PORTARIA SE/MTUR Nº 9, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Gestão de Provedor de Serviços no âmbito do Ministério do Turismo

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma do Anexo desta Portaria, a Política de Gestão de Provedor de Serviços no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO

POLÍTICA DE GESTÃO DE PROVEDOR DE SERVIÇOS

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do propósito

Art. 1º A Política de Gestão de Provedor de Serviços (PGPS) do Ministério do Turismo objetiva:

I - fornecer diretrizes que auxiliem o órgão na avaliação, na seleção, no monitoramento e na revisão de provedores de serviços contratados;

II - mitigar os riscos associados à terceirização de serviços;

III - proteger ativos e informações críticos contra ameaças cibernéticas;

IV - firmar seu compromisso com a governança de serviços;

V - estabelecer controles e fortalecer a segurança cibernética contra ameaças em constante evolução; e

VI - contribuir para resiliência operacional do órgão em um cenário digital cada vez mais complexo e desafiador.

Seção II

Do escopo

Art. 2º A Política tratada nesta Portaria se aplica a todos os departamentos que contratem, supervisionem ou interajam com provedores de serviços externos, incluindo:

I - área de tecnologia da informação (TI), responsável pela contratação e supervisão de provedores de serviços de infraestrutura de TI, hospedagem na nuvem, suporte técnico, entre outros;

II - área de segurança cibernética, responsável por avaliar, mitigar e implementar controles aos riscos de segurança associados à terceirização de serviços;

III - setor Jurídico, responsável por revisar e avaliar contratos com provedores de serviços para garantir conformidade com regulamentações relevantes e com requisitos legais;

IV - setor de compras e aquisições, encarregado do processo de licitações e contratação de provedores de serviços, em conformidade com as políticas e procedimentos estabelecidos; e

V - todos que, que de alguma forma, interajam com os serviços fornecidos pelos provedores externos, incluindo servidores, terceirizados e parceiros comerciais.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 3º Os termos utilizados nesta Portaria estão definidos a seguir, conforme Glossário de Segurança da Informação da Presidência da República e Lei nº 13.709, de 14 de agosto de 2008:

I – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

II – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

III - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

IV - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

V – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

VI - área de TIC: unidade setorial, seccional ou correlata do SISP, responsável por gerir a Tecnologia da Informação e Comunicação e pelo planejamento, coordenação e acompanhamento das ações relacionadas às soluções de TIC do órgão ou entidade;

VII - gestor do contrato: servidor com atribuições gerenciais, preferencialmente da Área Requisitante da solução, designado para coordenar e comandar o processo de gestão e fiscalização da execução contratual, indicado por autoridade competente;

VIII - fiscal técnico do contrato: servidor representante da Área de TIC, indicado pela autoridade competente dessa área para fiscalizar tecnicamente o contrato;

IX - fiscal administrativo do contrato: servidor representante da Área Administrativa, indicado pela autoridade competente dessa área para fiscalizar o contrato quanto aos aspectos administrativos;

X - fiscal requisitante do contrato: servidor representante da Área Requisitante da solução, indicado pela autoridade competente dessa área para fiscalizar o contrato do ponto de vista de negócio e funcional da solução de TIC;

XI - fiscal setorial do contrato: servidor representante de setores distintos ou em unidades desconcentradas de um órgão ou uma entidade, indicado pela autoridade competente dessa área para o acompanhamento da execução do contrato nos aspectos técnicos ou administrativos;

XII – preposto: representante da contratada, responsável por acompanhar a execução do contrato e atuar como interlocutor principal junto à contratante, incumbido de receber, diligenciar, encaminhar e responder as principais questões técnicas, legais e administrativas referentes ao andamento contratual;

XIII - solução de TIC: conjunto de bens e/ou serviços que apoiam processos de negócio mediante a conjugação de recursos de TIC;

XIV - requisitos da contratação de TIC: conjunto de características e especificações necessárias para definir a solução de TIC a ser contratada;

XV - nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação dos impactos e de suas probabilidades;

XVI - análise de riscos: processo de compreensão da natureza do risco e determinação do nível de risco que fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de riscos; e

XVII - avaliação de riscos: processo de comparar os resultados da análise de riscos para determinar se o risco e/ou sua magnitude são aceitáveis ou toleráveis. A avaliação de riscos auxilia na decisão sobre o tratamento de riscos.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 4º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas nesta Política as constantes no Anexo II desta Portaria.

