Secretaria de Auditoria Interna – SEAI

DETERMINAÇÕES/RECOMENDAÇÕES DO TCU
No quadro a seguir estão relacionadas determinações/recomendações do Tribunal de Contas da
União – TCU com a identificação do respectivo processo de origem e a descrição das
providências adotadas no âmbito do Tribunal de Justiça do Distrito Federal e dos Territórios –
TJDFT:
Deliberações do TCU
Caracterização da determinação/recomendação do TCU
Comunicação Data da
Processo Acórdão Item
expedida ciência
Ofício 0443/2018-
017.368/2016-2 1832/2018 - Plenário 9.1 e 9.2 11/9/2018
TCU/Sefti
Órgão/entidade/subunidade destinatária da determinação/recomendação

TJDFT/COVG

1) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s)

Itens 9.1 e 9.2 do Acórdão 1832/2018:
9.1. determinar às organizações fiscalizadas, com base no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, II, do
Regimento interno do TCU que, no prazo de 180 dias, adotem as providências necessárias para:
9.1.1. corrigir as desconformidades identificadas, com base no resultado da avaliação individualizada feita por
este Tribunal, constantes dos relatórios específicos elaborados para cada uma das organizações, de forma a
publicar em suas páginas de transparência na internet, as informações que devem ser obrigatoriamente
divulgadas conforme os normativos de transparência aplicáveis, em especial aquelas relativas:
9.1.1.1. a licitações e contratos (art. 8º, IV, da Lei 12.527/2011) ; a receitas e despesas (art. 48A da LC 101/2000;
art. 8º, § 1º, III, da Lei 12.527/2011) ; à execução orçamentária e financeira (art. 48, II, da LC 101/2000) ; a
remunerações, diárias e passagens (art. 94, II e IV, da Lei 13.242/2015) ; à prestação de contas, a auditorias e
inspeções (art. 48, caput, da LC 101/2000; art. 7º, VII, “b”, da Lei 12.527/2011) ; a informações institucionais (art.
8º, § 1º, I, da Lei 12.527/2011) ; e a indicadores de desempenho, metas e resultados; e a programas, ações,
projetos e obras (art. 7º, VII, “a”, c/c o art. 8º, § 1º, V, da Lei 12.527/2011) ;
9.1.1.2. ao rol de informações classificadas e desclassificadas (art. 30, I e II, da Lei 12.527/2011) ;
9.1.1.3. às audiências públicas, às consultas públicas e às ouvidorias (art. 9º, II, da Lei 12.527/2011);
9.1.1.4. ao Serviço de Informações ao Cidadão, seja presencial ou eletrônico, e ao relatório estatístico sobre os
pedidos de acesso à informação (art. 9º, I, c/c o art. 10, art. 30, III, da Lei 12.527/2011, e arts. 14 e 15, da Lei
13.460/2017);
9.1.3. desenvolver suas respectivas páginas de transparência em aderência aos requisitos estabelecidos pelo
Modelo de Acessibilidade de Governo Eletrônico (e-MAG) , de forma a apoiar o cumprimento do art. 8º, § 3º, VIII,
da Lei 12.527/2011 e do art. 63, caput, da Lei 13.146/2015.
9.2. recomendar às organizações fiscalizadas, com fulcro no art. 43, II, da Lei 8.443/1992 c/c o art. 250, III, do
Regimento Interno do TCU, que:
9.2.1. adotem providências para elaborar e publicar em suas respectivas páginas de transparência na internet a
“Carta de Serviços ao Usuário”, nos termos do art. 7º, caput e §§1º a 5º, da Lei 13.460/2017, e para realizar
avaliação dos serviços públicos prestados e divulgar os resultados das avaliações, conforme o art. 23, da Lei
13.460/2017, tendo em visto a iminência da entrada em vigor da referida Lei;
9.2.2. observem as orientações contidas na Seção B.III, item 3 – Participação Social, do “Guia para publicação
proativa de informações nos sítios eletrônicos dos órgãos e entidades do Poder Executivo Federal” ao
divulgarem, nas suas respectivas páginas de transparência na internet, as informações relativas aos mecanismos
de participação popular previstos no art. 9º, II, da Lei 12.527/2011;

OBS: Essas determinações/recomendações foram atendidas no exercício de 2020.

Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)

No período de julho de 2019 a março de 2020, a Secretaria de Auditoria Interna realizou o Levantamento da
Transparência no Âmbito do TJDFT. O relatório está disponível no PA0015474/2019, doc. 1341938.

O objetivo do levantamento consistiu na coleta de informações sobre a situação da transparência no âmbito do

TJDFT, bem como na identificação de possíveis pontos de melhoria, especialmente quanto às recomendações do
TCU constantes do Acórdão 1.832/2018.
No entanto, no decorrer do exercício de 2019 surgiram, concernentes à temática, atualizações normativas e
administrativas que culminaram em novas ações deste Tribunal, bem como de avaliações por parte dos Órgãos
de controle. Dentre elas encontram-se a publicação da Carta de Serviços ao Cidadão do TJDFT, o resultado do
ranking da transparência de 2019 do Poder Judiciário e o Prêmio CNJ de Qualidade.

Além do Relatório de Levantamento, o Acórdão nº 798/2020 - TCU - Plenário, referente ao TC 027.946/2019-3,

Relatório de Acompanhamento, de 8 de abril de 2020, confirmou o cumprimento dos subitens 9.1.1.1, 9.1.1.2,
9.1.1.3, 9.1.1.4 e 9.1.3 do Acórdão 1.832/2018-TCU-Plenário.

2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Parcialmente atendido - 9.1.2. adequar seus portais na internet aos requisitos de transparência especificados no
art. 8º, § 3º, I, II e III, da Lei 12.527/2011, segundo avaliação individualizada feita por este Tribunal, constantes
dos relatórios específicos elaborados para cada uma das organizações, de forma a: fornecer efetiva ferramenta
de pesquisa que retorne resultados compatíveis com os parâmetros informados; publicar, em formato aberto, os
relatórios já disponibilizados em outros formatos; e evitar o uso de mecanismos que limitem o acesso
automatizado às informações públicas contidas nas seções de transparência dos portais;

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

Quanto à determinação 9.1.2, que se encontra parcialmente atendida:

O Despacho SEATI (doc. 1412275), no PA 0015474/2019, destacou que “a ação "GV09 - Disponibilizar dados
abertos, classificados de acesso público, com seus metadados no portal", do PDTIC 2020 - Plano Diretor de TIC,
coordenada pela SUGIT/SEATI em parceria com a Ouvidoria, onde estamos promovendo os estudos técnicos
para viabilizar a disponibilização de dados abertos no portal do TJDFT na Internet.

Nas reuniões de trabalho da equipe envolvida no projeto, ficou decidido pela utilização da ferramenta CKAN, que
é um sistema de gerenciamento de dados que torna os dados acessíveis, fornecendo ferramentas para otimizar a
publicação, o compartilhamento, a localização e o uso de dados. O CKAN é um software livre de código aberto,
com comunidade ativa de colaboradores que desenvolvem e mantêm sua tecnologia principal, que não
necessitará de investimento de recursos orçamentários para aplicação no TJDFT. Os estudos técnicos com a
ferramenta já estão em estágio avançado e comprovaram sua eficácia.

A Portaria Conjunta 32 de 17 de abril de 2018 instituiu a política de dados abertos no âmbito do TJDFT e, em
virtude a reestruturação da CGTI ocorrida em meados de 2018, necessita de uma revisão geral, verificando as
unidades administrativas que sofreram alterações na reestruturação, bem como se faz necessária a indicação de
unidade administrativa que ficará com as responsabilidades anteriormente atribuídas a extinta Assessoria de
Apoio à Governança de Tecnologia da Informação e Comunicação e de Segurança da Informação – AGSI. A
portaria conjunta estabelece que as ações de publicação de dados abertos no portal devem constar no PDA -
plano de dados abertos, de periodicidade bienal elaborado por equipe de trabalho GTDA, cuja composição
deverá ser definida no respectivo PDA. Há necessidade também de verificar a conformidade da portaria conjunta
com a Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais - LGPD.”

Dando seguimento ao processo, conforme Despacho CGTI (doc. 1481868), a vigência da Lei Geral de Proteção
de Dados - LGPD se deu recentemente, a partir de 18/09/2020, após processo legislativo conturbado, com a
definição da vigência das disposições relativas às sanções administrativas a partir de 1º de agosto de 2021.

Soma-se a isso que, a Autoridade Nacional de Proteção de Dados - ANPD - responsável por aplicar sanções,
orientar e esclarecer sobre diversos aspectos relativos à aplicabilidade da LGPD, teve sua primeira diretoria
aprovada pelo Senado Federal somente dias atrás (20/10/2020), não estando, portanto, efetivamente constituída
e atuante ainda, o que impede que este órgão regulador promova análises mais detidas sobre diversas
disposições da LGPD, para que estas se integrem perfeitamente ao ordenamento jurídico nacional e até
internacional.

