O DIRETOR-GERAL DA CÂMARA DOS DEPUTADOS, no uso de suas atribuições, 

     Considerando que sistemas de informação em produção necessitam ser executados em um ambiente estável e seguro para seu correto funcionamento; 

     Considerando que as atividades de desenvolvimento e de teste de sistemas podem representar riscos para a estabilidade e segurança dos sistemas de informação em produção; 

     Considerando que a separação em ambientes computacionais específicos das atividades de desenvolvimento, de teste, de homologação e de produção de sistemas de informação reduz os riscos de modificações que possam comprometer a integridade e a disponibilidade de tais sistemas, RESOLVE:

     Art. 1º As atividades de desenvolvimento, de teste e de homologação de sistemas de informação não podem ser realizadas no mesmo ambiente computacional em que sistemas de informação são executados em produção.

      § 1º Ressalvadas as condições previstas no art. 2°, não é permitido o acesso ao ambiente de produção, inclusive a dados e a métodos de acesso a dados, por sistemas de informação que estejam nos ambientes de desenvolvimento, teste ou homologação.

      § 2º Haverá um procedimento documentado, implementado e controlado para regular a transferência de software entre os ambientes.

      § 3º Os ambientes de desenvolvimento, teste, homologação e produção de sistemas de informação poderão compartilhar recursos de infraestrutura que não comprometam seu isolamento, incluindo, mas não se limitando a:

     I. Ferramentas de detecção e remoção de código malicioso;

     II. Infraestrutura de rede;

     III. Sistemas de autenticação de usuários;

     IV. Sistemas de cópias de segurança;

     V. Serviços de suporte, tais como de resolução de nomes (DNS), de sincronismo de tempo (NTP), de gerência de servidores, de inventário e de monitoramento;

     VI. Plataformas de virtualização.

     Art. 2º  Mediante solicitação expressa ao Diretor do Centro de Informática, com autorização do respectivo gestor de negócio, poderá ser concedida permissão, em caráter excepcional e estritamente temporário, para acesso aos dados do ambiente de produção a partir dos ambientes de desenvolvimento, teste e homologação

      Parágrafo único. A solicitação de que trata o caput descreverá a finalidade e sua justificativa para o acesso.

     Art. 3º A utilização de cópia de dados de produção nos ambientes de desenvolvimento, de teste e de homologação é condicionada à autorização pelo gestor de negócio e à preservação do grau de sigilo dos dados copiados.

      § 1º A solicitação de autorização descreverá a finalidade, a justificativa e a periodicidade.

      § 2º Em caso de cópia de dados de produção que não sejam de acesso público, o gestor de negócio indicará a necessidade de descaracterização dos dados no processo de cópia de dados do ambiente de produção.

     Art. 4º No ambiente de produção será vedado o acesso a softwares compiladores ou editores de código, bem como aos demais softwares utilitários destinados ao desenvolvimento e ao teste de sistemas, exceto quando estas ferramentas forem justificadamente necessárias.

     Art. 5º Somente serão instalados no ambiente de produção os sistemas de informação homologados pela respectiva área de negócio, conforme procedimento específico, ressalvados os casos emergenciais autorizados pelo respectivo gestor de negócio.

     Art. 6º Doravante, para a inequívoca distinção entre os ambientes de desenvolvimento, de teste e de produção, haverá caracterização que permita a identificação do ambiente nos menus e formulários dos sistemas.

      Parágrafo único. Fica estabelecido o prazo de três anos, contados a partir da publicação desta norma, para que o gestor técnico implemente a distinção entre ambientes prevista no caput para os sistemas já existentes.

     Art. 7º O ambiente de teste deve dispor de softwares e de dados que reproduzam as condições do ambiente de produção o mais fielmente possível.

      Parágrafo único. Nos casos em que o teste em ambiente de produção for caracterizado pelo gestor técnico como imprescindível e tecnicamente justificado, sua realização fica condicionada à garantia do restabelecimento do ambiente à situação anterior à realização do teste.

     Art. 8º Norma do Diretor do Centro de Informática disporá sobre os procedimentos para o acesso extraordinário previsto no art. 2º, a cópia de dados prevista no art. 3º e os testes em ambiente de produção previstos no parágrafo único do art. 6º.

     Art. 9º Esta portaria entra em vigor 60 (sessenta) dias após sua publicação.

     Em 19/10/2012.

ROGÉRIO VENTURA TEIXEIRA,
Diretor-Geral.

ANEXO I - GLOSSÁRIO

Ambiente de desenvolvimento de sistemas computacionais
Subconjunto da infraestrutura computacional, incluindo hardware, dados, software e serviços destinados às atividades de especificação e de construção de sistemas.

Ambiente de teste de sistemas computacionais
Subconjunto da infraestrutura computacional, incluindo hardware, dados, software e serviços destinados às atividades de teste de sistemas pelos desenvolvedores.

Ambiente de homologação de sistemas computacionais
Subconjunto da infraestrutura computacional, incluindo hardware, dados, software e serviços destinados às atividades de validação e aceite de sistemas pelo gestor de negócio.

Ambiente de produção de sistemas computacionais
Subconjunto da infraestrutura computacional, incluindo hardware, dados, software e serviços destinados à execução de sistemas pelos usuários, com os dados reais.

Código malicioso
Programa, ou parte de programa, desenvolvido para o fim específico de executar ações não autorizadas em um dispositivo computacional, por exemplo, vírus, cavalos de troia etc.

Credencial do usuário
Identificação fornecida pelo usuário, para acesso válido a sistema computacional.

Descaracterização de dados
É a técnica utilizada para substituir, em uma cópia, os dados originais por outros, para fins de teste de sistema ou de treinamento, garantindo a preservação de sua confidencialidade.

Serviços de suporte
Serviços que dão apoio às atividades finalísticas da tecnologia da informação, por exemplo, serviço de nomes, de sincronismo de tempo, de gerência de servidores, de inventário e de monitoramento.