AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
Portaria Anatel nº 3104, de 26 de dezembro de 2025
O SUPERINTENDENTE DE GESTÃO INTERNA DA INFORMAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe confere o art. 161, do Regimento Interno da Agência, aprovado pela resolução nº 612, de 29 de abril de 2013;
CONSIDERANDO a Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada pela Lei nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI);
CONSIDERANDO o Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da Administração Pública Federal;
CONSIDERANDO o Decreto nº 10.222, de 5 de fevereiro de 2020, que institui a Estratégia Nacional de Segurança Cibernética (E-Ciber);
CONSIDERANDO as Instruções Normativas GSI/PR nº 1/2020 e nº 3/2021, que tratam da Estrutura de Gestão e da Gestão de Segurança da Informação;
CONSIDERANDO o Programa de Privacidade e Segurança da Informação (PPSI) da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (SGD/MGI), especialmente os controles de Gestão de Contas, Controle de Acesso, Segurança de Infraestrutura e Segurança Aplicada à Privacidade;
CONSIDERANDO a Política de Segurança da Informação da Agência Nacional de Telecomunicações - POSIN, aprovada pela Resolução Interna Anatel nº 463, de 16 de julho de 2025, e a Política de Governança e Gestão de Dados da Agência Nacional de Telecomunicações - PGGD, aprovada pela Resolução Interna Anatel nº 464, de 16 de julho de 2025;
CONSIDERANDO a necessidade de padronizar, formalizar e fortalecer a governança dos acessos excepcionais a ativos de TIC sensíveis, garantindo rastreabilidade, segregação de funções, menor privilégio e responsabilização;
CONSIDERANDO o disposto no Informe nº 20/2025/GIDS/SGI (SEI nº 14788179), no que se refere às diretrizes gerais para controle de acessos no âmbito da Anatel;
CONSIDERANDO o constante dos autos do processo 53500.099704/2025-13;
RESOLVE
Art. 1º Estabelecer as diretrizes e procedimento gerais para acesso excepcional a plataformas de desenvolvimento, ferramentas, repositórios e banco de dados de soluções de TIC, na forma do Anexo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação no Boletim de Serviço da Anatel.
ANEXO
DIRETRIZES E PROCEDIMENTOS PARA CONTROLE DE ACESSOS A SOLUÇÕES, FERRAMENTAS, REPOSITÓRIOS E BANCO DE DADOS NO ÂMBITO DA ANATEL
CAPÍTULO I
DO OBJETO
Art. 1º A presente norma interna tem por objetivo estabelecer diretrizes, critérios e procedimentos para concessão, manutenção, supervisão e revogação de acessos a soluções, plataformas, ferramentas, repositórios e banco de dados utilizados no desenvolvimento, sustentação e operação das Soluções de TIC da Anatel, em consonância com as determinações da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (SGD/MGI) e com o Programa de Privacidade e Segurança da Informação (PPSI).
CAPÍTULO II
DAS DIRETRIZES GERAIS PARA CONTROLE DE ACESSO
Art. 2º São diretrizes gerais para controle de acesso na Anatel:
I - Necessidade e fundamentação;
II - Menor privilégio possível;
III - Temporalidade (acessos sempre precários e limitados no tempo);
IV - Segregação de funções;
V - Supervisão e responsabilidade explícita;
VI - Registro e rastreabilidade;
VII - Revisões periódicas; e
VIII - Revogação imediata quando cessada a necessidade.
CAPÍTULO III
DOS TIPOS DE ACESSO
Art. 3º Os tipos de acesso variam conforme:
I - Ambiente computacional
a) Ambiente de desenvolvimento;
b) Ambiente de homologação/validação;
c) Ambiente de produção; e
d) Ambientes segregados de segurança.
II - Tipo de permissão
a) Acesso somente leitura;
b) Acesso leitura e escrita;
c) Acesso administrativo/privilegiado; e
d) Acesso emergencial.
III - Finalidade
a) Desenvolvimento de soluções;
b) Sustentação;
c) Auditoria e conformidade;
d) Apoio operacional;
e) Investigações de lógica e regras negociais de soluções de TIC; e
f) Investigações e análise de incidentes.
