O departamento de TI de um tribunal migrou seu sistema de c...
Próximas questões
Com base no mesmo assunto
Ano: 2026
Banca:
FGV
Órgão:
TJ-RJ
Prova:
FGV - 2026 - TJ-RJ - Analista Judiciário - Tecnologia da Informação - Arquiteto de Dados |
Q3878692
Sistemas Operacionais
O departamento de TI de um tribunal migrou seu sistema de
consulta processual para um provedor de nuvem pública,
adotando o modelo PaaS (Platform as a Service) por meio de um
serviço de Web App gerenciado. Seis meses após a migração, o
sistema sofreu uma invasão que resultou na exfiltração de dados.
A perícia forense digital concluiu que:
• o código-fonte da aplicação desenvolvido pelo tribunal seguia as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma vulnerabilidade conhecida (CVE) e não corrigida no kernel do sistema operacional do servidor que hospedava o ambiente de execução (runtime).
Considerando o Modelo de Responsabilidade Compartilhada aplicável a serviços PaaS, é correto afirmar que a responsabilidade pela falha de segurança que permitiu o incidente é:
• o código-fonte da aplicação desenvolvido pelo tribunal seguia as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma vulnerabilidade conhecida (CVE) e não corrigida no kernel do sistema operacional do servidor que hospedava o ambiente de execução (runtime).
Considerando o Modelo de Responsabilidade Compartilhada aplicável a serviços PaaS, é correto afirmar que a responsabilidade pela falha de segurança que permitiu o incidente é:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: B
Fundamento decisivo: O dado decisivo foi que a invasão ocorreu estritamente por uma CVE não corrigida no kernel do sistema operacional do servidor que hospedava o runtime. Em um Web App gerenciado em PaaS, essa camada integra a plataforma administrada pelo provedor, e não a aplicação do tribunal.
Tema central: Responsabilidade em PaaS
Análise das alternativas
A
Errada
Está errada porque mistura a responsabilidade do cliente sobre aplicação e dados com a responsabilidade sobre o sistema operacional subjacente em PaaS. O problema descrito não surgiu na aplicação nem em IAM, mas no kernel do servidor que hospeda o runtime, camada gerida pelo provedor.
B
Certa
A alternativa B está certa porque aplica corretamente o modelo de responsabilidade compartilhada em PaaS: o cliente gerencia a aplicação e os dados, enquanto o provedor gerencia a plataforma subjacente, inclusive sistema operacional, runtime e respectivas correções de segurança. Como o enunciado delimitou que a causa do incidente foi exclusivamente uma vulnerabilidade conhecida e não corrigida no kernel do servidor que hospeda o ambiente de execução, a falha ocorreu exatamente na camada cuja gestão é do fornecedor da plataforma.
C
Errada
Está errada porque pressupõe que o tribunal teria obrigação de instalar HIDS no host ou no sistema operacional subjacente. Em um Web App gerenciado em PaaS, o cliente normalmente não administra nem instrumenta esse sistema operacional; logo, a alternativa atribui ao cliente um controle incompatível com a camada efetivamente atingida.
D
Errada
Está errada porque afirma uma regra absoluta incompatível com o compartilhamento de responsabilidades: dizer que a correção do Guest OS é responsabilidade do cliente em todos os modelos, inclusive PaaS e SaaS. Pela base da questão, em PaaS essa camada é administrada pelo provedor, não pelo cliente.
E
Errada
Está errada porque faz a responsabilidade depender de cláusula específica de SLA sobre versão de kernel e ainda transfere ao cliente um dever de auditar a infraestrutura subjacente antes do deploy. Na questão, a definição da responsabilidade decorre do modelo PaaS e da camada onde estava a vulnerabilidade, não dessa condição contratual.
Pegadinha da questão
A confusão explorada foi tratar PaaS gerenciado como se o cliente também respondesse pelo sistema operacional do host/runtime, misturando responsabilidade sobre aplicação e dados com responsabilidade sobre a plataforma subjacente.
Dica para questões semelhantes
- Primeiro localize a camada exata da falha; a responsabilidade acompanha a camada atingida.
- Em PaaS, se o problema está no sistema operacional subjacente ou no runtime gerenciado, a imputação tende ao provedor, não ao cliente.
- Quando o enunciado exclui aplicação e IAM como causa, não desloque a culpa para o cliente por essas frentes.
- A matriz técnica de responsabilidade em PaaS decorre do modelo de serviço e do elemento comprometido, não de suposições sobre acesso do cliente ao host.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
No PaaS, são de responsabilidade do usuário apenas os dados e as aplicações. Servidores, armazenamento, rede, virtualização, runtime, middleware e sistema operacional são de responsabilidade do provedor de serviços.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos