AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
Portaria Anatel nº 3105, de 26 de dezembro de 2025
O SUPERINTENDENTE DE GESTÃO INTERNA DA INFORMAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe confere o art. 161, do Regimento Interno da Agência, aprovado pela resolução nº 612, de 29 de abril de 2013;
CONSIDERANDO a Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada pela Lei nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI);
CONSIDERANDO o Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da Administração Pública Federal;
CONSIDERANDO o Decreto nº 10.222, de 5 de fevereiro de 2020, que institui a Estratégia Nacional de Segurança Cibernética (E-Ciber);
CONSIDERANDO as Instruções Normativas GSI/PR nº 1/2020 e nº 3/2021, que tratam da Estrutura de Gestão e da Gestão de Segurança da Informação;
CONSIDERANDO o Programa de Privacidade e Segurança da Informação (PPSI) da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (SGD/MGI), especialmente os controles de Gestão de Contas, Controle de Acesso, Segurança de Infraestrutura e Segurança Aplicada à Privacidade;
CONSIDERANDO a Política de Segurança da Informação da Agência Nacional de Telecomunicações - POSIN, aprovada pela Resolução Interna Anatel nº 463, de 16 de julho de 2025, e a Política de Governança e Gestão de Dados da Agência Nacional de Telecomunicações - PGGD, aprovada pela Resolução Interna Anatel nº 464, de 16 de julho de 2025;
CONSIDERANDO a necessidade de padronizar, formalizar e fortalecer a governança dos acessos excepcionais a ativos de TIC sensíveis, garantindo rastreabilidade, segregação de funções, menor privilégio e responsabilização;
CONSIDERANDO o disposto no Informe nº 20/2025/GIDS/SGI (SEI nº 14788179);
CONSIDERANDO o constante dos autos do processo 53500.099704/2025-13;
RESOLVE
Art. 1º Estabelecer as diretrizes, condições, responsabilidades e limitações relacionadas ao acesso às plataformas e ferramentas de desenvolvimento de soluções de TIC, na forma do Anexo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação no Boletim de Serviço da Anatel.
ANEXO
DIRETRIZES E PROCEDIMENTOS PARA CONTROLE DE ACESSO A PLATAFORMAS E FERRAMENTAS DE DESENVOLVIMENTO DE SOLUÇÕES DE TIC
CAPÍTULO I
DO OBJETO
Art. 1º Esta norma interna tem por objeto consolidar, uniformizar e estabelecer as diretrizes, condições, responsabilidades e limitações relacionadas ao acesso às plataformas e ferramentas de desenvolvimento de soluções de TIC, com base nos Termos de Ciência e Responsabilidade (TCR) vigentes, referentes aos seguintes tipos de acesso:
I - Somente Leitura; e
II - Leitura e Escrita.
Art. 2º A presente portaria formaliza, para fins de governança e segurança da informação, todos os requisitos de uso, obrigações, vedações, responsabilidades, riscos, mecanismos de controle e regras aplicáveis para concessão e manutenção desses acessos.
CAPÍTULO II
DA ABRANGÊNCIA
Art. 3º As disposições deste Informe se aplicam:
I - Aos Product Owners (PO) das soluções de TIC;
II - Às chefias das áreas gestoras; e
III - Aos demais servidores, fora da Superintendência de Gestão Interna da Informação (SGI), que necessitem de acesso a plataformas e ferramentas de desenvolvimento de soluções de TIC.
CAPÍTULO III
DOS RISCOS E CONSEQUÊNCIAS OPERACIONAIS
Art. 4º As intervenções indevidas a partir das plataformas e ferramentas de desenvolvimento de soluções de TIC podem:
I - Comprometer garantias de contratos terceirizados de prestação de serviços especializados;
II - Causar atrasos em entregas;
III - Prejudicar SLAs de contratos terceirizados de prestação de serviços;
IV - Impactar rastreabilidade e integridade;
V - Afetar funcionamento das soluções; e
VI - Gerar incidentes de segurança.
Parágrafo único. Em virtude das hipóteses previstas no presente artigo, o acesso será sempre excepcional, monitorado e restrito.
