Portaria Nº 239/2022 - PJPI/TJPI/SECPRE, de 24 de janeiro de 2022
Tags: vigente
Ementário:Institui a Política de Gestão da Garantia e Controle de Acesso à Informação do Poder Judiciário do Estado do Piauí.
O Excelentíssimo Desembargador JOSÉ RIBAMAR OLIVEIRA, PRESIDENTE DO EGRÉGIO TRIBUNAL DE JUSTIÇA DO ESTADO DO PIAUÍ, e o PRESIDENTE DO COMITÊ GESTOR DE TIC/TJPI, Desembargador OLÍMPIO JOSÉ PASSOS GALVÃO, no uso de suas atribuições regimentais e legais,
CONSIDERANDO a Resolução CNJ nº 396/2021, que institui o controle de acesso como elemento da Política de Segurança da Informação dos Tribunais – Art. 28, I - ;
CONSIDERANDO a Portaria Nº 35, de 12 de julho de 2013, do Conselho Nacional De Justiça (CNJ), que institui o Comitê de Gestão de Tecnologia da Informação e Comunicação (CGETIC) do Conselho Nacional de Justiça (CNJ);
CONSIDERANDO a Norma Técnica ABNT NBR ISO/IEC 27001:2013, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização;
CONSIDERANDO a Norma Técnica ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes para práticas de gestão de segurança da informação;
CONSIDERANDO a Resolução nº 232/2021 TJPI de 05 de Julho de 2021 que institui a Política de Segurança da Informação (PSI) e do Sistema de Gestão de Segurança da Informação SGSI, do Poder Judiciário do Estado do Piauí (2535781);
CONSIDERANDO o Provimento Conjunto Nº 50/2021 (2740307), que regulamenta o acesso aos sistemas processuais por servidores cedidos e terceirizados, bem como a disponibilização de tokens e certificados digitais;
CONSIDERANDO, ainda, a Lei 13709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO o contido no Processo SEI nº 21.0.000008168-7;
RESOLVEM:
TÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Política de Gestão da Garantia e Controle de Acesso à Informação no Poder Judiciário do Estado do Piauí – PCAI/PJPI, integrante de um conjunto de normas que atendem à Política de Segurança da Informação do Poder Judiciário do Estado do Piauí – PSI/PJPI.
Art. 2º Esta norma será aplicada, no que couber, às atividades de todos os usuários de recursos tecnológicos pertencentes ou gerenciados pelo PJPI, incluindo magistrados, servidores, colaboradores, consultores externos, estagiários e prestadores de serviço que exercem atividades no âmbito do PJPI ou quem quer que venha a ter acesso a dados ou informações protegidos pela presente norma.
CAPÍTULO I
DOS OBJETIVOS
Art. 3º A presente Política de Gestão tem por objetivos:
I - O estabelecimento de diretrizes e padrões para garantir e controlar o acesso à informação no âmbito do Tribunal de Justiça do Estado do Piauí;
II - A implementação de acesso à rede exclusivamente a usuários autorizados e credenciados;
III - A garantia de proteção às instalações, áreas, equipamentos, dados, informações, bens e pessoas, por meio do impedimento de acessos não-autorizados aos ambientes físicos ou lógicos;
IV - A melhoria da segurança e da integridade da informação produzida no TJPI;
V - O estabelecimento, a implementação, a manutenção e melhoramento contínuos de mecanismos e controles visando a promoção da gestão da segurança da informação, de forma a garantir o direito de acesso previsto em Lei, a proteção de dados, informações e conhecimentos gerados e custodiados, bem como a redução de riscos de ocorrência de perdas, alterações e acessos indevidos, preservando a disponibilidade, integridade, confiabilidade e autenticidade das informações no âmbito do Tribunal de Justiça do do Estado do Piauí.
CAPÍTULO II
DAS MOTIVAÇÕES
Art. 4º A Política de Gestão da Garantia e Controle de Acesso à Informação tem por motivações:
I - O alinhamento às normas, regulamentações e melhores práticas relacionadas à matéria;
II - A proteção do ambiente tecnológico deste Tribunal;
III - O correto direcionamento e dimensionamento de recursos tecnológicos para prover o serviço de acesso à internet e aos sistemas de informação.
TÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 5º Para os efeitos desta norma ficam estabelecidos os seguintes conceitos:
I - Arquivo de registro de mensagens (logs): registro de eventos relevantes, utilizados para restaurar um sistema, diagnosticar problemas ou realizar auditorias.
II - Código malicioso: termo comumente utilizado para genericamente se referir a programas desenvolvidos para executar ações danosas e atividades maliciosas em um computador ou dispositivo móvel. Exemplos de tipos específicos de códigos maliciosos são: vírus, worm, bot, spyware, backdoor, cavalo de tróia e, rootkit, ransomware ,entre outros.
