversibilidade: capacidade de migração ou retorno dos dados e serviços para ambiente próprio ou para outro provedor, sem prejuízo à continuidade das operações; XXV – Segregação lógica: mecanismo de isolamento de ambientes e dados em infraestrutura compartilhada;

XXVI – Software como Serviço (SaaS, do inglês Software as a Service): modelo de serviço em que aplicações são disponibilizadas ao usuário final por meio da internet, sem necessidade de instalação local;

XXVII – Usuário: qualquer pessoa física ou jurídica que utilize recursos de software ou serviços de computação em nuvem no âmbito da UFLA.

I – estabelecer diretrizes e requisitos para a adoção, contratação, utilização e gestão segura de software e de serviços de computação em nuvem;

II – assegurar a confidencialidade, integridade e disponibilidade das informações institucionais;

III – promover a conformidade com a legislação vigente, normas federais e normativos internos aplicáveis à segurança da informação e à proteção de dados;

IV – alinhar o uso de soluções de software e de computação em nuvem às diretrizes da Política de Segurança da Informação e Comunicações da UFLA (POSIC/UFLA);

V – estabelecer responsabilidades quanto ao uso seguro dos recursos tecnológicos e à proteção das informações institucionais;

VI – promover a adoção de controles de segurança compatíveis com a criticidade dos ativos de informação;

VII – fomentar boas práticas de governança, segurança da informação e proteção de dados no âmbito institucional.

Art. 5º. A utilização de serviços de computação em nuvem no âmbito da UFLA observará os seguintes princípios:

I – alinhamento estratégico, garantindo a aderência às diretrizes institucionais de governança, tecnologia da informação e segurança da informação;

II – eficiência e economicidade, buscando a otimização do uso de recursos públicos, com foco em modelos sob demanda e escalabilidade;

III – segurança da informação e proteção de dados, assegurando a confidencialidade, integridade e disponibilidade das informações institucionais, em conformidade com a legislação vigente; IV – transparência e rastreabilidade, garantindo a visibilidade das ações realizadas e a adequada geração e manutenção de registros;

V – responsabilidade compartilhada, considerando as atribuições da UFLA e dos provedores de serviços de computação em nuvem;

VI – conformidade legal e regulatória, assegurando a observância das normas aplicáveis, especialmente aquelas relacionadas à proteção de dados pessoais;

VII – gestão de riscos, promovendo a identificação, avaliação e tratamento dos riscos associados ao uso de serviços de computação em nuvem.

Parágrafo único. Os princípios estabelecidos neste artigo deverão ser observados em conjunto com as diretrizes institucionais definidas na Estratégia de Uso de Software e de Serviços de Computação em Nuvem da UFLA.

I – observar as normas e diretrizes estabelecidas na POSIC/UFLA, na Política de Gestão de Riscos institucional e nos demais normativos institucionais aplicáveis, especialmente aqueles relacionados à governança, à segurança da informação e à proteção de dados;

II – adotar abordagem baseada em risco na seleção, contratação e utilização de serviços de computação em nuvem;

III – implementar controles de segurança da informação proporcionais à criticidade dos dados e dos serviços;

IV – adotar mecanismos de segregação e proteção de dados em ambientes de computação em nuvem, especialmente quando compartilhados;

V – utilizar mecanismos seguros de autenticação e controle de acesso, preferencialmente com uso de identidade federada e autenticação multifator;

VI – assegurar o registro, o monitoramento e a auditoria de eventos, acessos e incidentes de segurança da informação, garantindo sua integridade, rastreabilidade e disponibilidade para análise; VII – observar os requisitos legais e institucionais relacionados à proteção de dados pessoais e à privacidade;

VIII – planejar a continuidade dos serviços, incluindo estratégias de reversibilidade e portabilidade de dados;

IX – promover a capacitação contínua dos usuários e das equipes técnicas envolvidas na gestão, fiscalização e operação de serviços de nuvem;

X – formalizar processos, responsabilidades e controles relacionados ao uso de serviços de computação em nuvem.

Art. 7º. A PSN/UFLA constitui instrumento complementar à POSIC/UFLA, devendo manter alinhamento com esta em seus princípios, objetivos e diretrizes.

Parágrafo único. Em caso de conflito entre normas, prevalecerão aquelas que estabeleçam maior nível de proteção à segurança da informação, à privacidade e aos dados institucionais, observada a hierarquia normativa aplicável.

