Portaria MTE nº 846, de 13.05.2026
- DOU de 14.05.2026 -
Disciplina a utilização segura de soluções de computação em nuvem no âmbito do Ministério do Trabalho e Emprego, em complementação à Política Nacional de Segurança da Informação, de que trata o Decreto nº 12.572, de 4 de agosto de 2025.
O MINISTRO DE ESTADO DO TRABALHO E EMPREGO, no uso da atribuição que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal, e tendo em vista o disposto no Decreto nº 12.764, de 28 de novembro de 2025, na Portaria MTE nº 3.849, de 18 de dezembro de 2023, nas Instruções Normativas nº 1, de 27 de maio de 2020, e nº 5, de 30 de agosto de 2021, do Gabinete de Segurança Institucional da Presidência da República, na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, bem como no Processo nº 19958.218356/2024-01, resolve:
Art. 1ºEsta Portaria dispõe sobre a utilização segura de soluções de computação em nuvem no âmbito do Ministério do Trabalho e Emprego, em complementação à Política Nacional de Segurança da Informação, instituída pelo Decreto nº 12.572, de 4 de agosto de 2025.
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 2ºEsta Portaria estabelece os requisitos mínimos de segurança da informação aplicáveis à utilização de soluções de computação em nuvem, em consonância com a Política de Segurança da Informação do Ministério do Trabalho e Emprego, instituída pelo Anexo XVII da Portaria MTE nº 3.849, de 18 de dezembro de 2023, e com as demais normas aplicáveis à administração pública federal.
Art. 3ºEsta Portaria aplica-se aos órgãos de assistência direta e imediata ao Ministro de Estado, aos órgãos específicos singulares e às unidades descentralizadas do Ministério do Trabalho e Emprego.
§ 1º O disposto nesta Portaria deverá ser observado por todos os usuários de informação que acessem ativos de informação sob responsabilidade do Ministério do Trabalho e Emprego, incluídos:
I - servidores públicos e equiparados;
II - empregados públicos;
III - prestadores de serviços; e
IV - pessoas habilitadas pela administração.
§ 2º A habilitação de que trata o inciso IV do § 1º dar-se-á mediante a assinatura de Termo de Responsabilidade ou de outro instrumento equivalente definido pela administração.
Art. 4ºPara os fins desta Portaria, aplicam-se os conceitos constantes do Glossário de Segurança da Informação aprovado e atualizado pelo Gabinete de Segurança Institucional da Presidência da República, nos termos da Portaria GSI/PR nº 93, de 18 de outubro de 2021.
Art. 5ºA utilização e a migração de soluções de tecnologia da informação para ambientes de computação em nuvem deverão observar o disposto nesta Portaria, bem como a Política de Segurança da Informação do Ministério do Trabalho e Emprego.
CAPÍTULO II
DAS RESPONSABILIDADES
Art. 6ºPara os fins de aplicação desta Portaria, compete ao Gestor de Segurança da Informação, de que trata o Anexo IX da Portaria MTE nº 3.849, de 18 de dezembro de 2023:
I - instituir e coordenar a equipe responsável pela elaboração e revisão desta Portaria sobre uso seguro de computação em nuvem;
II - supervisionar a aplicação das regras sobre o uso seguro de computação em nuvem;
III - assegurar a contínua efetividade da comunicação com o provedor de serviço de nuvem, que fornece tais serviços aos órgãos ou às unidades de que trata o art. 3º, de forma a assegurar que os controles e os níveis de serviço acordados sejam cumpridos;
IV - supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios;
V - comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem aos órgãos competentes para os seus tratamentos, conforme a relevância dos incidentes previamente estabelecida; e
VI - encaminhar para aprovação da alta administração as minutas de elaboração e de revisão desta Portaria.
Art. 7ºPara os fins de aplicação desta Portaria, compete ao Comitê de Segurança da Informação, de que trata o Anexo VIII da Portaria MTE nº 3.849, de 18 de dezembro de 2023:
I - estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem;
II - definir os requisitos criptográficos mínimos para o armazenamento de dados e informações, custodiados pelo Ministério do Trabalho e Emprego, em soluções de computação em nuvem; e
III - analisar, em caráter técnico, avaliativo ou propositivo, as minutas de revisões de Portaria e propostas de normas complementares sobre o uso seguro de computação em nuvem.
Art. 8ºCompete à alta administração promover a divulgação desta Portaria e de suas revisões.
