Governo do Tocantins estabelece normativa de segurança para serviços digitais da ATI

O governo do Tocantins publicou a Instrução Normativa ATI nº 2/2026, estabelecendo diretrizes de segurança e controle de acesso aos serviços digitais da Agência de Tecnologia da Informação (ATI-TO). O documento, publicado no Diário Oficial nº 7034 desta terça-feira, 07, define requisitos essenciais para governança, proteção de dados e conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Abrangência da normativa

A regulamentação se aplica a servidores efetivos, comissionados e estagiários, além de colaboradores terceirizados, consultores, fornecedores e agentes de outros órgãos que utilizem sistemas geridos pela ATI-TO. Também abrange os cidadãos que acessam os serviços digitais estaduais.

Controle de acesso e autenticação

Entre as principais determinações, a norma estabelece que cada conta de usuário deve ser individual, vinculada ao CPF e ao nome completo do titular, com associação à unidade, função e tipo de vínculo. O uso de contas compartilhadas, genéricas ou anônimas está vedado.

Toda concessão, alteração ou revogação de acesso deve ser documentada e rastreável. A normativa consolida o princípio do menor privilégio, segundo o qual o usuário deve ter acesso apenas ao necessário para o desempenho de suas atividades. Para perfis com acesso privilegiado, a elevação de privilégio deverá ser temporária, justificada e formalmente autorizada.

Proteção de dados e segurança cibernética

Para os serviços digitais oferecidos ao cidadão, a ATI passa a orientar a adoção obrigatória de mecanismos como:

• Criptografia de dados em repouso e em trânsito;
• Segregação entre ambientes de produção, homologação e desenvolvimento;
• Proteção contra ataques cibernéticos;
• Registros detalhados de acesso, operação e transação.

A normativa também prevê medidas de transparência sobre o tratamento de dados pessoais, garantindo ao cidadão direitos de acesso, correção e informação sobre o uso de seus dados, em consonância com a LGPD.

Governança e responsabilização

Os órgãos responsáveis pelos serviços digitais deverão manter documentação atualizada, realizar testes periódicos de segurança e comunicar imediatamente qualquer incidente à Equipe de Tratamento e Resposta a Incidentes Cibernéticos do Núcleo de Inteligência e Resiliência de Tecnologia da Informação (ETIR/NIRTI).

Declarações das autoridades

Segundo o presidente da ATI, Alírio Felix Martins Barros, a medida reforça a segurança da administração pública. “Com essa regulamentação, o Tocantins reforça uma diretriz essencial para a administração pública, que é garantir que o acesso aos sistemas e aos dados ocorra com segurança, responsabilidade e rastreabilidade. É uma medida que fortalece a proteção das informações do Estado e amplia a confiabilidade dos serviços digitais oferecidos ao cidadão”, destacou.

O superintendente de Infraestrutura e Serviços de Tecnologia da Informação, Anderson Menezes, ressaltou a importância da conformidade legal. “Essa normativa consolida parâmetros fundamentais para a segurança, a rastreabilidade e a conformidade dos serviços digitais do Estado com a Lei Geral de Proteção de Dados. Trata-se de uma medida que fortalece essa proteção, reduz riscos e assegura maior responsabilidade na gestão dos acessos, em benefício da administração pública e do cidadão”, afirmou.

Vigência e revisão

A Instrução Normativa ATI nº 2/2026 entrou em vigor e poderá ser revisada sempre que houver alteração legislativa, mudança tecnológica significativa ou recomendação técnica dos órgãos competentes.