Please enable JavaScript.
Coggle requires JavaScript to display documents.
Auditoria em TI, Alinhamento: I.planejamento estratégico da entidade/órgão…
Auditoria em TI
Disposições preliminares :red_flag:
abrangência:
tratamento de dados pessoais físicos e digitais, PF e PJ, públicos ou privados, nos 3 entes federados + DF
fundamentos
livre iniciativa,
concorrência, desenvolvimento econômico, tecnológico, de inovação e defesa do consumidor
privacidade
, inviolabilidade, direitos humanos, liberdade de expressão,
autodeterminação informativa
, liberdade de expressão, informação, comunicação e opinião , imagem, intimidade e honra.
definição
: operação de tratamento de dados, independente do meio ou país onde estejam os dados
condicionantes
tratamento tenha por objetivo fornecimento de bens ou serviços a indivíduos localizados em território nacional :check:
dados pessoais objeto de tratamento coletados em território nacional :check:
operação de tratamento seja realizada em território nacional :check:
não se aplica a fins :forbidden:
exclusivamente jornalísticos e artísticos :forbidden:
acadêmicos, com ressalvas :forbidden:
exclusivamente particulares e não econômicos :forbidden:
provenientes de fora do território nacional e que não sejam objeto de comunicação com agentes de tratamento brasileiros :forbidden:
léxico
Controlador
: PF ou PJ, público ou privado, a quem compete decisões referentes ao tratamento de dados.
Operador
: PF ou PJ, público ou privado, que realiza o tratamento.
dado anonimizado
: PF que não possa ser identificado na ocasião do tratamento.
Encarregado:
pessoa indicada pelo controlador e operador para mediar comunicação entre controlador, titular e ANPD
BD:
conjunto
estruturado
de dados pessoais em um ou vários locais, sob suporte físico e/ou digital.
Relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição dos processos de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais
dado pessoal
: PF identificado/identificável
Órgão de pesquisa:
ADMP ou PJ privado
sem fins lucrativos
constituído sobre leis brasileiras com sede e foro no país que inclua em sua
missão institucional seu objetivo social à pesquisa básica aplicada de caráter histórico, científico, tecnológico ou estatístico.
tratamento:
toda operação realizada com dados pessoais para modificação e controle de informação
Do tratamento de dados pessoais :red_flag:
princípios
boa-fé
:check:
qualidade dos dados
: exatidão, clareza e atualização ao titular :check:
livre acesso:
consulta gratuita, integral e facilitada aos titulares :check:
transparência:
garantia aos titulares de informações claras e precisas :check:
necessidade
: limitação ao tratamento do mínimo necessário ao cumprimento da finalidade :check:
segurança
: medidas de proteção à acesso não autorizado e situações acidentais. :check:
adequação
: compatibilidade com as finalidade informadas ao titular :check:
prevenção
:check:
finalidade:
propósitos legítimos, informados ao titular e anteriores :check:
não discriminação
: imposibilidade de realização para fins discriminatórios ilícitos ou abusivos :check:
responsabilização e prestação de contas
: demonstração do agente da adoção de medidas eficazes para cumprimento de normas e proteção de dados pessoais :check:
hipóteses :warning:
para estudos por
órgãos de pesquisa
:check:
para exercício regular do Direito em
processo judicial
:check:
pela ADMP para execução de PP previstas em leis ou contratos :check:
proteção da vida ou incolumidade do titular,
tutela da saúde
por profissionais da saúde :check:
cumprimento de obrigação regulatória pelo controlador :check:
fornecimento de
consentimento pelo titular
:check:
proteção do crédito
:check:
características
dispensada exigência de consentimento para dados tornados manifestamente públicos pelo titular :warning:
controlador que precise compartilhar dados pessoais com outros controladores deverá obter
consentimento específico do titular.
Vedado vício de consentimento e autorizações genéricas são nulas. :forbidden:
Consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular. :check:
princípio do livre acesso ao titular
finalidade específica :check:
forma e duração :check:
identificação do controlador e contato :check:
informações sobre uso compartilhado pelo controlador :check:
responsabilidades do agentes do tratamento :check:
direitos do titular, especialmente art.18 :check:
legítimo interesse do controlador
somente tratamento dos
dados pessoais estritamente necessários para a finalidade
controlador deverá garantir a transparência do tratamento de dados baseado em seu legítimo interesse
autoridade nacional poderá solicitar ao controlador
relatório de impacto à proteção de dados pessoais
dados sensíveis para obtenção de vantagem econômica na área de saúde
regra
: poderá ser vedada por parte da autoridade nacional :forbidden:
ressalvas
Hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. :check:
portabilidade solicitada pelo titular :check:
transações financeiras e administrativas resultantes do uso e prestação de serviços. :check:
dados
anonimizados:
Não são considerados pessoais, exceto se facilmente revertidos.
pseudoanonimizados
: Tratamento por meio do qual um dado
perde a possibilidade de associação
, senão pelo uso de informação adicional matida em separado pelo controlador.
pessoais
: Inclui aqueles para a formação de perfil comportamental de determinada pessoa natural (identificável).
dados pessoais de ECA
com consentimento
: consentimento específico por pelo menos um dos pais ou representante legal.
sem consentimento:
necessária para contatar os pais/responsável legal ou proteção.