Parágrafo único.Para os fins desta Portaria, considera-se alta administração o conjunto de autoridades previstas no art. 2º, inciso I, da Portaria MTE nº 3.849, de 18 de dezembro de 2023.
CAPÍTULO III
DOS REQUISITOS PARA A ADOÇÃO SEGURA DE COMPUTAÇÃO EM NUVEM
Art. 9ºSerão observados os requisitos mínimos previstos neste Capítulo para a adoção, no âmbito do Ministério do Trabalho e Emprego, de soluções de computação em nuvem de forma segura, com o objetivo de elevar o nível de proteção das informações no uso dessa tecnologia.
Seção I
Da transferência de serviços para um provedor de serviço de nuvem
Art. 10.Antes de promover a transferência de serviços ou de informações para provedor de serviço de nuvem, o Ministério do Trabalho e Emprego deverá, no mínimo:
I - garantir que os serviços ou informações estejam alinhados à legislação brasileira e aos direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros, no que se refere às seguintes operações:
a) de coleta, armazenamento, guarda e tratamento de registros de dados pessoais; e
b) de comunicações realizadas por provedores de conexão e de aplicações de internet, em que pelo menos um desses atos ocorra em território nacional;
II - realizar o gerenciamento de riscos, precedido por análise e relatório de impacto de dados pessoais, em conformidade com a legislação, dos seguintes itens:
a) o tipo de informação a ser migrada;
b) o fluxo de tratamento dos dados que podem ser afetados com a adoção da solução;
c) o valor dos ativos envolvidos; e
d) os benefícios da adoção de uma solução de computação em nuvem, em relação aos riscos de segurança e privacidade referentes à disponibilização de informações e serviços a um terceiro;
III - definir o modelo de serviço e de implementação de computação em nuvem que será adotado, bem como os resultados pretendidos;
IV - utilizar, para os sistemas estruturantes, que são plataformas de software gerenciadas por órgãos centrais do governo federal, somente os modelos de implementação de nuvem privada ou de nuvem comunitária, desde que restritas às infraestruturas de órgãos ou de entidades;
V - avaliar quais informações serão hospedadas na nuvem, considerando:
a) o processo de classificação da informação de acordo com a legislação;
b) o valor do ativo de informação;
c) os controles de acessos físico e lógico relativos à segurança da informação; e
d) o modelo de serviço e de implementação de computação em nuvem;
VI - definir as medidas de mitigação de riscos e de custos para a implementação de solução de computação em nuvem e para possibilidade de crescimento dessa solução; e
VII - planejar custos de migração das informações e dos serviços, nos casos de ingresso e de saída do serviço de computação em nuvem.
Seção II
Da capacidade do provedor de serviço de nuvem para implementar atualizações
Art. 11.Em função da capacidade de o provedor de serviço de nuvem implementar atualizações relacionadas à segurança da informação em seus produtos e serviços, o Ministério do Trabalho e Emprego deverá, no mínimo:
I - definir os critérios e a periodicidade das atualizações dos procedimentos e dos recursos computacionais a serem observados pelo provedor de serviço de nuvem; e
II - revisar e atualizar periodicamente seus processos internos de gestão de riscos de segurança da informação.
Seção III
Do gerenciamento de identidades e de registros (logs)
Art. 12.Em relação ao gerenciamento de identidades e de registros (logs), o Ministério do Trabalho e Emprego deverá, no mínimo:
I - adotar um padrão de identidade federada para permitir o uso de tecnologia single sign-on no processo de autenticação de seus usuários no provedor de serviço de nuvem;
II - negar ao provedor de serviço de nuvem permissão de uso e acesso direto ao ambiente de autenticação do Ministério;
III - adotar, de acordo com o nível de criticidade da informação, o uso da tecnologia single sign-on, o qual deve ser acompanhado:
a) de autenticação multifator; ou
b) de outra alternativa que aumente o grau de segurança no processo de autenticação de seus usuários no provedor de serviço de nuvem;
IV - exigir do provedor de serviço de nuvem que:
a) registre todos os acessos, incidentes e eventos cibernéticos, incluídas informações sobre sessões e transações; e
b) armazene, pelo período mínimo de um ano, todos os registros de que trata a alínea anterior;
V - armazenar, pelo período de 5 (cinco) anos, os registros de todos os acessos, incidentes e eventos cibernéticos, inclusive as informações relativas a sessões e transações, os quais deverão ser mantidos no ambiente do provedor de serviço de nuvem ou, a critério do Ministério, em ambiente próprio sob seu controle, caso em que deverão também ser preservados os registros recebidos do provedor; e
VI - capacitar a equipe de segurança para acessar e utilizar os registros gerados pelo provedor de serviço de nuvem.
