SEI/FIOCRUZ - 4334321

Art. 1º - Instituir a Estratégia de sustentação e provimento da infraestrutura computacional da Fiocruz em atendimento à Portaria SGD/MGI nº 2.715/2023, de 21 de junho de 2023, considerando as necessidades e particularidades das unidades da instituição, em especial:

a) Mudanças na forma de execução da atividade laboral, tais como presencial, teletrabalho ou híbrido;

b) Transformação dos ambientes de trabalho individuais para colaborativos (coworking);

Art. 2º - A Estratégia de sustentação e provimento da infraestrutura computacional tem como objetivo orientar os gestores de TIC sobre estratégias para substituição e atualização do parque computacional, dimensionamento do parque, seleção da modalidade de contratação, especificação técnica, gestão e monitoramento de contratos relacionados ao fornecimento ou contratação de serviços relacionados a estações de trabalho, visando a máxima funcionalidade, eficiência, racionalidade, adequação e preservação dos recursos de Tecnologia da Informação.

Art. 3º - As orientações presentes nesse documento são aplicáveis aos Gestores e equipes de Tecnologia de Informação das Unidades da Fiocruz.

Art. 4º - Conceitos e definições: a seguir são apresentadas as principais expressões utilizadas neste documento:

Ativo: são todos os itens, físicos ou virtuais, que compõem a infraestrutura de TI.

Backup: cópia de segurança dos dados de um dispositivo de armazenamento (celulares, tablets, computadores) ou sistema (aplicativos, softwares e jogos) para outro ambiente para que eles possam ser restaurados no caso de perda das informações originais, troca de aparelho, etc.

Ciclo de vida útil do equipamento: compreende todo o período em que o equipamento está apto a desempenhar todas as suas funções esperadas, desde a aquisição até o momento do descarte ou substituição.

Desktop: computador pessoal projetado para uso regular em um local fixo que inclui uma CPU, um ou mais monitores, um mouse e um teclado.

Estação de trabalho como serviço - PC as a Service (PCaaS): é uma modalidade de contratação em que o pagamento da estação de trabalho disponibilizada é realizado por uma taxa mensal por usuário para ter acesso à estação de trabalho configurada e gerenciada. Essa modalidade se baseia no fornecimento do equipamento acrescido da prestação do serviço de suporte de configuração e outros serviços de suporte ao equipamento.

Hardware: parte física do computador, ou seja, o conjunto de aparatos eletrônicos, peças e equipamentos que fazem o computador funcionar.

Infraestrutura computacional: compreende o conjunto de recursos tecnológicos (desktop, workstation, notebook, monitor, thin clients e tablets) que dão suporte à entrega de valor por meio das atividades exercidas pelos órgãos e entidades.

Infraestrutura de Desktop Virtual - Virtual Desktop Infrastructure (VDI): infraestrutura de desktop virtual (VDI) é um ambiente de usuário completo executado como uma máquina virtual (VM) em um servidor centralizado hospedado dentro do centro de dados e acessado remotamente.

Monitor: dispositivo usado para exibir imagens, texto, vídeo e informações gráficas geradas por um computador conectado através da placa de vídeo.

MFA (Múltiplo Fator de Autenticação): é um mecanismo de validação adicional ao processo de autenticação tradicional (login e senha). Durante o processo de autenticação, será exigido do colaborador um método auxiliar (Código de acesso, validação via aplicativo, e-mail, SMS etc) para validar a autenticação.

Notebook: computador projetado especificamente para a portabilidade e para ser operado por períodos com ou sem uma conexão direta com uma fonte de alimentação principal em corrente alternada. Os notebooks são normalmente concebidos para fornecer funcionalidades semelhantes aos desktops.

Pendrive: dispositivo portátil produzido com memória flash, que permite armazenar, transferir ou transportar dados digitais.

Tablet: dispositivo de processamento de dados sem fio, portátil, principalmente para o uso com bateria e possui interface touchscreen.

VPN: recurso que permite estabelecer uma conexão de rede protegida ao usar redes públicas.

Workstation: computador pessoal de alto desempenho, arquitetados para serem utilizados em aplicações técnicas ou cientificas.

I - Os gestores de Tecnologia da Informação das unidades devem orientar os usuários sobre suas responsabilidades na utilização dos recursos computacionais, observando especialmente as seguintes questões:

d) Não utilização de softwares que não sejam os autorizados pela instituição;

e) Utilização dos recursos de TI respeitando os princípios da legalidade, moralidade, economicidade e eficiência;

f) Responsabilidade dos usuários no uso de recursos de TI, devendo contribuir para seu funcionamento e segurança;

g) Não realização de manutenção em recursos e dispositivos que não sejam institucionais ou previstos em contrato, nos casos de usuários em teletrabalho.

h) Cuidados para salvaguardar informações armazenadas nas estações de trabalho e dispositivos móveis;

II - As unidades devem definir os parâmetros de configuração de hardwares e softwares dos recursos de tendo em vista os requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional.

