Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 30/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025123000058
58
Nº 248, terça-feira, 30 de dezembro de 2025
ISSN 1677-7042
Seção 1
V - investigação de sua operação e uso quando houver indícios de quebra
de segurança ou privacidade.
§ 2º Para os fins do disposto no inciso XVIII do caput, devem ser
abordados:
I - a análise do ambiente do Ministério da Gestão e da Inovação em
Serviços Públicos e dos órgãos solicitantes do ColaboraGov, dos seus ativos de
informação e das ameaças à segurança da informação;
II - a adoção de uma metodologia estruturada para identificar riscos;
III - a documentação dos riscos identificados, incluindo sua descrição,
origem, impacto potencial e probabilidade de ocorrência;
IV - a avaliação de riscos, de forma a determinar o risco a se concretizar
e o impacto potencial nos ativos de informação, bem como quais riscos devem ser
priorizados para tratamento; e
V - o tratamento dos riscos identificados e avaliados, o que pode incluir a
mitigação de riscos, por meio da implementação de controles de segurança, ou a
aceitação de riscos.
Art. 23. Os órgãos de assistência direta e imediata e órgãos singulares da
estrutura do Ministério da Gestão e da Inovação em Serviços Públicos devem realizar
periodicamente auditorias internas de sua segurança da informação para assegurar que
ela esteja em conformidade com a POSI-MGI e com outros requisitos de segurança da
informação aplicáveis.
Art. 24. As atividades, produtos e serviços desenvolvidos no Ministério da
Gestão e da Inovação em Serviços Públicos devem estar em conformidade com
requisitos de privacidade e proteção de dados pessoais constantes de leis,
regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.
Art. 25. São vedadas as seguintes condutas:
I - utilização dos recursos de tecnologia da informação disponibilizados pelo
Ministério da Gestão e da Inovação em Serviços Públicos para acesso, guarda e
divulgação de material incompatível com ambiente do serviço, que viole direitos
autorais ou que infrinja a legislação vigente;
II - uso e a instalação de recursos de tecnologia da informação que não
tenham sido homologados ou adquiridos pelo Ministério da Gestão e da Inovação em
Serviços Públicos;
III - divulgação a terceiros de mecanismos de identificação, autenticação e
autorização baseados em conta e senha ou certificação digital, de uso pessoal e
intransferível, que são fornecidos aos usuários; e
IV - exploração de eventuais
vulnerabilidades, as quais devem ser
comunicadas às instâncias superiores assim que identificadas.
Art. 26. As denúncias de violação a POSI-MGI podem ser comunicadas ao
Gestor de Segurança da Informação e feitas através dos canais disponibilizados na
página de segurança da informação, na Intranet.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 27. O cumprimento da POSI-MGI, bem como dos normativos que a
complementam devem ser avaliados periodicamente pelo Ministério da Gestão e  da
Inovação em Serviços Públicos, por meio de verificações de conformidade, buscando a
certificação do cumprimento dos requisitos de segurança da informação e da garantia
de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade,
contratos, convênios, acordos e instrumentos congêneres.
Art. 28. A não observância do disposto na POSI-MGI, bem como em seus
instrumentos normativos correlatos sujeita o infrator à aplicação de sanções
administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal
e civil, assegurados o contraditório e a ampla defesa.
Art. 29. A POSI-MGI será revisada periodicamente, pelo menos a cada
quatro anos, ou com mais frequência, se necessário, para refletir as mudanças no
ambiente do Ministério da Gestão e da Inovação em Serviços Públicos, nos riscos à
segurança da informação e nas melhores práticas de segurança da informação.
Art. 30. As dúvidas sobre a POSI-MGI devem ser submetidas ao Comitê de
Governança Digital e Segurança da Informação.
Art. 31. Ficam revogadas:
I - a Portaria ME nº 218, de 19 de maio de 2020;
II - a Portaria ME nº 2.800, de 1º de abril de 2022; e
III - a Portaria ME nº 5.827, de 18 de maio de 2021.
Art. 32. Esta Portaria entra em vigor na data de sua publicação.
CILAIR RODRIGUES DE ABREU
PORTARIA MGI Nº 10.035, DE 29 DE DEZEMBRO DE 2025
Dispõe sobre as diretrizes e requisitos para uso do
ambiente de computação em nuvem do Ministério
da Gestão e da Inovação em Serviços Públicos.
