SUSEP
Legislação
•
28/10/2025
INSTRUÇÃO NORMATIVA SUSEP n.º 35
Sumário Regulatório
Estabelece os Critérios de Acesso aos Recursos Computacionais da Superintendência de Seguros Privados - Susep.
Conteúdo do Documento
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS INSTRUÇÃO NORMATIVA SUSEP Nº 35, DE 28 DE OUTUBRO DE 2025 Estabelece os Critérios de Acesso aos Recursos Computacionais da Superintendência de Seguros Privados - Susep. O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP , no uso das atribuições que lhe confere os incisos V e XXII do art. 42 do Regimento Interno de que trata a Resolução CN...
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS
INSTRUÇÃO NORMATIVA SUSEP Nº 35, DE 28 DE OUTUBRO DE 2025
Estabelece os Critérios de Acesso aos Recursos
Computacionais da Superintendência de Seguros
Privados - Susep.
O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP
, no uso das
atribuições que lhe confere os incisos V e XXII do art. 42 do Regimento Interno de que trata a Resolução CNSP nº
468, de 25 de abril de 2024, de acordo com a
Resolução Susep nº 45, de 17 de outubro de 2024, e
o que consta do
Processo Susep 15414.613014/2016-79,
RESOLVE:
CAPÍTULO I
DO ÂMBITO E DA FINALIDADE
Art.
1
º
Esta instrução norma>va estabelece os Critérios de Acesso aos Recursos Computacionais da
Superintendência de Seguros Privados - Susep.
Art.
2
º
Os Critérios de Acesso aos Recursos Computacionais da Susep são o conjunto de diretrizes,
responsabilidades e competências para concessão, alteração e revogação de credenciais de acesso aos sistemas,
equipamentos físicos ou virtuais e serviços de rede de computadores da Susep
.
Parágrafo único.
Esta norma complementa a Polí>ca de Segurança da Informação da Susep - POSIN e
deve ser observada por todos os agentes públicos e terceiros a serviço da Susep
.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art.
3
º
Para os efeitos desta Instrução, considera-se:
I
-
agente público: aquele que, por força de lei, contrato ou qualquer ato jurídico, preste serviços de
natureza permanente, temporária, excepcional ou eventual, ainda que sem retribuição financeira, à Susep;
II
-
conta de serviço: conta de acesso a rede, sistema, serviço ou qualquer a>vo, necessária a um
procedimento automático (aplicação,
script
, etc.) sem qualquer intervenção humana no seu uso;
III
-
credencial de acesso: é a permissão lógica que habilita determinada pessoa, sistema ou
organização ao acesso;
IV
-
perfil de acesso: é o conjunto de privilégios de acesso a recursos computacionais necessários para
o desempenho de determinada função;
V
-
princípio do menor privilégio: é aquele que preza por delegar somente os privilégios necessários
para que seu portador possa realizar sua função;
VI
-
rastreabilidade: é a capacidade de mapear uma ação executada por usuário ou sistema ao seu
responsável, normalmente alcançada pelo uso de registros de segurança, monitoramento e mecanismos eficazes de
identificação e autenticação;
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 1
VII
-
recursos computacionais: são sistemas, redes, bancos de dados, serviços de rede ou
equipamentos de informática colocados à disposição dos agentes públicos a serviço da Susep
;
VIII
-
senha forte: sequência de caracteres alfanuméricos que seguem as boas prá>cas do mercado e
cumprem as regras indicadas pela área de Tecnologia da Informação - TI, tais como comprimento mínimo, não
obviedade, contendo algarismos, letras maiúsculas, minúsculas e caracteres especiais;
IX
-
serviço de diretório: infraestrutura de TI que, de forma centralizada e segura, armazena, organiza
e fornece acesso a informações sobre recursos de rede, como usuários, ativos e políticas;
X
-
serviço de rede: é um serviço que provê determinada funcionalidade aos usuários ou sistemas de
uma rede de computadores;
XI
-
termo de responsabilidade: documento assinado pelo usuário concordando em contribuir com a
disponibilidade, a integridade, a confidencialidade e a auten>cidade dos dados a que >ver acesso, bem como
assumir responsabilidades decorrentes de tal acesso;
XII
-
>tular: agente público ocupante de cargo em comissão ou detentor de função gra>ficada que
exerça a chefia de uma unidade organizacional da Susep ou que detenha competência legal ou regulamentar para
responder por determinada unidade;
XIII
-
unidade: unidade organizacional da Susep; e
XIV
-
usuário: agente público ou qualquer pessoa Lsica que obteve autorização para acesso a um ou
mais recursos computacionais da Susep.
CAPÍTULO III
DAS DISPOSIÇÕES GERAIS
Art.
4
º
Serão centralizados os recursos u>lizados na gestão do acesso a recursos computacionais,
incluindo a autenticação, autorização e auditoria.
Parágrafo único.
A gestão de contas será centralizada por meio de serviço de diretório e identidade.
Art.
5
º
Os usuários receberão identificação única (
login
) criada pela área de TI.
§
1
º
O
login
do usuário comporá as suas credenciais.
§
2
º
Todo acesso a recurso computacional lógico cujo acesso seja objeto de controle se dará por
meio de credenciais de usuário.
§
3
º
A área de TI estabelecerá regras criação de senhas fortes e períodos de redefinição de senhas
não superiores que cento e vinte dias.
Art.
6
º
A Susep deverá adotar técnicas de segmentação de rede visando limitar o acesso de forma
eficiente e segura, assegurando que apenas colaboradores e disposi>vos autorizados possam interagir com partes
específicas da rede.
