PORTARIA Nº 363, DE 27 DE AGOSTO DE 2025
Institui a Norma de Segurança da Informação e Comunicação (NoSIC nº 02/2025), que estabelece diretrizes e procedimentos para o controle de acesso aos recursos computacionais e sistemas de informação corporativos no âmbito da Secretaria de Estado de Saúde do Distrito Federal.
O SECRETÁRIO DE ESTADO DE SAÚDE DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o art. 105, parágrafo único, incisos I e III da Lei Orgânica do Distrito Federal, assim como o inciso II, do artigo 509, do Regimento Interno da Secretaria de Estado de Saúde do Distrito Federal, aprovado pelo Decreto nº 39.546, de 19 de dezembro de 2018, publicado no DODF nº 241, de 20 de dezembro de 2018, e tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), resolve:
Art. 1º Aprovar e tornar pública a Norma de Segurança da Informação e Comunicação (Anexo I), o Termo de Compromisso (Anexo II), a Matriz RACI (Anexo III) e o Glossário Técnico (Anexo IV) contidos nos anexos desta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JURACY CAVALCANTE LACERDA JÚNIOR
NORMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO
Art. 1º Instituir a Norma de Segurança da Informação e Comunicação, doravante NoSIC nº 02/2025 SES-DF, com a finalidade de estabelecer o controle de acesso aos recursos computacionais e sistemas de informação corporativos, por meio da adoção de padrões de comportamento seguro, no âmbito da Secretaria de Estado de Saúde do Distrito Federal (SES-DF).
Parágrafo único. Esta norma é de natureza complementar e deve ser aplicada em conformidade com os princípios e as diretrizes instituídas pela Política de Segurança da Informação e Comunicação do Governo do Distrito Federal (PoSIC), aprovada pela Resolução nº 01, de 29 de abril de 2024, do Comitê Gestor de Tecnologia da Informação e Comunicação do Distrito Federal (CGTIC-DF).
Art. 2º Este Normativo tem por objetivo estabelecer diretrizes e normas para o acesso lógico aos recursos computacionais e sistemas de informação corporativos da SES-DF.
Parágrafo único. Esta norma define regras e procedimentos gerais para regulamentar o acesso para proteger recursos computacionais e informações, em formato digital ou impresso, do acesso, divulgação, mau uso ou uso não autorizado, bem como perda, fraude ou outro tipo de dano.
Art. 3º Este normativo aplica-se a todas as autoridades, servidores públicos, colaboradores e quaisquer pessoas, inclusive terceiros, que tenham ou tiveram acesso a informações da SES-DF.
Parágrafo único. Para os fins desta norma, aplicam-se as definições de identidade digital, credencial, privilégio, conta de serviço, entre outras, conforme glossário técnico (ANEXO IV).
Art. 4º Os princípios norteadores desta norma são:
I - privilégio mínimo: usuários devem ter acesso apenas aos recursos de tecnologia da informação necessários para realizar as tarefas que lhe foram designadas;
II - necessidade de conhecimento: os usuários são conhecedores de suas prerrogativas e responsabilidades;
III - rastreabilidade: todos os acessos devem ser rastreáveis; e
IV - responsabilização: o usuário é responsável pelo uso de suas credenciais de acesso.
Art. 5º As responsabilidades e autoridades atribuídas aos diferentes perfis envolvidos na gestão de acesso lógico estão detalhadas na Matriz RACI, constante do Anexo III desta norma, a qual deve ser utilizada como referência para esclarecimento de papéis e deveres.
I - utilizar seus acessos exclusivamente para fins autorizados;
II - proteger suas credenciais de acesso; e
III - comunicar à área gestora de Tecnologia da Informação e Comunicação qualquer uso indevido, incidente ou suspeita de comprometimento.
Art. 7º Compete à área gestora de Tecnologia da Informação e Comunicação:
I - gerenciar a infraestrutura de identidade e autenticação;
II - garantir o funcionamento, segurança e conformidade dos mecanismos de controle de acesso;
III - garantir a aplicação das regras desta norma e apoiar as áreas de negócio na aplicação desta norma; e
IV - administrar os sistemas de autenticação, provisionamento e revogação de contas.
Art. 8º Compete ao Subcomitê de Privacidade e Segurança da Informação (SUB-PSI):
I - avaliar riscos, aprovar exceções e propor melhorias à norma; e
II - monitorar o cumprimento das diretrizes definidas neste documento.