Nesse sentido, a ANPD deve fazer a integração das normas aplicáveis à proteção de dados definidas no Art. 55-J
da LGPD.

A seu turno, recentemente, o CNJ, ao demonstrar preocupação voltada à adequação da LGPD pelos tribunais,
constituiu grupo de trabalho por meio da Portaria n. 212 de 15/10/2020, destinado à elaboração de estudos e de
propostas voltadas à adequação dos tribunais à Lei Geral de Proteção de Dados e dá outras providências.

Ao adentrar na discussão acerca da pertinência entre os diplomas, após estudos elaborados por esta CGTI, estes
se tornaram prejudicados em face da, também recente, instituição pelo CNJ, do Comitê Consultivo de Dados
Abertos e Proteção de Dados no âmbito do Poder Judiciário, por meio da Resolução Nº 334 de 21/09/2020

Dessa forma, diante dos fatos relacionados à efetivação da ANPD, constituição dos grupo de trabalho e comitê
consultivo pelo CNJ, voltados especificamente à análise e suporte ao Judiciário de temas como o debatido neste
feito, a CGTI opina que seria de bom alvitre aguardar as conclusões desses colegiados, evitando-se conclusões
dissonantes com aquelas originadas no Conselho Nacional de Justiça, e que nortearão a execução da política de
dados abertos em observância aos direitos e garantias previstos na LGPD no âmbito do Poder Judiciário.

Diante das informações prestadas pela SEATI e CGTI, a SEG, no Despacho SEG (doc. 1622768), encaminhou o
processo ao Gabinete dos Juízes Assistentes da Presidência - GJP, para verificar a possibilidade de inclusão das
questões levantadas no Despacho 1481868 na pauta do CGSI, uma vez que a Secretaria de Apoio à Governança
e Gestão Integrada de TI apontou para a necessidade de se analisar a pertinência da Política de Dados Abertos -
PDA do TJDFT com a Lei 13.708 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados - LGPD, c/c a
Resolução 9, de 02/09/2020, que instituiu a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do
TJDFT. A CGTI solicita o apoio do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais -
CGSI, objetivando a atuação do Grupo de Trabalho sobre Dados Abertos - GTDA, nos termos dos artigos 15 e
seguintes da Portaria Conjunta 32, de 17/04/2018.

Por seu turno, o presidente do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais –
CGSI, por meio do Despacho (doc. 1644067) ponderou que, para o avanço do tema dados abertos no âmbito do
TJDFT, é preciso que as ponderações apresentadas pela SEATI (doc. 1412275) e CGTI (doc. 1481868) relativas,
sobretudo, à conformidade da Portaria Conjunta 32 de 17 de abril de 2018 com a Lei 13.709/2018, Lei Geral de
Proteção de Dados Pessoais - LGPD, sejam analisadas e deliberadas. Assim, encaminhou os autos para
inclusão na pauta do Comitê de Gestão de Tecnologia da Informação - CGETI, conforme competência prevista no
art. 3º-A, inciso XVII, da Portaria GPR 1982/2016. O assunto foi inserido no backlog do Comitê de Gestão de
Tecnologia da Informação (CGETI), sob o número de identificação 1.859.091.

O assunto foi objeto de análise e deliberação pelo Comitê de Gestão de Tecnologia da Informação (CGETI) na
34ª Reunião, realizada no dia 9 de junho de 2021, conforme atesta a respectiva ata (doc. 1867123). Foi aprovada
a proposta de encaminhar os processos ao comitê multidisciplinar que será criado para tratamento das matérias
relativas à governança de dados institucionais, dados abertos e transparência, para deliberação.

Por meio do Despacho SETI (doc. 2016385), foi informado que as equipes da COSOFT desenvolveram uma
versão da estrutura de dados que deve ser objeto da publicação em formato Excel, encontrando-se atualmente
em fase de homologação com a equipe da Secretaria de Recursos Materiais (SEMA). Dessa forma, a solução ora
implementada permitiu que os objetivos fossem alcançados sem a necessidade de se promover um projeto
específico, além dos consectários como encaminhamento ao CGTIC para repriorização da demanda frente
aquelas que já figuram no PDTIC, além da realocação de recursos, conforme narrado no despacho SETI (doc.
1862636).

Em face do exposto, os autos foram encaminhados à SEG para ciência, com a sugestão de encaminhamento à
Assessoria de Soluções em Sistemas Administrativos da Secretaria-Geral (ASIS), a fim de ser realizado trabalho
similar em relação aos dados de recursos humanos.
 Comunicação Data da
Processo Acórdão Item
expedida ciência
572/2021 TCU Ofício
TC 046.820/2020-5 TCU 9.1 e 9.2
Plenário 12.093/2021 22/03/2021
TCU - Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação

Tribunal de Justiça do Distrito Federal e dos Territórios

1) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s)
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário,
ante as razões expostas pelo Relator, em:
9.1. com fundamento no art. 113, § 1º, da Lei 8.666/1993, c/c os arts. 235 e 237, inciso VII, do
Regimento Interno/TCU, conhecer da presente Representação, para, no mérito, considerá-la
improcedente;
9.2. nos termos do art. 11 da Resolução/TCU 315/2020, recomendar ao TJDFT que avalie a
conveniência e a oportunidade de possibilitar, no âmbito do Pregão Eletrônico 52/2020, a
subcontratação parcial e/ou a participação de consórcio de empresas, com vistas a ampliar o
universo de interessados em participar da disputa;
9.3. enviar cópia desta deliberação à empresa representante; e
9.4. arquivar este processo, com base no art. 169, inciso III, do Regimento Interno/TCU.

Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)

O Tribunal de Contas da União apreciou os autos do TC 046.820/2020-5 que trata de
Representação formulada pela empresa A. Telecom Teleinformática Ltda., com pedido de
medida cautelar, acerca de possíveis irregularidades no Pregão Eletrônico 52/2020 conduzido
pelo Tribunal de Justiça do Distrito Federal e dos Territórios - TJDFT, referente à contratação
de serviço de telefonia.
Conheceu da Representação e no mérito considerou improcedente.
No item seguinte recomendou ao TJDFT que avalie a conveniência e oportunidade de
possibilitar, no âmbito do Pregão Eletrônico 52/2020, a subcontratação parcial e/ou a
participação de consórcio de empresas, com vistas a ampliar o universo de interessados em
participar da disputa.
O TCU em processo apenso 014.202/2021-2 (Acórdão 2060/2021) realizou o monitoramento
da recomendação do Acórdão 572/2021. Notificou o TJDFT pelo Ofício 50815/2021 Seproc
com ciência registrada em 08/09/2021.
Deliberação: Os Ministros do Tribunal de Contas da União ACORDAM, por unanimidade, com
fundamento no art. 143, incisos III e V, alínea a, do Regimento Interno/TCU, c/c os arts. 36, 37
e 40, inciso I, da Resolução TCU 259/2014, e considerando o cumprimento da recomendação
constante do subitem 9.2 do Acórdão 572/2021 '' Plenário, em apensar o presente processo,
em definitivo, ao TC-046.820/2020-5 (Representação), sem prejuízo de encaminhar cópia
desta deliberação ao Tribunal de Justiça do Distrito Federal e dos Territórios '' TJDFT, de
acordo com o parecer da unidade técnica: PRAZO PARA CUMPRIMENTO: *********

2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

 Comunicação Data da
Processo Acórdão Itens
expedida ciência
Ofício
1.109/2021
TC 036.620/2020-3 9.1 a 9.5 043.702/2021- 13/08/2021
TCU-Plenário
TCU-Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação

Organizações Públicas Federais

Tribunal de Justiça do Distrito Federal e dos Territórios

1) Descrição da(s) determinação(ões)/recomendação(ões)