término do tratamento
finalidade alcançada ou fim do período de tratamento
revogação do consentimento pelo titular
determinação da autoridade nacional diante de violação
Dos direitos do titular :red_flag:
princípios
intimidade :check:
privacidade :check:
liberdade :check:
direitos de obtenção :warning:
anonimalização, bloqueio ou eliminação de dados :check:
portabilidade dos dados a outro fornecedor de serviços ou produtos :check:
acesso e correção aos dados :check:
informação das entidades públicas e privadas que a informação pessoal foi compartilhada. :check:
confirmação da existência e tratamento :check:
possibilidade de não fornecer ou revogar consentimento :check:
Do tratamento de dados pessoais pelo PP:red_flag:
base
Lei 9.507/1997 (Habeas Data)
Lei 9.784/1999 (Lei Geral do processo Administrativo)
Lei 12.527/2011 (Lei de acesso à informação)
definição:
tratamento de dados para atendimento da finalidade pública: executar as competências legais e cumprir as atribuições do serviço público
condições
sejam informadas as hipóteses de previsão legal, assim como finalidade, procedimentos e práticas :check:
seja indicado um encarregado :check:
previsão de transferência para entidades privadas
dados acessíveis publicamente
sobre previsão legal ou mediante contrato ou convênios
execução descentralizada de atividade pública que exija transferência para fim específico
exclusivamente para prevenção de fraudes e irregularidades ou resguardar a segurança e integridade do titular
Dos agentes de tratamento de dados pessoais :red_flag:
controlador e operador
devem manter registro das operações de tratamento de dados pessoais, especialmente os de legítimo interesse
autoridade nacional poderá determinar ao controlador relatórios de impacto à proteção de dados pessoais, bem como dispor sobre padrões de interoperabilidade
encarregado
definição
: indicado pelo controlador e sua identidade e informações devem ser publicizadas.
atribuições
receber comunicações da autoridade nacional :check:
orientar funcionários da entidade a respeito de práticas de proteção de dados pessoais :check:
aceitar reclamações dos titulares :check:
responsabilidades :warning:
operador responde solidariamente quando descumprir legislação sobre proteção ou quando não tiver seguido
controladores respondem solidariamente quando estiverem diretamente envolvidos
juiz poderá inverter ônus da prova favoravelmente ao titular diante de hipossuficiência ou produção de prova excessivamente onerosa
reparação de danos coletivos podem ser exercidas coletivamente em juízo
reparador do dano ao titular tem direito de regresso
Da segurança e boas práticas :red_flag:
definição
: agentes de tratamento que intervenham em qualquer etapa do tratamento estão responsabilizados pela garantia da segurança da informação,
mesmo após seu término.
diante incidente
medidas técnicas de segurança adotadas :check:
riscos correlacionados ao incidente :check:
titulares envolvidos :check:
medidas adotadas para reverter ou mitigar prejuízos :check:
descrição da natureza dos dados afetados :check:
diante de incidente, determinar
medidas para reverter ou mitigar os efeitos do incidente :check:
ampla divulgação em meios de comunicação :check:
boas práticas
cararacterísticas
procedimentos de reclamações e petições aos titulares :check:
normas de segurança :check:
regime de funcionamento :check:
mecanismos internos de supervisão e mitigação de riscos :check:
condições da organização :check:
padrões técnicos e obrigações específicas para os envolvidos no tratamento :check:
implementação junto à ANPD
programa de governança em privacidade
demonstração de efetividade de seu programa de governança
Da fiscalização :red_flag:
medidas aplicáveis
publicização da infração :check:
bloqueio
(até regularização) ou eliminação dos dados pessoais referentes à infração :check:
multa diária :check:
suspensão
parcialou total do funcionamento do BD por até 6 meses
multa simples
de até 2% do faturamento total por infração e limitada a R$50M :check:
proibição
parcial ou total de atividades relacionadas ao tratamento de dados
advertência
com prazo para adoção de medidas corretivas :check:
PAD (avaliação)
vantagem auferida e condição econômica do infrator
reincidência
boa-fé
cooperação do infrator e pronta adoção de medidas corretivas
gravidade dos direitos pessoais afetados e grau do dano
adoção reiterada de minimização de danos e políticas de boas práticas
Da autoridade e conselho nacional de proteção de dados pessoais e privacidade :red_flag:
ANPD :red_flag:
definição
: integrante da Presidência da República, podendo ser transformada em regime autárquico especial vinculado à PR
composição
Corregedoria :check:
Ouvidoria :check:
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade :check:
órgão de assessoramento jurídico próprio :check:
Conselho Diretor :check:
unidades administrativas e especializadas :check:
características
sua estrutura regimental será disposta pelo PR. Até essa data, receberá apoio técnico e administrativo da Casa Civil
cargos em comissão e funções de confiança serão feitos por remanejamento da ADMP/PEF mediante indicação ao Conselho Diretor
competências :warning:
elaborar
diretrizes para a PNPD
:warning:
fiscalizar a aplicação de sanções
diante o descumprimento da legislação de tratamento de dados pessoais
zelar pela observância dos segredos comercial e industrial
, ressalvada proteção de dados pessoais e sigilo de informações protegidas por lei
apreciar petições
de titular contra controlador por reclamação não solucionada no prazo regulamentar
promover conhecimento à população
das normas e PP da área, bem como elaborar estudos sobre práticas nacionais e internacionais de proteção de dados pessoais e medidas de segurança
solicitar, a qualquer momento, às entidades do PP
que realizem operações de tratamento sobre informe específico
elaborar relatórios de gestão anual,
bem como arrecadar, aplicar e publicar suas receitas e despesas
editar regulamentos
, procedimentos e normas