IV - Tipos de ativos
a) Soluções de TIC sob gestão da SGI/Anatel;
b) Plataformas/ferramentas de desenvolvimento;
c) Repositórios Git (departamentais ou legados); e
d) Bases de dados.
CAPÍTULO IV
DAS ATRIBUIÇÕES
Art. 4º São atribuições dos atores abrangidos por esta portaria:
I - GIDS/SGI
a) Responsável técnico pela administração dos acessos a ferramentas, plataformas, repositórios e banco de dados de desenvolvimento;
b) Responsável por validar tecnicamente a necessidade do acesso;
c) Garantir que o acesso seja concedido no nível mínimo necessário; e
d) Registrar e auditar acessos.
II - Product Owner (PO)
a) Responsável funcional pela aprovação de acessos às soluções de TIC, em qualquer ambiente;
b) Devem justificar formalmente a necessidade do acesso, quando relacionados a ferramentas, plataformas, repositórios e banco de dados; e
c) Devem acompanhar e revisar periodicamente os acessos concedidos.
III - Servidores de outras áreas (que não seja da GIDS)
a) Devem solicitar acessos via fluxo formal; e
b) Devem assinar Termos de Ciência e Responsabilidade quando o tipo de acesso assim exigir.
IV - Terceirizados
a) Acessos sempre temporários, condicionados ao contrato de prestação de serviço vigente;
b) Sempre mediante assinatura de Termo de Sigilo estabelecido no contrato;
c) Limitados rigorosamente ao escopo contratado; e
d) Revogação obrigatória ao término do Contrato Administrativo.
CAPÍTULO V
DOS TERMOS DE CIÊNCIA E RESPONSABILIDADE
Art. 5º Conforme estabelece o Modelo de Política de Controle de Acesso da SGD/MGI (Modelo de Política de Controle de Acesso do PPSI), todo acesso que possa gerar risco relevante à instituição deverá exigir assinatura prévia de Termo de Ciência e Responsabilidade (TCR), contendo:
I - Tipo e natureza do acesso;
II - Riscos potenciais;
III - Regras de conduta e sigilo;
IV - Restrições de uso;
V - Penalidades administrativas em caso de violação;
VI - Prazo de validade do acesso; e
VII - Registro do superior hierárquico responsável.
Art. 6º A SGI definirá inicialmente modelos específicos de TCR, adequados aos seguintes tipos de acesso:
I - Plataformas e ferramentas de desenvolvimento de soluções de TIC em ambiente de desenvolvimento;
II - Ferramenta WSO2;
III - Repositório GIT para soluções de TIC (legadas e departamentais); e
IV - Banco de dados em ambiente de desenvolvimento.
Art. 7º Nenhum dos acessos citados no artigo anterior será concedido sem:
I - Justificativa formal;
II - Aceite da SGI; e
III - Termo de Ciência e Responsabilidade (TCR) assinado.
CAPÍTULO VI
DOS PROCEDIMENTOS DE SOLICITAÇÃO E CONCESSÃO DE ACESSO
Art. 8º O procedimento para concessão de acesso deverá seguir as seguintes etapas:
I - Solicitação formal:
a) Aberta pelo interessado ou pelo Product Owner (PO); e
b) Deve conter justificativa completa, incluindo finalidade e prazo.
II - Validação funcional:
a) PO analisa e aprova ou rejeita; e
b) Deve verificar se o acesso é de fato necessário.
III - Validação técnica:
a) GIDS/SGI avalia riscos e adequação técnica;
b) Define escopo e nível do acesso; e
c) Aponta obrigatoriedade de TCR.
IV - Assinatura de Termo de Ciência e Responsabilidade - TCR (quando aplicável):
a) Interessado e seu superior hierárquico devem assinar; e
b) SGI deve arquivar em repositório seguro.
V - Concessão controlada:
a) Concedida por administradores da GIDS/SGI; e
b) Sempre com data de expiração definida.
VI - Registro e auditoria:
a) Todos os acessos devem ser logados; e
b) Acessos críticos devem ter logs reforçados e revisão periódica.
CAPÍTULO VII
DA REVISÃO E REVOGAÇÃO DE ACESSO
Art. 9º As revisões da concessão de acessos deverão obedecer às seguintes condições:
I - Revisão periódica:
a) No mínimo semestral;
b) Realizada pelo PO e pela SGI;
c) Deve incluir confirmação da continuidade da necessidade de acesso.
