Home / Diário Oficial da União / terça-feira, 7 de julho de 2026
PortariaSeção 1 · Edição 125 · Pág. 42
PORTARIA FUNAI Nº 1.438, DE 2 DE JULHO DE 2026
Ministério dos Povos Indígenas › Fundação Nacional dos Povos Indígenas
Texto integral
PORTARIA FUNAI Nº 1.438, DE 2 DE JULHO DE 2026
Institui a estrutura de Gestão da Segurança da Informação no âmbito da Fundação Nacional dos Povos Indígenas - Funai.
A PRESIDENTA DA FUNDAÇÃO NACIONAL DOS POVOS INDÍGENAS, no uso das atribuições que lhe confere o Estatuto, aprovado pelo Decreto nº 11.226, de 7 de outubro de 2022, e tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018 , no Decreto nº 12.572, de 4 de agosto de 2025, no Decreto nº 12.573, de 4 de agosto de 2025, no Decreto 12.002 de 22 de abril de 2024, Decreto 12002 de 22 de abril de 2024 ,na Portaria nº 118, de 17 de fevereiro de 2021, na Portaria GSI nº 38, de 14 de agosto de 2009, na Portaria GSI nº 57, de 23 de agosto de 2010, na Norma Complementar nº 05/IN01/DSIC/GSIPR, de 17 de agosto de 2009, na Norma Complementar nº 08/IN01/DSIC/GSIPR, de 23 de agosto de 2010, na Instrução Normativa nº 1, de 27 de maio de 2020, resolve:
CAPÍTULO I
Da Estrutura de Gestão da Segurança da Informação (3)
Art. 1º Esta Portaria institui a estrutura de Gestão da Segurança da Informação no âmbito da Fundação Nacional dos Povos Indígenas - Funai, composta por:
I - Gestor de Segurança da Informação; e
II - Equipe de Tratamento e Resposta a Incidentes Cibernéticos - Etir.
Art. 2º O Gestor de Segurança da Informação será o ocupante do cargo de Coordenador de Infraestrutura de Tecnologia da Informação - Coinfra , sendo o responsável pelas ações de segurança da informação no âmbito da Funai.
Art. 3º Compete ao Gestor de Segurança da Informação:
I - responder pelas atividades do Comitê de Segurança da Informação - CSI, representado pelo Comitê Técnico Digital - CTD, instituído pela Portaria nº 118, de 17 de fevereiro de 2021;
II - coordenar a elaboração da Política de Segurança da Informação - PSI e das normas internas do órgão, conforme diretrizes do Gabinete de Segurança Institucional da Presidência da República - GSI/PR;
III - assessorar a alta administração na implementação da PSI;
IV - promover capacitações e ações de conscientização sobre segurança da informação;
V - divulgar amplamente a política e as normas internas de segurança da informação;
VI - incentivar estudos sobre novas tecnologias e seus impactos na segurança da informação;
VII - propor recursos para implementação das ações previstas;
VIII - acompanhar os trabalhos da Etir;
IX - analisar resultados de auditorias sobre segurança da informação;
X - acompanhar a aplicação de medidas corretivas e administrativas em casos de violação; e
XI - manter interlocução com o Departamento de Segurança da Informação do GSI/PR.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 4º Para efeitos desta Portaria, são estabelecidos os significados dos seguintes termos e expressões:
I - segurança da informação: conjunto de ações, políticas, procedimentos e controles destinados a proteger a confidencialidade, integridade e disponibilidade das informações;
II - gestor de segurança da informação: autoridade designada para coordenar e implementar ações de segurança da informação no âmbito da Funai;
III - Equipe de Tratamento e Resposta a Incidentes Cibernéticos - Etir: equipe responsável pela prevenção, pelo tratamento e pela resposta a incidentes de segurança digital;
IV - credencial de acesso: identificação eletrônica que permite a um usuário acessar sistemas, redes e serviços institucionais;
V - certificado digital: documento eletrônico que comprova a identidade de pessoas físicas, jurídicas ou equipamentos em transações digitais;
VI - Zero Trust: modelo de segurança que presume que nenhuma entidade, interna ou externa, deve ser automaticamente confiável, exigindo autenticação e verificação contínuas;
VII - Política de Privacidade e Segurança da Informação - PPSI: documento que define diretrizes e responsabilidades para proteção das informações da Funai; e
VIII - Lei Geral de Proteção de Dados Pessoais - LGPD: é o título da Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais e protege os direitos fundamentais de liberdade e privacidade.