VISTOS, relatados e discutidos estes autos de auditoria com vistas a avaliar a efetividade dos procedimentos de
backup das organizações públicas federais;
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário, ante as razões
expostas pelo Relator, em:
9.1 recomendar ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), ao Conselho
Nacional de Justiça (CNJ) e ao Conselho Nacional do Ministério Público (CNMP), com fundamento no art. 11 da
Resolução - TCU 315/2020, que editem normativos para, cada um no seu âmbito de governança, orientar os
gestores e regulamentar a obrigatoriedade de que as entidades e órgãos públicos aprovem formalmente e
mantenham atualizadas políticas gerais e planos específicos de backup (para suas bases de dados e sistemas
críticos, por exemplo), contemplando requisitos mínimos para endereçar os cinco subcontroles do controle 10
(Data Recovery Capabilities) do framework preconizado pelo Center for Internet Security (CIS), em especial
quanto à definição do escopo dos dados a serem copiados, suas respectivas periodicidades, tipos, quantidades
de cópias, locais de armazenamento, tempos de retenção e outros requisitos de segurança;
9.2. informar da presente decisão à Secretaria Executiva do Gabinete de Segurança Institucional da Presidência
da República, ao Conselho Nacional de Justiça, ao Conselho Nacional do Ministério Público, à Secretaria
Especial de Modernização do Estado da Secretaria-Geral da Presidência da República, bem como às demais
organizações públicas auditadas;
9.3. autorizar a Secretaria de Fiscalização de Tecnologia da Informação:
9.3.1 a encaminhar a cada instituição fiscalizada o seu respectivo relatório de feedback de modo a permitir o
desenvolvimento de ações de melhoria na gestão da segurança da informação;
9.3.2. em conjunto com a Segecex, observada eventual necessidade de despersonificação e de reserva
quanto a questões específicas, a dar ampla divulgação a informações agregadas e consolidadas nos
produtos derivados da execução desta auditoria, a fim de alavancar os esforços de adoção de boas práticas e
de cumprimento de normas de segurança da informação e de segurança cibernética pelos órgãos da APF;
9.4 retornar os autos Secretaria de Fiscalização de Tecnologia da Informação para que ela promova a autuação
de processo apartado do tipo acompanhamento, com fundamento nos art. 241 e 242 do Regimento Interno deste
Tribunal e nos termos do art. 24, parágrafo único, da Resolução-TCU 175/2005, com vistas a dar continuidade à
avaliação dos controles críticos de segurança cibernética no âmbito dos órgãos e entidades da Administração
Pública federal, e consoante o disposto no levantamento que resultou no Acórdão 4.035/2020-TCU-Plenário;
9.5. arquivar o presente processo, com fulcro no art. 169, inciso V, do RI/TCU.
Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)
O Tribunal de Contas da União apreciou os autos do TC 036.620/2020-3 que trata de auditoria com vistas a
avaliar a efetividade dos procedimentos de backup das organizações públicas federais.
Em atendimento ao item 9.3.1 do referido acórdão, encaminhou o Relatório Individual de Autoavaliação, bem
como os Relatórios Comparativos de Feedback dos subgrupos.
O Relatório Individual registra as respostas fornecidas pelo TJDFT, e com o intuito de ajudar o gestor a evoluir os
subcontroles avaliados na auditoria, traz comentários e sugestões dos auditores derivadas das análises das
respostas individuais e das evidências submetidas.
Os Relatórios Comparativos, a seu turno, trazem as respostas de subgrupos de organizações com certa
similaridade, definidos no âmbito da auditoria, de modo que o gestor possa comparar a situação da sua
organização (retratada no Relatório Individual) com as realidades de um conjunto de organizações similares e,
assim, sinta-se motivado a aperfeiçoar esses subcontroles.
A SETI tomou ciência do Acórdão 1109/2021 - TCU Plenário, em 13/08/2021, por meio do Ofício 43702/2021
TCU-SEPROC e dessa forma encaminhou as informações aos setores AGM e SUSOT para adoção de medidas:
À AGM para promover os devidos registros decorrentes do Acórdão 1109/2021 – TCU – Plenário, e para
promover o monitoramento das ações de adequação sugeridas pela Corte de Contas;
À SUSOT para conhecimento das medidas de aprimoramento da maturidade sugeridas pelo TCU, e para
formular, juntamente com o auxílio da SUDES e SUATI, relatório que elenque as ações necessárias à
implementação das medidas em curto, médio e longo prazo, além daquelas que demandem a participação de
áreas diversas das existentes na estrutura da SETI, bem assim, aquelas cuja implementação não se mostre
adequada para a realidade do Tribunal.
A SUSOT também deverá apresentar plano de trabalho de implementação das medidas apontadas pelo TCU,
com a manifestação preliminar da SUATI acerca dos impactos junto ao PDTIC.
Após elaborados tais documentos, o tema deverá ser encaminhado à AGM, para a inclusão em pauta perante o
Comitê de Gestão de TIC – CGETI, para que as deliberações resultantes sejam encaminhadas ao CGTIC e
CGSI.

Política de Backup.
A política de backup é um acordo da área de TI com a área de negócio (“dona” dos dados e/ou sistemas),
de caráter geral, no qual são documentados de quais dados (bases de dados, sistemas de arquivos, imagens de
servidores etc.) serão feitos os backups, bem como as respectivas periodicidades (diária, semanal, mensal etc.),
tipos (completo, diferencial ou incremental), quantidades de cópias, locais de armazenamento, tempos de
retenção das cópias e requisitos específicos de segurança em função dos dados copiados (controle de acesso,
localização remota, criptografia etc.).
Esses requisitos podem variar de acordo com cada base de dados ou sistema da organização e, para as
bases de dados / arquivos sistemas / aplicativos / servidores mais críticos, esses requisitos podem, ainda, ser
detalhados em documentos específicos, chamados planos (ou procedimentos/roteiros) de backup.
Diante disso, a organização foi questionada quanto à existência de política de backup e, em caso
afirmativo, o documento correspondente foi solicitado para análise. “A organização possui política de backup (ou
instrumento normativo equivalente) documentada e aprovada formalmente?”
Para avaliar qualitativamente os documentos anexados pelos respondentes como sendo as políticas de
backup das respectivas organizações, foi utilizado um checklist elaborado com base no item 12.3.1 (Cópias de
segurança das informações) da norma ABNT NBR ISO/IEC 27002:2013, que especifica que “convém que cópias
de segurança [backups] das informações, dos softwares e das imagens do sistema sejam efetuadas e testadas
regularmente conforme a política de geração de cópias de segurança definida” (Anexo I).
Assim, considerando que a política de backup do órgão não coincide claramente com os requisitos
referidos, sugere-se o aperfeiçoamento da mesma para, sem prejuízo a outros aperfeiçoamentos que entender
necessários, abordar expressa e destacadamente em sua política os requisitos especificados a seguir:
1. que a política de backup (ou instrumento normativo equivalente) seja formalmente estabelecida;
2. que seja publicada/comunicada para as partes interessadas (titulares dos dados, usuários e gestores
dos sistemas etc.);
3. que a política estabeleça os planos/procedimentos/roteiros de backup de dados e de sistemas
específicos que devem ser definidos para atender as necessidades de negócio e/ou requisitos da
organização;
4. que a política estabeleça que as cópias de segurança devem ser testadas regularmente por meio de
testes de recuperação/restauração (restore), a fim de detectar eventuais falhas lógicas e físicas (nas
mídias de armazenamento);
5. que a política estabeleça que os planos/procedimentos/roteiros de backup devem definir requisitos
específicos de segurança da informação* paras as cópias de segurança realizadas (ex.: controles de
acesso lógico, uso de criptografia, armazenamento em local seguro, armazenamento em local remoto
seguro diferente do local original etc.). Observe que “Requisitos de segurança da informação” referem-se,
em especial, à confidencialidade, à integridade e à disponibilidade das informações. Porém, como esses
termos podem não ser citados na política, é preciso focar nos exemplos citados acima ou, então, checar se
a política registra a necessidade de os controles serem compatíveis com a segurança das informações ou
com a classificação das informações;
6. que a política estabeleça que os planos/procedimentos/roteiros de backup devem definir a
abrangência/escopo das cópias de segurança de dados e de sistemas (ou seja, aquilo que deve ser
copiado, incluindo indicações de datas/períodos) Ex.: quais arquivos de dados ou de sistema, quais bases
de dados, quais tabelas, quais pastas/folders etc.
7. que a política estabeleça que os planos/procedimentos/roteiros de backup devem definir a frequência de
realização das cópias de segurança (ex.: diária, semanal, mensal, anual etc.);
8. que a política estabeleça que os planos/procedimentos/roteiros de backup devem definir os tipos de
cópias a serem realizadas (completa/full, incremental ou diferencial);
 9. que a política estabeleça que os planos/procedimentos/roteiros de backup devem definir o tempo de
retenção das cópias de segurança, inclusive com base em requisitos legais.
EM ATENDIMENTO: A SUSOT informou que foi verificada a necessidade de atenção diferenciada quanto ao
item 5.
Quanto aos demais itens considera que existe política de backup publicada, Portaria Conjunta 105/2016,
com os itens constantes do checklist, porém existe necessidade de aperfeiçoamento das políticas de testes
periódicos (itens 4 e 5 do checklist da norma ABNT NBR ISO/IEC 27002:2013).
O NAUDTI, por meio do Despacho 2301418 (PA SEI 0018632/2020), alerta quanto a necessidade de
aperfeiçoamento, inclusive, dos itens 3, 6 e 8 do checklist da norma ABNT NBR ISO/IEC 27002:2013.

