PORTARIA Nº 218, DE 31 DE JULHO DE 2023

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Uso Aceitável dos Recursos de Tecnologia da Informação no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO o disposto na Resolução nº 23.387/2012 do TSE, que dispões sobre o uso da rede corporativa de comunicação de dados na Justiça Eleitoral;

CONSIDERANDO o disposto na Portaria nº 456/2021 do TSE, que dispõe sobre o uso aceitável de ativos de TI;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

Art. 1º  Instituir, por esta Portaria, as diretrizes para o controle de acesso e uso aceitável dos recursos de Tecnologia da Informação no âmbito do Tribunal, bem como os direitos e as responsabilidades das usuárias e dos usuários desses recursos, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Para os efeitos da Política de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo, aplicam-se os termos e definições conceituados na Portaria DG/TSE 444/2021.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 3º  Para efeitos desta Portaria, entende-se por:

I - acesso remoto: toda conexão estabelecida com a rede do TSE ou Tribunais Eleitorais originada de um ponto externo, fora das dependências do Tribunal ou de suas unidades administrativas;

II - ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a instituição;

III - antimalware: programas informáticos desenvolvidos para prevenir, detectar e eliminar malware de computador;

IV - antispam: serviço de detecção e análise que tem como objetivo bloquear o recebimento de spam;

V - ativos de informação e comunicação: são os meios de armazenamento, de transmissão e de processamento, bem como os sistemas de informação, as instalações e as pessoas que a elas têm acesso;

VI - autenticidade: garantia de veracidade da fonte de informações, por meio da qual é possível confirmar a identidade das pessoas ou entidades que prestam a informação;

VII - backup: é uma cópia de segurança de dados;

VIII - software malicioso (malware): termo comumente utilizado para, genericamente, se referir a programas desenvolvidos para executar ações danosas e atividades maliciosas em um computador ou dispositivo móvel, cujos tipos específicos são vírus, worm, bot, spyware, backdoor, cavalo de troia e rootkit;

IX - confidencialidade: garantia de que a informação esteja acessível somente a pessoas autorizadas;

X - conta de usuária ou usuário: também conhecido como credenciais de acesso, é o conjunto de atributos (lógicos ou físicos) que identifica univocamente uma usuária ou usuário, previamente cadastrada, para concessão de acesso aos sistemas ou serviços de informação. Ex: login e senha, certificado digital e senha, características biométricas etc;

XI - credenciais de acesso: permissões concedidas por autoridade competente, que habilitam determinada pessoa, sistema ou organização ao acesso à informação ou recurso. A credencial pode ser física ou lógica para identificação de usuárias e usuários;

XII - diretório compartilhado ou área compartilhada: espaço de armazenamento e compartilhamento de informações de um grupo de usuárias e usuários específico na rede do Tribunal;

XIII - diretório pessoal ou área privativa: área reservada para armazenamento e compartilhamento de informações de uma usuária ou usuário interno, incluindo seu e-mail;

XIV - disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a utilizá-las;

XV - estação de trabalho: conjunto de hardware e software fornecido à usuária ou usuário para que este possa executar suas atribuições;

XVI - firewall: é um dispositivo, podendo existir na forma de software ou hardware que possui a função de filtrar o tráfego nocivo recebido e impedir que esses dados sejam propagados;

XVII - geolocalização: o recurso tecnológico que permite localizar qualquer objeto ou pessoa, por meio da sua posição geográfica, detectada automaticamente por um sistema de coordenadas;

XVIII - HTTP (Hypertext Transfer Protocol) é um protocolo de comunicação utilizado para sistemas de informação de hipermídia, distribuídos e colaborativos. Ele é a base para a comunicação de dados da World Wide Web. Hipertexto é o texto estruturado que utiliza ligações lógicas entre nós contendo texto;

XIX - HTTPS: é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais;

XX - integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas, acidentais ou propositais;

XXI - IPTV: é um método de transmissão de sinais televisivos através de redes IP;

XXII - phishing: técnica de fraude utilizada por criminosos para roubar senhas de banco e demais informações pessoais, usando-as posteriormente de maneira fraudulenta;

XXIII - princípio do menor privilégio: premissa de fornecer as permissões necessárias e suficientes para que uma usuária ou usuário possa realizar suas atividades, por um tempo limitado e com os direitos mínimos necessários para as suas tarefas;

XXIV - PAM (Privileged Access Management): O Gerenciamento de Acesso Privilegiado é formado por um conjunto de estratégias e tecnologias de segurança cibernética para exercer controle sobre o acesso privilegiado e permissões para usuárias ou usuários, contas, processos e sistemas em um ambiente tecnológico;

XXV - proxy externo: são servidores não administrados pelo TSE ou pelo Tribunal Eleitoral, responsáveis por intermediar o acesso à internet, que não aplicam as regras de controle de acesso e mecanismos de proteção da mesma forma que os proxies administrados pelo TSE ou Tribunais Eleitorais;

XXVI - proxy: servidor responsável por intermediar o acesso à internet, aplicando as regras de controle de acesso e mecanismos de proteção contra códigos maliciosos, previamente configurados, e por controlar a alocação de recursos de rede;

XXVII - Rede Corporativa de Comunicação de Dados da Justiça Eleitoral (RCJE): o conjunto formado pelos segmentos da Rede Nacional, da Rede Regional do Tribunal Superior Eleitoral, dos Tribunais Regionais Eleitorais, dos Cartórios Eleitorais e de suas Redes Locais;

XXVIII - rede de computadores: também conhecida por rede corporativa, é o conjunto de computadores, funcionalidades e outros dispositivos, de propriedade do Tribunal, que, ligados em uma rede de comunicação de dados, possibilitam a prestação de serviços de TI;