III - Proxy ou filtro de conteúdo: servidor responsável por intermediar o acesso à internet, aplicando regras de controle de acesso e mecanismos de proteção contra códigos maliciosos, previamente configurados, além de controlar a alocação de recursos de rede.
IV - Proxy externo: são servidores não administrados pelo TJPI, responsáveis por intermediar o acesso à internet, que não aplicam as regras de controle de acesso e mecanismos de proteção da mesma forma que o proxy administrado pelo TJPI.
V - Sítio: é um conjunto de páginas web organizadas a partir de um URL básico, onde fica a página principal, e geralmente são armazenadas numa única pasta ou subpastas relacionadas no mesmo diretório de um servidor.
VI - Situação de contingência: estado ou condição na qual exista a ocorrência de falha/problema, em um ou mais recursos tecnológicos, que reduzam a capacidade dos sistemas e serviços que suportam a atividade da organização.
VII – Ativo: qualquer bem (material ou imaterial) que tenha valor para a organização [ISO/IEC 13335-1:2004];
VIII - Ativo de informação: meios de armazenamento, de transmissão e de processamento, sistemas de informação, locais onde se encontram os meios de armazenamento e as pessoas que a eles têm acesso;
IX – Ativo de tecnologia da informação (TI): são os itens físicos e virtuais que compõem uma rede corporativa, englobando tanto recursos tangíveis quanto intangíveis. (Exemplos: dispositivos de armazenamento móvel, como pendrive e HD externo; componentes do computador, como placa-mãe, memória RAM, processador, HD; sistemas operacionais, softwares; equipamentos como servidores, roteadores, switches; impressoras conectadas à rede; códigos-fonte; informações armazenadas em dispositivos; perfis de configuração de tecnologias, etc.)
X – Autenticação: processo que busca verificar e confirmar a identidade do usuário;
XI – Confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização [ISO/IEC 13335-1:2004];
XII – Recursos de informática: conjunto de sistemas e equipamentos de informática que são disponibilizados aos usuários do PJPI;
XIII – Termo de Responsabilidade de TI: documento que deve ser assinado pelo usuário antes de receber suas credenciais, no qual este concorda e assume as responsabilidades na utilização dos recursos de informática. Esta definição também se aplica ao termo de autorização de uso da rede sem fio.
XIV - Níveis de sigilo: indica quem deve ter acesso aos processos judiciais conforme Resolução Conjunta 03/2013 CNJ/CNMP .
XV - Gestor de cadastro: unidade administrativa ou colaborador (interno ou externo ao TJPI) responsável pela efetivação da criação, inativação ou alteração dos acessos de usuários a um determinado sistema, em conformidade com as regras de acesso definidas pelo gestor negocial. Esta definição se aplica tanto a sistemas internos do TJPI quanto a sistemas externos (CNJ, Governo do Estado, TREPI, etc.).
XVI- Informações sensíveis: São todas as que estejam sobre o domínio, ainda que indireto, do TJPI e vinculadas aos objetivos institucionais do Tribunal e desta forma identifiquem ou possam identificar as partes de um processo. Incluem-se neste conceito, as informações que estejam protegida por lei ou ordem judicial, bem como as que permitam a violação da privacidade e da intimidade de pessoas e que a Administração pública, por determinação legal, obrigou-se a zelar.
TÍTULO III
DAS DIRETRIZES
Art. 6º O acesso à internet e aos sistemas de informação dar-se-á, exclusivamente, pelos meios autorizados, configurados pela Secretaria de Tecnologia da Informação e Comunicação.
§ 1º É expressamente proibido o uso de proxies externos ou similares.
§ 2º O acesso a sistemas de informação do TJPI deve ser controlado de acordo com o valor, sensibilidade e criticidade da informação nele contida e considerando aspectos de restrição legais e/ou normativos.
§ 3º Em ambientes de não produção de sistemas de informação - sustentação, homologação, desenvolvimento, treinamento, etc. - deve ser assegurado que os níveis de sigilo existentes nos dados originais sejam mantidos.
§ 4º Caberá ao criador do conteúdo de sistemas de compartilhamento de arquivos institucionais - tais como One Drive, Google Drive, etc. - o gerenciamento do seu acesso.
§ 5º Cada um dos sistemas essenciais de TIC deverá possuir (sem excluir os demais sistemas), um gestor técnico e negocial e seus suplentes.
I - Poderá ser designada como gestor negocial a unidade responsável pela área de negócio, sendo seu respectivo titular o gestor do sistema.
§ 6º Relativamente ao controle de acesso, são atribuições do gestor negocial de soluções de software referido no §5º, sem prejuízo de outras existentes:
I - A definição formal de regra de acesso para o sistema de informação;
II – A autorização, na ausência de regras específicas ou excepcionalidades, referente às solicitações de criação, alteração e inativação de usuários ao gestor de cadastro.
