Norma
25/07/2025
#195426

PORTARIA NORMATIVA AGU Nº 183, DE 24 DE JULHO DE 2025

Institui a estratégia para uso de software e serviços de computação em nuvem na Advocacia-Geral da União, definindo regras, princípios e requisitos para contratação e segurança.

Ilustração de resumo de norma
🔐 Login necessário

Entre para ver o resumo

Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.

Institui a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União e altera a Portaria Normativa AGU nº 166, de 12 de março de 2025, que institui a Política de Segurança da Informação da Advocacia-Geral da União.

O ADVOGADO-GERAL DA UNIÃO SUBSTITUTO, no uso das atribuições que lhe confere o art. 4º, caput, incisos I, XIII e XVIII, da Lei Complementar nº 73, de 10 de fevereiro de 1993, tendo em vista o disposto na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, e o que consta no Processo Administrativo nº 00400.000354/2025-16, resolve:

O ADVOGADO-GERAL DA UNIÃO SUBSTITUTO

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União, com a finalidade de estabelecer regras e procedimentos para orientar o seu uso, conforme disposto no item 5 do Anexo I da Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

§ 1º Para fins do disposto no art. 4º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, esta Portaria Normativa contém também normas sobre o uso seguro de computação em nuvem.

§ 2º O disposto nesta Portaria Normativa se aplica aos:

I - órgãos previstos no art. 2º do Anexo I ao Decreto nº 12.540, de 30 de junho de 2025; e

II - usuários dos softwares e serviços de computação em nuvem da Advocacia-Geral da União.

Art. 2º A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União se aplica a todo software e serviço de computação em nuvem, tais como:

I - software sob o modelo de:

a) licenciamento permanente de direitos de uso;

b) cessão temporária de direitos de uso;

c) subscrição ou como serviço - SaaS;

II - infraestrutura como serviço - IaaS;

III - plataforma como serviço - PaaS;

IV - suporte técnico para software e serviços de computação em nuvem;

V - serviço de operação e gerenciamento de recursos em nuvem;

VI - serviço de migração de recursos para ambiente de nuvem;

VII - integração de serviços de computação em nuvem; e

VIII - consultoria especializada em software ou serviços de computação em nuvem.

Art. 3º São objetivos da Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União:

I - orientar a seleção e a contratação de softwares e serviços de computação em nuvem alinhados aos objetivos estratégicos institucionais, priorizando soluções que otimizem recursos operacionais e agreguem valor aos processos de trabalho;

II - garantir a segurança das informações armazenadas e minimizar os riscos associados à adoção de novas tecnologias ou modalidades de contratação;

III - ampliar a capacidade de armazenamento, escalabilidade e processamento de dados, promovendo a integração entre sistemas e evitando a dependência excessiva de um único fornecedor;

IV - implementar soluções de tecnologia da informação que aumentem a produtividade e a eficiência dos serviços prestados, otimizando custos de infraestrutura e alocação de recursos; e

V - definir o modelo de governança para o uso de software e serviços de computação em nuvem.

Art. 4º O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União será norteado pelos seguintes princípios e diretrizes:

I - confidencialidade, integridade e disponibilidade das informações armazenadas e processadas em nuvem;

II - priorização de soluções que promovam economia de custos, escalabilidade e melhor alocação de recursos;

III - adoção de padrões abertos e arquiteturas flexíveis para a integração entre diferentes sistemas;

IV - redução da dependência de fornecedores únicos e garantia de migração de serviços;

V - seleção de soluções de nuvem que minimizem o impacto ambiental;

VI - capacitação contínua em gestão, operação e segurança de ambientes em nuvem; e

VII - integração aos planos estratégicos e de segurança da informação da Advocacia-Geral da União.

Art. 5º Para os efeitos desta Portaria Normativa, aplicam-se os termos:

I - do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021; e

II - do Modelo de Contratação de Software e de Serviços de Computação em Nuvem, aprovado pela Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

CAPÍTULO II

DOS REQUISITOS PARA CONTRATAÇÃO E USO DE SOFTWARE E DE SERVIÇOSDE COMPUTAÇÃO EM NUVEM

Seção I

Da identificação das necessidades de negócio

Art. 6º O Departamento de Tecnologia da Informação, com o apoio das áreas requisitantes da solução, deve identificar as necessidades de negócio previamente à contratação de software e de serviços de computação em nuvem.

Parágrafo único. A identificação das necessidades do negócio deve considerar os objetivos estratégicos da Advocacia-Geral da União e a otimização dos recursos disponíveis.

Art. 7º O processo de identificação das necessidades de negócio deve considerar os seguintes parâmetros de análise:

I - tomada de decisões baseada em dados;

II - capacidade de inovação;

III - segurança da informação;

IV - aprimoramento da experiência dos usuários internos e externos;

V - flexibilidade e adequação à demanda; e

VI - disponibilidade de serviços sob demanda.

Art. 8º No processo de identificação das necessidades de negócio, o Departamento de Tecnologia da Informação deve:

I - consultar as áreas requisitantes da solução para mapear requisitos específicos, requisitos regulatórios, apoio aos desafios operacionais e oportunidades de melhoria;

II - avaliar as condições mínimas de infraestrutura de tecnologia da informação e comunicação, como conectividade, largura de banda e requisitos de segurança;

III - analisar custos e benefícios da adoção de serviços em nuvem, considerando escalabilidade, flexibilidade e impacto financeiro;

IV - assegurar o cumprimento das normas de segurança da informação aplicáveis ao armazenamento e processamento de dados em nuvem;

V - identificar as necessidades de capacitação das equipes envolvidas, considerando os perfis de gestores, operadores e usuários finais;

VI - mapear os requisitos de portabilidade e interoperabilidade entre sistemas, dados e serviços, de modo a evitar dependência de fornecedores específicos;

VII - verificar a viabilidade e os requisitos da contratação, garantindo alinhamento com as melhores práticas do setor; e

VIII - indicar sistemas, aplicações, dados e serviços que podem ser migrados para a nuvem e como eles serão acessados.