Art. 6º - Diretrizes gerais - São consideradas estações de trabalho os desktops e workstations, físicos ou virtuais, notebooks, thin clients e tablets de posse ou gerenciados pela Fiocruz.

I - As unidades da Fiocruz poderão adotar as seguintes modalidades de disponibilização de infraestrutura computacional, desde que comprovada a vantajosidade através de estudo realizado pela unidade ou através de adoção das compras centralizadas sob responsabilidade da Central de Compras da Secretaria de Gestão e Inovação do Ministério da Gestão e da Inovação em Serviços Públicos ou sob responsabilidade de Ministérios:

b) Virtualização de estações de trabalho - Virtual Desktop Infrastructure (VDI) ou Desktop as a Service (DaaS); e

II - As unidades da Fiocruz poderão adotar uma ou mais modalidades de disponibilização de infraestrutura computacional, de acordo com a sua realidade e necessidade.

I - Utilizar, sempre que possível, adesão às compras centralizadas sob responsabilidade da Central de Compras da Secretaria de Gestão e Inovação do Ministério da Gestão e da Inovação em Serviços Públicos ou sob responsabilidade de Ministérios.

II - Adotar, obrigatoriamente, o modelo de contratação e gestão de estações de trabalho estabelecido na Portaria SGD/MGI nº 2.715, de 21 de junho de 2023 para os casos em que não seja possível a adesão as compra centralizadas sob a responsabilidade da Central de compras da Secretaria de Gestão e Inovação do Ministério da Gestão e da Inovação em Serviços Públicos ou sob responsabilidade de Ministérios.

a) As diferentes formas de provimento de estações de trabalho considerando os requisitos de negócio, necessidades tecnológicas, tecnologias já adotadas, a maturidade quanto a adoção de serviços em nuvem e virtualização, cultura organizacional, especificidades do ambiente, aspectos de ergonomia, infraestrutura, riscos, disponibilidade orçamentária, resultados pretendidos, requisitos ambientais e outros fatores que possa afetar a efetividade na utilização dos recursos computacionais conforme diretrizes contidas na portaria SGD/MGI nº 2.715, de 21 de junho de 2023;

b) A quantidade de equipamentos a serem adquiridos ou contratados devem observar critérios objetivos devidamente registrados na memória de cálculo, contemplando:

- Quantidade de equipamentos a serem substituídos, considerando o fim de sua vida útil;

- Redução da quantidade a ser adquirida em função da adoção de políticas de teletrabalho.

c) O dimensionamento da quantidade de equipamentos e volume de serviços a serem contratados devem ser precedidos de memória de cálculo, conforme anexo III da portaria SGD/MGI nº 2.715, de 21 de junho de 2023.

d) O catálogo eletrônico de padronização regulamentado pela Portaria SEGES/ME nº 938 de 2 de fevereiro de 2022, caso a solução de TIC a ser adotada esteja disponível no referido catálogo.

Parágrafo único. A não utilização deste catálogo é excepcional e deve ser justificada.

e) Tratar os aspectos de sustentabilidade ambiental definidos no item 12 da portaria SGD/MGI nº 2.715, de 21 de junho de 2023.

I - As áreas de TIC das unidades da Fiocruz devem contribuir para a construção das especificações técnicas dos equipamentos a serem adquiridos na forma de participação das compras centralizadas sob responsabilidade da Central de Compras da Secretaria de Gestão e Inovação do Ministério da Gestão e da Inovação em Serviços Públicos ou sob responsabilidade de Ministérios, considerando os requisitos abaixo:

a) Aspectos técnicos definidos nos itens 8.6 (especificação de equipamentos) e 8.7 (aceitação de equipamentos) da portaria SGD/MGI nº 2.715, de 21 de junho de 2023.

b) Requisitos mínimos a serem atendidos de acordo com as orientações gerais de Tecnologia da Informação para o Programa de Gestão e Desempenho - PGD da Fiocruz.