§ 7º Compete ao gestor técnico de soluções de software:
I - Executar os processos de Gerenciamento de Escopo e Requisitos e de Desenvolvimento de Sistemas de Informação, conforme Portarias referentes à Metodologia de Desenvolvimento de Sistemas, quando aplicável;
II - Manter a documentação e códigos-fonte de todas as versões da solução desenvolvida;
II - Efetuar, juntamente às demais áreas da Secretaria de Tecnologia da Informação, o planejamento da infraestrutura para a implantação da solução de software;
IV - Prestar suporte técnico em segundo nível conforme o Processo de Gerenciamento da Capacidade e Disponibilidade de TIC, quando aplicável;
V - Acompanhar a implantação, fornecendo apoio técnico necessário;
VI - Providenciar cadastro de permissões iniciais, durante implantação da solução de software, quando houver necessidade de cadastramento em lote e o sistema permitir;
VII - Solicitar a atualização do Catálogo de Serviços, quando necessário;
VIII - Avaliar a proposta de SLA em conjunto com outras áreas da STIC;
IX - Definir regras de monitoramento para a solução de software conforme criticidade.
§ 8º O acesso aos servidores de banco de dados, de aplicação e versionamento da infraestrutura do TJPI, são restritos a servidores ou colaboradores terceirizados, autorizados atuando em projetos de software em conformidade com a PSI e seus processos e protocolos.
§ 9º Em caso de exoneração de servidores, competirá à SEAD a notificação deste fato aos gestores de cadastros.
Art. 7º O acesso à rede e à internet serão disponibilizados pelo TJPI para uso nas atividades relacionadas à função institucional deste Poder, observado o disposto nesta norma.
§1º Resta proibido o acesso via rede do TJPI a qualquer conteúdo que não esteja relacionado à atividade-fim do Poder Judiciário;
§2º Os serviços institucionais de interesse do TJPI, constantes ou não do seu portal, terão seu acesso liberado, desde que tenha por finalidade a prestação de atividade jurisdicional;
§3º São exemplos de serviços institucionais referidos no parágrafo anterior: e-mail, sistemas administrativos (SEI, Captei, etc.), intranet, consultas públicas via site do TJPI, dentre outros homologados ou autorizados pelo setor técnico competente
Art. 8º Constitui acesso indevido à internet as seguintes ações, sem prejuízo de quaisquer outras vedações legais:
I - Acessar páginas de conteúdo considerado ofensivo, ilegal, impróprio ou incompatível com as atividades funcionais ou com a política de segurança da informação, tais como pornografia, pedofilia, racismo, jogos e páginas de distribuição e de compartilhamento de software.
II - Utilizar programas de troca de mensagens em tempo real (bate-papo) ou programas para troca de conteúdo via rede ponto a ponto (peer-to-peer), exceto os autorizados pelo Comitê de Segurança da Informação ou os autorizados pela Presidência ou Corregedoria antes da vigência do Comitê, podendo estes serem revistos posteriormente.
III - Utilizar programas e/ou acessar páginas de áudio e vídeo em tempo real, ou sob demanda, exceto os autorizados pelo Comitê de Segurança da Informação ou os autorizados pela Presidência ou Corregedoria antes da vigência do Comitê, podendo estes serem revistos posteriormente.
IV - Acessar sítios que representem ameaça de segurança ou que possam comprometer de alguma forma a integridade da rede de computadores do TJPI.
V - Acessar ou fazer download de arquivos não relacionados ao trabalho, em especial músicas, imagens, vídeos, jogos e programas de qualquer tipo.
VI - Instalação de aplicativos que tentem burlar regras de proteção de rede e permitir acessos não monitorados ou controlados, como proxies externos ou similares;
VII - Downloads de programas não autorizados, jogos, filmes, músicas, fora do escopo institucional;
VIII - Participação em jogos ou salas de bate papo on-line, salvo neste último caso para atividades relacionadas ao Poder Judiciário do Estado do Piauí.
IX - O uso indevido da internet e intranet estará sujeito a sanções administrativas, salvo nos casos devidamente justificados ao Comitê de Segurança da Informação.
§1º A STIC fica autorizada a bloquear acesso a sites da internet com conteúdo pornográfico, racista ou qualquer outro que possa ser ofensivo à moral e aos bons costumes, bem como os que possam ser considerados inadequados nos termos deste documento.
§2º O acesso a sites de notícias é tolerável desde que esta prática não seja abusiva, não comprometa o desempenho da rede e não influencie o bom andamento dos trabalhos institucionais.
§3º Cabe ao Comitê de Segurança da Informação disciplinar e à STIC monitorar estes acessos, bem como removê-los a qualquer tempo, a fim de preservar e garantir o bom uso de seus recursos. Sem prejuízo a outras métricas, a STIC deverá acompanhar se há usuários que consomem recursos de TI, acima da média dos demais que executam as mesmas funções.