Art. 9º Compete aos Gestores Públicos:
I - autorizar, justificar e validar as solicitações de acesso;
II - avaliar periodicamente os acessos concedidos aos servidores públicos sob sua responsabilidade; e
III - solicitar a revogação de acessos sempre que houver desligamento, mudança de função ou perda de necessidade.
Art. 10. Compete à Auditoria Interna:
I - Avaliar, periodicamente, a conformidade dos acessos com os critérios estabelecidos; e
II - Emitir recomendações formais de adequação, quando necessário.
DA GESTÃO DE IDENTIDADE E ACESSO
Art. 11. O acesso aos recursos computacionais e sistemas de informação corporativos será concedido com base na função do usuário, mediante autorização formal e devidamente registrada.
Art. 12. O perfil de acesso dos usuários não pertencentes ao quadro efetivo de servidores público desta SES-DF, serão disponibilizados com privilégio mínimo, a fim de reduzir os riscos à segurança dos dados e equipamento de tecnologia da informação.
Art. 13. Todos os acessos devem ser rastreáveis, vinculados a identidades únicas e concedidos sob o princípio do privilégio mínimo e da necessidade de conhecimento.
Art. 14. Cabe à área gestora de Tecnologia de Informação implementar sistema de login único (SSO) com integração com o diretório corporativo, possibilitando autenticação do usuário final através da senha única da rede corporativa de dados.
§ 1º Os novos contratos que possuem como objeto o fornecimento de soluções ou sistemas de Tecnologia da Informação e Comunicação (TIC), deverão conter cláusula com a obrigatoriedade de integração com o LDAP.
§ 2º Aos sistemas de terceiros serão aplicadas as regras estabelecidas no caput deste artigo, salvo sistemas legados em ambiente de produção.
§ 3º As contas de usuário serão compostas pela matrícula do servidor público, caso não possua matrícula a conta será criada com o número de CPF/CIN.
§ 4º Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede.
Art. 15. Os acessos privilegiados devem:
I - ser concedidos com critério, base documental e autorização superior;
II - possuir autenticação multifator, sempre que aplicável;
III - ser utilizados exclusivamente por usuários treinados e monitorados.
Art. 16. A gestão do ciclo de vida de acesso inclui provisionamento, revisão e revogação de privilégios, sob responsabilidade compartilhada entre a área gestora de Tecnologia da Informação e Comunicação e as áreas gestoras.
Art. 17. A revisão de acessos será realizada, no mínimo, a cada seis meses, com base em relatórios fornecidos pela área de tecnologia e validação formal das chefias.
DAS CREDENCIAIS E DA AUTENTICAÇÃO
Art. 18. A SES-DF disporá a seus usuários autorizados contas de acesso a rede de comunicação de dados que permitem o acesso às informações, serviços de tecnologia da informação e recursos computacionais.
§ 1º As contas de acesso serão criadas, preferencialmente, de forma eletrônica, após o cadastramento do usuário no sistema de gestão de recursos humanos do órgão. Caso essa facilidade não esteja disponível, o setor recebedor do servidor público deverá registrar um chamado técnico na Central de Serviços, solicitando a criação da conta de acesso. Conjuntamente ao chamado deverá ser anexado o Termo de Compromisso (Anexo II) em formato digital, devidamente assinado, pelo usuário requerente.
§ 2º As contas de acesso de prestadores de serviço terceirizados, estagiários, internos, residentes, voluntários e similares terão, por padrão, a validade de até 1 (um) ano, cabendo ao requerente, apresentar justificativa de forma motivada, para prazos de validade superior ao estipulado.
§ 3º As contas de acesso com inatividade por mais de 60 (sessenta) dias corrido, serão bloqueadas, automaticamente, cabendo a seu usuário requerer a reativação.
Art. 19. As contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais.
Art. 20. O ingresso em uma conta de acesso é realizado mediante credenciais de segurança previamente definidas, as quais devem ser únicas, pessoais e intransferíveis e protegidas contra uso indevido.
Art. 21. As credenciais de acesso devem atender a critérios de complexidade definidos neste normativo, sendo exigido o uso de autenticação multifator, sempre que aplicável.