realizar auditorias sobre tratamento de dados
e
celebrar
compromisso para eliminar irregularidades :check:
garantir tratamento de dados a idosos
de forma facilitada
origem das receitas
valores apurados na venda/aluguel de seus imóveis e na aplicação do mercado financeiro
acordos, convênios ou contratos com entidades
doações e subvenções
produto da venda de publicações, material técnico, dados e informações
dotações do orçamento geral da União, créditos (especiais e adicionais), transferências e repasses
Conselho Diretor
composto por 4 diretores + 1 diretor-presidente para mandato de 4 anos
escolhidos pelo PR e sabatinados pelo SF, ocupando cargo em comissão do Grupo-Direção e Assessoramento Superior (DAS) > nível 5
em caso de vacância, prazo remanescente suprido pelo sucessor
perda de cargo por: a) renúncia b) condenação judicial transitada em julgado c) demissão por PAD
dispõem sobre o regimento interno
CNPDPP
composição
3 instituições científica, tecnológicas e de inovação
3 categorias sindicais do setor produtivo
3 entidades da sociedade civil acerca do tema
2 entidades representativas do setor empresarial de dados e 2 do setor laboral
1 CGIB
2 indicados pelo PR
1 CNJ e 1 CNMP
1 SF e 1 CD
5 PEF
competências
elaborar relatórios anuais sobre avaliação
da execução da PNPDPP
elaborar estudos e realizar audiências
propor
diretrizes estratégicas e subsidiar PNPDPP/ANPD
disseminar conhecimento sobre proteção de dados pessoais
Da transferência internacional de dados :red_flag:
quando resultar de compromisso assumido em cooperação internacional
quando a transferência for necessária para a cooperação jurídica internacional entre órgãos de inteligência de acordo com direito internacional :warning:
para países ou organismos internacionais que proporcionem grau de proteção a dados pessoais
quando controlador comprovar garantias de direitos do titular, regime de proteção de dados e na forma da Lei
quando autoridade nacional autorizar a transferência :warning:
quando necessária para execução de PP
quando
titular der consentimento
com aviso prévio sobre o caráter internacional
correção :green_cross:
Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais,
com a estrita finalidade de realização de estudos e pesquisas
[e dentro do órgão/entidade],
desde que observada a ética e as normas de tratamento de dados pertinentes.
dado anonimizado [anonimização]: a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, prevista na Lei n° 13.709/2018,
[NÃO]
inclui dados que já tenham sido anonimizados pelo controlador.
O término do tratamento de dados pessoais ocorrerá, dentre outras hipóteses, quando se verificar que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada.
Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.
LGPD
foi criada em agosto de 2018, mas somente entrou em vigor em 2020.
foi inspirada em uma lei europeia, a GDPR.
regulamentará qualquer atividade que envolva utilização de dados pessoais, seja a atividade relacionada a meios digitais ou não.
rege que o consentimento de acesso aos dados por uma empresa pode ser revogado a qualquer momento mediante manifestação expressa do titular dos dados
aplica-se a qualquer operação de tratamento realizada [independente do meio, país ou sua sede] no Brasil.
Contratação de soluções em TIC
introdução :red_flag:
definição
: processo de contratação de soluções em TIC pelos órgãos e entidades integrantes do SISP/PEF.
órgãos
SISP:
Define a política estratégica de gestão de tecnologia da informação do Poder Executivo Federal (EGTIC).
PDTI:
Segundo SLTI/MPOG, planejamento estratégico em nível tático, ou seja, realizar a transição de uma situação atual para uma situação futura, a partir da definição de um plano de metas e ações.
atores
Área de TIC
: Unidade setorial do SISP responsável pelo planejamento e coordenação das soluções TIC do órgão ou entidade requisitante
Área administrativa
: Unidades setoriais do SISG com competência de planejar e coordenar as atividades de contratação.
Área requisitante
: Órgão ou entidade que demanda solução TIC.
equipes integrantes
equipe de planejamento
integrante administrativo :check:
integrante requisitante :check:
integrante técnico :check:
equipe de fiscalização
fiscais
administrativo
requisitante
técnico
preposto :check:
gestor do contrato :check:
disposições gerais :red_flag:
vedações :forbidden:
mais de uma solução TIC em único contrato :forbidden:
gestão de processos e segurança TIC :forbidden:
A contratada que provê solução TIC não poderá ser a mesma que a avalia/mensura. :forbidden:
estabelecer hierarquia e remuneração dos funcionários da contratada :forbidden:
reembolsar custos operacionais :forbidden:
prever em edital interferência pública sobre a gestão dos fornecedores :forbidden:
adotar métrica homem-hora para aferição de esforço :forbidden:
fazer referência, em edital ou contrato, a regras externas de fabricantes, fornecedores ou prestadores de serviços :forbidden:
em melhor tecnica e preço
incluir critérios indiretamente relacionados aos requisitos da solução TIC ou que frustem seu caráter competitivo :forbidden:
fixar ponderação adversa para os índices tecnica e preço sem justificativa :forbidden:
léxico
soluções em TIC:
conjunto de bens e/ou serviços que apoiam o
processo de negócio
e o
usufruto da informação
mediante recursos, processos e técnicas.
DOD
: documento de oficilização da demanda. Detalha a
necessidade
da área requisitante.
ETP:
estudo preliminar da contratação. Demonstra a
viabilidade
técnica e econômica da contratação.
risco :warning:
Análise:
compreensão da natureza e determinação do seu nível.
Avaliação
: comparar os resultados da análise de riscos para verificar se sua magnitude é aceitável.
Tratamento:
evitar, reduzir, mitigar, compartilhar, aceitar ou tolerar
Gerenciamento:
controlar potenciais eventos ou situações para fornecer razoável certeza quanto ao alcance dos objetivos da contratação. :star:
Nível:
magnitude de risco ou combinação de riscos. Impactos e suas probabilidades.
