SEI/FIOCRUZ - 4334352

Art. 1º - Instituir a Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz em atendimento à Portaria nº 5.950/2023 SGD/MGI, de 26 de outubro de 2023, considerando as necessidades e particularidades das unidades da instituição e em conformidade com os normativos vigentes.

Art. 2º - A Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz abrange a contratação de:

j) consultoria especializada em software e/ou serviços de computação em nuvem.

Parágrafo único: não faz parte do escopo da contratação itens e serviços como:

e) contratação de serviços de desenvolvimento, manutenção e sustentação de software; e

f) contratação de serviços de operação de infraestrutura e atendimento a usuários de Tecnologia da Informação e Comunicação.

Art. 3º - A Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz tem como objetivo orientar quanto a contratação e utilização de software e de serviços de computação em nuvem na Fiocruz, observando os direcionadores de utilização descritos nesta Estratégia, inclusive quanto aos aspectos de segurança da informação e privacidade, de forma a aprimorar a qualidade da contratação de software e de serviços de computação em nuvem, avaliar a economicidade dos preços estimados e contratados, otimizar o compartilhamento de recursos tecnológicos e computacionais, promover o alinhamento ao planejamento estratégico institucional e às Políticas, Estratégias e Planos de Governo Digital.

Art. 4º - A implementação da Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz deve considerar as seguintes competências:

I - Comitê de Governança Digital: aprovar e acompanhar a Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz;

II - Área responsável pelo tratamento de dados pessoais: definir questões relacionadas à privacidade de dados;

III - Comitê de Segurança da Informação: definir questões relacionadas à segurança da informação;

IV - Cogetic: difundir no âmbito das áreas de TI correlatas a Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz e zelar pelo seu cumprimento;

V - Áreas de TI correlatas: adequar seus processos de contratação e fiscalização conforme a Estratégia de uso de software e de serviços de computação em nuvem da Fiocruz; e

VI - Equipe de Planejamento da Contratação (EPC) e Equipe de Fiscalização do Contrato (EFC): adotar o Modelo de Contratação de Software e de Serviços de Computação em Nuvem (conforme Anexo I da Portaria nº 5.950/2023 SGD/MGI, de 26 de outubro de 2023) de forma a minimizar eventuais problemas na contratação e gestão dessas soluções.

CAPÍTULO III - ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM

Art. 5º - Deve ser adotado como direcionador o nível de sigilo das informações armazenadas ou manipuladas, considerando:

I - A legislação de dados pessoais e os aspectos de segurança da informação;

III - Uso de Nuvem privada para informações com restrição de acesso prevista na legislação.

Parágrafo único: não deve ser utilizada nuvem pública para informações classificadas.

Art. 6º - Fica estabelecido o serviço da Nuvem Fiocruz com as seguintes características:

I - Serviço de computação em nuvem ofertado a todos os institutos e escritórios da Fiocruz, independentemente de sua localização;

II - Modelo de implantação: Nuvem Híbrida, no caso da Fiocruz composto por duas infraestruturas distintas, sendo:

a) Nuvem privada, ou seja, infraestrutura de nuvem dedicada para uso exclusivo da Fiocruz e suas unidades vinculadas; e

b) Nuvem pública, gerida por um provedor de serviços de nuvem, cuja infraestrutura de nuvem é compartilhada com outras organizações.

III - Modelo de serviços: os serviços de computação em nuvem são ofertados prioritariamente nos seguintes modelos:

a) SaaS - Software as a Service (Software como Serviço): Este é o modelo principal a ser adotado na oferta de soluções de software cuja necessidade utilização é comum entre as unidades, sendo ofertada de forma completa e com toda a infraestrutura subjacente, middleware, software de aplicativo e dados de aplicativo hospedados na Nuvem Fiocruz, onde a Cogetic é responsável por gerenciar hardware e software e garantir a disponibilidade e a segurança do aplicativo e de seus dados;

