Ministério da Saúde
Agência Nacional de Saúde Suplementar

RESOLUÇÃO ADMINISTRATIVA ANS Nº 81, DE 13 DE MARÇO DE 2023

Dispõe sobre a Política de Segurança da Informação da Agência Nacional de Saúde Suplementar - ANS.

A Diretoria Colegiada da Agência Nacional de Saúde Suplementar - ANS, no uso da atribuição que lhe confere o inciso II do art. 10 da Lei nº 9.961, de 28 de janeiro de 2000 e os artigos 4 o, inciso I, e artigo 9 o, incisos I e III, do Decreto no 3.327, de 5 de janeiro de 2000; tendo em vista a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; a Leiº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), o Decreto nº 7.724, de 16 de maio de 2012; os artigos 15 a 18 do Decreto no 9.637, de 26 de dezembro de 2018; a Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, do Conselho de Defesa Nacional e da Secretaria Executiva da Presidência da República que trata da gestão de segurança da informação e comunicação no âmbito da Administração Pública Federal; NBR ISO/IEC 27001:2013, que trata de requisitos de sistemas de gestão de segurança da informação; e NBR ISO/IEC 27002:2013, que trata de código de prática para a gestão da segurança da informação; na conformidade com a Resolução Regimental no 21, de 26 de janeiro de 2022 em reunião realizada em 27 de fevereiro de 2023, adotou a seguinte resolução e eu, Diretor-Presidente, determino a sua publicação.

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Esta Resolução Administrativa institui a Política de Segurança da Informação da Agência Nacional de Saúde Suplementar - PSI/ANS, seus objetivos e diretrizes.

Parágrafo único. Esta Resolução Administrativa é composta pelos seguintes Anexos:

I - Anexo I: Glossário de Segurança da Informação, que estabelece as conceituações necessárias ao adequado entendimento da PSI/ANS;

II - Anexo II: Termo de Responsabilidade e Sigilo da Agência Nacional de Saúde Suplementar, que deverá ser firmado por todos os servidores e colaboradores;

III - Anexo III: Termo de Responsabilidade e Consentimento Livre e Esclarecido para o uso de Sistemas de Informação de Propriedade ou Custodiados pela Agência Nacional de Saúde Suplementar, que deverá ser firmado por todos os servidores e colaboradores com acesso aos sistemas corporativos;

IV - Anexo IV: Termo de Confidencialidade para Troca de Informações entre Órgãos da Administração Pública, que deverá ser firmado por qualquer órgão público com acesso às informações da ANS;

V - Anexo V: Termo de Concordância e Veracidade, que deverá ser firmado por qualquer usuário externo declarando estar ciente de todas as normas aplicáveis ao processo eletrônico;

VI - Anexo VI: Termo de Confidencialidade para Empresas Contratadas, que deverá ser firmado juntamente com a celebração de contratos administrativos para prestação de quaisquer serviços à ANS;

VII - Anexo VII: Termo de Confidencialidade para Pessoas Jurídicas Privadas, que deverá ser firmado por pessoas que requeiram acesso às informações geradas ou de posse da ANS; e

VIII - Anexo VIII: Termo de Confidencialidade para Pesquisadores, que deverá ser firmado por pessoas que requeiram acesso às informações geradas ou de posse da ANS para fins de pesquisas ou desenvolvimento de trabalhos acadêmicos.

Art. 2º É objetivo da PSI/ANS prover a ANS de diretrizes para a segurança da informação, estabelecendo responsabilidades e atitudes adequadas para manuseio, tratamento, controle e proteção contra a indisponibilidade, a divulgação, a modificação e o acesso não autorizados a dados e informações.

Parágrafo único. Cabe à ANS zelar pela confidencialidade, integridade e disponibilidade dos dados e das informações, observada a Lei nº 12.527, de 2011, e a Lei nº 13.709, de 2018 e a RA nº 80/2022 e alterações posteriores.

Art. 3º Esta Resolução Administrativa se aplica a:

I - todas as unidades da ANS;

II - qualquer pessoa natural ou jurídica que administre ou tenha alguma participação na utilização, gestão, manutenção e sustentação dos recursos de Tecnologia da Informação e Comunicação - TIC por ela providos;

III - qualquer outro colaborador, ainda que não tenha acesso formal aos recursos de TIC; e

IV - órgãos e entidades da Administração Pública na condição de cessionário para utilização das informações de propriedade ou custodiadas pela ANS.

Parágrafo único. As disposições desta Resolução Administrativa devem ter ampla divulgação, de forma a garantir que todos entendam suas responsabilidades e ajam de acordo com as práticas aqui definidas, na forma que segue:

I - quando a pessoa natural tiver acesso aos recursos de TIC a divulgação se dará de forma automatizada em seu primeiro acesso;

II - quando a pessoa natural não tiver acesso aos recursos de TIC a divulgação se dará por meio de unidade responsável pelo credenciamento de acesso físico às dependências da ANS;

III - na hipótese do inciso IV do caput, a divulgação da norma se dará pela unidade responsável pela cessão das informações.

CAPÍTULO II

DAS DIRETRIZES

Seção I

Das Diretrizes Gerais

Art. 4º A PSI/ANS se rege pelas seguintes diretrizes relacionadas a:

I - propriedade da informação;

II - classificação da informação;

III - permissão de acesso;

IV - proteção de dados pessoais;

V - responsabilidades sobre os ativos de informação;

VI - gestão de continuidade de negócio; e

VII - monitoramento dos recursos de TIC.

Parágrafo único. Toda informação produzida ou custodiada pela ANS é de sua responsabilidade e deve ser protegida adequadamente.

Seção II

Das Diretrizes da Propriedade da Informação

Art. 5º As informações a que se referem o parágrafo único do art. 4º, produzidas ou custodiadas pela ANS, devem seguir as diretrizes descritas na PSI/ANS e a legislação em vigor.

Art. 6º Na cessão ou compartilhamento das informações e bases de dados produzidas e custodiadas pela ANS, o gestor da informação deverá providenciar, conforme a legislação aplicável:

I - a instrução do processo para autorização de acesso às informações ou base de dados; e

II - o tratamento de documentos e informações relativos às solicitações de acesso.

§1º A cessão ou compartilhamento das informações e bases de dados produzidas e custodiadas pela ANS com pessoas naturais ou jurídicas, agentes e colaboradores de órgãos ou entidades privadas ou da Administração Pública, condiciona-se à autorização específica de acesso mediante a celebração do competente Termo, segundo as modalidades previstas nos incisos II a VIII do art. 1º.

§2º A celebração dos Termos previstos nos incisos II a VIII, do art. 1º, não é suficiente, por si só, para autorizar o acesso às informações e bases de dados, sendo obrigatória a satisfação de requisitos e condições específicas, além da observância de restrições de acesso e sigilo, relativos a cada tipo de informação ou base de dado, e segundo a legislação pertinente.

§3º Eximem-se da necessidade de autorizações específicas terceiros que prestem serviços à ANS regulamentados por contrato de prestação de serviços e que apresentem o Termo de Confidencialidade constante do Anexo VI.

Seção III

Das Diretrizes da Classificação da Informação

Art. 7º As informações a que se referem o parágrafo único do art. 4º devem ser classificadas quanto aos aspectos de confidencialidade, integridade e disponibilidade, segundo o estabelecido na legislação vigente, na classificação documental e na informação a ser prevista na Política de Gestão Documental e da Informação da ANS.

Art. 8º O processo de classificação da informação deve ser implementado e mantido, visando estabelecer os controles de segurança necessários a cada informação custodiada ou de propriedade da ANS ao longo de seu ciclo de vida.

Parágrafo único. Toda informação criada ou custodiada pela ANS deve ser protegida, conforme a classificação das informações.