CAPÍTULO IV
DOS TIPOS DE ACESSO
Art. 5º Com base nos Termos de Ciência e Responsabilidade, disponibilizados nos anexos desta portaria, o acesso poderá ser:
I - Acesso Somente Leitura:
a) Concede ao usuário acesso exclusivo para:
1 - verificação de funcionalidades;
2 - análise de fluxos e comportamentos;
3 - compreensão de regras negociais; e
4 - observação de componentes e lógicas implementadas.
b) Veda expressamente qualquer alteração, escrita, exclusão, engenharia reversa, testes destrutivos, commits, merges, deploys ou modificações em artefatos.
II - Acesso Leitura e Escrita;
a) Concede acesso excepcional, temporário e condicionado a justificativa funcional e técnica, permitindo:
1 - ajustes pontuais;
2 - correções específicas; e
3 - pequenas adequações funcionais.
Art. 6º Em ambos os casos (somente leitura ou leitura e escrita), será obrigatório:
I - Aprovação prévia da Área Gestora e, se aplicável, da SGI;
II - Aprovação do Product Owner (PO) da solução de TIC, quando aplicável;
III - Atuação restrita ao escopo funcional do servidor autorizado; e
IV - Habilitação técnica na ferramenta utilizada.
Art. 7º Tanto os acessos do tipo somente leitura quanto do tipo leitura e escrita serão:
I - Excepcionais;
II - Individuais e intransferíveis;
III - Não automáticos;
IV - Temporários;
V - Condicionados ao papel do autorizado; e
VI - Sujeitos a auditoria e monitoramento contínuo.
CAPÍTULO V
DAS RESTRIÇÕES E VEDAÇÕES
Art. 8º Independentemente do tipo de acesso concedido, é expressamente proibido:
I - Realizar alterações que extrapolem o escopo funcional do autorizado;
II - Modificar arquitetura, integrações, segurança ou infraestrutura;
III - Realizar desenvolvimentos completos, implementações, módulos ou componentes destinados às equipes terceirizadas;
IV - Acessar perfis administrativos para os quais não seja autorizado;
V - Utilizar o acesso para fins externos, pessoais ou não institucionais;
VI - Copiar, divulgar ou expor informações confidenciais; e
VII - Realizar qualquer ação que comprometa rastreabilidade, integridade ou versionamento da solução.
CAPÍTULO VI
DAS RESPONSABILIDADES
Art. 11. O autorizado deverá:
I - Utilizar o acesso integralmente dentro de suas atribuições;
II - Manter sigilo sobre códigos, integrações, credenciais e dados;
III - Submeter sugestões técnicas ao aval da equipe técnica da Anatel;
IV - Observar integralmente o PPSI, normas de desenvolvimento seguro e demais normativos internos;
V - Comprovar habilitação nas tecnologias utilizadas antes do uso do acesso;
VI - Agir conforme orientações da SGI;
VII - Não compartilhar acessos concedidos; e
VIII - Responder por qualquer ação indevida realizada com seu acesso individual.
Art. 12. São responsabilidades do superior hierárquico do servidor que solicitar acesso:
I - Validar previamente qualquer pedido de acesso;
II - Avaliar e justificar a necessidade de acesso do PO ou outros servidores;
III - Informar à SGI mudanças no vínculo ou necessidade de revogação;
IV - Garantir a observância dos contratos e SLAs quando houver intervenção do PO; e
V - Autorizar atividades de escrita somente quando indispensáveis.
CAPÍTULO VII
DO MONITORAMENTO, CONTROLE E AUDITORIA
Art. 13. Todo acesso concedido:
I - Será monitorado;
II - Terá logs armazenados;
III - Poderá ser auditado pela SGI e pela Segurança da Informação;
IV - Poderá ser suspenso imediatamente em caso de risco, mau uso ou violação.
CAPÍTULO VIII
DAS SANÇÕES
Art. 14. Identificado o uso indevido do acesso concedido, estará o autorizado sujeito às seguintes sanções:
I - Suspensão imediata do acesso;
II - Responsabilização administrativa;
III - Comunicação à chefia imediata;
IV - Registro junto à área de segurança; e
V - Instauração de procedimentos disciplinares.