b) PaaS - Plataform as a Service (Plataforma como Serviço): Quando não for possível a oferta do serviço no modelo SaaS, deve-se priorizar o uso do modelo PaaS, onde é fornecido ao cliente capacidade para provisionar na infraestrutura de nuvem existente aplicações adquiridas ou criadas para o cliente, desenvolvidas com linguagens de programação, bibliotecas, serviços e ferramentas suportados pela Nuvem Fiocruz, onde o cliente não gerencia nem controla a infraestrutura na nuvem subjacente, incluindo rede, servidores, sistema operacional ou armazenamento, porém é responsável por controlar as aplicações instaladas e as configurações do ambiente de hospedagem de aplicações;

c) IaaS - Infrastructure as a Service (Infraestrutura como Serviço): Refere-se a capacidade fornecida a um cliente de provisionar processamento, armazenamento, comunicação de rede e outros recursos de computação, onde o cliente pode instalar e executar software em geral, incluindo sistemas operacionais e aplicativos. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento e aplicativos instalados e, possivelmente, um controle limitado de alguns componentes de rede;

§ 1º A adoção do modelo IaaS não é recomendado pois sua utilização envolve a alocação de recursos de forma exclusiva a um usuário e impossibilitando o compartilhamento desses recursos com a comunidade de usuários como um todo, sendo considerado sua adoção ultrapassada, pouco otimizada e de alto custo;

§ 2º A Nuvem Fiocruz não oferta serviços de co-location, ou seja, não oferta infraestrutura de data center para hospedagem de equipamentos computacionais, sendo necessário o cliente optar pelos modelos SaaS ou PaaS;

Art. 7º - Os sistemas, aplicações, dados e serviços necessários para suprir as necessidades de negócio das unidades devem ser tratados através do serviço da Nuvem Fiocruz em detrimento a adoção de serviços em infraestruturas de TI locais;

Art. 8º - As demandas de serviços de software e serviços de computação em nuvem relacionadas às necessidades de uma unidade, devem ser tratadas exclusivamente pela área de TI correlata da respectiva unidade, que fará os alinhamentos necessários junto à Cogetic para a o fornecimento dos serviços;

Art. 9º - Os modelos de serviço SaaS e PaaS devem ser prioritariamente adotados em detrimento ao modelo de IaaS, onde a adoção do modelo IaaS será objeto de avaliação e autorização da equipe técnica da Cogetic sobre a pertinência de sua adoção mediante pedido formal e justificado pela área de TI correlata da unidade;

Art. 10 - O modelo de implementação a ser adotado é o de nuvem híbrida, composto por nuvem privada e nuvem pública;

Art. 11 - O serviço de nuvem privada da Fiocruz, chamado de Nuvem Fiocruz, é destinado a serviços estruturantes de TIC das unidades, em especial aqueles que tratam de dados considerados críticos para a consecução de serviços e atividades das unidades da Fiocruz;

Art. 12 - A contratação de serviços de nuvem pública a ser ofertado a todas as unidades da Fiocruz será contratado e gerido exclusivamente pela Cogetic, sendo vedada outras contratações de serviços de computação em nuvem pública isoladamente;

Art. 13 - A Cogetic é responsável pela segurança, conformidade, disponibilidade e suporte técnico, além dos processos de controle de acesso, gerenciamento de configuração e, quando for o caso, monitoramento das atividades em nuvem, de modo a garantir que os serviços sejam executados em conformidade com os padrões estabelecidos; normativos que versam sobre segurança da informação

Art. 14 - São princípios norteadores da estratégia de serviços de computação em nuvem:

a) Cloud First: abordagem onde o uso da computação em nuvem é a primeira opção para necessidades de infraestrutura e serviços, de forma a se alcançar eficiência operacional, ganhos financeiros e redução de custos;

b) Lift-and-shift: refere-se ao processo de migração de aplicativos e dados de um ambiente local para a nuvem, sem a necessidade de grandes alterações ou redesenho da arquitetura, permitindo uma migração mais rápida, menos trabalhosa com menor custo;

