PORTARIA SE/MTUR Nº 7, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Backup e de Restauração de Dados Digitais no âmbito do Ministério do Turismo

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma dos Anexos I e II desta portaria, a Política de Backup e de Restauração de Dados Digitais no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação, produzindo efeitos após o decurso do prazo de cento e oitenta dias, contado dessa data, para fins de adequação às suas disposições.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO I

POLÍTICA DE BACKUP E DE RESTAURAÇÃO DE DADOS DIGITAIS DO MINISTÉRIO DO TURISMO

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do Propósito

Art. 1º A Política de Backup e Restauração de Dados Digitais do Ministério do Turismo objetiva:

I - instituir diretrizes, responsabilidades e competências relativas à segurança, à proteção e à disponibilidade dos dados digitais custodiados pela Coordenação-Geral de Tecnologia da Informação - CGTI e formalmente definidos como de necessária salvaguarda na Pasta.;

II - estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de indisponibilidades ou perdas por erro humano, ataques, catástrofes naturais ou outras ameaças; e

III - estabelecer o modo e a periodicidade de cópia dos dados armazenados pelos sistemas computacionais, alinhada ao modelo V.2.0 disponibilizado pelo Programa de Privacidade e Segurança da Informação (PPSI) do Ministério da Gestão e da Inovação de Serviços, disponível em <https://www.gov.br/governodigital/pt-br/privacidade_e_seguranca/guias-e-modelos>.

Seção II

Do Escopo

Art. 2º Esta Portaria se aplica a todos os dados críticos no âmbito do Ministério do Turismo, bem como aos dados fora de seu ambiente, como os armazenados em serviços de nuvem Pública ou Privada.

Parágrafo único. Dados críticos, neste contexto, incluem todo e qualquer dado produzido na atividade laboral, em especial e-mail e arquivos institucionais, bancos de dados, códigos fonte de aplicações, arquivos de storage, entre outros.

Art. 3º Os serviços de Tecnologia da Informação críticos do Ministério do Turismo estão definidos no Anexo III desta Portaria.

Parágrafo único. O detalhamento dos serviços de que trata o caput do artigo será realizado em Plano Operacional de Backup e Restore a ser construído pela setorial de Tecnologia da Informação e aprovado pelo Gestor de Segurança da Informação.

Art. 4º Esta Portaria se aplica a todos os agentes públicos que podem ser criadores e/ou usuários de tais dados, bem como a terceiros que acessem e usem, no âmbito do Ministério do Turismo, sistemas e equipamentos de TI ou que criem, processem ou armazenem dados de propriedade do Ministério do Turismo.

Art. 5º Não serão salvaguardados, nem recuperados, dados armazenados localmente, nos microcomputadores dos usuários ou em quaisquer outros dispositivos fora dos centros de processamento de dados mantidos pelas unidades de TI, ficando sob a responsabilidade do indivíduo que usa o(s) dispositivo(s).

Art. 6º A salvaguarda dos dados em formato digital pertencentes a serviços de TI do Ministério do Turismo, mas custodiados por outras entidades públicas ou privadas, como nos casos de serviços em nuvem, deve estar garantida nos acordos ou contratos que formalizam a relação entre os envolvidos.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 7º Os termos utilizados nesta Portaria estão definidos conforme a seguir:

I - administrador de backup: servidor público ou colaborador do Ministério do Turismo responsável pelos procedimentos de configuração, execução, monitoramento e testes dos procedimentos de backup e restauração;

II - backup ou cópia de segurança: conjunto de procedimentos que permite salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação, com fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada;

III - backup full ou cópia de segurança completa: procedimento no qual os dados são salvaguardados em sua totalidade (inclui dados que porventura não foram alterados no último intervalo de tempo);

IV - backup incremental: procedimento que salvaguarda somente os dados que foram modificados desde último Backup.

V - backup diferencial: procedimento que salvaguarda somente os dados que foram modificados desde último Backup Full.

VI - CGDSI – sigla para referência à Comitê de Governança Digital e Segurança da Informação;

VII - custodiante da informação: qualquer indivíduo ou estrutura de órgão ou entidade da Administração Pública Federal, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de segurança da informação comunicadas pelo proprietário da informação;

VIII - descarte da informação: descarte, sem necessidade de esperar o momento de expiração dos dados retidos para reciclar a mídia de backup, o descarte pode ocorrer com a permissão do usuário a fim recuperar espaço para realização de outros backups.