Art. 9º A classificação atribuída à informação da ANS deve ser periodicamente revisada e revalidada, garantindo sua atual idade e atribuição adequada de controles.

Art. 10. A classificação da informação será de responsabilidade de cada unidade regimental, e contará com o apoio das áreas organizacionais autora e a gestora da informação, segundo as regras regimentais de competência.

Parágrafo único. Todo usuário ou colaborador que identificar informação pessoal classificada em desconformidade com a legislação deve buscar orientação com a Assessoria de Proteção de Dados e Informações - APDI.

Seção IV

Das Diretrizes da Permissão de Acesso

Art. 11. Todos os recursos de TIC sob responsabilidade da ANS devem ter um gestor formalmente designado por autoridade competente.

Art. 12. Para efeito desta Resolução Administrativa, considera-se usuário o agente da ANS que utiliza os recursos de TIC.

Parágrafo único. O usuário deve ter uma conta de acesso, única e intransferível, cuja concessão será regulamentada em norma específica.

Art. 13. Os privilégios de leitura, modificação ou eliminação das informações devem ser definidos pelo gestor da informação.

Art. 14. A autorização, o acesso e o uso da informação e dos recursos de TIC devem ser controlados e limitados ao cumprimento das atribuições de cada usuário, de modo que qualquer outra forma de uso necessite de autorização específica pelo gestor da informação.

Art. 15. É de responsabilidade da chefia imediata informar os níveis de acesso às informações e aos recursos de TIC, no caso de mudança nas atribuições de determinado usuário, para a imediata adequação.

Art. 16. Nos casos de desligamento da ANS ou de afastamento temporário do usuário, os acessos às informações e aos recursos de TIC devem ser cancelados e os acessos privilegiados desabilitados.

§1º Nos afastamentos temporários, será mantido o acesso ao correio eletrônico e ao Sistema Eletrônico de Informações - SEI.

§2º As unidades administrativas são responsáveis por informar à unidade responsável pela gestão de TIC na ANS sobre a admissão, alteração de cargos ou funções, afastamento e o desligamento de usuários e demais colaboradores da ANS.

Seção V

Das Diretrizes das Responsabilidades sobre os Ativos de Informação

Art. 17. As responsabilidades de segurança devem ser atribuídas no ingresso do usuário e demais colaboradores na ANS e monitoradas durante a vigência de cada vínculo, conforme termos de compromisso firmados nos termos dos Anexos II, III, IV, e VI a VIII.

Art. 18. Os usuários e demais colaboradores não poderão revelar ou divulgar dados ou informações sigilosas ou restritas dos quais tiveram conhecimento no exercício da função, mesmo após se desligarem de suas atribuições.

Seção VI

Das Diretrizes de Gestão de Continuidade de Negócio

Art. 19. A gestão de continuidade de negócio em segurança da informação e comunicação no âmbito da ANS deve ser estabelecida, visando reduzir a possibilidade de interrupção causada por desastres ou falhas nos recursos de TIC que suportam as operações da ANS.

Art. 20. O processo de gestão de risco deve ser estabelecido com vistas a minimizar possíveis impactos associados aos ativos, cujo processo deve possibilitar a seleção e a priorização dos ativos a serem protegidos, bem como a definição e a implementação de controles para a identificação e o tratamento de possíveis falhas de segurança.

Art. 21. As medidas de proteção devem ser planejadas e os custos da aplicação de controles devem ser balanceados de acordo com os danos potenciais de falhas de segurança.

Art. 22. Toda informação institucional eletrônica deve ser armazenada nos repositórios determinados, tais como servidores de arquivo da rede local e repositórios em nuvem, disponibilizados pela ANS.

Parágrafo único. Se a informação institucional não for eletrônica, deve ser mantida em local que a salvaguarde adequadamente, conforme os critérios e procedimentos a serem estabelecidos pela Política de Gestão Documental e da Informação da ANS.

Art. 23. No descarte de informações institucionais devem ser observadas as políticas, as normas, os procedimentos internos, a classificação que a informação possui, bem como a temporalidade a ser prevista na Política de Gestão Documental e da Informação da ANS.

Art. 24. Os recursos disponibilizados para o ciclo de vida da informação na ANS devem dispor de mecanismos que minimizem os riscos inerentes a problemas de segurança, a fim de evitar ocorrências, de natureza incidental ou intencional, que afetem os princípios da integridade, da disponibilidade e da confidencialidade das informações.

Art. 25. Os recursos de Tecnologia da Informação e Comunicação - TIC utilizados nas atividades da ANS devem ser inventariados, identificados de forma individual e, onde aplicável, ter documentação atualizada e plano de manutenção preventiva, de forma a assegurar a sua integridade e disponibilidade.

Seção VII

Das Diretrizes de Monitoramento dos Recursos de TIC

Art. 26. O uso dos recursos de TIC disponibilizados pela ANS é passível de monitoramento e auditoria, por meio de softwares utilitários específicos e devem ser implementados e mantidos mecanismos que permitam a rastreabilidade desse uso.

Art. 27. A entrada e a saída de ativos de informação digital nas dependências da ANS devem ser declaradas para o devido registro pela área responsável pelo controle de patrimônio da Agência.

Art. 28. É vedado o ingresso de ativos de informação pessoais no ambiente lógico da ANS.

Parágrafo único. A utilização de rede sem fio deverá ser previamente autorizada pela ANS.

Seção VIII

Da Gestão, do Gerenciamento e da Abrangência da PSI

Art. 29. Compete à unidade responsável pela gestão de TIC da ANS promover estudos sobre a revisão das diretrizes da PSI/ANS e legislação aplicável, com vistas à preservação da disponibilidade, da integridade e da confidencialidade das informações da ANS.

Parágrafo único. Caberá à Diretoria de Gestão editar, manuais de procedimentos padrão, que determinem metodologias e procedimentos obrigatórios a todos os servidores e colaboradores da ANS, para tratar dos aspectos operacionais sobre as seguintes matérias, ouvido o Comitê de Governança Digital - CGD, instituído pela Diretoria Colegiada da ANS - DICOL, através da RA n° 70 de 23 de dezembro de 2020:

I - ao controle de acesso lógico;

II - ao uso de recursos de Tecnologia da Informação e Comunicação - TIC, inclusive as ferramentas de comunicação eletrônica e a rede global de computadores (internet) disponibilizada pela ANS;

III - segurança de infraestrutura física de TIC;

IV - instalação e configuração de aplicações;

V - tratamento de cópias de segurança;

VI - segurança contra código malicioso (malware);

VII - segurança da informação em contratos de prestação de serviços;

VIII - segregação de função em relação a níveis de acesso e privilégios;

IX - conscientização dos usuários sobre segurança da informação;

X- procedimentos para custódia de equipamentos; e

XI - uso de ativos de informação da ANS em dispositivos pessoais.

Art. 30. A PSI/ANS se aplica ao ambiente de trabalho e aos recursos tangíveis e intangíveis da Agência, estabelecendo responsabilidades e obrigações a todos os usuários que tenham acesso a informações e ativos de sua propriedade ou sob sua responsabilidade.

Art. 31. As diretrizes de segurança da informação da PSI/ANS se aplicam às informações sob responsabilidade da ANS independentemente do meio e da etapa do ciclo de vida da informação em que estiver.

Art. 32. A PSI/ANS deve ser difundida a todos os usuários e demais colaboradores por um processo permanente de conscientização em Segurança da Informação, que será realizado pela área responsável pela gestão de TIC da ANS.

Art. 33. É dever do usuário e dos demais colaboradores conhecer e cumprir a PSI/ANS.

