Portaria Interministerial MP/MC/MD nº 141 DE 02/05/2014

Norma Federal - Publicado no DO em 05 mai 2014

Dispõe que as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da Administração Pública Federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, observado o disposto nesta Portaria.

(Revogado pela Portaria Interministerial ME/MD Nº 8643 DE 22/06/2021, efeitos a partir de 01/10/2021):

Os Ministros de Estado do Planejamento, Orçamento e Gestão, das Comunicações e da Defesa, no uso das atribuições que lhes confere o art. 87, parágrafo único, inciso II, da Constituição Federal, e tendo em vista o disposto no art. 1º, § 5º, do Decreto nº 8.135, de 4 de novembro de 2013,

Resolvem:

CAPÍTULO I - DAS DISPOSIÇÕES GERAIS

Art. 1º As comunicações de dados da Administração Pública Federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da Administração Pública Federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, observado o disposto nesta Portaria.

§ 1º O disposto no caput não se aplica às comunicações realizadas através de serviço móvel pessoal e serviço telefônico fixo comutado.

§ 2º Os órgãos e entidades da União a que se refere o caput deverão adotar os serviços de correio eletrônico e suas funcionalidades complementares oferecidos por órgãos e entidades da Administração Pública Federal.

§ 3º Os programas e equipamentos destinados às atividades de que trata o caput deverão possuir características que permitam auditoria para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações, na forma definida nesta Portaria.

§ 4º O armazenamento e a recuperação de dados a que se refere o caput serão realizados em centro de processamento de dados fornecido por órgãos e entidades da Administração Pública Federal.

Art. 2º Para o disposto nesta Portaria, consideram-se as seguintes definições:

I - armazenamento de dados: serviço de depósito e arquivamento de informações em formato digital que utiliza componentes de computadores ou mídias de gravação capazes de manter os dados por um intervalo de tempo;

II - auditoria: processos e procedimentos sistemáticos de levantamento de evidências que tem como objetivo verificar se os serviços de redes de telecomunicações e de tecnologia da informação atendem aos requisitos especificados previamente em termo de referência ou projeto básico para fins de garantia da disponibilidade, integridade, confidencialidade, autenticidade das informações;

III - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

IV - centro de processamento de dados: ambiente que concentra e gerencia recursos computacionais para armazenamento e tratamento sistemático de dados;

V - comunicação de dados: é a transmissão, emissão ou recepção de dados ou informações de qualquer natureza por meios confinados, radiofrequência ou qualquer outro processo eletrônico ou eletromagnético ou ótico;

VI - comunicação de dados militares operacionais: comunicação de dados realizada em proveito de operações militares, executadas no âmbito do Sistema Militar de Comando e Controle - (SISMC²), conforme disciplinado pelo Ministério da Defesa para o preparo e o emprego das Forças Armadas, em especial os sistemas de controle de tráfego aéreo, de controle de tráfego marítimo, de defesa aeroespacial, de monitoramento de fronteiras e de proteção de infraestruturas críticas;

VII - confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;

VIII - disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

IX - fornecedor privado: pessoa jurídica de direito privado que presta serviços de rede de telecomunicações ou de tecnologia da informação e que não integra a Administração Pública Federal direta ou indireta;

X - órgão ou entidade fornecedor: órgão ou entidade da Administração Pública Federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, que forneça serviços de redes de telecomunicações e de tecnologia da informação para órgãos ou entidades contratantes;

XI - órgão ou entidade contratante: órgão ou entidade da Administração Pública Federal, que contrate serviços de redes de telecomunicações e de tecnologia da informação;

XII - órgão gerenciador: órgão responsável pelo estabelecimento, por meio de regulamentação específica, das regras, condições, parâmetros, preços e modelos de instrumentos de contratação que serão obrigatórios para os órgãos e entidades contratantes;

XIII - incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XIV - integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

XV - recuperação de dados: processo de restauração, em sistemas computacionais, de dados digitais perdidos, excluídos, corrompidos ou inacessíveis por qualquer motivo;

XVI - rede própria: conjunto de meios físicos, sistemas de telecomunicações e equipamentos de transmissão de dados, cuja posse, gestão, administração e responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da Administração Pública Federal;