Mapa do gerenciamento:
registro e comunicação do gerenciamento de riscos durante toda a contratação. :warning:
Identificação
: busca reconhecimento e descrição de riscos. Envolve dados históricos, análises teóricas e parecer de especialistas.
lista de verificação:
documentos ou ferramentas contendo conjunto de elementos que devem ser acompanhados pelos fiscais do contrato.
ordem de serviço:
documento utilizado para solicitar à contratada a prestação do serviço ou fornecimento de bens
termo de recebimento
provisório:
declaração formal de que os serviços foram prestados ou bens entregues para posterior análise das conformidades e qualidades dos critérios de aceitação.
definitivo
: declaração formal de que o bem ou serviço prestado atende aos critérios de aceitação
prova de conceito:
amostra fornecida pelo licitante provisoramente em primeiro lugar para testes necessários à verificação das especificações técnicas do termo de referência.
PDTIC
: instrumento de diagnóstico, planejamento e gestão de recursos e processo TIC. Atender necessidades finalísticas de informação de órgão ou entidade.
Catálogo de soluções TIC
: relação de soluções de TIC ofertadas pelo mercado que possuem condições padronizadas definidas pelo SISP.
programação estratégica :red_flag:
alinhamento
previstas no Plano Anual de contratações :check:
alinhadas à Política de Governança Digital (decreto 8.638/2016) :check:
PDTIC do órgão/entidade :check:
integradas à Plataforma de Cidadania Digital :check:
Plano anual de contratações
: Setores requisitantes deverão encaminhar à área de TIC as contratações de soluções de TIC que pretendem realizar ou prorrogar no exercício subsequente
em até 15 dias da data prevista.
Processo de contratação :red_flag:
etapas
seleção do fornecedor :check:
gestão do contrato :check:
planejamento :check:
1. Planejamento de contratação
etapas :warning:
b) elaboração de
ETP
:warning:
c) elaboração do
termo de referência/projeto básico
:warning:
a) instituição da equipe
a) equipe de planejamento
atribuições
deve realizar todas as etapas de planejamento da contratação e apoiar a fase de seleção de fornecedores
deverá manter registro histórico de fatos relevantes ocorridos, documentos gerados
etapas
área requisitante produz DOD
alinhamento da contratação :warning:
motivação e resultados a serem alcançados
necessidade da contratação
indicação de fontes de recursos
:warning:
integrante requisitante para equipe
área TIC avalia
avalia
alinhamento da contratação :check:
indica integrante técnico
DOD para área administrativa
decide
motivadamente pela contratação :check:
indica integrante administrativo
b) estudo técnico preliminar
definição
: realizada pelo
integrante técnico
tarefas básicas
definição e especificação das necessidades de negócio :check:
análise comparativa de soluções em termos econômicos e quantitativos :check:
estimativa do custo total
da contratação
declaração de viabilidade
da contratação :check:
assinantes
autoridade máxima da área de TI
integrante técnico e requisitante
c) termo de referência e projeto básico :star:
conteúdo
definição do objeto :check:
código do catálogo :check:
descrição da solução TIC :check:
justificativa para a contratação :check:
especificação de requisitos :check:
definição das responsabilidades :check:
modelo e regime de execução do contrato :check:
estimativa de preços da contratação :check:
adequação orçamentária e cronograma físico-financeiro :check:
critérios técnicos para seleção de fornecedor :check:
índice de correção monetária :check:
avalia
permitir consórcio ou subcontratação :
necessidade de licitações e contratações separadas
parcelamento da solução TIC para viabilidade tecnica e econômica
em licitações por preço global, itens separados nas propostas
características
projeto básico poderá ser disponibilizado em consulta ou audiência pública :check:
Será assinado pela equipe de planejamento e autoridade máxima TI :check:
justificativa :check:
modelos
execução
estimativa prévia do volume de serviços demandados
fixação das rotinas: processos e procedimentos de fornecimento
definição de mecanismos formais de comunicação entre contratante e contratada :warning:
forma de pagamento de acordo com os resultados
modelos de documentos :warning:
gestão e fiscalização
fixação dos critérios de aceitação
procedimentos de testes e inspeções
fixação dos valores e procedimentos para retenção de pagamento
definição clara e detalhada das sanções administrativas :star:
estimativa de preços
elaboração do orçamento detalhado e de acordo com a IN SLTI/MP nº5/2014
só poderá ser derivada exclusicamente da proposta de fornecedores quando não for possível obter preços de contratações similares em outros entes públicos
Para itens constantes no catálogo de soluções TIC, utilizar o parâmetro máximo PMC-TIC :warning:
adequação orçamentária e cronograma físico financeiro
estimativa de impacto
da solução TI no órgão/entidade com indicação de fonte de recursos
detalhamento das etapas e a
previsão de desembolso
elaborados pelo integrantes requisintante e técnico
2.seleção de fornecedor
critérios
correntes de mercado
justificativa dos benefícios trazidos pelo critério de pontuação na melhor técnica e preço
índice de correção monetária baseado no índice de custos de TI
definição
: inicia-se com o encaminhamento do projeto básico/termo de referência pela Área de TI à Área de licitações, encerrando-se com a publicação do resultado
vedações :forbidden:
da indicação de entidade certificadora :forbidden:
exigência de declaração emitida por fabricante :forbidden:
pontuação com base em atestado de duração dos trabalhos :forbidden:
3. gestão do contrato
definição
: Essa fase visa acompanhar e garantir adequada prestação dos serviços e fornecimento dos bens que compõem a solução TIC durante toda vigência do contrato.
encaminhamento formal das demandas
via ordens de serviços ou fornecimentos de bens :warning:
definição e especificação dos serviços :check:
volume estimado de serviços :check:
cronograma de realização dos serviços ou entrega dos bens :check:
cronograma de realização dos serviços ou entrega dos bens :check:
equipe de fiscalização
gestor
autorização para faturamento
encaminhamento à área administrativa de eventuais pedidos de modificação.