Art. 34. É condição para acesso aos ativos de informação digital da ANS a adesão formal aos termos da PSI/ANS previstos nos Anexos II a VIII sem prejuízo do cumprimento de outras exigências formais aplicáveis a cada caso, na forma da legislação específica.

Art. 35. O usuário promoverá a execução dos controles para garantir a segurança dos ativos de informação e processos que estejam sob a sua responsabilidade, conforme estabelecido nas hipóteses listadas abaixo, sem prejuízo dos demais regramentos previstos nesta PSI/ANS.

I - tratar a informação como patrimônio e recurso que tem valor para a ANS e consequentemente para a Administração Pública Federal, de modo a não praticar quaisquer atos que possam afetar a confidencialidade ou a integridade dessas informações;

II - guardar sigilo, proteger e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas;

III - em caso de dúvida acerca do nível de sigilo/restrição, sempre tratá-las como reservadas, observando as questões legais envolvidas;

IV - utilizar com responsabilidade e devida cautela os dados e informações independentemente de seu formato (impressos, digitais, orais) ou mídias de armazenamento;

V - não transferir ou compartilhar nenhum tipo de arquivo ou dado que pertença, esteja custodiado ou seja de responsabilidade da ANS para outro local ou mídia, salvo quando expressamente autorizado por esta Autarquia;

VI - utilizar as informações a que tiver acesso exclusivamente para o desempenho das atividades laborais ou de pesquisa às quais foram cedidas;

VII - caso o acesso às informações seja provido por meio de acesso ao ambiente computacional da ANS, o usuário deverá guardar segredo e proteger as credenciais de acesso (login e senha) ao ambiente computacional, não cedendo, transferindo, divulgando ou permitindo o seu conhecimento para terceiros, sendo responsável por todas as ações realizadas por meio desse acesso;

VIII - em casos em que o acesso às informações seja provido por meio de acesso ao ambiente computacional da ANS, esta se reserva o direito de monitorar todas as atividades do usuário;

IX - o usuário deve informar a ANS sempre que exista a suspeita de revelação ou vazamento de credenciais de acesso bem como dos dados pessoais cedidos, por meio do endereço eletrônico seginfo@ans.gov.br;

X - comunicar a ANS a ocorrência de qualquer incidente ou violação das regras acima, ainda que não intencional, bem como qualquer evento que implique em possível impedimento de cumprir os procedimentos de segurança estabelecidos, por meio do endereço eletrônico seginfo@ans.gov.br.

Art. 36. Os gestores responsáveis pelos processos inerentes à gestão da segurança da informação devem receber capacitação especializada.

Art. 37. Os contratos firmados pela ANS devem conter cláusulas que determinem a observância da PSI/ANS.

Art. 38. Os usuários e demais colaboradores devem reportar à unidade responsável pela gestão de TIC na ANS os incidentes que afetem a segurança dos ativos ou o descumprimento da PSI/ANS.

Art. 39. Em casos de quebra de segurança da informação em qualquer dos recursos de TIC, a unidade responsável pela gestão de TIC deverá ser formal e imediatamente acionada, para tomar as providências necessárias, a fim de sanar as causas, podendo, inclusive, determinar a restrição temporária do acesso às informações ou ao uso dos recursos de TIC da ANS.

CAPÍTULO III

DISPOSIÇÕES FINAIS

Art. 40. Os recursos de TIC disponibilizados pela ANS devem ser utilizados estritamente dentro dos propósitos institucionais.

Parágrafo único. É vedado a qualquer usuário o uso dos recursos de TIC:

I - para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins;

II - em prejuízo da integridade, da confidencialidade ou da disponibilidade das informações criadas, tratadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pela ANS; e

III - em ações que, de qualquer modo:

a) venham a constranger, assediar, ofender, caluniar, ameaçar, violar direito autoral ou causar prejuízos a qualquer pessoa física ou jurídica;

b) atentem contra a moral e a ética; ou

c) prejudiquem o cidadão ou a imagem da ANS.

Art. 41. Os usuários e demais colaboradores devem seguir as diretrizes desta Resolução Administrativa e normativos correlatos, no sentido de garantir a segurança das informações da ANS e a realização dos controles previstos.

Art. 42. Recebida notícia de prática de atos que representam violação às normas de segurança da informação, a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da ANS - ETIR/ANS deverá registrar o evento por meio de Relatório de Incidente e propor ao gestor da unidade responsável pela gestão de TIC na ANS as medidas a serem adotadas.

§1º A ETIR/ANS poderá sugerir, como medida cautelar, ações para afastar o risco iminente à segurança da informação, incluindo a suspensão dos privilégios de acesso aos recursos de TIC.

§2º O gestor de TIC na ANS deverá encaminhar, de imediato, o Relatório de Incidente para as providências cabíveis:

I - à unidade responsável pela apuração e responsabilização de servidores públicos da ANS, caso haja indícios de envolvimento de agentes públicos, no exercício de cargo ou função na ANS;

II - ao fiscal ou comissão gestora do contrato, caso haja indícios de envolvimento de empresas contratadas pela ANS ou de seus colaboradores; e

III - à unidade responsável pela gestão de carreira e desenvolvimento de recursos humanos na ANS, caso haja indícios de envolvimento de estagiários.

§3º O gestor da unidade responsável pela gestão de TIC na ANS deverá encaminhar, de imediato, o Relatório de Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais ao Encarregado pelo tratamento de dados pessoais da ANS.

§4º Em caso de risco ou dano relevante e iminente à segurança da informação e aos titulares de dados pessoais, o Encarregado pelo tratamento de dados pela ANS poderá, motivadamente, adotar providências acauteladoras sem a prévia manifestação do agente responsável, que deverá ser cientificado.

§5º O agente responsável poderá no prazo de cinco dias a contar da data de cientificação oficial apresentar impugnação contra a providência acauteladora adotada ao Diretor de Gestão da ANS, que decidirá no prazo de quarenta e oito horas.

§6º No curso dos procedimentos investigatórios que forem abertos para a adoção de providências administrativas, deverão ser observados os reflexos cíveis e criminais que decorrerem do incidente relatado.

Art. 43. Quaisquer situações não previstas devem ser avaliadas pela equipe da unidade responsável pela gestão de TIC, a fim de mensurar os impactos na disponibilidade, segurança, integridade e desempenho do ambiente computacional da ANS.

Art. 44. A Diretoria de Gestão, com o auxílio da unidade responsável pela gestão de TIC na ANS, sempre que necessário ou a cada três anos, apresentará proposta de revisão da PSI/ANS, que será submetida à deliberação de Comitê de Governança Digital, para posterior encaminhamento à Diretoria Colegiada.

Art. 45. A inobservância das determinações constantes nesta Resolução Administrativa será passível de sanções administrativas, cíveis e penais, conforme a legislação vigente.

Art. 46. Os casos omissos serão resolvidos pela Diretoria Colegiada.

Art. 47. Fica revogada a Resolução Administrativa nº 62, de 2 de junho de 2015.

Art. 48. Esta Resolução da Diretoria Colegiada entra em vigor em 03 de abril de 2023.

PAULO ROBERTO REBELLO FILHO
Diretor-Presidente

ANEXO I

GLOSSÁRIO DE SEGURANÇA DA INFORMAÇÃO DA ANS

Agentes públicos com dispositivos móveis corporativos: servidores ou empregados da Administração Pública Federal, que utilizam dispositivos móveis de computação de propriedade dos órgãos ou entidade a que pertencem.

Agentes públicos com dispositivos móveis particulares: servidores ou empregados da Administração Pública Federal que utilizam dispositivos móveis de computação de sua propriedade. Os dispositivos particulares utilizados para atividades profissionais e de interesse da ANS que, desta maneira, se submetem aos padrões corporativos de software e controles de segurança, são considerados como dispositivos corporativos.

