Voltar

 

 
  • Resolução CGD CNPq 2/2025

    de 3 de novembro de 2025 - Estratégia de uso de software e de serviços de computação em nuvem no âmbito do CNPq

    Dispõe sobre a estratégia de uso de software e de serviços de computação em nuvem, no âmbito do CNPq.

     

    RESOLUÇÃO CGD CNPq Nº 2, DE 3 DE NOVEMBRO DE 2025

     

    Dispõe sobre a estratégia de uso de
    software e de serviços de computação
    em nuvem, no âmbito do CNPq.

     

              A Coordenadora do COMITÊ DE GOVERNANÇA DIGITAL - CGD, do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO - CNPq, no uso das atribuições que lhe confere a Portaria CNPq N° 1.115, de 18 de novembro de 2022, considerando o disposto no Decreto n° 7.579, de 11 de outubro de 2011ad referendum do Comitê de Governança Digital (CGD), e nos termos das justificativas constantes do Processo SEI nº 01300.009447/2025-99, resolve:

     

    CAPÍTULO I

    DIRETRIZES GERAIS

     

             Art. 1º  Institui a Estratégia de Uso de Software e de Serviços de Computação em Nuvem que tem por objetivo assegurar que o Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) obtenha os resultados esperados e mitigue os riscos associados à adoção de novas tecnologias ou de novas formas de contratação de softwares e serviços em nuvem.

             Art. 2º  A Estratégia de uso de software e de serviços de computação em nuvem do CNPq considera a natureza e a finalidade do órgão e está alinhada ao seu planejamento estratégico para as atividades de gestão da informação e disponibilização de serviços internos e externos.

             Art. 3º  Esta Estratégia aplica-se a todas as novas contratações de softwares e de serviços de computação em nuvem realizadas no âmbito do CNPq, tais como:

             I - software sob o modelo de licenciamento permanente de direitos de uso;

             II - software sob o modelo de cessão temporária de direitos de uso;

             III - software sob o modelo de subscrição ou como Serviço (SaaS);

             IV - infraestrutura como Serviço (IaaS);

             V - plataforma como Serviço (PaaS);

             VI - suporte técnico para software e serviços de computação em nuvem;

             VII - serviço de operação e gerenciamento de recursos em nuvem;

             VIII - serviço de migração de recursos para ambiente de nuvem;

             IX - integração de serviços de computação em nuvem; e

             X - consultoria especializada em software e, ou, serviços de computação em nuvem.

             Art. 4º  Para o desenvolvimento da Estratégia de Uso de Software e de Serviços de Computação em Nuvem, deverá este Conselho observar, sem prejuízo das demais normas vigentes, as seguintes disposições:

             I - a Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, que estabelece o modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP, do Poder Executivo Federal;

             II - a Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para a utilização de soluções de computação em nuvem pelos órgãos e entidades da Administração Pública Federal; e

             III - as demais normas, decretos, resoluções, portarias e instruções normativas relacionadas à segurança da informação e à gestão de tecnologias da informação e comunicação, editadas pelo Gabinete de Segurança Institucional da Presidência da República e outros órgãos competentes.

    CAPÍTULO II

    DOS CONCEITOS E DEFINIÇÕES

     

             Art. 5º  Para fins de interpretação e aplicação desta Norma, serão adotados os seguintes conceitos e definições:

             I - computação em nuvem: modelo que permite o provisionamento e a utilização sob demanda de recursos e serviços computacionais, de qualquer local e a qualquer tempo, de forma conveniente, por meio de acesso em rede a recursos configuráveis, tais como redes, segurança, servidores, armazenamento, aplicações e serviços, os quais podem ser rapidamente provisionados, utilizados e liberados, com mínimo esforço de gerenciamento ou interação com o provedor de serviços em nuvem;

             II - consultoria especializada em software: conjunto de serviços técnicos voltados à configuração, customização, instalação, otimização e manutenção de softwares, cujos padrões de desempenho e qualidade possam ser objetivamente definidos no Termo de Referência. Esses serviços não se confundem com os serviços técnicos especializados de natureza predominantemente intelectual, definidos no inciso XVIII do art. 6º da Lei nº 14.133, de 1º de abril de 2021;