CAPÍTULO IV

DECLARAÇÕES DA POLÍTICA

Seção I

Das diretrizes

Art. 5º A Política de Gestão de Provedores de Serviços deve seguir as seguintes diretrizes:

I – observância das orientações e as diretrizes estipuladas na Política de Segurança da Informação e na Política de Proteção de Dados Pessoais do Ministério do Turismo;

II – observância, no que couber, aspectos micros e macros de privacidade, proteção de dados e segurança da informação na relação com seus provedores de serviços e de produtos de tecnologia da informação;

III - divulgação e acessibilidade a todos que, direta ou indiretamente, atuam no órgão;

IV – avaliação periódica da necessidade de atualização da Política, conforme motivos relevantes que a justifiquem, inclusive mudanças em normativos correlatos;

V – observância das orientações da Instrução Normativa SGD/ME nº 94 para a gestão e governança de contratos de prestação de serviços de tecnologia da informação;

VI - estabelecimento de requisitos de contratação de provedores de serviços os aspectos mínimos e relevantes de proteção de dados e segurança da informação;

VII – observância, no estabelecimento de acordos e contratos com os provedores de serviço, das obrigações de cumprimento dos requisitos mínimos e relevantes de proteção de dados e de segurança da informação;

IX – mitigação, por meio de plano de ação, de não conformidades identificadas no provimento de serviços; e

X - implementação, se for o caso, de processo de monitoramento com métodos pré-estabelecidos para a validação de serviços e produtos em conformidade com os requisitos de proteção de dados e segurança da informação do órgão.

Parágrafo único. Os acordos e contratos podem conter, se pertinente, os seguintes termos de segurança da informação e de proteção de dados:

a) descrição das informações a serem fornecidas ou acessadas e os métodos e meios de fornecimento ou acesso as estas informações aos provedores;

b) classificação das informações de acordo com o estabelecido pelo órgão;

c) mapeamento e análise de convergência entre o método de classificação de informações do órgão e do provedor de serviços;

d) requisitos mínimos de segurança da informação em relação à infraestrutura de TI do provedor;

e) requisitos e procedimentos para a gestão de incidentes de segurança da informação e violação de proteção de dados e privacidade; e

f) contatos relevantes de ambas as partes, para possível tratamento de incidentes.

Seção II

Da Avaliação de Riscos

Art. 6º A avaliação de riscos poderá ocorrer antes e durante o contrato com um provedor de serviços.

Art. 7º Na avalição de riscos, o órgão deve:

I - conduzir uma avaliação detalhada dos riscos associados à terceirização de serviços incluindo, mas não se limitando, a uma análise de vulnerabilidades potenciais, conformidade regulatória e impacto nas operações do órgão;

II - estabelecer processos e procedimentos para gerenciar a proteção de dados e a segurança da informação e os riscos que podem ser associados com o uso de serviços e produtos de provedores;

III - estipular os responsáveis pela avaliação;

IV - definir quando os resultados da avaliação serão analisados;

V - analisar relatórios elaborados após avaliações e auditorias de seus provedores de serviço;

VI - avaliar e gerenciar riscos à proteção de dados e à segurança da informação associados a:

a) uso das informações internas por provedores e seus associados; e

b) vulnerabilidades e mau funcionamento de produtos ou serviços operados e criados, ou ainda utilizados para a manutenção ativa, pelos provedores e seus associados, como por exemplo, software, API e componentes de hardware.

VII - implementar ferramentas de análise de risco contínuo para identificar e mitigar proativamente novas ameaças à segurança de dados apresentadas pelos provedores de serviços; e

VIII - realizar a gestão de risco adequada em cada fornecedor e seus respectivos serviços.

Parágrafo único. A avaliação pode ser realizada após a ocorrência de um incidente de segurança.

Seção III

Dos contratos e acordos

Art. 8º Os contratos com provedores de serviços, no que couber, devem incluir cláusulas específicas relacionadas à privacidade, proteção de dados, segurança da informação, responsabilidades, conformidade regulatória e requisitos de relatórios.