XVII - segurança da informação e comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

XVIII - serviços de redes de telecomunicações: provimento de serviços de telecomunicações, de tecnologia da informação, de valor adicionado e de infraestrutura para redes de comunicação de dados;

XIX - serviços de tecnologia da informação: provimento de serviços de desenvolvimento, implantação, manutenção, armazenamento e recuperação de dados e operação de sistemas de informação, projeto de infraestrutura de redes de comunicação de dados, modelagem de processos e assessoramento técnico, necessários à gestão da segurança da informação e comunicações;

XX - serviços de tecnologia da informação militares operacionais: recursos de Tecnologia da Informação e Comunicações que integram o SISMC2 proporcionando ferramentas por intermédio das quais as informações são coletadas, monitoradas, armazenadas, processadas, fundidas, disseminadas, apresentadas e protegidas;

XXI - serviços de tecnologia da informação próprios: conjunto de serviços de tecnologia da informação prestados por meio de plataformas desenvolvidas pelo próprio órgão ou entidade, cuja posse, gestão, administração e responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da Administração Pública Federal;

XXII - software livre: software cujo modelo de licença livre atende a liberdade para executar o programa, estudar como o programa funciona e adaptá-lo para as suas necessidades, redistribuir cópias do programa e aperfeiçoar o programa e liberar os seus aperfeiçoamentos sem restrição;

XXIII - software público brasileiro: software que adota um modelo de licença livre para o código-fonte, a proteção da identidade original entre o seu nome, marca, código-fonte, documentação e outros artefatos relacionados por meio do modelo de Licença Pública de Marca - LPM e é disponibilizado na Internet em ambiente virtual público, sendo tratado como um benefício para a sociedade, o mercado e o cidadão;

XXIV - Sistema Militar de Comando e Controle (SISMC²): conjunto de instalações, equipamentos, sistemas de informação, comunicações, doutrinas, procedimentos e pessoal essenciais para o comando e controle, visando atender ao preparo e ao emprego das Forças Armadas; e

XXV - vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação e comunicações.

Art. 3º As comunicações de dados da Administração Pública Federal direta, autárquica e fundacional serão estruturadas e efetuadas em conformidade com as seguintes diretrizes:

I - criação, desenvolvimento e manutenção de ações de segurança da informação e comunicações;

II - planejamento, articulação e gestão integrada das políticas de segurança da informação e comunicações;

III - redução de pontos de vulnerabilidade por meio da padronização, integração e interoperabilidade das redes de telecomunicações e dos serviços de tecnologia da informação contratados; e

IV - implementação de ações e procedimentos que assegurem a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, incluindo a adoção de programas e equipamentos que possam ser auditados.

CAPÍTULO II - DO ÓRGÃO GERENCIADOR

Art. 4º O Ministério do Planejamento, Orçamento e Gestão será o órgão gerenciador em relação à contratação dos serviços previstos nesta Portaria, competindo-lhe:

I - regulamentar as contratações previstas nesta Portaria, estabelecendo:

a) prioridades de contratação, a partir da análise do plano de disponibilidade de prestação de serviços apresentado pelo órgão ou entidade fornecedor;

b) especificação técnica e níveis dos serviços padronizados a serem contratados pelos órgãos e entidades;

c) as unidades de medida que permitam a quantificação das tarefas e dos serviços que serão contratados;

d) regras, condições, parâmetros e preços para a execução dos serviços;

e) modelos de instrumentos de contratação;

f) descrição dos padrões de interoperabilidade;

g) sanções a serem previstas em modelos de instrumentos de contratação;

h) formas de implementação e monitoramento das atividades dos órgãos ou entidades fornecedores;

i) indicadores de desempenho das contratações; e

j) processos padronizados de contratação.

II - consolidar informações relativas às solicitações dos órgãos ou entidades para verificação do atendimento da regulamentação específica do serviço; e

III - revisar periodicamente os preços estabelecidos, a partir da avaliação da composição de preços dos serviços encaminhada pelo órgão ou entidade fornecedor.

CAPÍTULO III - DO PROCEDIMENTO DE CONTRATAÇÃO DOS SERVIÇOS

Seção I - Dos Procedimentos Gerais

Art. 5º Para atendimento ao disposto no art. 1º, a contratação de serviços de redes de telecomunicações e de tecnologia da informação prestados por órgãos ou entidades fornecedores deverá ser efetuada por dispensa de licitação.