             III - disponibilidade: condição em que um serviço ou recurso permanece acessível e plenamente apto a desempenhar suas funções, em determinado momento ou durante período previamente acordado;

             IV - Modelo de Serviços em Nuvem IaaS (Infrastructure as a Service - Infraestrutura como Serviço): capacidade fornecida ao cliente para provisionar processamento, armazenamento, comunicação de rede e demais recursos computacionais fundamentais, sobre os quais pode instalar e executar softwares em geral, incluindo sistemas operacionais e aplicações. O cliente não gerencia nem controla a infraestrutura subjacente da nuvem, mas possui controle sobre os sistemas operacionais, armazenamento e aplicações instaladas, e, eventualmente, controle limitado sobre determinados componentes de rede;

             V - Modelo de Serviços em Nuvem PaaS (Platform as a Service - Plataforma como Serviço): capacidade fornecida ao cliente para desenvolver, implantar e gerenciar aplicações, por meio de linguagens de programação, bibliotecas, serviços e ferramentas pelo provedor de serviços em nuvem. O cliente não gerencia nem controla a infraestrutura subjacente da nuvem, incluindo rede, servidores, sistemas operacionais ou armazenamento, mas detém controle sobre as aplicações implantadas e, eventualmente, sobre as configurações do ambiente de hospedagem;

             VI - Modelo de Serviços em Nuvem SaaS (Software as a Service - Software como Serviço): capacidade de disponibilizar uma solução de software completa, contratada junto a um provedor de serviços em nuvem. Toda a infraestrutura subjacente, middleware, software de aplicação e dados correspondentes permanecem sob responsabilidade do provedor, que realiza a gestão do hardware e do software, assegurando a disponibilidade e a segurança da aplicação e de seus dados;

             VII - nuvem híbrida: infraestrutura composta por duas ou mais infraestruturas distintas de nuvem (privadas, comunitárias ou públicas), que mantêm suas características próprias, mas são integradas por tecnologia padronizada que permite interoperabilidade e portabilidade de dados, serviços e aplicações;

             VIII - nuvem privada ou interna: infraestrutura de nuvem destinada ao uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, podendo ser de propriedade do próprio órgão ou de empresa pública cuja finalidade esteja relacionada à tecnologia da informação, conforme definido na norma ISO/IEC 22123-1:2023 (Information technology - Cloud computing - Part 1: Vocabulary). O modelo de nuvem privada admite a utilização de recursos computacionais de provedores de nuvem pública somente quando assegurado o isolamento lógico e físico desses recursos, não se configurando, nesse caso, como uso de nuvem pública;

             IX - nuvem pública ou externa: infraestrutura de nuvem destinada ao uso aberto por qualquer organização, cuja propriedade e gerenciamento podem ser de órgãos públicos, empresas privadas ou de ambos;

             X - provedor de serviços em nuvem: pessoa jurídica que possui infraestrutura de tecnologia da informação destinada ao fornecimento de infraestrutura, plataformas e aplicações baseadas em computação em nuvem;

             XI - suporte técnico: serviço prestado pelo fornecedor com o objetivo de auxiliar os usuários na resolução de problemas relacionados ao serviço contratado, podendo incluir atividades de treinamento, atualização, implementação, instalação e atendimento a incidentes;

             XII - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.

     

    CAPÍTULO III

    DAS COMPETÊNCIAS, ATRIBUIÇÕES E RESPONSABILIDADES

     

             Art. 6º  São competências no âmbito desta Estratégia:

             I - do Comitê de Governança Digital (CGD): aprovar, supervisionar e definir diretrizes gerais para a implementação da Estratégia;

             II - da Coordenação-Geral de Tecnologia da Informação (CGETI): planejar, contratar, gerenciar e operar os serviços de computação em nuvem; e

             III - dos demais setores do CNPq: utilizar os serviços de forma eficiente e segura, observando as diretrizes estabelecidas.

