Wiki Recife - Contribuições do usuário [pt-br]

Política de arquitetura de dados

2021-07-26T18:32:39Z

CaioLima:

Política de arquitetura de dados

2021-07-26T18:32:27Z

CaioLima: Criou página com 'Este documento é parte integrante do Governanca de_Dados|Programa...'

Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]]. A arquitetura da dados é um conjunto integrado de estruturas de alto nível que governam e definem como os dados são usados, armazenados, gerenciados e integrados dentro de uma organização. Ela arquitetura inclui especificações usadas para descrever o estado existente, definir requisitos de dados, orientar a integração de dados e controlar ativos de dados conforme apresentado em uma estratégia de dados. É o processo de padronizar como as organizações coletam, armazenam, transformam, distribuem e usam dados.

Política de plataforma de dados

2021-07-26T18:28:34Z

CaioLima:

Política de segurança de dados

2021-07-26T18:18:29Z

CaioLima:

Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]]. 
 
A segurança de dados é o conjunto de todas as práticas e processos que estão em vigor para garantir que os dados não sejam usados, acessados, alterados ou removidos por pessoas ou partes não autorizadas. Ela assegura que os dados sejam precisos e confiáveis e estejam disponíveis quando aqueles com acesso autorizado precisarem.
 

# Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente chamados como “Recursos de Informação” Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
# Esta Política se aplica:
## aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.
## às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.
## às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.
# Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política.
# Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados. 
#'''Papéis e Responsabilidades''' A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política.
# Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.
## formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta, armazenamento, uso e guarda de dados.
## atualizar conforme necessário esta política.
## tomar medidas para garantir o cumprimento desta política, o que pode incluir, sem limitação, o comissionamento de auditorias internas e investigações.
## tomar medidas em resposta a violações desta política ou qualquer violação de segurança.
## monitorar a legislação federal, estadual e local sobre privacidade e segurança de dados.
## manter se atualizado e informado das melhores práticas em evolução em segurança de dados e privacidade.
## estabelecer programas de treinamento e conscientização sobre privacidade e segurança de dados.
# Os Custodiantes de Dados serão responsáveis por apoiar a implementação e monitoramento de medidas de segurança associadas à gestão de Recursos de Informação
# Compete aos Custodiantes de Dados:
## auxiliar na definição de requisitos de segurança e preservação de dados;
## monitorar a segurança e preservação de dados;
## implementar, manter e aprimorar mecanismos de segurança e preservação de dados;
## apoiar partes interessadas para resolver problemas de segurança e preservação de dados;
## auxiliar na condução de processos de auditoria de dados e análise e controle de riscos;
## recomendar práticas e ferramentas de segurança e preservação de dados;
## reportar problemas de segurança e preservação de dados;
## promover segurança e preservação de dados;
## monitorar os riscos à segurança de dados e relatar quaisquer riscos conhecidos ou razoavelmente previsíveis ao Comitê de Segurança de Dados.
# Os Usuários, como definido nesta política, são responsáveis por cumprir todos os procedimentos relacionados à segurança relativos a qualquer Recurso de Informação ao qual tenham acesso autorizado ou qualquer informação derivada dele que possuam. Especificamente um usuário é responsável por:
## familiarizar se e cumprir todas as políticas relevantes da Prefeitura, incluindo, sem limitação, esta política e todas as diretivas de segurança de dados e outras políticas e legislação vigente relacionadas à proteção de dados, uso de tecnologia e direitos de privacidade.
## fornecimento de segurança física adequada para equipamentos de tecnologia da informação, mídia de armazenamento e dados físicos Esses equipamentos e arquivos não devem ser deixados sem supervisão sem serem bloqueados ou protegidos de outra forma, de modo que usuários não autorizados não possam obter acesso físico aos dados ou ao(s) dispositivo(s) que os armazenam.
## garantir que as informações confidenciais, sigilosas, pessoais e sensíveis não sejam distribuídas ou acessíveis a pessoas não autorizadas Os usuários não devem compartilhar suas senhas de autorização em nenhuma circunstância Os usuários devem se valer de quaisquer medidas de segurança, como tecnologia de criptografia, atualizações ou patches de segurança.
## notificar imediatamente sua Autoridade de Dados quando ciente de qualquer incidente que possa causar uma quebra de segurança ou violação desta política.
# Funcionários, fornecedores, parceiros e outras agências governamentais devem primeiro ser autorizados pela equipe designada do órgão ou entidade antes de acessar Recursos de Informação.
# Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade. Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
# É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.
# Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários. 
#'''Plano de Segurança''' O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que
## seja consistente com a Arquitetura de Dados.
## defina explicitamente o limite de autorização dos sistemas.
## descreva o contexto operacional da Plataforma de Dados em termos de missões e processos de negócio.
## forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte.
## forneça uma visão geral dos requisitos de segurança de dados.
## descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.
# O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.
# O plano de segurança deve ser revisado em uma frequência definida com base no risco
# O plano de segurança também deve ser atualizado para abordar as mudanças para
## arquitetura de dados;
## plataforma de dados;
## problemas identificados durante a implementação do plano; e
## avaliações de controle de segurança. 
#'''Violação de Segurança''' Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.
# Violações de segurança incluem, mas não se limitam a:
## tentativas (com falha ou bem sucedidas) de obter acesso não autorizado a um sistema ou seus dados;
## uma interrupção indesejada ou negação de serviço;
## descoberta de invasões de rede;
## eventos de malware;
## O uso não autorizado de um sistema de processamento ou armazenamento de dados;
## alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;
## uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;
## a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;
## roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e
## uma violação das políticas de segurança da informação.
# Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação
# O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados, procedimentos e diretrizes que
## forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes
## descreva a estrutura e organização da capacidade de resposta a incidentes
## forneça uma abordagem de alto nível para a capacidade de resposta a incidentes
## defina incidentes relatáveis
## forneça métricas para medir a capacidade de resposta a incidentes
## defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes
# Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação
# A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados, de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política
# Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis
# O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis.
#'''Gestão de Riscos''' O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.
# O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.
# O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
## enumerar plataformas, falhas de software e configurações inadequadas
## formatação de listas de verificação e procedimentos de teste
## medir o impacto da vulnerabilidade
## avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.
# O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco
# O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco
# Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados
# O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação Sistema de Contas e Senha.
# O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha complexa As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.
# A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.
# Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.
# Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.
# Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.
# Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações
# O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.
# Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.
# O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas.
# '''Contingenciamento e Recuperação''' O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
# Os planos de contingência devem:
## identificar missões essenciais e funções operacionais e requisitos de contingência associados;
## fornecer objetivos de recuperação e prioridades de restauração;
## abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;
## abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.
# Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.
# Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.
# A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.
# Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.
# Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação.
# '''Treinamento''' O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.
# Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.
# Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.