§4º Constitui-se também como prática abusiva equiparável a acesso indevido as seguintes ações em ambiente da rede de dados do TJPI:
I - Divulgar, a outras pessoas, informações sobre a sua conta de usuário e senha de acesso;
II - Obter ou tentar obter acesso não autorizado a outros sistemas ou redes de computadores conectados ao serviço;
III - Interferir ou interromper o serviço, a rede ou os equipamentos servidores;
IV - Usar falsa identidade ou utilizar dados de terceiros para obter acesso ao serviço;
V - Tentar enganar, burlar ou subverter as medidas de segurança dos sistemas e da rede de comunicação;
VI - Provocar, de forma intencional, incidente de segurança, interferência ou tentativa de interferência nos serviços de qualquer outro usuário, equipamento servidor ou rede, incluindo ataques, tentativas de provocar congestionamento em redes, de sobrecarregar ou invadir equipamentos servidores.
§5º Em decorrência de eventual descumprimento de qualquer disposição desta norma, o usuário estará sujeito às seguintes sanções:
I - medidas administrativas cabíveis, determinadas pela Administração do TJPI, caso possua vínculo de qualquer natureza com o PJPI;
II - suspensão temporária do acesso;
III - suspensão permanente do uso da rede sem fio do TJPI.
§6º As medidas previstas neste item não isentam o usuário das penalidades civis e penais aplicáveis ao caso.
Art.9º A STIC monitorará os acessos às páginas da internet que possam causar prejuízo à rede, com intuito de manter a disponibilidade do serviço e as atividades do Poder Judiciário. Todo tráfego de rede será controlado, de forma automática, e poderá ser inspecionado, pela ferramenta de proxy (filtro de conteúdo) e ou firewall configurados de acordo com os limites estabelecidos por esta norma ou definidos pela Administração desta Corte.
§1º A liberação de acesso a sítios e serviços bloqueados, mas necessários ao desempenho das atribuições funcionais do usuário, dependerá de solicitação, devidamente justificada, à STIC, que a submeterá, quando for o caso, ao Comitê de Segurança da Informação, para deliberação.
Art. 10. Fica vedado a conexão de equipamentos pessoais ou de terceiros na rede do TJPI, excetuando smartphones e tablets.
Parágrafo Único - O Comitê de Segurança da Informação, ou excepcionalmente pelo Secretário de TIC, poderá autorizar a conexão de equipamentos de informática pessoais ou de terceiros.
Art. 11. A STIC bloqueará o acesso de equipamentos não autorizados à rede do TJPI, bem como dispositivos que possibilitem acesso indevido à rede.
Art. 12. Caberá ao gestor da unidade orientar os usuários sob sua responsabilidade a respeito do uso adequado do recurso de internet, conforme as regras estabelecidas nesta norma, bem como reportar ao Comitê de Segurança da Informação o seu descumprimento.
Art. 13. A critério da Administração, poderão ser adotadas medidas visando a manutenção da disponibilidade e da qualidade do acesso à internet, seja em situações normais de funcionamento, seja em situações de contingência, tais como:
I - Bloqueios totais ou parciais e/ou priorização de acessos a determinados sítios e serviços;
II - Limitação de banda de tráfego de dados.
Art. 14. As medidas identificadas no item anterior, quando implementadas, terão a devida publicidade, a fim de possibilitar o repasse de informações aos usuários interessados.
CAPÍTULO I
DAS CREDENCIAIS DE ACESSO À REDE
Art. 15. O nome de usuário, bem como o perfil do e-mail deverá seguir a padronização estabelecida pela Secretaria de Tecnologia da Informação (STIC) e permitir a identificação única do usuário, por padrão primeiro nome e ultimo sobrenome, à exceção de agnomes. Caso haja coincidência entre nomes de usuário, deverá ser utilizado o primeiro nome e o penúltimo sobrenome. Em caso de indisponibilidade dos critérios anteriores, o nome de usuário deverá ser atribuído pela SEAD.
Art. 16. O email será criado automaticamente para os colaboradores dos seguintes vínculos: magistrado, servidor (efetivo ou comissionado), auxiliar da justiça, cedido, prestador de serviço, estagiário.
§1º Para os colaboradores terceirizados, será criado email apenas quando necessário à obtenção de certificado digital, conforme norma vigente.
Art. 17. É dever do usuário alterar a sua senha após o primeiro acesso à rede corporativa ou quando solicitado pela STIC, seguindo as seguintes regras:
I – a senha de acesso deverá ser composta de no mínimo 08 (oito) caracteres, atender aos requisitos de incluir números e letras maiúsculas e minúsculas, além de incluir um caractere especial que não seja letra nem número;
II – não criar senhas óbvias baseadas em datas de aniversário e nascimento, nomes, apelidos, dentre outros;
III – não escolher senhas com caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;
IV – não escolher senhas baseadas em palavras contidas em dicionários;
V – não utilizar o próprio nome de usuário de acesso à rede ou aos sistemas como senha;
VI – A senha deverá ser alterada periodicamente, a cada 12 meses, para fins de segurança;
VII – A senha não poderá ser igual às 5 (cinco) últimas utilizadas.