Art. 9º A identificação das necessidades de negócio deve ser realizada no âmbito da elaboração dos artefatos de planejamento da contratação e deve conter os seguintes elementos:

I - descrição do problema ou oportunidade;

II - metodologia de levantamento das informações com as áreas requisitantes da solução;

III - resultados esperados;

IV - diagnóstico da situação atual;

V - requisitos da solução desejada;

VI - avaliação de viabilidade e benefícios;

VII - estratégia de saída;

VIII - capacitação da equipe;

IX - portabilidade e interoperabilidade;

X - resultados da prova de conceito;

XI - análise de riscos da migração, conforme determinado no art. 20;

XII - classificação de criticidade e confidencialidade dos dados;

XIII - classificação do software ou serviço de computação em nuvem como de alta materialidade ou alta relevância, conforme definição prevista nos itens 5.6.2.1 e 5.6.2.2 do Anexo I da Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

XIV - recomendação técnica; e

XV - documentos anexos, como:

a) estimativas de custo;

b) especificações técnicas; e

c) outros documentos relevantes para a instrução do processo.

Parágrafo único. Na classificação prevista no inciso XIII do caput, devem ser considerados como de alta relevância os softwares e serviços de computação em nuvem classificados pelo Departamento de Tecnologia da Informação como muito críticos, considerando as seguintes metodologias:

I - análise de impacto no negócio, realizada no processo de gestão de continuidade de negócios em segurança da informação da Advocacia-Geral da União, conforme disposto na Seção IX do Capítulo II da Portaria Normativa AGU nº 166, de 12 de março de 2025; e

II - boas práticas de avaliação de criticidade, por meio do alinhamento entre processos de tecnologia da informação e estratégias institucionais.

Seção II

Da seleção dos modelos adequados

Art. 10. O Departamento de Tecnologia da Informação deve selecionar o modelo de implantação e o tipo de software e serviço de computação em nuvem mais adequado, considerando:

I - as características de cada carga de trabalho;

II - os requisitos de segurança da informação;

III - o nível de sigilo e a sensibilidade das informações; e

IV - os parâmetros legais e regulatórios vigentes.

Parágrafo único. A seleção do modelo de implantação, do tipo de software e do serviço de computação em nuvem deve ser feita com o apoio das áreas requisitantes da solução, considerando os resultados da identificação das necessidades de negócio, de que trata a Seção I.

Art. 11. As cargas de trabalho que tratem informações com restrição de acesso devem usar ambientes de nuvem de governo, salvo autorização do Comitê de Governança Digital da Advocacia-Geral da União.

Art. 12. É vedado o tratamento em ambiente de nuvem pública de:

I - informações classificadas em grau de sigilo nos termos do Decreto nº 7.724, de 16 de maio de 2012; e

II - documentos preparatórios que possam originar tais informações.

Art. 13. As cargas de trabalho que tratem informações sem restrição de acesso podem ser alocadas em ambientes de nuvem pública, desde que seja garantido:

I - o cumprimento das regras de proteção de dados pessoais; e

II - o cumprimento dos requisitos de segurança da informação definidos na Portaria Normativa AGU nº 166, de 12 de março de 2025.

Art. 14. Os dados tratados em software e serviços de computação em nuvem devem, preferencialmente, ser armazenados em território nacional.

§ 1º O armazenamento de dados fora do território nacional somente poderá ocorrer quando forem observadas as seguintes condições:

I - seja mantida pelo menos uma cópia de segurança atualizada dos dados em território nacional;

II - não sejam armazenadas informações com restrição de acesso prevista em lei, seus documentos preparatórios e suas cópias de segurança;

III - o armazenamento ocorra exclusivamente em países autorizados pelo Comitê de Segurança da Informação da Advocacia-Geral da União, conforme disposto no inciso I do art. 8º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021; e

IV - havendo tratamento de dados pessoais, seja assegurado o cumprimento das disposições da Lei nº 13.709, de 14 de agosto de 2018.

§ 2º O Termo de Referência das contratações de software e serviços de computação em nuvem deve estabelecer a obrigação do fornecedor de indicar a região dos dados armazenados, em conformidade com as regras estabelecidas nesta Portaria Normativa.

Seção III

Da avaliação de fornecedores

Art. 15. O Departamento de Tecnologia da Informação, na fase de planejamento da contratação de softwares e serviços de computação em nuvem, deve realizar o levantamento e a avaliação dos possíveis fornecedores, com base nos seguintes critérios:

I - segurança da informação;

II - conformidade legal e regulatória;

III - disponibilidade dos serviços e continuidade operacional;

IV - qualidade e abrangência do suporte técnico;

V - custo e complexidade de migração;

VI - custo de capacitação de usuários e equipes técnicas;

VII - impactos ambientais e mitigação de externalidades negativas; e

VIII - certificações e práticas de sustentabilidade.

Seção IV

Dos requisitos de segurança e do uso seguro

Art. 16. O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União deve observar:

I - a Política de Segurança da Informação da Advocacia-Geral da União - POSIN-AGU, instituída pela Portaria Normativa AGU nº 166, de 12 de março de 2025;

II - os requisitos mínimos de segurança previstos na Instrução Normativa GSI/PR nº 05, de 30 de agosto de 2021; e

III - os requisitos mínimos de adequação previstos na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023.

Art. 17. A não implementação dos requisitos de segurança previstos no art. 16, caput, somente poderá ocorrer:

I - após a realização de avaliação de risco específica e justificativa técnica registrada em relatório no processo da gestão de riscos de segurança da informação do Departamento de Tecnologia da Informação; e

II - quando autorizada pelo Comitê de Segurança da Informação da Advocacia-Geral da União.

Art. 18. O uso de software e de serviços de computação em nuvem deve observar os mesmos controles, restrições e requisitos aplicáveis aos softwares instalados em ambiente computacional local da Advocacia-Geral da União.

Art. 19. Antes do início do uso de um novo software ou serviço de computação em nuvem, o Departamento de Tecnologia da Informação, com o apoio das áreas solicitantes da solução, deve realizar análise técnica para homologação do cumprimento dos requisitos de segurança.

§ 1º A análise técnica para homologação do cumprimento dos requisitos de segurança deve:

I - avaliar a compatibilidade do serviço com a arquitetura tecnológica vigente, os requisitos de desempenho, escalabilidade, integração e disponibilidade;

II - verificar se há tratamento de dados pessoais ou sensíveis e sua fundamentação legal;

III - analisar os controles de segurança aplicáveis, incluindo:

a) proteção dos dados;

b) conformidade com a Lei nº 13.709, de 14 de agosto de 2018;

c) cumprimento dos requisitos criptográficos mínimos definidos pelo Comitê de Segurança da Informação da Advocacia-Geral da União, nos termos do inciso II do art. 8º da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

d) controles de acesso;

e) políticas de cópias de segurança e de recuperação de dados;

f) resposta a incidentes; e

g) gestão de vulnerabilidades.

