Home / Diário Oficial da União / quinta-feira, 25 de junho de 2026
PortariaSeção 1 (Extra) · Edição 117-A · Pág. 1
PORTARIA IBRAM Nº 4.144, DE 19 DE JUNHO DE 2026
Ministério da Cultura › Instituto Brasileiro de Museus
Texto integral
PORTARIA IBRAM Nº 4.144, DE 19 DE JUNHO DE 2026
Dispõe sobre a Estratégia de uso de software e de serviços de computação em nuvem no âmbito do Ibram - Instituto Brasileiro de Museus.
A PRESIDENTA DO INSTITUTO BRASILEIRO DE MUSEUS - IBRAM, no uso das atribuições que lhe foram conferidas pelo art. 19, inciso IV, do Decreto n° 11.236, de 18 de outubro de 2022, tendo em vista o disposto no Decreto n° 12.572, de 4 de agosto de 2025, e considerando a Portaria SGD/MGI n° 5.950, de 26 de outubro de 2023, a Instrução Normativa GSI/PR n° 1, de 27 de maio de 2020, e a Resolução Normativa Ibram n° 4, de 28 de julho de 2021, resolve:
Art. 1° A estratégia de uso de software e de serviços de computação em nuvem tem o objetivo de assegurar que o Ibram obtenha os resultados esperados e mitigue os riscos associados à adoção de possíveis novas tecnologias ou novas formas de contratação de softwares e serviços de computação em nuvem.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2° A Estratégia de uso de software e de serviços de computação em nuvem está alinhada com a Política de segurança da informação do Ibram e ao seu planejamento estratégico para as atividades de gestão da informação e disponibilização de serviços internos e externos.
Art. 3° A segurança da informação abrange:
I - a defesa cibernética;
II - a segurança física e a proteção de dados organizacionais; e
III - as ações destinadas a assegurar a disponibilidade, a integridade e a autenticidade da informação, bem como sua confidencialidade, quando exigível.
Art. 4° O disposto nesta Portaria será aplicado nas futuras contratações de software e de serviços de computação em nuvem no âmbito do Ibram, tais como:
I - software sob o modelo de licenciamento permanente de direitos de uso;
II - software sob o modelo de cessão temporária de direitos de uso;
III - software sob o modelo de subscrição ou como Serviço (SaaS);
IV - infraestrutura como Serviço (IaaS);
V - plataforma como Serviço (PaaS);
VI - suporte técnico para software e serviços de computação em nuvem;
VII - serviço de operação e gerenciamento de recursos em nuvem; e
VIII - serviço de migração de recursos para ambiente de nuvem.
CAPÍTULO II
DAS DIRETRIZES E NORMAS INTERNAS DE SEGURANÇA DA INFORMAÇÃO
Seção I
Da identificação das necessidades do negócio
Art. 5° O Ibram deverá identificar e avaliar as necessidades de negócio antes da contratação de software e de serviços de computação em nuvem, bem como:
I - determinar quais sistemas, aplicações, dados e serviços precisam ser movidos para a nuvem, como eles serão acessados e quais recursos computacionais e de armazenamento serão necessários; e
II - avaliar, quando da concepção de novos serviços e sistemas, quanto à viabilidade de que os serviços sejam desenvolvidos para utilização em ambientes de nuvem ou não.
Seção II
Da seleção dos modelos adequados
Art. 6° O Ibram deverá avaliar quais modelos de serviço (IaaS, PaaS, SaaS) e de implementação (nuvem pública, nuvem privada, nuvem híbrida etc.) melhor se adequam aos requisitos de negócio, sempre dando preferência à adoção de uma abordagem estratégica de nuvem híbrida.
§ 1° Quando houver estudos que apontem que a demanda prevista pode ser melhor atendida integralmente por meio de serviços em nuvem, deverá ser adotada uma abordagem completa, incluindo as demandas de migração do ambiente on-premises para a nuvem.
§ 2° Quando houver a previsão de implementação de soluções totalmente em nuvem, deverá ser inserido no processo de aquisição um plano de recuperação dos serviços em caso de descontinuidade do instrumento contratual por fatores externos ao controle do Ibram.
Seção III
Da avaliação dos possíveis fornecedores
Art. 7° Os estudos técnicos preliminares devem abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos requisitos de negócio, de forma a garantir que exista uma quantidade mínima de fornecedores com experiência e que atendam aos requisitos necessários ao atendimento da demanda.
§ 1° Fatores como segurança, conformidade, disponibilidade e suporte técnico devem ser considerados nessa avaliação.
§ 2° Deve-se determinar quais requisitos de segurança são importantes ou mandatórios para o negócio, bem como avaliar, quando for o caso, como cada possível fabricante ou fornecedor atende a esses requisitos.