Subcontrole 1: Realize cópias de segurança (backups) de todos os dados da organização, de forma regular e
automática.
Quando se fala em continuidade do negócio, a implementação deste subcontrole é crucial, pois permite
que a organização se recupere de um ataque ou da disseminação de um malware, por exemplo, que possam
comprometer seus dados. O Brasil lidera a lista dos países mais afetados por ataques de ransomware.
A auditoria avaliou a execução de cópias de segurança (backups) apenas em relação à principal base de
dados tratada diretamente pela organização.
ATENDIDA, haja vista que a auditoria do TCU avaliou a execução de cópias de segurança (backups) apenas em
relação à principal base de dados tratada diretamente pela organização, e que são realizados backups de todos
os dados dessa base de forma diária e automatizada.

Subcontrole 2: Realize cópias de segurança (backups) integrais dos sistemas críticos da organização, de forma
regular e automática.
Há três tipos principais de backup (completo, incremental e diferencial), cada um com seus prós e contras,
sobretudo no que se refere à rapidez com que os dados podem ser obtidos e restaurados.
Assim, uma organização com grau de maturidade mais elevado tende a definir e a manter um leque de
backups de tipos variados, sempre levando em consideração as particularidades do seu negócio, o seu apetite a
riscos, os custos associados e, principalmente, o trade-off (“perdas-e-ganhos”) entre o desempenho na execução
das cópias e a prontidão de sua eventual restauração, em caso de necessidade. Ela pode, por exemplo, executar
um backup completo (full) semanalmente, com backups incrementais diários.
Relativamente a seus sistemas críticos, convém que a organização assegure que sejam realizados
backups integrais (cópia/espelhamento da imagem dos servidores/máquinas envolvidos) periódicos, de modo
que, em caso de necessidade, tais sistemas possam ser recuperados em curtíssimo espaço de tempo (a
depender da criticidade do sistema, sua parada pode interromper/inviabilizar o negócio da organização como um
todo).
A auditoria avaliou a execução de cópias de segurança (backups) integrais apenas em relação ao servidor
ou conjunto de servidores/máquinas da própria organização que hospedam o principal sistema cuja gestão está
sob sua responsabilidade.
ATENDIDA, haja vista que a auditoria do TCU avaliou a execução de cópias de segurança (backups) apenas em
relação ao servidor ou conjunto de servidores/máquinas da própria organização que hospedam o principal
sistema cuja gestão está sob sua responsabilidade, e que são realizados backups integrais dessa base de forma
diária e automatizada.
Plano de Backup.
Para avaliar qualitativamente o documento anexado pelo respondente como sendo o plano de backup do
sistema referido na pergunta 2.2, também foi utilizado um checklist elaborado com base no item 12.3.1 (Cópias
de segurança das informações) da norma ABNT NBR ISO/IEC 27002:2013 (Anexo I).
Considerando que a política de backup e restauração do órgão não coincide claramente com os requisitos
de um plano de backup para o sistema referido na pergunta 2.2, sugere-se a elaboração de plano de backup
do sistema referido nessa pergunta, no qual conste no mínimo os requisitos previstos no checklist elaborado
com base no item 12.3.1 (Cópias de segurança das informações) da norma ABNT NBR ISO/IEC 27002:2013
(Anexo I).
EM ATENDIMENTO - A SUSOT informou que quanto ao plano de backup, que o plano atual abrange um amplo
escopo de arquivos e tabelas porém sem ratificação pelas áreas interessadas. As propostas de melhoria incluem
ações a serem executadas em curto e longo prazo com envolvimento das partes interessadas e dono dos dados.
A proposta de curto prazo envolve a implementação de templates na ferramenta de gestão de serviços de TI -
SMAX para encaminhamento de solicitações relacionadas a novos planos específicos de backup, por meio de
abertura de requisição na central de serviços, onde estarão definidas as obrigações contidas na portaria para fins
de aceitação do usuário. Em caso de desacordo será necessário que o demandante informe as necessidades
particulares para elaboração de um plano customizado de backup registrado dentro da ferramenta.
Os atuais planos de backup serão revisados. A ação incluída no PDTIC, sob o ID IF58, trata da adequação das
políticas e procedimentos de backup com esforço de longo prazo pois demandará a interação com todos os
gestores dos dados (administradores dos recursos na redação dada pela portaria) e diversas equipes de TI,
inclusive com a definição das políticas de testes necessárias.
Será objeto de análise a necessidade de adequação da atual solução de backup que hoje está em uso aos
termos do Acórdão supracitado, atividade a ser desenvolvida no Plano Anual de Contratações deste TJDFT, sob
o ID SETI_039, onde está prevista, entre outras coisas, a ampliação da capacidade. Atualmente, os backups de
retenção diária e semanal estão armazenados nos appliances localizados no datacenter principal (SLC) e os
backups de retenção mensal em fitas LTO, em ambiente apartado, entretanto, entendemos que o ideal seria que
inclusive os diários e semanais fossem replicados fora do ambiente para maior segurança e cumprimento integral
do Acórdão.
O NUADTI, por meio do Despacho 2301418 (PA SEI 0018632/2020), comunica que não foi acostado aos autos
nenhum Plano de Backup instituído no órgão ou plano de ação de curto e longo prazo visando o atendimento às
recomendações do Acórdão do TCU. Deixa claro, ainda, que os prazos estabelecidos no cronograma constante
do Despacho SUSOT 2145446 já expiraram. Dessa feita, solicita esclarecimentos quanto ao cumprimento das
devidas ações.
A SUSOT, por meio do Despacho 2314958, de 25/05/2022, acostou aos autos tabela com nova proposta de
cronograma e o status de cada atividade pendente:
a) formalizar os planos de backup e submetê-los aos gestores (nova proposta de cronograma: 30/05/2022)
– status: em andamento;
b) formalização de planos customizados para adequação das necessidades mapeadas com os gestores
(nova proposta de cronograma: 30/06/2022) – status: a planejar;
c) formalização do plano de teste de restauração randomizado (nova proposta de cronograma: 30/06/2022)
– status: a planejar;
d) execução, por amostragem, de testes de restauração em conjunto com o gestor (nova proposta de
cronograma: 30/08/2022) – status: a planejar.
Desde 25/05/2022 que não há novas manifestações e esclarecimentos da unidade competente.

Subcontrole 3: Realize, periodicamente, testes de restauração (restore) das cópias de segurança (backups) da
organização, de modo a atestar seu funcionamento em caso de necessidade.
Além de garantir seu perfeito funcionamento em casos reais nos quais seja necessário restaurar algum
backup, esses testes periódicos permitem que os gestores tenham maior clareza acerca dos custos associados à
manutenção de controles efetivos de backup/restore e, com isso, percebam que implementar esses controles na
organização, em geral, custa significativamente menos do que, em eventual caso de ransomware.
A auditoria avaliou a execução do procedimento de restauração (restore) apenas em relação à base de
dados referida na pergunta 1.2 (principal base de dados tratada diretamente pela organização) e ao servidor ou
conjunto de servidores/máquinas que hospedam o sistema referido na pergunta 2.2 (principal sistema hospedado
pela organização).
Sugere-se que a organização procure se estruturar para realizar os testes de restauração (restore)
dos backups ao menos mensalmente, tendo em vista que uma periodicidade superior a essa (realização
menos frequente do que uma vez por mês) aumenta o risco para a organização, inclusive para o backup dos
servidores/máquinas que hospedam o sistema referido na pergunta 2.2.
EM ATENDIMENTO - A SUSOT elaborou plano de execução de atividades (cronograma) no intuito de atender às
orientações do TCU e vem informando as medidas adotadas por meio do Processo SEI 0018632/2020.
O NUADTI, por meio do Despacho 2301418 (PA SEI 0018632/2020), solicita esclarecimentos quanto ao
cumprimento das devidas ações.
A SUSOT, por meio do Despacho 2314958, de 25/05/2022, acostou aos autos tabela com nova proposta de
cronograma e o status de cada atividade pendente:
a) formalizar os planos de backup e submetê-los aos gestores (nova proposta de cronograma: 30/05/2022)
– status: em andamento;
b) formalização de planos customizados para adequação das necessidades mapeadas com os gestores
(nova proposta de cronograma: 30/06/2022) – status: a planejar;
c) formalização do plano de teste de restauração randomizado (nova proposta de cronograma: 30/06/2022)
– status: a planejar;
 d) execução, por amostragem, de testes de restauração em conjunto com o gestor (nova proposta de
cronograma: 30/08/2022) – status: a planejar.
Desde 25/05/2022 que não há novas manifestações e esclarecimentos da unidade competente.