IV - verificar a aderência do serviço às práticas de desenvolvimento seguro, integração com sistemas legados e aderência a padrões internos de codificação e viabilidade de automação;

V - examinar a compatibilidade com os sistemas de gerenciamento de dados adotados pela Advocacia-Geral da União, os mecanismos de leitura e gravação, além de aspectos de performance e replicação; e

VI - indicar as medidas de gerenciamento de riscos para resguardar as informações sigilosas ou com restrição de acesso que poderão ser tratadas em ambiente de nuvem.

Seção V

Das análises de riscos de migração e de contratação

Art. 20. A migração de sistemas ou cargas de trabalho para ambientes de computação em nuvem deve ser precedida de análise de risco de migração.

§ 1º A análise de risco de migração será conduzida pela unidade responsável pela gestão do serviço a ser migrado, com apoio do Departamento de Tecnologia da Informação, considerando, no mínimo:

I - os requisitos de negócio, desempenho, disponibilidade e escalabilidade;

II - a classificação da informação tratada no sistema, especialmente nos casos que envolvam dados sigilosos ou pessoais;

III - os controles de segurança exigidos na Política de Segurança da Informação da Advocacia-Geral da União, incluindo os critérios de segmentação, criptografia, rastreabilidade e controle de acesso;

IV - a compatibilidade com os modelos de serviço e de implantação em nuvem; e

V - os aspectos contratuais, regulatórios e orçamentários envolvidos.

§ 2º O relatório da análise de risco da migração deverá:

I - identificar os ativos informacionais e processos de negócio impactados;

II - levantar ameaças, vulnerabilidades e impactos associados à operação do sistema em nuvem;

III - definir controles mitigatórios, planos de contingência e requisitos técnicos para continuidade e segurança da informação; e

IV - indicar o nível de risco residual e a sua respectiva aceitação pela autoridade competente.

§ 3º A análise de risco de migração deverá ser anexada ao processo administrativo de contratação e poderá servir como subsídio para o estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 21. O Departamento de Tecnologia da Informação deve realizar a análise de riscos da contratação de software e serviços de computação pela Advocacia-Geral da União.

§ 1º A análise de risco da contratação deve seguir:

I - as determinações da Instrução Normativa SGD/ME nº 94, de23 de dezembro 2022;

II - as diretrizes estabelecidas na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

III - a Política de Segurança da Informação da Advocacia-Geral da União; e

IV - a Política de Gestão de Riscos da Advocacia-Geral da União.

§ 2º A análise de riscos da contratação de software e serviços de computação deve conter, no mínimo:

I - identificação dos riscos;

II - análise e avaliação;

III - plano de tratamento de riscos; e

IV - monitoramento contínuo.

Art. 22. Os riscos de segurança da informação identificados devem ser inseridos no plano de gestão de riscos de segurança da informação previsto no art. 39 da Portaria Normativa AGU nº 166, de 12 de março de 2025.

Art. 23. O Departamento de Tecnologia da Informação cientificará o Comitê de Segurança da Informação da Advocacia-Geral da União dos riscos críticos identificados e das medidas de segurança necessárias.

Seção VI

Das condições mínimas de infraestrutura de tecnologia da informação e comunicação

Art. 24. O Departamento de Tecnologia da Informação, na fase de planejamento da contratação de software e de serviço de computação em nuvem, deve:

I - indicar as condições mínimas de infraestrutura de tecnologia da informação e comunicação necessárias para a sua utilização;

II - avaliar a capacidade da infraestrutura de tecnologia da informação e comunicação existente em atender aos requisitos mínimos indicados, considerando aspectos como:

a) desempenho;

b) escalabilidade;

c) disponibilidade;

d) continuidade; e

e) integração.

III - se for o caso, estabelecer medidas para a adequação da infraestrutura de tecnologia da informação e comunicação, considerando critérios de vantajosidade.

Parágrafo único. As condições mínimas de infraestrutura devem ser estabelecidas com base nas necessidades do negócio e nas referências técnicas pertinentes, observando-se, sempre que aplicável:

I - os recursos da rede interna; e

II - os padrões adotados para serviços prestados por terceiros.

Art. 25. No estabelecimento das condições mínimas de infraestrutura de tecnologia da informação e comunicação, o Departamento de Tecnologia da Informação deve adotar, no mínimo, as seguintes práticas:

I - utilização de ferramentas de monitoramento de rede para medir a utilização da banda, identificar gargalos e planejar melhorias necessárias;

II - estabelecimento de parâmetros mínimos para conexões seguras e estáveis em ambientes de nuvem, seguindo diretrizes de órgãos de referência;

III - estabelecimento de acordos com provedores de internet que garantam níveis mínimos de disponibilidade e desempenho da conexão, com métricas claras para porcentagem de tempo em que um sistema está ativo e funcionando e largura de banda; e

IV - implementação de soluções redundantes para garantir continuidade dos serviços em caso de falhas na conexão principal.

Parágrafo único. O processo de definição das condições mínimas de infraestrutura para o uso de softwares e serviços de computação em nuvem deve ser consolidado no estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Seção VII

Do estabelecimento de indicadores, linhas de base e metas

Art. 26. O Departamento de Tecnologia da Informação, com o apoio das áreas requisitantes da solução, durante a fase de planejamento da contratação, deve:

I - mapear o cenário atual quanto ao uso de software e serviços de computação em nuvem e indicar o cenário desejado; e

II - definir indicadores de desempenho, linhas de base e metas mensuráveis para avaliar o progresso e o sucesso da contratação, conforme os modelos de serviços e as necessidades das unidades.

Art. 27. As linhas de base devem ser estabelecidas a partir do diagnóstico do ambiente computacional atual, considerando:

I - a infraestrutura legada;

II - os sistemas ativos;

III - os contratos vigentes; e

IV - os serviços que poderão ser migrados ou contratados em ambiente de nuvem.

Art. 28. Os indicadores e as metas devem considerar, no mínimo:

I - nível de disponibilidade e tempo de resposta;

II - eficiência de custos e elasticidade da solução;

III - conformidade com requisitos legais, normativos e de segurança da informação;

IV - percentual de migração de cargas de trabalho dentro do cronograma previsto;

V - frequência e gravidade de incidentes relacionados ao uso de serviços em nuvem; e

VI - adesão às práticas de governança e arquitetura institucional.