Política de qualidade de dados

2021-07-26T18:00:53Z

CaioLima:

Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]]. 
 
De acordo com [https://www.damabrasil.org/ DAMA], a confiabilidade de dados é premissa para a produção de dados de alta qualidade, adequados ao atendimento das diversas necessidades da organização. A qualidade de dados é responsabilidade de todos os participantes do ciclo de vida dos dados, desde o operador até o gerente de qualidade.
<ol type="1">
<li>Esta Política descreve os procedimentos, as orientações e os padrões relacionados à qualidade dos dados cuja Prefeitura é guardiã.</li>
<li>Esta Política se aplica:
<ol type="i">
<li>aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal;</li>
<li>às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal;</li>
<li>às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.</li>
</ol></li>
<li>Esta política visa garantir que dados de alta qualidade sejam coletados, compartilhados e usados pelos órgãos e entidades municipais.</li>
<li>A qualidade dos dados é definida nos termos desta política como um aspecto de governança de dados que se concentra na adequação dos dados ao seu propósito.</li>
<li>Os principais aspectos de qualidade de dados são:
<ol type="i">
<li>precisão os dados devem ser suficientemente precisos para os fins pretendidos;</li>
<li>consistentes os dados coletados devem ser compreendidos pela equipe que os coleta e os itens de dados devem ser internamente consistentes As definições de dados devem ser refletidas nos documentos do procedimento;</li>
<li>confiabilidade os dados devem refletir processos de coleta de dados estáveis e consistentes nos pontos de coleta e ao longo do tempo, seja usando sistemas manuais ou baseados em computador, ou uma combinação de ambos;</li>
<li>oportunidade os dados devem ser capturados o mais rápido possível após o evento ou atividade e devem estar disponíveis para o uso pretendido dentro de um período de tempo razoável;</li>
<li>relevância os dados capturados devem ser relevantes para os fins para os quais são usados Isso envolve revisões periódicas dos requisitos para refletir as mudanças nas necessidades;</li>
<li>completude os dados precisam ser completos, representativos e imparciais. Convém que informações suficientes sejam coletadas e com a qualidade adequada, pois são necessárias para tirar conclusões significativas.</li>
</ol></li>
<li>A qualidade dos dados é responsabilidade de cada servidor, funcionário ou contratado de órgãos e entidades municipais que coletam, produzem, extraem ou analisam dados de qualquer um dos sistemas de informação ou recursos de informação da Prefeitura. Todos devem estar cientes de suas responsabilidades e as competências relevantes para suas funções em relação à qualidade dos dados.</li>
<li>Cada servidor, funcionário ou contratado é responsável por relatar quaisquer problemas de qualidade de dados imediatamente ao seu gestor, que deve tomar as medidas corretivas apropriadas.</li>
<li>Uma revisão regular dos fluxos de dados deve ser realizada para atribuir responsabilidade a cada um, e estabelecer níveis apropriados de controle.</li>
<li>A qualidade dos dados deve ser considerada como parte de todos os acordos de compartilhamento/troca de dados (internos ou externos) para garantir que os dados trocados sejam de qualidade apropriada Para compartilhamento interno, é importante que cópias ou versões adicionais de dados não sejam criadas desnecessariamente.</li>
<li>A melhoria contínua dos sistemas também é importante para garantir que os dados produzidos sejam da mais alta qualidade.
 '''Melhoria da Qualidade''' </li>
<li>Uma estratégia integrada em toda a Prefeitura deve ser estabelecida para atingir e manter o nível de qualidade de dados necessário para dar suporte às metas e objetivos.</li>
<li>As partes interessadas devem participar da criação da estratégia de qualidade de dados, articulando as dimensões de qualidade de dados selecionadas pela Prefeitura. A estratégia de qualidade de dados deve ser definida, aprovada e gerenciada.</li>
<li>Os procedimentos e padrões de qualidade de dados estarão disponíveis para todos os servidores, funcionários e contratados envolvidos na coleta e tratamento de dados.</li>
<li>Os procedimentos e padrões devem ser ancorados em todo o ciclo de vida dos dados e processos correspondentes obrigatórios na metodologia de ciclo de vida de desenvolvimento do sistema.</li>
<li>Estes padrões e procedimentos devem ser registrados no repositório institucional de artefatos de Governança de Dados. O repositório permitirá que usuários autorizados localizem, gerenciem e usem os procedimentos e padrões.</li>