Subcontrole 4: Proteja adequadamente as cópias de segurança (backups) da organização, por meio de

mecanismos de controle de acesso físico e lógico.
Torna-se cada vez mais importante a implementação de mecanismos de controle de acesso físico (e.g.
ambiente segregado) e lógico (e.g. criptografia) relativamente aos arquivos de cópias de segurança (backups).
Ademais, visto que muitos backups são armazenados em sítios remotos ou mesmo em servidores hospedados
na “nuvem” (cloud services), faz-se necessário implementar controles criptográficos não apenas quanto aos
arquivos armazenados (data at rest), mas, também, quanto aos arquivos que trafegam na rede da organização ou
na Internet (data in transit).
A auditoria avaliou os mecanismos de controle de acesso físico e lógico existentes em relação aos
arquivos das cópias de segurança (backups) que o
respondente, no contexto da sua organização, considerou serem os mais bem protegidos entre aqueles referidos
nas questões anteriores (arquivos de backup da principal base de dados tratada pela organização e do servidor
ou conjunto de servidores/máquinas que hospedam o principal sistema da organização).
Sugere-se que a organização procure se estruturar para realizar o armazenamento e, idealmente,
também o tráfego dos seus arquivos de backup pela rede e/ou Internet sempre criptografados, pois esse
controle mitiga o risco de vazamento de dados.
Sugere-se, também, que o órgão viabilize local remoto com estrutura para armazenar os seus
backups, podendo, para tanto, celebrar acordo de cooperação com outro órgão público que disponha de
estrutura de TI adequada para tanto.
EM ATENDIMENTO - A SUSOT elaborou plano de execução de atividades (cronograma) no intuito de atender às
orientações do TCU e vem informando as medidas adotadas por meio do Processo SEI 0018632/2020.
O NUADTI, por meio do Despacho 2301418 (PA SEI 0018632/2020), solicita esclarecimentos quanto ao
cumprimento das devidas ações.
A SUSOT, por meio do Despacho 2314958, de 25/05/2022, acostou aos autos tabela com nova proposta de
cronograma e o status de cada atividade pendente:
a) formalizar os planos de backup e submetê-los aos gestores (nova proposta de cronograma: 30/05/2022)
– status: em andamento;
b) formalização de planos customizados para adequação das necessidades mapeadas com os gestores
(nova proposta de cronograma: 30/06/2022) – status: a planejar;
c) formalização do plano de teste de restauração randomizado (nova proposta de cronograma: 30/06/2022)
– status: a planejar;
d) execução, por amostragem, de testes de restauração em conjunto com o gestor (nova proposta de
cronograma: 30/08/2022) – status: a planejar.
Desde 25/05/2022 que não há novas manifestações e esclarecimentos da unidade competente.
Subcontrole 5: Armazene as cópias de segurança (backups) da organização em ao menos um destino não
acessível remotamente.
Uma vez que a programação dos malwares começou a incluir os próprios arquivos de backup entre os
alvos dos ataques, fez-se necessário garantir que ao menos uma cópia desses arquivos fosse armazenada e
mantida de modo off-line, isto é, não acessível pela rede da organização, seja por meio de chamadas de sistema
operacional, de chamadas de API (Application Programming Interface) ou por qualquer outro meio de acesso
remoto.
Idealmente, esse armazenamento é realizado em fitas próprias para backup (e.g. fita LTO) ou em discos
rígidos (HDs), mas organizações menores/de menor maturidade podem fazer uso de DVDs, de CDs ou até de
pendrives. Nesse último caso, porém, há risco maior de vazamento de dados ou de comprometimento dos
arquivos, tendo em vista que esses dispositivos podem ser mais facilmente transportados, extraviados e/ou
acoplados em
estações de trabalho ou notebooks conectados à rede, perdendo, assim, sua característica off-line.
A auditoria avaliou este subcontrole em relação aos arquivos das cópias de segurança (backups) tanto da
principal base de dados tratada pela organização quanto do servidor ou conjunto de servidores/máquinas que
hospedam o principal sistema da organização.
ATENDIDA, haja vista que a auditoria do TCU avaliou os arquivos das cópias de segurança (backups) tanto da
principal base de dados tratada pela organização quanto do servidor ou conjunto de servidores/máquinas que
hospedam o principal sistema da organização, e que o órgão tem realizado o armazenamento, em fita, das cópias
de segurança (backup), destino não acessível remotamente.
2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)
O Tribunal vem adotando providências para cumprimento das recomendações e orientações do TCU quanto à
política de backup, plano de backup e a implementação dos 5 (cinco) subcontroles, do controle 10, (Data
Recovery Capabilities) do framework Center for Internet Security (CIS), nos autos do Processo SEI
0018632/2020.
Dessa forma a SUSOT elaborou um plano de execução de atividades no intuito de atender às
orientações/recomendações do Acórdão 1109/2021 – TCU Plenário, TC 036.620/2020-3, que trata de auditoria
que buscou “avaliar a efetividade dos procedimentos de backup das organizações públicas federais”.
EM ATENDIMENTO: O NUADTI encaminhou Despacho (Doc. SEI 2301418) à Subsecretaria de Sustentação de
Operação de Tecnologia da Informação – SUSOT com as sugestões do TCU para os seguintes itens:
 aperfeiçoamento da Política de Backup, a fim de contemplar os requisitos constantes dos 9 (nove) itens
do checklist da norma ANBT NBR ISO/IEC 27002:2013;
 Elaboração de Plano de Backup do sistema PJe, para que conste, no mínimo, os requisitos previstos nos
12 (doze) itens do checklist da norma ABNT NBR ISO/IEC 27002:2013;
 Subcontrole 3: que a organização se estruture para realizar testes de restauração (restore) dos backups
ao menos mensalmente (...);
 Subcontrole 4: que a organização se estruture para realizar o armazenamento e, idealmente, também o
tráfego dos seus arquivos de backup pela rede e/ou Internet sempre criptografados (...).
Em 25/05/2022, a SUSOT, por meio do Despacho 2314958, encaminhou solicitação à Coordenadoria de
Infraestrutura de Tecnologia da Informação - COTEC para atualização do cronograma de atividades e inclusão
dos itens recomendados pelo TCU.
Até o presente momento, não houve resposta da COTEC nem foi acostado aos autos do PA SEI 0018632/2020 o
novo cronograma de atividades com a inclusão dos itens mencionados acima.
Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)
 Comunicação Data da
Processo Acórdão Item
expedida ciência
Ofício
1.756/2021 TCU 40931/2021
TC 016.997/2020-4 TCU Plenário 9.3 06/08/2021
TCU - Seproc

Órgão/entidade/subunidade destinatária da determinação/recomendação

Órgãos e Entes da Administração Federal

1) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s)

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário,

ante as razões expostas pelo Relator, em:

9.1. assinalar o cumprimento da determinação prolatada pelo item 9.4 do Acórdão 915/2020-
TCU-Plenário, diante dos elementos de convicção até aqui obtidos neste processo;

9.2. promover o retorno do presente processo à Sefti para o prosseguimento do feito pelos
trabalhos de elaboração das aludidas notas técnicas em prol da consolidação dos principais
entendimentos, entre outros, sobre a pesquisa de preços e a definição dos quantitativos nas
contratações de soluções de TIC em sintonia, aí, com o art. 241, II, do RITCU; e

9.3. enviar a cópia do presente Acórdão, com o Relatório e a Proposta de Deliberação, aos
correspondentes destinatários (Agência Nacional de Energia Elétrica, Agência Nacional de
Mineração, Agência Nacional do Petróleo, Gás Natural e Biocombustíveis, Banco do Nordeste
do Brasil S.A., Caixa Econômica Federal, Comando da Aeronáutica, Comando da Marinha,
Comando de Operações Navais da Marinha, Comando do Exército, Companhia Brasileira de
Trens Urbanos, Conselho Federal de Medicina, Conselho Nacional de Justiça, Conselho
Regional de Engenharia e Agronomia do Estado de São Paulo, Defensoria Pública da União,
Departamento de Polícia Rodoviária Federal, Empresa de Tecnologia e Informações da
Previdência - Dataprev, Fundação de Previdência Complementar do Servidor Público Federal
do Poder Executivo, Fundação Instituto Brasileiro de Geografia e Estatística, Fundação
Oswaldo Cruz, Fundação Universidade Federal de Sergipe, Instituto Brasileiro de Informação
Em Ciência e Tecnologia, Instituto Nacional do Câncer José de Alencar Gomes da Silva,
Ministério da Cidadania, Ministério da Ciência, Tecnologia e Inovações, Ministério da Justiça e
Segurança Pública, Ministério da Mulher, da Família e dos Direitos Humanos, Secretaria de
Administração do MPF - MPU, Secretaria de Gestão, Superintendência da Zona Franca de
Manaus, Superior Tribunal de Justiça, Tribunal de Justiça do Distrito Federal e dos Territórios,
Tribunal Regional do Trabalho da 8ª Região - PR/AP, Universidade Federal da Bahia,
Universidade Federal de Santa Catarina, e Universidade Federal Fluminense), para ciência e
eventual adoção das providências cabíveis.
Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)
O Tribunal de Contas da União apreciou os autos do TC 016.997/2020-4 que trata de
acompanhamento sobre as aquisições de bens e serviços na área de tecnologia da
informação (TI) promovidas por alguns órgãos e entes da administração federal com vistas a
realizar, sistemática e tempestivamente, o controle sobre as aquisições e a mitigar o eventual
desperdício de recursos público, tendo essa fiscalização sido determinada pelo item 9.4 do
Acórdão 915/2020-TCU-Plenário.