Art. 18. As credenciais de acesso são pessoais e intransferíveis.
Art. 19. É vedado o compartilhamento de credenciais em qualquer situação, inclusive nas hipóteses de substituição temporária de função.
Art. 20. Fica sujeito às penalidades, conforme disposto na PSI-PJPI, sem prejuízo de eventual apuração criminal ou administrativa, o usuário que fizer uso da credencial de outrem para acesso e utilização de ativos ou recursos de informática.
Art. 21. Toda e qualquer ação executada pelo usuário utilizando suas credenciais de acesso será de sua responsabilidade exclusiva, devendo este zelar pelos princípios de confidencialidade e das regras de boas práticas determinadas pela PSI-PJPI e suas normas complementares, especialmente:
I – na utilização de computadores que não sejam fornecidos pelo PJPI;
II – na utilização de redes de comunicação não fornecidas pelo PJPI.
Art. 22. Caso as credenciais de acesso tenham sido comprometidas, divulgadas ou descobertas, ou simplesmente a suspeita destas situações, o usuário deverá informar imediatamente à STIC para que as medidas cabíveis sejam tomadas.
Art. 23. Por medidas de segurança, após 05 (cinco) tentativas de autenticação sem êxito, a credencial de acesso à rede será bloqueada por 10 (dez) minutos e, caso ocorra um novo bloqueio, a credencial será bloqueada definitivamente.
Art. 24. As contas de usuário de estagiários e prestadores de serviços deverão ser configuradas para que expirem concomitantemente ao término dos respectivos contratos.
§1º Será de responsabilidade da SEAD a inativação o cadastro dos usuários no sistema de pessoal, bem como a solicitação da exclusão da conta de acesso do prestador de serviço aos gestores dos demais cadastros.
Art. 25. O desbloqueio deverá ser realizado pela SEAD utilizando o sistema de pessoal e, excepcionalmente, pelos demais gestores dos cadastros.
CAPÍTULO II
DO CADASTRO E PERMISSÕES DE USUÁRIOS À REDE
Art. 26. Para os efeitos desta Política de Gestão da Garantia e Controle de Acesso à Informação, ficam estabelecidos os seguintes tipos de usuários:
I – magistrados: desembargadores e juízes do PJPI;
II – servidores: servidores efetivos e comissionados do PJPI;
III – estagiários: estagiários que possuem um contrato firmado com o PJPI;
IV – cedidos: funcionários cedidos por outros órgãos ao PJPI por meio de termo de convênio ou portaria, sejam eles funcionários efetivos, comissionados ou estagiários no órgão de origem;
V – terceiros: funcionários que prestam serviço para o PJPI através de um contrato firmado com este Poder Judiciário;
VI – voluntários: prestadores de serviços voluntários regulamentados em norma específica, podendo ser inclusive servidores e magistrados aposentados da própria instituição;
VII – usuários de outros órgãos: usuários de outros órgãos que necessitem de acesso a algum sistema da informação do PJPI;
VIII – advogados: advogados que necessitem de acesso a algum sistema de informação do PJPI para desempenhar suas funções;
IX – partes: partes em processos judiciais que necessitem de acesso a algum sistema de informação do PJPI.
X - auxiliar da justiça: juízes leigos, conciliadores ou demais auxiliares da justiça que necessitem de acesso a algum sistema de informação do PJPI.
Art. 27. Para que seja efetivado o recebimento das credenciais de acesso, será obrigatória a assinatura, por todos os usuários, de Termo de Responsabilidade de TI ou de protocolo semelhante com a mesma finalidade.
Art. 28. O cadastro dos magistrados, servidores e estagiários será realizado por ocasião da investidura em cargo ou função pública, como parte do procedimento admissional a ser realizado pelo setor competente.
§1º Compete ao Setor de Gestão de Pessoal, quanto ao cadastramento e alterações de dados dos magistrados, servidores e estagiários, enviar à STIC, por meio de sistema automatizado ou, na ausência desse, por meio de comunicação oficial:
I – o Termo de Responsabilidade de TI assinado pelo usuário;
II – as alterações de dados cadastrais e inativações;
III – os afastamentos temporários e definitivos, bem como o retorno de afastamentos temporários;
IV – No caso de servidores, as alterações de lotação e localização;
V- No caso de estagiários, a data final do contrato de estágio que corresponderá à data de expiração das credenciais do usuário.
§2º Em relação à hipótese levantada no Art. 25, §1°, I, o Setor de Gestão de Pessoal poderá certificar que o referido termo consta no acervo documental do servidor.
§3º Compete à SEAD manter as designações de magistrados atualizadas no sistema de gestão de pessoas, para que as anotações sejam atualizadas nos perfis de credenciais.
