INSTRUÇÃO NORMATIVA Nº 4/SETI/UFFS/2014 (RETIFICADA, ALTERADA)

Retificada por:

INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020

Alterada por:

INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020

Dispõe sobre o procedimento para extração ou intervenção nas bases de dados dos sistemas da Universidade Federal da Fronteira Sul. (Antiga Instrução Normativa nº 004/SETI/UFFS)

O SECRETÁRIO ESPECIAL DE TECNOLOGIA E INFORMAÇÃO DA UNIVERSIDADE FEDERAL DA FRONTEIRA SUL no uso de suas atribuições legais e tendo em vista a delegação de competência do Magnífico Reitor através da Portaria nº 704/GR/UFFS/2012, de 29/06/2012 e considerando a a Lei 9.983 de 14 de julho de 2000; a Norma ABNT NBR ISO/IEC 27002:2005; a Norma Complementar 07/IN01/DSIC/GSIPR/2010; as Instruções Normativas 4/SLTI/MPOG/2010 e 003/SETI/UFFS/2013; a Portaria 1340/GR/UFFS/2013; o Decreto 8.135 de 04/11/2013; e o Modelo de Processos do CobiT 4.1,

O SECRETÁRIO ESPECIAL DE TECNOLOGIA E INFORMAÇÃO DA UNIVERSIDADE FEDERAL DA FRONTEIRA SUL no uso de suas atribuições legais e tendo em vista a delegação de competência do Magnífico Reitor através da Portaria nº 704/GR/UFFS/2012, de 29 de junho de 2012, e considerando:

a. a Instrução Normativa (IN) GSI/PR nº 1, de 13 de junho de 2008, e Normas Complementares decorrentes, que disciplinam a gestão de segurança da informação e comunicações na Administração Pública Federal, direta e indireta e dá outras providências;

b. a Norma Complementar nº 10/IN01/DSIC/GSIPR, de 10 de fevereiro de 2012, que estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF;

c. a Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019 que dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;

d. a Instrução Normativa 3/SETI/UFFS/2013, de 26 de agosto de 2013, que dispõe sobre a metodologia de processo de software da Secretaria Especial de Tecnologia e Informação (SETI);

e. a Portaria 1340/GR/UFFS/2013, de 11 de setembro de 2013, que estabelece diretrizes, critérios, normas e procedimentos de Segurança da Informação e Comunicações;

f. o Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;

g. o Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre o compartilhamento de dados no âmbito da Administração Pública Federal e institui o Cadastro base do Cidadão e o Comitê Central de Governança de Dados;

h. o Modelo de Processos do CobiT 2019 que é framework de boas práticas criado pela ISACA (Information Systems Audit and Control Association) para a governança de tecnologia de informação (TI);

i. a norma ABNT NBR ISO/IEC 27701 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, de 25 de novembro de 2019, que estabelece requisitos e diretrizes para a gestão da privacidade da informação; e

j. a Lei nº 13.709 - Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

RESOLVE:

ESTABELECER diretrizes para intervenção nas bases de dados dos sistemas de informação da Universidade Federal da Fronteira Sul (UFFS) que estejam sob custódia da Secretaria Especial de Tecnologia e Informação (SETI), nos seguintes termos:

CAPÍTULO I – DAS DISPOSIÇÕES GERAIS

Art. 1º. Para fins desta Instrução Normativa, considera-se:

I. Banco de dados: contém objetos (tabelas, visões, funções) que são compartilhados e utilizados por aplicações ou sistemas para armazenar dados.

II. Bancos de dados institucionais: Bancos de dados que armazenam dados da UFFS e que possuem ou possuirão versões de desenvolvimento e testes, homologação e produção.

III. DBA (Database Administrator): Termo que referencia aquele que é responsável por gerenciar e administrar os bancos de dados institucionais;

IV. SABD (Setor de Administração de Banco de Dados): unidade administrativa que faz parte da Secretaria Especial de Tecnologia e Informação da UFFS.

V. DS (Diretoria de Sistemas de Informação): unidade administrativa que faz parte da Secretaria Especial de Tecnologia e Informação da UFFS.

VI. Ativo de Informação: meio de armazenamento, meio de transmissão e processamento, o local onde estão esses meios, sistema de informação, e a pessoa que a eles tem acesso.