Art. 15 - Para utilização dos serviços de computação em nuvem as unidades da Fiocruz devem atender as seguintes condições mínimas de infraestrutura de TIC:

a) conexão estável com a Internet, banda suficiente e redundância, se possível;

b) Capacitação das áreas de TI correlatas nas soluções de gerenciamento da Nuvem Fiocruz;

c) Designação de interlocutor junto à Cogetic, responsável pelas ações de gerenciamento sob sua responsabilidade;

Art. 16 - As unidades da Fiocruz devem observar a identificação e classificação de dados que serão tratados no ambiente da Nuvem Fiocruz;

Art. 17 - A aquisição de serviços de software e aquisição de serviços de computação em nuvem devem estar alinhados aos planos estratégicos, tais como o Relatório do Congresso Interno da Fiocruz, Plano Estratégico de TI (PETI), Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC), Plano de Contratações Anual (PCA), Planos de Segurança da Informação, etc.;

Art. 17 - São benefícios esperados pela adoção de softwares e serviços de nuvem:

Art. 18 - Devem ser identificadas e providas as capacidades e habilidades necessárias ao gerenciamento, operação e utilização dos recursos de software e serviços de computação em nuvem;

Art. 19 - Na adoção de serviços de computação em nuvem pública deve ser considerada questões referentes à portabilidade e interoperabilidade entre sistemas, dados e serviços, bem como a viabilidade de adoção de medidas para mitigar a dependência tecnológica;

Art. 20 - O uso de software e de serviços de computação em nuvem deve atender aos requisitos regulatórios e de conformidade vigentes;

Art. 21- A contratação de software e serviços de computação deve indicar uma estratégia de saída, considerando a análise de dependências e aspectos de portabilidade;

Art. 22 - Na contratação de serviços de computação em nuvem deve ser realizada análise de riscos dos itens que compõem a solução, incluindo as etapas de execução contratual, de negociação das prorrogações do contrato e de licitação para a substituição do fornecedor, aplicando, em cada etapa, as ações cabíveis previstas no referido plano de tratamento de riscos.

Art. 23 - Os requisitos apresentados a seguir busca fornecer diretrizes e requisitos mínimos para uso seguro de computação em nuvem na Fiocruz, considerando o atendimento à legislação brasileira, a adoção do gerenciamento de riscos, alinhamento à Política de segurança da informação da Fiocruz;

a) Ampliar o acesso a serviços de computação em nuvem através de um ambiente seguro;

b) Permitir a expansão do processo de transformação digital, criando um ambiente capaz de potencializar a consecução de serviços para a sociedade;

c) Elevar o nível de proteção das informações no uso de soluções de computação em nuvem;

d) Fazer uso racional dos recursos computacionais através do uso de plataformas;

e) Adequar e direcionar investimentos de formar a permitir a oferta e sustentação de plataformas computacionais;

Art. 25 - Para o gerenciamento dos serviços de computação em nuvem ficam definidos as funções e responsabilidades dos agentes designados:

a) Responsável pela elaboração e revisões do ato normativo sobre uso seguro de computação em nuvem;

b) Supervisionar a aplicação do ato normativo sobre uso seguro de computação em nuvem;

c) assegurar a contínua efetividade da comunicação com o provedor de serviço de nuvem, que fornece tais serviços à instituição, de forma a assegurar que os controles e os níveis de serviço acordados sejam cumpridos;

d) Supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios;

e) Comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem aos órgãos competentes para os seus tratamentos; e

f) Encaminhar para aprovação da alta administração as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem.

a) Estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem;

b) Definir os requisitos criptográficos mínimos para o armazenamento de dados e informações em soluções de computação em nuvem; e

c) analisar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem.

a) Aprovar as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem e divulgá-las às partes interessadas.