Art. 8º. Compete às agências, unidades administrativas e acadêmicas que utilizem serviços de computação em nuvem:

I – designar formalmente, no mínimo, um agente responsável pelo serviço de nuvem, bem como indicar suplente, conforme conveniência e oportunidade;

II – assegurar que o agente responsável possua qualificação técnica compatível com suas atribuições;

III – manter atualizadas, junto à DGTI, as informações relativas dos agentes responsáveis e os serviços de computação em nuvem utilizados;

IV – comunicar tempestivamente à DGTI, quaisquer substituições de agentes responsáveis; V – garantir que a utilização dos serviços de computação em nuvem esteja em conformidade com esta Política, com a POSIC/UFLA e com a legislação vigente;

VI – elaborar e manter atualizada matriz de responsabilidades (RACI) relacionada aos serviços de computação em nuvem utilizados;

VII – estabelecer e manter processo para tratamento de incidentes relacionados aos serviços de computação em nuvem;

VIII – assegurar que o tratamento de dados realizado nos serviços de computação em nuvem esteja em conformidade com as normas institucionais e legais, especialmente quanto à proteção de dados pessoais.

§ 1º Antes do início da utilização de serviços de computação em nuvem, a unidade deverá informar à DGTI os dados do agente responsável pelo serviço de nuvem designado, por meio de procedimento ou sistema institucional definido para esse fim.

§ 3º Os dados deverão ser mantidos atualizados, devendo a unidade comunicar à DGTI quaisquer alterações de forma tempestiva.

§ 4º A ausência de designação formal de agente responsável pelo serviço de nuvem deverá ser regularizada pela unidade, podendo implicar restrições ao uso dos serviços até a sua formalização.

I – intermediar as demandas de suporte técnico junto ao provedor de serviços de computação em nuvem e à DGTI;

II – intermediar as questões relativas a incidentes de indisponibilidade e de segurança da informação, em articulação com o provedor de serviços de computação em nuvem e com a ETIR/UFLA; III – acompanhar a operação dos serviços de computação em nuvem sob responsabilidade da unidade, observando aspectos de desempenho, disponibilidade e conformidade; IV – gerenciar os acessos aos serviços de computação em nuvem, em conformidade com as normas institucionais;

V – manter, quando aplicável, registros das configurações relevantes dos serviços sob sua responsabilidade;

VI – apoiar processos de auditoria e de verificação de conformidade relacionados aos serviços de computação em nuvem.

VII – observar e promover o cumprimento desta Política no âmbito de sua atuação.

§ 1º O agente responsável pelo serviço de nuvem deverá atuar em conformidade com as orientações da DGTI e com o modelo de responsabilidade compartilhada aplicável ao serviço contratado.

§ 2º A atuação do agente responsável pelo serviço de nuvem não afasta nem substitui as atribuições da área de tecnologia da informação, tampouco as competências do gestor e do fiscal do contrato, quando aplicáveis.

§ 3º O agente responsável pelo serviço de nuvem deverá possuir e manter capacitação técnica compatível com suas atribuições.

Art. 10. O acesso administrativo aos serviços de computação em nuvem, inclusive por meio de console administrativa ou interfaces equivalentes, deverá observar:

II – adoção de mecanismos de autenticação com múltiplos fatores de autenticação (MFA); III – provisionamento de usuários em consonância com as normas de controle de acesso lógico aos ativos da Instituição;

IV – responsabilização do usuário pelas ações realizadas por meio de suas credenciais.

Parágrafo único. As credenciais de acesso deverão ser mantidas sob guarda segura, sendo vedado seu armazenamento ou transmissão de forma inadequada, em desacordo com as normas institucionais.

II – manter cadastro atualizado dos serviços de computação em nuvem utilizados pela UFLA, incluindo as unidades responsáveis e os respectivos agentes responsáveis pelo serviço de nuvem; III – apoiar as unidades administrativas e acadêmicas na utilização dos serviços de computação em nuvem;

IV – monitorar a conformidade da utilização dos serviços com esta Política e com as normas institucionais;

VIII – definir procedimentos para o monitoramento dos serviços de computação em nuvem.

I – estabelecer diretrizes estratégicas para o uso de serviços de computação em nuvem na UFLA;

II – deliberar sobre temas relevantes de governança, riscos e conformidade no uso de serviços de computação em nuvem;

III – estabelecer os países nos quais dados e informações institucionais poderão ser armazenados em soluções de computação em nuvem, observado o disposto na legislação vigente;

IV – promover o alinhamento desta Política com os instrumentos institucionais de governança, gestão de riscos e segurança da informação;

V – acompanhar a implementação e a evolução do uso de serviços de computação em nuvem na UFLA.