    CAPÍTULO IV

    DAS DIRETRIZES E NORMAS INTERNAS DE SEGURANÇA DA INFORMAÇÃO

    Seção I

    Da identificação das necessidades do negócio

     

             Art. 7º  O CNPq deverá identificar e avaliar as necessidades de negócio previamente à contratação de softwares e de serviços de computação em nuvem, devendo determinar quais sistemas, aplicações, dados e serviços serão migrados para a nuvem, a forma como serão acessados, os recursos computacionais e de armazenamento necessários à sua operacionalização.

             Parágrafo único.  Na concepção de novos sistemas e serviços, deverá ser avaliada a viabilidade de seu desenvolvimento para utilização em ambientes de computação em nuvem.

    Seção II

    Da seleção dos modelos adequados

     

             Art. 8º  O CNPq deverá avaliar quais modelos de serviço (IaaS, PaaS ou SaaS) e de implementação (nuvem pública, privada, híbrida ou equivalente) melhor se adequam aos requisitos de negócio.

             § 1º  Quando estudos técnicos apontarem que a demanda prevista poderá ser plenamente atendida por meio de serviços em nuvem, poderá ser adotada abordagem integral, contemplando as demandas de migração do ambiente on-premises para a nuvem, se  vantajoso para a Instituição.

             § 2º  Na hipótese de implementação de soluções totalmente em nuvem, deverá ser incluído, no processo de contratação, plano de recuperação e continuidade dos serviços em caso de descontinuidade contratual decorrente de fatores externos ao controle do CNPq.

    Seção III

    Da avaliação dos possíveis fornecedores

     

             Art. 9º  Os estudos técnicos preliminares deverão contemplar o levantamento dos possíveis fornecedores aptos a atender aos requisitos de negócio, de modo a assegurar a existência de número mínimo de fornecedores qualificados e com experiência comprovada, observando-se aspectos de segurança, conformidade, disponibilidade e suporte técnico.

             Art. 10.  Deverão ser identificados os requisitos de segurança considerados relevantes ou mandatórios para o negócio e avaliado, quando aplicável, o grau de atendimento a esses requisitos por cada possível fabricante ou fornecedor.

    Seção IV

    Da definição de requisitos de segurança

     

             Art. 11.  O CNPq deverá observar os normativos que tratam da segurança da informação e do tratamento de informações em ambientes de computação em nuvem, identificando, sob essa perspectiva, os sistemas ou workloads passíveis de migração, bem como as medidas de gerenciamento de risco destinadas à proteção das informações sigilosas eventualmente tratadas em ambiente de nuvem.

             Art. 12.  O uso seguro de softwares e serviços de computação em nuvem deverá observar os requisitos da Instrução Normativa GSI/PR nº 5, de 2021, e demais normas complementares editadas pelo CNPq.

             Seção V

    Condições mínimas de infraestrutura de TIC para utilizar serviços de computação em nuvem

     

             Art. 13.  O CNPq deverá avaliar as condições mínimas de infraestrutura de Tecnologia da Informação e Comunicação (TIC) necessárias para a utilização de serviços de computação em nuvem, incluindo, entre outros aspectos, a disponibilidade de conexão estável à Internet e largura de banda adequada.

    Seção VI

    Do estabelecimento de uma política de governança

     

             Art. 14.  O CNPq deverá assegurar que as contratações relacionadas a softwares e serviços de computação em nuvem contenham, de forma clara, as diretrizes, os papéis e as responsabilidades dos atores organizacionais envolvidos, observando as práticas e orientações emanadas da Secretaria de Governo Digital - SGD/MGI.

    Seção VII

    Do estabelecimento dos princípios norteadores da estratégia

     

             Art. 15.  São princípios norteadores desta Estratégia:

             I - otimização do uso dos recursos disponíveis no Datacenter, com foco na perenidade, padronização e eficiência das soluções;

             II - utilização da nuvem como solução complementar ao datacenter local do CNPq;

             III - priorização da contratação de softwares por meio de licenças como serviço;

             IV - adoção do modelo lift-and-shift apenas em caráter excepcional, devendo ser evitada a migração direta de aplicações do datacenter para a nuvem sem a devida adequação ao ambiente de destino.