Seção IV
Quanto ao uso seguro de software e de serviços de computação em nuvem
Art. 8° O Ibram deverá observar os normativos que versam sobre segurança da informação e sobre o tratamento de informações em nuvem, bem como identificar, sob essa perspectiva, quais os sistemas ou workloads que podem ser migrados, assim como as medidas de gerenciamento de risco a serem adotadas para resguardar as informações sigilosas que eventualmente serão tratadas em ambiente de nuvem.
Seção V
Condições mínimas de infraestrutura de TIC para utilizar serviços de computação em nuvem
Art. 9° O Ibram deverá efetuar a avaliação quanto às condições mínimas de infraestrutura de TIC do órgão ou da entidade para utilizar serviços de computação em nuvem, a exemplo de conexão estável com a Internet e com banda suficiente.
Seção VI
Definição de diretrizes de governança para o uso da nuvem
Art. 10 O Ibram deverá garantir que as contratações apresentem claramente as diretrizes e os papéis e responsabilidades dos atores organizacionais (da TI, das áreas de negócio e da nuvem), observando as práticas e orientações fornecidas pela Secretaria de Governo Digital - SGD em seus manuais e normativos relacionados a contratações de softwares e serviços em nuvem.
Seção VII
Definição dos princípios norteadores da estratégia
Art. 11 São princípios norteadores desta estratégia:
I - otimização do uso dos recursos disponíveis no Datacenter com foco na perenidade e padronização das soluções;
II - utilização da Nuvem como solução complementar ao uso do Datacenter do Ibram;
III - priorização das contratações de softwares por meio de licenças como serviço, evitando a aquisição de soluções com licenciamento perpétuo; e
IV - lift-and-shift como último recurso, devendo ser evitada a migração de aplicativos do Datacenter para a nuvem sem primeiramente adaptar tais recursos para o ambiente de nuvem.
Seção VIII
Quanto ao alinhamento com outros planos estratégicos
Art. 12 Esta estratégia possui alinhamento com os seguintes planos estratégicos:
I - Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC;
II - Planejamento Estratégico Institucional do Ibram;
III - Plano de Contratações Anual (PCA); e
IV - Plano de Gestão de Segurança da Informação.
Seção IX
Estabelecimento de linhas de base e metas de benefícios/resultados esperados
Art. 13 O Ibram deverá definir, em seu Plano Diretor de Tecnologia da Informação e Comunicação, as linhas de base e metas de benefícios/resultados esperados, junto às ações relacionadas a esta estratégia, objetivando maior agilidade, redução de custos, resiliência, mais segurança.
Seção X
Capacitação da equipe do órgão ou entidade que gerenciará as ações desta estratégia
Art. 14 O Ibram deverá capacitar a equipe que gerenciará, operará ou utilizará os recursos de software e de computação de serviços em nuvem, identificando as capacidades e habilidades necessárias.
Seção XI
Portabilidade e interoperabilidade entre sistemas, dados e serviços
Art. 15 O Instituto Brasileiro de Museus deve considerar a viabilidade de adoção de medidas para mitigar a dependência tecnológica ou aprisionamento ao provedor. Parágrafo único. Os contratos devem prever a migração assistida e a exportação em formatos abertos ou interoperáveis como JSON, XML, CSV, ou quaisquer formatos compatíveis.
Seção XII
Dos requisitos regulatórios e de conformidade
Art. 16 O Ibram deverá considerar os requisitos regulatórios e de conformidade para o uso seguro de software e serviços de computação em nuvem no âmbito da administração pública federal.
Parágrafo único. Deverão ser incluídos, nos instrumentos contratuais com os provedores de nuvem, cláusulas e mecanismos que garantam, ao menos, o sigilo dos dados no armazenamento e em trânsito, a não transferência dos dados a terceiros, a remoção incondicional dos dados após o término do contrato e a não utilização dos dados, para quaisquer fins, pelo provedor ou por terceiros.
Seção XIII
Estratégia de saída
Art. 17 O Ibram deverá considerar a análise de dependências e aspectos de portabilidade (backup, redundância, contratos de apoio, retorno para a infraestrutura local etc.).
CAPÍTULO III
DEFINIÇÃO DOS REQUISITOS PARA O USO SEGURO DE COMPUTAÇÃO EM NUVEM
Seção I
Análise de riscos
Art. 18 O Ibram deverá considerar as diretrizes de gerenciamento de riscos constantes no modelo de contratação de software e de serviços de computação em nuvem estabelecidos na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, na Instrução Normativa GSI/PR Nº 5, de 30 de agosto de 2021, ou em documentos equivalentes publicados posteriormente.