IX – eliminação: exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

X – ETIR: sigla para referência à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

XI - imagem de backup: arquivo/produto resultante do processo de backup/cópia de segurança;

XII - infraestrutura crítica: instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança;

XIII - janela de backup ou momento de cópia: um período alocado para realização do backup.

XIV – mídia: mecanismos em que dados podem ser armazenados. Além da forma e da tecnologia utilizada para a comunicação - inclui discos ópticos, magnéticos, CDs, fitas e papel, entre outros. Um recurso multimídia combina sons, imagens e vídeos;

XV – restauração: procedimento para se trazer dados de volta a produção, podendo ser restaurados no local de origem ou alternativo;

XVI - restore: restauração;

XVII – retenção: tempo no qual os dados copiados permanecem guardados esperando para serem apagados. Os dados expirados (fim do período de retenção) são “deletados” e abrem espaço para novos dados (novas cópias de backup). Caso a retenção seja infinita há um acúmulo constante de dados.

XVII - recovery point objective (RPO): ponto no tempo em que os dados dos serviços de TI devem ser recuperados após uma situação de parada ou perda, correspondendo ao prazo máximo em que se admite perder dados no caso de um incidente;

XIX - recovery time objective (RTO): tempo estimado para restaurar os dados e tornar os serviços de TI novamente operacionais, correspondendo ao prazo máximo em que se admite manter os serviços de TI inoperantes até a restauração de seus dados, após um incidente; e

XX - serviços de tecnologia da informação (TI): provimento de serviços de desenvolvimento, de implantação, de manutenção, de armazenamento e de recuperação de dados e de operação de sistemas de informação, projeto de infraestrutura de redes de comunicação de dados, modelagem de processos e assessoramento técnico necessários à gestão da informação.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 8º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas nesta Portaria as constantes no Anexo III.

CAPÍTULO IV

DECLARAÇÕES DA POLÍTICA

Seção I

Das premissas

Art. 9º Esta Portaria seguirá as seguintes premissas:

I - alinhamento com a Política de Segurança da Informação (POSIN) do Ministério do Turismo;

II - alinhamento com uma gestão de continuidade de negócios em nível organizacional;

III - restauração dos dados orientada para o menor tempo (RTO) possível, principalmente quando da indisponibilidade de serviços de TI;

IV – utilização de soluções próprias e especializadas para rotinas de backup, preferencialmente de forma automatizada;

V – definição de requisitos mínimos diferenciados, conforme o tipo de serviço de TI ou dado salvaguardado, priorizando os serviços de TI críticos da organização;

VI - armazenamento dos backups, sempre que possível, em um local distinto da infraestrutura crítica, sendo desejável a existência de sítio de backup em um local remoto ao da sede do ministério para armazenar cópias extras dos principais backups, a exemplo dos backups de dados de serviços críticos;

VII – segregação da infraestrutura de rede de backup, lógica e fisicamente, dos sistemas críticos da organização;

VIII - reserva de recursos físicos e lógicos de infraestrutura destinados à realização de teste de restauração de backup; e

IX – proteção das cópias de segurança por encriptação, quando a confidencialidade for um requisito relevante.

Seção II

Da frequência, retenção dos dados e estratégia de backup

Art. 10. Os backups dos serviços de TI críticos do Ministério do Turismo devem ser realizados utilizando as frequências temporais discriminadas no Anexo IV desta Portaria

Art. 11. Os serviços de TI críticos e não críticos do Ministério do Turismo devem ser resguardados sob um padrão mínimo, o qual deve observar a correlação de frequência definida no Anexo IV desta Portaria e a retenção estabelecida no Plano Operacional de Backup e Restore.

Parágrafo único. As especificidades dos serviços de TI críticos e dos serviços de TI não críticos podem demandar frequência e tempo de retenção diferenciados.

Art. 12. Os ativos envolvidos no processo de backup são considerados ativos críticos para a organização.