VII. Gestor do Ativo de Informação: instância ou indivíduo legalmente instituído por sua posição e/ou cargo, responsável primário pela viabilidade e sobrevivência dos ativos de informação;

VIII. Extração: considera-se extração de dados quaisquer recuperações de informações, com tratamento ou não, através de scripts ou qualquer outro meio que não seja através de aplicação específica.

IX. Intervenção: considera-se intervenção nas bases de dados quaisquer alterações nos dados persistidos que sejam realizadas através de scripts ou qualquer outro meio que não seja através de aplicação específica;

X. Setor demandante: solicitante que demanda a intervenção ou extração de dados de um banco de dados;

XI. Sistema: conjunto integrado de processos, hardware, software, recursos e pessoas, capaz de atender uma necessidade ou objetivo definido;

XII. Funções de agregação: recursos utilizados nos bancos de dados para calcular um único resultado para um conjunto de valores. São funções de agregação: soma, contagem, média, mínimo e máximo.

XIII. SGPD: Sistema de Gestão de Processos e Documentos.

Art. 1º Para fins desta Instrução Normativa, considera-se:

I - Banco de dados: contém objetos (tabelas, visões, funções) que são compartilhados e utilizados por aplicações ou sistemas para armazenar dados;

II - Bancos de dados institucionais: Bancos de dados que armazenam dados da UFFS e que possuem ou possuirão versões de desenvolvimento e testes, homologação e produção;

III - DBA (Database Administrator): Termo que referencia aquele que é responsável por gerenciar e administrar os bancos de dados institucionais;

IV - DS (Diretoria de Sistemas de Informação): unidade administrativa que faz parte da Secretaria Especial de Tecnologia e Informação da UFFS;

V - DS (Diretoria de Sistemas de Informação): unidade administrativa que faz parte da Secretaria Especial de Tecnologia e Informação da UFFS;

VI - Ativo de Informação: meio de armazenamento, meio de transmissão e processamento, o local onde estão esses meios, sistema de informação, e a pessoa que a eles tem acesso;

VII - Gestor do Ativo de Informação: instância ou indivíduo legalmente instituído por sua posição e/ou cargo, responsável primário pela viabilidade e sobrevivência dos ativos de informação;

VIII - Extração: considera-se extração de dados quaisquer recuperações de informações, com tratamento ou não, através de scripts ou qualquer outro meio que não seja através de aplicação específica;

IX - Intervenção: considera-se intervenção nas bases de dados quaisquer alterações nos dados persistidos que sejam realizadas através de scripts ou qualquer outro meio que não seja através de aplicação específica;

X - Setor demandante: solicitante que demanda a intervenção ou extração de dados de um banco de dados;

XI - Sistema: conjunto integrado de processos, hardware, software, recursos e pessoas, capaz de atender uma necessidade ou objetivo definido;

XII - Funções de agregação: recursos utilizados nos bancos de dados para calcular um único resultado para um conjunto de valores. São funções de agregação: soma, contagem, média, mínimo e máximo;

XIII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XIV - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

XV - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

XVI - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XVII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

XVIII - agentes de tratamento: o controlador e o operador;

XIX - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

Art. 2º Cabe ao SABD a atribuição de Administrador de Banco de Dados - DBA institucional.

Art. 2º Cabe à Diretoria de Sistemas de Informação a atribuição de Administrador de Banco de Dados - DBA institucional. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

Art. 3º Os agentes de tratamento da UFFS serão consultados quando houver necessidade de tratamento de dado pessoal conforme LGPD.

Parágrafo Único. Para a Administração Pública Federal, existe a prerrogativa de tratar dados pessoais sem o consentimento do titular, desde que seja para a execução de políticas públicas, devidamente estabelecida em lei ou para o cumprimento de obrigação legal ou regulatória pelo controlador. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

CAPÍTULO II – DA INTERVENÇÃO NAS BASES DE DADOS

Art. 4º Cabe a Gestor do Ativo de Informação encaminhar as solicitações de intervenção nas bases de dados para o SABD via formulário próprio tramitado no SGPD, contendo especificação da intervenção, finalidade e justificativa.

Art. 4º Cabe ao Gestor do Ativo de Informação encaminhar as solicitações de intervenção nas bases de dados para a DS via sistema de chamados ATI (https://ati.uffs.edu.br), contendo especificação da intervenção, finalidade e justificativa. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

Parágrafo Único. Setores demandantes devem encaminhar solicitações de intervenção ao Gestor do Ativo de Informação.