    Seção VIII

    Do alinhamento com outros planos estratégicos

     

             Art. 16.  Esta estratégia possui alinhamento com os seguintes planos estratégicos:

             I - Plano Diretor de Tecnologia da Informação - PDTI;

             II - Planejamento Estratégico Institucional do CNPq;

             III - Plano de Contratações Anual (PCA); e

             IV - Política de Segurança da Informação do CNPq (PoSIN).

     

    Seção IX

    Do estabelecimento de linhas de base e metas de benefícios e resultados esperados

     

             Art. 17.  O CNPq deverá definir, em seu Plano Diretor de Tecnologia da Informação, as linhas de base e as metas de benefícios e resultados esperados relacionados à implementação desta Estratégia, com vistas à ampliação da agilidade, à redução de custos, ao aumento da resiliência e ao fortalecimento da segurança da informação.

    Seção X

    Das considerações sobre capacitação

     

             Art. 18.  O CNPq deverá promover a capacitação periódicas das equipes responsáveis pelo gerenciamento, operação e utilização dos recursos de software e serviços de computação em nuvem, identificando e desenvolvendo as competências e habilidades necessárias ao desempenho das atividades.

    Seção XI

    Das considerações sobre portabilidade e interoperabilidade entre sistemas

     

             Art. 19.  O CNPq deve considerar a viabilidade de adoção de medidas de modo a evitar a dependência tecnológica ou aprisionamento ao provedor.

    Seção XII

    Dos requisitos regulatórios e de conformidade

     

             Art. 20.  O CNPq deverá considerar os requisitos regulatórios e de conformidade aplicáveis ao uso seguro de softwares e serviços de computação em nuvem no âmbito da Administração Pública Federal.

    Parágrafo único.  Devem ser incluídos, nos instrumentos contratuais com os provedores de nuvem, cláusulas e mecanismos que garantam, ao menos, o sigilo dos dados no armazenamento e em trânsito, a não transferência dos dados a terceiros, a remoção incondicional dos dados após o término do contrato e a não utilização dos dados, para quaisquer fins, pelo provedor ou por terceiros.

    Seção XIII

    Da indicação da estratégia de saída

     

             Art. 21.  O CNPq deverá realizar análise de dependências e aspectos de portabilidade, considerando medidas de backup, redundância, contratos de apoio e eventual retorno dos serviços à infraestrutura local, de forma a garantir continuidade operacional e mitigação de riscos.

     

    Seção XIV

    Da análise de riscos

     

             Art. 22.  O CNPq deverá observar as diretrizes de gerenciamento de riscos previstas no modelo de contratação de softwares e serviços de computação em nuvem estabelecido na Portaria SGD/MGI nº 5.950, de 2023, na Instrução Normativa GSI/PR nº 5, de 2021, e em demais documentos equivalentes que venham a substituí-las ou complementa-las.

     

    CAPÍTULO V

    DAS DISPOSIÇÕES FINAIS

     

             Art. 23.  Esta estratégia de uso de software e de serviços de computação em nuvem deverá ser divulgada amplamente no âmbito do CNPq.

    Parágrafo único.  A Estratégia de uso de software e de serviços de computação em nuvem, bem como todas as normas dela decorrentes, deverão ser revisadas e atualizadas sempre que se fizer necessário.

             Art. 24.  As novas contratações de software e serviços de computação em nuvem devem observar as diretrizes apresentadas neste documento, bem como o modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e das entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal. 

             Art. 25.  Os casos omissos não abordados neste documento serão analisados pelo Comitê de Segurança da Informação ou pelo Comitê de Governança Digital, dependendo do caso específico.

             Art. 26.  Esta Resolução entra em vigor na data de sua publicação.

     

    (Assinada eletronicamente)
    Débora Peres Menezes
    Coordenadora do COMITÊ DE GOVERNANÇA DIGITAL - CGD
    Portaria CNPq Nº 1.115, de 18 de novembro de 2022

     
    Ler na íntegra