§4º A solicitação de concessão ou revogação de permissões de acesso deverá ser solicitada:
I – à STIC, pelo próprio magistrado, respeitando as suas designações;
II – à STIC, pela chefia imediata do servidor ou estagiário;
III – ao Comitê Gestor de Segurança da Informação, em casos excepcionais.
§5º Após a perda do vínculo do magistrado ou do servidor com o PJPI, por aposentadoria ou exoneração, as credenciais serão mantidas somente para acesso ao contracheque, enquanto necessário, devendo ser posteriormente eliminadas.
§6º As mudanças de lotação, localização e afastamentos definitivos ou temporários de servidores e estagiários deverão ser comunicadas à SEAD pela chefia imediata, para adequar a situação do usuário nos sistemas de gestão, cabendo a esta chefia o ônus por qualquer uso indevido da credencial do usuário decorrente da não comunicação de algum dos eventos tratados neste parágrafo.
Art. 29. O cadastro de funcionários cedidos por outros órgãos que possuem convênio com o PJPI será realizado pela STIC, mediante solicitação da SEAD.
§1º As credenciais de usuário de servidores cedidos de outros entes ao Poder Judiciário terão sua vigência limitada ao período de disponibilidade, quando estiver definido no ato de cessão.
§2º Compete à SEAD confirmar junto à STIC, além do cadastro, a alteração e inativação de funcionários cedidos.
§3º O responsável pelo setor onde o funcionário cedido está alocado deverá solicitar à STIC a concessão e a revogação de permissões para o usuário.
Art. 30. O cadastro de terceiros que prestam serviço para o PJPI através de um contrato firmado com este Poder Judiciário será realizado pela STIC, mediante solicitação do gestor do contrato.
§1º Para os efeitos do cadastramento de terceiros, o gestor do contrato informará até qual data o usuário deverá estar ativo, para que seja atribuída como data de expiração das credenciais do mesmo, não podendo a referida data ser posterior ao término da vigência do contrato.
§2º Compete ao gestor do contrato solicitar à STIC o cadastro, alteração e inativação de terceiros, além da concessão e revogação de permissões para o mesmo, de acordo com a necessidade do serviço.
Art. 31. O cadastro de usuários de órgãos externos será realizado pela STIC, mediante solicitação do responsável do PJPI sobre o convênio com o órgão.
§1º Para que um usuário de órgão externo seja cadastrado será necessário que exista um convênio firmado entre os órgãos, com data de vigência que corresponderá à data de expiração das credenciais do usuário.
§2º Compete ao responsável do PJPI sobre o convênio com o órgão externo solicitar à STIC o cadastro, alteração e inativação dos usuários, além da concessão e revogação de permissões para os mesmos.
Art. 32. O cadastro, alteração e inativação de advogados e partes serão realizados pelos próprios, quando possível, ou pela STIC, em caso contrário.
Art. 33. Não serão realizados cadastros de usuários voluntários.
Art. 34. Compete à STIC realizar o bloqueio, preferencialmente de forma automática, dos usuários cuja data de expiração das credenciais tenha sido ultrapassada.
Art. 35. Após 6 (seis) meses do término do vínculo do usuário com o PJPI, as credenciais de acesso serão eliminadas, devendo ser mantidas para fins de auditoria, por um prazo de 2 (dois) anos, as informações nos variados sistemas utilizados no PJPI.
Art. 36. O cadastro de usuários que não se enquadrem nas hipóteses descritas neste ato normativo será realizado somente se houver procedimento formal criado pelo CGSI que contemple este cadastro.
Art. 37. As credenciais de acesso serão entregues pela STIC diretamente aos usuários.
§1º A entrega das credenciais de acesso somente deverá ser realizada após o cadastro do usuário pela área competente no sistema de gestão utilizado para este tipo de usuário.
Art. 38. Será de responsabilidade da STIC prover os meios tecnológicos para a SEAD realize os cadastros, alterações, bloqueios, concessões e revogações de acesso aos usuários internos do PJPI, de acordo com as necessidades funcionais e em conformidade com as informações constantes nos referidos sistemas.
CAPÍTULO III
DA RECUPERAÇÃO DE SENHAS
Art. 39. Em caso de perda de senha de acesso aos serviços de TI do PJPI, o usuário ou a sua chefia imediata deverá solicitar à STIC a recuperação da senha.
§1º O procedimento de recuperação de senhas pela STIC só deverá ser utilizado quando:
I – o recurso disponibilizado não oferecer procedimento automático de recuperação de senha;
II – o procedimento automático de recuperação de senha não puder ser completado.
§2º Quando a recuperação de senha for solicitada pela chefia imediata, a STIC notificará, por meio de correio eletrônico institucional da chefia, a conclusão do procedimento e a nova senha temporária de acesso.
§3º Quando o próprio usuário solicitar a recuperação de senha, este deverá comparecer à STIC para retirada da nova senha.
§4º O usuário deverá alterar a senha fornecida imediatamente após o procedimento.