CAPÍTULO III
DA EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS
Art. 5º Fica instituída a Etir no âmbito da Funai, nos termos do Decreto nº 12.572, de 4 de agosto de 2025, e das normas do GSI/PR.
Art. 6º Compete à Etir planejar, coordenar e executar atividades de prevenção, tratamento e resposta a incidentes cibernéticos.
Art. 7º Aplicam-se à Etir os termos e definições do Glossário de Segurança da Informação da Portaria GSI-PR nº 93, de 18 de outubro de 2021.
Art.8º A Etir atenderá as seguintes comunidades:
I - usuários da rede de computadores da Funai;
II - órgãos, entidades e empresas com contratos, acordos ou convênios com a Funai;
III - Rede Federal de Gestão de Incidentes Cibernéticos;
IV - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo - CTIR GOV; e
V - Departamento de Segurança da Informação e Comunicações do GSI/PR.
Art. 9º A Etir deverá submeter proposições e relatórios à Diretoria de Administração e Gestão - Dages da Funai.
Art. 10. A Etir será composta pelo:
I - Titular da Coordenação-Geral de Tecnologia da Informação - CGTI;
II - Titular da Coordenação de Infraestrutura de Tecnologia da Informação - Coinfra;
III - Titular da Coordenação de Governança de Tecnologia da Informação - Cogov; e
IV - Titular da Coordenação de Sistemas - Cosis.
§ 1º Os membros atuarão sem prejuízo de suas atribuições regulares.
§ 2º Cada membro terá um suplente, que o substituirá em suas ausências.
§ 3º Os suplentes serão os respectivos substitutos eventuais.
Art. 11. A Etir poderá convidar servidores para colaborar conforme necessidade.
Art. 12. A CGTI prestará o apoio administrativo necessário ao funcionamento da Etir, atuando como secretaria-executiva do colegiado.
Art. 13. A Etir integrará a Rede Federal de Gestão de Incidentes Cibernéticos, coordenada pelo CTIR GOV, Decreto nº 10.748, de 16 de julho de 2021.
Art. 14. Compete à Etir:
I - coordenar o tratamento de incidentes;
II - atuar preventivamente;
III - promover a recuperação de serviços;
IV - orientar sobre reparo de danos;
V - receber, analisar e responder notificações;
VI - adotar medidas corretivas;
VII - levantar dados sobre incidentes; e
VIII - cooperar com outras equipes de resposta.
Art. 15. As reuniões e deliberações da Etir observarão:
I - ambiente virtual preferencial, presencial em casos complexos;
II - reuniões extraordinárias poderão ser convocadas a qualquer tempo; e
III - quórum de maioria absoluta.
Art. 16. Incumbe aos membros da Etir:
I - coordenar e orientar as ações de resposta a incidentes;
II - intermediar contato com o CTIR GOV;
III - distribuir tarefas e gerenciar atividades;
IV - emitir notificações;
V - propor planos de capacitação; e
VI - apresentar relatórios técnicos.
Art. 17. Medidas emergenciais poderão ser executadas, com posterior relatório.
Art. 18. A ETIR deverá elaborar relatórios contendo propostas de melhorias nos processos, procedimentos e controles relacionados à gestão de incidentes de segurança da informação, visando à prevenção de recorrências e ao aperfeiçoamento contínuo das ações de resposta.
Art. 19. A Etir observará:
I - registro de todos os incidentes;
II - proteção à confidencialidade, integridade e disponibilidade;
III - recursos humanos e tecnológicos adequados;
IV - capacitação contínua dos membros;
V - comunicação de indícios de ilícitos;
VI - preservação de evidências; e
VII - continuidade dos serviços.
Art. 20. Os incidentes deverão ser comunicados à Etir por meio do endereço eletrônico: etir@funai.gov.br.
Art. 21. A Etir notificará o CTIR GOV sobre incidentes com potencial impacto.
Art. 22. Os termos desta Portaria serão atualizados conforme a Rede Federal de Incidentes Cibernéticos.
Art. 23. A participação na Etir é considerada serviço público relevante, sem remuneração adicional.