Art. 9º Em caso alteração do provedor, seja por conclusão do contrato ou por incapacidade do provedor original, quando necessário, o órgão deverá estabelecer procedimentos para a continuação da prestação de serviço.

Art. 10. O órgão deve solicitar a assinatura de termo de confidencialidade por parte contratada e ciência por parte dos funcionários e colaboradores dos provedores de serviço, sendo esta uma condição a ser cumprida antes dos associados do provedor de serviço iniciarem as operações.

Art. 11. Os contratos devem ser revisados por profissionais jurídicos e de segurança cibernética, quando viável, para garantir que as obrigações sejam claramente definidas e aplicáveis.

Art. 12. Nos contratos, devem ser incluídas cláusulas contratuais que estabeleçam o direito do órgão de auditar as práticas de proteção de dados e segurança da informação do provedor de serviços.

Art. 13. Deve-se estabelecer nos contratos mecanismos para revisar e atualizar periodicamente os requisitos de privacidade, proteção de dados e segurança da informação à medida que novas ameaças e regulamentações surjam.

Art. 14. Deve-se definir nos contratos os recursos de TI e informações que os provedores de serviços podem acessar, usar, monitorar ou controlar.

Art. 15. Deve-se definir e fazer cumprir nos contratos os prazos de confidencialidade das informações, produtos e serviços do órgão.

Art. 16. Deve-se definir nos contratos o nível de segurança física e lógica esperado dos provedores e associados e suas instalações.

Art. 17. Deve-se definir nos contratos os requisitos de segurança da informação que irá utilizar para adquirir produtos ou serviços de TI.

Art. 18. Deve-se exigir nos contratos que os provedores propaguem e façam cumprir os requisitos de proteção de dados e segurança da informação do órgão em toda a cadeia de fornecimento.

Art. 19. Deve ser solicitado nos contratos que os provedores de produtos e serviços de TI forneçam informações descrevendo os controles de proteção de dados e segurança da informação implementados em seus produtos e serviços e as configurações necessárias para a sua operação segura.

Art. 20. Deve-se obter nos contratos a garantia de que os produtos e serviços de TI entregues estejam funcionando como o esperado.

Art. 21. Quando for o caso, deve ser especificado nos contratos as responsabilidades do provedor de serviços em relação à exclusão segura de dados ao final do contrato ou quando não forem mais necessários.

Art. 22. Devem ser incluídas nos contratos disposições que garantam a conformidade do provedor de serviços com as diretrizes de segurança de dados disposto na Lei nº 13.709, de 14 de agosto de 2018.

Art. 23. Devem ser estabelecidos nos contratos protocolos para revisão e aprovação de quaisquer subcontratados ou provedores de serviços adicionais que o provedor de serviços possa envolver.

Art. 24. Deve-se definir nos contratos procedimentos para resolver divergências relacionadas à proteção de dados e à segurança da informação entre o órgão e o provedor de serviços.

Seção IV

Dos provedores de serviço

Subseção I

Do inventário

Art. 25. O órgão deve criar e manter um inventário de provedores de serviço e seus ativos associados, incluindo o número do contrato, tipo de serviço contratado e, se for o caso, quantidade e habilidades dos operadores.

§ 1º A organização deverá realizar a atualização do inventário quando ocorrerem novas contratações, alterações e encerramento de contratos.

§ 2º O inventário é um ativo de informação como um catálogo de serviços e sobre ele devem ser aplicados controles de privacidade, proteção de dados e segurança da informação para evitar acessos indevidos, adulterações de conteúdo e vazamento de informações.

§ 3º O inventário deve conter informações sobre os ativos de informação necessários a serem utilizados pelos provedores para a entrega e operação de serviços.

Subseção II

Da classificação

Art. 26. A classificação dos provedores de serviço deve ser realizada periodicamente ou conforme a necessidade.

§ 1º Na classificação de que trata o caput podem ser avaliados fatores como:

I - a sensibilidade das informações, produtos e serviços utilizados pelos provedores;

II - a criticidade do serviço prestado;

III - sensibilidade e volume dos dados;

IV - requisitos de disponibilidade;

V - regulamentos aplicáveis; e

VI - risco inerente e mitigado.