Art. 22. O usuário é integralmente responsável pela utilização de suas credenciais de acesso, respondendo por qualquer violação ou ato irregular/ilícito, mesmo que exercido por outro indivíduo e/ou organização de posse de suas credenciais de acesso.
Art. 23. É vedado aos usuários:
I - anotar ou registrar senhas de acesso em qualquer local, exceto nas ferramentas oficialmente fornecidas pela SES-DF;
II - utilizar sua conta, ou tentar utilizar qualquer outra conta, para violar controles de segurança estabelecidos pela SES-DF; e
III - compartilhar a conta de acesso e senha com outro usuário, colaborador e/ou terceiro.
Art. 24. As contas de acesso de serviço devem ser minimamente utilizadas e devidamente justificadas, com controles adicionais de monitoramento e expiração.
Art. 25. A criação de novas contas de acesso à rede da SES-DF para servidores efetivos, comissionados ou requisitados, estagiários, preceptores, internos e prestadores de serviço deve ser solicitada pela chefia imediata ou pela equipe de gestão do contrato ao qual o colaborador estará vinculado. Na ausência desses, a responsabilidade será do superior hierárquico.
Parágrafo único. As senhas associadas às contas de acesso a recursos computacionais e sistemas de informação corporativos da SES-DF são de uso pessoal e intransferível, sendo dever do usuário zelar por sua guarda e sigilo.
Art. 26. As senhas não devem ser trafegadas por meio de comunicações eletrônicas ou dispositivos portáteis que não possuem mecanismos de segurança.
Art. 27. A área gestora de Tecnologia da Informação e Comunicação é a responsável por prover o primeiro acesso dos usuários à rede corporativa da SES-DF, devendo a senha ser alterada pelo usuário no primeiro acesso, observando as seguintes regras:
I - possuir 8 (oito) caracteres ou mais;
II - deve possuir pelo menos 1 (uma) letra maiúscula;
III - deve possuir pelo menos um número;
IV - deve possuir pelo menos um caractere especial (! @#$%¨&*()); e
V - é vedada a utilização de parte do nome ou dados pessoais como data de nascimento e CPF/CIN.
Art. 28. As senhas de contas administrativas devem obrigatoriamente:
I - possuir 12 (doze) caracteres ou mais;
II - deve possuir pelo menos 1 (uma) letra Maiúscula;
III - deve possuir pelo menos um número;
IV - deve possuir pelo menos um caractere especial (! @#$%¨&*()); e
V - é vedada a utilização de parte do nome ou dados pessoais como data de nascimento e CPF/CIN.
Art. 29. As senhas terão validade máxima de 180 (cento e oitenta) dias, sendo vedada, a repetição das quatro últimas senhas utilizadas. Dez dias antes do término de validade da senha, será solicitada a troca de forma automática pelo sistema, findo esse período a troca deverá ser feita junto à área gestora de Tecnologia da Informação e Comunicação ou solução disponibilizada para esse fim.
Parágrafo único. Em casos específicos de perda ou roubo a troca de senha poderá ser realizada diretamente na área gestora de Tecnologia da Informação e Comunicação ou por intermédio de sítio eletrônico com a funcionalidade de realizar a troca/recuperação de senhas, antes do prazo de validade.
Art. 30. Quando identificada a perda ou divulgação indevida de senha de acesso de qualquer dos sistemas informativos ou acesso a equipamentos de tecnologia, deve-se informar imediatamente a área gestora de Tecnologia da Informação e Comunicação, como especificado na NoSIC nº 01/2024 SES-DF, para que seja providenciado o bloqueio do acesso e alterações das credenciais de acesso e outras medidas cabíveis, inclusive apoio na investigação que vise identificar responsáveis pela divulgação em questão.
Parágrafo único. Os sistemas legados que não permitirem a utilização do padrão de senha descrito, devem utilizar a maior complexidade de segurança de senha possível que a aplicação suporte.
Art. 31. Poderá à área gestora de Tecnologia da Informação e Comunicação disponibilizar aplicação de gerenciamento de senhas, o uso do recurso se dará nas seguintes hipóteses:
I - senha de acesso privilegiado (a exemplo, conta de admin, Root, Administrador, Administrator);
II - contas de serviço, comumente utilizada na integração entre aplicações; e,
III - contas compartilhadas (contas que mais de uma pessoa possua acesso).
