ATO DA 1ª SECRETARIA Nº 8, DE 2025

Dispõe sobre as diretrizes para a gestão, o uso e a administração do Serviço de Backup do Senado Federal - Backup-SF.

A PRIMEIRA-SECRETÁRIA DO SENADO FEDERAL, no uso de suas atribuições regimentais e regulamentares,

CONSIDERANDO que o Senado Federal, no exercício de suas atribuições, recebe, produz, processa, armazena e transmite informações, as quais devem permanecer íntegras, disponíveis e com o seu grau de sigilo resguardado;

CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet) e a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);

CONSIDERANDO o Ato da Comissão Diretora nº 9, de 2017, que institui a Política Corporativa de Segurança da Informação do Senado Federal - PCSI, e o Ato da Presidência nº 10, de 2020, que dispõe sobre a Política Institucional de Proteção de Dados Pessoais;

CONSIDERANDO o Acórdão TCU n° 1.109/2021, que recomenda à Administração Pública Federal ações para o aprimoramento das políticas gerais e planos específicos de backup, e os Acórdãos TCU n° 1.603/2008, 2.471/2008, 2.308/2010, 1.233/2012, 2.585/2012 e 3.051/2014, todos do Plenário, que recomendam ao Senado Federal ações para o aprimoramento da segurança da informação;

CONSIDERANDO que a segurança da informação deve ser inerente aos processos de trabalho existentes em todo o âmbito do Senado Federal;

CONSIDERANDO a aprovação do conjunto destas diretrizes pelo Comitê de Segurança da Informação (CSI), conforme NUP 00100.188715/2025-13, RESOLVE:

Art. 1º Este Ato dispõe sobre as diretrizes para a gestão, o uso e a administração do Serviço de Backup do Senado Federal - Backup-SF, com o objetivo de estabelecer princípios, estratégias, responsabilidades, competências e subsídios para a produção e a restauração de cópias de segurança de dados digitais que garantam a disponibilidade das informações armazenadas e dos serviços de Tecnologia da Informação (TI) do Senado Federal.

Parágrafo único. Este Ato é o documento de referência do Backup-SF no âmbito do Senado Federal e constitui base para quaisquer normas complementares relativas a cópias de segurança e a arquivamento.

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 2º Aplicam-se a esta norma os preceitos e as definições dispostos na Política Corporativa de Segurança da Informação do Senado Federal - PCSI, suas atualizações e normas reguladoras, no Glossário de Segurança e de Tecnologia da Informação do Senado Federal e, subsidiariamente, os termos definidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional, definido na portaria GSI/PR 93/2021 e suas atualizações.

Parágrafo único. O Serviço de Backup do Senado Federal - Backup-SF é um recurso de Tecnologia da Informação.

Art. 3º Os backups earchives do Senado Federal abrangem exclusivamente dados institucionais custodiados pelo Prodasen e pelas áreas setoriais de TI armazenados nas infraestruturas de TI sob gestão dessas áreas;

Parágrafo único. Não serão guardados nem restaurados dados armazenados em dispositivos terminais corporativos ou pessoais, móveis ou fixos, nem em serviços de nuvem particulares.

Art. 4º Aplica-se o disposto neste Ato, no que couber, aos dados pertencentes a serviços oficiais de TI do Senado Federal custodiados por entidades externas, públicas ou privadas, devendo os respectivos responsáveis pela informação observar a presente norma nos respectivos acordos ou contratos.

CAPÍTULO II

DA ORGANIZAÇÃO DO SERVIÇO DE BACKUP DO SENADO FEDERAL

Art. 5º O Serviço de Backup do Senado Federal - Backup-SF compreende:

I - Sistema de Backup;

II - Administração do Backup-SF;

III - Operação do Backup-SF;

IV - Plano de Backup.

Parágrafo único. Os equipamentos do Sistema de Backup deverão, sempre que possível, implementar diferentes níveis de segregação técnica dos demais equipamentos de produção dos sistemas e serviços de TI do Senado Federal.

CAPÍTULO III

DO SISTEMA DE BACKUP

Art. 6º O Sistema de Backup compreende o conjunto de recursos de tecnologia da informação que viabiliza a execução de backups earchives dos dados armazenados em ativos de TI sob responsabilidade do Senado Federal.