Art.
7
º
Os recursos computacionais da Susep podem estar acessíveis aos usuários pelos seguintes
meios:
I
-
conexão direta às redes de computadores da Susep;
II
-
acesso via
Virtual Private Network
- VPN; e
III
-
acesso via Internet.
Art.
8
º
Os sistemas e serviços de rede da Susep desenvolvidos após a entrada em vigor desta norma
deverão ter seus acessos registrados de forma a permi>r a rastreabilidade e a iden>ficação do usuário pelo período
mínimo de cento e oitenta dias.
Parágrafo único.
Os recursos mencionados não são obrigatórios em sistemas desenvolvidos por
terceiros.
Art.
9
º
O acesso a recursos computacionais deverá ocorrer através de mecanismos de iden>ficação e
autenticação do usuário
.
§
1
º
A auten>cação de usuários para acesso remoto a recursos computacionais de uso exclusivo de
usuários da SUSEP será obrigatoriamente por mais de um fator, e preferencialmente dessa forma, para acesso por
meio de rede local física.
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 2
§
2
º
O acesso pela internet a sistemas desenvolvidos pela Susep deverá ser realizado,
preferencialmente, por meio do sistema de
login
único do Governo Federal - GOV.BR, observados os níveis de
autenticação, conforme a criticidade da informação ou do serviço acessado.
Art.
10
.
Os acessos automa>zados aos recursos computacionais realizados por sistemas deverão ser
realizados por meio de contas de serviço, as quais não poderão ser utilizadas para outros fins.
Art.
11
.
O acesso aos recursos computacionais da Susep é sempre mo>vado por necessidade de
serviço, respeita o princípio do menor privilégio e deve ser controlado e restrito às pessoas autorizadas, sendo
concedido mediante a assinatura de Termo de Responsabilidade (Anexo I).
§
1
º
As credenciais de acesso aos recursos computacionais são de uso pessoal e intransferível, não
podendo a pessoa autorizada deixar qualquer recurso computacional em condições de ser u>lizado com suas
credenciais de acesso por terceiros.
§
2
º
As credenciais de acesso devem ser graduadas de acordo com as atribuições dos agentes
públicos.
§
3
º
O Termo de Responsabilidade de que trata o
caput
poderá ser subs>tuído por seu equivalente
em meio digital assinado uma única vez mediante identificação e autenticação.
§
4
º
A área de TI deverá disponibilizar em até noventa dias da entrada em vigor deste norma>vo
procedimento para assinatura do Termo de Responsabilidade em meio físico ou digital.
§
5
º
A atualização do teor do Termo de Responsabilidade, pela área de TI, implicará a convocação
dos signatários do termo antigo para a assinatura de novo termo.
Art.
12
.
O acesso ao recurso computacional não gera direito sobre o mesmo.
CAPÍTULO IV
DAS REDES DE COMPUTADORES
Art.
13
.
O acesso lógico aos ambientes de rede des>nados ao desenvolvimento de sistemas é restrito
à área de TI.
Art.
14
.
O
acesso às redes de computadores da Susep somente é feito por conexão direta à rede local
ou VPN.
§
1
º
Deverão ser u>lizados mecanismos automá>cos para inibir que equipamentos externos, tais
como computadores portáteis, celulares e
tablets
, se conectem diretamente à rede local da Susep.
§
2
º
Deverá ser man>do mecanismo que permita iden>ficar os endereços IP de origem e des>no das
conexões, bem como os serviços utilizados.
§
3
º
O acesso remoto às redes de computadores deverá u>lizar, no mínimo, auten>cação por dois
fatores, ser criptografado e gerar registros de auditoria que contenham informações que facilitem o rastreamento
das ações tomadas.
§
4
º
D
everá atender às condições estabelecidas pela área de segurança da informação da Susep o
acesso à rede da Susep através de VPN realizado por meio de dispositivo não pertencente à Susep.
CAPÍTULO V
DOS SISTEMAS DE INFORMAÇÃO
Art.
15
.
Os acessos
aos sistemas da Susep que contenham informação classificada em qualquer grau
de sigilo deverão obedecer aos requisitos dispostos no Decreto nº 7.845, de 14 de maio de 2012 e demais normas
regulamentadoras.
Art.
16
.
O acesso direto aos
bancos de dados da Susep é restrito à área de TI, que deverá buscar o
provimento dos meios de consulta necessários.
Parágrafo único.
Até a criação de ambiente próprio para consulta direta às bases de dados pelos
demais usuários, o acesso será concedido mediante assinatura de Termo de Responsabilidade para acesso de leitura
a base de dados (Anexo II).
CAPÍTULO VI
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 3
DA CONCESSÃO E DA ALTERAÇÃO DE ACESSOS
Art.
17
.
O creden
ciamento de pessoas e a criação de contas para acesso aos recursos computacionais
somente podem ser realizados após a entrada em exercício ou contratação do agente público.
Art.
18
.
O c
redenciamento de pessoas, a criação de usuários e o controle de acesso aos recursos
computacionais da Susep são baseados em perfis de acesso.
§
1
º
A área gestora, em conjunto com a área de TI, definirá os perfis de acesso disponíveis a cada
recurso computacional, incluídos os ambientes de rede des>nados a desenvolvimento, homologação e produção de
sistemas.
§
2
º
Ao solicitar acesso a recursos computacionais, a unidade organizacional da Susep deverá
informar os perfis de acesso a recursos computacionais considerados necessários aos usuários incluídos naquela
solicitação.