Art. 13. A solicitação de salvaguarda dos dados referentes aos serviços de TI críticos e aos serviços de TI não críticos deve ser realizada pelo Custodiante da Informação, com a anuência prévia e formal do Gestor de Tecnologia da Informação.

Parágrafo único. A solicitação tratada no caput deve refletir os requisitos de negócio da organização, bem como os requisitos de segurança da informação e proteção de dados envolvidos e a criticidade da informação para a continuidade da operação da organização e deve explicitar, no mínimo, os seguintes requisitos técnicos:

I - escopo (dados digitais a serem salvaguardados);

II - tipo de backup (completo, incremental, diferencial);

III - frequência temporal de realização do backup (diária, semanal, mensal, anual);

IV - tempo de retenção;

V - recovery point objective (RPO); e

VI - recovery time objective (RTO).

Art. 14. A alteração das frequências e dos tempos de retenção definidos nesta seção deve ser precedida de solicitação e justificativa formais encaminhadas ao Custodiante da Informação.

Parágrafo único. A aprovação para execução da alteração de que trata o caput do artigo depende da anuência do Gestor de Tecnologia da Informação.

Art. 15. Os responsáveis pelos dados deverão ter ciência dos tempos de retenção estabelecidos para cada tipo de informação e os administradores de backup deverão zelar pelo cumprimento das diretrizes estabelecidas.

Seção III

Tipos de backup e seu período

Art. 16. Os backups do Ministério do Turismo serão realizados, conforme disposto no Anexo IV desta Portaria, em três tipos:

I – full;

II – incremental; e/ou

III - diferencial.

Art. 17. O backup incremental ou diferencial diário deverá ser realizado, preferencialmente, fora do horário de 8h às 20h, podendo variar caso seja necessário mais tempo a depender do tamanho dos arquivos.

Art. 18. O Backup completo semanal, sempre que possível, deverá ser iniciado na madrugada de sábado, perdurando o tempo necessário para a conclusão.

Art. 19. Os horários de cada serviço deverão constar no Plano Operacional de Backup e Restauração.

Seção IV

Do uso da rede

Art. 20. O administrador de backup deve considerar o impacto da execução das rotinas de backup sobre o desempenho da rede de dados do Ministério do Turismo, de modo a garantir que o tráfego necessário às suas atividades não ocasione indisponibilidade dos demais serviços de TI deste Ministério.

Art. 21. A execução do backup deve concentrar-se, preferencialmente, no período de janela de backup definida no Plano Operacional de Backup e Restore.

Art. 23. O período de janela de backup deve ser determinado pelo Administrador de Backup em conjunto com a área técnica responsável pela administração da rede de dados do Ministério do Turismo e deve ser submetido à aprovação do Gestor de Segurança da Informação.

Seção V

Do transporte e armazenamento

Art. 24. As unidades de armazenamento utilizadas na salvaguarda dos dados digitais devem considerar as seguintes características dos dados resguardados:

I - a criticidade do dado salvaguardado;

II - o tempo de retenção do dado;

III - a probabilidade de necessidade de restauração;

IV - o tempo esperado para restauração;

V - o custo de aquisição da unidade de armazenamento de backup; e

VI - a vida útil da unidade de armazenamento de backup.

Art. 25. O administrador de backup deve identificar a viabilidade de utilização de diferentes tecnologias na realização das cópias de segurança e deve propor a melhor solução para cada caso.

Art. 26. As técnicas de compressão de dados poderão ser utilizadas, contanto que o acréscimo no tempo de restauração dos dados seja considerado aceitável pelos gestores das informações.

Art. 27. A execução das rotinas de backup deve envolver a previsão de ampliação da capacidade dos dispositivos envolvidos no armazenamento.

Art. 28. No caso de desligamento do usuário, permanente ou temporariamente, o backup de seus arquivos em nuvem deverá ser mantido por, no mínimo, trinta 30 dias.

Parágrafo único. Após o período de que trata o caput do artigo, os arquivos poderão ser excluídos a qualquer tempo.

Art. 29. As unidades de armazenamento dos backups devem ser acondicionadas em locais apropriados, com controle de fatores ambientais sensíveis, como umidade, temperatura, poeira e pressão, e com acesso restrito a pessoas autorizadas pelo administrador de backup.

