Portaria COAF nº 5, de 23 de fevereiro de 2026

Portaria COAF nº 5, de 23 de fevereiro de 2026

Estabelece a governança do uso de software e de serviços de computação em nuvem no âmbito do Conselho de Controle de Atividades Financeiras - Coaf.

                    O PRESIDENTE DO CONSELHO DE CONTROLE DE ATIVIDADES FINANCEIRAS - COAF, no uso das atribuições que lhe conferem os incisos IX, X e XII do art. 20 do Regimento Interno do Coaf, aprovado pela Resolução nº 427, de 16 de outubro de 2024, do Banco Central do Brasil, e tendo em vista o disposto:

                    na Política de Segurança da Informação e Comunicações do Coaf - POSIC;

                    na Portaria SGD/MGI nº 9.511, de 28 de outubro de 2025, que institui o Programa de Privacidade e Segurança da Informação - PPSI 2.0;

                    na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020;

                    na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;

                    na Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;

                    no Decreto nº 10.543, de 13 de novembro de 2020;

                    no Decreto nº 12.572, de 4 de agosto de 2025;

                    na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);

                    nos Padrões de Interoperabilidade de Governo Eletrônico - ePING;

                    e na Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil, divulgada pela Resolução BCB nº 454, de 30 de janeiro de 2025, resolve:

                    Art. 1º Esta Portaria estabelece os princípios, diretrizes, instâncias decisórias e responsabilidades de governança aplicáveis ao uso de software e de serviços de computação em nuvem no âmbito do Coaf.

                    Parágrafo único. Esta Portaria não disciplina procedimentos operacionais, técnicos ou contratuais, os quais serão objeto de normativos internos específicos.

                   Art. 2º A governança do uso de software e de serviços de computação em nuvem tem por objetivos:

                   I - alinhar a adoção de soluções tecnológicas aos objetivos estratégicos institucionais do Coaf;

                  II - assegurar a observância dos princípios de segurança da informação, privacidade, proteção de dados pessoais e continuidade de negócios;

                  III - promover a interoperabilidade, a eficiência administrativa e a racionalização do uso de recursos públicos;

                  IV - mitigar riscos institucionais, regulatórios, cibernéticos e de dependência tecnológica;

                  V - fomentar a inovação responsável e o uso sustentável de tecnologias digitais.

                  Art. 3º A governança do uso de software e de serviços de computação em nuvem observará, no mínimo, os seguintes princípios:

                  I - segurança e privacidade por concepção e por padrão;

                  II - gestão de riscos como elemento central do processo decisório;

                  III - interoperabilidade e adoção de padrões abertos;

                  IV - transparência, responsabilização e prestação de contas;

                  V - segregação entre as funções de governança, gestão e execução.

                  Art. 4º Compete ao Comitê de Gestão e Governança - CGG deliberar sobre as diretrizes estratégicas relacionadas ao uso de software e de serviços de computação em nuvem no âmbito do Coaf.

                  § 1º São de competência do CGG as decisões relativas a situações excepcionais, inclusive aquelas que envolvam:

                  I - localização e tratamento de dados e informações;

                  II - transferência internacional de dados pessoais;

                  III - riscos elevados de dependência tecnológica ou impacto institucional relevante.

                  § 2º Compete ainda ao CGG aprovar revisões desta Portaria e de seus instrumentos correlatos.

                  Art. 5º Compete à Coordenação-Geral de Tecnologia da Informação - COTIN:

                  I - propor ao CGG diretrizes, critérios e modelos de decisão relacionados ao uso de software e de computação em nuvem;

                  II - monitorar a aderência das iniciativas de tecnologia da informação às decisões e diretrizes de governança estabelecidas;

                  III - consolidar informações técnicas e gerenciais para subsidiar o processo decisório colegiado.

                  Art. 6º O uso de software e de serviços de computação em nuvem no Coaf deverá observar:

                  I - a Política de Segurança da Informação e Comunicações - POSIC;

                  II - o Programa de Privacidade e Segurança da Informação - PPSI;

                  III - as normas do Gabinete de Segurança Institucional da Presidência da República;

                  IV - a legislação aplicável à proteção de dados pessoais;

                  V - os Padrões de Interoperabilidade de Governo Eletrônico - ePING.

                  Art. 7º As decisões de governança relacionadas ao uso de software e de serviços de computação em nuvem deverão considerar, de forma expressa:

                  I - a classificação da informação;

                  II - o impacto institucional, operacional e reputacional;

                  III - os riscos cibernéticos e de continuidade de negócios;

                  IV - a necessidade de interoperabilidade, portabilidade e mitigação de dependência tecnológica.

                  Art. 8º Os aspectos operacionais, técnicos, procedimentais e contratuais necessários à implementação das diretrizes estabelecidas nesta Portaria serão disciplinados por normativos internos específicos.

                  Art. 9º Esta Portaria entra em vigor na data de sua publicação.

RICARDO ANDRADE SAADI