CAPÍTULO IV
DA REDE SEM FIO (WI-FI)
SEÇÃO I
DO SERVIÇO
Art. 40. O serviço de rede Wi-fi estará disponível nos dias úteis, das 7h às 19h, ou em horários excepcionais, mediante determinação administrativa.
§1º A interrupção do serviço poderá ser realizada sem aviso prévio para reparos na rede, para garantir a estabilidade na linha de conexão à Internet, bem como em virtude de eventual necessidade de garantir o acesso a outros serviços institucionais prioritários.
§2º O funcionamento fora do período especificado no caput deste artigo poderá ocorrer em casos extraordinários, sendo necessário solicitação prévia e autorização da Secretaria de Tecnologia da Informação – STIC.
§3º O acesso à rede sem fio será permitido aos grupos de usuários citados nesta norma, desde que devidamente cadastrados.
§4º Serão disponibilizadas redes com os perfis Visitante, Internet e Intranet, da seguinte forma:
I - O perfil de Visitantes será destinado a atender usuários externos;
II - O perfil de Internet será utilizado para uso restrito e que possuam vínculo com o Tribunal;
III - O perfil de Intranet, com acesso a recursos internos do Tribunal, será destinado para uso privativo dos usuários internos.
SEÇÃO II
DO CADASTRAMENTO DE USUÁRIOS
Art. 41. O cadastramento de usuários externos para acesso à Rede Visitante será concedido no momento da identificação na recepção do Tribunal, mediante requisição do interessado.
§1º As credenciais de acesso para rede Wi-fi para os aludidos usuários terão validade máxima de 6 horas.
Art. 42. O credenciamento de usuários internos para acesso à Rede Intranet e à Rede Internet deverá ser solicitado via sistema eletrônico de processos administrativos, SEI , por meio de formulário específico a ser disponibilizado pela STIC.
§1º As solicitações serão analisadas e autorizadas pelo Secretário da STIC.
§2º O credenciamento do usuário implicará na atualização da respectiva senha de acesso à rede corporativa do Tribunal, de acordo com parâmetros de segurança definidos pela STIC.
Art. 43. A permissão de acesso à rede sem fio será revogada com a perda do vínculo do usuário credenciado com o TJPI.
SEÇÃO III
DA UTILIZAÇÃO DO SERVIÇO DE REDE WI-FI
Art, 44. Será fornecido acesso a rede sem fio do TJPI aos servidores, colaboradores e ao jurisdicionado em geral, sempre vinculado aos fins institucionais deste Tribunal e mediante procedimento de cadastro que permita a identificação do usuário e eventual monitoramento dos acessos para aferição de responsabilidade, em todo caso, observando as limitações técnicas da rede e a priorização decorrente destas;
Art. 45. As credenciais de acesso para utilização da rede sem fio são pessoais e intransferíveis, sendo de responsabilidade do usuário sua correta utilização;
Art. 46. A realização de configuração e a instalação de equipamentos que possam prover acesso à rede sem fio será restrita à STIC e às empresas formalmente designadas para esse fim.
Art. 47. A rede sem fio somente garantirá acesso à Internet por protocolo HTTP e HTTPS, bem como a serviços institucionais disponíveis ao público em geral, não havendo suporte ao funcionamento de outros recursos, podendo, em caráter excepcional e somente para usuários vinculados, haver a liberação de outros protocolos.
Art. 48. O usuário será responsabilizado por qualquer dano porventura causado à rede do TJPI e aos seus equipamentos, desde que comprovado o mau uso dos recursos ou o acesso indevido a sítios eletrônicos.
Art. 49. São vedadas as seguintes condutas, além das previstas anteriormente no Art. 8º deste ato normativo:
I – Instalação e/ou utilização de equipamento ou tecnologia (hotspot) com finalidade de replicação de sinal de rede, inclusive em sub-redes, que não seja autorizado pela STIC;
II - Desenvolvimento de qualquer outra atividade que não corresponda às disposições contidas nesta norma.
SEÇÃO IV
DAS RESPONSABILIDADES SOBRE O ACESSO Á REDE WI-FI
Art. 50. Os usuários se sujeitarão às diretrizes, às normas e aos procedimentos de controle de acesso à informação de que trata esta norma, bem como à PSI/PJPI.
§1º O usuário será responsável:
I – Por garantir a segurança das informações a que tenha acesso;
II – Pela proteção de suas informações de autenticação;
III – Por todas as ações realizadas por meio de seus acessos;
IV – Pelo uso das credenciais de acesso;
V – Pelo conhecimento dos conceitos e regras definidos para a segurança das informações.