Em atendimento ao item 9.3.1 do referido acórdão, encaminhou cópia do Relatório e a

Proposta de Deliberação, para ciência e eventual adoção das providências cabíveis.

A Secretaria Geral do TJDFT encaminhou o Acórdão às áreas pertinentes (CJA, SEMA, CPL,
COAGEC, NUCONV, NUPEP, COAGEC) para devida ciência e à SETI para conhecimento e
eventuais providências.

A SETI tomou ciência do Acórdão 1756/2021 - TCU Plenário, em 08/09/2021, por meio do
Ofício 40931/2021 TCU-SEPROC.

2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

 Comunicação Data da
Processo Acórdão Item
expedida ciência
TC 020.925/2021-2 2.816/2021 9.3 e 9.4 Ofício 067.734/2021 06/12/2021
TCU-Plenário TCU - Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação
Tribunal de Justiça do Distrito Federal e dos Territórios
1) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s)
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões
expostas pelo Relator, em:
9.1. conhecer da presente representação, por satisfazer os requisitos de admissibilidade previstos no art. 237,
inciso VII, do Regimento Interno/TCU, c/c o art. 113, § 1º, da Lei 8.666/1993, e no art. 103, § 1º, da
Resolução/TCU 259/2014, para, no mérito, considerá-la parcialmente procedente;
9.2. indeferir a medida cautelar pleiteada, ante a inexistência dos requisitos para a sua adoção;
9.3. determinar ao Tribunal de Justiça do Distrito Federal e Territórios que, na eventualidade de celebração de
aditivos contratuais visando à alteração do objeto pactuado, exija da empresa contratada a planilha de custos
detalhada de sua proposta de preços apresentada no âmbito do Pregão Eletrônico 61/2020, vinculada ao
Contrato 30/2021, como condição prévia para a realização da alteração contratual;
9.4. dar ciência ao Tribunal de Justiça do Distrito Federal e Territórios de que, nos termos da Súmula/TCU 263,
para a comprovação da capacidade técnico-operacional das licitantes, e desde que limitada, simultaneamente, às
parcelas de maior relevância e valor significativo do objeto a ser contratado, é legal a exigência de comprovação
da execução de quantitativos mínimos em obras ou serviços com características semelhantes, devendo essa
exigência guardar proporção com a dimensão e a complexidade do objeto a ser executado;
9.5. dar ciência desta deliberação ao Tribunal de Justiça do Distrito Federal e Territórios e à representante; e
9.6. arquivar o presente processo, com fundamento no art. 169, inciso V, do Regimento Interno do TCU.
Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)
O Tribunal de Contas da União apreciou os autos do TC 020.925/2021-2 que trata de Representação formulada
pela Empresa Seal Telecom Comércio e Serviços de Telecomunicações Ltda. dando conta da ocorrência de
possíveis irregularidades no Pregão Eletrônico 61/2020, promovido pelo Tribunal de Justiça do Distrito Federal e
dos Territórios (TJDFT), tendo por objeto a contratação de fornecimento de solução integrada de Centro de
Operação de Rede (Network Operation Center - NOC) para gerenciamento proativo de eventos e comportamento
do ambiente computacional do TJDFT.
Em atendimento ao item 9.5 do referido acórdão, encaminhou cópia do Relatório e a Proposta de Deliberação,
para adoção de providências e ciência relativos aos itens 9.3 e 9.4 do Acórdão 2816/2021 TCU-Plenário.
A Secretaria de Auditoria Interna do TJDFT - SEAI encaminhou, em 06/12/21, o Acórdão às áreas pertinentes
(SETI, COTEC, NUACTI, SEMA, COAGEC, NUCONV, NUPEP e CPL) para ciência e adoção das providências
cabíveis no bojo do PA SEI 0014904/2021 (Doc. SEI 2121526).
As unidades COAGEC, COTEC, NUCALC, CPL, SEMA, NUCONV, NUPEP, CJA e NUADTI manifestaram
ciência do Acórdão TCU.
A Coordenadoria de Infraestrutura de Tecnologia da Informação - COTEC esclarece que, no âmbito das
contratações sob a sua égide serão tomadas providências para que a comprovação da capacidade técnico-
operacional das licitantes se restrinja às parcelas de maior relevância e valor significativo, nos termos da
Súmula/TCU 263. Informa, ainda, que não se vislumbra, até o momento, motivos ou necessidade de aditivo ao
Contrato 30/2021.
A Secretaria de Tecnologia da Informação – SETI (Despacho 2125146) comunica, em 07/12/2021 que
encaminhou e-mail à COGISP, NUACTI e SUATI para ciência e providências no âmbito de suas contratações.
A COAUG concluiu o feito na unidade, tendo em vista não haver outras providências a serem adotadas, até o
presente momento.
2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

 Comunicação Data da
Processo Acórdão Item
expedida ciência
TC 003.982/2020-3 TCU 1331/2022 - 2ª Ofício
Câmara - 12.594/2022 04/04/2022
TCU - Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação

Tribunal de Justiça do Distrito Federal e dos Territórios

1) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s)

Considerando que o presente processo trata de representação, com pedido de cautelar

suspensiva, formulada pela Ata Comércio e Serviços de Informática Ltda. sobre os indícios de
irregularidade no Pregão Eletrônico n.º 65/2019 conduzido pela administração do Tribunal de
Justiça do Distrito Federal e dos Territórios (TJDFT) com vistas à contratação de empresa
especializada para a aquisição, o suporte e a atualização de solução de segurança da
informação em prol da gestão de acessos privilegiados, além do armazenamento de
credenciais tendentes a possibilitar o isolamento, a gravação e o monitoramento das sessões
em ativos da tecnologia de informação e comunicação (TIC) do TJDFT sob o valor total
estimado de R$ 4.401.701,12, tendo a vigência do ajuste sido estipulada para o prazo de até
36 meses.
Os Ministros do Tribunal de Contas da União, reunidos em Sessão de 2ª Câmara,
ACORDAM, por unanimidade, com fundamento no art. 113, § 1º, da Lei n.º 8.666, de 1993, e
nos arts. 143, inciso V, alínea “a”, 169, inciso III, 235, 237, inciso VII e parágrafo único, e 250,
inciso I, do Regimento Interno do TCU, aprovado pela Resolução n.º 246, de 2011, em
conhecer da presente representação para, no mérito, anotá-la como prejudicada, por ausência
de objeto, diante dos elementos de convicção até aqui obtidos pelo TCU, dando por
prejudicado o pedido de cautelar suspensiva, ante a consequente perda de objeto, sem
prejuízo de, em sintonia com os pareceres emitidos neste processo, prolatar as providências
abaixo fixadas pelo item 1.7 deste Acórdão: 1.7. Providências: 1.7.1. enviar a cópia do
presente Acórdão, com a cópia do respectivo parecer da unidade técnica, à ora representante
e à administração do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT), para
ciência; e 1.7.2. promover o arquivamento do presente processo.

Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)