I - Para o processo de substituição e atualização do parque de Tecnologia da Informação devem ser considerados os seguintes critérios:

a) Aspectos de disponibilidade, criticidade e ganho de escala na aquisição dos equipamentos;

b) Os equipamentos que apresentam lentidão e com manutenções reparatórias com maior frequência, ocasionando a diminuição da produtividade e do potencial máximo de trabalho;

c) Custo elevado para reposição de peças para manutenções e atualizações;

e) A defasagem tecnológica que possa prejudicar a segurança das informações e comunicações, seja por falha no hardware, seja por descontinuidade de atualizações de segurança disponibilizadas pelo fabricante por meio de drivers atualizados;

f) Quando a desatualização comprometer a produtividade e a capacidade de trabalho.

II - Para assegurar a extensão da vida útil dos equipamentos, realizar as seguintes ações:

b) Evitar estocar ou utilizar os equipamentos em local com altas temperaturas e excesso de umidade;

c) Estabelecer um procedimento para reaproveitamento das peças, quando possível;

e) Habilitar a função hibernate e modo de espera com vistas a não deixar os equipamentos ligados por um longo período sem utilização;

f) Avaliar a oportunidade de atualização tecnológica de equipamentos em relação ao custo de substituição completa do equipamento.

b) Para Notebooks (não incluindo a bateria), considerar o tempo de vida útil de 4 anos.

IV- As estações de trabalho classificadas como ociosas, recuperáveis, antieconômicas ou irrecuperáveis, disponíveis para reaproveitamento deverão ser doadas preferencialmente para os Centros de Recondicionamento de Computadores (CRC) por meio de notificação, mediante ofício ou meio eletrônico, ao órgão gestor do Programa Computadores para Inclusão.

V - Utilizar a plataforma doações gov.br no endereço eletrônico https://doacoes.gov.br/, para efetuar o desfazimento da estação de trabalho inservível considerada boa, ociosa, recuperável, antieconômica e irrecuperável por meio de processo de alienação, cessão e de transferência, nos termos do Decreto nº 9.373, de 11 de maio de 2018, na administração pública.

VI - Caso a utilização do doações gov.br para o reaproveitamento do bem inservível seja infrutífera ou seja necessário dar destinação final ambientalmente adequada, orienta-se buscar auxílio ao Ministério das Comunicações, por meio do endereço eletrônico desfazimento.setel@mcom.gov.br, que é o responsável pelo desfazimento dos bens de informática na APF.

VII - No descarte ou substituição do equipamento, realizar adequada sanitização dos dados dos dispositivos através de softwares e hardwares que garantam a exclusão definitiva das informações e evitem a restauração dos dados produzidos, manipulados e acessados pelos dispositivos durante o seu ciclo de vida de uso;

I - Adotar ferramentas e procedimentos que subsidiem a atualização da Infraestrutura Computacional (substituição por obsolescência).

II - Definir indicadores mínimos de segurança da informação, especialmente no que se refere à detecção de elementos de software desatualizados, tais como: sistemas operacionais, aplicativos e antivírus.

III - Realizar a gestão do Parque de Tecnológico através de inventários de maneira frequente.

IV - Adotar sempre que possível a utilização de ferramentas que permitam o monitoramento ativo (automatizado e centralizado) do parque computacional.

V - Utilizar mecanismos de controle contra violação de integridade física dos ativos a fim de evitar risco de furto dos componentes e outras ocorrências de violação de integridade, por exemplo, cadeados ou travas que impeçam o acesso ao interior do gabinete.

VI - Realizar o controle de movimentação das estações de trabalho, a fim de evitar que os ativos sejam movimentados sem autorização prévia e que sejam furtados equipamentos ou componentes internos.

VII - Empregar o uso de ferramentas de descoberta ativa e/ou passiva para identificar dispositivos conectados à rede da instituição e automaticamente atualizar o inventário de ativos.

VIII - Utilizar controles técnicos em todos os ativos para garantir que apenas software autorizado seja executado, sendo estes reavaliados com frequência.

IX - Utilizar controles técnicos para garantir que apenas bibliotecas e scripts autorizados, tenham permissão para serem executados.

X - Garantir que os usuários dos equipamentos institucionais não tenham acesso administrativo (administrador da máquina) e que, quando necessário, qualquer solicitação de instalação, remoção e configuração seja por meio de chamado com atendimento remoto.