Art. 13. Compete à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos da UFLA – ETIR/UFLA:

I – coordenar o tratamento de incidentes de segurança da informação relacionados aos serviços de computação em nuvem;

III – orientar as unidades e os agentes responsáveis pelo serviço de nuvem quanto às boas práticas de resposta a incidentes;

IV – atuar em articulação com a DGTI e com os provedores de serviços de computação em nuvem no tratamento de incidentes;

V – manter registros e relatórios sobre incidentes de segurança da informação relacionados aos serviços de computação em nuvem.

Art. 14. Compete ao provedor de serviços de computação em nuvem, bem como ao integrador (cloud broker), quando aplicável, cumprir integralmente as obrigações contratuais, inclusive quanto aos níveis de serviço, à segurança da informação, à proteção de dados e aos requisitos legais e normativos aplicáveis.

§ 1º A prestação dos serviços de computação em nuvem deverá observar o modelo de responsabilidade compartilhada, devendo ser claramente definidas as responsabilidades entre a UFLA, o provedor de serviços de computação em nuvem e, quando houver, o integrador.

§ 2º O modelo de responsabilidade compartilhada poderá contemplar, conforme a natureza dos serviços e das cargas de trabalho, regimes de gerenciamento total ou parcial pelo integrador, não sendo tais modelos excludentes entre si.

§ 3º Deverá ser estabelecida, no processo de contratação, matriz de responsabilidades que identifique, de forma clara e formal, os papéis, as funções e os níveis de responsabilidade de cada parte envolvida na prestação dos serviços.

§ 4º Nas contratações que envolvam múltiplos provedores de serviços de computação em nuvem, o integrador, quando adotado, deverá atuar na integração e na coordenação dos serviços, conforme disposto na legislação e normativos aplicáveis.

§ 5º O descumprimento das obrigações contratuais sujeitará o provedor de serviços de computação em nuvem e, quando aplicável, o integrador, às sanções previstas na legislação vigente e no instrumento contratual.

Art. 15. Toda atividade realizada nos serviços de computação em nuvem será atribuída ao usuário titular das credenciais utilizadas para o acesso.

Parágrafo único. O uso indevido das credenciais ou dos serviços de computação em nuvem poderá ensejar responsabilização administrativa, civil e penal, nos termos da legislação vigente.

DA GOVERNANÇA, DO PLANEJAMENTO , SELEÇÃO E CONTRATAÇÃO DE SOLUÇÕES EM NUVEM

Art. 16. A governança do uso de serviços de computação em nuvem na UFLA deverá assegurar:

I – o alinhamento com o Plano de Desenvolvimento Institucional (PDI), o Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC), o Plano de Contratações Anual (PCA) e a Política de Segurança da Informação e Comunicações;

II – a definição clara de papéis e responsabilidades entre as áreas de negócio, a área de tecnologia da informação, os provedores de serviços de computação em nuvem e, quando aplicável, o integrador;

III – a adoção do modelo de responsabilidade compartilhada, formalizado em instrumentos contratuais;

IV – a gestão de riscos associados ao uso de serviços de computação em nuvem; V – o monitoramento contínuo da conformidade, do desempenho e da segurança dos serviços;

VII – a observância das deliberações do CIGOV/UFLA quanto à localização e ao tratamento de dados em serviços de computação em nuvem.

Art. 17. A adoção de soluções de computação em nuvem deverá ser precedida de planejamento que considere, no que couber:

VI - mecanismos de interoperabilidade com sistemas e bases de dados institucionais; VII - capacitação e transferência de conhecimento aos agentes responsáveis pelos serviços em nuvem.

Art. 18. A contratação de serviço em nuvem deve prever cláusulas de confidencialidade que impeçam o uso, a transferência ou a divulgação de dados institucionais sem autorização.

Parágrafo único. O contrato deve vedar o provedor do uso não autorizado de dados, tais como: propaganda, treinamento ou aprimoramento de modelos de inteligência artificial.