Parágrafo único. As condições de temperatura, umidade e pressão referidas no caput devem ser aquelas descritas pelo fabricante das unidades de armazenamento.

Art. 30. As fitas e outras mídias de backup serão transportadas e armazenadas observando as seguintes recomendações:

I - a mídia será claramente identificada e armazenada em uma área segura acessível apenas para o Administrador de Backup ou pessoas por ele autorizadas;

II - caso exista um fornecedor de armazenamento seguro de mídia externo contratado e/ou usado pelo Ministério do Turismo, aquele comunicará seus colaboradores autorizados;

III - as mídias de backup não serão deixadas sem supervisão durante o transporte;

IV - as mídias de backup, quando transportadas, deverão ser protegidas de extravio e de eventos que possam causar dano físico; e

IV - a movimentação de mídias de backup deverá ser realizada por servidor designado, com registro, no mínimo, da identificação da mídia e a data e a hora da movimentação.

Seção VI

Dos testes de backup

Art. 31. Os backups serão verificados periodicamente atendendo aos seguintes requisitos:

I - os logs de backup serão revisados diariamente a fim de verificação sobre erros, durações anormais e oportunidades para melhorar o desempenho do backup;

II – as ações corretivas serão tomadas quando os problemas de backup forem identificados, a fim de reduzir os riscos associados a backups com falha;

III - a CGTI manterá registros de backups e testes de restauração para demonstrar conformidade com esta política;

IV - os testes devem ser realizados em todos os backups produzidos independente do ambiente; e

V - os administradores de backup deverão incluir todos os ativos envolvidos no procedimento de backup sob monitoramento contínuo.

Art. 32. Os testes de restauração dos backups devem ser realizados, por amostragem mensal, em equipamentos de servidores diferentes dos equipamentos que atendem os ambientes de produção, observados os recursos humanos de TI e tecnologias disponíveis, a fim de verificar backups bem-sucedidos.

Art. 33. O atendimento dos níveis de serviço pactuados, tais como os Recovery Time Objective – RTOs, deve ser verificado.

Art. 34. Os registros deverão conter, no mínimo, o tipo de sistema/serviço que teve o seu reestabelecimento testado, a data da realização do teste, o tempo gasto para o retorno do backup e se o procedimento foi concluído com sucesso.

Art. 35. Quaisquer exceções a esta Portaria serão totalmente documentadas e aprovadas pelo Gestor de Segurança da Informação.

Seção VII

Procedimento de restauração de backup

Art. 36. O atendimento de solicitações de restauração de arquivos, e-mails e demais formas de dados deverá obedecer às seguintes orientações:

I - a solicitação de restauração de objetos deverá sempre partir do responsável pelo recurso, através de chamado técnico, utilizando a ferramenta de controle de atendimentos;

II - o chamado técnico deve conter, ao menos:

a) o nome e setor do usuário;

b) o(s) objeto(s) a ser(em) recuperado(s);

c) a localização em que se encontra(m);

d) a data da versão que deseja recuperar;

e) local alternativo para o armazenamento do(s) objeto(s) recuperado(s), se for o caso; e

f) a justificativa para recuperação;

III - a solicitação de restauração de dados que tenham sido salvaguardados depende de prévia e formal autorização dos respectivos gestores das informações;

IV - o operador de Backup terá a prerrogativa de negar a restauração de dados cujo conteúdo não seja condizente com a atividade institucional, cabendo recurso da negativa ao gestor da unidade do demandante; e

V - a restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup.

Art. 37. O cronograma de restauração de dados observará as seguintes regras:

I - o tempo de restauração, preferencialmente definido em Acordo de Nível de Serviço entre as áreas de negócio e de TI, é proporcional ao volume de dados necessários para o restore;

II - a cada 100GB de dados, o tempo de restauração estimado será de duas horas, sendo uma estimativa de tempo de atendimento da CGTI, não contemplando o tempo antes ou após o pedido a equipe;

III - backups externos serão disponibilizados em aproximadamente u dia de uma falha catastrófica do sistema, observando a prioridade para restauração de acordo com a criticidade de cada um; e

IV - backups externos serão disponibilizados em aproximadamente quatro horas de uma falha não catastrófica do sistema, observando a prioridade para restauração de acordo com a criticidade de cada um.

