Nova política de segurança digital da Previdência limita acesso a dados por função de servidor Além disso, novas regras preveem revogação imediata de acessos indevidos e autenticação de dois fatores Brasília|Rafaela Soares, do R7, em Brasília 21/05/2025 - 07h32 (Atualizado em 21/05/2025 - 07h35 )

Nova política prevê a remoção de acessos não compatíveis com função exercida pelo servidor Marcelo Camargo/Agência Brasil/Arquivo

A nova política digital do Ministério da Previdência, publicada no Diário Oficial da União desta quarta-feira (21), prevê a limitação de acesso a dados conforme a função do servidor ou comissionado dentro do órgão.

Além disso, os novos parâmetros estabelecem a revogação de acessos a informações que não sejam pertinentes ao setor de atuação do funcionário, e a criação do Comitê de Governança Digital e Segurança da Informação.

A publicação ocorre após operação da Polícia Federal encontrar indícios de que servidores do INSS (Instituto Nacional do Seguro Social), vinculado ao ministério, acessaram indevidamente informações.

O R7 questionou a pasta se as novas regras também serão aplicadas ao instituto e aguarda resposta.

Política

Entre os principais objetivos da medida estão a proteção dos dados que circulam no ministério e a definição de diretrizes para uma gestão mais eficiente no combate a crimes cibernéticos.

O controle da informação — ou seja, como ela será acessada e protegida — será baseado em cinco pilares:

Privilégio mínimo : garantir que usuários, sistemas e dispositivos automatizados possuam apenas as permissões necessárias para o desempenho de suas funções;

: garantir que usuários, sistemas e dispositivos automatizados possuam apenas as permissões necessárias para o desempenho de suas funções; Necessidade de saber : restringir o acesso às informações apenas àqueles cuja função exige o conhecimento específico;



: restringir o acesso às informações apenas àqueles cuja função exige o conhecimento específico; Autenticação multifator : adoção de múltiplos métodos de verificação para acesso a ambientes tecnológicos e sistemas críticos;



: adoção de múltiplos métodos de verificação para acesso a ambientes tecnológicos e sistemas críticos; Revisão periódica dos acessos : realização de auditorias regulares das permissões concedidas, para garantir sua adequação;



: realização de auditorias regulares das permissões concedidas, para garantir sua adequação; Revogação imediata de acessos: remoção de permissões de usuários que não necessitam mais delas, como nos casos de desligamento ou mudança de função.



Dados pessoais

No que diz respeito à coleta de dados pessoais, as novas diretrizes preveem:

Coleta apenas dos dados estritamente necessários para o desempenho das atividades do ministério;

Obtenção de consentimento dos titulares dos dados, quando aplicável;

Compromisso de uso dos dados exclusivamente para os fins aos quais se destinam;

Implementação de medidas técnicas e administrativas para proteção contra acessos não autorizados e incidentes;

Garantia de que os titulares possam exercer seus direitos, conforme previsto na Lei Geral de Proteção de Dados.

Equipe especializada

Outra portaria institui a ETIR (Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos), responsável por coordenar ações em caso de crimes cibernéticos ou vazamentos de dados.

A equipe terá autonomia para orientar os públicos envolvidos e tomar as medidas necessárias para reforçar a resposta e a postura da organização diante de incidentes, sem depender de autorização de níveis superiores de gestão.

No entanto, qualquer ocorrência deverá ser comunicada aos gestores da pasta. Em situações justificadas, a ETIR poderá executar medidas de recuperação de forma imediata, mesmo sem aprovação prévia.