Prejudicada - ausência de objeto

2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

 Comunicação Data da
Processo Acórdão Item
expedida ciência
1384/2022 Ofício 032.851/2022-
TC 039.606/2020-1 9.2 13/07/2022
TCU-Plenário TCU-Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação
Administração Pública Federal
Tribunal de Justiça do Distrito Federal e dos Territórios
1) Descrição da(s) determinação(ões)/recomendação(ões)
VISTO, relatado e discutido o presente processo de auditoria realizada em 382 organizações públicas federais
para avaliar a aderência de suas ações às diretrizes estabelecidas pela Lei Geral de Proteção de Dados -
LGPD, autorizada pelo Acórdão 2.909/2020-TCU-Plenário; ACORDAM os ministros do Tribunal de Contas da
União, reunidos em sessão do Plenário, ante as razões expostas pelo Relator, em:
9.2. recomendar ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público, com
fundamento no art. 11 da Resolução - TCU 315/2020, que, considerando o controle realizado sobre a
atuação administrativa das organizações sob suas jurisdições, editem normativos e guias, consultando a
Autoridade Nacional de Proteção de Dados, para auxiliar o processo de adequação das organizações à
LGPD, incluindo orientações quanto:
9.2.1. ao planejamento das medidas necessárias para adequação à LGPD, considerando as diretrizes
estabelecidas no item 5.4.2 da ABNT NBR ISO/IEC 27701:2019;
9.2.2. à identificação de normativos correlatos ao tratamento de dados pessoais aplicáveis à organização,
considerando as diretrizes estabelecidas no item 5.2.1 da ABNT NBR ISO/IEC 27701:2019;
9.2.3. à identificação das categorias de titulares de dados pessoais com os quais se relacionam, considerando as
diretrizes estabelecidas no item 7.2.8 da ABNT NBR ISO/IEC 27701:2019;
9.2.4. à identificação dos operadores que realizam tratamento de dados pessoais em seus nomes, considerando
as diretrizes estabelecidas no item 5.2.2 da ABNT NBR ISO/IEC 27701:2019;
9.2.5. à adequação dos contratos firmados com os operadores de forma a estabelecer, claramente, os papéis e
responsabilidades relacionados à proteção de dados pessoais, considerando as diretrizes estabelecidas no item
7.2.6 da ABNT NBR ISO/IEC 27701:2019;
9.2.6. à avaliação da ocorrência de tratamento de dados pessoais com o envolvimento de controlador conjunto e
à definição de papeis e responsabilidades de cada um dos controladores, considerando as diretrizes
estabelecidas no item 7.2.7 da ABNT NBR ISO/IEC 27701:2019;
9.2.7. à identificação dos processos de negócio que realizam tratamento de dados pessoais, bem como dos
respectivos responsáveis, considerando o disposto nos arts. 3º, 5º, inciso X, e 37 da Lei 13.709/2018 e as
diretrizes estabelecidas no item 7.2.8 da ABNT NBR ISO/IEC 27701:2019;
9.2.8. à identificação dos dados pessoais que são tratados por elas, bem como dos locais de armazenamento
desses dados, considerando o disposto nos arts. 5º, inciso I, e 37 da Lei 13.709/2018 e as diretrizes
estabelecidas no item 7.2.8 da ABNT NBR ISO/IEC 27701:2019;
9.2.9. à avaliação de riscos relacionados aos processos de tratamento de dados pessoais, considerando o
disposto no art. 50, §2º, alínea "d", da Lei 13.709/2018 e as diretrizes estabelecidas no item 5.4.1.2 da ABNT
NBR ISO/IEC 27701:2019;
9.2.10. à elaboração de Política de Classificação da Informação que considere a classificação de dados pessoais,
considerando o disposto nos arts. 5º, inciso II, 11 e 14 da Lei 13.709/2018 e no art. 31, § 1º, da Lei 12.527/2011,
bem como as diretrizes estabelecidas no item 6.5.2 da ABNT NBR ISO/IEC 27701:2019;
9.2.11. à elaboração de Política de Proteção de Dados Pessoais, considerando as diretrizes estabelecidas no
item 6.2.1.1 da ABNT NBR ISO/IEC 27701:2019;
9.2.12. à elaboração de Plano de Capacitação que considere a realização de treinamento e conscientização dos
colaboradores em proteção de dados pessoais, considerando as diretrizes estabelecidas nos itens 5.5.2 e 5.5.3
da ABNT NBR ISO/IEC 27701:2019;
9.2.13. à identificação e à documentação das finalidades das atividades de tratamento de dados pessoais,
considerando o disposto no art. 6º, inciso I, da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.2.1 da
ABNT NBR ISO/IEC 27701:2019;
9.2.14. à necessidade de avaliar se coletam apenas os dados estritamente necessários para as finalidades de
tratamento de dados pessoais e se os dados são retidos durante o tempo estritamente necessário às mesmas
necessidades, considerando o disposto no art. 6º, incisos II e III, da Lei 13.709/2018 e as diretrizes estabelecidas
nos itens 7.4.1 e 7.4.7 da ABNT NBR ISO/IEC 27701:2019;
9.2.15. à identificação e à documentação das bases legais que fundamentam as atividades de tratamento de
dados pessoais, considerando o disposto nos arts. 7º e 23 da Lei 13.709/2018 e as diretrizes estabelecidas no
item 7.2.2 da ABNT NBR ISO/IEC 27701:2019;
9.2.16. à manutenção de registro das operações de tratamento de dados pessoais, considerando o disposto no
art. 37 da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.2.8 da ABNT NBR ISO/IEC 27701:2019;
9.2.17. à elaboração do Relatório de Impacto à Proteção de Dados Pessoais e de implementar controles para
mitigar os riscos identificados, considerando o disposto no art. 5º, inciso XVII, da Lei 13.709/2018 e as diretrizes
estabelecidas no item 7.2.5 da ABNT NBR ISO/IEC 27701:2019;
9.2.18. à elaboração de Política de Privacidade, considerando o disposto nos arts. 6º, incisos IV e VI, 9º e 23,
inciso I, da Lei 13.709/2018 e as diretrizes estabelecidas nos itens 7.3.2 e 7.3.3 da ABNT NBR ISO/IEC
27701:2019;
9.2.19. à implementação de mecanismos para atendimento dos direitos dos titulares elencados no art. 18 da Lei
13.709/2018, considerando as diretrizes estabelecidas no item 7.3 da ABNT NBR ISO/IEC 27701:2019;
9.2.20. à implementação de procedimentos e controles para o compartilhamento de dados pessoais com terceiros
(organizações públicas, privadas e transferência internacional) , considerando o disposto nos arts. 5º, inciso XVI;
26, 27; e 33 da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.5 da ABNT NBR ISO/IEC 27701:2019;
9.2.21. à elaboração de Plano de Resposta a Incidentes e à implementação de controles para o tratamento de
ocorrências relacionadas à violação de dados pessoais, considerando o disposto no art. 50, § 2º, inciso I, alínea
"g", da Lei 13.709/2018 e as diretrizes estabelecidas no item 6.13 da ABNT NBR ISO/IEC 27701:2019;
9.2.22. à adoção de medidas de segurança para proteção de dados pessoais, considerando o disposto nos arts.
46 e 47 da Lei 13.709/2018 e as boas práticas de gestão de segurança da informação abordadas pela ABNT
NBR ISO/IEC 27701:2019;
9.2.23. à implementação de processo de controle de acesso de usuários em sistemas que realizam tratamento de
dados pessoais, considerando o disposto nos arts. 46 e 47 da Lei 13.709/2018 e as diretrizes estabelecidas nos
itens 6.6.2.1 e 6.6.2.2 da ABNT NBR ISO/IEC 27701:2019;
9.2.24. à implementação de registro de eventos das atividades de tratamento de dados pessoais, considerando
as diretrizes estabelecidas no item 6.9.4.1 da ABNT NBR ISO/IEC 27701:2019;
9.2.25. à utilização de criptografia para proteção de dados pessoais, considerando o disposto nos arts. 48, § 3º; e
50, § 2º, inciso I, alínea "c", da Lei 13.709/2018 e as diretrizes estabelecidas no item 6.7 da ABNT NBR ISO/IEC
27701:2019; e
9.2.26. à adoção de medidas de proteção de dados pessoais desde a fase de concepção até a fase de execução
de processos e sistemas (Privacy by Design), incluindo a coleta de dados limitada ao que é estritamente
necessário ao alcance do propósito definido (Privacy by Default), considerando o disposto no art. 46, § 2º, da Lei
13.709/2018 e as diretrizes estabelecidas no item 7.4 da ABNT NBR ISO/IEC 27701:2019;
(...)
Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)
O TCU apreciou os autos da TC 039.606/2020-1 que trata de auditoria com o objetivo de avaliar as ações
governamentais e os riscos à proteção de dados pessoais por meio de diagnóstico acerca dos controles
implementados pelas organizações públicas federais para adequação à Lei 13.709/2008, conhecida como Lei
Geral de Proteção de Dados ou LGPD.
Foi encaminhado Despacho COAUG (Doc. SEI 2457241), no bojo do PA SEI 0018336/2022, dando ciência do
teor do Acórdão TCU-Plenário n° 2.909/2020 à Secretária-Geral do TJDFT e à Secretaria Especial da
Presidência, e propondo, ainda, a remessa dos autos às respectivas unidades vinculadas, bem como ao
NUADTI.
Em 18/07/2022, a Assessoria da Secretaria Especial da Presidência encaminhou o teor do Acórdão 1384/2022-
TCU-Plenário às seguintes unidades (Doc. SEI 2463177): Secretaria Judiciária – SEJU, Secretaria de Saúde –
SESA, Secretaria de Gestão de Pessoais – SEGP, Secretaria de Planejamento e Governança – SEPG,
secretarias diretamente vinculadas à SEP e Gabinetes dos Juízes Auxiliares da Presidência.
A SEG também encaminhou, em 20/07/2022, Despacho (Doc. SEI 2467846) à SEPG solicitando a elaboração de
um plano de ação para atendimento das medidas a serem implementadas.
O Núcleo de Apoio à Governança – NUGOV (Doc. SEI 2489278) solicitou o encaminhamento de Ofício à
Secretaria de Fiscalização de Tecnologia da Informação do TCU (2490716) com o objetivo de requerer o
resultado individualizado da avaliação quanto à aderência das ações do TJDFT às diretrizes estabelecidas pela
LGPD, para a fim de complementar o monitoramento realizado pela SEPG acerca do nível de maturidade do
Tribunal em governança e gestão públicas. Também reforçou que as orientações constantes do Ofício
32851/2022-TCU- Seproc foram direcionadas ao CNJ – Conselho Nacional de Justiça, sendo recomendável
aguardar a normatização desse Conselho para o desenvolvimento de ações no âmbito deste Tribunal.
O NUGOV (Doc. SEI 2489278) encaminhou, ainda, Despacho à AGM/SETI para ciência da avaliação realizada
pelo TCU e manifestação sobre a existência de políticas ou normativos editados pelo CNJ acerca dos itens 9.2.1
a 9.2.6.
O NUADTI tomou ciência do Ofício 32851/2022-TCU-Plenário, em 16/08/2022, acerca da aderência de
organizações públicas federais às diretrizes estabelecidas pela Lei Geral de Proteção de Dados – LGPD, bem
como do Ofício 146/SEG encaminhado à Secretaria de Fiscalização de Tecnologia do TCU.
Em 18/08/2022, a Secretaria-Geral (SEG) solicitou que a SEAI avaliasse a possibilidade de expedição do Ofício
SEG 146/2022 ao TCU.
A SEAI, em 24/08/2022, encaminhou o Despacho COAUG (Doc. SEI 2505477) à SEG, certificando a expedição
do Ofício SEG 146/2022 ao Tribunal de Contas da União, por meio do Protocolo Eletrônico comprovado no Doc.
SEI 2505474 (n° do protocolo: 71.775.521-7).
A Secretária-Geral do TJDFT encaminhou despacho para a SETI e AGM para ciência da avaliação realizada pelo
TCU e manifestação sobre a existência de políticas ou normativos editados pelo CNJ acerca dos itens 9.2.1 a
9.2.26 elencados no Despacho SEG 2467846.
As unidades a seguir manifestaram ciência quanto ao teor do ofício n° 32851/2022-TCU-Seproc: Posto de
Serviço de Saúde de Santa Maria – PSSSMA, Posto de Serviço de Saúde de Ceilândia – PSSCEI, Posto de
Serviço de Saúde de Águas Claras – PSSACL, Posto de Serviço de Saúde do Fórum Desembargador Jorge
Duarte de Azevedo (Fórum da Infância e Juventude), Posto de Serviço de Saúde de Sobradinho – PSSSOB,
Posto de Serviço de Saúde do Guará – PSSGUA, Posto de Serviço de Saúde de Águas Claras – PSSSACL,
Posto de Serviço de Saúde do Núcleo Bandeirante – PSSNUB, Núcleo de Medicina do Trabalho – PSO (Posto de
Saúde Ocupacional), Núcleo de Perícia Médica Institucional – NUPMI, Núcleo Psicossocial Institucional – NUPSI.
Até o presente momento, ainda não houve resposta do TCU ao Ofício SEG 146/2022 e não houve manifestação
da Secretaria de Tecnologia da Informação - SETI. Além disso, ainda está em processo de elaboração
manifestação da Assessoria de Governança e Monitoramento de Tecnologia da Informação - AGM (Despacho
2641252) quanto a avaliação realizada pelo TCU e a existência de políticas ou normativos editados pelo CNJ
acerca dos itens 9.2.1 a 9.2.6.
2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