Art. 38. As diretrizes para restauração de dados deverão ser parte do Plano Operacional de Backup e Restore.

Seção VIII

Do Descarte da Mídia

Art. 39. Quando da necessidade de descarte de unidades de armazenamento de backups, tais recursos devem ser fisicamente destruídos de forma a inutilizá-los, atentando-se ao descarte sustentável e ambientalmente correto.

Art. 40. A mídia de backup será retirada e descartada conforme disposições desta Portaria e a partir da solicitação do Administrador de Backup.

§ 1º A CGTI garantirá que a mídia não contenha mais imagens de backup ativas e que o conteúdo atual ou anterior não possa ser lido ou recuperado por terceiros não autorizados.

§ 2º Quando da necessidade de descarte de unidades de armazenamento de backups, tais recursos devem ser fisicamente destruídos de forma a inutilizá-los, atentando-se ao descarte sustentável e ambientalmente correto.

§ 3º Sob nenhuma hipótese uma mídia a ser descarta, antes da destruição física, pode ser doada ou armazenada com outros equipamentos do parque tecnológico.

Seção IX

Das Responsabilidades

Art. 41. O administrador de backup e o operador de backup devem ser capacitados para as tecnologias, procedimentos e soluções utilizadas nas rotinas de backup.

Art. 42. São atribuições do administrador de backup:

I - propor soluções de cópia de segurança das informações digitais corporativas produzidas ou custodiadas pela organização;

II - definir a Janela de Backup em conjunto com a equipe de Infraestrutura Tecnológica;

III - providenciar a criação e manutenção dos backups;

IV - configurar as soluções de backup;

V - manter as unidades de armazenamento de backups preservadas, funcionais e seguras;

VI - definir os procedimentos de restauração e neles auxiliar; e

V - solicitar o descarte de mídias de backup inservíveis ou inutilizáveis.

Seção X

Das Auditorias

Art. 43. As auditorias ordinárias ou extraordinárias serão coordenadas pelo Gestor de Segurança da Informação e os relatórios serão encaminhados ao Comitê de Governança Digital e Segurança da Informação e à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR).

Art. 44. As auditorias extraordinárias deverão ser precedidas de autorização do Comitê de Governança Digital e Segurança da Informação.

Seção XI

Dos demais Procedimentos

Art. 45. A criticidade dos sistemas e demais serviços serão definidos no Plano Operacional de Backup e Restore, que deverá ser revisto, preferencialmente, a cada seis meses e deve ser aprovado pelo Gestor de Segurança da Informação.

Art. 46. A equipe técnica responsável pelo procedimento de backup deverá elaborar documentação operacional e submeter ao Gestor de Segurança da Informação para considerações, devendo ser revista a cada um ano ou a qualquer tempo a pedido do Gestor de Segurança da Informação.

CAPÍTULO V

RESPONSABILIZAÇÕES E DISPOSIÇÕES FINAIS

Seção I

Da Não conformidade

Art. 47. A violação do disposto nesta Portaria poderá ensejar, por meio de autoridade competente, apurações nas esferas administrativa, civil e penal, conforme o caso e de acordo com a legislação correlata.

Seção II

Disposições finais

Art. 48. O disposto nesta Portaria será atualizado sempre que alterados os procedimentos de backup, observada, ainda, a periodicidade prevista para a revisão da Política de Segurança da Informação (POSIN) do Ministério do Turismo (MTur).

Art. 49. Quaisquer exceções ao disposto nesta Portaria serão totalmente documentadas e aprovadas por Comitê de Governança Digital e Segurança da Informação.

Art. 50. Os servidores ou colaboradores que diretamente estiverem envolvidos nas ações de backup do órgão, devem assinar Termo de Concordância, conforme modelo do Anexo II desta Portaria.

Parágrafo único. O Termo de Concordância de que trata o caput do artigo poderá, a critério do órgão, ser disponibilizado em formato digital.

ANEXO II

TERMO DE CONCORDÂNCIA COM A POLÍTICA DE BACKUP E DE RESTAURAÇÃO DE DADOS DIGITAIS DO MINISTÉRIO DO TURISMO

ANEXO III

ANEXO IV