Seção IV
Do uso de recursos criptográficos
Art. 13.Em relação à necessidade de uso de recursos criptográficos, o Ministério do Trabalho e Emprego deverá, no mínimo:
I - verificar se os dados da organização estão sendo tratados e armazenados de acordo com a legislação;
II - analisar a necessidade de criptografar dados com base nos requisitos legais, nos riscos, no nível de criticidade, nos custos e nos benefícios; e
III - utilizar, sempre que possível, chaves de encriptação baseadas em hardware.
Seção V
Da segregação de dados e da separação lógica
Art. 14.Em relação à segregação de dados e à separação lógica em ambientes de computação em nuvem, o Ministério do Trabalho e Emprego, em conjunto com o provedor de serviço de nuvem, deverá estabelecer, no mínimo, as seguintes ações:
I - garantir que o ambiente contratado seja protegido de usuários externos do serviço em nuvem e de pessoas não autorizadas e implementar controles de segurança da informação de forma a propiciar o isolamento adequado dos recursos utilizados na administração pública federal e por outros usuários do serviço em nuvem;
II - garantir que seja aplicada segregação lógica apropriada dos dados das aplicações virtualizadas, dos sistemas operacionais, do armazenamento e da rede a fim de estabelecer a separação de recursos utilizados;
III - garantir a separação de todos os recursos utilizados pelo provedor de serviço de nuvem daqueles recursos utilizados pela administração interna do Ministério; e
IV - avaliar os riscos associados à execução de softwares proprietários a serem instalados no serviço de nuvem.
Seção VI
Do gerenciamento da nuvem
Art. 15.Em relação ao gerenciamento da nuvem, o Ministério do Trabalho e Emprego deverá, no mínimo:
I - capacitar a equipe responsável por esse gerenciamento nas tecnologias utilizadas pelo provedor de serviço de nuvem;
II - exigir que o provedor de serviço de nuvem documente e comunique seus recursos, papéis e responsabilidades de segurança da informação para o uso de seus serviços em nuvem;
III - elaborar uma matriz de responsabilidades que inclua obrigações e responsabilidades próprias; e
IV - elaborar um processo de tratamento de incidentes junto ao provedor de serviço de nuvem e comunicá-lo à equipe responsável pelo gerenciamento da nuvem.
Seção VII
Do tratamento da informação
Art. 16.Em relação ao tratamento da informação em ambiente de computação em nuvem, o Ministério do Trabalho e Emprego, além de cumprir as orientações contidas na legislação sobre proteção de dados pessoais, deve observar as seguintes diretrizes:
I - informação sem restrição de acesso poderá ser tratada em ambiente de nuvem, considerada a legislação e os riscos de segurança da informação;
II - informação classificada em grau de sigilo e documento preparatório que possa originar informação classificada não poderão ser tratados em ambiente de computação em nuvem; e
III - poderão ser tratados em ambiente de computação em nuvem, desde que observados os riscos de segurança da informação e a legislação vigente:
a) a informação com restrição de acesso prevista na legislação, conforme normas do Gabinete de Segurança Institucional da Presidência da República e outras aplicáveis;
b) o material de acesso restrito regulado pelo próprio Ministério;
c) a informação pessoal relativa à intimidade, vida privada, honra e imagem; e
d) o documento preparatório não previsto no inciso II do caput.
Art. 17.Os dados, metadados, informações e conhecimentos produzidos ou custodiados pelo Ministério do Trabalho e Emprego, transferidos para o provedor de serviço de nuvem, devem estar hospedados em território brasileiro, observando-se as seguintes disposições:
I - pelo menos uma cópia atualizada de segurança deve ser mantida em território brasileiro;
II - a informação sem restrição de acesso poderá possuir cópias atualizadas de segurança fora do território brasileiro, conforme institui o art. 7º;
III - a informação com restrição de acesso prevista na legislação e o documento preparatório não previsto nesta Portaria, bem como suas cópias atualizadas de segurança, não poderão ser tratados fora do território brasileiro, conforme institui o art. 7º; e
IV - no caso de dados pessoais, deverão ser observadas as orientações previstas na Lei nº 13.709, de 14 de agosto de 2018 e demais normas aplicáveis.