§ 1º O uso de contas compartilhadas, elas devem ser evitadas sempre que possível, sendo utilizadas somente em caso de limitação tecnológica que não permita a individualização da conta.
§ 2º A solicitação de acesso ao gerenciador de senhas deve ser realizada pelo gestor da área solicitante do recurso.
DO ACESSO A RECURSOS COMPUTACIONAIS E SISTEMAS DE INFORMAÇÃO
Art. 32. Somente recursos computacionais homologados e controlados pela SES-DF devem ser utilizados para acesso a informações corporativas.
Art. 33. O acesso deve ocorrer por meio de sistemas autorizados, com mecanismos de segurança compatíveis ao nível de risco da informação acessada.
Art. 34. O uso de acesso remoto deve ser condicionado ao uso de VPN corporativa, autenticação forte e autorização formal.
Art. 35. A conexão a redes sem fio deve ocorrer exclusivamente por meio de redes corporativas controladas e com mecanismos de criptografia ativos.
Art. 36. O uso de mídias removíveis e dispositivos pessoais deverá ser restrito e condicionado à autorização da área gestora de Tecnologia da Informação e Comunicação e aos controles de segurança definidos em norma específica.
Art. 37. É vedada a instalação de ponto de acesso sem fio conectados à rede local sem a prévia autorização e aprovação e homologação da área gestora de Tecnologia da Informação e Comunicação.
Art. 38. Os dados necessários ao acesso à rede sem fio são definidos pela área gestora de Tecnologia da Informação e Comunicação, a qual após a liberação do acesso solicitado, deverá informar ao solicitante as instruções para a utilização da rede sem fio:
Parágrafo único. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso com pessoas não autorizadas.
Art. 39. As conexões à rede sem fio serão avaliadas pela área gestora de Tecnologia da Informação e Comunicação em relação aos requisitos de segurança e deverão atender ao princípio do privilégio mínimo.
Do acesso aos sistemas corporativos
Art. 40. Os sistemas corporativos são aplicações computacionais homologados e utilizados pela SES-DF para apoiar os processos de negócio do órgão.
Art. 41. As solicitações de concessão e revogações de acesso aos sistemas corporativos devem buscar uma uniformidade no procedimento, devendo a área responsável pelo credenciamento e descredenciamento formalizar, publicar e divulgar esse procedimento.
§ 1º É responsabilidade do gestor das áreas que utilizam os sistemas, solicitar o cancelamento da conta de acesso ou a alteração de perfil quando do desligamento, mudança de lotação/atribuição ou afastamento do agente público, desde que a revogação do acesso ao módulo, sistema ou subsistema, não provoque prejuízos à vida funcional do servidor.
§ 2º Os sistemas devem possuir em local visível e de fácil acesso na aplicação o termo de uso, descrição do serviço, termos de responsabilidade dos usuários e a política de privacidade da aplicação.
§ 3º É de responsabilidade do usuário conhecer termo de uso, descrição do serviço, termos de responsabilidade dos usuários e a política de privacidade da aplicação.
Do acesso à Intranet e à Internet
Art. 42. Os acessos ao portal e aos demais serviços disponíveis na Intranet da SES-DF serão efetuados por meio da rede local da instituição.
Art. 43. Os acessos a sites e serviços disponíveis na Internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados na rede de comunicação de dados da SES-DF.
Art. 44. De nenhuma forma será admitido burlar ou tentar burlar os filtros de conteúdo ou restrições de acesso à internet, sob pena de responsabilização dos envolvidos, que estarão sujeitos às sanções administrativas e penais cabíveis.
Art. 45. Caso o filtro de conteúdo esteja impedindo ou dificultando a atividade funcional do setor ou do servidor, por restrição de acesso a um recurso ou sítio eletrônico específico, uma análise poderá ser solicitada à área gestora de Tecnologia da Informação, para a liberação de domínio específico.
Art. 46. Caberá área gestora de Tecnologia da Informação e Comunicação, estabelecer processo e procedimentos para análise de liberação de domínios específicos para áreas específicas, que forem barrados no filtro de conteúdo.
Da permissão de acesso às pastas compartilhadas de rede
Art. 47. A autorização e o nível permitido de acesso a recursos computacionais e sistemas de informação corporativos da SES-DF é feita com base em perfis que definem o nível de privilégio dos usuários.
Art. 48. O acesso a recursos computacionais e sistemas de informação corporativos é fornecido a critério da chefia imediata que define permissões baseadas nas necessidades laborais de cada usuário.