Art. 19. O Ibram deverá tratar os requisitos para uso seguro de computação em nuvem por meio de Norma Interna de Segurança da Informação a ser aprovada pelo Comitê de Governança Digital e Segurança da Informação.
CAPÍTULO IV
DAS COMPETÊNCIAS, ATRIBUIÇÕES E RESPONSABILIDADES
Seção I
Da Alta Administração
Art. 20 Compete à Presidência do Ibram, apoiada pela área de tecnologia da informação e demais áreas competentes:
I - assegurar a utilização de tecnologias de computação em nuvem em conformidade com as orientações contidas neste documento; e
II - disponibilizar recursos financeiros e humanos para a implementação desta estratégia.
Seção II
Quanto à área de Tecnologia da Informação do Ibram
Art. 21 Compete à autoridade da área de tecnologia da informação do Ibram implementar os procedimentos relativos ao uso de tecnologias de computação em nuvem, em conformidade com as orientações contidas neste documento e na legislação pertinente.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 22 O disposto nesta Portaria deverá, deverá ser divulgada amplamente no âmbito do Ibram.
Art. 23 Os casos omissos serão analisados pelo Comitê de Governança Digital e Segurança da Informação do Ibram.
Art. 24 Esta Portaria entra em vigor na data de sua publicação.
FERNANDA SANTANA RABELLO DE CASTRO
ANEXO
CONCEITOS E DEFINIÇÕES
Computação em nuvem: modelo que possibilita o provisionamento e a utilização sob demanda de recursos e serviços computacionais de qualquer lugar e a qualquer momento, de maneira conveniente, com acesso por meio de rede a recursos configuráveis (ex.: redes, segurança, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços em nuvem.
Consultoria especializada em software: serviços especializados de configuração, customização, instalação, otimização e manutenção em software cujos padrões de desempenho e qualidade podem ser objetivamente definidos no Termo de Referência. Esses serviços não se confundem com os serviços técnicos especializados de natureza predominantemente intelectual, dispostos no inciso XVIII do art. 6° da lei n° 14.133, de 1º de abril de 2021.
Disponibilidade: condição de um serviço ou recurso estar acessível e apto para desempenhar plenamente suas funções, em determinado momento ou durante um período acordado.
Modelo de Serviços em nuvem IaaS (Infrastructure as a Service - Infraestrutura como Serviço): capacidade fornecida ao cliente para provisionar processamento, armazenamento, comunicação de rede e outros recursos de computação fundamentais, nos quais o cliente pode instalar e executar software em geral, incluindo sistemas operacionais e aplicativos. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento e aplicativos instalados e, possivelmente, um controle limitado de alguns componentes de rede.
Modelo de Serviços em nuvem PaaS (Platform as a Service - Plataforma como Serviço): capacidade fornecida ao cliente para provisionar na infraestrutura de nuvem aplicações adquiridas ou criadas para o cliente, desenvolvidas com linguagens de programação, bibliotecas, serviços e ferramentas suportados pelo provedor de serviços em nuvem. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente, incluindo rede, servidores, sistema operacional ou armazenamento, mas tem controle sobre as aplicações instaladas e possivelmente sobre as configurações do ambiente de hospedagem de aplicações.
Modelo de Serviços em nuvem SaaS (Software as a Service - Software como Serviço): capacidade de fornecer uma solução de software completa que pode ser contratada de um provedor de serviços em nuvem. Toda a infraestrutura subjacente, middleware, software de aplicativo e dados de aplicativo ficam no data center do provedor de serviços. O provedor de serviço gerencia hardware e software e garante a disponibilidade e a segurança do aplicativo e de seus dados.
Nuvem híbrida: infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.
Nuvem privada ou interna: infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade pode ser do próprio órgão ou de empresas públicas com finalidade específica relacionada à tecnologia da informação, conforme ISO/IEC 22123-1:2023 (Information technology - Cloud computing - Part 1: Vocabulary). O modelo de nuvem privada admite o uso de recursos computacionais de provedores de nuvem pública somente se assegurado o isolamento lógico e físico desses recursos, no ambiente do próprio órgão ou de empresas públicas, e não se configurando como uso de Nuvem Pública.
Nuvem pública ou externa: infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de órgãos públicos, empresas privadas ou de ambos.
Provedor de serviços em nuvem: empresa que possui infraestrutura de Tecnologia da Informação - TI destinada ao fornecimento de infraestrutura, plataformas e aplicativos baseados em computação em nuvem.
Suporte técnico: serviço provido pelo fornecedor para auxiliar os usuários com problemas relacionados ao serviço contratado. O suporte técnico pode incluir resolução de problemas, treinamento, atualizações, implementação e instalação.
Tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