Art. 29. A definição de linhas de base, indicadores e metas deve constar no estudo técnico preliminar e no termo de referência previstos na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 30. O Departamento de Tecnologia da Informação deve monitorar os indicadores e o cumprimento das metas.

Parágrafo único. Os resultados de indicadores e metas serão apresentados anualmente ao Comitê de Governança Digital da Advocacia-Geral da União.

Seção VIII

Da portabilidade e interoperabilidade

Art. 31. O uso de software e serviços de computação na Advocacia-Geral da União deve assegurar flexibilidade e integração entre plataformas e serviços, em nuvem ou não, a fim de garantir a continuidade dos serviços.

Parágrafo único. O Departamento de Tecnologia da Informação deve adotar, no mínimo, as seguintes medidas para mitigar a dependência tecnológica ou o aprisionamento ao provedor:

I - contratação de soluções baseadas em padrões abertos, a fim de facilitar a migração entre diferentes provedores de nuvem;

II - distribuição de cargas de trabalho entre diferentes provedores de nuvem pública ou privada, reduzindo o risco de dependência, considerando:

a) o custo de transferência de dados entre provedores de nuvem; e

b) a eficiência do serviço contratado.

III - utilização de ferramentas e serviços de migração, a fim de facilitar a transferência de aplicativos e dados entre ambientes de nuvem; e

IV - uso de ferramentas de monitoramento e gestão que abranjam múltiplos ambientes de nuvem.

Seção IX

Da estratégia de retorno para a infraestrutura local

Art. 32. O Departamento de Tecnologia da Informação deve definir a estratégia de retorno à infraestrutura local na fase de planejamento das contratações de softwares e serviços de computação em nuvem.

Parágrafo único. A estratégia de retorno à infraestrutura local deve considerar ao menos os seguintes aspectos:

I - dependências entre sistemas, aplicativos e dados na nuvem;

II - interconexões críticas que possam impactar a migração de volta à infraestrutura local;

III - portabilidade de soluções e dados armazenados na nuvem, considerando padrões abertos e evitando bloqueios em virtude de fornecedores;

IV - utilização de ferramentas de migração e cópias de segurança que suportem a transferência eficiente de dados entre a nuvem e a infraestrutura local;

V - celebração de contratos de apoio para retorno das operações;

VI - realização de cópias de segurança completas e atualizadas de todos os dados digitais e sistemas armazenados em serviços de computação em nuvem; e

VII - estratégias para garantir a integridade dos dados e seu retorno à infraestrutura local em caso de desastre.

Art. 33. A estratégia de retorno para a infraestrutura local deve constar do estudo técnico preliminar e do termo de referência previstos na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 34. As estratégias de retorno para a infraestrutura local devem ser revistas periodicamente pelo Departamento de Tecnologia da Informação, conforme a criticidade do serviço, os resultados do monitoramento de desempenho e os riscos para cada sistema ou serviço em nuvem.

Seção X

Do alinhamento com planos estratégicos

Art. 35. A contratação de software e de serviços de computação em nuvem deve estar alinhada, no mínimo, aos seguintes planos estratégicos da Advocacia-Geral da União:

I - Plano Estratégico Institucional - PEI;

II - Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC; e

III - Plano de Contratações Anual - PCA.

Parágrafo único. A adequação da contratação aos planos estratégicos da Advocacia-Geral da União deve ser demonstrada no estudo técnico preliminar previsto no art. 11 da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022, com a indicação de ações, projetos e programas relacionados.

Seção XI

Dos requisitos regulatórios e de conformidade

Art. 36. O uso de software e de serviços de computação em nuvem na Advocacia-Geral da União deve obedecer aos requisitos regulatórios e de conformidade em vigor, tais como os estabelecidos pelos seguintes instrumentos:

I - Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023;

II - Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

III - Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022;

IV - Portaria Normativa AGU nº 166, de 12 de março de 2025; e

V - Portaria Normativa AGU nº 165, de 12 de março de 2025.

Seção XII

Da capacitação

Art. 37. O Departamento de Tecnologia da Informação deve atuar, em parceria com a Escola Superior da Advocacia-Geral da União Ministro Victor Nunes Leal, para capacitar os agentes responsáveis pelo planejamento, pela contratação, operação e utilização de software e serviços de computação em nuvem.

Parágrafo único. A capacitação deve priorizar o desenvolvimento das competências necessárias à gestão segura, eficiente e inovadora de software e serviços de computação em nuvem.

Art. 38. A capacitação deve contemplar, no mínimo, os seguintes perfis e conhecimentos:

I - para os gestores e responsáveis pelo planejamento e pela contratação de software e serviços de computação em nuvem:

a) conhecimento sobre modelos e implantação de software e serviços de computação em nuvem;

b) fundamentos de segurança da informação e proteção de dados pessoais;

c) gestão de riscos e conformidade normativa, com base em modelos de referência; e

d) elaboração e análise de processos de contratação de software e serviços de computação em nuvem.

II - para os técnicos e operadores de infraestrutura, segurança e sistemas:

a) administração de ambientes em nuvem, incluindo ferramentas específicas dos provedores contratados;

b) monitoramento, configuração e automação de recursos em nuvem;

c) implementação de controles de segurança; e

d) práticas de resiliência e recuperação.

III - para os usuários finais e os responsáveis pela definição dos requisitos do negócio:

a) noções básicas de uso seguro de soluções em nuvem;

b) boas práticas de proteção de dados;

c) responsabilidades compartilhadas entre provedor e cliente; e

d) cultura de inovação e colaboração digital, promovendo experimentação, uso consciente e aprendizado contínuo.

Art. 39. O Departamento de Tecnologia da Informação deverá:

I - manter registro das capacitações realizadas; e

II - elaborar, em parceria com a Escola Superior da Advocacia-Geral da União Ministro Victor Nunes Leal, plano anual de desenvolvimento de competências em computação em nuvem, com base nos objetivos estratégicos da Advocacia-Geral da União.

CAPÍTULO III

DA GOVERNANÇA DO USO DE SOFTWARE E SERVIÇOS DE COMPUTAÇÃO EM NUVEM

Seção I

Dos eixos de gestão

Art. 40. A governança do uso de software e serviços de computação em nuvem na Advocacia-Geral da União será realizada por meio dos seguintes instrumentos de gestão:

I - definição de responsabilidades;

II - gestão de riscos e conformidade;

III - gestão de fornecedores e contratos;

IV - gestão de continuidade de negócio;

V - monitoramento de eventos;

VI - melhoria contínua;

VII - auditoria;

VIII - identificação e classificação de dados; e

IX - controle de acesso.