Art. 26 - Os seguintes requisitos devem ser observados na adoção de soluções de computação em nuvem:

I - Da transferência de serviços para um provedor de serviço de nuvem - Ao realizar a transferência de serviços ou informações entre a instituição e um provedor de serviço, devem ser observados:

a) O atendimento à legislação brasileira no que se refere aos direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros nas operações de coleta, armazenamento, guarda e tratamento de registros de dados pessoais, além das comunicações realizada por provedores de conexão e de aplicações de internet onde ao menos um desses ocorra em território nacional;

b) Adoção do gerenciamento de riscos, precedido por análise e relatório de impacto de dados pessoais, em conformidade com a legislação, considerando o tipo de informação a ser migrada, o fluxo de tratamento dos dados que podem ser afetados com a adoção da solução, o valor dos ativos envolvidos e os benefícios da adoção de uma solução de computação em nuvem, em relação aos riscos de segurança e privacidade referentes à disponibilização de informações e serviços a um terceiro;

c) Para sistemas estruturantes, adotar apenas os modelos de implementação de nuvem privada, desde que restritas às infraestruturas da instituição;

d) Avaliar quais informações serão hospedadas na nuvem, considerando o processo de classificação da informação de acordo com a legislação, o valor do ativo de informação, os controles de acessos físico e lógico relativos à segurança da informação e o modelo de serviço e de implementação de computação em nuvem;

e) Definir as medidas de mitigação de riscos e de custos para a implementação de solução de computação em nuvem e para possibilidade de crescimento dessa solução; e

f) Planejar custos de migração das informações e dos serviços, nos casos de ingresso e de saída do serviço de computação em nuvem.

II - Da capacidade do provedor de serviço de nuvem para implementar atualizações

a) Revisar periodicamente seus procedimentos internos, em especial aqueles relativos a:

b) Manter sistemas, aplicações e componentes sempre atualizados com as últimas correções de segurança e com suporte ativo pelos fabricantes.

a) Adotar o padrão de identidade federada que permita o uso de tecnologia single sign-on no processo de autenticação de seus usuários no provedor de serviço de nuvem, tais como: Login Único Fiocruz, Comunidade Acadêmica Federada (CAFe) e serviço de identificação gov.br;

b) Não permitir que um provedor de serviço de nuvem externo tenha permissão de uso e acesso direto ao ambiente de autenticação da instituição;

c) De acordo com o nível de criticidade da informação, adotar o uso da tecnologia single sign-on combinado à adoção de tecnologias de múltiplo fator de autenticação a fim de aumentar o grau de segurança no processo de autenticação de seus usuários no provedor de serviço de nuvem;

d) Registrar todos os acessos, incidentes e eventos cibernéticos, incluídas informações sobre sessões e transações e armazenar, pelo período de ao menos um ano, todos os registros de acesso.

a) Certificar-se de que os dados da organização estão sendo tratados e armazenados de acordo com a legislação;

b) Analisar a necessidade de criptografar dados com base nos requisitos legais, nos riscos, no nível de criticidade, nos custos e nos benefícios;

a) Garantir que o ambiente do provedor de serviços em nuvem seja protegido de usuários externos e de pessoas não autorizadas e implementar controles de segurança da informação de forma a propiciar o isolamento adequado dos recursos;

b) Garantir que seja aplicada segregação lógica apropriada dos dados das aplicações virtualizadas, dos sistemas operacionais, do armazenamento e da rede a fim de estabelecer a separação de recursos utilizados;

c) Garantir a separação de todos os recursos utilizados pelo Provedor de Serviço de Nuvem daqueles recursos utilizados pela administração interna da instituição;

d) Avaliar riscos associados à execução de softwares proprietários a serem instalados no serviço de nuvem.

a) Manter a equipe responsável pelo gerenciamento capacitada nas tecnologias utilizadas pelo provedor de serviço de nuvem;

b) Exigir que o provedor de serviço de nuvem documente e comunique seus recursos, papéis e responsabilidades de segurança da informação para o uso de seus serviços em nuvem;

c) Elaborar uma matriz de responsabilidades que inclua obrigações e responsabilidades próprias;

d) Possuir um processo de tratamento de incidentes junto ao provedor de serviço de nuvem e comunicá-lo à equipe responsável pelo gerenciamento da nuvem.

