O que é o PPSI 2.0 e por que gestores de TI do setor público precisam conhecer este framework

Em 28 de outubro de 2025, a Secretaria de Governo Digital publicou a Portaria SGD/MGI no 9.511, que instituiu o PPSI 2.0 — o Programa de Privacidade e Segurança da Informação da Administração Pública federal. A partir desse momento, todos os órgãos e entidades integrantes do SISP passaram a ter obrigações formais de conformidade com um conjunto estruturado de controles de segurança e privacidade.

Para gestores de TI, coordenadores de infraestrutura e responsáveis por segurança da informação em órgãos públicos, isso não é uma novidade que pode ser adiada. É um framework com controles específicos, grupos de implementação progressivos e exigências técnicas que afetam diretamente a forma como dispositivos corporativos são gerenciados.

Este guia explica o que é o PPSI 2.0, qual é sua estrutura, quais controles são mais relevantes para a gestão de endpoints e o que sua equipe precisa fazer para comprovar conformidade.

O que é o PPSI 2.0

O PPSI 2.0 é o framework de governança em privacidade e segurança da informação da Administração Pública federal brasileira. Ele substitui o PPSI 1.0 (Portaria SGD/MGI no 852/2023) e foi concebido para ser mais abrangente, mais estruturado e mais alinhado com a legislação brasileira vigente — especialmente a LGPD.

A base técnica do segmento de segurança da informação do PPSI 2.0 e o CIS Controls v8.1 — o conjunto de melhores práticas de defesa cibernética do Center for Internet Security, foi adotado por organizações em mais de 100 países. Isso significa que o PPSI 2.0 não é uma iniciativa isolada: ele conecta os órgãos públicos nacionais a um padrão técnico reconhecido globalmente.

Para quem o PPSI 2.0 é obrigatório

O PPSI 2.0 é dirigido a órgãos e entidades da Administração Pública federal direta, autárquica e fundacional que possuem unidades integrantes do SISP. Isso inclui ministérios, autarquias, fundações públicas e entidades vinculadas ao Poder Executivo federal.

O próprio documento esclarece que não há impedimento para que outras organizações — incluindo empresas privadas e governos estaduais e municipais — adotem o framework como referência de maturidade. Para o setor privado, o PPSI 2.0 funciona como um benchmark reconhecido pelo governo federal.

A estrutura do framework: três segmentos

Segmento Base

Estabelece a fundação de governança. Inclui dois controles (Controle 0): Estruturação Básica para Governança e Instrumentos Fundamentais. Aqui estão as exigências de designação formal de responsáveis — gestor de TIC, gestor de segurança da informação, encarregado de dados pessoais (LGPD), comitês de segurança e de proteção de dados.

Segmento de Segurança da Informação

É o núcleo técnico do framework. Compreende os Controles 1 a 18, baseados no CIS Controls v8.1. Cada controle é dividido em medidas classificadas em três Grupos de Implementação (GI):

• GI1: medidas essenciais, recomendadas para qualquer organização — o ponto de partida obrigatório;
• GI2: medidas para organizações com equipes de TI estruturadas — expansão progressiva;
• GI3: medidas avançadas para especialistas em segurança da informação;

Segmento de Privacidade

Compreende os Controles 19 a 25, baseados na LGPD e nas resoluções da ANPD. Abrange registro de operações de tratamento de dados, ações de prevenção, direitos dos titulares, contratos com operadores, análise de operações, transferência internacional e princípios da lei.

Segmento	Controles
Base (Governança)	Controle 0 — Estruturação e Instrumentos Fundamentais
Segurança da Informação	Controles 1 a 18 — baseados no CIS Controls v8.1
Privacidade	Controles 19 a 25 — baseados na LGPD e resoluções ANPD

Os controles do CIS que afetam a gestão de dispositivos

Para gestores de TI de órgãos públicos, os controles mais críticos são aqueles que tratam diretamente de ativos institucionais — os dispositivos que sua equipe precisa gerenciar.

Controle 1 — Inventário de Ativos Institucionais

Exige inventário preciso e detalhado de todos os ativos que realizam tratamento de dados: dispositivos de usuário final (incluindo smartphones e tablets), dispositivos de rede, servidores e dispositivos IoT. O inventário deve incluir endereço de rede, endereço de hardware, nome do ativo, proprietário e indicação de autorização para conexão a rede. O próprio PPSI 2.0 cita MDM como ferramenta recomendada para coleta e atualização automática desses dados.

Por que isso importa na prática: Um órgão com 200 notebooks, 80 smartphones corporativos e 30 tablets distribuídos entre servidores remotos não consegue manter um inventário confiável por planilha. O Controle 1 exige atualização periódica — semestral no mínimo — e capacidade de identificar ativos não autorizados conectados a rede.

Controle 4 — Configuração Segura de Ativos e Softwares

Exige configurações seguras para todos os dispositivos. Para móveis especificamente: bloqueio automático após falhas de autenticação (4.10), limpeza remota de dispositivos perdidos (4.11) e separação de dados pessoais e corporativos (4.12). A medida 4.12 mapeia diretamente para o Work Profile do Android Enterprise.