Alias: endereço de correio eletrônico cuja função é encaminhar mensagens para uma ou mais contas de correio.

Ambiente lógico: ambiente composto por softwares e dados em que estão alocadas as informações gerenciadas pela ANS.

Anexo: arquivo em formato digital inserido em uma mensagem eletrônica.

Antimalware: software especializado na prevenção, detecção e remoção de códigos maliciosos, baseado em uma lista de assinaturas de códigos maliciosos pré-definida.

Antispam: Hardware ou software especializado na prevenção, detecção e remoção de spams.

Appliance: equipamento que integra hardware e software customizados e configurados de acordo com a função específica que desempenha em um sistema ou rede de computadores.

Artefato malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores.

Ativo de informação: Conjunto de recursos físicos (computadores, impressoras, documentos impressos, discos rígidos, máquinas em geral e etc) e lógicos (softwares, arquivos de texto, planilhas, pdf´s e etc) corporativos organizados e gerenciados de forma centralizada pela ANS.

Backup anual: backup processado no último dia do ano, com retenção dos últimos cinco anos.

Backup Diferencial: cópia dos arquivos criados ou alterados desde o evento do último Backup Full. O Backup Diferencial é executado diariamente e precisará do último conjunto do Backup Full e do último conjunto de Backup Diferencial para executar a restauração.

Backup Full: cópia completa de todo e qualquer dado ou sistema presente no servidor em questão, independente de quando e se foram ou não efetuadas alterações. Este procedimento é comumente adotado para marcar o início de um ciclo de cópias subsequentes, e garante a salvaguarda da totalidade dos dados.

Backup Incremental: cópia dos arquivos criados ou alterados desde o evento do último Backup, seja ele o Full ou o Incremental anterior. O Backup Incremental é executado diariamente e precisará do último conjunto do Backup Full e de todos os conjuntos de Backup Incrementais para executar a restauração.

Cache Proxy: serviço de armazenamento local de páginas web e demais conteúdos da Internet pelo servidor proxy. O proxy armazena temporariamente conteúdos acessados previamente pelos usuários a fim de aumentar a velocidade de acesso aos dados e reduzir o consumo de banda de Internet, além de possibilitar também o acesso off-line de determinados conteúdos.

Caixa Postal: área destinada ao armazenamento centralizado e exibição de mensagens eletrônicas recebidas e enviadas.

Cessão de bases de dados: ato de disponibilizar cópia, total ou parcial, de dados da ANS, mediante aprovação do gestor competente.

Ciclo de vida da informação: compreende as fases de criação, manuseio, armazenamento, transporte, consumo e descarte de informações.

Classificação da informação: atribuição, pela autoridade competente, de grau de sigilo dado à informação, documento, material, área ou instalação, considerando critérios previamente definidos e acordados.

Colaborador: qualquer contratado de empresa terceirizada, ainda que não usuário de recursos de TIC.

Concedente: responsável pela autorização de acesso às informações, ambientes ou recursos.

Credenciais de acesso: conjunto de informações fornecidas pelo usuário para autenticar-se junto a um sistema computacional. Pode ser composta por algo que o usuário sabe (login e senha), algo que o usuário possui (token, smartcard, certificados digitais) ou quem o usuário é (biometria).

CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal, subordinado ao Departamento de Segurança de Informação e Comunicações - DSIC do Gabinete de Segurança Institucional da Presidência da República - GSI.

Dado: qualquer registro de conteúdo armazenado em meio magnético. Pode compreender software, dados propriamente ditos (arquivos, bancos de dados), conteúdo multimídia ou qualquer outro passível de armazenamento em meio magnético.

Dados confidenciais: dados que contenham informações de natureza restrita. São exemplos de dados confidenciais informações que permitam a identificação de pessoa, mesmo que por meio de associação entre dados diferentes, planejamentos estratégicos, evidências de auditorias, entre outros.

Dado estruturado: são os dados que estão armazenados, de maneira organizada. Esta organização é geralmente feita por colunas e linhas, mas pode variar de acordo com a fonte de dados. Geralmente, são armazenados em tabelas componentes de bancos de dados ou arquivos acessados por aplicações.

Dado não estruturado: quando não é possível identificar uma organização clara dos dados armazenados. Ex. documentos de texto, mensagens de correio eletrônico, conteúdo multimídia (imagem, vídeo, áudio) armazenado em formato digital. Em conjunto, têm como características grandes volumes, rápido crescimento e dificuldade de manipulação pelas ferramentas de gerenciamento de bancos de dados ou aplicações que processam arquivos de dados.

Disaster Recovery: conjunto de políticas e procedimentos para permitir a recuperação ou continuidade da operação da infraestrutura de tecnologia e sistemas vitais na sequência de um desastre natural ou provocado pelo homem.

Dump: estrutura de tabela e/ou dados de um banco de dados.

Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR: grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Estação de trabalho (desktop): computador de mesa do tipo PC (do inglês, personal computer ou computador pessoal) de propriedade ou sob tutela da ANS, incluindo os softwares e respectivas licenças, disponibilizado a um agente público para execução de atividades do interesse da ANS.

Evento de segurança da informação: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Gestor da informação: servidor público responsável por informações produzidas pelos processos de negócio sob sua responsabilidade.

Grau de sigilo: gradação de segurança atribuída a dados e informações em decorrência de sua natureza ou conteúdo.

Impacto: efeito negativo oriundo da quebra de um dos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). No contexto de atuação da ANS, considera-se também autenticidade e a legalidade como propriedades da informação a serem resguardadas.

Informação custodiada: informação sob a guarda e responsabilidade de pessoa natural ou jurídica.

Internet: rede global de computadores com a finalidade de compartilhamento de conteúdo, vendas, propagandas, entretenimento entre outros. Considerada um meio de transmissão não seguro, é também usada para ataques a instituições, propagação de malwares, fraudes bancárias, etc.

IPS: sigla em inglês para Sistema de Prevenção de Intrusão. Uma solução de segurança capaz de detectar e bloquear o tráfego de pacotes infectados por códigos maliciosos comparando o padrão de tráfego com assinaturas de ameaças conhecidas.

Janela de Backup: período de tempo requerido para a geração do backup (total, diferencial ou incremental).

Link de Internet: serviço de capacidade limitada provido por terceiros para prover o acesso à Internet.

Log: registro de evento realizado por um usuário, serviço ou sistema armazenado em um local específico.

Login: processo de autenticação e autorização ao qual o usuário é submetido antes de ter acesso a um sistema computacional.

Medida de contenção: controle e/ou ação tomada para evitar que danos causados por um determinado incidente continuem aumentando com o passar do tempo. Além disso, tais medidas visam o reestabelecimento do sistema/serviço afetado, mesmo eu não seja em sua capacidade total.

Medida de solução: controle e/ou ação tomada para sanar vulnerabilidades e problemas que sejam a causa-raiz de um ou mais incidentes de segurança da informação.

Mensagem eletrônica: informações criadas, enviadas, encaminhadas, respondidas, lidas ou impressas através do serviço de correio eletrônico.

Mídia de Backup: fita, cartucho ou outro tipo de suporte físico adotado para gravação e recuperação de dados.

Nível mínimo de serviço: acordo formal firmado entre a ANS e terceiros, com validade e reconhecimento legal que define especificações de serviços, prazos, formas de entrega e penalizações, para assegurar o nível apropriado de segurança da informação.

Notebook: computador do tipo móvel de propriedade ou sob tutela da ANS, incluindo os softwares e respectivas licenças, disponibilizado a um agente público para execução de atividades do interesse da ANS.

Nuvem: conceito de computação e processamento de dados que faz uso de recursos de computadores e servidores compartilhados e interligados por meio da Internet em infraestrutura privada ou pública.