<li>O controle rígido da versão é essencial para que todas as partes estejam usando os mesmos procedimentos que refletem as definições de dados atuais.</li>
<li>O desenvolvimento apropriado da equipe deve ser fornecido a todo o pessoal relevante na introdução e sempre que necessário para encorajar todos os funcionários responsáveis pelo manuseio dos dados a ter o conhecimento e as competências apropriados para garantir a qualidade dos dados.</li>
<li>As Autoridades de Dados e Analistas de Qualidade de Dados apoiarão servidores, funcionários e contratados no cumprimento desta Política e de quaisquer procedimentos locais em vigor.</li>
<li>Dados de boa qualidade podem ser obtidos por monitoramento cuidadoso e correção de erros, mas é mais eficaz e eficiente que os dados sejam inseridos corretamente na primeira vez Para conseguir isso, a configuração apropriada do sistema é essencial e devem existir bons procedimentos para que a equipe possa ser treinada e apoiada em seu trabalho.</li>
<li>As Autoridades de Dados, em colaboração com os Analistas de Qualidade de Dados, são responsáveis por garantir que existam procedimentos específicos em relação a todos os ativos de informação sob seu controle. Estes procedimentos devem estabelecer, no mínimo, quando o ativo de informação deve ser usado, como deve ser usado e por quem e como a qualidade dos dados registrados será monitorada.</li>
<li>Quando apropriado, as Autoridades de Dados devem garantir que o treinamento esteja disponível para a equipe usar o ativo e que os riscos de informação associados a cada ativo sejam ativamente identificados e mitigados.</li>
<li>Os elementos de qualidade dos dados de qualquer procedimento devem ser definidos de forma a não serem ambíguos para aqueles que devem realizar as tarefas. Eles devem refletir os padrões nacionais e locais. O Conselho de Governança de Dados deve aprovar modelos padrão que podem ser usados para a criação de procedimentos específicos para cada departamento.
 '''Captura de dados''' </li>
<li>Todos os Produtores de Dados devem garantir a precisão e os outros aspectos de qualidade supracitados.</li>
<li>Devem ser estabelecidos controles adequados sobre a captura, coleta e produção de dados visando precisão em todos os momentos. Os Produtores de Dados devem ter diretrizes claras, procedimentos e treinamento adequado (quando aplicável) para usar sistemas para garantir que as informações sejam inseridas de forma correta e consistente.</li>
<li>Quando não houver procedimentos acordados, Produtores de Dados devem documentar os procedimentos que empreendem para coletar dados e quaisquer acordos de garantia locais que estejam em vigor.</li>
<li>Todos os procedimentos devem ser revisados regularmente para considerar seu impacto na qualidade dos dados, de forma que os dados coletados permaneçam adequados ao propósito.</li>
<li>Quaisquer mudanças nos procedimentos devem ser comunicadas a todo o pessoal relevante.
 '''Sistemas''' </li>
<li>Devem existir sistemas para a coleta, validação, verificação e relatório de dados.</li>
<li>Todos os dados devem ser validados internamente antes de serem enviados externamente.</li>
<li>Os dados devem ser coletados apenas uma vez, sempre que possível, para evitar a necessidade de vários sistemas.</li>
<li>Todos os sistemas usados para coleta de dados devem ser eletrônicos, sempre que possível, para reduzir o risco de erro humano.</li>
<li>Deve haver uma estratégia clara para o armazenamento de dados em conformidade com as diretrizes das políticas de segurança e plataforma de dados.</li>
<li>É vital que os sistemas usados para coletar, armazenar e calcular os dados sejam precisos e quaisquer falhas ou erros sejam identificados Todos os sistemas precisam ser verificados e testados regularmente, seus usuários sejam treinados adequadamente e as orientações instruções estejam disponíveis.
 '''Auditoria e Monitoramento''' </li>
<li>Como estabelecido na Lei Geral de Proteção de Dados Pessoais, a administração pública deve garantir exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade do cumprimento da finalidade de seu tratamento Outros instrumentos legislativos como a Lei de Acesso à Informação também possuem a mesma determinação.</li>
<li>De forma a garantir conformidade com o estabelecido em lei, todos os dados devem ser submetidos a auditorias internas e externas, se necessário.</li>