CAPÍTULO IV
DA GESTÃO DE CERTIFICADOS DIGITAIS
Art. 24. A solicitação de certificados digitais deverá ser formalizada por meio de processo eletrônico no Sistema Eletrônico de Informações - SEI, dirigido à CGTI, pela chefia da unidade do servidor interessado, mediante justificativa formal da necessidade de uso, devendo conter, obrigatoriamente, os seguintes dados do usuário: nome completo, endereço de correio eletrônico institucional e unidade de atuação.
Art. 25. A gestão será coordenada pela CGTI, que manterá o controle de emissões, vencimentos, substituições e cancelamentos.
Art. 26. Os certificados digitais emitidos terão validade conforme as especificações contratuais vigentes com o prestador do serviço.
Art. 27. Em caso de perda, extravio ou bloqueio do dispositivo de armazenamento do certificado digital, decorrente de erro de senha, antes do término de sua validade, o custo para emissão de novo certificado será de responsabilidade do usuário.
Parágrafo único. Nas hipóteses deste artigo, o usuário deverá adotar, na ordem, as seguintes providências:
I - encaminhar à CGTI cópia da solicitação de revogação do certificado digital efetuada junto à respectiva autoridade certificadora;
II - solicitar novo certificado digital por meio da plataforma SouGOV;
III - realizar o pagamento da Guia de Recolhimento da União - GRU;
IV - encaminhar à CGTI, via processo, o comprovante de pagamento da GRU; e
V - aguardar a aprovação da CGTI para a geração do novo certificado digital.
Art. 28. Em caso de furto ou roubo, devidamente comprovado por meio de Boletim de Ocorrência, o documento correspondente deverá ser encaminhado à área de Tecnologia da Informação por meio do SEI, com a devida anuência da chefia imediata.
Art. 29. Compete à Dages autorizar a emissão de certificado digital adicional, entendido como aquele emitido de forma suplementar ao já existente, para atender necessidades específicas e temporárias do usuário.
Parágrafo único. A solicitação de emissão de certificado digital adicional deverá ser formalizada pelo usuário, com a devida anuência da chefia imediata, e encaminhada à Dages por meio do SEI, acompanhada de justificativa detalhada e, quando for o caso, de documentação comprobatória que evidencie a necessidade do referido certificado.
Art. 30. É vedado o compartilhamento de senhas e dispositivos, conforme diretrizes da segurança da informação.
Art. 31. Compete à CGTI divulgar orientações sobre uso, renovação, bloqueio e substituição de certificados digitais.
CAPÍTULO V
DA CONCESSÃO E DA REVOGAÇÃO DE ACESSOS
Art. 32. A concessão de credenciais de acesso à rede corporativa, ao e-mail institucional e ao SEI será solicitada mediante o preenchimento e envio, por meio do SEI, do formulário denominado "Credenciamento de Acesso à Rede/E-mail/SEI", endereçado à CGTI, conforme as seguintes responsabilidades:
I - pela chefia imediata, quando se tratar de servidor público ou contratado temporário da Funai; e
II - pelo gestor do contrato, quando se tratar de terceirizado, estagiário ou outro colaborador vinculado à Funai por instrumento contratual.
Art. 33. A revogação de credenciais de acesso deverá ser solicitada:
I - pela Coordenação-Geral de Gestão de Pessoas - CGGP, nos casos de vacância, exoneração, aposentadoria, afastamento, desligamento, cessão, exercício provisório ou mudança de lotação, cargo ou função que implique alteração ou cancelamento dos privilégios de acesso de servidores públicos e contratados temporários; e
II - pelo gestor do contrato, nos casos de desligamento ou término de vínculo de colaboradores contratados por tempo determinado, incluindo terceirizados, estagiários e demais profissionais vinculados por instrumentos contratuais.
§ 1º As solicitações de revogação deverão ser formalizadas mediante despacho processual no SEI, dirigido à CGTI, contendo, obrigatoriamente, o nome completo e o e-mail institucional do usuário a ser descredenciado.
§ 2º O não cumprimento dos procedimentos poderá acarretar responsabilização administrativa, civil ou penal, conforme a legislação.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 34. As dúvidas decorrentes da aplicação desta Portaria serão dirimidas pelo Comitê de Segurança da Informação, atualmente representado pelo CTD.
Art. 35. Esta Portaria entra em vigor na data de sua publicação.
LUCIA ALBERTA ANDRADE BARÉ