OLAP: Online Analytical Processing ou Processamento Analítico em Tempo Real.

OLTP: Online Transaction Processing ou Processamento de Transações em Tempo Real.

Perímetro de Segurança: área de segurança física ou lógica sob controle da ANS, com o objetivo de proteger os ativos e informações seja de vazamento ou acessos não autorizados.

Privilégios: conjunto de ações permitidas a um usuário ou grupo de usuários em relação a um determinado elemento ou ambiente, como, por exemplo, permissão para ler, criar ou excluir arquivos em um determinado diretório.

Princípio da segregação de funções: princípio que determina que funções de execução, validação, homologação, aprovação e auditorias não devem ser delegadas a um mesmo indivíduo ou grupo.

Princípio do menor privilégio: princípio que determina que os usuários devem receber privilégios suficientes somente para execução de suas atividades profissionais.

Prova de Conceito: do inglês Proof of Concept (PoC), é um termo utilizado para denominar um modelo prático que possa provar o conceito (teórico) estabelecido por uma pesquisa ou artigo técnico. Em Tecnologia da Informação (TI), o termo pode ser relacionado ao desenvolvimento de um protótipo como ferramenta para provar a viabilidade de um projeto de rede de computadores.

Proxy: serviço intermediário entre clientes e servidores que possui finalidades como: compartilhar a conexão com a Internet, de modo que o proxy seja o único ativo realmente conectado à web; melhorar o desempenho do acesso a sites através de um cache proxy de páginas; bloquear acesso a páginas cujos conteúdos são proibidos pela Política de Segurança da Informação.

Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e da comunicação.

Recurso de Litígio: recurso do sistema de correio na nuvem para realização de cópias de segurança.

Recursos de Tecnologia da Informação e Comunicação: equipamentos utilizados para acesso, gerenciamento, armazenamento, proteção, tratamento e interpretação de informações, incluindo servidores de rede, serviços de rede, sistemas, estações de trabalho, dispositivos móveis, equipamentos de conectividade, link de dados e outros.

Recursos intangíveis: recursos que não aparecem nos registros contábeis da ANS e que não é possível valorá-los nem sequer aproximadamente, tais como reputação da ANS, confiança da sociedade, rotinas organizacionais, etc.

Recursos tangíveis: recursos que se pode ver, se pode tocar, se pode valorar, tais como equipamentos, prédios e instalações.

Rede interna: infraestrutura de rede sob controle da ANS, incluindo cabeamento, ativos de conectividade, servidores, estações de trabalho, dispositivos móveis, appliances, hardware e softwares.

Rede local: conjunto de equipamentos interligados localmente com o objetivo de disponibilizar serviços aos usuários de rede da ANS.

Rede sem fio: rede que permite a conexão entre computadores e outros dispositivos através da transmissão e recepção de sinais de rádio.

Registros de auditoria (logs): evidência gerada automaticamente devido à ocorrência de uma ação.

Repositório de informação: Local destinado ao armazenamento de informações independente da mídia em que se encontrem.

Restore: procedimento que se utiliza das cópias de segurança produzidas durante o procedimento de Backup para promover a recuperação total ou parcial do conteúdo de um ou mais servidores.

Risco: é a relação da probabilidade de uma vulnerabilidade ser explorada por um agente de ameaça com o respectivo impacto ao negócio.

Senha ou palavra-chave: é um conjunto de caracteres previamente convencionado entre duas partes como forma de reconhecimento para autenticar usuário.

Serviço de correio eletrônico: sistema centralizado de troca de mensagens eletrônicas utilizado para criar, enviar, responder, encaminhar, ler, trocar ou imprimir informações entre indivíduos e grupos de indivíduos.

Servidores: equipamentos responsáveis por disponibilizar acesso aos diversos serviços de rede, sejam eles aplicativos, armazenagem de dados ou tráfego.

SGBD: Sistema gerenciador de banco de dados.

Software: programa de computador desenvolvido para executar um conjunto de ações previamente definidas.

Spam: e-mails não solicitados que, geralmente, são enviados para grande número de pessoas com conteúdo comerciais, políticos, ideológicos que podem conter códigos maliciosos, além de gerar sobrecarga no serviço de correio eletrônico.

Storage: dispositivo com a finalidade de armazenamento de dados.

Tape Library: dispositivo de armazenamento que contém uma ou mais unidades de fita, certa quantidade de nichos para guardar cartuchos de fitas magnéticas, um leitor de código de barras para identificar cartuchos de fita e um método automatizado para inserir as fitas na unidade de leitura (um robô).

Tentativa de invasão: processo de busca e identificação de vulnerabilidades em um sistema computacional, aliado a técnicas de obtenção de acesso não autorizado ou utilização.

Termo de Responsabilidade e Sigilo: documento formal firmado entre a ANS e terceiros, com validade legal, que define questões de sigilo e responsabilidades, além das penalidades em casos de violações.

TIC: Tecnologia da Informação e Comunicação.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (LGPD, art. 5, X).

Tratamento de Incidentes de Segurança em Redes Computacionais: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e a identificação de tendências.

URL: sigla em inglês que significa Universal Resource Locator, em português, Alocador Universal de Recursos. É o nome amigável utilizado para localizar recursos na Internet.

Usuários: servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários, e outras pessoas que se encontrem a serviço da Administração Pública Federal, utilizando em caráter temporário os recursos tecnológicos da ANS, formalizado por meio da assinatura do Termo de Responsabilidade e Sigilo.

VM (Virtual Machine): recurso capaz de utilizar um único hardware para criar e executar vários computadores otimizando a utilização dos recursos.

VTL (Virtual Tape Library): equipamento que simula uma tape library através da utilização de discos rígidos em lugar de mídias de backup convencionais, possibilitando otimização dos processos de backup e restore.

Webmail: sistema que permite ao usuário acessar sua caixa postal de e-mail a partir de um navegador web.

Wi-Fi: do Inglês, Wireless Fidelity. Termo usado para se referir genericamente a redes sem fio que utilizam qualquer um dos padrões 802.11. Vide definição de Rede Sem Fio.

Workflow ou fluxo de trabalho: é a sequência de passos necessários para que se possa atingir a automação de processos de um negócio, de acordo com um conjunto de regras definidas, envolvendo a noção de processo, permitindo que este possa ser transmitido de uma pessoa para outra.

ANEXO II

TERMO DE RESPONSABILIDADE E SIGILO DA AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR

Eu, [USUÁRIO], inscrito no CPF/MF nº [CPF/MF], pelo presente instrumento, comprometo-me perante a Agência Nacional de Saúde Suplementar, doravante denominada ANS, na qualidade de usuário do ambiente computacional de propriedade da mesma, ao seguinte:

1. Conhecer e cumprir o disposto na Resolução Administrativa - RA nº 81, de 13 de março de 2023 que dispõe sobre a Política de Segurança da Informação da ANS, em toda a sua abrangência;

2. Conhecer e cumprir o disposto na Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709, de 14 de agosto de 2018), que dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

3. Tratar a informação como patrimônio e recurso que tem valor para a ANS, de modo a não praticar quaisquer atos que possam afetar a confidencialidade ou a integridade dessas informações;

4. Guardar sigilo e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas;

5. Em casos em que haja dúvida acerca da natureza confidencial ou não de uma informação, sempre tratá-la como sigilosa, até que venha a ser expressamente autorizado pelo representante legal da ANS a proceder de maneira diferente;

6. Utilizar com responsabilidade e devida cautela os dados e informações impressas ou nos sistemas informatizados da ANS, certificando-me de bloquear minha estação de trabalho e guardar documentos que exigem sigilo sempre que me ausentar do local de trabalho, bem como não transferir nenhum tipo de arquivo ou dado que pertença à ANS para outro local ou mídia, salvo quando expressamente autorizado, de forma a evitar sua exposição a pessoas não autorizadas;