§ 2º Devem ser definidos os tipos de componentes de serviços de infraestrutura de TI e nuvem fornecidos pelos fornecedores que podem degradar a proteção de dados e segurança da informação.

§ 3º Poderão ainda, se conveniente, ser criados grupos de provedores de acordo com suas classificações, para que assim sejam aplicadas medidas de privacidade, proteção de dados e segurança da informação específicas para cada grupo.

Subseção III

Da avaliação e do monitoramento contínuo

Art. 27. Os provedores de serviços devem ser reavaliados de forma contínua, o que pode incluir:

I - avaliação se os requisitos de proteção de dados e segurança da informação estão sendo cumpridos com cada provedor e contrato de forma individual;

II - avaliação da qualidade e eficiência dos provedores de serviço de acordo com produtos e serviços entregues e em execução; e

III - avaliações utilizando-se ou não de terceiros independentes, para verificar a conformidade do provedor de serviços com as normas de proteção de dados e segurança da informação.

Art. 28. O órgão deve implementar processos de monitoramento contínuo para avaliar o desempenho do provedor de serviços em relação aos padrões acordados de privacidade, proteção de dados, segurança da informação e conformidade regulatória.

§ 1º Podem ser monitorados todos os provedores de serviço, conforme peculiaridades da prestação e, se for o caso, os provedores de produtos.

§ 2º Os métodos de avaliação levarão em consideração as peculiaridades de cada contrato.

§ 3º O monitoramento e a avaliação de seus resultados caberão à gestão contratual e/ou autoridade superior responsável por sua aprovação.

§ 4º Toda a documentação do monitoramento deve ser retida como evidência dos resultados.

§ 5º Os registros detalhados de todas as interações com o provedor de serviços, incluindo comunicações, incidentes de segurança e auditorias deve ser mantido por pelo menos cinco anos.

§ 6º O monitoramento de conformidade do provedor de serviços pode ser implementado de maneira automatizada por meio de soluções de gerenciamento de riscos e conformidade.

Art. 29. Um inventário organizado dos provedores de serviços deve ser mantido atualizado de forma a permitir identificar um ponto de contato com cada prestador de serviços.

Art. 30. O órgão poderá desenvolver painéis de controle personalizados para visualizar métricas de privacidade, proteção de dados e segurança da informação em tempo real relacionadas aos provedores de serviços.

Art. 31. O órgão poderá utilizar a avaliação dos serviços e produtos prestados pelos provedores de serviço para verificar se estes atingiram os níveis de proteção de dados e segurança da informação necessários.

Subseção IV

Da gestão de incidentes

Art. 32. Em caso de incidente de segurança de dados, o provedor de serviço deve notificar, em até vinte e quatro horas, o órgão, devendo incluir:

I - resumo do incidente;

II - impactos identificados; e

III - medidas corretivas adotadas.

Art. 33. São responsabilidades dos provedores, em casos de incidentes de segurança em decorrência da prestação de serviço:

I - notificar o incidente;

II - promover a contenção e mitigação do incidente;

III - realizar investigação sobre o ocorrido;

IV - emitir relatório detalhado ao órgão sobre as ocorrências identificadas; e

V - sanar, às suas custas, qualquer dano causado ao órgão ou a terceiros.

Art. 34. São responsabilidades do órgão:

I - tratar incidentes de segurança da informação e violações à proteção de dados e privacidade que por algum motivo estejam correlacionados a algum provedor de serviços;

II - fazer uso de medidas de recuperação, contingência e resiliência cibernética para garantir a disponibilidade do tratamento de dados e informações dos provedores e do próprio órgão;

III - mitigar qualquer ação do provedor de serviços que venha causar dano ao órgão, independente da maneira que tomou conhecimento da ação;

IV - Integrar planos de resposta a incidentes comuns com o provedor de serviços para facilitar a coordenação e colaboração durante incidentes de segurança de dados;

V - designar pontos de contato dedicados entre o órgão e o provedor de serviços para facilitar a comunicação e a troca de informações durante incidentes de segurança;

VI - Implementar, se adequado, simulações regulares de incidentes de segurança com o provedor de serviços para garantir uma resposta coordenada e eficaz;

VII - documentar todas as interações e atividades relacionadas à resposta a incidentes com o provedor de serviços para fins de revisão e análise pós-incidente;

VIII - estabelecer um protocolo claro para a condução de investigações conjuntas com o provedor de serviços para identificar a causa raiz de incidentes de segurança;

IX - realizar revisões pós-incidente em colaboração com o provedor de serviços para identificar áreas de melhoria nos processos de resposta a incidentes; e

X - fornecer treinamento regular sobre os procedimentos de notificação de incidentes e como interagir com o provedor de serviços durante um incidente de segurança.