Art. 19. Deverão ser utilizados, no que couber, os instrumentos de verificação e os critérios mínimos de aceitação previstos na Portaria SGD/MGI nº 5.950, de 2023, como forma de assegurar:

Art. 21. Deverão ser instituídos mecanismos de acompanhamento e mensuração do consumo dos serviços contratados, incluindo:

Art. 22. A adoção de serviços de computação em nuvem deverá contemplar, obrigatoriamente:

IV – avaliação contínua da segurança e do desempenho dos serviços contratados. V – definição de estratégia de saída (exit strategy), incluindo procedimentos para encerramento contratual, migração dos serviços, exportação dos dados e eliminação segura das informações pelo fornecedor, além de garantir o direito ao esquecimento para dados pessoais, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 - LGPD.

V – mecanismos de acompanhamento do consumo efetivo em relação ao contratado.

Art. 23. Deverão ser implementados mecanismos de monitoramento contínuo dos serviços de computação em nuvem, contemplando indicadores de desempenho, disponibilidade, segurança e uso, de forma a subsidiar a gestão, a tomada de decisão e a melhoria contínua dos serviços.

Art. 24. A adoção, contratação, implementação e utilização de serviços de computação em nuvem no âmbito da UFLA deverão observar as diretrizes da POSIC/UFLA, desta política, da Instrução Normativa GSI/PR nº 5, de 2021, bem como a legislação vigente aplicável.

Parágrafo único. Os requisitos estabelecidos neste Capítulo constituem referência mínima obrigatória para a definição de controles de segurança da informação, privacidade e continuidade de

serviços, devendo ser observados no planejamento, na contratação, na implementação e na operação dos serviços de computação em nuvem.

Art. 25. O armazenamento, processamento e eventual transferência internacional de dados em serviços de computação em nuvem deverão observar:

I – as diretrizes e decisões estabelecidas pelo CIGOV, especialmente quanto à definição dos países aptos ao armazenamento de dados institucionais;

II – a legislação brasileira aplicável à proteção de dados pessoais, à privacidade e ao acesso à informação;

III – os requisitos de segurança da informação e de gestão de riscos definidos pela UFLA; IV – a classificação da informação e a criticidade dos dados envolvidos;

V – a manutenção de, pelo menos, uma cópia de segurança dos dados, conforme requisitos de continuidade definidos no Capítulo V desta política;

VI – a observância dos mecanismos legais aplicáveis à transferência internacional de dados; VII – a aplicação de controles adicionais para dados sensíveis ou classificados;

VIII – a adoção de medidas que garantam a disponibilidade, integridade e recuperação das informações.

Parágrafo único. A utilização de serviços que impliquem armazenamento ou processamento de dados em localidades não previamente autorizadas deverá ser devidamente justificada e submetida à apreciação do CIGOV.

Art. 26. Os serviços de computação em nuvem deverão adotar mecanismos criptográficos compatíveis com a criticidade das informações e os riscos envolvidos, observando, no mínimo:

IV – a priorização do controle institucional das chaves criptográficas, sempre que tecnicamente viável;

V – a utilização de mecanismos de proteção de chaves baseados em hardware, quando compatível com a criticidade dos dados.

Art. 27. A adoção de serviços de computação em nuvem deverá ser precedida de avaliação técnica, de segurança da informação e de privacidade, conforme disposto no Capítulo V, incluindo, no mínimo:

Parágrafo único. Os aspectos relacionados ao planejamento, à estimativa de custos, ao modelo de serviço e à estratégia de contratação estão disciplinados no Capítulo V desta Política.

Art. 28. A gestão de identidades e o controle de acesso aos serviços de computação em nuvem deverão assegurar:

I – a utilização de mecanismos de autenticação seguros, preferencialmente com identidade federada;

II – a adoção de autenticação multifator para acessos privilegiados e para informações críticas;

IV – a concessão de acessos compatíveis com as atribuições institucionais;

Art. 29. Os serviços de computação em nuvem deverão assegurar a geração, proteção, retenção e disponibilidade de registros de eventos (logs), de forma a garantir:

IV – o armazenamento dos registros por período compatível com requisitos legais e institucionais;

V – o acesso tempestivo da UFLA aos registros para fins de monitoramento, análise e resposta a incidentes.

Art. 30. Os serviços de computação em nuvem deverão assegurar mecanismos adequados de segregação lógica e isolamento de ambientes, conforme o modelo de serviço adotado, de forma a:

Art. 31. O tratamento da informação em ambiente de computação em nuvem deverá observar:

III – que informações classificadas como sigilosas somente poderão ser tratadas mediante previsão legal ou autorização expressa;

IV – que dados pessoais deverão observar a legislação vigente e as diretrizes institucionais de proteção de dados;

V – a adoção de medidas de minimização, necessidade e finalidade no tratamento de dados.