7. Acessar somente as informações disponibilizadas pela ANS às quais estou autorizado, podendo responder, perante esta Agência, auditorias ou autoridades do país, por acessos ou tentativas de acessos indevidos realizados com a minha identificação/autenticação e por uso indevido da informação;

8. Utilizar, exclusivamente para o desempenho das minhas atividades profissionais junto à ANS, as informações disponibilizadas e os sistemas/produtos cuja propriedade ou direito de uso foram adquiridos por esta Agência;

9. Estar ciente de que toda informação armazenada e processada no ambiente computacional da ANS pode ser monitorada, registrada e utilizada em procedimentos de auditoria;

10. Guardar segredo de minha autenticação de acesso (senha) ao ambiente computacional, não cedendo, não transferindo, não divulgando e nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas através desse acesso;

11. Informar à ANS sempre que exista a suposição de revelação da minha autenticação de acesso (senha) a terceiros;

12. Utilizar apenas produtos fornecidos pela ANS, com cópias originais e contratados/adquiridos oficialmente e autorizados para o meu uso;

13. Seguir as orientações da unidade responsável pela gestão de tecnologia da informação e comunicação na ANS relativas à instalação, manutenção e uso adequado dos equipamentos;

14. Comunicar ao meu superior hierárquico a ocorrência de qualquer violação das regras acima, ainda que não intencional, bem como qualquer evento que implique em possível impedimento de cumprir os procedimentos de segurança estabelecidos;

15. Estar ciente de que todas as responsabilidades dispostas neste documento se aplicam igualmente a todos os recursos providos pela ANS, independentemente do local de trabalho, incluindo o trabalho remoto, realizado fora das dependências desta Agência. E que a não observância dessas regras pode resultar na suspensão dos recursos de acesso remoto à rede da ANS de forma temporária ou permanente, sem prejuízo da apuração de responsabilidade criminal, civil e administrativa eventualmente existente, em decorrência das ações ou omissões que possam pôr em risco ou comprometer a rede desta Agência;

16. Tratar as informações pessoais a que tiver acesso no desenvolvimento de atividades profissionais de acordo com a legislação vigente e com as determinações da ANS;

17. Tratar as informações pessoais somente para as finalidades determinadas pela ANS, bem como estar ciente sobre os direitos dos titulares de dados pessoais; e

18. Estar ciente de que as responsabilidades dispostas neste documento perdurarão inclusive após a cessação do meu vínculo contratual com a ANS e abrangem as atuais informações e as que venham a ser de propriedade desta Agência futuramente.

Desta forma, assumo inteira responsabilidade pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude da não observância do acima exposto.

O presente termo é firmado em 02 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

____________________________________________________________

(local, data e assinatura) CPF: ________________________

____________________________________________________________

(assinatura da testemunha) CPF: ________________________

ANEXO III

TERMO DE RESPONSABILIDADE E CONSENTIMENTO LIVRE E ESCLARECIDO PARA O USO DE SISTEMAS DE INFORMAÇÃO DE PROPRIEDADE OU CUSTODIADOS PELA AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR

Eu, [USUÁRIO] inscrito no CPF/MF nº [CPF/MF] declaro estar ciente das minhas responsabilidades ao utilizar sistemas de informação de propriedade ou custodiados pela Agência Nacional de Saúde Suplementar - ANS e me comprometo a cumprir as determinações constantes deste Termo, bem como da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709, de 14 de agosto de 2018), a saber:

1. Seguir os termos de uso do sistema de processo eletrônico e das interfaces por meio digital disponibilizadas pela ANS, inclusive quanto ao recebimento de qualquer notificação oficial de processos em trâmite por meio eletrônico, quando do meu cadastro ou da empresa que represento nos sistemas informatizados da ANS;

2. Tratar as informações e os dados pessoais a que tiver acesso somente para as finalidades definidas pela ANS e de acordo com a legislação vigente e com as determinações da ANS;

3. Utilizar os dados e informações dos sistemas informatizados da ANS com a necessária cautela, especialmente quando exibidos em tela, impressos ou gravados em quaisquer meios ou mídias, a fim de evitar sua exposição e a ciência por pessoas não autorizadas;

4. Não revelar fato ou informação de qualquer natureza obtida dos sistemas informatizados da ANS de que tenha conhecimento por força de minhas atribuições, salvo em decorrência de decisão competente na esfera administrativa ou judicial, bem como de autoridade superior;

5. Alterar minha senha sempre que solicitado pelo sistema, ou imediatamente, quando houver suspeita de ter sido descoberta por terceiros, devendo, neste caso, informar essa ocorrência à ANS;

6. Solicitar o imediato bloqueio do meu login em caso de perda, roubo ou extravio do meu certificado digital até que os procedimentos para revogação e emissão de um novo certificado sejam concluídos;

7. Respeitar as normas de segurança e as restrições impostas pelos sistemas de segurança implantados na ANS;

8. Observar e cumprir as boas práticas de segurança da informação, de acordo com as normas relativas à matéria, bem como este Termo; e

9. Responder, em todas as instâncias, pelas consequências das ações ou omissões de minha parte.

10. Declaro, ainda, meu consentimento livre e esclarecido de que:

a) É de minha responsabilidade assegurar a exatidão dos dados e informações por mim inseridas nos sistemas informatizados da ANS, devendo comunicar, por escrito, à minha chefia imediata quaisquer indícios ou possibilidades de irregularidades, de desvios ou falhas identificadas nos sistemas;

b) Devo conhecer e cumprir o disposto na LGPD, que dispõe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

c) É vedada a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas informatizados da ANS;

d) Sou responsável por todas as operações realizadas sob minhas credenciais de acesso e que as senhas de acesso aos sistemas informatizados da ANS são de uso pessoal e intransferível, sendo proibida sua divulgação a terceiros;

e) É passível de responsabilização criminal e civil o mau uso dos dados obtidos dos sistemas aos quais tenho acesso, sobretudo: facilitação de inserção ou inserção de dados falsos, alteração ou exclusão indevida de dados corretos dos sistemas informatizados da ANS ou bancos de dados da Administração Pública, com a finalidade de obter vantagem indevida para si ou para outrem, bem como inclusão, exclusão ou alteração indevida do sistema de informações ou programa de informática sem autorização de autoridade competente; e

f) Concordo em receber notificações oficiais de processos em trâmite por meio eletrônico nos sistemas informatizados da ANS, quando a mim dirigidas ou à empresa que represento.