Subseção V

Da revisão e melhoria contínua

Art. 35. A PGPS dever ser revisada sempre que necessário para garantir sua eficácia contínua e alinhamento com a legislação e as melhores práticas de privacidade, proteção de dados e segurança da informação.

Art. 36. Devem ser estabelecidos canais de comunicação para recebimento de feedback contínuo dos usuários internos e externos sobre a qualidade dos serviços dos provedores.

Art. 37. As lições aprendidas com incidentes passados e mudanças no ambiente operacional devem ser incorporadas para aprimorar os processos e os controles.

Art. 38. Poderão ser estabelecido processos formais para revisão e validação dos relatórios de conformidade fornecidos pelo provedor de serviços.

Subseção VI

Do treinamento e conscientização

Art. 39. O órgão, por iniciativa da Coordenação-Geral de Gestão Estratégica de Pessoas, da Coordenação-Geral de Tecnologia da Informação, da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, do Encarregado pelo Tratamento de Dados Pessoais ou da Secretaria-Executiva, poderá:

I - desenvolver materiais de treinamento personalizados para colaboradores de diferentes níveis e funções na organização sobre a gestão de provedores de serviços;

II - realizar sessões de treinamento interativo e workshops para simular cenários práticos envolvendo provedores de serviços e práticas recomendadas de segurança;

III - fornecer recursos online acessíveis, como vídeos, guias e FAQs, para facilitar o aprendizado contínuo sobre segurança de dados e gestão de provedores de serviços;

IV - incorporar o treinamento sobre gestão de provedores de serviços e segurança de dados em programas de integração de novos funcionários e treinamentos regulares de reciclagem;

V - realizar avaliações periódicas de conhecimento e conscientização entre os funcionários para medir a eficácia do treinamento sobre gestão de provedores de serviços; e

VI - incentivar a participação em eventos e conferências do setor relacionados a proteção de dados e segurança da informação para promover a educação contínua e a conscientização.

Subseção VII

Do encerramento de Contrato

Art. 40. O provedor de serviço, quando for o caso, deverá realizar atividades para o descarte seguro de dados e informações dos ativos de informação que estão sob sua responsabilidade ou foram utilizados para a prestação de serviço.

Art. 41. Os contratos que utilizem a locação de ativos computacionais devem estabelecer o estado de preservação quando o ativo for devolvido.

Art. 42. O órgão deve definir requisitos para garantir o término seguro de relacionamentos com os provedores e associados, incluindo, mas não se limitando a:

I - tratamento de informações;

II - desprovisionamento de direitos de acessos;

III - determinação da propriedade intelectual dos artefatos desenvolvidos durante o contrato;

IV - possível portabilidade e repasse de informações em caso de alteração de provedor ou internalização de serviços;

V - atualização do inventário de provedores;

VI - gerenciamento de registros;

VII - devolução de ativos de informação; e

VIII - descarte e eliminação segura de informações e ativos de informação utilizados pelos provedores e seus associados.

Art. 43. O prestador de serviço deverá realizar a limpeza segura dos ativos de informação utilizados no contrato, conforme cada caso.

Subseção VIII

Da não conformidade

Art. 44. A violação desta política poderá ensejar, por meio de autoridade competente, apurações nas esferas administrativa, civil e penal, conforme o caso e de acordo com a legislação correlata.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 45. A implementação das diretrizes e normas de que tratam esta Portaria, conforme suas peculiaridades e complexidades, ocorrerá de forma gradual, de acordo com as possibilidades técnica, operacional, administrativa e, se for o caso, financeira do órgão.

Parágrafo Único. Esta política não se aplica aos contratos firmados antes de sua publicação.

ANEXO II