a) Informações sem restrição de acesso poderão ser tratada em ambiente de nuvem, considerada a legislação e os riscos de segurança da informação;

b) Informações classificadas em grau de sigilo e documento preparatório que possa originar informação classificada não poderão ser tratados em ambiente de computação em nuvem;

c) Poderão ser tratados em ambiente de computação em nuvem, observados os riscos de segurança da informação e a legislação vigente, a informação com restrição de acesso prevista na legislação, o material de acesso restrito regulado pelo próprio órgão ou pela entidade, a informação pessoal relativa à intimidade, vida privada, honra e imagem e documentos preparatórios.

a) Pelo menos uma cópia atualizada de segurança deve ser mantida em território brasileiro;

b) A informação sem restrição de acesso poderá possuir cópias atualizadas de segurança fora do território brasileiro, conforme legislação aplicável;

c) A informação com restrição de acesso prevista na legislação e documentos preparatórios, bem como suas cópias atualizadas de segurança, não poderão ser tratados fora do território brasileiro, conforme legislação aplicável;

d) No caso de dados pessoais, deverão ser observadas as orientações previstas na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, e demais legislações sobre o assunto.

IX - Cláusulas contratuais específicas: O instrumento contratual a ser firmado com o provedor de serviço de nuvem para a prestação do serviço de computação em nuvem deve conter dispositivos que tratem dos requisitos estabelecidos e além de, no mínimo, os seguintes procedimentos de segurança:

a) Termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações da instituição para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;

b) Garantia da exclusividade de direitos, por parte da instituição, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;

c) Proibição do uso de informações da instituição pelo provedor de serviço de nuvem para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não-autorizado;

d) Conformidade da política de segurança da informação do provedor de serviço de nuvem com a legislação brasileira;

e) Devolução integral dos dados, informações e sistemas sob custódia do provedor de serviço de nuvem aos órgãos ou às entidades contratantes ao término do contrato;

f) Eliminação, por parte do provedor de serviço de nuvem, ao término do contrato, de qualquer dado, informação ou sistema da instituição sob sua custódia, observada a legislação que trata da obrigatoriedade de retenção de dados;

g) Garantia do direito ao esquecimento para dados pessoais, conforme previsto pela Lei nº 13.709, de 14 de agosto de 2018 - LGPD.

a) Possuir metodologia de gestão de riscos, elaborada em conformidade com as melhores práticas e com a legislação vigente;

b) Implementar práticas de fortalecimento dos mecanismos de virtualização, que devem incluir, no mínimo, os seguintes procedimentos:

i. desabilitar ou remover todas as interfaces, portas, dispositivos ou serviços desnecessários executados pelo sistema operacional;

ii. configurar de forma segura todas as interfaces de rede e áreas de armazenamento virtuais;

iv. manter todos os sistemas operacionais e as aplicações em execução na máquina virtual em suas versões mais atuais;

v. validar a integridade das operações de gerenciamento de chaves criptográficas;

vi. possuir controles que permitam aos usuários autorizados da instituição acessarem os registros de acesso administrativo;

vii. habilitar o registro completo do software de gerenciamento do ambiente de computação em nuvem; e

viii. suportar o uso de máquinas virtuais confiáveis (Trusted VM) fornecidas pela instituição, que estejam em conformidade com as políticas e práticas de fortalecimento de redes exigidas ao provedor de serviço de nuvem;

i. possuir procedimentos de controle de acesso que abordem a transição entre as funções, os limites e controles dos privilégios dos usuários e os controles de utilização das contas de usuários;

ii. impor mecanismo de autenticação que exija tamanho mínimo, complexidade, duração e histórico de senhas de acesso;

iv. suportar mecanismos de autenticação multifator ou outra alternativa que aumente o grau de segurança no processo de autenticação de usuários da instituição no provedor de serviço de nuvem, de acordo com nível de criticidade da informação;

v. permitir à instituição gerenciar as próprias identidades, inclusive criação, atualização, exclusão e suspensão no ambiente fornecido pelo provedor de serviço de nuvem; e

vi. atender aos requisitos legais, às melhores práticas de segurança e a outros critérios exigidos pela instituição em seus processos de autenticação, controle de acesso, contabilidade e de registro (formato, retenção e acesso);