 Comunicação Data da
Processo Acórdão Itens
expedida ciência
1768/2022 Ofício 041.686/2022-
TC 036.301/2021-3 9.3 e 9.4 24/08/2022
TCU-Plenário TCU-Seproc
Órgão/entidade/subunidade destinatária da determinação/recomendação

Administração Pública Federal

Tribunal de Justiça do Distrito Federal e dos Territórios

1) Descrição da(s) determinação(ões)/recomendação(ões)

VISTOS, relatados e discutidos estes autos de acompanhamento com vistas a mapear a maturidade das
organizações públicas federais quanto à implementação de controles críticos de segurança cibernética,
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário, ante as razões
expostas pelo Relator, em:
(...)
9.3. recomendar, com fundamento no art. 11 da Resolução - TCU 315/2020, ao Senado Federal, à Câmara dos
Deputados, ao Tribunal de Contas da União, ao Supremo Tribunal Federal, ao Ministério Público Federal, ao
Ministério Público Militar, ao Ministério Público do Trabalho e ao Ministério Público do Distrito Federal e Territórios
que adotem as ações a seguir:
9.3.1. implementar com urgência controles críticos e medidas de segurança cibernética, de modo a tratar, em
especial, as deficiências apontadas neste ciclo do acompanhamento, naquilo que lhes for aplicável, observando
boas práticas como as preconizadas pelo Center for Internet Security e pela norma técnica ABNT NBR ISO/IEC
27002:2013;
9.3.2. adotar, na inexistência de normativo próprio tratando desses temas, as práticas previstas nos Decretos
9.637/2018 e 10.222/2020, que regem aspectos gerais relacionados à segurança da informação e à segurança
cibernética no âmbito da Administração Pública federal, bem como as constantes das instruções normativas e
de normas complementares editadas pelo Gabinete de Segurança Institucional da Presidência da República
aplicáveis a esse respeito;
9.3.3. formalizar, junto ao Gabinete de Segurança Institucional da Presidência da República, ato de adesão à
Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do § 4º do art. 7º do Decreto 10.748/2021;

9.4. recomendar ao Conselho Nacional de Justiça, com fundamento no art. 11 da Resolução - TCU 315/2020,
que adote providências, tais como a edição de normativos e guias, assim como outras que entender aplicáveis,
para orientar os tribunais sob sua supervisão administrativa com vistas à adoção das medidas constantes dos
subitens 9.3.1 a 9.3.3;
(...)
Medidas adotadas para cumprimento da(s) determinação(ões)/recomendação(ões)
O TCU apreciou os autos da TC 036.301/2021-3 que trata de fiscalização do tipo acompanhamento, no período
de 3/8/2021 a 9/3/2022, com vistas a avaliar a maturidade das organizações públicas federais quanto à
implementação de controles críticos de segurança da informação e segurança cibernética, conforme previsto nos
arts. 241 e 242 do Regimento Interno do Tribunal de Contas da União (RI/TCU) e no art. 24, parágrafo único, da
Resolução - TCU 175/2005, conduzida de acordo com o “Manual de Acompanhamento”.
Para a expedição das propostas de encaminhamento, foi observada a Resolução - TCU 315/2020.
Foi encaminhado Despacho COAUG (Doc. SEI 2505596), no bojo do PA SEI 0021039/2022, dando ciência do
teor do Acórdão TCU-Plenário n° 1768/2022 (Ofício 41686/2022-TCU/Seproc – Doc. SEI 2505589) à Secretária-
Geral do TJDFT, e propondo, ainda, a remessa dos autos à Secretaria de Tecnologia da Informação - SETI, bem
como ao NUADTI.
Em 29/08/2022, o NUADTI tomou ciência do Acórdão 1768/2022 – TCU Plenário, por meio do Ofício 41686/2022-
TCU-Seproc, que foi encaminhado, em 24/08/2022, à SETI para ciência, por meio do Despacho SEG 2506359.
A SETI se manifestou no bojo do PA SEI 0021039/2022 (Despacho SETI 2556101) dando ciência ao inteiro teor
do Decreto n° 9.637/2018, que institui a Política Nacional de Segurança da Informação, e do Decreto
10.222/2020, que aprovou a Estratégia Nacional de Segurança Cibernética (E-Ciber) com validade no quadriênio
2020-2023. A SETI informou, ainda, terem sido publicadas as seguintes Resoluções do CNJ sobre o assunto:
360/2020; 361/2020; 362/2020; 396/2021. Nesse mesmo sentido, destacou a criação do Comitê de Crises
Cibernéticas (CCIBER), o qual está em processo de formulação, consoante PA 0009382/2021, bem como
encaminhou o processo à Assessoria de Governança e Monitoramento de Tecnologia da Informação (AGM), em
20/10/2022, para ciência dos respectivos decretos, conhecimento e continuidade do monitoramento.
 Em 20/10/2022, a Subsecretaria de Gestão Integrada de Tecnologia da Informação também tomou conhecimento
do inteiro teor dos Decretos n° 9637/2018 e 10222/2020, conforme Despacho SUGIT 2609740, e encaminhou o
processo à Coordenadoria de Segurança Cibernética (COSEC).
Até o presente momento, não houve manifestação das unidades Assessoria de Governança e Monitoramento de
Tecnologia da Informação (AGM) e Coordenadoria de Segurança Cibernética (COSEC).

** Situação em Dezembro/2022:
Até o momento, somente foi adotada a seguinte ação: a criação do Comitê de Crises Cibernéticas (CCIBER), o
qual está em processo de formulação, consoante PA 0009382/2021. Todavia, ainda não foram implementados os
controles críticos de segurança cibernética, nos termos do Acórdão 1768/2022 – TCU Plenário, Itens 9.3.1, 9.3.2
e 9.3.3. Processo aguardando manifestação e ciência das unidades AGM e COSEC.
2) Descrição da(s) determinação(ões)/recomendação(ões) atendida(s) parcialmente e/ou não atendida(s)

Justificativa do não cumprimento da(s) determinação(ões)/recomendação(ões)

Fonte: SEAI