Art. 49. Autorizações de acesso a perfis são fornecidas e/ou revogadas com base na aprovação dos gestores de cada usuário. Os usuários devem ainda observar as seguintes diretrizes:
I - é proibido o armazenamento de informações de caráter pessoal, que infrinjam direitos autorais ou que não sejam de interesse da SES-DF tanto na infraestrutura computacional local ou serviços de armazenamento remoto (nuvem) da SES-DF;
II - os arquivos gerados devem ser salvos nas pastas de rede disponibilizadas ao usuário, não devendo ser armazenado em pastas locais, pois essas não possuem cópia de segurança;
III - usuários dos sistemas corporativos não devem ter expectativa de privacidade quanto a arquivos pessoais, armazenados na infraestrutura computacional, local ou serviços de armazenamento remoto (nuvem) da SES-DF, pois os diretórios compartilhados são acessíveis por um ou mais setores autorizados; e,
IV - O usuário deve informar imediatamente a equipe de segurança caso identifique qualquer falha ou vulnerabilidade que permita a utilização não autorizada de recursos computacionais e sistemas de informação corporativos da SES-DF.
Art. 50. Cabe à área gestora de Tecnologia da Informação e Comunicação propor normas que visem padronizar a organização dos diretórios compartilhados na rede, bem como detalhar os procedimentos de controle, liberação e revogação de acesso.
Art. 51. É vedado o compartilhamento de arquivos, diretórios e impressoras em microcomputadores dos usuários. Devendo esse compartilhamento ser feito apenas em servidores ou serviços de armazenamento remoto (nuvem) da SES-DF.
Art. 52. O acesso remoto à rede de comunicação de dados deve ser realizado somente para atender as necessidades do serviço da SES-DF.
Art. 53. A permissão para se realizar acesso remoto à rede de comunicação de dados deve ser solicitada na Central de Serviços, com o Formulário e Termo de Responsabilidade - Acesso Remoto", prevalecendo o princípio do privilégio mínimo.
Art. 54. Ocorrerá validação periódica dos usuários com acesso remoto, ação que será realizada pela equipe de TI, em conjunto com o Gestor do usuário, verificando a necessidade de continuidade do acesso remoto.
Art. 55. O acesso remoto deverá ser monitorado e auditado, garantindo a rastreabilidade e o cumprimento das diretrizes de segurança da informação.
Da solicitação de acesso aos prestadores de serviços
Art. 56. O acesso a prestadores de serviços deve estar previsto contratualmente e autorizado formalmente, com escopo, prazo e responsabilidades claramente definidos.
Art. 57. Os prestadores de serviços devem aderir às mesmas regras de segurança dos servidores públicos da SES-DF, incluindo assinatura de termo de confidencialidade e uso de credenciais próprias.
Art. 58. Os acessos de prestadores de serviços devem ser automaticamente desativados ao término do contrato, projeto ou vínculo justificante, sem necessidade de solicitação adicional.
Art. 59. As atividades realizadas por prestadores de serviços deverão ser monitoradas e auditadas, garantindo a rastreabilidade e o cumprimento das diretrizes de segurança da informação.
Art. 60. É de responsabilidade da equipe de gestão do contrato solicitar acesso e sua revogação dos prestadores de serviço, com suas respectivas motivações para o acesso, inclusive o prazo para vencimento.
§ 1º Cabe à área gestora de Tecnologia da Informação e Comunicação a elaboração dos Procedimentos de Segurança da Informação e Comunicação (ProSIC) para regulamentação do procedimento de solicitação de acesso.
§ 2º Os gestores do contrato não podem solicitar períodos de acesso superior aos prazos de vigência dos contratos.
Art. 61. É responsabilidade do gestor das áreas de negócios usuárias dos sistemas de informação solicitarem a revogação de acesso ou a alteração de perfil quando do desligamento, mudança de lotação/atribuição ou afastamento do servidor público.
Art. 62. Caberá a área gestora de Tecnologia da Informação e Comunicação, implementar solução automatizada para a desativação do acesso a rede comunicação de dados, nas hipóteses de vacância ocorridos por forma de:
V - Cessão de servidor para outro órgão; e
VI - Perda do cargo ou função pública.