fiscais
administrativo
: verificações de aderência os termos contratuais
técnico:
confecção e assinatura do termo de recebimento provisório quando da entrega do objeto
transparência :warning:
definição
: publicação pelo órgão/entidade de acordo com a LGPD
exigido
ETP :check:
Termo de referência ou Projeto básico :check:
DOD :check:
todo contrato :check:
encerramento
condições
entrega das versões finais dos produtos e documentação ou transferência final de conhecimento sobre TIC :check:
devolução de recursos :check:
manutenção de recursos materiais e humanos da ADMP :check:
regovação de perfis de acessos e eliminação de caixas postais :check:
SISP:
Produtos de software de desenvolvimento deverão ser catalogados pela ADMP e
disponibilizados em software público
pelo SISP.
Gerenciamento de riscos :red_flag:
fases
planejamento
produzir mapa de gerenciamento de riscos :warning:
características
avaliação e seleção dos riscos de acordo com o apetite :check:
registro e acompanhamento da ações de tratamento de risco. :check:
identificação e análise dos principais riscos :check:
seleção de fornecedor
: Ações de gerenciamento e atualização do mapa.
gestão do contrato
Atualização do mapa de fases anteriores e juntada ao processo administrativo
composição
ao final da seleção do fornecedor :check:
uma vez ao ano, na gestão do contrato :check:
ao final do termo de referência :check:
Disposições finais e diretrizes específicas :red_flag:
disposições finais
valor máximo PMC-TIC antes do encaminhamento à área jurídica :check:
SISP poderá
celebrar acordos corporativos com fabricantes
de soluções TIC para padronização de seus catálogo. :check:
SISP
mantém catálogo
atualizado PMC-TIC :check:
SISP pode
definir políticas e diretrizes
para orientar e supervisionar atividades de gestão de seus recursos. :check:
diretrizes de contratações
Solução de autenticação para serviços públicos digitais: :red_flag: Vedada contratação, ressalvados casos autorizados pelo SISP. :forbidden:
Serviços de desenvolvimento e manutenção de software :red_flag:
vedação :forbidden: contratação para desenvolvimento de
software
para áreas meio, ressalvados casos autorizados SISP.
custos: todas as atividades inerentes ao ciclo de vida do software devem estar incluídas na métrica de pagamento dos produtos e resultados entregues, abstendo-se a ADMP de pagamentos fora da métrica
Licenciamento de software e serviços agregados :red_flag:
vedações :forbidden:
cláusulas retroativas de suporte técnico fora do contrato :forbidden:
cláusulas para cobrança de valores por reativação do serviço :forbidden:
cláusula de contratação conjugada de serviços :forbidden:
cláusula de serviço de correção de erros :forbidden:
cláusula de exclusividade :forbidden:
EPT
avaliar custos de migração x manutenção
avaliar viabilidade de empresas concorrentes para suporte técnico
ações para viabilizar substituição da solução contratada
nas especificações
avaliar necessidade de contratação dos serviços agregados :check:
viabilizar participação de revendedoras de fabricantes distintas :check:
alinhamento da aquisição com necessidade do setor :check:
exigência: declaração da contratada de não ocorrência de oportunidade :check:
Infraestrutura de centro de dados :red_flag:
definição
: necessidade deve ser atendida por meio da contratação de serviços de
computação em nuvem
:warning:
vedação: :forbidden: ampliação de sala segura ou sala-cofre
características
órgão ou entidade deve exigir
certificação de normas de segurança
de informação :check:
órgão ou entidade deve exigir que os serviços em nuvem
permitam portabilidade dos dados
para transferência de localização em tempo hábil. :check:
correção :green_cross:
A área administrativa é a unidade setoriais e seccionais do
Sistema de Serviços Gerais - SISG
com competência para planejar, coordenar, supervisionar e executar as atividades relacionadas aos processos de contratação.
Em se tratando de contratação para a aquisição de
software, hardware e serviços de instalação
,
[não]
é aceitável a celebração de um único contrato.
indicação de fonte de recurso acontece desde o DOD e faz parte da adequação orçamentária no termo de referência ou projeto básico
A Equipe de Planejamento da Contratação deverá realizar todas as atividades das etapas de Planejamento da Contratação, e acompanhar
e apoiar
a fase de Seleção do Fornecedor
quando solicitado
pelas áreas responsáveis.
PETI
definição
: (governança em TI) conjunto de práticas que visam à utilização e gestão da TI
alinhada aos objetivos estratégicos
sob responsabilidade da alta administração.
estrutura :red_flag:
centralizada:
inadequado à governança
descentralizada:
independência das áreas de negócio com tendência à fragmentação dos processos de governança.
baseada em projetos:
equipes de desenvolvimento como centros de competência abastecendo projetos e gerentes de TI otimizando recursos e assegurando cumprimento de objetivos.
planejamentos :red_flag:
tático:
curto prazo: otimizar determinada área de resultado e não organização como um todo.
operacional:
Rotinas operacionais das unidades setoriais. Planos de ação e planos operacionais.
estratégico
: Objetivos de longo prazo. Sustentação metodológica para se estabelecer a melhor direção a ser seguida pela organização. Alta administração: formulação de objetivos e seleção de cursos de ação.
processos :red_flag:
definição
: tarefas interligadas logicamente e que utilizam recursos da organização para gerar resultados definidos de acordo com os objetivos.