Art. 7º O Sistema de Backup deverá observar, no mínimo, aos seguintes requisitos técnicos e operacionais:

I - suporte às modalidades de backup completo (full), diferencial e incremental;

II - capacidade de integração com as infraestruturas críticas de TI do Senado Federal, inclusive ambientes virtualizados;

III - capacidade de configuração de prazos de retenção e versionamento das cópias, com controle de mudanças e histórico de alterações;

IV - registro e guarda delogs de atividades, com mecanismos de proteção contra alterações não autorizadas;

V - suporte a mecanismos de replicação e armazenamento em múltiplos locais físicos e mídias, quando aplicável;

VI - capacidade de geração de relatórios automáticos de execução, falhas, alertas e auditoria;

VII - capacidade de notificação proativa de falhas, degradações de desempenho ou eventos críticos, com integração a sistemas de monitoramento;

VIII - suporte a testes de restauração periódicos e automatizados;

IX - capacidade de escalabilidade, conforme evolução da demanda e criticidade dos ativos de TI.

Parágrafo único. A aquisição, substituição ou atualização do Sistema de Backup deverá considerar critérios de desempenho, segurança, interoperabilidade e alinhamento à arquitetura institucional de TI.

CAPÍTULO IV

DA ADMINISTRAÇÃO DO BACKUP-SF

Art. 8º A Administração do Backup-SF compreende:

I - planejar, configurar, disponibilizar e manter o Sistema de Backup; II - gerir o Plano de Backup;

III - agregar periodicamente, proativamente ou reativamente, mecanismos de segurança visando à preservação do Sistema de Backup; IV - analisar e propor melhorias com vistas à atualização tecnológica, ao aperfeiçoamento e à modernização do Sistema de Backup;

V - manter as mídias de backup preservadas, funcionais e seguras, para que atendam o período de retenção das informações protegidas; VI - aplicar técnicas de prevenção contra falhas físicas nas mídias por meio de migrações de dados, verificações de integridade, geração de cópias, e replicações dos backups em centros de dados diversos;

VII - analisar a adequação da janela de backup à melhor distribuição dos agendamentos, observado o impacto no desempenho nos sistemas-alvos;

VIII - realizar excepcionalmente as atividades de operação de backup;

IX - dirimir questões técnicas de maior complexidade no âmbito do Backup-SF.

CAPÍTULO V

DA OPERAÇÃO DO BACKUP-SF

Art. 9º A Operação do Backup-SF compreende:

I - o acompanhamento da execução do calendário dos backups earchives, incluindo a reexecução de backups earchives que não finalizaram com sucesso, para assegurar a conformidade com o calendário estabelecido;

II - o acompanhamento diário da execução do calendário de backups earchives deve minimamente analisar:

a) Os relatórios de execução dos backups earchives cadastrados, que devem conter as seguintes informações, no mínimo: o horário de agendamento, início e fim do processo, tempo de execução, quantidade de dados transferida, e resultado da execução;

b) As capacidades do Sistema de Backup, incluindo a checagem do espaço de armazenamento e dos recursos de processamento disponíveis para a execução dos backups earchives; e

c) A janela de backup em relação aos horários e tempos previstos e efetivamente transcorridos;

III - O atendimento das solicitações de execução de backups earchives não contemplados no calendário;

IV - O encaminhamento à Administração do Backup-SF das solicitações de backups earchives não contemplados pelo calendário dos backups earchives para verificação da pertinência, viabilidade técnica e desempenho, conforme os recursos de TI disponíveis;

V - A recuperação de ativos de TI por meio da restauração dos dados de backups earchives;

VI - A execução de testes de restauração periódicos com o objetivo de atestar a eficácia das cópias quando solicitados pelo responsável demandante.

Art. 10. A execução de backups earchives não contemplados no calendário dos backups earchives deverá ser realizada por meio de requisições de serviço previamente definidas e registradas em sistema específico do Prodasen.

Art. 11. As solicitações de inclusão, alteração ou exclusão de backups earchives deverão ser feitas por meio de formulário disponível em sistema específico do Prodasen.

Art. 12. A execução do calendário dos backups earchives dar-se-á mediante processo implementado no Sistema de Backup pela Administração do Backup-SF.

Art. 13. A Operação do Backup-SF deverá acionar, por meio dos canais de comunicação previamente definidos, a Administração do Backup-SF em caso de detecção de falhas não previstas ou mapeadas durante a operação de backup.

Art. 14. Os responsáveis pela execução dos testes de restauração de backups serão definidos pelo responsável demandante junto à Administração do Backup-SF.