Art. 32. Para fins de contratação e utilização de serviços de computação em nuvem no âmbito da UFLA, o provedor deverá demonstrar capacidade técnica, operacional e de segurança compatível com os requisitos desta Política, especialmente aqueles estabelecidos no Capítulo VI, bem como com a legislação vigente.

Art. 33. O provedor de serviços de computação em nuvem deverá atender, no mínimo, aos seguintes requisitos, em consonância com os requisitos de segurança, privacidade e gestão estabelecidos nesta Política, especialmente no Capítulo VI:

b) realizar avaliação contínua de riscos relacionados aos serviços prestados; c) manter processos de governança, gestão de mudanças e continuidade de negócios.

b) manter sistemas atualizados e protegidos contra vulnerabilidades conhecidas; c) implementar controles de isolamento e segurança em ambientes virtualizados; d) garantir integridade e segurança dos mecanismos de virtualização.

a) implementar controles de acesso baseados no princípio do menor privilégio; b) suportar autenticação multifator;

b) permitir acesso da contratante aos logs relevantes, bem como a sua exportação ou cópia; c) garantir retenção adequada dos registros, em conformidade com as políticas institucionais e a legislação vigente aplicável;

d) observar os requisitos de continuidade e resiliência definidos no Capítulo V desta Política.

d) cumprir as obrigações contratuais referentes ao término do contrato e a exclusão segura dos dados e a manutenção da privacidade, conforme legislação vigente aplicável; e) observar as diretrizes de portabilidade, reversibilidade e estratégia de saída estabelecidas no Capítulo V desta Política.

a) notificar tempestivamente à contratante sobre incidentes de segurança da informação; b) manter procedimentos formais de resposta a incidentes;

a) demonstrar conformidade com padrões reconhecidos de segurança da informação; b) submeter-se a auditorias independentes e periódicas;

c) apresentar evidências de conformidade relativas aos controles e requisitos de segurança da informação, privacidade e continuidade estabelecidos nesta Política, especialmente aqueles definidos no Capítulo VI, sempre que solicitado pela contratante ou no âmbito da gestão e fiscalização contratual.

Art. 34. Os provedores de serviços de computação em nuvem contratados pela UFLA deverão assegurar níveis de serviço compatíveis com as necessidades institucionais, formalizados por meio de Acordos de Nível de Serviço (Service Level Agreements – SLAs), que contemplem, no mínimo:

Art. 35. Os provedores deverão demonstrar aderência a padrões reconhecidos de segurança da informação, privacidade e continuidade de serviços, tais como certificações, relatórios de auditoria independente ou outros mecanismos equivalentes.

Art. 36. Os serviços prestados deverão possibilitar mecanismos de auditoria, transparência e acesso às informações necessárias para verificação de conformidade, observadas as disposições contratuais e legais aplicáveis.

Art. 37. A utilização de cloud brokers no âmbito da UFLA deverá observar as diretrizes desta Política, especialmente quanto à governança da contratação (Capítulo V), aos requisitos de segurança da informação (Capítulo VI) e às obrigações dos provedores (Capítulo VII), bem como a legislação vigente e as normas institucionais aplicáveis.

Art. 38. O cloud broker deverá atuar como integrador e facilitador da gestão de serviços de computação em nuvem, intermediando a relação entre a UFLA e um ou mais provedores, assegurando a interoperabilidade, a governança e o suporte à gestão dos ambientes contratados.

Parágrafo único. A atuação do cloud broker não substitui os mecanismos institucionais de governança, gestão de riscos e segurança da informação estabelecidos pela UFLA.

Art. 39. Quando utilizada plataforma de gestão multinuvem por meio de cloud broker, esta deverá prover funcionalidades compatíveis com as necessidades institucionais, observados os requisitos estabelecidos no Capítulo VI, incluindo, no mínimo:

Parágrafo único. Os requisitos técnicos, operacionais e de segurança aplicáveis às funcionalidades previstas neste artigo deverão observar integralmente o disposto no Capítulo VI desta Política.

Art. 40. O cloud broker deverá assegurar, no âmbito de sua atuação, que os provedores por ele integrados:

I – atendam aos requisitos técnicos, de segurança e de conformidade previstos nesta Política, especialmente no Capítulo VI;

II – cumpram as obrigações contratuais estabelecidas, nos termos do Capítulo VII; III – estejam aderentes à legislação vigente e às diretrizes institucionais da UFLA.