§
3
º
Os perfis de acesso que contenham privilégios de administração somente poderão ser atribuídos
a usuários que executem tarefas específicas na administração dos recursos computacionais.
Art.
19
.
Os >tulare
s das unidades que receberem usuários externos à Susep com necessidade de
acesso temporário aos recursos computacionais deverão solicitá-los à área responsável pela configuração do acesso,
que consultará os gestores dos recursos computacionais.
§
1
º
A concessão de credenciais de acesso a agentes externos dar-se-á apenas nos casos de redes
destinadas para este fim ou nos casos previstos em lei.
§
2
º
Tão logo o acesso temporário a recursos computacionais deixe de ser necessário, o >tular da
unidade solicitante deve solicitar a revogação do acesso.
CAPÍTULO VII
DA REVOGAÇÃO DE ACESSOS
Art.
20
.
Por ocasião do desligamento da Susep todas as credenciais de acesso a recursos
computacionais serão revogadas.
Art.
21
.
Nas alterações de lotação, serão revogadas as credenciais de acesso concedidas na unidade
de origem.
Art.
22
.
Nas alterações de ocupação de cargos ou funções serão revogadas todas as credenciais de
acesso relacionadas à unidade de origem do usuário que deixa o cargo ou função.
Art.
23
.
Nos afastamentos superiores a trinta dias, as credenciais de acesso serão suspensas até o
retorno do agente público às suas atividades
CAPÍTULO VIII
DO CONTROLE DO ACESSO FÍSICO
Art.
24
.
A área de TI definirá perímetros de segurança para proteção de ambientes e a>vos de TI
contra acesso físico não autorizado.
CAPÍTULO IX
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art.
25
.
Compete à área de TI:
I
-
informar aos >tulares das unidades, sempre que necessário, os perfis disponíveis para acesso a
determinado recurso computacional bem como os atuais usuários que possuem perfis concedidos;
II
-
submeter solicitações de acesso aos recursos computacionais aos respectivos gestores;
III
-
adotar as ações técnicas necessárias para o provimento de acesso aos recursos computacionais
da Susep e ao cumprimento integral desta norma;
IV
-
divulgar e manter atualizada lista de recursos computacionais da Susep e de seus respec>vos
gestores;
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 4
V
-
estabelecer e manter um inventário dos sistemas de auten>cação e autorização da Susep,
revisando-o pelo menos uma vez por semestre;
VI
-
bloquear credenciais, sem prévio aviso:
a
)
cujo sigilo lhe pareça ter sido violado;
b
)
envolvidas em tentativas sequenciadas de acesso com senha errada;
c
)
utilizadas em ataques à infraestrutura da Susep;
d
)
utilizadas de forma a resultar em degradação ou indisponibilidade de serviço ou recurso de TI; ou
e
)
utilizadas em desconformidade com a POSIN; e
VII
-
propor a localização, resistência e requisitos de auditoria dos perímetros de segurança a serem
aplicados em torno de áreas e a>vos a serem protegidos, em função de sua cri>cidade para a segurança da
informação e continuidade dos negócios da Susep.
Art.
26
.
Com
pete ao Comitê de Governança Digital - CGD:
I
-
chancelar os gestores dos recursos computacionais apresentados pelas unidades da Susep ao CGD;
II
-
alterar os gestores dos recursos computacionais da Susep; e
III
-
tratar os casos omissos ou conflitantes relacionados a gestão de recursos computacionais da
Susep.
Art.
27
.
Compete ao Comitê de Segurança da Informação - CSI promover a revisão e a atualização
periódicas desta norma.
Art.
28
.
Compete aos titulares das unidades:
I
-
informar à área de TI, juntamente com solicitação de acesso a recurso computacional, os perfis de
acesso aos recursos computacionais necessários à sua unidade, incluídos os funcionários terceirizados e estagiários;
II
-
revisar periodicamente, pelo menos uma vez por semestre, as permissões atribuídas a usuários em
recursos sob sua responsabilidade, podendo solicitar à área de TI as permissões vigentes sempre que necessário
; e
III
-
autorizar ou solicitar a concessão, alteração e a revogação de credenciais de acesso nos recursos
computacionais sob sua responsabilidade.
Art.
29
.
Compete aos usuários dos recursos computacionais da Susep:
I
-
informar à área de TI imediatamente sobre o comprome>mento e eventual u>lização indevida de
suas credenciais de acesso aos recursos computacionais;
II
-
comunicar ao CSI as operações iden>ficadas que resultem em descumprimento de disposi>vos
desta norma;
III
-
cumprir o disposto nos Termos de Responsabilidade de que é signatário, conforme Anexos I e II; e
IV
-
cumprir as boas prá>cas em privacidade e segurança da informação, especialmente as divulgadas
pela área de TI, ao acessar recursos computacionais.
Art.
30
.
Compete à área de documentação:
I
-
informar aos >tulares das unidades, sempre que necessário, os perfis disponíveis para acesso ao
Sistema Eletrônico de Informações - SEI, bem como os atuais usuários que possuem perfis concedidos; e
II
-
adotar as ações necessárias para o provimento de acesso SEI da Susep e ao cumprimento integral
desta norma, observando subsidiariamente o disposto na Instrução Susep nº 89, de 28 de março de 2018.
Art.
31
.
Compete à área de pessoas informar a área de TI das alterações de lotação, ocupação e
alteração de cargos ou funções, afastamentos por períodos superiores a trinta dias e demais assentamentos de
servidores e estagiários, que impliquem alteração de credenciais de acesso
.