<li>Os Órgãos de Conformidade e Auditoria são responsáveis por coordenar e supervisionar auditorias na qualidade dos dados. Estas auditorias devem ser realizadas por auditores internos pelo menos a cada dois anos.</li>
<li>A definição do escopo das auditorias de qualidade de dados será realizada pelo Subcomitê de Qualidade de Dados, que identificará os serviços a serem auditados e os requisitos para validação.</li>
<li>Todas as auditorias resultarão em um relatório de conclusões e recomendações.</li>
<li>Os resultados de todas as auditorias de qualidade de dados serão analisados pelo Comitê de Dados e Conselho de Governança de Dados, incluindo os resultados e relatórios de recomendações e planos de ação resultantes. O Comitê de Dados terá a responsabilidade de elaborar planos de ação para garantir que os requisitos de qualidade de dados sejam cumpridos.</li>
<li>Além disso, eles continuarão a monitorar o progresso em relação aos planos de ação até que todas as ações sejam concluídas e coordenarão novas auditorias para avaliar a eficácia das ações realizadas.</li>
<li>O Escritório de Governança de Dados determinará indicadores chave de desempenho anuais relacionados à qualidade dos dados e analisará o progresso em relação a essas medidas trimestralmente, no mínimo, garantindo que os riscos sejam identificados, registrados e relatados de acordo com a estratégia e política de gestão de risco de confiança.</li>
<li>As Autoridades de Dados devem coordenar e supervisionar a execução de rotinas de validação regulares para monitorar continuamente a qualidade dos dados como parte de outros procedimentos Essas rotinas verificam a integridade e validade dos dados em relação aos principais ativos de dados da Prefeitura.</li>
<li>Uma metodologia de criação de perfil de dados deve ser estabelecida e seguida, por meio da definição de metodologias de perfil de dados, processos, práticas, ferramentas e modelos de resultados definidos e padronizados Planos para traçar o perfil de um armazenamento de dados devem ser compartilhados com as partes interessadas relevantes e governança de dados.</li>
<li>As atividades de criação de perfil de dados são conduzidas de acordo com o plano e os esforços são ajustados quando desvios significativos do plano são detectados. Os resultados e recomendações do perfil de dados são relatados às partes interessadas.</li>
<li>Quando problemas na qualidade dos dados são identificados, eles serão informados aos responsáveis pela produção dos dados e manutenção da qualidade dos dados, conforme apropriado, para garantir que ações possam ser tomadas para melhorar os sistemas e processos Estas ações podem incluir treinamento e acompanhamento apropriado. Se os problemas persistirem, é prudente investigar a causa raiz, ou os eventos, que resultam na deterioração da qualidade dos dados ou trazem à tona os problemas existentes.</li>
<li>A análise de causa raiz é definida como um termo coletivo que descreve uma ampla gama de abordagens, ferramentas e técnicas usadas para descobrir as causas dos problemas.</li>
<li>Em complemento as auditorias, todos os dados estão sujeitos aos procedimentos:
<ol type="i">
<li>Profile de Dados;</li>
<li>Limpeza de dados remoção de registros duplicados ou preenchimento de informações ausentes;</li>
<li>Verificações pontuais na qualidade dos dados fornecidos por terceiros;</li>
<li>Reconciliação dos dados produzidos pelos sistemas com registros manuais;</li>
<li>Verificações de amostra para eliminar a recorrência de um erro específico.</li>
</ol>
 '''Gerenciamento de Problemas de Qualidade''' </li>
<li>Eventualmente, problemas de qualidade de dados, como erros ou omissões, serão identificados. É imperativo que, quando for o caso, eles sejam relatados à Autoridade de Dados, que será responsável por identificar tendências em problemas de qualidade de dados e tomar medidas para corrigir os processos para reduzir qualquer margem de erro.</li>
<li>Além disso, quando exemplos de dados de baixa qualidade são descobertos, a trilha de auditoria deve ser usada para identificar o membro da equipe responsável pelo erro ou omissão. A pessoa identificada deve então ser solicitada a fazer qualquer entrada corretiva, ou pelo menos ser alertada do erro, para que possa ser informada das implicações de sua ação e da importância dos itens de dados.</li>
<li>Onde houver um padrão de tais erros ou omissões com uma equipe específica, deve ser executado uma investigação de causa raiz.</li>
<li>Os erros devem ser corrigidos o mais rápido possível após terem sido identificados de acordo com procedimentos nacionais e locais relativos à correção de registros.</li>
</ol>