Seção II

Das responsabilidades

Art. 41. No âmbito da governança do uso de software e serviços de computação em nuvem, compete:

I - ao Departamento de Tecnologia da Informação:

a) implementar as medidas relacionadas ao uso de software e serviços de computação em nuvem, em conformidade com as determinações desta Portaria Normativa e com normas e regulamentos estabelecidos na legislação pertinente;

b) informar o Comitê de Governança Digital da Advocacia-Geral da União acerca do progresso e dos fatos relevantes do planejamento e da execução da contratação de softwares e serviços de computação em nuvem classificados como de alta relevância ou alta materialidade; e

c) apresentar informações e esclarecimentos sobre o uso de software e de serviços de computação em nuvem sempre que solicitado pelo Comitê de Governança Digital da Advocacia-Geral da União;

II - ao Comitê de Governança Digital da Advocacia-Geral da União:

a) acompanhar e monitorar os processos de gestão de software e serviços de computação em nuvem;

b) editar, nos termos do que dispõe o art. 7º da Portaria Normativa AGU nº 141, de 19 de junho de 2024, regras complementares à Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União;

c) autorizar que cargas de trabalho que tratem informações com restrição de acesso sejam mantidas em ambientes de nuvem que não sejam de governo, nos termos do art. 11; e

d) supervisionar a execução dos contratos de software e de serviços de computação em nuvem que sejam de alta relevância ou de alta materialidade.

III - ao Comitê de Segurança da Informação:

a) exercer as competências relacionadas à segurança da informação, nos termos do art. 48 da Portaria Normativa AGU nº 166, de 12 de março de 2025;

b) estabelecer os países nos quais dados e informações poderão ser armazenados em soluções de computação em nuvem nos termos do art. 8º, inciso I, da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

c) definir os requisitos criptográficos mínimos para o armazenamento de dados e informações em soluções de computação em nuvem, nos termos do art. 8º, inciso II, da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021; e

d) autorizar a não implementação dos requisitos de segurança previstos no art. 16, caput.

IV - às áreas requisitantes da solução:

a) avaliar continuamente a adequação dos softwares e serviços de computação em nuvem;

b) reportar imediatamente ao Departamento de Tecnologia da Informação a ocorrência de falhas ou vulnerabilidades; e

c) apontar necessidades de melhorias ou alterações dos processos de trabalho que utilizam softwares ou serviços de computação em nuvem.

Seção III

Da gestão de riscos e conformidade

Art. 42. O Departamento de Tecnologia da Informação deve implementar e executar a gestão dos riscos no uso de software e de serviços de computação em nuvem de forma permanente e seguindo:

I - a metodologia de gestão de riscos da Advocacia-Geral da União;

II - as determinações referentes à gestão de riscos de segurança da informação previstas na Portaria Normativa AGU nº 166, de 12 de março de 2025; e

III - demais normas sobre gestão de riscos da Advocacia-Geral da União.

Art. 43. A verificação da conformidade do uso de serviços em nuvem deve seguir:

I - as regras previstas na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, e na Portaria SGD/MGI nº 852, de 28 de março de 2023; e

II - os controles definidos em normas de referência e demais atos normativos em vigor.

Seção IV

Da gestão de fornecedores e contratos

Art. 44. O Departamento de Tecnologia da Informação, com apoio das áreas requisitantes da solução, deve monitorar permanentemente os fornecedores de software e de serviços de computação em nuvem, considerando ao menos os seguintes aspectos:

I - cumprimento das regras de segurança da informação;

II - conformidade contratual;

III - desempenho;

IV - satisfação dos usuários; e

V - disponibilidade.

Parágrafo único. Os resultados do monitoramento dos fornecedores de software e serviços de computação em nuvem deve ser documentado no processo administrativo de contratação.

Seção V

Da gestão de continuidade de negócio

Art. 45. O Departamento de Tecnologia da Informação deve atuar para garantir:

I - a continuidade dos softwares e serviços de computação em nuvem, conforme recomendações da ISO/IEC 22301; e

II - a capacidade de recuperação dos dados em caso de desastres.

Art. 46. O Departamento de Tecnologia da Informação deve manter registro atualizado dos testes de recuperação de dados realizados nos softwares e serviços de computação em nuvem, indicando seus resultados e as ações de melhoria adotadas.

Art. 47. A gestão de continuidade de negócio e a recuperação de dados no uso de software e serviços de computação em nuvem devem seguir, no que couber:

I - as diretrizes institucionais sobre gestão de continuidade de negócio de que trata o inciso III do art. 41 da Portaria Normativa AGU nº 166, de 12 de março de 2025; e

II - as regras sobre gestão de cópias de segurança e de recuperação de dados digitais da Advocacia-Geral da União, a serem estabelecidas em ato do Comitê de Segurança da Informação.

Seção VI

Do monitoramento de eventos

Art. 48. O Departamento de Tecnologia da Informação deve estabelecer rotina de monitoramento de eventos que envolvam software e serviços de computação em nuvem, incluindo a definição:

I - dos eventos que serão monitorados;

II - da frequência de monitoramento;

III - da metodologia de análise dos dados; e

IV - do processo de resposta a incidentes com prazos de resposta e indicação dos responsáveis.

Art. 49. O monitoramento dos eventos deve ser realizado por meio de métodos de controle como:

I - ferramentas de observabilidade;

II - controle de acesso; e

III - geração de alertas conforme a classificação de criticidade do serviço.

Art. 50. O monitoramento dos incidentes em segurança da informação deve indicar, ao menos:

I - comportamentos anômalos;

II - acessos indevidos; e

III - falhas operacionais.

Seção VII

Da melhoria contínua

Art. 51. A melhoria contínua dos processos, controles e das diretrizes relativos à gestão dos softwares e serviços de computação em nuvem deve ser promovida com base no ciclo planejar, fazer, verificar e agir, como prática sistemática de evolução dos instrumentos de gestão previstos no art. 40.

Parágrafo único. O Departamento de Tecnologia da Informação deve manter registro mensal das iniciativas de melhoria implementadas e de seus impactos.