§
1
º
As atualizações devem ser feitas por meio de abertura de chamado de TI.
§
2
º
As atualizações devem ser comunicadas tão logo o respectivo ato tenha sido publicado.
Art.
32
.
Compete ao gestor dos contratos que envolvam funcionários terceirizados, informar a área
de TI movimentações de funcionários que impliquem alteração de credenciais de acesso.
§
1
º
As atualizações devem ser feitas por meio de abertura de chamado de TI.
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 5
§
2
º
As atualizações devem ser comunicadas tão logo ocorra a movimentação.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art.
33
.
Fica revogada a Instrução Susep nº 83, de 31 de março de 2017.
Art.
34
.
Esta Instrução entra em vigor na data da sua publicação
.
Documento assinado eletronicamente por
ALESSANDRO SERAFIN OCTAVIANI LUIS (MATRÍCULA
1860655)
,
Superintendente da Susep
, em 18/11/2025, às 08:34, conforme horário oficial de Brasília,
de acordo com o art. 6º do Decreto nº 8.539/2015.
A autenticidade do documento pode ser conferida no site
https://sei.susep.gov.br/sei/controlador_externo.php?
acao=documento_conferir&acao_origem=documento_conferir&id_orgao_acesso_externo=0 informando
o código verificador
2553041
e o código CRC
BC13FB7B
.
ANEXO I
SERVIÇO PÚBLICO FEDERAL
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS
TERMO DE RESPONSABILIDADE PARA ACESSO A RECURSOS COMPUTACIONAIS
Pelo presente instrumento, eu _______________________________, CPF ____________, identidade
______________, expedida pelo ______, em __________, DECLARO , sob pena das sanções cabíveis nos termos da
legislação vigente que assumo a responsabilidade por:
I) conhecer e observar o disposto na Resolução Susep nº 45, de 17 de outubro de 2024, POSIN;
II)
tratar o(s) recurso(s) computacionais como patrimônio da Susep;
III) u>lizar as informações em qualquer suporte sob minha custódia, exclusivamente, no interesse do
serviço da Susep;
IV)
assegurar a disponibilidade, a integridade, a confidencialidade e a auten>cidade das informações
sob minha custódia, conforme descrito na Instrução Norma>va nº 01, do Gabinete de Segurança Ins>tucional da
Presidência da República, de 27 de maio de 2020, que disciplina a Gestão de Segurança da Informação e
Comunicações na Administração Pública Federal, direta e indireta;
V) u>lizar as credenciais, as contas de acesso e os recursos computacionais em conformidade com a
legislação vigente e normas específicas da Susep;
VI) responder, perante a Susep, pelo uso indevido das minhas credenciais ou contas de acesso e dos
recursos computacionais;
VII) zelar pela segurança e pela integridade dos equipamentos de propriedade da Susep a mim
disponibilizados;
VIII) em caso de acesso a informações da Susep através de equipamentos par>culares ou de
terceiros, garan>r que estes possuam recursos mínimos de segurança (sistema operacional, an>vírus e cliente VPN
atualizados); e
IX) r
econhecer o acréscimo de responsabilidade nos casos de perfil de acesso diferenciado como
acesso direto a banco de dados, privilégios de administração, ferramentas de desenvolvimento, dentre outros.
Local, ______de ___________________de _______ .
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 6
__________________________________
Assinatura
Nome do usuário, unidade e matrícula
ANEXO II
SERVIÇO PÚBLICO FEDERAL
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS
TERMO DE RESPONSABILIDADE PARA ACESSO DE LEITURA A BASE DE DADOS
Pelo presente instrumento, eu ___________________________________, Matrícula SIAPE
________________, DECLARO, sob pena das sanções cabíveis nos termos da legislação vigente que assumo a
responsabilidade por autorizar o acesso do servidor ______________________, Matrícula SIAPE ________________,
para
leitura
na base de dados do sistema _________________, devendo informar à área de TI tão logo tal credencial
de acesso não seja mais necessária.
O servidor supracitado se compromete a preservar a confidencialidade dos dados consultados,
especialmente informações cuja divulgação possa causar risco ou dano à segurança da sociedade ou do Estado, que
em função de seu potencial de aproveitamento de oportunidades nos ramos econômico, polí>co, cienTfico,
tecnológico, militar e social, possam indevidamente beneficiar a si ou a terceiros, bem como aquelas necessárias ao
resguardo da inviolabilidade da in>midade, da vida privada, da honra e da imagem das pessoas, u>lizando-as no
estrito interesse de suas atividades na SUSEP.
Compromete-se, ainda, a não copiar ou reproduzir, por qualquer meio ou modo as informações a
que >ver acesso, exceto para a consecução das a>vidades da SUSEP, caso, em que deverá manter cópia(s) somente
pelo período necessário à sua utilização.
Em todo o trato com o acesso concedido, o servidor se compromete a observar e cumprir as
disposições da Lei nº 13.709, de 14 de agosto de 2018 - LGPD, responsabilizando-se por qualquer violação
decorrente da permissão de leitura a que se refere este Termo.
O servidor se compromete, por fim, a preservar a disponibilidade dos ambientes de sistemas da
Susep, no>ficando a área de TI caso deseje efetuar pesquisa no banco de dados que possa vir a degradar o
desempenho dos sistemas implantados. Caso a área de TI iden>fique o efe>vo impacto dessas consultas sobre o
desempenho dos sistemas da Autarquia, poderá cancelar imediatamente a execução das mesmas e a credencial de
acesso, sem notificação prévia.