tipologia
apoio
: suporte ao processos finalísticos
gerenciais
: coordenação de apoio com processos finalísticos
primários ou finalísticos:
essência do funcionamento da organização
hierarquia
subprocesso
: realiza objetivo específico em apoio ao macroprocesso
atividades:
Dentro de um processo ou subprocesso, produção de resultado particular por uma pessoa ou departamento.
processo
: conjunto de atividades sequenciais e relacionadas logicamente com
input
(fornecedor) e
output
(consumidor)
tarefas:
menor enfoque do processo, subconjunto de uma atividade.
macroprocesso:
diversas funções na estrutura organizacional e com grande impacto em como a organização funciona.
modelos de planejamento estratégico :red_flag:
BSC :red_flag:
definição:
É um conjunto de objetivos organizacionais que propicia visão rápida e abrangente da estratégias aos colaboradores.
histórico:
metodologia de mediação e gestão de desempenho estratégico de Kaplan e Norton (1992)
Composição
indicadores de metas
: medem o sucesso do alcance do objetivo. Claros, fáceis e mensuráveis.
Metas
: propósito que fará parte do percurso até o alcance do objetivo
objetivos
: definidos pela organização a longo prazo
plano de ação:
conjuntos de medidas e ações escolhidas para o objetivo.
mapa estratégico
: representação visual de como a empresa cria valor e o elo entre estratégia e execução.
dimensões :warning:
processos internos
: Identificação de processo críticos e grau de inovação. Reparação de erros, excelência e engajamento da equipe.
clientes
: visão dos clientes sobre a empresa.
aprendizagem e melhoria:
avaliação da satisfação interna dos colaboradores.
financeira:
Reflexão sobre a visão que a empresa quer passar e qual está de fato passando mediante indicadores financeiros.
SWOT
PDCA
Análise de cenários :red_flag:
definição
: redução de incertezas quanto ao futuro mediante probabilidade de ocorrência.
modelos
projetivo
: comportamento visto até então, modelos quantitativos e histórico.
prospectivo:
análise de cenários futuros sem se basear em tendências, atentando para cenários disruptivos
análise
cenários pessimista e otimista
: se acontecer o melhor ou o pior.
cenário realista:
média entre os dois anteriores e mais provável.
GUT :red_flag:
Urgência:
Em quanto tempo deve ser resolvido pra não se agravar
Tendência:
Potencial do problema em crescer e se agravar
Gravidade
: Seriedade do problema (quanto afeta a organização)
correção :green_cross:
A Governança de TI nas organizações [pode] prover controles, indicadores e aponta tendências que auxiliam as corporações a ter uma visão global
A gestão efetiva e eficaz de TI deve envolver
processo de tomada de decisão acerca de prioridades e da alocação de recursos :check:
mecanismos para a gestão estratégica e operações de serviços de TI. :check:
alinhamento ao negócio :check:
O processo de alinhamento estratégico da TI ao plano de negócio começa no plano da própria TI
Plano de TI contém
princípios e infraestrutura TI :check:
estratégia para fornecedores de serviços :check:
competências requeridas :check:
alinhamento estratégico
definição:
processo de transformar a estratégia do negócio em estratégias e ações de TI que garantam que os objetivos de negócio sejam apoiados
tipos
estático: derivação da estratégia de TI a partir do Plano Estratégico
dinâmico: alteração da estratégia de TI em função da mudança
aleatória da estratégia de negócios da empresa.
Governança em TI é de
responsabilidade da alta administração.
ciclo da governança em TI
Estrutura, Processos, Operações e Gestão
Priorização e Alocação de Recursos :warning:
Compromisso
Decisão
Alinhamento Estratégico
compliance
medição do desempenho
governança em TI
definição
: conjunto de atitudes, referentes aos
relacionamentos e processos
, orientados à direção e ao
controle estratégico da organização
na realização de seus objetivos, por meio do
objetivo:
Alinhar TI aos requisitos do negócio.
fatores para opção por terceirização de serviços TI
custo interno :check:
crescente complexidade da TI :check:
velocidade das mudanças tecnológicas :check:
matriz de responsabilidades decisórias em TI
: a estrutura de tomada de decisões serve de base para o estabelecimento de um processo decisório, instituído formalmente e divulgado para as demais áreas da instituição.
SWOT:
A administração estratégica inicia-se com a análise do ambiente, isto é, no processo de monitoramento do ambiente organizacional, para identificação das oportunidades e dos riscos atuais e futuros pelo conjunto dos fatores internos e externos à organização.
diferenças
Plano diretor em TI:
proporciona o alinhamento das soluções de TI com as metas do negócio, mediante a descrição dos planos de ações para cada meta e indicador estabelecidos
PETI:
estabelece as diretrizes e as metas que orientam a construção do planejamento de TI da organização
reta final
Para fins da Instrução Normativa 04 MPOG/SLTI, o servidor com capacidade gerencial, técnica e operacional relacionada ao objeto da contratação é o gestor de TI
[do contrato]
A maioria de bens e serviços de informática deve adotar a modalidade
[método]
técnica e preço
[pregão]
, tendo em vista suas particularidades
[generalidade]
e a arquitetura de solução necessária para cada órgão contratante.
MPOG/SLTI 04/2010 impede que seja objeto de contratação a prestação de serviços para a
gestão dos processos de segurança da informação
Alinhamento: I.planejamento estratégico da entidade/órgão, II. Alinhamento ao PDTIC III. plano anual de contratações
alinhamento, motivação, resultados e recursos
IN 1/2019
SGD: Secretaria de Governo Digital.
Facultativa à estimativa de preços inferior ao art.24 da 8.666/1993 e exclui EP e SEM.
SISP: Sistema de Administração dos Recursos de TI
PDTI: Plano diretor de tecnologia da informação. Ou seja, diretrizes de aplicação..