Controle 7 — Gestão Contínua de Vulnerabilidades

Exige atualizações automatizadas de sistema operacional (7.3) e aplicações (7.4). Para frotas Android corporativo, significa capacidade de forçar atualizações remotamente, sem depender de ação manual do usuário.

Controle 10 — Defesa contra Malware

Exige antimalware instalado em todos os ativos, atualizações automáticas de assinaturas e desativação da execução automática de mídias removíveis.

A conexão com a LGPD: o que os Controles 19 a 25 exigem

• Registrar todas as operações de tratamento de dados pessoais — incluindo quais dispositivos processam esses dados (Controle 19);
• Implementar privacy by design em novos projetos e sistemas (Controle 20);
• Garantir remoção segura de dados pessoais em dispositivos perdidos ou com contratos encerrados (Controles 22 e 23);
• Separar dados pessoais e corporativos em modelos BYOD via Work Profile Android (Controle 25);

Ponto crítico para a equipe de TI: A LGPD e o PPSI 2.0 não distinguem dados em servidor de dados em dispositivo móvel. Um smartphone corporativo que armazena e-mails e documentos de servidores públicos está sujeito as mesmas obrigações de proteção que um banco de dados central.

O que fazer agora: primeiros passos

Passo	Acao
1. Mapeie seus ativos	Liste todos os dispositivos conectados a rede. Classifique: autorizados vs. não autorizados.
2. Audite contas e acessos	Desative contas inativas. Revise privilégios administrativos.
3. Implemente configurações seguras	Ative bloqueio automático, exija PIN e configure wipe remoto em todos os móveis.
4. Separe dados pessoais e corporativos	Em BYOD, implemente Work Profile Android. Em corporativos, aplique políticas de restrição.
5. Documente tudo	Logs, inventários e registros de ações precisam ser auditáveis.
6. Avalie uma plataforma UEM	Centralizar a gestão e a forma mais eficiente de cobrir os Controles 1, 2, 4, 5, 7 e 10 simultaneamente.

Conclusão

O PPSI 2.0 transforma boas práticas em obrigações formais. Para gestores de TI de órgãos públicos, a gestão centralizada de dispositivos não é uma opção — é um requisito de conformidade com prazo em aberto.

Se o seu órgao ainda não tem visibilidade total sobre os dispositivos que acessam sua rede, não consegue aplicar atualizações remotamente e nao faz wipe de dispositivo perdido em menos de uma hora, o PPSI 2.0 já indicou por onde começar.

A Urmobo apoia a conformidade com o PPSI 2.0: A plataforma UEM da Urmobo oferece inventário automático de ativos, gestão de configurações, atualizações remotas, wipe de dispositivos, separação de perfis corporativos e pessoais e logs auditáveis — cobrindo diretamente os Controles 1, 2, 4, 5, 7 e 10 do PPSI 2.0. Fale com a Urmobo e entenda como acelerar a conformidade do seu órgão.

FAQ — Perguntas frequentes sobre o PPSI 2.0

O que é o PPSI 2.0?

O PPSI 2.0 é o Programa de Privacidade e Segurança da Informação da Administração Pública federal, instituído pela Portaria SGD/MGI no 9.511/2025. É um framework com 26 controles de segurança e privacidade obrigatório para órgãos integrantes do SISP.

O PPSI 2.0 é obrigatório para órgãos estaduais e municipais?

Não diretamente. É obrigatório para órgãos federais integrantes do SISP. Porém, o próprio documento indica que não há impedimento para que outros órgãos o adotem como referência de maturidade.

Qual é a relação entre o PPSI 2.0 e o CIS Controls?

O segmento de segurança da informação do PPSI 2.0 (Controles 1 a 18) e integralmente baseado no CIS Controls v8.1 — referência global de defesa cibernética do Center for Internet Security.

O PPSI 2.0 exige gestão de dispositivos móveis?

Sim. O Controle 1 exige inventário de todos os dispositivos, incluindo smartphones e tablets. O Controle 4 exige configurações seguras especificas para móveis — bloqueio automático, wipe remoto e separação de dados. O CIS Controls cita MDM como ferramenta recomendada.

Como uma plataforma UEM ajuda na conformidade?

Uma plataforma UEM centraliza inventário, configurações seguras, atualizações remotas, wipe de dispositivos, gestão de contas e logs auditáveis — cobrindo diretamente os Controles 1, 2, 4, 5, 7 e 10 do PPSI 2.0.

O PPSI 2.0 tem relação com a LGPD?

Sim. O segmento de privacidade (Controles 19 a 25) é baseado na LGPD e nas resoluções da ANPD. Ele traduz as obrigações legais em medidas técnicas auditáveis — incluindo registro de operações de tratamento e privacy by design.

Fonte de referência: Guia do Framework de Privacidade e Segurança da Informação (PPSI 2.0), Secretaria de Governo Digital / Ministério da Gestão e da Inovação em Serviços Públicos.