__________________________________
Assinatura
Titular de unidade responsável, unidade e matrícula
__________________________________
Assinatura
Nome do usuário, unidade e matrícula
Referência:
Processo nº 15414.613014/2016-79
SEI nº 2553041
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 7
INSTRUÇÃO NORMATIVA SUSEP Nº 35, DE 28 DE OUTUBRO DE 2025
Estabelece os Critérios de Acesso aos Recursos
Computacionais da Superintendência de Seguros
Privados - Susep.
O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP
, no uso das
atribuições que lhe confere os incisos V e XXII do art. 42 do Regimento Interno de que trata a Resolução CNSP nº
468, de 25 de abril de 2024, de acordo com a
Resolução Susep nº 45, de 17 de outubro de 2024, e
o que consta do
Processo Susep 15414.613014/2016-79,
RESOLVE:
CAPÍTULO I
DO ÂMBITO E DA FINALIDADE
Art.
1
º
Esta instrução norma>va estabelece os Critérios de Acesso aos Recursos Computacionais da
Superintendência de Seguros Privados - Susep.
Art.
2
º
Os Critérios de Acesso aos Recursos Computacionais da Susep são o conjunto de diretrizes,
responsabilidades e competências para concessão, alteração e revogação de credenciais de acesso aos sistemas,
equipamentos físicos ou virtuais e serviços de rede de computadores da Susep
.
Parágrafo único.
Esta norma complementa a Polí>ca de Segurança da Informação da Susep - POSIN e
deve ser observada por todos os agentes públicos e terceiros a serviço da Susep
.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art.
3
º
Para os efeitos desta Instrução, considera-se:
I
-
agente público: aquele que, por força de lei, contrato ou qualquer ato jurídico, preste serviços de
natureza permanente, temporária, excepcional ou eventual, ainda que sem retribuição financeira, à Susep;
II
-
conta de serviço: conta de acesso a rede, sistema, serviço ou qualquer a>vo, necessária a um
procedimento automático (aplicação,
script
, etc.) sem qualquer intervenção humana no seu uso;
III
-
credencial de acesso: é a permissão lógica que habilita determinada pessoa, sistema ou
organização ao acesso;
IV
-
perfil de acesso: é o conjunto de privilégios de acesso a recursos computacionais necessários para
o desempenho de determinada função;
V
-
princípio do menor privilégio: é aquele que preza por delegar somente os privilégios necessários
para que seu portador possa realizar sua função;
VI
-
rastreabilidade: é a capacidade de mapear uma ação executada por usuário ou sistema ao seu
responsável, normalmente alcançada pelo uso de registros de segurança, monitoramento e mecanismos eficazes de
identificação e autenticação;
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 1
VII
-
recursos computacionais: são sistemas, redes, bancos de dados, serviços de rede ou
equipamentos de informática colocados à disposição dos agentes públicos a serviço da Susep
;
VIII
-
senha forte: sequência de caracteres alfanuméricos que seguem as boas prá>cas do mercado e
cumprem as regras indicadas pela área de Tecnologia da Informação - TI, tais como comprimento mínimo, não
obviedade, contendo algarismos, letras maiúsculas, minúsculas e caracteres especiais;
IX
-
serviço de diretório: infraestrutura de TI que, de forma centralizada e segura, armazena, organiza
e fornece acesso a informações sobre recursos de rede, como usuários, ativos e políticas;
X
-
serviço de rede: é um serviço que provê determinada funcionalidade aos usuários ou sistemas de
uma rede de computadores;
XI
-
termo de responsabilidade: documento assinado pelo usuário concordando em contribuir com a
disponibilidade, a integridade, a confidencialidade e a auten>cidade dos dados a que >ver acesso, bem como
assumir responsabilidades decorrentes de tal acesso;
XII
-
>tular: agente público ocupante de cargo em comissão ou detentor de função gra>ficada que
exerça a chefia de uma unidade organizacional da Susep ou que detenha competência legal ou regulamentar para
responder por determinada unidade;
XIII
-
unidade: unidade organizacional da Susep; e
XIV
-
usuário: agente público ou qualquer pessoa Lsica que obteve autorização para acesso a um ou
mais recursos computacionais da Susep.
CAPÍTULO III
DAS DISPOSIÇÕES GERAIS
Art.
4
º
Serão centralizados os recursos u>lizados na gestão do acesso a recursos computacionais,
incluindo a autenticação, autorização e auditoria.
Parágrafo único.
A gestão de contas será centralizada por meio de serviço de diretório e identidade.
Art.
5
º
Os usuários receberão identificação única (
login
) criada pela área de TI.
§
1
º
O
login
do usuário comporá as suas credenciais.
§
2
º
Todo acesso a recurso computacional lógico cujo acesso seja objeto de controle se dará por
meio de credenciais de usuário.
§
3
º
A área de TI estabelecerá regras criação de senhas fortes e períodos de redefinição de senhas
não superiores que cento e vinte dias.
Art.
6
º
A Susep deverá adotar técnicas de segmentação de rede visando limitar o acesso de forma
eficiente e segura, assegurando que apenas colaboradores e disposi>vos autorizados possam interagir com partes
específicas da rede.
Art.
7
º
Os recursos computacionais da Susep podem estar acessíveis aos usuários pelos seguintes
meios:
I
-
conexão direta às redes de computadores da Susep;
II
-
acesso via
Virtual Private Network
- VPN; e
III
-
acesso via Internet.
Art.