CAPÍTULO V
DO ACESSO REMOTO
Art. 51. Será disponibilizado acesso via VPN, em caráter excepcional e vinculado aos interesses institucionais, que obedecerá aos seguintes requisitos, sem prejuízo de demais regras aplicáveis:
I - Requisição formal a ser feita pelo usuário, em formulário específico indicando os sistemas e demais recursos necessários, bem como o servidor que usará o acesso remoto, a identificação da origem do acesso, o horário de conexão a ser disponibilizada e o tempo de validade do acesso remoto;
II - A solicitação para acesso remoto deverá ser encaminhada ao Secretário da STIC, na qual constarão a justificativa pertinente e a anuência da chefia imediata do solicitante;
III - Autorização prévia pelo Secretário da STIC, que considerará em seu despacho a conveniência do pedido, em especial ao que concerne à segurança da informação;
IV - Acesso a partir de dispositivo devidamente homologado pela STIC, com proteção de antivírus e sistemas operacionais atualizados;
V - O acesso remoto por parte do usuário aos sistemas de informação ou aos ativos de processamento deve manter afinidade exclusiva com o objeto de seu cargo, função pública, contrato de trabalho ou de prestação de serviços.
Art. 52. O acesso aos recursos via VPN será restrito e vinculado ao perfil do usuário, com eventual bloqueio para os recursos não apontados no requerimento respectivo.
Art. 53. Os ativos de TI utilizados para acesso remoto fora da rede corporativa do TJPI devem seguir o mesmo padrão de segurança empregados internamente.
Art. 54. A infraestrutura tecnológica para acesso externo à rede corporativa do TJPI é de responsabilidade do próprio usuário, às suas expensas.
Art. 55. Cabe ao usuário observar o menor tempo possível de acesso remoto, garantindo o encerramento da sessão de trabalho ou seu bloqueio por senha ao afastar-se do dispositivo, ainda que temporariamente.
Art. 56. É vedado o acesso à VPN por meio de telefones móveis e máquinas de uso público, como as de Lan Houses, Cybers café, Hotéis, Lanchonetes e assemelhados.
Art. 57. O tráfego para internet via VPN será controlado pela STIC para fins de segurança.
TÍTULO IV
DO MONITORAMENTO E AUDITORIAS
Art. 58. Por motivos de segurança, todo acesso à internet será monitorado e os registros serão mantidos pela Secretaria de Tecnologia da Informação e Comunicações.
Art. 59. Em caso de indícios de descumprimento das diretrizes previstas nesta norma, a chefia imediata ou superior solicitará, justificadamente, ao Comitê de Segurança da Informação a realização de auditoria extraordinária.
Art. 60. Os relatórios decorrentes das auditorias ordinárias e extraordinárias realizadas pelo TJPI o serão encaminhados ao Comitê de Segurança da Informação, para os devidos fins.
TÍTULO V
DO REGISTRO DE LOGS
Art. 61. O TJPI registrará, por meio de seu setor técnico competente e com o uso de ferramenta administrativa a ser adquirida com esta finalidade, os logs de acesso de todos os usuários, inclusive administradores e de sistemas, levando se em conta as boas práticas de segurança em ambientes de rede, bem como a Política de Segurança da Informação e a legislação aplicável ao caso.
TÍTULO VI
DA ATUALIZAÇÃO
Art. 62. O disposto no presente ato normativo será atualizado, na forma da Política de Segurança da Informação vigente, sempre que alterados os procedimentos de controle de acesso à internet, observada, ainda, a periodicidade prevista para a revisão da Política de Segurança da Informação.
TÍTULO VII
DISPOSIÇÕES FINAIS
Art. 63. Os casos omissos na presente norma serão resolvidos pelo Comitê Gestor de Segurança da Informação do PJPI.
Art. 64. Importa em condição necessária para a utilização da rede e dos recursos nela oferecidos que os dispositivos de acesso estejam protegidos com agente de segurança (antivírus) homologado pelo setor técnico da STIC.
Art. 65. Em caso de solução de antivírus adquirida pelo TJPI, esta será de uso obrigatório e somente poderá ser retirada do dispositivo pelo setor técnico, constituindo risco à segurança e eventualmente acesso indevido a sua inativação por parte do usuário.
Art. 66. Não será permitido o uso de mídias externas para fins de inicialização de sistema operacional que não esteja protegido por solução antivírus autorizada pela STIC, exceto em casos de manutenção técnica feita pela STIC.
Art. 67. Os dispositivos de mídia, incluindo HD's, pendrives ou similares, que contenham informações sensíveis devem ser tratados de modo que suas informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis.
Art. 68. Os equipamentos de informática de terceiros só poderão vincular-se à rede interna do TJPI mediante autorização do Comitê de Segurança da Informação, ou excepcionalmente pelo gestor de TIC.
Art. 69. Esta portaria entra em vigor na data de sua publicação.
REGISTRE-SE, PUBLIQUE-SE e CUMPRA-SE.
Teresina, 24 de janeiro de 2022.
Desembargador JOSÉ RIBAMAR OLIVEIRA
Presidente do TJ/PI
Desembargador OLÍMPIO JOSÉ PASSOS GALVÃO
Presidente do Comitê Gestor de TIC/TJPI
Presidente do Comitê Gestor de Segurança da Informação - CGSI/TJPI