Seção VIII

Da auditoria

Art. 52. A Secretaria de Controle Interno da Advocacia-Geral da União poderá realizar auditorias para verificar a conformidade do uso de software e serviços de computação em nuvem, devendo:

I - avaliar o cumprimento desta Portaria Normativa; e

II - monitorar o tratamento das informações, conforme previsto no art. 6º, parágrafo único, da Portaria Normativa AGU nº 166, de 12 de março de 2025.

Seção IX

Da identificação e classificação de dados

Art. 53. Todos os dados armazenados ou processados em ambientes de computação em nuvem devem ser previamente classificados quanto à sua criticidade e confidencialidade, na forma do art.9º, inciso XII.

Parágrafo único. A classificação de criticidade e confidencialidade dos dados armazenados ou processados em ambientes de computação em nuvem deve ser utilizada para a definição de controles de acesso, de requisitos de criptografia e de requisitos contratuais.

Art. 54. A classificação de confidencialidade dos dados armazenados ou processados em ambientes de computação em nuvem deve seguir o disposto na Portaria Normativa AGU nº 166, de 12 de março de 2025, e na Portaria AGU nº 529, de 23 de agosto de 2016.

Seção X

Do controle de acesso

Art. 55. O controle de acesso aos softwares e serviços de computação em nuvem deve assegurar, no mínimo:

I - a integridade dos dados de acesso;

II - a confidencialidade das credenciais e informações sensíveis;

III - a autenticação multifator para usuários com privilégios elevados;

IV - o princípio do menor privilégio, garantindo que os acessos sejam concedidos apenas conforme a necessidade do cargo ou função;

V - a revisão periódica dos acessos concedidos, com remoção de permissões obsoletas ou não utilizadas; e

VI - o registro e monitoramento de atividades para auditoria e detecção de comportamentos incomuns.

Parágrafo único. O controle de acesso aos softwares e serviços de computação em nuvem deve seguir, no que couber, as regras sobre gestão de acesso da Advocacia-Geral da União, a serem estabelecidas em ato do Comitê de Segurança da Informação.

Art. 56. A concessão, revisão e revogação de acessos aos softwares e serviços de computação em nuvem devem estar integradas a processos formais de gestão de identidade, com registro de usuário responsável pela autorização.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Art. 57. A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União e suas regras complementares devem ser amplamente divulgadas a todos os usuários e às partes interessadas para garantir sua disseminação e seu cumprimento.

Art. 58. Os softwares e serviços de computação em nuvem contratados ou implantados anteriormente à entrada em vigor desta Portaria Normativa devem ser avaliados quanto à sua conformidade às regras estabelecidas nesta Portaria Normativa.

§ 1º O Departamento de Tecnologia da Informação deverá elaborar, no prazo de até um ano contado da entrada em vigor desta Portaria Normativa, plano de adequação dos serviços em operação, priorizando aqueles classificados como de alta materialidade, alta relevância ou com maior exposição a riscos.

§ 2º Durante o período de transição, os serviços existentes poderão continuar em funcionamento, desde que não apresentem risco relevante à segurança da informação, à conformidade legal ou à continuidade das operações institucionais.

Art. 59. Compete ao Departamento de Tecnologia da Informação propor a revisão da presente Portaria Normativa sempre que as alterações de regulamentação e atualizações tecnológicas assim determinarem, ou, no mínimo, a cada dois anos.

Art. 60. A Portaria Normativa AGU nº 166, de 12 de março de 2025, passa a vigorar com as seguintes alterações:

"Art. 29-A. O uso de software e serviços de computação em nuvem deve seguir o disposto na Portaria Normativa AGU nº 183, de 24 de julho de 2025." (NR)

"Art. 48. ...............................................................................................................

.......................................................................................................................................

VIII - avaliar as ações propostas pelo gestor de segurança da informação;

IX - acompanhar, no âmbito da Advocacia-Geral da União, a execução do Programa de Privacidade e Segurança da Informação, de que trata a Portaria SGD/MGI nº 852, de 28 de março de 2023, e suas atualizações; e

X - exercer as competências previstas no art. 41, inciso III, da Portaria Normativa AGU nº 183, de 24 de julho de 2025." (NR)

Art. 61. Esta Portaria Normativa entra em vigor na data de sua publicação.