§ 1º A atuação do cloud broker não afasta a responsabilidade direta dos provedores de serviços de computação em nuvem pelo cumprimento de suas obrigações.

§ 2º O cloud broker responderá solidariamente quando atuar como intermediador na prestação dos serviços, especialmente nos casos de falhas de integração, governança ou monitoramento.

Art. 41. A contratação de cloud broker deverá observar o disposto no Capítulo V desta Política e prever, em instrumento contratual, no mínimo:

I – definição clara das responsabilidades entre a UFLA, o cloud broker e os provedores;

III – critérios de gestão de riscos e de segurança da informação, em conformidade com o Capítulo VI;

IV – responsabilidades e fluxos de comunicação em caso de incidentes de segurança;

V – requisitos que mitiguem dependência tecnológica indevida (vendor lock-in), conforme diretrizes do Capítulo V.

Art. 42. O cloud broker deverá demonstrar conformidade com requisitos de segurança da informação, governança e gestão de riscos, mediante a apresentação de evidências compatíveis com padrões reconhecidos e com as diretrizes institucionais.

§ 1º As evidências de conformidade poderão ser apresentadas pelo cloud broker ou pelos provedores por ele integrados, conforme a responsabilidade de cada parte.

§ 2º A exigência, forma de apresentação e periodicidade das evidências deverão observar os critérios definidos no Capítulo V e os requisitos de segurança estabelecidos no Capítulo VI.

§ 3º A ausência ou insuficiência de evidências poderá ensejar a adoção de medidas administrativas, contratuais e de gestão de riscos pela UFLA.

Art. 43. Nos casos de utilização de cloud broker, a gestão e comunicação de incidentes de segurança da informação deverão observar os fluxos institucionais definidos pela UFLA e o disposto no Capítulo VI, cabendo:

I – ao cloud broker, quando aplicável, a consolidação e o encaminhamento das notificações;

II – ao provedor, a comunicação tempestiva do incidente e a adoção das medidas corretivas;

III – à UFLA, a coordenação da resposta, avaliação de impactos e adoção de medidas de governança.

Parágrafo único. Os prazos, responsabilidades e procedimentos para tratamento de incidentes deverão estar claramente definidos em instrumento contratual, nos termos do Capítulo V e das obrigações previstas no Capítulo VII.

Art. 44. A contratação de serviços de computação em nuvem junto a provedores externos deverá ser formalizada por instrumento jurídico adequado, observando o disposto no Capítulo V desta Política, devendo estabelecer de forma clara os direitos e deveres das partes, bem como contemplar requisitos de segurança da informação, privacidade e proteção de dados, nos termos do Capítulo VI e da legislação vigente.

Art. 45. O instrumento jurídico deverá conter cláusulas que assegurem a adequada governança, segurança e conformidade dos serviços contratados, observados os requisitos técnicos e organizacionais estabelecidos no Capítulo VI e as obrigações previstas no Capítulo VII, devendo contemplar, no mínimo:

I – cláusula de confidencialidade que impeça o uso, compartilhamento, transferência ou divulgação de dados, informações, sistemas e processos institucionais sem autorização expressa da contratante, observada a legislação vigente;

II – garantia de que a UFLA detém a titularidade sobre os dados e informações tratados, asseguradas as condições de acesso, portabilidade e recuperação;

III – vedação expressa ao uso de dados institucionais para fins de propaganda, treinamento de modelos de inteligência artificial ou qualquer finalidade secundária não autorizada;

IV – vedação ao uso de dados institucionais para finalidades não autorizadas, incluindo treinamento de modelos ou qualquer uso secundário incompatível com o contrato; V – garantia de portabilidade, reversibilidade e devolução integral dos dados ao término do contrato, em formato estruturado, interoperável e acessível, conforme diretrizes do Capítulo V;

VI – previsão de eliminação segura dos dados ao término contratual, ressalvadas as

hipóteses legais de retenção, em conformidade com os requisitos do Capítulo VI;

VII – previsão de mecanismos de auditoria, monitoramento e verificação de conformidade, observadas as diretrizes de governança estabelecidas nesta Política;

VIII – definição de níveis de serviço (SLA), incluindo disponibilidade, desempenho, suporte e penalidades por descumprimento;

IX – definição do modelo de responsabilidade compartilhada entre contratante, cloud broker e provedores, conforme aplicável e nos termos do Capítulo VII e do Capítulo VIII;

X – previsão de gestão e comunicação de incidentes de segurança da informação, conforme os requisitos estabelecidos no Capítulo VI;

XI – garantia de atendimento aos direitos dos titulares de dados pessoais, nos termos da legislação vigente;

XII – previsão de mecanismos que mitiguem dependência tecnológica indevida (vendor lock-in), conforme diretrizes do Capítulo V;

XIII - previsão de requisitos relacionados ao ciclo de vida da informação, incluindo retenção e descarte seguro, conforme estabelecido no Capítulo VI.