O MINISTRO DE ESTADO DA GESTÃO E DA INOVAÇÃO EM SERVIÇOS
PÚBLICOS SUBSTITUTO, no uso das atribuições que lhe confere o art. 87, parágrafo
único, incisos I e II, da Constituição, e tendo em vista o disposto nos art. 9º e art. 24
da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, na Portaria SGD/MGI
nº 5.950, de 26 de outubro de 2023, na Portaria MGI Nº 10.033, de 29 de dezembro
de 2025, e no processo 18001.000873/2025-34, resolve:
Objeto e âmbito de aplicação
Art. 1º Esta Portaria dispõe sobre as diretrizes e requisitos para uso do
ambiente de computação em nuvem do Ministério da Gestão e da Inovação em
Serviços Públicos, com a finalidade de promover alta disponibilidade e melhoria do
desempenho das soluções de Tecnologia da Informação - TI, baseando-se nos princípios
de segurança da informação.
Parágrafo único. O disposto nesta Portaria aplica-se a:
I - órgãos de assistência direta e imediata e órgãos singulares da estrutura
do Ministério da Gestão e da Inovação em Serviços Públicos;
II - órgãos solicitantes do ColaboraGov, de que trata o Decreto nº 11.837, de 21
de dezembro de 2023, que utilizem o serviço de nuvem a que se refere o caput; e
III - agentes públicos e colaboradores que sejam usuários dos sistemas e
serviços de TI do Ministério da Gestão e da Inovação em Serviços Públicos ou dos
ativos de TI que suportam a respectiva rede.
Definições
Art. 2º Para os fins do disposto nesta Portaria, consideram-se:
I - ambiente de computação em nuvem ou ambiente de nuvem - modelo
computacional que permite acesso por demanda, independentemente da localização, a
um conjunto compartilhado de recursos configuráveis de computação, tais como rede
de computadores, servidores, armazenamento, aplicativos e serviços, provisionados com
esforços mínimos de gestão ou de interação com o provedor de serviços;
II - ativos de informação - meios de armazenamento, transmissão e
processamento da informação, equipamentos necessários a isso, sistemas utilizados
para tal, locais onde se encontram esses meios, recursos humanos que a eles têm
acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;
III - ColaboraGov - modelo centralizado de prestação de serviços de suporte
administrativo, de forma organizada e padronizada, para órgãos da administração
pública federal direta, nos termos do disposto no art. 3º, § 1º, do Decreto nº 11.837,
de 21 de dezembro de 2023;
IV - escritório digital - plataforma para trabalho colaborativo do Ministério da
Gestão e da Inovação em Serviços Públicos, cujo objetivo é facilitar a gestão do trabalho e
a interação entre os membros da equipe, independentemente de onde as pessoas estejam,
inclusive fora das dependências do órgão, a partir de ativos de informação; e
V - provedor de serviços de nuvem - ente, público ou privado, que fornece
uma plataforma, infraestrutura, aplicativo, serviços de armazenamento ou ambientes de
tecnologia da informação baseados em nuvem.
Diretrizes gerais
Art. 3º São diretrizes para o uso do ambiente de computação em nuvem do
Ministério da Gestão e da Inovação em Serviços Públicos:
I - a continuidade dos negócios;
II - a interoperabilidade dos dados na execução de políticas públicas;
III - a prontidão no suporte às iniciativas do Governo Digital;
IV - a otimização dos custos de infraestrutura e serviços; e
V - a redução do tempo para a disponibilização de recursos.
Utilização e migração de soluções de TI
Art. 4º Fica autorizada a utilização e a migração de soluções de TI para o
ambiente de computação em nuvem pelo Ministério da Gestão e da Inovação em
Serviços Públicos.
Parágrafo único. As diretrizes de governança, segurança, controle de acesso,
definição de perfis de acesso e as condições mínimas de infraestrutura e sistema do
ambiente informatizado do Ministério da Gestão e da Inovação em Serviços Públicos
são válidas, no que se aplicar, ao ambiente de nuvem.
Contratações
Art.
5º Na
aquisição de
serviços
ou produtos
de infraestrutura
de
computação deve ser priorizada a solução de ambiente em nuvem, salvo quando
demonstrada sua inviabilidade técnica ou econômica em estudo técnico preliminar da
contratação, observadas as diretrizes estabelecidas pelo órgão central do Sistema de
Administração dos Recursos de Tecnologia da Informação - SISP.
§ 1º A contratação de soluções de computação em nuvem de que trata o
caput busca:
I - garantir benefícios de capacidade, segurança e eficiência em tecnologia
para o Ministério da Gestão e da Inovação em Serviços Públicos; e
II - cumprir as metas e
os objetivos do Planejamento Estratégico
Institucional e do Plano Diretor de Tecnologia da Informação do Ministério da Gestão
e da Inovação em Serviços Públicos.
§ 2º Os novos sistemas de TI serão hospedados, preferencialmente, em
ambiente de computação em nuvem.