Perguntas e respostas

A quem se aplica a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da AGU?
Conforme estabelecido pela Portaria Normativa AGU nº 183, de 24 de julho de 2025, a estratégia se aplica a duas esferas principais:1. Aos órgãos da Advocacia-Geral da União, conforme previstos no Anexo I do Decreto nº 12.540, de 30 de junho de 2025.2. A todos os usuários dos softwares e serviços de computação em nuvem da AGU.
O que acontece com os serviços de nuvem contratados pela AGU antes da Portaria Normativa nº 183, de 24 de julho de 2025?
Os softwares e serviços de computação em nuvem que foram contratados ou implantados antes da vigência da Portaria Normativa AGU nº 183, de 24 de julho de 2025, não precisam ser descontinuados imediatamente, mas devem passar por um processo de adequação.O Departamento de Tecnologia da Informação (DTI) tem o prazo de até um ano, contado a partir da entrada em vigor da portaria, para elaborar um plano de adequação desses serviços às novas regras. A prioridade será dada aos serviços classificados como de alta materialidade, alta relevância ou que apresentem maior exposição a riscos.Durante esse período de transição, os serviços existentes podem continuar operando, desde que não apresentem um risco relevante à segurança da informação, à conformidade legal ou à continuidade das operações da AGU.
Quem são os responsáveis pela governança do uso de computação em nuvem na AGU?
A governança do uso de software e serviços de computação em nuvem na AGU, conforme a Portaria Normativa AGU nº 183, de 24 de julho de 2025, envolve responsabilidades compartilhadas entre diferentes atores:Departamento de Tecnologia da Informação (DTI): Responsável por implementar as medidas da estratégia, gerenciar os serviços, monitorar o desempenho e reportar informações aos comitês de governança.Comitê de Governança Digital: Acompanha e monitora os processos de gestão, edita regras complementares, autoriza exceções (como o uso de nuvem não governamental para dados restritos) e supervisiona contratos de alta relevância ou materialidade.Comitê de Segurança da Informação: Exerce competências específicas de segurança, como autorizar o armazenamento de dados em países estrangeiros, definir requisitos criptográficos e aprovar exceções à implementação de controles de segurança.Áreas requisitantes da solução: Avaliam a adequação dos serviços às suas necessidades, reportam falhas ou vulnerabilidades ao DTI e propõem melhorias nos processos de trabalho.
Existem restrições para o uso de nuvem pública na AGU?
Sim, a Portaria Normativa AGU nº 183, de 24 de julho de 2025, estabelece restrições claras para o uso de ambientes de nuvem pública.É vedado o tratamento em nuvem pública de:
  • Informações classificadas em qualquer grau de sigilo, conforme o Decreto nº 7.724, de 16 de maio de 2012.
  • Documentos preparatórios que possam dar origem a informações sigilosas.
Cargas de trabalho que tratam de informações com restrição de acesso devem, como regra, utilizar ambientes de nuvem de governo. O uso de outros ambientes para esses casos só pode ocorrer com autorização expressa do Comitê de Governança Digital da AGU.Já as cargas de trabalho com informações sem restrição de acesso podem ser alocadas em nuvem pública, desde que sejam garantidas as regras de proteção de dados pessoais e os requisitos de segurança da informação da AGU.
O que é a análise de risco de migração para a nuvem?
A análise de risco de migração é um processo obrigatório que deve ser realizado antes de mover sistemas ou cargas de trabalho para ambientes de computação em nuvem na AGU, conforme determina a Portaria Normativa AGU nº 183, de 24 de julho de 2025.Essa análise é conduzida pela unidade gestora do serviço a ser migrado, com o apoio do Departamento de Tecnologia da Informação. Seu objetivo é avaliar os riscos envolvidos, considerando aspectos como:
  • Requisitos de negócio, desempenho e disponibilidade.
  • Classificação da informação, especialmente dados sigilosos ou pessoais.
  • Controles de segurança exigidos pela Política de Segurança da Informação da AGU.
  • Compatibilidade com os modelos de nuvem.
  • Aspectos contratuais, regulatórios e orçamentários.
O relatório final deve identificar ameaças, vulnerabilidades, definir controles de mitigação e planos de contingência, sendo anexado ao processo de contratação.
Como a capacitação sobre computação em nuvem é estruturada na AGU?
A capacitação em computação em nuvem na AGU é uma responsabilidade conjunta do Departamento de Tecnologia da Informação (DTI) e da Escola Superior da Advocacia-Geral da União Ministro Victor Nunes Leal. O objetivo é desenvolver as competências necessárias para uma gestão segura, eficiente e inovadora dos serviços em nuvem.A formação é direcionada a três perfis distintos, com conteúdos específicos para cada um:1. Gestores e responsáveis pela contratação: Foco em modelos de nuvem, segurança, gestão de riscos, conformidade e processos de contratação.2. Técnicos e operadores: Foco em administração de ambientes, monitoramento, automação, implementação de controles de segurança e práticas de recuperação de desastres.3. Usuários finais e responsáveis por requisitos de negócio: Foco em noções de uso seguro, boas práticas de proteção de dados, responsabilidades compartilhadas e cultura de inovação digital.O DTI deve manter um registro das capacitações e elaborar um plano anual de desenvolvimento de competências.
Como as necessidades de negócio são identificadas antes de contratar um serviço de computação em nuvem na AGU?
Antes de contratar qualquer software ou serviço de computação em nuvem, o Departamento de Tecnologia da Informação (DTI) da AGU, em conjunto com as áreas demandantes, deve realizar uma análise detalhada para identificar as necessidades de negócio.Este processo, descrito na Portaria Normativa AGU nº 183, de 24 de julho de 2025, considera os objetivos estratégicos da instituição e a otimização de recursos. A análise deve abranger os seguintes pontos:
  • Mapeamento de requisitos específicos e regulatórios.
  • Avaliação da infraestrutura de TI existente, como conectividade e largura de banda.
  • Análise de custos e benefícios da solução em nuvem.
  • Verificação do cumprimento das normas de segurança da informação.
  • Identificação das necessidades de capacitação das equipes.
  • Mapeamento dos requisitos de portabilidade e interoperabilidade para evitar dependência de fornecedores.
O resultado dessa análise deve ser formalizado nos documentos de planejamento da contratação, incluindo a descrição do problema, os resultados esperados, a análise de riscos e as recomendações técnicas.
Quais são os principais eixos da governança do uso de software e serviços de nuvem na AGU?
A governança do uso de software e serviços de computação em nuvem na Advocacia-Geral da União é estruturada em nove instrumentos de gestão, conforme definido no artigo 40 da Portaria Normativa AGU nº 183, de 24 de julho de 2025. Esses eixos garantem uma abordagem completa e organizada.Os instrumentos são:1. Definição de responsabilidades: Clara atribuição de papéis e deveres.2. Gestão de riscos e conformidade: Identificação e tratamento de riscos e garantia de aderência às normas.3. Gestão de fornecedores e contratos: Monitoramento do desempenho dos fornecedores e do cumprimento contratual.4. Gestão de continuidade de negócio: Planejamento para garantir a operação contínua dos serviços.5. Monitoramento de eventos: Acompanhamento de atividades para detecção de anomalias e incidentes.6. Melhoria contínua: Prática sistemática de evolução dos processos e controles.7. Auditoria: Verificação da conformidade por órgãos de controle.8. Identificação e classificação de dados: Categorização dos dados para aplicação de controles adequados.9. Controle de acesso: Gerenciamento de permissões para garantir a segurança.