A SGD, que supervisiona a SISP, aprova os limites de valores para as contratações de TIC.
Responsável da contratada para acompanhar a execução do contrato e responder às principais questões técnicas.
Contudo, apoio técnico ao processos de gestão de planejamento e de avaliação da qualidade das soluções TIC podem, desde que sob supervisão exclusiva de servidores do órgão ou entidade.
De inteira responsabilidade da contratada.
Inclusive quanto à capacitação anterior à contratação.
que possam acarretar em alteração unilateral do contrato.
Quando o objetivo for oferta digital de serviços públicos.
IN SEGES/ ME º1/2019
Devem seguir as normas específicas do SISP, bem como realizar
atividades de gerenciamento de risco
durante todas as fases do processo.
Todas as etapas devem estar presentes em todos os tipos de contrato, inclusive os de exceção
como dispensa e inexigibilidade
.
Caso a solução escolhida após o estudo preliminar tenha correspondência no catálogo SISP, os documentos de planejamento devem utilizar todos os elementos constantes nele.
Processo de negócio: agregação de atividades que
entregam valor para o cidadão
ou
apoiam outros processos gerenciamento
do órgão/entidade.
Fontes, eventos, causas e consequências potenciais.
Base para avaliação de riscos.
Base para o tratamento de riscos.
Parâmetros objetivos e mensuráveis. art.73 8.666/1993
Preço máximo de compra de item TIC: de acordo com itens constantes nos catálogos de soluções TIC com condições padronizadas.
equipe de planejamento
equipe de fiscalização
Papéis de integrantes da equipe de planejamento não cumuláveis,
ressalvados de requisitante e técnico mediante justificativa e aprovados
pelo comitê de Governança.
forma de cálculo e o quantitativo de bens e serviços
a) entre órgãos da ADMP b) alternativas de mercado c) existência de
softwares
disponíveis (portaria STI/MP 46/2016) c) padrões de interoperabilidade de governo eletrônico d) necessidades de adequação ambiental para viabilizar a execução contratual e) diferentes modelos de prestação de serviço
Eping, eMag, ePwg, ICP-Brasil e e-ARQ.
Justificação da solução escolhida e identificação dos objetivos a serem alcançados em 4E.
contratante, contratada e órgão regulador ata de preços
precisa, suficiente e clara
justificativa: a) alinhamento da solução TIC com instrumentos de planejamento b) relação entre a necessidade de contratação e o quantitativo e características do objeto
Preferencialmente
Ordens de serviço
ou
Fornecimento de bens
.
Contendo: I. Termo de compromisso de sigilo à respeito das normas de segurança vigentes II. Termo de ciência da declaração de manutenção de sigilo.
Métricas, indicadores e níveis mínimos de serviços.
Metodologias e disponibilidades de RH.
Art. 86-88 da Lei 8.666/1993.
integrante técnico com apoio do integrante administrativo
Deverá considerar, sempre que possível, valores praticados diretamenet pelo fabricante.
ICTI-Ipea
8.666/1993
10.520/2002
Obrigatória a utilização de
Pregão eletrônico
sempre que a solução TIC for enquadrada como
bem ou serviço comum.
Licitações com objeto contemplado no catálogo de soluções TIC com condições padronizadas, tanto para a adjucação para preço global quanto por item, vedado aceitar preço superior ao respectivo PMC-TIC
Na fase de habilitação, para fins de qualificação técnica.
Os encargos de gestor e fiscal não poderão ser recusados. Além, equipes de fiscalização e de planejamento podem ser as mesmas, vedada acumulação.
Lei 13.709/2018
Titular se encontrava em território nacional no momento da coleta.
acadêmicos: legislação específica.a) segurança nacional e de Estado e b) investigação de infrações penais
acadêmicos: Vedada participação de PJ privado, exceto sob tutela de PJ público. Além, vedado tratamento em BD por pessoa de direito privado, exceto casos de maioria de capital social público.
dado pessoal sensível
: dados raciais, de opinião, crença, filiação sindical, acerca de saúde/vida sexual e dados genéticos/biométricos
titular
: pessoa natural a quem se referem o tratamento de dados
Autoridade Nacional de Proteção de Dados.
ressalvados mecanismos de mitigação de risco.
ressalvados segredos comercial e industrial.
garantida anonimização dos dados quando possível
Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a Lei.
O consentimento do titular deve se referir a finalidades determinadas.
Alteração de informação obriga controlador a informar titular, podendo este revogá-lo caso discorde da alteração.
Requisição de consentimento com informações enganosas, abusivas ou pouco claras serão consideradas nulas. Se o tratamento objetivar oferta de produtos e serviços, titular deverá ser informado.
ressalvados segredos comercial e industrial.
sem consentimento em dados pessoais sensíveis
com consentimento
: de forma específica e destacada para finalidades específicas.
necessária publicidade da dispensa de consentimento
Vedado às operadoras de planos privados de saúde o tratamento de dados para a prática de
seleção de riscos
: contratação e exclusão de beneficiários.
Não pode ser posteriormente utilizada em artigos de jogos e apps de internet.
Dados deverão ser eliminados, ressalvado casos: I. Cumprimento de obrigação legal II. Estudo de órgão de pesquisa III. transferência a terceiro legitimamente coberto IV. Usufruto do controlador sem transferência e anonimizado.
desnecessários ou desconformes
mediante requisição expressa e de acordo com regulamentação de autoridade nacional, ressalvados segredos comercial e industrial.
a qualquer momento e por requisição
inicia-se com a assinatura do contrato e com a nomeação da equipe de fiscalização, destituindo-se a de planejamento.
manutenção das condições classificatórias e regularidades fiscais, trabalhistas e previdenciárias para fins de pagamento
até à data: a) da publicação do edital b) extrato da contratação (contratação direta) c) assinatura do contrato (adesão à ata de registro de preços)
até 30 dias das assinaturas.