Parágrafo único. O planejamento dos testes de restauração deverá observar os requisitos de segurança da informação definidos pelo proprietário da informação e pelo Prodasen.

CAPÍTULO VI

DO PLANO DE BACKUP

Art. 15. O Plano de Backup no âmbito do Backup-SF, com vigência definida, deve estar regulamentado em Ato do Diretor do Prodasen e alinhado à gestão da continuidade de negócios e aos requisitos do Senado Federal.

Art. 16. O Plano de Backup deve contemplar minimamente:

I - os planos específicos de backup earchive, com seus respectivos responsáveis demandantes;

II - o calendário dos backups earchives dos ativos de tecnologia da informação do Senado Federal;

III - o processo de manutenção do calendário dos backups earchives;

IV - os requisitos de segurança da informação definidos pelo proprietário da informação aplicáveis no âmbito do Backup-SF;

V - os requisitos de segurança da informação, que devem abranger, no mínimo:

a) regras de controle de acesso da equipe de administração de backup aos locais, processos e componentes do Sistema de Backup;

b) a necessidade de existência de mecanismos de redundância dos backups;

c) diretrizes relativas aos procedimentos de utilização dos backups na restauração dos dados na hipótese de ocorrência de um incidente de segurança da informação;

d) critérios para criptografia a ser aplicada pelo responsável demandante antes da execução do backup;

e) alinhamento dos backups conforme a criticidade das informações e sistemas na continuidade das operações e preservação da confidencialidade, integridade e disponibilidade dos dados e documentos;

VI - a retenção dos backups earchives;

VII - catálogo de backup earchive.

§ 1º Os planos específicos de backup earchive serão elaborados pelo gestor técnico da informação com base no Plano de Backup, observados os requisitos do proprietário da informação e sob orientação da Administração do Backup-SF.

§ 2º A gestão dos dados de usuários externos armazenados em backups será definida pelo responsável demandante, respeitados o Plano de Backup e seus planos específicos correspondentes vigentes à época.

Art. 17. O calendário dos backups earchives será implementado no Sistema de Backup pela Administração do Backup-SF.

Parágrafo único. Os backups earchives constantes do Plano de Backup devem ser testados regularmente pelos responsáveis demandantes e com apoio da Operação do Backup-SF.

Art. 18. A solicitação de inclusão ou exclusão dos ativos de TI no calendário dos backups earchives é atribuição dos responsáveis demandantes e será realizada de acordo com o processo de manutenção do calendário dos backups earchives, observados a pertinência, a viabilidade técnica e o desempenho, conforme os recursos de TI disponíveis;

§ 1º O calendário dos backups earchives poderá sofrer alterações pela Administração do Backup-SF com o objetivo de garantir a eficácia nos backups earchives e a eficiência no uso dos recursos de armazenamento.

§ 2º Caso a Administração do Backup-SF julgue necessário, a retenção e a quantidade de cópias de segurança poderão ser ajustadas em face da priorização de serviços de TI críticos e essenciais, devidamente comunicados os responsáveis demandantes.

§ 3º Na solicitação de inclusão de novo backup ouarchive no calendário dos backups earchives poderá ser indicado agendamento preexistente como base.

§ 4º O responsável demandante será responsável por informar à Administração do Backup-SF sempre que um backup ouarchive não for mais necessário, observado o prazo de retenção.

Art. 19. O conteúdo dos dados a serem tratados no Backup-SF deve ser definido pelo proprietário da informação em conjunto com o gestor técnico da informação.

§ 1º O conteúdo dos dados a serem tratados no Backup-SF deverá estar alinhado aos requisitos de negócio e de segurança da informação do Senado Federal.

§ 2º O gestor técnico da informação será responsável pela definição e fornecimento à Administração do Backup-SF dos dados com suas respectivas estruturas, agrupamentos e dependências dos ativos de TI tratados no Backup-SF.

§ 3º As informações utilizadas para os procedimentos de restauração deverão ser necessárias e suficientes para o pleno e célere restabelecimento dos respectivos sistemas e serviços de TI.

§ 4º A Administração do Backup-SF auxiliará na implantação dos procedimentos de restauração do serviço de TI cujos ativos sejam tratados no Backup-SF.

§ 5º O gestor técnico da informação poderá ser o responsável demandante, o qual poderá formalmente delegar suas atribuições em face deste ato.