§ 1º A contratação dos serviços de que trata o caput será efetuada em conformidade com as normas e os procedimentos estabelecidos pelo órgão gerenciador, observada as disposições relativas à segurança da informação e comunicações fixadas pelo Gabinete de Segurança Institucional da Presidência da República.

§ 2º Quando o órgão ou entidade contratante necessitar de serviços com parâmetros não previstos em regulamentação específica estabelecida pelo órgão gerenciador, a dispensa poderá ser feita a partir de critérios e especificações próprias.

§ 3º Nas hipóteses dos §§ 1º e 2º, até o término da fase de planejamento da contratação, o órgão ou entidade contratante deverá consultar a regulamentação do órgão gerenciador ou os órgãos ou entidades fornecedores que prestem serviços compatíveis com o objeto da contratação sobre a disponibilidade para atendimento das especificações técnicas e níveis de serviço do objeto do contrato, conforme o caso.

Art. 6º A contratação de órgãos e entidades fornecedores a que se refere o caput do art. 5º não será obrigatória para:

I - os casos em que não houver oferta da prestação de serviços por órgãos ou entidades fornecedores, observado o disposto no art. 7º;

II - as comunicações de dados militares operacionais e os sistemas de tecnologia da informação militares operacionais, bem como às comunicações de caráter administrativo, assim entendidas como aquelas realizadas para execução da administração do Ministério da Defesa e órgãos subordinados, que trafegarem pelos mesmos canais das comunicações de dados militares operacionais, até a adequação de suas infraestruturas, de acordo com o planejamento a ser fixado por ato do Ministro de Estado da Defesa;

III - as comunicações de dados efetuadas por meio de redes próprias e serviços de tecnologia da informação próprios;

IV - a prestação de serviços de redes de telecomunicações fora do território nacional; e

V - os serviços objetos da presente regulamentação prestados pela Rede Nacional de Ensino e Pesquisa (RNP), desde que compatíveis com o contrato de gestão da instituição.

Parágrafo único. No prazo estabelecido pelo órgão gerenciador, as contratações previstas nos incisos I, III e V deverão observar o disposto nos Capítulos IV e V desta Portaria.

Seção II - Da Contratação com Fornecedores Privados

Art. 7º Nos casos em que não houver oferta da prestação de serviços por órgãos ou entidades fornecedores, é permitida a contratação de serviços de redes de telecomunicações ou de tecnologia da informação junto a fornecedores privados.

§ 1º Para fins desta Portaria, o serviço será considerado não ofertado quando o órgão ou entidade fornecedor:

I - não atender à localidade da prestação do serviço;

II - não atender aos requisitos técnicos relativos à infraestrutura ou aos serviços, conforme demandado pelo órgão ou entidade contratante, observada a regulamentação estabelecida pelo órgão gerenciador, quando houver;

III - não responder a consulta formal sobre o atendimento dos serviços no prazo de trinta dias; e

IV - não puder enquadrar a demanda do órgão ou entidade contratante nas prioridades de contratação de que trata o art. 4º, inciso I, alínea "a".

§ 2º A contratação com fornecedores privados será precedida de licitação, excetuadas as hipóteses de dispensa ou de inexigibilidade previstas na legislação.

§ 3º A não oferta de que trata o § 1º deverá ser demonstrada no processo de contratação mediante a juntada de documentos que atestem a realização da consulta referida no § 3º do art. 5º e o enquadramento em uma das hipóteses do § 1º.

§ 4º Nos casos em que o atendimento aos serviços for apenas parcial, o órgão ou entidade contratante deverá motivar a não contratação do órgão ou entidade fornecedor, mediante justificativa de que a cisão do objeto da contratação:

I - é inviável do ponto de vista técnico ou jurídico; ou

II - é desvantajosa tecnicamente para o órgão ou entidade contratante.

§ 5º O prazo referido no inciso III do § 1º poderá ser prorrogado, a critério do órgão ou entidade contratante, mediante justificativa.