Política de proteção de dados

2021-07-26T18:00:28Z

CaioLima:

Este documento é parte integrante do [[Governanca de_Dados|Programa de Governança de Dados da Prefeitura do Recife]]. 
 
A proteção de dados envolve questões relacionadas ao sigilo e privacidade dos dados, e visa garantir também que dados pessoais sejam processados de acordo com os direitos dos titulares.
 

# Esta Política estabelece controles de segurança de privacidade apropriados e eficazes para proteger privacidade dos dados, e limitar ou conter o impacto de qualquer incidente envolvendo uma violação de privacidade dos dados.
# Esta Política se aplica.
## aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal;
## às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal;
## às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.
# Para os fins desta Política, considera-se:
## dado pessoal informação relacionada a pessoa natural identificada ou identificável;
## dado pessoal sensível dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
## dado anonimizado dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
## titular pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
## controlador pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
## agentes de tratamento o controlador e o operador;
## tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
## anonimização utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
## consentimento manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
## bloqueio suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
## eliminação exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
## transferência internacional de dados transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
## uso compartilhado de dados comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades municipais no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
## relatório de impacto à proteção de dados pessoais documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
## órgão de pesquisa órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
# A Prefeitura deve categorizar as informações e ativos de dados de acordo com as leis federais, estaduais e municipais aplicáveis, ordens executivas, diretivas, políticas, regulamentos, padrões e orientações.
# Todas as informações cobertas por esta política devem ser classificadas em uma das quatro categorias, de acordo com o nível de segurança exigido Em ordem decrescente de sensibilidade, essas categorias (ou "classificações de segurança") são "Confidenciais", "Pessoais e Sensíveis", e "Públicas".
## informações sigilosas são aquelas submetidas temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;
## informações confidenciais incluem qualquer informação que a Prefeitura tenha obrigação contratual, legal ou regulatória de proteger da maneira mais rigorosa, por exemplo dados que incluam conteúdo protegidos por direitos autorais;
## informações pessoais são aquelas relacionadas à pessoa natural identificada ou identificável relativas à intimidade, vida privada, honra e imagem das pessoas;
## informações sensíveis são aquelas que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa;
## informações públicas são aquelas que não se encaixam em nenhuma das categorias anteriores.
# Todos os recursos de informação, sejam documentos físicos, bancos de dados eletrônicos ou outras coleções de informações, devem ser atribuídos a um nível de classificação de segurança de acordo com o conteúdo mais sensível neles contido.
# Sempre que possível, todos os dados devem ser classificados explicitamente, de modo que os usuários de quaisquer dados específicos estejam cientes de sua classificação.
# A classificação do sigilo de informações, no âmbito da Administração Pública Municipal, é de competência:
## no grau de ultrassecreto, das seguintes autoridades:
### Prefeito e Vice Prefeito;
### O Controlador Geral do Município do Recife;
### Secretários Municipais
## no grau de secreto e reservado, das autoridades referidas no inciso I, dos Presidentes de autarquias, fundações, empresas públicas e sociedades de economia mista.
# O Escritório de Governança de Dados deve documentar os resultados da categorização de segurança (incluindo justificativa de suporte).
# As informações sigilosas, confidenciais, pessoais e sensíveis devem ser protegidas contra acesso uso, modificação ou destruição não autorizado Todos os membros da administração pública do Recife compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
# Os requisitos de privacidade e informações confidenciais também se aplicam a atividades de blogs e mídias sociais Como tal, membros da administração pública de Recife estão proibidos de revelar qualquer informação sigilosa, confidencial, pessoal ou sensível ou qualquer outro material protegido de divulgação por estatutos, regras, normas, contratos e políticas aplicáveis quando envolvidos em atividades de blog e/ou mídia social.
# Os órgãos e entidades municipais são dispensados de obter consentimento do titular dos dados quando o tratamento dos dados tiver finalidade:
## cumprimento de obrigação legal ou regulatória pelo controlador;
## tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
# Os órgãos e entidades municipais devem identificar os elementos mínimos de dados pessoais a que são relevantes e necessários para cumprir a finalidade de coleta legalmente autorizada Devendo também limitar a coleta e retenção de dados pessoais aos elementos mínimos identificados para os fins descritos.
# O consentimento, quando exigido pelos órgãos públicos, será medida excepcional e deverá se referir a finalidades determinadas e comunicadas claramente ao titular do dado.
# Para os casos cujo consentimento é obrigatório, devem ser fornecidos os meios apropriados para que o titular dos dados autorize a coleta, uso, manutenção e compartilhamento de seus dados pessoais antes de sua coleta.
# Os meios apropriados devem permitir que os indivíduos entendam as consequências das decisões de aprovar ou recusar a autorização da coleta, uso, disseminação e retenção de seus dados pessoais.
# Os órgãos e entidades municipais devem obter o consentimento, quando viável e apropriado, dos indivíduos antes de qualquer novo uso ou divulgação de dados pessoais coletados anteriormente.
# Ao solicitar consentimento, os órgãos e entidades municipais devem descrever em seus avisos de privacidade os fins para os quais os dados são coletados, usados, mantidos e compartilhados.
# A notificação de privacidade deve informar sobre:
## atividades que afetam a privacidade, incluindo a coleta, uso, compartilhamento, proteção, manutenção e descarte de dados pessoais;
## sua autoridade para coletar dados pessoais;
## a capacidade de acessar os dados pessoais e de ter os dados pessoais alteradas ou corrigidas, se necessário;
## os dados pessoais que a Prefeitura do Recife coleta e a(s) finalidade(s) para a qual coleta essas informações;
## como a Prefeitura do Recife usa os dados pessoais internamente se a Prefeitura compartilha dados pessoais com entidades externas, as categorias dessas entidades e as finalidades desse compartilhamento;
## se os titulares têm a capacidade de consentir com usos específicos ou compartilhamento de dados pessoais e como exercer tal consentimento;
## como os titulares podem obter acesso a dados pessoais; e
## como os dados pessoais serão protegidos.
# O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
# As práticas de uso e tratamento dos dados também devem estar publicamente disponíveis para que os titulares e partes interessadas possam verificar compatibilidade do tratamento com as finalidades informadas aos titulares, de acordo com o contexto do tratamento.
# Outra informação a ser publicada é a identidade e informações de contato do encarregado As atividades do encarregado consistem em:
## aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
## receber comunicações da autoridade nacional e adotar providências;
## orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
## executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
# Os órgãos e entidades municipais devem revisar os avisos públicos para refletir as mudanças na prática ou política que afetam os dados pessoais ou alterações nas suas atividades de tratamento que afetem a privacidade, antes ou assim que possível após a mudança.
# O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de outras características previstas em regulamentação para o atendimento do princípio do livre acesso da LGDP.
# Os órgãos e entidades municipais devem publicar regras e regulamentos que regem como um titular pode solicitar acesso aos registros mantidos pela Prefeitura, de acordo com as leis e regulamentos aplicáveis.
# '''Inventário e Uso de Dados''' A Prefeitura deve estabelecer, manter e atualizar, em uma frequência definida, um inventário que contém uma lista de todos os ativos de dados que contenham dados pessoais.
# O inventário deve ter uma capacidade de indexação ou recuperação para auxiliar e agilizar o processo de busca e recuperação de dados
# '''Compartilhamento de Dados''' O controlador que obtiver o consentimento e necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas em Lei.
# O compartilhamento dentro da administração pública no âmbito da execução de políticas públicas e atribuição legal é previsto na lei e dispensa o consentimento específico.
# Órgãos e Entidades municipais devem aderir esta política de proteção aos dados e às diretrizes federais e estaduais aplicáveis para o processamento adequado de solicitações relacionadas à privacidade.
# O compartilhamento de dados pelos órgãos e entidades municipais observará as seguintes diretrizes:
## a informação da Prefeitura será compartilhada da forma mais ampla possível, observadas as restrições legais, os requisitos de segurança da informação e comunicações e o disposto na Lei Geral de Proteção de Dados Pessoais;
## o compartilhamento de dados sujeitos a sigilo implica a assunção, pelo recebedor de dados, dos deveres de sigilo e auditabilidade impostos ao custodiante dos dados;
## os mecanismos de compartilhamento, interoperabilidade e auditabilidade devem ser desenvolvidos de forma a atender às necessidades de negócio dos órgãos e entidades municipais para facilitar a execução de políticas públicas orientadas por dados;
## os órgãos e entidades municipais colaborarão para a redução dos custos de acesso a dados no âmbito do poder executivo de Recife, inclusive, mediante o reaproveitamento de recursos de infraestrutura por múltiplos órgãos e entidades municipais;
## nas hipóteses em que se configure tratamento de dados pessoais, serão observados o direito à preservação da intimidade e da privacidade da pessoa natural, a proteção dos dados e as normas e os procedimentos previstos na legislação; e
## a coleta, o tratamento e o compartilhamento de dados por cada órgão serão realizados nos termos do disposto no art 23 da Lei Geral de Proteção de Dados Pessoais.
# Quando o tratamento de dados pessoais envolver a obrigação legal de difusão destes em transparência ativa, estes devem ser publicados em formato interoperável e estruturado para o uso compartilhado, em cumprimento ao disposto no art 25 da LGPD e como já previa o art 8 º, §3 da Lei nº 12 527 2011 a Lei de Acesso à Informação.
# '''Anonimização e Pseudonimização''' Dado anonimizado é o dado relativo a um titular que não possa ser identificado. A não identificação da relação entre o dado e seu proprietário decorre da utilização da técnica de anonimização, a fim de impossibilitar a associação entre estes, seja de forma direta ou indireta.
# É importante ressaltar que, ainda que o dado esteja anonimizado, uma vez observada a possibilidade de reversão do processo que obteve a anonimização, este processo deixa de ser assim considerado e passa a ser considerado pseudonimização. Esses processos, de acordo com a legislação em vigor, devem ser utilizados, sempre que possível, por meio da aplicação de meios técnicos razoáveis e disponíveis na ocasião do tratamento dos dados.
# '''Correção e Alteração de Dados''' Órgãos e entidades municipais devem fornecer um processo para que os titulares tenham dados pessoais imprecisos mantidos pelos órgãos e entidades municipais sejam corrigidos ou alterados, tendo em vista o princípio da Qualidade dos Dados disposto na Lei Geral de Proteção de Dados Pessoais.
# Processos e procedimentos também devem ser estabelecidos para disseminar as correções ou alterações dos dados pessoais a outros usuários autorizados dos dados pessoais, como parceiros externos de compartilhamento de informações Quando viável e apropriado, os órgãos e entidades municipais responsáveis pela correção e alteração deve notificar os titulares afetados de que suas informações foram corrigidas ou alteradas.
# A Prefeitura deve implementar um processo para receber e responder a reclamações, preocupações ou perguntas de indivíduos sobre as práticas de privacidade de dados implementadas pela administração pública de Recife.
# Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
## cumprimento de obrigação legal ou regulatória pelo controlador;
## estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
## transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei Geral de Proteção a Dados Pessoais ou;
## uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Programa de Governança de Dados da Prefeitura do Recife