I - Emitir termos de responsabilidade devidamente assinados pelos colaboradores que utilizam o ativo regularmente;

II - Realizar o monitoramento e a verificação de aspectos de segurança física e integridade de equipamentos, atentando para o acompanhamento mais intenso contra a violação de segurança desses dispositivos, observando a conformidade com a Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD;

III - Prover diretrizes para as políticas de backup e restauração de dados digitais da instituição;

IV - Implantar e manter um programa de conscientização de segurança que possa influenciar e conscientizar o comportamento dos colaboradores, tornando-os devidamente qualificados e assim atingir o objetivo de reduzir riscos de segurança cibernética da organização;

V - Identificar, especificar e documentar as finalidades, hipóteses de tratamento e bases legais que fundamentam as atividades de tratamento de dados pessoais e dados pessoais sensíveis;

VI - Evitar sempre que possível a utilização de dispositivos externos (pendrive, HD externo) nas estações de trabalho institucionais;

VII - As unidades devem orientar sobre o armazenamento de dados pessoais nas estações de trabalho;

VIII - Adoção obrigatória de Múltiplo Fator de Autenticação (MFA) para todos os colaboradores;

IX - Seguir as Notas técnicas e orientações complementares de segurança expedidas;

Art. 12 - Da disponibilidade dos recursos computacionais para atividades em Teletrabalho

I - Planejar, projetar e, se viável, reorganizar os espaços para que passem a compartilhar recursos tecnológicos, visando à otimização dos recursos disponíveis.

II - Definir e instalar os recursos de segurança da informação necessários para execução das atividades.

IV - Disponibilizar formas de acesso seguro aos recursos hospedados na rede interna Fiocruz, por exemplo, VPN, Virtualização de Desktops, etc.

V - Definir as configurações mínimas das estações de trabalho para realização das atividades institucionais no âmbito do PGD, observando as especificidades de atuação dos participantes;

VI - As rotinas de inventário e mapeamento de ativos de informação devem ser orientadas para a identificação dos ativos de informação da organização, a fim de manter o escopo da organização mapeado e documentado.

VII - O registro de ativos de informação resultante do processo de mapeamento de ativos de informação deverá conter:

a) os responsáveis (proprietários e custodiantes) de cada ativo de informação;

b) as informações básicas sobre os requisitos de segurança da informação de cada ativo de informação;

c) as interfaces de cada ativo de informação e as interdependências entre eles;

VIII - Informações ou ativos de informação de instalações de processamento de informações devem ser inventariados e documentados e esse registro deve ser mantido atualizado;

IX - As unidades podem acatar a utilização de estações de trabalho de uso particular, ou seja, adquiridos pelo usuário, para realização de atividades institucionais desde que respeitados os critérios de segurança estabelecidos pela Fiocruz e acatadas as orientações de acesso seguro, sendo preferível neste cenário a adoção de ferramentas de VDI.

I - A unidades devem adotar mecanismos de controle e fiscalização de acordo as definições contidas na IN SGD/ME Nº 94 de 2022.

II - Nas aquisições centralizadas, será adotada fiscalização setorial correspondente aos itens e quantidades em cumprimento ao disposto no edital correspondente.

III - As responsabilidades dos fiscais setoriais das unidades serão definidas nos dispositivos contratuais.

IV - Indicadores de níveis de serviços devem ser definidos para toda e qualquer contratação de estação de trabalho, observando-se um conjunto mínimo de indicadores capaz de assegurar a efetiva prestação de serviço com a qualidade esperada.

V - Os critérios de verificação da qualidade constituem-se em procedimento indispensável para a fiscalização e a gestão de contratos de serviços da Fiocruz.

d) Indicador de eficácia no tratamento de chamados, requisições ou incidentes (IEC);

Parágrafo único. Outros indicadores podem ser definidos de acordo com a modalidade de contratação de estação de trabalho, complexidade, capacidade computacional e a maturidade.

VII - Avaliar quais as variáveis mais adequadas para medir a qualidade dos serviços prestados.

VIII - Utilizar, preferencialmente, ferramenta automatizada, que não esteja sob gestão da contratada, de modo a otimizar a rotina de fiscalização e a gestão do contrato.

IX - Implementar e manter controles e procedimentos específicos para assegurar completo e absoluto sigilo quanto a todos os dados e informações de que o preposto ou os demais empregados da contratada venham a tomar conhecimento em razão da execução do contrato, de forma a assegurar que seus empregados e outros profissionais sob sua direção e/ou controle respeitem o uso dos dados somente para as finalidades previstas em contrato e as restrições de uso dos ativos utilizado para desenvolvimento e/ou operação da Solução de TIC, cumprindo e fazendo cumprir o disposto nos Termo de Compromisso e Termo(s) de Ciência firmados respectivamente, pelo representante legal e pelo(s) empregado(s) da contratada.

Art. 14 - Os casos omissos serão tratados pela Coordenação-Geral de Gestão de Tecnologia da Informação (Cogetic);

Documento assinado eletronicamente por JULIANO DE CARVALHO LIMA, Diretor(a) Executivo, em 08/10/2024, às 16:33, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site http://sei.fiocruz.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 4334321 e o código CRC 1CCA75E3.