Parágrafo único. A desativação também ocorrerá em caso de ordem judicial, ou ainda por solicitação de comissão de Processo Administrativo Disciplinar, nos casos em que a lei determinar.
DA RESPOSTA A INCIDENTES E CONTINUIDADE
Art. 63. Todo incidente de segurança envolvendo acesso lógico deve ser comunicado imediatamente à área gestora de Tecnologia da Informação e Comunicação.
Art. 64. A área gestora de Tecnologia da Informação e Comunicação deverá instituir plano de resposta a incidentes contemplando os procedimentos específicos para bloqueio, investigação e correção de acessos indevidos.
Art. 65. Para garantir o acesso a sistemas críticos em situações de contingência, medidas de continuidade devem ser adotadas, conforme plano de continuidade de negócios.
Art. 66. A utilização de quaisquer sistemas de informação corporativos pressupõe adesão e conhecimento dos valores, princípios e normas éticas previstos nos instrumentos de governança da organização (Regimento Interno, Planejamento Estratégico, Política de Integridade, Código de Conduta ou de Ética). Todos os usuários devem zelar por um ambiente de trabalho virtual respeitoso, seguro e produtivo para todos.
Art. 67. Todos os usuários devem seguir as políticas e diretrizes estabelecidas pela SES-DF para o uso das ferramentas de comunicação corporativa. Assim, é responsável pelo teor de qualquer conteúdo emitido em funcionalidades que promovam a participação, tais como comentários e fóruns.
Art. 68. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pela SES-DF devem observar, no que couber, as disposições desta Portaria.
Art. 69. Este normativo será revisado a cada dois anos ou conforme entendimento do Subcomitê de Privacidade e Segurança da Informação.
Art. 70. Os casos omissos serão dirimidos pela área gestora de Tecnologia da Informação e Comunicação, que poderá expedir normas complementares, bem como disponibilizar em meio eletrônico informações adicionais.
Art. 71. Esta Normativo entra em vigor na data de sua publicação.
Em consonância com a Resolução nº 01, de 29 de abril de 2024, que aprova a revisão da Política de Segurança da Informação e Comunicação (PoSIC) do Governo do Distrito Federal, bem como os artigos 190, inciso XIV, 192, incisos V e VI e 194, inciso II, da Lei Complementar nº 840/2011, declaro, por este instrumento estar ciente de que devo respeito a legislação em vigor relativa à conduta funcional, às normas de segurança de informação vigentes na Secretaria de Estado de Saúde do Distrito Federal (SES-DF), bem como zelar pela manutenção e sigilo de dados e informações, fazendo uso adequado dos equipamentos e recursos de TIC.
Declaro estar ciente que a área gestora de Tecnologia da Informação e Comunicação do órgão poderá rescindir o acesso a qualquer recurso de TIC, a qualquer momento, e sem que seja previamente comunicado, desde que tal ato seja imprescindível à manutenção da segurança da informação.
Em caso de suspensão, sem prévia comunicação, a área gestora de Tecnologia da Informação e Comunicação deverá ser acionada para a regularização do acesso.
Nome Civil ou Social: ___________________________________________
CPF/CIN: __________________________________ Data: ___/___/______
Assinatura: ____________________________________________________
MATRIZ RACI - NORMA DE CONTROLE DE ACESSO LÓGICO
|
|
|||||
R = responsável (executa a atividade)
A = aprovador (decide e aprova)
C = consultado (oferece insumos e contribuições)
I = informado (deve ser comunicado)
Acesso Lógico - forma de ingresso em sistemas computacionais realizada por meio de senhas, biometria, cartões ou outras credenciais, permitindo que o usuário interaja com um Sistema de forma controlada.
Acesso Remoto - é a capacidade de se conectar e controlar um dispositivo ou sistema de uma localização distante, geralmente por meio da Internet, permitindo a gestão, monitoramento ou utilização de recursos sem a necessidade de estar fisicamente presente no local;
Área gestora de Tecnologia da Informação e Comunicação - Área responsável pelo provimento da infraestrutura computacional, sistemas de informação, redes de comunicação de dados e disponibilização de serviços de atendimento a usuários de tecnologia da informação e comunicação na organização.
Armazenamento Remoto (nuvem/cloud) - é uma tecnologia que permite armazenar arquivos digitais de forma virtual via internet.
Autenticação - Processo de confirmação da identidade de um usuário ou sistema, normalmente por meio de senha, token ou biometria.