2021-07-26T17:59:25Z

CaioLima:

Bem vindo à Wiki da Governança de Dados da Prefeitura do Recife.

Aqui você encontrará as resoluções e decisões do Conselho de Governança de Dados e do Comitê de Governança de Dados da Prefeitura do Recife.

Esta Wiki reúne ainda os artefatos necessários para a manutenção da Governança de Dados da Prefeitura do Recife, incluindo as definições de políticas, processos, planejamentos, métricas e modelos de documentos. Seu objetivo é servir como referência e repositório para consulta dos envolvidos, e fonte de transparência para os interessados.

Para saber sobre os serviços e trabalhos desenvolvidos pelo Escritório de Governança de Dados, acesse o '''Portal da Governança de Dados''' [adicionar link].

== O que é Governança de Dados? ==

Segundo [https://www.damabrasil.org/ DAMA] em seu Data Management Body of Knowledge (DMBOK), Governança de Dados é o "exercício de autoridade, controle, planejamento, monitoramento, disponibilidade, segurança e execução dos ativos de dados e seu respectivo consumo". Ou seja, é uma estrutura com o propósito de coordenar, orientar e definir regras para a criação, coleta e uso dos dados, visando proteger a propriedade intelectual da Organização e garantir a segurança no armazenamento, monitoramento e geração de dados no ambiente corporativo.
A Governança de Dados '''controla''' e '''coordena''' os esforços de gestão do volume de dados gerados dentro da Organização e dados externos coletados e utilizados pela Organização. Ela envolve em seu escopo as políticas da Organização (sejam elas de segurança, tratamento de dados, etc.), os processos internos, os recursos humanos e digitais e o uso de tecnologias relacionadas à segurança e gerenciamento.
Para mais informações: [[Conceitos de Governanca de Dados]]

== Modelo de Governança de Dados ==

Governança de Dados requer a coordenação de uma combinação complexa de uma miríade de fatores, incluindo patrocínio executivo, financiamento, direitos de decisão, arbitragem de prioridades conflitantes, definição de políticas e processos, implementação de políticas, indicadores, correção da qualidade dos dados, administração de dados, otimização de processos de negócios, tecnologia, aplicação de políticas e ainda muitos outros fatores.

Modelos de Governança podem ser usados para apoiar organizações que precisam projetar e implementar programas de Governança de Dados Estes modelos fornecem uma estrutura conceitual que organiza os fatores que influenciam a governança bem como a gestão de dados.

Esta seção descreve um modelo geral de Governança de Dados para a Prefeitura do Recife. Este modelo tem como objetivo descrever os principais elementos de Governança de Dados e suas inter-relações. O modelo proposto proporcionará um vocabulário comum que, consequentemente, facilitará a comunicação e a discussão entre as partes interessadas. Além disso, o modelo de Governança de Dados ajudará a demonstrar como a Governança de Dados se relaciona com outros aspectos do gerenciamento de dados, arquitetura de dados e arquitetura corporativa.

Mesmo sendo apontada como uma iniciativa, o Modelo Geral de Governança de Dados apresentado aqui prevê a questão de interoperabilidade de dados. Este aspecto é abordado principalmente pelas funções Gestão de Metadados, Gestão de Arquitetura de Dados e Gestão de Dados Mestre e de Referencia Os processos e políticas relacionadas as estas funções serão construídas nas próximas fases deste projeto.

Ações de interoperabilidade de dados tem como objetivo não só a integração de sistemas, como também garantir a compatibilidade de modelos de dados e requisitos de qualidades de dados para uma organização por completa Neste sentido, uma plataforma de interoperabilidade contribui para aumentar e facilitar o compartilhamento de dados entre departamentos/órgãos/subsidiárias de uma organização.

Diante deste contexto, são apresentados nesta seção os componentes essenciais de governança que atuarão como pilares para organização e coordenação de todo programa, bem como funções estratégicas de gestão de dados, indicadores e abordagem de implementação.

A abordagem para definir o modelo adequado para a Prefeitura do Recife baseia se na identificação do equilíbrio apropriado entre flexibilidade e rigidez para garantir uma resposta rápida aos desafios e a execução ideal de negócios e processos alcançar a excelência operacional.

O modelo mais adequado de Governança de Dados para a Prefeitura do Recife é o "Central Distribuído". Este modelo foi acordado através de consulta com lideres e servidores da Prefeitura do Recife.

Este modelo define um tom apropriado de autoridade de liderança na parte superior, assim como propicia um maior patrocínio e engajamento por parte dos funcionários. Ainda, órgãos estratégicos e táticos que atuarão de forma mais centralizada poderão supervisionar o programa de Governança de Dados.

A distribuição das responsabilidades se dará no nível operacional. Recomenda-se que cada secretaria atue como uma Unidade de Gestão de Dados.

As unidades possuem capacidade parcial de agir de forma independente. Podendo fazer solicitação de ajustes específicos de políticas, processos e padrões de acordo com suas especificidades.