Tratamento das informações no ambiente de nuvem
Art. 6º O tratamento de informações digitais no ambiente de computação
em nuvem deve observar os princípios da Política de Segurança da Informação do
Ministério da Gestão e da Inovação em Serviços Públicos - POSI/MGI e as demais
normas específicas de segurança da informação do Ministério e do Gabinete de
Segurança Institucional da Presidência da República.
Art. 7º Antes de transferir serviços ou dados para um provedor de serviço
de nuvem, devem ser observadas, no mínimo, as seguintes condições:
I - garantir que estejam alinhadas à legislação brasileira e aos direitos à
privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e
dos registros as seguintes operações:
a) de coleta, armazenamento, guarda e tratamento de registros de dados
pessoais; e
b) de comunicações realizada por provedores de conexão e de aplicações de
internet, em que pelo menos um desses atos ocorra em território nacional;
II - realizar o gerenciamento de riscos, precedido por análise e relatório de
impacto de dados pessoais, em conformidade com a legislação, dos seguintes itens:
a) o tipo de informação a ser migrada;
b) o fluxo de tratamento dos dados que podem ser afetados com a adoção
da solução;
c) o valor dos ativos envolvidos; e
d) os benefícios da adoção de uma solução de computação em nuvem, em
relação aos
riscos de segurança e
privacidade referentes à
disponibilização de
informações e serviços a um terceiro;
III - definir o modelo de serviço e de implementação de computação em
nuvem que será adotado;
IV - avaliar quais informações serão hospedadas na nuvem, considerando:
a) o processo de classificação da informação de acordo com a legislação;
b) o valor do ativo de informação;
c) os controles de acessos físico e lógico relativos à segurança da informação; e
d) o modelo de serviço e de implementação de computação em nuvem;
V - definir as medidas de mitigação de riscos e de custos para a implementação de
solução de computação em nuvem e para possibilidade de crescimento dessa solução; e
VI - planejar custos de migração das informações e dos serviços, nos casos
de ingresso e de saída do serviço de computação em nuvem.
Parágrafo único. A unidade custodiante da informação deve analisar a
necessidade de criptografar as informações constantes nos sistemas migrados para um
ambiente de nuvem, com base nos requisitos legais, nos riscos, no nível de criticidade,
nos custos e nos benefícios.
Art.
8º Em
relação
ao tratamento
da
informação
em ambiente
de
computação em nuvem devem ser observadas as seguintes diretrizes:
I - a informação sem restrição de acesso poderá ser tratada em ambiente
de nuvem, considerada a legislação e os riscos de segurança da informação;
II - a informação classificada em grau de sigilo e documento preparatório
que possa originar informação classificada não poderão ser tratados em ambiente de
computação em nuvem; e
III - poderão ser tratados em
ambiente de computação em nuvem,
observados os riscos de segurança da informação e a legislação vigente:
a) a informação com restrição de acesso prevista na legislação;
b) o material de acesso restrito regulado pelo Ministério da Gestão e da
Inovação em Serviços Públicos;
c) a informação pessoal relativa à intimidade, vida privada, honra e imagem,
nos termos do disposto na Lei nº 13.709, de 14 de agosto de 2018; e
d) o documento preparatório não previsto no inciso II do caput.
Parágrafo único. O disposto no caput aplica-se aos documentos e arquivos
compartilhados ou armazenados no escritório digital, bem como aos eventuais anexos
às mensagens transmitidas via correio eletrônico corporativo do Ministério da Gestão
e da Inovação em Serviços Públicos.
Armazenamento no ambiente em nuvem em outros países
Art. 9º O armazenamento em nuvem de dados e informações produzidos ou
custodiados pelo Ministério da Gestão e da Inovação em Serviços Públicos em outros
países deverá seguir as diretrizes estabelecidas pelo Gabinete de Segurança
Institucional da Presidência da República.
Parágrafo único. Para fins do tratamento de dados pessoais, deve ser
observado o disposto na Lei nº 13.709, de 14 de agosto de 2018.
Responsabilidades
Art. 10. Ao Gestor de Segurança da Informação compete:
I - supervisionar a aplicação das diretrizes e requisitos para uso do ambiente
de computação em nuvem do Ministério da Gestão e da Inovação em Serviços Públicos
previstos nesta Portaria;
II - assegurar a contínua efetividade da comunicação com o provedor de
serviço de nuvem, que fornece tais serviços ao Ministério da Gestão e da Inovação em
Serviços Públicos e aos órgãos solicitantes do ColaboraGov, de forma a assegurar que
os controles e os níveis de serviço acordados sejam cumpridos;
III - supervisionar a aplicação das medidas de correção pelo provedor de
serviço de nuvem, em casos de eventuais desvios; e
IV - comunicar incidentes cibernéticos informados pelo provedor de serviço
de nuvem aos órgãos competentes para os seus tratamentos, conforme a relevância
dos incidentes previamente estabelecida.

Fechar