Os dados tratados em serviços de nuvem pela AGU podem ser armazenados fora do Brasil?
A regra geral, estabelecida pela Portaria Normativa AGU nº 183, de 24 de julho de 2025, é que os dados tratados em software e serviços de computação em nuvem devem ser armazenados preferencialmente em território nacional.O armazenamento fora do Brasil é uma exceção e só pode ocorrer se quatro condições forem cumpridas simultaneamente:1. Manter pelo menos uma cópia de segurança atualizada dos dados em território nacional.2. Não armazenar informações com restrição de acesso prevista em lei, nem seus documentos preparatórios ou cópias de segurança.3. O armazenamento ocorrer exclusivamente em países autorizados pelo Comitê de Segurança da Informação da AGU.4. Em caso de tratamento de dados pessoais, garantir o cumprimento da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).Adicionalmente, os contratos devem obrigar o fornecedor a indicar a localização geográfica onde os dados estão armazenados.
O que é a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União (AGU)?
A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Advocacia-Geral da União (AGU) foi instituída pela Portaria Normativa AGU nº 183, de 24 de julho de 2025.Sua finalidade é estabelecer as regras e os procedimentos que orientam a contratação e o uso de softwares e serviços de computação em nuvem no âmbito da instituição. Além disso, a portaria também define normas para o uso seguro da computação em nuvem, alinhando-se a outras diretrizes de segurança da informação.
Existe uma estratégia para reverter a migração de um serviço da nuvem para a infraestrutura local?
Sim. A Portaria Normativa AGU nº 183, de 24 de julho de 2025, determina que uma estratégia de retorno à infraestrutura local (também conhecida como estratégia de saída ou exit strategy) deve ser definida ainda na fase de planejamento da contratação de softwares e serviços de nuvem.Essa estratégia deve ser documentada no estudo técnico preliminar e no termo de referência do contrato. Ela precisa considerar, no mínimo:
  • As dependências entre sistemas, aplicações e dados.
  • A portabilidade das soluções e dos dados, priorizando padrões abertos.
  • O uso de ferramentas de migração e cópias de segurança para transferir dados de volta de forma eficiente.
  • A realização de cópias de segurança completas e atualizadas.
  • Planos para garantir a integridade dos dados durante o processo de retorno.
Essa estratégia deve ser revisada periodicamente pelo Departamento de Tecnologia da Informação.
Como a AGU busca evitar a dependência de um único fornecedor de nuvem (vendor lock-in)?
Para mitigar o risco de dependência tecnológica, conhecido como vendor lock-in, a Estratégia de Uso de Software e Serviços de Computação em Nuvem da AGU prevê um conjunto de medidas a serem adotadas pelo Departamento de Tecnologia da Informação.Conforme a Portaria Normativa AGU nº 183, de 24 de julho de 2025, essas medidas incluem:
  • Padrões Abertos: Priorizar a contratação de soluções baseadas em padrões abertos, que facilitam a migração de dados e aplicações entre diferentes provedores.
  • Estratégia Multinuvem: Distribuir as cargas de trabalho entre múltiplos fornecedores de nuvem (pública ou privada), reduzindo o risco de dependência de um só.
  • Ferramentas de Migração: Utilizar ferramentas e serviços que simplifiquem a transferência de aplicações e dados entre ambientes distintos.
  • Gestão Centralizada: Usar ferramentas de monitoramento e gestão capazes de operar em múltiplos ambientes de nuvem, proporcionando uma visão unificada.
Quais são os objetivos da Estratégia de Uso de Software e Serviços de Computação em Nuvem da AGU?
A Estratégia de Uso de Software e Serviços de Computação em Nuvem da AGU possui cinco objetivos principais, definidos na Portaria Normativa AGU nº 183, de 24 de julho de 2025:1. Orientar a contratação: Garantir que a seleção de softwares e serviços em nuvem esteja alinhada aos objetivos estratégicos da instituição, priorizando soluções que otimizem recursos e agreguem valor.2. Garantir a segurança: Assegurar a proteção das informações armazenadas e minimizar os riscos associados à adoção de novas tecnologias.3. Ampliar a capacidade tecnológica: Aumentar a capacidade de armazenamento, escalabilidade e processamento de dados, promovendo a integração entre sistemas e evitando a dependência excessiva de um único fornecedor.4. Aumentar a eficiência: Implementar soluções de TI que melhorem a produtividade e a eficiência dos serviços prestados, otimizando custos de infraestrutura.5. Definir a governança: Estabelecer o modelo de governança para o uso de software e serviços em nuvem.
Quais são os requisitos para o controle de acesso a softwares e serviços em nuvem na AGU?
O controle de acesso a softwares e serviços de computação em nuvem na AGU deve seguir um conjunto rigoroso de requisitos para proteger os dados e sistemas, conforme a Portaria Normativa AGU nº 183, de 24 de julho de 2025.Os requisitos mínimos incluem:
  • Integridade e confidencialidade: Proteger os dados de acesso e as credenciais dos usuários.
  • Autenticação multifator (MFA): Exigir MFA para usuários com privilégios elevados.
  • Princípio do menor privilégio: Conceder apenas os acessos estritamente necessários para a execução das funções do usuário.
  • Revisão periódica: Realizar revisões regulares dos acessos concedidos, removendo permissões obsoletas.
  • Registro e monitoramento: Manter logs de todas as atividades de acesso para fins de auditoria e detecção de comportamentos anômalos.
Adicionalmente, os processos de concessão, revisão e revogação de acessos devem ser formais e integrados à gestão de identidade da instituição, com registro do responsável pela autorização.
Que tipos de software e serviços de computação em nuvem são abrangidos pela estratégia da AGU?
A Estratégia de Uso de Software e de Serviços de Computação em Nuvem da AGU, formalizada pela Portaria Normativa AGU nº 183, de 24 de julho de 2025, aplica-se a um vasto conjunto de soluções tecnológicas. Entre elas, estão:Modelos de software:
  • Licenciamento permanente;
  • Cessão temporária de direitos de uso;
  • Subscrição ou Software como Serviço (SaaS).
Serviços de nuvem:
  • Infraestrutura como Serviço (IaaS);
  • Plataforma como Serviço (PaaS).
Serviços de apoio:
  • Suporte técnico;
  • Operação e gerenciamento de recursos em nuvem;
  • Migração de recursos para nuvem;
  • Integração de serviços de nuvem;
  • Consultoria especializada.
Quais princípios orientam o uso de computação em nuvem na AGU?
O uso de software e serviços de computação em nuvem na Advocacia-Geral da União é norteado por sete princípios e diretrizes fundamentais, conforme a Portaria Normativa AGU nº 183, de 24 de julho de 2025:1. Segurança da Informação: Garantir a confidencialidade, integridade e disponibilidade das informações.2. Eficiência de Custos: Priorizar soluções que promovam economia, escalabilidade e melhor alocação de recursos.3. Interoperabilidade: Adotar padrões abertos e arquiteturas flexíveis para facilitar a integração entre sistemas.4. Independência de Fornecedores: Reduzir a dependência de fornecedores únicos (vendor lock-in) e garantir a portabilidade dos serviços.5. Sustentabilidade: Selecionar soluções de nuvem que minimizem o impacto ambiental.6. Capacitação Contínua: Promover o treinamento constante em gestão, operação e segurança de ambientes em nuvem.7. Alinhamento Estratégico: Integrar o uso da nuvem aos planos estratégicos e de segurança da informação da AGU.

Temas

Este artefato ainda não tem temas.

Itens vinculados

Nenhum item vinculado a este artefato.