8
º
Os sistemas e serviços de rede da Susep desenvolvidos após a entrada em vigor desta norma
deverão ter seus acessos registrados de forma a permi>r a rastreabilidade e a iden>ficação do usuário pelo período
mínimo de cento e oitenta dias.
Parágrafo único.
Os recursos mencionados não são obrigatórios em sistemas desenvolvidos por
terceiros.
Art.
9
º
O acesso a recursos computacionais deverá ocorrer através de mecanismos de iden>ficação e
autenticação do usuário
.
§
1
º
A auten>cação de usuários para acesso remoto a recursos computacionais de uso exclusivo de
usuários da SUSEP será obrigatoriamente por mais de um fator, e preferencialmente dessa forma, para acesso por
meio de rede local física.
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 2
§
2
º
O acesso pela internet a sistemas desenvolvidos pela Susep deverá ser realizado,
preferencialmente, por meio do sistema de
login
único do Governo Federal - GOV.BR, observados os níveis de
autenticação, conforme a criticidade da informação ou do serviço acessado.
Art.
10
.
Os acessos automa>zados aos recursos computacionais realizados por sistemas deverão ser
realizados por meio de contas de serviço, as quais não poderão ser utilizadas para outros fins.
Art.
11
.
O acesso aos recursos computacionais da Susep é sempre mo>vado por necessidade de
serviço, respeita o princípio do menor privilégio e deve ser controlado e restrito às pessoas autorizadas, sendo
concedido mediante a assinatura de Termo de Responsabilidade (Anexo I).
§
1
º
As credenciais de acesso aos recursos computacionais são de uso pessoal e intransferível, não
podendo a pessoa autorizada deixar qualquer recurso computacional em condições de ser u>lizado com suas
credenciais de acesso por terceiros.
§
2
º
As credenciais de acesso devem ser graduadas de acordo com as atribuições dos agentes
públicos.
§
3
º
O Termo de Responsabilidade de que trata o
caput
poderá ser subs>tuído por seu equivalente
em meio digital assinado uma única vez mediante identificação e autenticação.
§
4
º
A área de TI deverá disponibilizar em até noventa dias da entrada em vigor deste norma>vo
procedimento para assinatura do Termo de Responsabilidade em meio físico ou digital.
§
5
º
A atualização do teor do Termo de Responsabilidade, pela área de TI, implicará a convocação
dos signatários do termo antigo para a assinatura de novo termo.
Art.
12
.
O acesso ao recurso computacional não gera direito sobre o mesmo.
CAPÍTULO IV
DAS REDES DE COMPUTADORES
Art.
13
.
O acesso lógico aos ambientes de rede des>nados ao desenvolvimento de sistemas é restrito
à área de TI.
Art.
14
.
O
acesso às redes de computadores da Susep somente é feito por conexão direta à rede local
ou VPN.
§
1
º
Deverão ser u>lizados mecanismos automá>cos para inibir que equipamentos externos, tais
como computadores portáteis, celulares e
tablets
, se conectem diretamente à rede local da Susep.
§
2
º
Deverá ser man>do mecanismo que permita iden>ficar os endereços IP de origem e des>no das
conexões, bem como os serviços utilizados.
§
3
º
O acesso remoto às redes de computadores deverá u>lizar, no mínimo, auten>cação por dois
fatores, ser criptografado e gerar registros de auditoria que contenham informações que facilitem o rastreamento
das ações tomadas.
§
4
º
D
everá atender às condições estabelecidas pela área de segurança da informação da Susep o
acesso à rede da Susep através de VPN realizado por meio de dispositivo não pertencente à Susep.
CAPÍTULO V
DOS SISTEMAS DE INFORMAÇÃO
Art.
15
.
Os acessos
aos sistemas da Susep que contenham informação classificada em qualquer grau
de sigilo deverão obedecer aos requisitos dispostos no Decreto nº 7.845, de 14 de maio de 2012 e demais normas
regulamentadoras.
Art.
16
.
O acesso direto aos
bancos de dados da Susep é restrito à área de TI, que deverá buscar o
provimento dos meios de consulta necessários.
Parágrafo único.
Até a criação de ambiente próprio para consulta direta às bases de dados pelos
demais usuários, o acesso será concedido mediante assinatura de Termo de Responsabilidade para acesso de leitura
a base de dados (Anexo II).
CAPÍTULO VI
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 3
DA CONCESSÃO E DA ALTERAÇÃO DE ACESSOS
Art.
17
.
O creden
ciamento de pessoas e a criação de contas para acesso aos recursos computacionais
somente podem ser realizados após a entrada em exercício ou contratação do agente público.
Art.
18
.
O c
redenciamento de pessoas, a criação de usuários e o controle de acesso aos recursos
computacionais da Susep são baseados em perfis de acesso.
§
1
º
A área gestora, em conjunto com a área de TI, definirá os perfis de acesso disponíveis a cada
recurso computacional, incluídos os ambientes de rede des>nados a desenvolvimento, homologação e produção de
sistemas.
§
2
º
Ao solicitar acesso a recursos computacionais, a unidade organizacional da Susep deverá
informar os perfis de acesso a recursos computacionais considerados necessários aos usuários incluídos naquela
solicitação.
§
3
º
Os perfis de acesso que contenham privilégios de administração somente poderão ser atribuídos
a usuários que executem tarefas específicas na administração dos recursos computacionais.
Art.
19
.
Os >tulare
s das unidades que receberem usuários externos à Susep com necessidade de
acesso temporário aos recursos computacionais deverão solicitá-los à área responsável pela configuração do acesso,
que consultará os gestores dos recursos computacionais.