CAPÍTULO IV - DOS REQUISITOS DE IMPLEMENTAÇÃO DOS SERVIÇOS

Seção I - Dos Requisitos Comuns

Art. 8º Os serviços de redes de telecomunicações e de tecnologia da informação prestados por fornecedores privados ou por órgãos e entidades fornecedores devem adotar os padrões definidos, em capítulo específico, da arquitetura e-PING - Padrões de Interoperabilidade de Governo Eletrônico.

Art. 9º O termo de referência ou projeto básico e o contrato, observadas as especificidades técnicas de cada órgão ou entidade contratante e a regulamentação estabelecida pelo órgão gerenciador, quando houver, deverão conter obrigações de:

I - comprovação da disponibilidade, integridade, confidencialidade e autenticidade das informações trafegadas por meio de programas ou equipamentos para comunicação de dados;

II - apresentação da política de segurança de dados e o detalhamento das ações de segurança da informação e comunicações a serem implementadas nos serviços contratados;

III - fornecimento à Administração, ou a terceiro por ela indicado, de informações de monitoramento e acesso a instrumentos e procedimentos de prevenção e reação a incidentes de segurança;

IV - atendimento às normas e padrões de segurança estabelecidos pela Administração para acesso e uso das instalações e equipamentos;

V - manutenção de confidencialidade das informações e documentos aos quais venha a ter acesso em decorrência da prestação dos serviços contratados, sendo esta obrigação extensiva a seus sócios, diretores, mandatários, assim como todos os empregados envolvidos na contratação, não dispensando a assinatura de termo específico;

VI - comunicação à Administração da ocorrência de incidentes de segurança e a existência de vulnerabilidades relativas ao objeto da contratação, em periodicidade definida, em capítulo específico, da arquitetura e-PING - Padrões de Interoperabilidade de Governo Eletrônico, assim como tomar as ações imediatas de contenção;

VII - fornecimento de informações gerenciais sobre o desempenho dos serviços objeto do contrato, de maneira agregada e individualizada;

VIII - possibilidade de realização de auditoria em programas e equipamentos por órgão ou entidade contratante ou por instituição credenciada pelo Governo Federal; e

IX - aplicação de sanções em caso de incidente de segurança, intencionalmente ou por omissão.

Seção II - Dos Requisitos Específicos

Art. 10. Sem prejuízo do disposto nos arts. 8º e 9º, os serviços de redes de telecomunicações deverão atender aos seguintes requisitos mínimos:

I - utilização de ferramenta de monitoramento do tráfego; e

II - utilização de ferramentas de prevenção à intrusão no acesso do serviço de Internet.

Art. 11. Para fins desta Portaria, serviços de tecnologia da informação abrangem os serviços de:

I - correio eletrônico;

II - compartilhamento e sincronização de arquivos;

III - mensageria instantânea;

IV - conferência (teleconferência, telepresença e webconferência); e

V - comunicação de voz sobre protocolo de internet (VoIP).

Art. 12. Sem prejuízo dos requisitos previstos nos arts. 8º e 9º, os serviços de tecnologia da informação de que trata esta Portaria devem adotar os seguintes critérios mínimos de segurança da informação e comunicações:

I - uso de criptografia para informações sigilosas; e

II - uso de ferramenta de controle de acesso e de gerenciamento de identidades.

§ 1º Além dos critérios previstos no caput, para o fornecimento de serviços de correio eletrônico e mensageria instantânea devem ser exigidas as seguintes condições mínimas:

I - utilização de ferramenta de prevenção do envio de mensagens em massa; e

II - utilização de ferramenta de detecção de códigos maliciosos.

§ 2º Para o fornecimento de serviços de compartilhamento e sincronização de arquivos, além dos requisitos previstos no caput, será exigida no mínimo a utilização de ferramenta de detecção de códigos maliciosos.

CAPÍTULO V - DA AUDITORIA DE PROGRAMAS E EQUIPAMENTOS

Art. 13. Os programas e equipamentos destinados às atividades de que trata o art. 1º deverão ter características que permitam auditoria, pelo órgão ou entidade contratante ou por instituição credenciada pelo Governo Federal, para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações.