Central de Serviços - ferramenta de gerenciamento dos serviços de Tecnologia da Informação e Comunicação (TIC), no âmbito da SES-DF, disponível no endereço eletrônico: http://centraldeservicos.saude.df.gov.br/.
Conta de Usuário - Identificação eletrônica que permite que um usuário acesse sistemas ou recursos computacionais.
Credencial - Elemento usado para comprovar a identidade de um usuário, como login e senha, token ou certificado digital. Podem incluir nome de usuário e senha, certificados digitais, tokens de autenticação ou dados biométricos, como impressão digital e reconhecimento facial.
Credenciais de acesso - conjuntos de informações que identificam de forma única um usuário e lhe permitem acessar um sistema.
Gestão de Identidade - Conjunto de processos e tecnologias que asseguram que as pessoas certas tenham o acesso adequado aos recursos certos, no momento certo.
Incidente de Segurança - Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade da informação.
Intranet - é uma rede privada de comunicação interna em uma organização, que utiliza tecnologias de internet para compartilhar informações e recursos entre funcionários ou membros autorizados.
Lei Geral de Proteção de Dados Pessoais (LGPD): Conhecida como Lei nº 13.709/2018, é a lei brasileira que visa proteger os direitos fundamentais à liberdade e à privacidade dos cidadãos, garantindo à pessoa natural, o controle, posse, e decisão sobre o tratamento de seus dados pessoais.
Login Único (SSO) - Mecanismo que permite que um usuário acesse vários sistemas com uma única autenticação, simplificando o processo de autenticação e aumentando a segurança ao reduzir a quantidade de senhas que os usuários precisam lembrar e gerenciar.
Logs - Registros automáticos de atividades realizadas em sistemas, utilizados para fins de auditoria, monitoramento e investigação. As informações de um log variam, mas podem conter, mas não se restringem à: Data, hora, operação e usuário que efetuou a operação.
Matriz RACI - Modelo de matriz que define papéis e responsabilidades nas atividades (Responsável, Aprovador, Consultado, Informado).
MFA (Autenticação Multifator) - Medida de segurança que exige mais de um fator de autenticação (ex: senha e código no celular) para permitir o acesso.
Pastas de Rede - Diretório que permite disponibilizar arquivos entre usuários na mesma rede;
Privilégio Mínimo - Princípio de segurança que determina que cada usuário deve ter apenas as permissões mínimas necessárias para executar suas tarefas.
Ponto de Acesso Sem Fio - Equipamento que compõe uma rede sem fio, concentrando as conexões de um equipamento.
Rede Sem Fio - É uma infraestrutura de comunicação que permite a conexão entre dispositivos eletrônicos e a transferência de dados sem a necessidade de cabos físicos. Essa comunicação é estabelecida através de ondas de rádio wi-fi, possibilitando a troca de informações entre dispositivos conectados à rede.
Revisão de Acesso - Processo periódico de verificação dos acessos concedidos aos usuários, a fim de confirmar sua necessidade e validade.
Recursos computacional - Equipamento de tecnologia da informação que dá apoio às atividades de determinada área de conhecimento, que visa otimizar as operações, o gerenciamento e a decisão, trabalhando os dados e transformando-os em informação.
Servidor Público - é todo aquele que presta qualquer tipo de serviço ao Estado, que exerce funções públicas, no sentido mais amplo possível dessa expressão, significando qualquer atividade pública a exemplo dos servidores públicos, agentes políticos, militares, honoríficos, agentes particulares em colaboração com o Estado, estagiários e prestadores de serviço que estejam exercendo atividades nesta SES-DF.
Sistema de Informação - Aplicação da tecnologia da informação que dá apoio às atividades de determinada área de conhecimento, que visa otimizar as operações, o gerenciamento e a decisão, trabalhando os dados e transformando-os em informação.
Sistemas de Mensageria - sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários, dentro e fora de uma instituição.
Terceiros - Pessoas ou empresas externas à organização que, por contrato ou prestação de serviço, precisam acessar sistemas ou dados.
VPN (Rede Privada Virtual) - Tecnologia que cria uma conexão segura com a rede de comunicação de dados quando o usuário está em local externo.
Este texto não substitui o publicado no DODF nº 185, seção 1, 2 e 3 de 30/09/2025 p. 34, col. 1