II - Revogação imediata
a) Será obrigatória se:
1. O prazo expirar;
2. A necessidade cessar;
3. O servidor ou terceirizado se desligar;
4. Houver mudança de função;
5. Houver suspeita de comprometimento ou mau uso.
Art. 10. A GIDS/SGI manterá indicadores de acompanhamento e criticidade, alinhados às diretrizes do Framework de Privacidade e Segurança da Informação (Anexo II), indicados nas medidas 5, 6, 12 e 31.
CAPÍTULO VIII
DAS DISPOSIÇÕES ESPECÍFICAS
Art. 11. São condições especiais de acesso:
I - Acessos a Plataformas e Ferramentas de desenvolvimento de soluções de TIC:
a) Proibido acesso direto sem justificativa técnica; e
b) Necessário assinatura de TCR específico.
II - Acessos à Ferramenta WSO2:
a) Proibido acesso direto sem justificativa técnica; e
b) Necessário assinatura de TCR específico.
III - Acessos a repositórios Git:
a) Repositórios de soluções departamentais: controles moderados;
b) Repositórios legados ou críticos: controles mais rígidos, TCR obrigatório e monitoramento intensivo;
c) Proibido acesso direto sem justificativa técnica; e
d) Necessário assinatura de TCR específico.
IV - Acessos a bases de dados:
a) Proibido acesso direto sem justificativa técnica;
b) Preferência por visualização via mecanismos intermediários; e
c) Bases sensíveis requerem autorização da SGI e TCR.
V - Acessos administrativos
a) Limitados a perfis específicos da SGI; e
b) Devem ser rastreados e monitorados continuamente.
VI - Acessos emergenciais
a) Devem seguir fluxo próprio;
b) Necessitam de TCR emergencial (condições a serem definidas pela GIDS/SGI); e
c) Devem ser revogados imediatamente após a intervenção.
CAPÍTULO IX
DA COMPETÊNCIA DA GIDS/SGI
Art. 12. A Superintendência de Gestão Interna da Informação (SGI), por meio da Gerência de Desenvolvimento de Sistemas (GIDS), será responsável por:
I - Definir, revisar e manter atualizados os Termos de Ciência e Responsabilidade (TCR) aplicáveis aos diferentes tipos de acesso contemplados neste Informe e a quaisquer novos tipos de acesso que venham a surgir no futuro, incluindo acessos decorrentes de evolução tecnológica, novos ambientes, novas plataformas ou mudanças contratuais;
II - Elaborar e publicar os documentos com os regramentos específicos de cada tipo de acesso, detalhando requisitos técnicos, critérios de elegibilidade, níveis de privilégio, exigências de autenticação, controles adicionais, riscos associados e obrigações dos usuários;
III - Manter repositório institucional padronizado contendo todos os TCR vigentes e seus regramentos específicos, garantindo organização, versionamento e auditabilidade;
IV - Validar tecnicamente a necessidade dos acessos solicitados, observando o menor privilégio possível, a adequação ao contexto e o impacto no ambiente tecnológico;
V - Administrar, registrar e monitorar acessos concedidos, garantindo rastreabilidade, integridade dos registros, preservação dos logs e conformidade com o PPSI;
VI - Definir, implementar e atualizar continuamente mecanismos de segurança relacionados ao gerenciamento de contas, credenciais e perfis de acesso;
VII - Coordenar com o Encarregado de Dados e com a área de Segurança da Informação eventuais avaliações de risco, relatórios de incidente e recomendações decorrentes de acessos sensíveis;
VIII - Promover revisões periódicas dos acessos existentes, em conjunto com os Product Owners e áreas demandantes; e
IX - Revogar acessos quando expirados, indevidos, em desconformidade ou com potencial risco à segurança.
 | Documento assinado eletronicamente por Gustavo Nery e Silva, Superintendente de Gestão Interna da Informação, em 26/12/2025, às 15:00, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
 | A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 14971884 e o código CRC D204C20D. |
| Referência: Processo nº 53500.099704/2025-13 | SEI nº 14971884 |