Art. 14. O termo de referência ou projeto básico e o respectivo contrato celebrado com fornecedor privado ou com órgão ou entidade fornecedor deverá prever, entre outras disposições:

I - a possibilidade de realização de auditoria em programas e equipamentos; e

II - o detalhamento dos critérios e condições mínimas de segurança, bem como das respectivas obrigações a serem exigidas dos fornecedores, observado o disposto nos arts. 8º a 12 desta Portaria.

§ 1º Para fins do disposto no inciso I do caput, o órgão ou entidade contratante exigirá a adesão às diretrizes e especificações técnicas estabelecidas, em capítulo específico, da arquitetura e-PING - Padrões de Interoperabilidade de Governo Eletrônico.

§ 2º As diretrizes e especificações técnicas da e-PING referidas no § 1º deverão exigir, no mínimo, a possibilidade de abertura do código fonte no caso de programas para comunicação de dados e de firmware e sistemas operacionais no caso de equipamentos para comunicação de dados.

§ 3º Para efeito dessa Portaria, são considerados auditáveis os software livres ou públicos brasileiros.

CAPÍTULO VI - DA GESTÃO E DO ACOMPANHAMENTO

Art. 15. A gestão e o acompanhamento do disposto nesta Portaria serão realizados pelo Ministério do Planejamento, Orçamento e Gestão, com o objetivo de:

I - monitorar as contratações dos serviços de redes de telecomunicações e de tecnologia da informação pelos órgãos e entidades contratantes;

II - solicitar aos órgãos e entidades fornecedores informações relativas à oferta dos serviços de que trata esta Portaria, inclusive quanto à ampliação da capacidade disponível e à observância dos prazos de atendimento, conforme previsto nas disposições finais desta Portaria;

III - em conjunto com o respectivo Ministério supervisor dos órgãos e entidades fornecedores, estabelecer diretrizes e definir prioridades a serem contempladas nos respectivos planos de expansão de oferta; e

IV - acompanhar as diretrizes e especificações técnicas estabelecidas pela arquitetura e-PING;

Parágrafo único. Para fins de auxiliar o desempenho das atividades previstas no caput, poderão ser convidados representantes de outros órgãos ou entidades, públicas ou privadas.

CAPÍTULO VII - DAS DISPOSIÇÕES FINAIS

Art. 16. As diretrizes definidas no § 1º do art. 14º serão estabelecidas no prazo máximo de sessenta dias a partir da publicação desta Portaria.

Art. 17. As novas implementações de serviços de redes de telecomunicações e de tecnologia da informação de que trata o art. 1º devem seguir as determinações desta Portaria.

§ 1º Não se aplica o disposto no caput para licitações em andamento, desde que já tenham sido publicados os respectivos editais.

§ 2º Na hipótese do § 1º, o contrato de prestação de serviço poderá ser prorrogado pelo prazo máximo de doze meses.

Art. 18. A migração dos serviços de redes de telecomunicações e de tecnologia da informação em operação ou ativos deve ocorrer no prazo máximo de sessenta meses a partir da vigência desta Portaria.

Parágrafo único. Havendo oferta dos serviços nos termos do § 1º do art. 5º, o contrato de prestação de serviço poderá ser prorrogado pelo prazo máximo de doze meses, respeitado o disposto no art. 57 da Lei nº 8.666, de 21 de junho de 1993.

Art. 19. O prazo máximo para oferta dos serviços a serem executados pelos órgãos ou entidades fornecedoras será:

I - para os serviços de tecnologia da informação, de vinte e quatro meses; e

II - para os serviços de redes de telecomunicações:

a) de vinte e quatro meses nas capitais e regiões metropolitanas; e

b) de sessenta meses nas demais localidades.

Art. 20. Aplicam-se subsidiariamente às contratações de que trata esta norma o disposto nas instruções normativas que disciplinam as contratações de serviços continuados ou não e as contratações de Soluções de Tecnologia da Informação pelos órgãos e entidades integrantes do Sistema de Serviços Gerais (SISG) e do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal.

Art. 21. Esta Portaria entra em vigor na data de sua publicação.

MIRIAM BELCHIOR

Ministra de Estado do Planejamento, Orçamento e Gestão

PAULO BERNARDO SILVA

Ministro de Estado das Comunicações

CELSO LUIZ NUNES AMORIM

Ministro de Estado da Defesa