Art. 46. O tratamento de incidentes de segurança da informação relacionados a serviços de computação em nuvem deverá observar obrigatoriamente o Plano de Gestão de Incidentes de Segurança da Informação e Privacidade da UFLA, bem como as diretrizes da POSIC/UFLA, os requisitos estabelecidos no Capítulo VI desta Política e a legislação vigente.

Parágrafo único. O Plano de Gestão de Incidentes constitui o instrumento normativo que define os procedimentos, fluxos, papéis e responsabilidades para tratamento de incidentes no âmbito institucional.

Art. 47. As unidades organizacionais, os agentes responsáveis, os cloud brokers e os provedores de serviços de computação em nuvem deverão atuar em conformidade com o Plano de Gestão de Incidentes, cabendo-lhes:

I – realizar a notificação de incidentes por meio dos canais institucionais definidos;

II – observar os procedimentos de registro, triagem, classificação e tratamento estabelecidos;

III – colaborar com as ações de resposta, contenção, erradicação e recuperação;

V – cumprir os fluxos de comunicação e responsabilidades definidos contratualmente, nos termos dos Capítulos V, VII, VIII e IX.

Art. 48. A gestão de incidentes deverá observar abordagem estruturada e contínua, contemplando todas as etapas definidas no Plano de Gestão de Incidentes, incluindo identificação, análise, tratamento, recuperação e lições aprendidas.

Parágrafo único. A classificação e a criticidade dos incidentes deverão considerar o impacto nos ativos de informação e nos serviços institucionais, conforme critérios estabelecidos no Plano e nos requisitos do Capítulo VI.

Art. 49. Quando o incidente envolver dados pessoais, o encarregado pelo tratamento de dados pessoais da UFLA deverá ser acionado, observando-se os procedimentos definidos no Plano de Gestão de Incidentes e na legislação aplicável.

Parágrafo único. A comunicação de incidentes envolvendo dados pessoais deverá atender aos requisitos legais e contratuais, conforme estabelecido no Capítulo IX.

Art. 50. Os contratos de serviços de computação em nuvem deverão prever obrigações específicas relacionadas à gestão de incidentes, incluindo:

II – disponibilização de informações e evidências necessárias à apuração;

IV – cumprimento dos procedimentos institucionais definidos no Plano de Gestão de Incidentes.

Art. 51. A utilização de serviços de computação em nuvem no âmbito da UFLA deverá observar as diretrizes desta Política, especialmente os requisitos de segurança da informação estabelecidos no Capítulo VI, sendo vedadas práticas que comprometam a segurança, a conformidade e o interesse institucional.

Art. 52. É vedado às unidades organizacionais e aos usuários de serviços de computação em nuvem:

I – utilizar ferramentas ou práticas que comprometam ou possam comprometer a segurança, integridade ou disponibilidade dos serviços, incluindo atividades não autorizadas de varredura, exploração de vulnerabilidades ou geração artificial de tráfego;

II – armazenar, processar ou disponibilizar conteúdos ilícitos ou em desacordo com a legislação vigente;

III – utilizar os serviços para fins alheios ao interesse institucional, incluindo exploração comercial não autorizada;

IV – realizar terceirização, compartilhamento ou repasse de serviços sem autorização institucional ou previsão contratual, nos termos do Capítulo IX;

V – utilizar recursos computacionais para mineração de criptomoedas ou atividades similares com finalidade lucrativa ou não autorizada;

VI – descumprir as diretrizes desta Política, da POSIC/UFLA ou demais normativos institucionais;

VII – adotar práticas que violem os requisitos de segurança, privacidade ou conformidade estabelecidos nesta Política ou na legislação vigente.

Art.53. O descumprimento das restrições previstas neste Capítulo sujeitará os responsáveis às medidas administrativas, disciplinares e contratuais cabíveis, sem prejuízo de outras sanções previstas na legislação vigente.