Seção VIII
Das cláusulas contratuais específicas
Art. 18.O instrumento contratual a ser firmado com um provedor de serviço de nuvem para a prestação do serviço de computação em nuvem conterá dispositivos que tratem dos requisitos estabelecidos nesta Portaria, além de, no mínimo, os seguintes procedimentos de segurança:
I - termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações do Ministério do Trabalho e Emprego para empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros;
II - garantia da exclusividade de direitos, por parte do Ministério, sobre todas as informações tratadas durante o período contratado, incluídas eventuais cópias disponíveis, tais como backups de segurança;
III - proibição do uso de informações do Ministério pelo provedor de serviço de nuvem para propaganda, otimização de mecanismos de inteligência artificial ou qualquer uso secundário não autorizado;
IV - conformidade da política de segurança da informação do provedor de serviço de nuvem com a legislação brasileira;
V - devolução integral dos dados, informações e sistemas sob custódia do provedor de serviço de nuvem aos contratantes ao término do contrato;
VI - eliminação, por parte do provedor de serviço de nuvem, ao término do contrato, de qualquer dado, informação ou sistema do Ministério, sob sua custódia, observada a legislação que trata da obrigatoriedade de retenção de dados; e
VII - garantia do direito à eliminação ou conservação de dados pessoais, conforme a Lei nº 13.709, de 14 de agosto de 2018.
Parágrafo único.Além dos requisitos estabelecidos nesta Portaria, será adotado o Modelo de Contratação de Software e Serviços de Computação em Nuvem, instituído pela Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, com os seguintes requisitos:
I - padronizar e simplificar o processo de contratação de software e de serviços de computação em nuvem, mediante orientação desde a fase de planejamento da contratação até a gestão contratual, com ênfase em controles mais apurados a serem utilizados pelos gestores de tecnologia da informação e comunicação dos órgãos e das entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP;
II - seu escopo de compreender software sob modelo de:
a) licenciamento permanente de direitos de uso;
b) cessão temporária de direitos de uso; ou
c) subscrição ou como Serviço (SaaS), Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS), suporte técnico para software e serviços de computação em nuvem, serviço de operação e gerenciamento de recursos em nuvem, serviço de migração de recursos para ambiente de nuvem, integração de serviços de computação em nuvem e consultoria especializada em software ou serviços de computação em nuvem.
Art. 19.O Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas padrão contratuais, previstos na Resolução CD/ANPD nº 19, de 23 de agosto de 2024, deverão ser observados e adotados, no que couber.
CAPÍTULO IV
DOS REQUISITOS DO PROVEDOR DE SERVIÇO DE NUVEM
Art. 20.Para que esteja habilitado a prestar serviços de computação em nuvem para a administração pública federal, o provedor de serviço de nuvem deverá cumprir, no mínimo, os seguintes requisitos:
I - possuir metodologia de gestão de riscos, elaborada em conformidade com as melhores práticas e com a legislação, bem como realizar o gerenciamento de riscos nos termos desta Portaria e demais normas aplicáveis;
II - implementar práticas de fortalecimento dos mecanismos de virtualização, que devem incluir, no mínimo, os seguintes procedimentos:
a) desabilitar ou remover todas as interfaces, portas, dispositivos ou serviços desnecessários executados pelo sistema operacional;
b) configurar com segurança todas as interfaces de rede e áreas de armazenamento virtuais;
c) estabelecer limites para a utilização dos recursos de máquina virtual (Virtual Machine - VM);
d) manter todos os sistemas operacionais e as aplicações em execução na máquina virtual em suas versões mais atuais;
e) validar a integridade das operações de gerenciamento de chaves criptográficas;
f) possuir controles que permitam aos usuários autorizados do Ministério do Trabalho e Emprego acessarem os registros de acesso administrativo do monitor de máquina virtual - Hypervisor;
g) habilitar o registro completo do Hypervisor; e
h) suportar o uso de máquinas virtuais confiáveis (Trusted VM) fornecidas pelo Ministério, que estejam em conformidade com as políticas e práticas de fortalecimento de redes exigidas ao provedor de serviço de nuvem;
III - em relação ao gerenciamento de identidades e registros:
a) possuir procedimentos de controle de acesso que abordem a transição entre as funções, os limites e controles dos privilégios dos usuários e os controles de utilização das contas de usuários;
b) impor mecanismo de autenticação que exija tamanho mínimo, complexidade, duração e histórico de senhas de acesso;
c) suportar tecnologia single sign-on para autenticação;
d) suportar mecanismos de autenticação multifator ou outra alternativa que aumente o grau de segurança no processo de autenticação de usuários do Ministério no provedor de serviço de nuvem, de acordo com nível de criticidade da informação;