[De acordo]

ANEXO IV

TERMO DE CONFIDENCIALIDADE PARA TROCA DE INFORMAÇÕES ENTRE ENTIDADES E ÓRGÃOS DA ADMINISTRAÇÃO PÚBLICA

Por meio deste termo de responsabilidade o órgão/entidade da Administração Pública [ÓRGÃO/ENTIDADE], inscrito no CNPJ sob o nº [CNPJ], situada na [ENDEREÇO E CEP], doravante denominado cessionário, compromete-se junto à Agência Nacional de Saúde Suplementar (ANS), CNPJ: 03.589.068/0001-46, situada na Avenida Augusto Severo, 84 - Glória, Rio de Janeiro - Rio de Janeiro, CEP 20021-040, doravante denominada cedente, a utilizar as informações de propriedade ou custodiadas por esta de acordo com a legislação vigente. O cessionário deve:

1. Tratar a informação como patrimônio e recurso que tem valor para a ANS e consequentemente para a Administração Pública, de modo a não praticar quaisquer atos que possam afetar a confidencialidade ou a integridade dessas informações;

2. Guardar sigilo, proteger e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas;

3. Em caso de dúvida acerca do nível de sigilo/restrição, sempre tratá-las como reservadas, até que venha a ser expressamente autorizado pelo cedente a proceder de maneira diferente, observando as questões legais envolvidas;

4. Utilizar com responsabilidade e devida cautela os dados e informações independentemente de seu formato (impressos, digitais, orais) ou mídias de armazenamento;

5. Não transferir ou compartilhar nenhum tipo de arquivo ou dado que pertença, esteja custodiado ou seja de responsabilidade do cedente para outro local ou mídia, salvo quando expressamente autorizado por este;

6. Utilizar as informações cedidas exclusivamente para o desempenho das competências legais, bem como das atividades corporativas acordadas ou determinadas pelo cedente, observando a legislação vigente;

7. Caso o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, o cessionário deve guardar segredo e proteger as credenciais de acesso (login e senha) ao ambiente computacional, não cedendo, transferindo, divulgando ou permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas por meio desse acesso;

8. Em casos em que o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, este se reserva o direito de monitorar todas as atividades do cessionário;

9. O cessionário deve informar ao cedente sempre que exista a suspeita de revelação ou vazamento de credenciais de acesso bem como dos dados pessoais cedidos;

10. Comunicar ao cedente a ocorrência de qualquer incidente ou violação das regras acima, ainda que não intencional, bem como qualquer evento que implique em possível impedimento de cumprir os procedimentos de segurança estabelecidos;

11. Estar ciente de que as responsabilidades dispostas neste documento perdurarão inclusive após a cessação do acesso às informações cedidas ou a conclusão das atividades acordadas entre o cedente e o cessionário, observando a legislação vigente;

12. Em casos em que as informações cedidas não sejam mais necessárias, o cessionário se compromete a descartá-las de forma que a sua recuperação seja impossível, observando as boas práticas e a legislação vigente;

13. O tratamento de dados pessoais deve ser realizado em conformidade com a lei nº 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); e

14. O compartilhamento atenderá ao disposto no Decreto nº 10.046 de 09 de outubro de 2019, para os órgãos e entidades da Administração Pública Federal.

Desta forma, o cessionário assume inteira responsabilidade pela guarda e proteção dos dados compartilhados, bem como pelos potenciais danos materiais ou financeiros, devidamente comprovados, em virtude da não observância do acima exposto e do ordenamento jurídico em vigor.

A assinatura deste termo independe da celebração de Termo de Cooperação, Convênio, Acordo de Cooperação Técnica ou instrumentos congêneres estabelecidos pela ANS.

O presente termo é firmado em 2 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

_________________________________________________________________

(local, data e assinatura do representante do cessionário e lotação) SIAPE: _____________

_________________________________________________________________

(assinatura do representante do cedente e lotação) SIAPE: _______________________

_________________________________________________________________

(testemunha) SIAPE: ________________________

ANEXO V

TERMO DE CONCORDÂNCIA E VERACIDADE

A realização do cadastro como Usuário Externo pessoa natural cadastrada e celebrante do presente Termo no Sistema Eletrônico de Informações da ANS - SEI/ANS importará na aceitação de todas as normas aplicáveis ao processo eletrônico e itens abaixo, admitindo como válida a assinatura eletrônica na modalidade cadastrada (login/senha), tendo como consequência a responsabilidade pelo uso indevido das ações efetuadas, as quais serão passíveis de apuração civil, penal e administrativa. São ainda de exclusiva responsabilidade do usuário externo cadastrado:

1. O sigilo da senha de acesso, não sendo oponível, em qualquer hipótese, alegação de uso indevido;

2. A conformidade entre os dados informados no formulário eletrônico de peticionamento e aqueles contidos no documento protocolizado, incluindo o preenchimento dos campos obrigatórios e anexação dos documentos essenciais e complementares;

3. A confecção da petição e dos documentos digitais em conformidade com os requisitos estabelecidos pelo sistema, no que se refere ao formato e ao tamanho dos arquivos transmitidos eletronicamente;

4. A conservação dos originais em papel de documentos digitalizados enviados por meio de peticionamento eletrônico até que decaia o direito da Administração de rever os atos praticados no processo, para que, caso solicitado, sejam apresentados à ANS para qualquer tipo de conferência;

5. A verificação, por meio do recibo eletrônico de protocolo, do recebimento das petições e dos documentos transmitidos eletronicamente;

6. A observância de que os atos processuais em meio eletrônico se consideram realizados no dia e na hora do recebimento pelo SEI, considerando-se tempestivos os atos praticados até às 23 horas e 59 minutos e 59 segundos do último dia do prazo, conforme horário oficial de Brasília, independentemente do fuso horário no qual se encontre o usuário externo;

7. A consulta periódica ao SEI ou ao sistema por meio do qual se efetivou o peticionamento eletrônico, a fim de verificar o recebimento de resposta à sua petição;

8. As condições de sua rede de comunicação, o acesso a seu provedor de internet e a configuração do computador utilizado nas transmissões eletrônicas; e

9. A observância dos períodos de manutenção programada, que serão sempre informadas com antecedência no sítio institucional da ANS na Internet.

O presente termo é firmado em 02 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

____________________________________________________________

(local, data e assinatura) CPF: ________________________

____________________________________________________________

(assinatura da testemunha) CPF: ________________________

_________________________________________________________________

(testemunha) SIAPE: ________________________

ANEXO VI

TERMO DE CONFIDENCIALIDADE PARA EMPRESAS CONTRATADAS

Eu, [REPRESENTANTE DA EMPRESA], representante da pessoa jurídica cadastrada e celebrante do presente Termo pelo presente instrumento, declaro perante a Agência Nacional de Saúde Suplementar, doravante denominada ANS, na qualidade de representante da empresa [EMPRESA CONTRATADA], portadora do CNPJ nº [CNPJ], estar ciente das minhas responsabilidades ao utilizar os sistemas e informações de propriedade ou custodiados pela Agência Nacional de Saúde Suplementar - ANS, porventura utilizados direta ou indiretamente durante o exercício das atividades acordadas e me comprometo a cumprir as determinações constantes deste Termo, bem como da lei nº 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), a saber:

1. Tratar as informações e os dados pessoais a que tiver acesso somente para as finalidades definidas pela ANS e de acordo com a legislação vigente;

2. Tratar a informação como patrimônio e recurso que tem valor para a ANS, de modo a não praticar quaisquer atos que possam afetar a confidencialidade ou a integridade dessas informações;

3. Entende-se como informações confidenciais quaisquer informações de forma escrita ou verbal, física ou digital, patenteada ou não, de qualquer natureza, que não seja considerada pública pela ANS;

4. Em provas de conceito, realizar os testes acordados sem a utilização de conteúdos sigilosos, restritos ou confidenciais dos bancos de dados da ANS, utilizando, para efeito de customização, somente informações referentes a estruturas e campos de tabelas para inserção de conteúdo fictício;

5. Em provas de conceito e testes, incluir nos relatórios gerados marca d'água ou qualquer outro mecanismo que indique claramente tratar-se de documentos de teste sem qualquer validade;

6. Quando inevitável o acesso a informações confidenciais, guardar sigilo e zelar pela sua privacidade sem divulgá-las para pessoas não autorizadas;

7. Em casos em que haja dúvida acerca da natureza confidencial ou não de uma informação, sempre tratá-la como sigilosa, até que venha a ser expressamente autorizado pelo representante legal da ANS a proceder de maneira diferente;

8. Acessar somente as informações disponibilizadas pela ANS às quais estou autorizado, podendo responder perante esta Agência, auditorias ou autoridades do país, por acessos ou tentativas de acessos indevidos realizados com a minha identificação/autenticação e por uso indevido da informação;