Art. 20. O backup do Senado Federal abrange as seguintes categorias:

I - arquivos de sistemas operacionais (filesystems);

II - servidores de arquivos do tipo NAS (Network Attached Storage);

III - bancos de dados;

IV - máquinas virtuais;

V - servidores de correio eletrônico.

Art. 21. Os padrões de retenção (diário, semanal, mensal, trimestral, quadrimestral, anual, quinquenal, específico) dos backups do Senado Federal serão definidos e publicados no Plano de Backup.

§ 1º A Administração do Backup-SF, por necessidade justificada do responsável demandante ou própria, poderá criar ou alterar os padrões de retenção dos backups do Senado Federal.

§ 2º O prazo de retenção dos dados pessoais dos usuários, incluindo os previstos pela LGPD, deverá ser definido pelo responsável demandante em função do Plano de Backup e dos planos específicos de backup relacionados.

Art. 22. Os backups deverão:

I - possuir versões de backup incremental, backup full e incremental, ou backup full e diferencial;

II - obedecer ao calendário dos backups earchives, preferencialmente em dias úteis quando nas modalidades de backup incremental ou diferencial;

III - obedecer ao calendário dos backups earchives, preferencialmente em dias não úteis quando na modalidade de backup full.

Art. 23. Oarchive do Senado Federal abrange as seguintes categorias:

I - arquivos de sistemas operacionais (filesystems);

II - bancos de dados.

Art. 24. Os padrões de retenção (anual, decenal, permanente, específico) dosarchives do Senado Federal serão definidos e publicados no Plano de Backup.

Parágrafo único. A Administração do Backup-SF, por necessidade justificada do responsável demandante ou própria, poderá criar ou alterar os padrões de retenção dosarchives do Senado Federal.

Art. 25. Expirada a retenção dos backups ouarchives, os dados serão apagados automaticamente, e a mídia será reutilizada com vistas à maior eficiência no uso dos recursos de armazenamento.

Art. 26. Todos os pedidos de restaurações de backups earchives solicitados à Operação do Backup-SF ou à Administração do Backup-SF deverão apresentar justificativa registrada na respectiva requisição de serviço gerada em sistema específico do Prodasen.

§ 1º Os resultados das restaurações de backups earchives, incluídas as de testes, deverão ser registrados em sistema específico do Prodasen, podendo ser utilizados para fins de auditoria.

§ 2º Caberá ao responsável demandante, sob orientação do Encarregado de Dados, envidar ações de eliminação de dados pessoais restaurados, cujos titulares solicitaram a exclusão com base na LGPD.

Art. 27. Não poderão ser realizados backups ouarchives de arquivos que se enquadrem nas seguintes condições:

I - arquivos que estejam em desacordo com as políticas e normas de TI do Senado Federal;

II - arquivos temporários ou incompletos.

Parágrafo único. É atribuição do responsável demandante assegurar a não existência nos backups ou archives solicitados de arquivos enquadrados nos casos dos incisos I e II deste artigo.

Art. 28. A divulgação não autorizada de conteúdo que tenha sido restaurado em função das situações previstas nesta norma será considerada violação de sigilo, sujeitando o responsável às sanções previstas na legislação.

Art. 29. A Administração do Backup-SF deverá revisar o Plano de Backup sempre que houver necessidade.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 30. Compete ao Prodasen:

I - designar a equipe de Administração do Backup-SF; II - disponibilizar canal de atendimento aos responsáveis demandantes.

Art. 31. O Prodasen, no desempenho de suas atribuições de administração do Backup-SF, deverá:

I - manter em sistema próprio documentação contendo o detalhamento das implementações realizadas no Sistema de Backup do Senado Federal;

II - zelar pela garantia dos requisitos de segurança da informação, no que couber, das informações armazenadas no Backup-SF.

Art. 32. O processo de descarte de mídias deverá contemplar a destruição lógica, de forma aderente, no que couber, à norma ABNT NBR ISO/IEC 27002 ou norma equivalente à época do descarte.

Art. 33. O Plano de Backup deverá ser definido em até 8 (oito) meses após a publicação deste normativo.

Art. 34. A Diretoria-Geral será responsável pela regulamentação do presente Ato, bem como pela resolução dos casos omissos.

Art. 35. Este Ato entra em vigor na data de sua publicação.

Senado Federal, 27 de outubro de 2025. Senadora Daniella Ribeiro, Primeira-Secretária.

Publicado:

- Boletim Administrativo do Senado Federal, nº 9998, seção 1, de 28 de outubro de 2025, p. 2.