§
1
º
A concessão de credenciais de acesso a agentes externos dar-se-á apenas nos casos de redes
destinadas para este fim ou nos casos previstos em lei.
§
2
º
Tão logo o acesso temporário a recursos computacionais deixe de ser necessário, o >tular da
unidade solicitante deve solicitar a revogação do acesso.
CAPÍTULO VII
DA REVOGAÇÃO DE ACESSOS
Art.
20
.
Por ocasião do desligamento da Susep todas as credenciais de acesso a recursos
computacionais serão revogadas.
Art.
21
.
Nas alterações de lotação, serão revogadas as credenciais de acesso concedidas na unidade
de origem.
Art.
22
.
Nas alterações de ocupação de cargos ou funções serão revogadas todas as credenciais de
acesso relacionadas à unidade de origem do usuário que deixa o cargo ou função.
Art.
23
.
Nos afastamentos superiores a trinta dias, as credenciais de acesso serão suspensas até o
retorno do agente público às suas atividades
CAPÍTULO VIII
DO CONTROLE DO ACESSO FÍSICO
Art.
24
.
A área de TI definirá perímetros de segurança para proteção de ambientes e a>vos de TI
contra acesso físico não autorizado.
CAPÍTULO IX
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art.
25
.
Compete à área de TI:
I
-
informar aos >tulares das unidades, sempre que necessário, os perfis disponíveis para acesso a
determinado recurso computacional bem como os atuais usuários que possuem perfis concedidos;
II
-
submeter solicitações de acesso aos recursos computacionais aos respectivos gestores;
III
-
adotar as ações técnicas necessárias para o provimento de acesso aos recursos computacionais
da Susep e ao cumprimento integral desta norma;
IV
-
divulgar e manter atualizada lista de recursos computacionais da Susep e de seus respec>vos
gestores;
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 4
V
-
estabelecer e manter um inventário dos sistemas de auten>cação e autorização da Susep,
revisando-o pelo menos uma vez por semestre;
VI
-
bloquear credenciais, sem prévio aviso:
a
)
cujo sigilo lhe pareça ter sido violado;
b
)
envolvidas em tentativas sequenciadas de acesso com senha errada;
c
)
utilizadas em ataques à infraestrutura da Susep;
d
)
utilizadas de forma a resultar em degradação ou indisponibilidade de serviço ou recurso de TI; ou
e
)
utilizadas em desconformidade com a POSIN; e
VII
-
propor a localização, resistência e requisitos de auditoria dos perímetros de segurança a serem
aplicados em torno de áreas e a>vos a serem protegidos, em função de sua cri>cidade para a segurança da
informação e continuidade dos negócios da Susep.
Art.
26
.
Com
pete ao Comitê de Governança Digital - CGD:
I
-
chancelar os gestores dos recursos computacionais apresentados pelas unidades da Susep ao CGD;
II
-
alterar os gestores dos recursos computacionais da Susep; e
III
-
tratar os casos omissos ou conflitantes relacionados a gestão de recursos computacionais da
Susep.
Art.
27
.
Compete ao Comitê de Segurança da Informação - CSI promover a revisão e a atualização
periódicas desta norma.
Art.
28
.
Compete aos titulares das unidades:
I
-
informar à área de TI, juntamente com solicitação de acesso a recurso computacional, os perfis de
acesso aos recursos computacionais necessários à sua unidade, incluídos os funcionários terceirizados e estagiários;
II
-
revisar periodicamente, pelo menos uma vez por semestre, as permissões atribuídas a usuários em
recursos sob sua responsabilidade, podendo solicitar à área de TI as permissões vigentes sempre que necessário
; e
III
-
autorizar ou solicitar a concessão, alteração e a revogação de credenciais de acesso nos recursos
computacionais sob sua responsabilidade.
Art.
29
.
Compete aos usuários dos recursos computacionais da Susep:
I
-
informar à área de TI imediatamente sobre o comprome>mento e eventual u>lização indevida de
suas credenciais de acesso aos recursos computacionais;
II
-
comunicar ao CSI as operações iden>ficadas que resultem em descumprimento de disposi>vos
desta norma;
III
-
cumprir o disposto nos Termos de Responsabilidade de que é signatário, conforme Anexos I e II; e
IV
-
cumprir as boas prá>cas em privacidade e segurança da informação, especialmente as divulgadas
pela área de TI, ao acessar recursos computacionais.
Art.
30
.
Compete à área de documentação:
I
-
informar aos >tulares das unidades, sempre que necessário, os perfis disponíveis para acesso ao
Sistema Eletrônico de Informações - SEI, bem como os atuais usuários que possuem perfis concedidos; e
II
-
adotar as ações necessárias para o provimento de acesso SEI da Susep e ao cumprimento integral
desta norma, observando subsidiariamente o disposto na Instrução Susep nº 89, de 28 de março de 2018.
Art.
31
.
Compete à área de pessoas informar a área de TI das alterações de lotação, ocupação e
alteração de cargos ou funções, afastamentos por períodos superiores a trinta dias e demais assentamentos de
servidores e estagiários, que impliquem alteração de credenciais de acesso
.
§
1
º
As atualizações devem ser feitas por meio de abertura de chamado de TI.
§
2
º
As atualizações devem ser comunicadas tão logo o respectivo ato tenha sido publicado.
Art.
32
.
Compete ao gestor dos contratos que envolvam funcionários terceirizados, informar a área
de TI movimentações de funcionários que impliquem alteração de credenciais de acesso.
§
1
º
As atualizações devem ser feitas por meio de abertura de chamado de TI.