CAPÍTULO IX
DA VIGÊNCIA E REVOGAÇÃO DO ACESSO
Art. 15. O acesso concedido:
I - Vigorará a partir da assinatura do Termo de Ciência e Responsabilidade (TCR);
II - Permanecerá enquanto perdurar a necessidade;
III - Será revogado automaticamente ao cessar a necessidade; e
IV - Poderá ser revogado a qualquer tempo, com ou sem justificativa, por risco ou decisão da SGI.
ANEXOS ÀS DIRETRIZES E PROCEDIMENTOS PARA CONTROLE DE ACESSO A PLATAFORMAS E FERRAMENTAS DE DESENVOLVIMENTO DE SOLUÇÕES DE TIC
Anexo I - Modelo de Termo de Ciência e Responsabilidade (TCR) para acesso somente leitura a plataformas e ferramentas de desenvolvimento de soluções de TIC.
| Termo de Ciência e Responsabilidade – <nº do Termo> |
| Autorizado: < identificação do Servidor solicitante > |
| Autorizador 1: < Responsável pela área gestora da solução de TIC > |
| Autorizador 2: < Product Owner da solução de TIC, quando não for este o solicitante > |
| Concedente: Gerência de Planejamento, Desenvolvimento e Segurança de Sistemas (GIDS) |
| Objeto (Descrição detalhada do acesso a ser concedido): |
| O presente Termo registra a ciência e responsabilidade do AUTORIZADO quanto ao acesso excepcional, em MODO SOMENTE LEITURA, à plataforma/ferramenta de desenvolvimento da solução de TIC da Anatel, denominada <NOME DA SOLUÇÃO DE TIC>, em caráter restrito, controlado e temporário. |
| Identificação dos documentos que estabelecem as Diretrizes, Restrições e Condições do Acesso a ser concedido. |
| Todas as diretrizes, restrições e condições de acesso, aplicáveis ao AUTORIZADO e à Área negocial responsável pela solução de TIC estão definidas nas portarias: <Portaria de diretrizes e procedimentos gerais> e <Portaria de diretrizes e procedimentos específicos>. |
| Data de validade: < data limite de validade do acesso > |
Anexo II - Modelo de Termo de Ciência e Responsabilidade (TCR) para acesso leitura e escrita a plataformas e ferramentas de desenvolvimento de soluções de TIC.
| Termo de Ciência e Responsabilidade – <nº do Termo> |
| Autorizado: < identificação do Servidor solicitante > |
| Autorizador 1: < Responsável pela área gestora da solução de TIC > |
| Autorizador 2: < Product Owner da solução de TIC, quando não for este o solicitante > |
| Concedente: Gerência de Planejamento, Desenvolvimento e Segurança de Sistemas (GIDS) |
| Objeto (Descrição detalhada do acesso a ser concedido): |
| O presente Termo registra a ciência e responsabilidade do AUTORIZADO quanto ao acesso excepcional, em MODO LEITURA e ESCRITA, à plataforma/ferramenta de desenvolvimento da solução de TIC da Anatel, denominada <NOME DA SOLUÇÃO DE TIC>, em caráter restrito, controlado e temporário. |
| Identificação dos documentos que estabelecem as Diretrizes, Restrições e Condições do Acesso a ser concedido. |
| Todas as diretrizes, restrições e condições de acesso, aplicáveis ao AUTORIZADO e a Área negocial responsável pela solução de TIC estão definidas nas portarias: <Portaria de diretrizes e procedimentos gerais> e <Portaria de diretrizes e procedimentos específicos>. |
| Data de validade: < data limite de validade do acesso > |
 | Documento assinado eletronicamente por Gustavo Nery e Silva, Superintendente de Gestão Interna da Informação, em 26/12/2025, às 15:00, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
 | A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 14971900 e o código CRC F65C651B. |
| Referência: Processo nº 53500.099704/2025-13 | SEI nº 14971900 |