A fim de renovação contratual (aditamento), gestor do contrato deve solicitar e enviar documentação em
até 60 dias
antes do término do contrato.
Para renovação, necessária pesquisa de preços. Vedada prorrogação desajustada com o PMC-TIC.
IN MP/CGU1/2016. :star:
Equipe de Planejamento assina as fases de Planejamento e seleção de fornecedor. A Fase de gestão, equipe de fiscalização.
Correções de erros ao ônus da contratada e atualizações de software após o contrato devem ser cedidas gratuitamente.
Ressalvadas interrupções de projeto de
software
causadas pela própria ADMP.
Órgão ou entidade poderá estabelecer no edital patamar de preços para presunção inexequibilidade
IN GSI/PR nº1/2008
Sala segura: Proteção física de equipamentos de hardware e capacidade de remontagem em outro local.
Sala cofre: Mesmas características sala segura com certificação ABNT NBR 15.247.
Titular pode peticionar sobre seus dados contra o controlador, bem como opor-se de forma fundamentada às hipóteses de dispensa de consentimento.
Titular tem direito de revisões de decisões tomadas unicamente em tratamento automatizado de dados pessoais.
Controlador, sempre que solicitado, deverá informar sobre os critérios e procedimentos da decisão automatizada, ressalvados segredos comercial e industrial.
Válido para serviços notoriais e de registro em caráter privado, por delegação do PP.
Dispensado para EP e SEM em regime de concorrência
ANPD poderá solicitar,
a qualquer momento
, aos órgãos e entidades do PP a realização de operações de tratamento de dados pessoais.
I.envia informes com medidas cabíveis para cessar violações, II.solicita relatórios de proteção de dados pessoais e III.recomenda boas práticas.
Cláusulas contratuais específicas, cáusulas-padrão, normas corporativas globais, selos e certificados de conduta.
Relatório mínimo: tipo de dados (inclusive sensíveis), metodologia de coleta e medidas de segurança para mitigação de riscos.
interoperabilidade: livre acesso aos dados e determinar o tempo de guarda dos registros.
Responde por danos decorrentes da violação de segurança dos dados o controlador ou operador que deixou de adotar medidas de segurança previstas no art. 46 e deu causa ao dano.
controlador ou operador que causarem dano patrimonial, moral, individual ou coletivo a outrem no exercício do tratamento de dados pessoais.
Ressalvados segredos comercial e industrial.
controlador
ANPD
No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis
I.objetive estabelecer relação de confiança com o titular II.esteja integrado a sua estrutura geral de governança III.conte com planos de resposta a incidentes IV.seja atualizado constantemente por meio de monitoramento contínuo e avaliações periódicas.
após apurada e confirmada ocorrência
prorrogável +6
Multas são aplicadas pela ANPD, inscritas ou não em dívida ativa, e destinadas ao Fundo de Defesa de Direitos Difusos.
Essa transsformação deverá ocorrer em até 2 anos da entrada em vigor da estrutura regimental. Assegurada autonomia técnica e decisória à ANPD.
Brasileiros de reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade do cargo.
A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.
para todos os casos, prestação de serviço público relevante sem remuneração.
Comitê Gestor da Internet no Brasil.
resumo
: identifica, analisa probabilidades e escolhe de acordo com apetite e cumprimento dos objetivos
fiscal técnico
Plano Diretor de Tecnologia da Informação e Comunicações
conforme portaria SGD/ME 778/2019
estimativa de impacto e programação de desembolso
viabilidade
Única vez e sem armazenamento.
autonomia AFO
Planejamento estratégico significa agir de forma efetiva conforme os objetivos definidos pela alta administração. O plano organizacional se desdobra em: estratégico, tático e operacional.
Sustentação metodológica para se estabelecer a melhor direção a ser seguida pela organização
O PETI pode ser visto como um dos planos funcionais, cujos projetos e serviços são derivados, e estão em linha com a estratégia empresarial e competitiva. Como o próprio nome diz, está situado no nível estratégico e complementa o PEI quanto ao planejamento dos recursos da TI.
Para além da estrutura produtiva, BSC avalia o ciclo de
inovação, operação e pós-venda
, ou seja, toda a cadeia de valor.
capital intangível
alcance dos objetivos de acionistas
rentabilidade
lucratividade
Identificação de futuros possíveis para a tomada de decisão
mudanças bruscas de paradigma
qual a gravidade?
qual a urgência?
qual o potencial se nada for feito?
não necessariamente provê
não contém código de ética profissional
alinhamento estratégico é
bidirecional
, ou seja, da estratégia do negócio para a estratégia de TI e vice-versa, pois a TI pode potencializar estratégias
e não da equipe técnica
I.adicionamento de valor e do II.equilíbrio dos riscos em relação ao retorno propiciado pela área de TI e pelos seus processos.
Este alinhamento tem como base a
continuidade
do negócio, o
atendimento as suas estratégias
e aos
marcos de regulação externos
outsourcing
PDTI
não podemos contratar mais de uma solução de TIC
em um mesmo contrato.
mantidos em ambiente controlado e seguro e, sempre que possível, anonimização e pseudononimização.
Ex: Netflix aluga serviço de nuvem da Amazon
Mercado de TI é padronizado, portanto a regra é pregão
ETP
estimativa custo e viabilidade
achado!
pencil
Formação de perfis comportamentais para vantagem competitiva.