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 5
§
2
º
As atualizações devem ser comunicadas tão logo ocorra a movimentação.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art.
33
.
Fica revogada a Instrução Susep nº 83, de 31 de março de 2017.
Art.
34
.
Esta Instrução entra em vigor na data da sua publicação
.
Documento assinado eletronicamente por
ALESSANDRO SERAFIN OCTAVIANI LUIS (MATRÍCULA
1860655)
,
Superintendente da Susep
, em 18/11/2025, às 08:34, conforme horário oficial de Brasília,
de acordo com o art. 6º do Decreto nº 8.539/2015.
A autenticidade do documento pode ser conferida no site
https://sei.susep.gov.br/sei/controlador_externo.php?
acao=documento_conferir&acao_origem=documento_conferir&id_orgao_acesso_externo=0 informando
o código verificador
2553041
e o código CRC
BC13FB7B
.
ANEXO I
SERVIÇO PÚBLICO FEDERAL
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS
TERMO DE RESPONSABILIDADE PARA ACESSO A RECURSOS COMPUTACIONAIS
Pelo presente instrumento, eu _______________________________, CPF ____________, identidade
______________, expedida pelo ______, em __________, DECLARO , sob pena das sanções cabíveis nos termos da
legislação vigente que assumo a responsabilidade por:
I) conhecer e observar o disposto na Resolução Susep nº 45, de 17 de outubro de 2024, POSIN;
II)
tratar o(s) recurso(s) computacionais como patrimônio da Susep;
III) u>lizar as informações em qualquer suporte sob minha custódia, exclusivamente, no interesse do
serviço da Susep;
IV)
assegurar a disponibilidade, a integridade, a confidencialidade e a auten>cidade das informações
sob minha custódia, conforme descrito na Instrução Norma>va nº 01, do Gabinete de Segurança Ins>tucional da
Presidência da República, de 27 de maio de 2020, que disciplina a Gestão de Segurança da Informação e
Comunicações na Administração Pública Federal, direta e indireta;
V) u>lizar as credenciais, as contas de acesso e os recursos computacionais em conformidade com a
legislação vigente e normas específicas da Susep;
VI) responder, perante a Susep, pelo uso indevido das minhas credenciais ou contas de acesso e dos
recursos computacionais;
VII) zelar pela segurança e pela integridade dos equipamentos de propriedade da Susep a mim
disponibilizados;
VIII) em caso de acesso a informações da Susep através de equipamentos par>culares ou de
terceiros, garan>r que estes possuam recursos mínimos de segurança (sistema operacional, an>vírus e cliente VPN
atualizados); e
IX) r
econhecer o acréscimo de responsabilidade nos casos de perfil de acesso diferenciado como
acesso direto a banco de dados, privilégios de administração, ferramentas de desenvolvimento, dentre outros.
Local, ______de ___________________de _______ .
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 6
__________________________________
Assinatura
Nome do usuário, unidade e matrícula
ANEXO II
SERVIÇO PÚBLICO FEDERAL
SUPERINTENDÊNCIA DE SEGUROS PRIVADOS
TERMO DE RESPONSABILIDADE PARA ACESSO DE LEITURA A BASE DE DADOS
Pelo presente instrumento, eu ___________________________________, Matrícula SIAPE
________________, DECLARO, sob pena das sanções cabíveis nos termos da legislação vigente que assumo a
responsabilidade por autorizar o acesso do servidor ______________________, Matrícula SIAPE ________________,
para
leitura
na base de dados do sistema _________________, devendo informar à área de TI tão logo tal credencial
de acesso não seja mais necessária.
O servidor supracitado se compromete a preservar a confidencialidade dos dados consultados,
especialmente informações cuja divulgação possa causar risco ou dano à segurança da sociedade ou do Estado, que
em função de seu potencial de aproveitamento de oportunidades nos ramos econômico, polí>co, cienTfico,
tecnológico, militar e social, possam indevidamente beneficiar a si ou a terceiros, bem como aquelas necessárias ao
resguardo da inviolabilidade da in>midade, da vida privada, da honra e da imagem das pessoas, u>lizando-as no
estrito interesse de suas atividades na SUSEP.
Compromete-se, ainda, a não copiar ou reproduzir, por qualquer meio ou modo as informações a
que >ver acesso, exceto para a consecução das a>vidades da SUSEP, caso, em que deverá manter cópia(s) somente
pelo período necessário à sua utilização.
Em todo o trato com o acesso concedido, o servidor se compromete a observar e cumprir as
disposições da Lei nº 13.709, de 14 de agosto de 2018 - LGPD, responsabilizando-se por qualquer violação
decorrente da permissão de leitura a que se refere este Termo.
O servidor se compromete, por fim, a preservar a disponibilidade dos ambientes de sistemas da
Susep, no>ficando a área de TI caso deseje efetuar pesquisa no banco de dados que possa vir a degradar o
desempenho dos sistemas implantados. Caso a área de TI iden>fique o efe>vo impacto dessas consultas sobre o
desempenho dos sistemas da Autarquia, poderá cancelar imediatamente a execução das mesmas e a credencial de
acesso, sem notificação prévia.
__________________________________
Assinatura
Titular de unidade responsável, unidade e matrícula
__________________________________
Assinatura
Nome do usuário, unidade e matrícula
Referência:
Processo nº 15414.613014/2016-79
SEI nº 2553041
INSTRUÇÃO NORMATIVA - SUSEP 35 (2553041) SEI 15414.613014/2016-79 / pg. 7
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