9. Comprometer-se a excluir de forma segura qualquer informação concedida pela ANS, bem como qualquer relatório ou produto criado com bases nestas, após o término do serviço prestado;

10. Informar previamente todas as ferramentas, sistemas e softwares utilizados no serviço prestado à ANS e que tipo de acesso ou manipulação de dados são realizados por esses;

11. Sempre que possível, utilizar os sistemas/produtos cuja propriedade ou direito de uso foram adquiridos por esta Agência;

12. Estar ciente de que toda informação armazenada e processada no ambiente computacional da ANS pode ser monitorada, registrada e utilizada em procedimentos de auditoria;

13. Guardar segredo de minha autenticação de acesso (senha) ao ambiente computacional, não cedendo, não transferindo, não divulgando e nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas através desse acesso;

14. Seguir as orientações da unidade responsável pela gestão de tecnologia da informação e comunicação na ANS relativas à instalação, manutenção e uso adequado dos equipamentos;

15. Comunicar à gestão da unidade de tecnologia da informação e comunicação a ocorrência de qualquer violação às regras acima, ainda que de forma não intencional, bem como qualquer evento que implique em possível impedimento de cumprir os procedimentos de segurança estabelecidos;

16. Garantir que todos os colaboradores da empresa autorizada a prestar serviço à ANS que tiverem acesso lógico ou físico aos recursos tecnológicos e/ou dependências internas da ANS assinem, individualmente, seus respectivos Termos de Responsabilidade e Sigilo disponibilizados por esta Agência;

17. Estar ciente de que todas as responsabilidades dispostas neste documento se aplicam igualmente a todos os serviços prestados à ANS, incluindo aqueles realizados fora de suas dependências por meio de acesso remoto à rede desta Agência;

18. Estar ciente de que as ações ou omissões que possam pôr em risco a imagem da ANS, comprometer a rede ou causar qualquer prejuízo a esta Agência, que sejam decorrentes da não observância das regras impostas neste documento, poderão resultar na apuração de responsabilidade criminal, civil e administrativa;

19. Estar ciente de que as responsabilidades dispostas neste documento perdurarão inclusive após a cessação do serviço prestado à ANS e abrangem as atuais informações e as que venham a ser de propriedade desta Agência futuramente.

Desta forma, assumo inteira responsabilidade pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude da não observância do acima exposto.

O presente termo é firmado em 02 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

____________________________________________________________

(local, data e assinatura) CPF: ________________________

____________________________________________________________

(assinatura da testemunha) CPF: ________________________

_________________________________________________________________

(testemunha) SIAPE: ________________________

ANEXO VII

TERMO DE CONFIDENCIALIDADE PARA CESSÃO OU COMPARTILHAMENTO, A TERCEIROS, DE INFORMAÇÕES DE PROPRIEDADE DA ANS OU DE BASES DE DADOS CUSTODIADAS

Por meio deste termo de responsabilidade, eu [USUÁRIO] inscrito no CPF/MF nº [CPF/MF], representante legal da empresa/instituição [EMPRESA/INSTITUIÇÃO], inscrita no CNPJ sob o nº [CNPJ], nos termos da procuração em anexo, doravante denominado cessionário, comprometo-me, junto à Agência Nacional de Saúde Suplementar (ANS), CNPJ: 03.589.068/0001-46, situada na Avenida Augusto Severo, 84 - Glória, Rio de Janeiro - Rio de Janeiro, CEP 20021-040, doravante denominada cedente, a utilizar as informações de propriedade ou custodiadas por esta de acordo com a legislação vigente.

O cessionário deve:

1. Tratar a informação como patrimônio e recurso que tem valor para a ANS e consequentemente para a Administração Pública Federal, de modo a não praticar quaisquer atos que possam afetar a confidencialidade ou a integridade dessas informações;

2. Guardar sigilo, proteger e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas;

4. Utilizar com responsabilidade e devida cautela os dados e informações independentemente de seu formato (impressos, digitais, orais) ou mídias de armazenamento;

7. Caso o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, o cessionário deve guardar segredo e proteger as credenciais de acesso (login e senha) ao ambiente computacional, não cedendo, transferindo, divulgando ou permitindo o seu conhecimento para pessoa jurídica de direito privado, sendo responsável por todas as ações realizadas por meio desse acesso;

8. Em casos em que o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, este se reserva o direito de monitorar todas as atividades do cessionário;

9. O cessionário deve informar ao cedente sempre que exista a suspeita de revelação ou vazamento de credenciais de acesso bem como dos dados pessoais cedidos;

13. O tratamento de dados pessoais deve ser realizado em conformidade com a lei nº 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

14. O compartilhamento atenderá ao disposto no Decreto nº 10.046 de 09 de outubro de 2019.

O presente termo é firmado em 2 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

_________________________________________________________________

(local, data e assinatura do representante do cessionário e lotação) SIAPE: _____________

_________________________________________________________________

(assinatura do representante do cedente) SIAPE: _______________________

_________________________________________________________________

(testemunha) SIAPE: ________________________

ANEXO VIII

TERMO DE CONFIDENCIALIDADE PARA CESSÃO OU COMPARTILHAMENTO, A PESQUISADORES, DE INFORMAÇÕES DE PROPRIEDADE DA ANS OU DE BASES DE DADOS CUSTODIADAS PARA FINS DE ESTUDOS ACADÊMICOS

Por meio deste termo de responsabilidade, eu [USUÁRIO] inscrito no CPF/MF n° [CPF/MF], doravante denominado cessionário, comprometo-me, junto à Agência Nacional de Saúde Suplementar - ANS, CNPJ: 03.589.068/0001-46, situada na Avenida Augusto Severo, 84 - Glória, Rio de Janeiro - Rio de Janeiro, CEP 20021-040, doravante denominada cedente, a utilizar as informações de propriedade ou custodiadas por esta, apenas para fins acadêmicos nos termos da legislação vigente.

O cessionário deve:

2. Guardar sigilo, proteger e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas;

4. Utilizar com responsabilidade e devida cautela os dados e informações independentemente de seu formato (impressos, digitais, orais) ou mídias de armazenamento;

6. Utilizar as informações cedidas exclusivamente para o desempenho das atividades acadêmicas ou de pesquisa às quais foram cedidas;

7. Caso o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, o cessionário deve guardar segredo e proteger as credenciais de acesso (login e senha) ao ambiente computacional, não cedendo, transferindo, divulgando ou permitindo o seu conhecimento para terceiros, sendo responsável por todas as ações realizadas por meio desse acesso;

8. Em casos em que o acesso às informações cedidas seja provido por meio de acesso ao ambiente computacional do cedente, este se reserva o direito de monitorar todas as atividades do cessionário;

9. O cessionário deve informar ao cedente sempre que exista a suspeita de revelação ou vazamento de credenciais de acesso bem como dos dados pessoais cedidos;

13. O tratamento de dados pessoais deve ser realizado em conformidade com a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); e

14. O compartilhamento atenderá ao disposto no Decreto nº 10.046, de 9 de outubro de 2019.

O presente termo é firmado em 2 (duas) vias, de igual teor e forma, para um só efeito, perante testemunha.

_________________________________________________________________

(Local, data e assinatura do representante do cessionário) SIAPE: _____________

_________________________________________________________________

(assinatura do representante do cedente) SIAPE: _______________________

_________________________________________________________________

(testemunha) SIAPE: ________________________

Saúde Legis - Sistema de Legislação da Saúde

RESOLUÇÃO ADMINISTRATIVA ANS Nº 81, DE 13 DE MARÇO DE 2023

PAULO ROBERTO REBELLO FILHO Diretor-Presidente

PAULO ROBERTO REBELLO FILHO
Diretor-Presidente