e) permitir ao Ministério gerenciar as próprias identidades, inclusive criação, atualização, exclusão e suspensão no ambiente fornecido pelo provedor de serviço de nuvem; e
f) atender aos requisitos legais, às melhores práticas de segurança e a outros critérios exigidos pelo órgão ou pela entidade em seus processos de autenticação, controle de acesso, contabilidade e registro (formato, retenção e acesso);
IV - em relação à segurança de aplicações web disponibilizadas no ambiente de nuvem:
a) utilizar firewalls especializados na proteção de sistemas e aplicações;
b) desenvolver código web em conformidade com as melhores práticas de desenvolvimento seguro e com os normativos existentes;
c) utilizar melhores práticas de segurança de sistemas operacionais e de aplicações;
d) realizar periodicamente testes de penetração de redes e de aplicações; e
e) possuir um programa de correção de vulnerabilidades;
V - possuir processos de gestão de continuidade de negócios e de gestão de mudanças, em conformidade com os normativos existentes e com as melhores práticas nessas áreas;
VI - possuir um plano de recuperação de desastres que estabeleça procedimentos de recuperação e de restauração de plataforma, infraestrutura, aplicações e dados após incidentes de perda de dados;
VII - estabelecer um canal de comunicação seguro utilizando, no mínimo, Secure Sockets Layer/Transport Layer Security (SSL/TLS);
VIII - utilizar um padrão de encriptação seguro, conforme padrão internacional reconhecidamente aceito, que possa ser implementado com chaves de encriptação geradas e armazenadas pelo Ministério;
IX - disponibilizar facilidades que possibilitem a aplicação de uma proteção criptográfica própria do Ministério;
X - em relação à segregação de dados:
a) isolar, utilizando separação lógica, todos os dados e serviços do Ministério de outros clientes de serviço em nuvem;
b) segregar o tráfego de gerenciamento do tráfego de dados do Ministério; e
c) implementar dispositivos de segurança entre zonas;
XI - possuir procedimentos em relação ao descarte de ativos de informação e de dados, que assegurem:
a) sanitizar ou destruir, de modo seguro, os dados existentes nos dispositivos descartados por meio da utilização de métodos que estejam em conformidade com os padrões estabelecidos para a conduta e as melhores práticas;
b) destruir, de modo seguro, ativo de informação no fim do ciclo de vida ou considerado inservível, com o fornecimento de um Certificado de Destruição de Equipamento Eletrônico (Certificate of Electronic Equipment Destruction - CEED) e discriminar os ativos que foram reciclados, bem como o peso e os tipos de materiais obtidos em virtude do processo de destruição; e
c) armazenar, de modo seguro, ativos de informação a serem descartados, em ambiente com acesso físico controlado, com registro de toda movimentação de entrada e de saída de dispositivos;
XII - notificar, imediatamente, aos órgãos ou às entidades incidente cibernético contra os serviços ou dados sob sua custódia;
XIII - possuir procedimentos necessários para preservação de evidências, conforme legislação; e
XIV - demonstrar estar em conformidade com os padrões de segurança de nuvem, por meio de auditoria anual Service and Organization Controls 2 (SOC 2), conduzida por um auditor independente, com a apresentação dos relatórios de tipo I e tipo II.
CAPÍTULO V
DA UTILIZAÇÃO DE CLOUD BROKERS
Art. 21.O cloud broker deverá atuar como integrador dos serviços de computação em nuvem entre Ministério do Trabalho e Emprego e dois ou mais provedores de serviço de nuvem.
Art. 22.Caso o Ministério do Trabalho e Emprego contrate por meio do cloud broker plataforma de gestão multinuvem para realizar procedimentos de provisionamento e orquestração do ambiente, é necessário que a ferramenta possua, no mínimo:
I - em relação às funcionalidades de provisionamento e orquestração de multinuvem:
a) um único portal integrado de provisionamentos para o usuário final;
b) utilização de modelos de provisionamento;
c) automação segura de provisionamento simultâneo e utilização, no que couber, ferramentas de código aberto e interoperáveis;
d) fluxos de trabalho de orquestração baseada em eventos; e
e) soluções seguras integradas de criação de infraestrutura por código - IaaC;
II - em relação às funcionalidades de monitoramento e análise em multinuvem:
a) relatórios de monitoramento de desempenho de recursos na nuvem;
b) coleta e monitoramento de registros; e
c) procedimentos de monitoramento de alertas;
III - em relação às funcionalidades de inventário e classificação em multinuvem:
a) inventário de recursos na nuvem;
b) procedimentos de segurança para configuração de recursos na plataforma de gestão multinuvem;
c) detecção de recursos sem etiqueta; e
IV - em relação às funcionalidades de gerenciamento de segurança, conformidade e identidade:
a) mecanismos de single sign-on e de autenticação multifator das plataformas em nuvem;
b) gerenciamento seguro de usuários e de grupos de usuários;
c) gerenciamento de segurança dos recursos;
d) notificações de eventos de alerta multicanal;
e) gerenciamento de identidade e acesso - IAM; e
f) registros de atividade da plataforma em nuvem.