Em geral, a centralização da decisão e supervisão da Governança de Dados aliada a distribuição da operação traz uma maior versatilidade, rapidez e precisão nas decisões, o que seria impossível de obter se toda a gestão dos dados estivesse concentrada em um só órgão no topo da organização.

= Programa de Governança de Dados da Prefeitura do Recife =

[[Requisitos Legais e Regulamentares da Governança de Dados|Requisitos Legais e Regulamentares]]

[[Princípios de Governança de Dados]]

[[Papeis e Estrutura da Governança de Dados|Papeis e Estrutura]]

== Políticas da Governança de Dados ==

[[Política de acesso e compartilhamento de dados]]

[[Política de segurança de dados]]

[[Política de proteção de dados]]

[[Política de qualidade de dados]]

[[Política de plataforma de dados]]

[[Política de arquitetura de dados]]

Política de acesso e compartilhamento de dados

2021-07-26T17:56:59Z

CaioLima:

Política de compartilhamento de dados

2021-07-26T17:48:48Z

CaioLima: CaioLima moveu Política de compartilhamento de dados para Política de acesso e compartilhamento de dados

#REDIRECIONAMENTO [[Política de acesso e compartilhamento de dados]]

Política de acesso e compartilhamento de dados

2021-07-26T17:48:47Z

CaioLima: CaioLima moveu Política de compartilhamento de dados para Política de acesso e compartilhamento de dados

# Esta Política se aplica: I aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal II às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal III às entidades privadas que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, estando a publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife
# Os dados institucionais detidos por organismos definidos nos termos apresentados na Declaração 1 ª são bens públicos detidos pela Prefeitura por conta do povo.
# O valor dos dados institucionais como um bem público deve ser maximizado com acesso que garante que um uso não impede outro uso dos dados.
# Os dados institucionais devem ser, por padrão, abertos, a menos que o acesso seja restrito por razões de privacidade, sigilo, proteção e conformidade com leis e regulamentos cabíveis.
# Os dados institucionais devem ser disponibilizados de forma proativa, embora a Prefeitura também responda o mais positivamente possível aos pedidos de acesso a dados.
# Os dados institucionais devem ser disponibilizados em formatos abertos, reutilizáveis e legíveis por máquina.
# Os dados institucionais devem ser disponibilizados sob licenças flexíveis.
# Ainda como forma de maximizar o valor, os dados institucionais devem ser usados no desempenho de atividades administrativas, gerenciais e estratégicas da Prefeitura.
# A Prefeitura deve fornecer aos funcionários e servidores as informações de que precisam para realizar seus trabalhos.
# Os dados institucionais (independentemente de quem os coleta ou mantém) devem ser compartilhados entre aqueles funcionários e servidores cujo trabalho pode ser realizado de forma mais eficaz pelo conhecimento de tais informações.
# Os funcionários ou servidores receberão privilégios consistentes com suas obrigações de trabalho para acessar informações públicas, confidenciais e privadas.
# Os funcionários e servidores da Prefeitura devem ter conhecimento e cumprir os regulamentos das leis e regulamentos cabíveis de proteção a dados.
# Os dados devem ser usados apenas conforme exigido no desempenho das funções de trabalho.
# A Prefeitura deve estabelecer um padrão de classificação e proteção de dados para identificar o nível de necessidades de confidencialidade, requisitos legais e proteções padrão mínimas para os dados antes que o acesso seja concedido.
# Todo acesso a dados institucionais privados, sigilosos ou sensíveis deve ser controlado por medidas razoáveis para impedir o acesso de usuários não autorizados.
# Dados institucionais privados, sigilosos ou sensíveis não devem ser disseminados ou divulgados, em qualquer forma, sem a aprovação prévia por escrito de autoridade responsável apropriado ou medida judicial cabível.
# Embora a Prefeitura deva proteger a segurança e a confidencialidade de dados, os procedimentos para permitir o acesso aos dados não interferirão indevidamente na conduta eficiente de operações da Prefeitura.
# Os usuários de dados devem usar de forma responsável os dados aos quais tenham acesso, incluindo o uso dos dados apenas para a finalidade pretendida e respeitando a classificação de privacidade, sigilo e sensibilidade atribuída aos dados.
# O acesso autorizado a dados institucionais privados, sigilosos ou sensíveis não implica autorização para cópia, posterior divulgação de dados ou qualquer outro uso que não aquele para o qual o funcionário ou servidor foi autorizado.
# As Autoridades de Dados devem garantir que os procedimentos para solicitar e aprovar o acesso aos dados institucionais existam e sejam seguidos.
# Todos os procedimentos devem incluir rastreamento suficiente para solicitações, aprovações e revogações de modo que o acesso autorizado a dados institucionais seja auditável.
# As Autoridades de Dados também devem implementar procedimentos para auditar regularmente o acesso a dados institucionais privados, sigilosos ou sensíveis e revogar o acesso quando não for mais necessário ou autorizado.
# O acesso a dados institucionais privados, sigilosos ou sensíveis por partes externas deve ser regido por acordo contratual individual ou ofícios de entendimento, se o terceiro for uma organização governamental.
# A violação desta política pode incorrer em medidas disciplinares e/ou penais cabíveis.