d) em relação à segurança de aplicações web disponibilizadas no ambiente de nuvem:

ii. desenvolver código web em conformidade com as melhores práticas de desenvolvimento seguro e com os normativos existentes;

iii. utilizar melhores práticas de segurança de sistemas operacionais e de aplicações;

iv. realizar periodicamente testes de penetração de redes e de aplicações; e

e) possuir processos de gestão de continuidade de negócios e de gestão de mudanças, em conformidade com os normativos existentes e com as melhores práticas de mercado;

f) possuir um plano de recuperação de desastres que estabeleça procedimentos de recuperação e de restauração de plataforma, infraestrutura, aplicações e dados após incidentes de perda de dados;

g) estabelecer um canal de comunicação seguro utilizando, no mínimo, Secure Sockets Layer / Transport Layer Security (SSL/TLS);

h) utilizar um padrão de encriptação seguro, conforme padrão internacional reconhecidamente aceito, que possa ser implementado com chaves de encriptação geradas e armazenadas pela instituição;

i) disponibilizar facilidades que possibilitem a aplicação de uma proteção criptográfica própria da instituição;

i. isolar, utilizando separação lógica, todos os dados e serviços da instituição de outros clientes de serviço em nuvem;

ii. segregar o tráfego de gerenciamento do tráfego de dados da instituição; e

k) possuir procedimentos em relação ao descarte de ativos de informação e de dados, que assegurem:

i. sanitizar ou destruir, de modo seguro, os dados existentes nos dispositivos descartados por meio da utilização de métodos que estejam em conformidade com os padrões estabelecidos para a conduta e as melhores práticas;

i. destruir, de modo seguro, ativo de informação no fim do ciclo de vida ou considerado inservível, preferencialmente com o fornecimento de um Certificado de Destruição de Equipamento Eletrônico (Certificate of Electronic Equipment Destruction - CEED) e discriminar os ativos que foram reciclados, bem como o peso e os tipos de materiais obtidos em virtude do processo de destruição; e

iii. armazenar, de modo seguro, ativos de informação a serem descartados, em ambiente com acesso físico controlado, com registro de toda movimentação de entrada e de saída de dispositivos;

l) notificar, imediatamente, a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos e unidades clientes sobre qualquer incidente cibernético contra os serviços ou dados sob sua custódia;

m) possuir procedimentos necessários para preservação de evidências, conforme legislação.

XI - Da utilização de cloud brokers: O cloud broker deverá atuar como integrador dos serviços de computação em nuvem entre a instituição e dois ou mais provedores de serviço de nuvem. Caso o órgão ou a entidade contrate por meio do cloud broker plataforma de gestão multinuvem para realizar procedimentos de provisionamento e orquestração do ambiente, é necessário que a ferramenta possua:

a) em relação às funcionalidades de provisionamento e orquestração de multinuvem:

iii. automação segura de provisionamento simultâneo e utilização, no que couber, ferramentas de código aberto e interoperáveis;

v. soluções seguras integradas de criação de infraestrutura por código - IaaC;

c). em relação às funcionalidades de inventário e classificação em multinuvem:

Art. 27- A Estratégia de Uso de Software e de Serviços de Computação em Nuvem é parte integrante do Plano Estratégico de Tecnologia da Informação e Comunicação (PETIC) da Fiocruz;

Art. 28 - Para garantir a segurança, poderão ser adotadas outras diretrizes complementares, desde que não confrontem as previsões da legislação;

Art. 29 - As diretrizes e requisitos apresentados neste documento devem ser reavaliados em um prazo não superior a dois anos;

Art. 30 - Os casos omissos serão tratados pela Coordenação-Geral de Gestão de Tecnologia da Informação (Cogetic);

Documento assinado eletronicamente por JULIANO DE CARVALHO LIMA, Diretor(a) Executivo, em 08/10/2024, às 16:42, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site http://sei.fiocruz.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 4334352 e o código CRC 897B1ADC.