Art. 54. As exceções às restrições previstas neste Capítulo deverão ser formalmente justificadas, avaliadas sob a ótica de riscos e autorizadas pela unidade competente, observadas as diretrizes de segurança da informação e governança institucional.

Parágrafo único. Não se aplicam as restrições previstas no inciso I do art. 59 às atividades formalmente autorizadas pela DGTI no exercício de suas atribuições institucionais, especialmente aquelas relacionadas à segurança da informação, testes e monitoramento.

Art. 55. Os contratos de serviços de computação em nuvem vigentes na data de publicação desta Política deverão ser adequados às suas disposições, sempre que possível, por meio de termo aditivo.

Art. 56. As unidades responsáveis, com apoio da área de tecnologia da informação e da governança institucional, deverão promover a adequação progressiva dos contratos vigentes, observando, sempre que possível:

I – a inclusão de cláusulas de segurança da informação, privacidade e proteção de dados, nos termos do Capítulo VI e do Capítulo IX;

II – a definição ou revisão de responsabilidades entre as partes, conforme os Capítulos VII e VIII;

III – a adequação dos mecanismos de gestão de incidentes, conforme o Capítulo X;

IV – a adoção de medidas que reduzam riscos institucionais associados à prestação dos serviços.

Art. 57. A adequação dos contratos vigentes deverá observar a viabilidade técnica, jurídica e econômica, podendo ser realizada por meio de:

Art. 58. Poderão ser estabelecidos prazos para adequação dos contratos vigentes, de forma proporcional à criticidade dos serviços e aos riscos envolvidos, observadas as diretrizes de gestão de riscos institucionais.

§ 1º Os serviços considerados críticos ou que envolvam dados sensíveis deverão ter prioridade na adequação.

§ 2º Enquanto não concluída a adequação contratual, deverão ser adotadas medidas compensatórias de segurança e controle, conforme avaliação de riscos realizada pelas áreas competentes.

Art. 59. A celebração de novos contratos, bem como renovações ou prorrogações contratuais, deverá observar integralmente as disposições desta Política.

Art. 60. Os casos excepcionais de impossibilidade de adequação contratual deverão ser formalmente justificados, avaliados sob a ótica de gestão de riscos e submetidos à apreciação da instância de governança competente.

Art. 61. Esta Política deverá ser amplamente divulgada no âmbito da Universidade Federal de Lavras, alcançando todos os agentes públicos, colaboradores, terceiros e usuários de serviços de tecnologia da informação, de forma a assegurar sua compreensão e cumprimento.

Parágrafo único. A divulgação deverá ser acompanhada de ações de conscientização e orientação, especialmente quanto aos requisitos de segurança da informação previstos no Capítulo VI e às responsabilidades estabelecidas nesta Política.

Art. 62. Esta Política deverá ser objeto de monitoramento e avaliação contínua quanto à sua efetividade, observadas as diretrizes de governança institucional.

IV – evolução dos riscos relacionados ao uso de serviços de computação em nuvem.

§ 2º Os resultados do monitoramento deverão subsidiar a revisão e o aprimoramento desta Política e dos instrumentos correlatos, incluindo normas, planos e procedimentos institucionais.

Art.63. Esta Política deverá ser revisada, no mínimo, a cada dois anos, ou a qualquer tempo, em função de:

V – necessidade de alinhamento com estratégias institucionais e diretrizes de governança.

Parágrafo único. A revisão desta Política deverá observar a coerência com os demais instrumentos institucionais, incluindo os processos de contratação (Capítulo V), os requisitos de segurança (Capítulo VI), as obrigações contratuais (Capítulo VII), a gestão de incidentes (Capítulo X) e os instrumentos jurídicos (Capítulo IX).

Art. 64. Compete às unidades responsáveis pela governança e pela gestão de tecnologia da informação promover a atualização e a manutenção dos instrumentos complementares a esta Política, incluindo normas, planos e procedimentos necessários à sua implementação.

Parágrafo único. Os instrumentos complementares deverão estar alinhados às diretrizes desta Política e às disposições legais e normativas aplicáveis.

Art. 65. Os casos omissos e as situações excepcionais serão analisados sob a ótica de gestão de riscos, segurança da informação e governança institucional, sendo dirimidos pelo Comitê Interno de Governança da UFLA, com apoio da Superintendência de Governança e da DGTI.

Art. 66. O descumprimento das disposições desta Política sujeitará os responsáveis às medidas administrativas, disciplinares e contratuais cabíveis, sem prejuízo das sanções previstas na legislação vigente.