Parágrafo único.O cloud broker poderá utilizar ferramenta de Software as a Service (SaaS) comum de mercado, desde que não haja risco de dependência tecnológica para disponibilizar essa plataforma.
Art. 23.O cloud broker é o responsável por garantir que os provedores de serviço de nuvem que ele representa:
I - cumpram todos os requisitos previstos na legislação; e
II - operem de acordo com as melhores práticas de segurança.
Parágrafo único.O Ministério do Trabalho e Emprego deverá prever no instrumento contratual que o cloud broker poderá ser responsabilizado, civil e administrativamente, por desconformidades relacionadas ao não cumprimento dos incisos supracitados referentes aos provedores que ele representa.
CAPÍTULO VI
DAS PENALIDADES E VEDAÇÕES
Art. 24.A não observância do disposto nesta Portaria, bem como nas demais normas aplicáveis, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.
Art. 25.É proibida a utilização dos recursos de tecnologia da informação disponibilizados pelo Ministério do Trabalho e Emprego para acesso, armazenamento ou divulgação de conteúdos ilícitos, que violem direitos autorais, que infrinjam a legislação vigente ou que se enquadrem em outras categorias de conteúdo incompatíveis com o ambiente de trabalho, devidamente identificáveis.
Art. 26.São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pelo Ministério do Trabalho e Emprego.
Art. 27.É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.
Art. 28. É vedada a exploração não autorizada de vulnerabilidades, as quais deverão ser comunicadas às instâncias superiores tão logo sejam identificadas, sem prejuízo das atividades de auditoria, testes de segurança ou avaliações técnicas realizadas por equipes devidamente autorizadas.
CAPÍTULO VII
DAS REVISÕES
Art. 29.Ato do Comitê de Segurança da Informação instituirá equipe para revisar esta Portaria e propor normas complementares.
§ 1º A equipe de que trata o caput será composta por, no mínimo:
I - o Gestor de Segurança da Informação, que atuará como autoridade competente;
II - um ou mais servidores representantes das unidades do Ministério do Trabalho e Emprego arroladas no art. 3º, inciso III, do Anexo VIII da Portaria MTE nº 3.849, de 18 de dezembro de 2023, indicados pelo Comitê de Segurança da Informação; e
III - um ou mais servidores representantes da Diretoria de Tecnologia da Informação.
§ 2º A equipe instituída atuará na elaboração de propostas de revisão que deverão ser submetidas à autoridade competente para aprovação e edição do ato normativo correspondente.
§ 3º A periodicidade da revisão desta Portaria não deve exceder 2 (dois) anos, podendo ser revisada em outro prazo, a critério do Comitê de Segurança da Informação.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS
Art. 30.Para garantir a segurança de que trata esta Portaria, o Ministério do Trabalho e Emprego poderá adotar outras diretrizes complementares, desde que não confrontem as previsões da legislação.
Art. 31.A apresentação dos relatórios de tipo I e tipo II da auditoria SOC 2, comprovada a conformidade com os padrões de segurança em nuvem, é condição essencial, tanto para habilitar a participação em processo licitatório, como para renovar o contrato de prestação de serviço em nuvem.
Parágrafo único.Na hipótese de utilização de cloud broker, caberá a este a responsabilidade pela apresentação dos relatórios de que trata o caput, abrangendo todos os provedores de serviço de nuvem por ele representados.
Art. 32.As unidades responsáveis pelas competências dispostas nesta Portaria adotarão as medidas necessárias para seu cumprimento.
Art. 33.Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Ministério do Trabalho e Emprego deverão observar as disposições desta Portaria.
Art. 34.Os casos omissos decorrentes da aplicação desta Portaria serão dirimidos pelo Comitê de Governança Estratégica.
Art. 35.Esta Portaria entra em vigor na data de sua publicação.
LUIZ MARINHO