Art. 5º Compete às instâncias DS e SABD a apreciação, análise, providências e operacionalização da solicitação, respeitadas as diretrizes de segurança da informação e demais normativas.

Art. 5º Compete à DS a apreciação, análise, providências e operacionalização da solicitação, respeitadas as diretrizes de segurança da informação e demais normativas. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

§1º A execução da solicitação deverá priorizar a segurança e a consistência das bases de dados, sendo que nenhum procedimento será adotado quando o mesmo ameaçar a completude, a disponibilidade e a proteção dos dados.

§2º Antes da execução da solicitação, será apresentado ao Gestor do Ativo de Informação a sequência de procedimentos que serão adotados, os riscos envolvidos e os impactos relacionados ao atendimento.

§3º Cabe ao Gestor do Ativo de Informação autorizar a execução dos procedimentos propostos.

Art. 6º Cabe ao Gestor do Ativo de Informação assegurar a conformidade entre a documentação e a informação armazenada no banco de dados e a observância da conformidade legal da intervenção realizada.

CAPÍTULO III – DA EXTRAÇÃO DE DADOS

Art. 7º Cabe ao Gestor do Ativo de Informação encaminhar as solicitações de extração de dados dos bancos de dados para o SABD via formulário próprio tramitado no SGPD, contendo a finalidade, a autorização, a justificativa e a descrição detalhada dos atributos e seus respectivos tipos com suficiência para operacionalização do procedimento de extração, podendo adicionar funções de agregação de dados.

Art. 7º Cabe ao Gestor do Ativo de Informação encaminhar as solicitações de extração de dados dos bancos de dados para a DS via sistema de chamados ATI (https://ati.uffs.edu.br), contendo a finalidade, a autorização, a justificativa e a descrição detalhada dos atributos e seus respectivos tipos com suficiência para operacionalização do procedimento de extração, podendo adicionar funções de agregação de dados. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

Parágrafo Único. Setores demandantes devem encaminhar solicitações de extração de dados ao Gestor do Ativo de Informação.

Art. 8º Compete às instâncias DS e SABD a apreciação, análise, providências e operacionalização da solicitação, respeitadas as diretrizes de segurança da informação e demais normativas.

Art. 8º Compete à DS a apreciação, análise, providências e operacionalização da solicitação, respeitadas as diretrizes de segurança da informação e demais normativas. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)

Parágrafo Único. O atendimento da solicitação deverá priorizar a segurança e a consistência das bases de dados, sendo que nenhum procedimento será adotado quando o mesmo ameaçar a completude, a disponibilidade e a proteção dos dados.

Art. 9º Os resultados da extração de dados serão encaminhados somente ao respectivo Gestor do Ativo de Informação.

Art. 10. Não cabe às instâncias da SETI a responsabilidade sobre o uso, a divulgação e a segurança dos dados obtidos pelo pedido de extração de dados.

Parágrafo Único. As instâncias da SETI ficam comprometidas em não divulgar ou publicar quaisquer dados obtidos em operações de extração.

CAPÍTULO IV – DAS DISPOSIÇÕES FINAIS

Art. 11. A DS poderá definir que o procedimento de intervenção ou extração de dados, objeto da solicitação, será automatizado em aplicação específica, sendo requisito a ser atendido obrigatoriamente na próxima Sprint de desenvolvimento.

§1º A criação do novo requisito permanente deverá obedecer a Instrução Normativa nº 3/SETI/UFFS/2013.

§2º A DS comunicará ao Gestor do Ativo de Informação sobre a sua decisão em incluir ou não a solicitação como requisito do sistema.

Art. 12. A DS manterá registro de todos os pedidos de intervenção e de extração de dados atendidos.

Art. 13. A Secretaria Especial de Tecnologia e Informação poderá emitir instrumentos complementares a esta instrução normativa.

Art. 14. Os casos omissos a esta instrução normativa serão resolvidos no âmbito da Secretaria Especial de Tecnologia e Informação em conjunto com o Gestor do Ativo de Informação.

Art. 15. Esta instrução normativa entra em vigor na data de sua publicação.

Data do ato: Chapecó-SC, 10 de fevereiro de 2014.
Data de publicação: 13 de setembro de 2016.

Braulio Adriano de Mello
Secretário Especial de Tecnologia e Informação