XXIX - risco: combinação da probabilidade de ocorrência de um evento e de suas consequências;

XXX - servidor de arquivos: equipamento disponibilizado para acesso das usuárias ou usuários da rede com o intuito de armazenar todos os documentos e mídias de cunho institucional;

XXXI - site (ou sítio): conjunto de páginas web organizadas e acessíveis a partir de um URL da rede interna (Intranet) ou da Internet;

XXXII - softwares de mensagens instantâneas: são programas e os serviços de comunicações online que possibilitem a troca de mensagens textuais ou audiovisuais de forma imediata entre duas ou mais pessoas;

XXXIII - spam: prática de envio em massa de e-mails não solicitados;

XXXIV - teletrabalho: modalidade de trabalho realizado, em parte ou em sua totalidade, fora das dependências deste Tribunal, com a utilização de infraestrutura e recursos tecnológicos da usuária, do usuário, ou da instituição;

XXXV - URL: sigla correspondente às palavras inglesas "Uniform Resource Locator", traduzidas para o português como "Localizador Uniforme de Recursos". Trata-se da indicação do endereço de um recurso de informática disponível em uma rede, seja ela a Internet ou a Intranet de uma organização;

XXXVI - usuária colaboradora ou usuário colaborador: prestadora ou prestador de serviço terceirizado, estagiária ou estagiário ou qualquer outra colaboradora ou colaborador da Justiça Eleitoral que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo Tribunal;

XXXVII - usuária ou usuário externo: servidora ou servidor inativo, pessoa física ou jurídica que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas no âmbito da Justiça Eleitoral e que não se enquadre nas definições contidas nos incisos XXXVI e XXXVIII deste artigo;

XXXVIII - usuária ou usuário interno: autoridade ou servidora e servidor ativo do Tribunal que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo órgão;

XXXIX - verificação em duas etapas: também conhecida como autenticação de dois fatores ou duplo fator de autenticação (2FA), é um recurso de segurança disponível que fornece uma camada extra de autenticação de usuária ou usuário, exigindo o fornecimento de informação extra para confirmar sua identificação;

XL - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 4º  Esta Portaria tem como princípio norteador a garantia da segurança, integridade, confidencialidade, autenticidade, disponibilidade, irretratabilidade e auditabilidade dos ativos de informação e comunicação.

CAPÍTULO III

ESCOPO

Art. 5º  O objetivo desta Portaria é estabelecer diretrizes para o uso dos recursos de tecnologia da informação e comunicação, visando a preservação dos recursos sob a responsabilidade do Tribunal, respeitando os princípios norteadores definidos no Art. 3º desta Portaria.

Art. 6º  Esta Portaria se aplica a todas as magistradas e todos os magistrados, servidoras e servidores efetivos, requisitadas e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiárias e estagiários, prestadoras e prestadores de serviço, colaboradoras e colaboradores e usuárias e usuários externos que utilizam os ativos de informação e comunicação da Justiça Eleitoral.

CAPÍTULO IV

DAS DISPOSIÇÕES GERAIS

Art. 7º  Respeitado o disposto na Lei Federal nº 9.609, de 19 de fevereiro de 1998, que trata da propriedade intelectual de programa de computador, e ressalvadas as exceções previstas em contratos e convênios, são de propriedade do Tribunal os programas desenvolvidos, para os fins institucionais, pelas usuárias ou usuários elencados no Art.6°.

Art. 8º  O acesso aos recursos de tecnologia da informação e comunicação pode ser restringido a horários definidos pela STI para garantir a segurança cibernética do órgão.

Art. 9º  A STI poderá restringir, para garantir a segurança cibernética:

I - os horários de acesso;

II - a geolocalização, por determinação do TSE;

III - os dias específicos ou feriados; Parágrafo único. As restrições previstas deverão ser comunicadas ao CDTIC.

Art. 10.  Os recursos de TI disponibilizados as usuárias e usuários destinam-se à execução de atividades da Justiça Eleitoral ou a elas diretamente correlatas.

§ 1º  A utilização dos recursos de TI será monitorada, podendo ser objeto de auditoria.

§ 2º  O uso indevido dos recursos de TI é passível de sanção disciplinar, na forma da lei.

Art. 11.  Os recursos de TI não deverão ser utilizados para acessar, criar, transmitir, distribuir ou armazenar conteúdo em desrespeito às leis e regulamentações, especialmente aqueles referentes aos crimes cibernéticos, contra a pessoa, contra os costumes, à ética e à decência.

CAPÍTULO V

DAS ESTAÇÕES DE TRABALHO

Art. 12.  Toda servidora e todo servidor da Justiça Eleitoral terá, em seu posto de trabalho, acesso a uma estação de trabalho destinada à execução de atividades da Justiça Eleitoral ou a elas diretamente correlatas.

Parágrafo único.  Às estagiárias ou aos estagiários e terceirizadas ou terceirizados será disponibilizado, quando possível e pertinente, acesso a uma estação de trabalho.

Art. 13.  As estações de trabalho possuirão configurações de hardware e software padronizadas pela STI, de acordo com a necessidade de utilização das usuárias e dos usuários e deverão atender, no mínimo, aos seguintes requisitos de segurança:

I - O sistema operacional deve possuir suporte ativo para recebimento, automático, de atualizações de segurança, devidamente configurados pela STI;

II - Deverão possuir software antimalware instalado, ativado, permanentemente atualizado e configurado para realizar verificação automática das mídias removíveis;

III - Todos os softwares instalados deverão ser configurados pela STI para receber atualização de forma automática, exceto quando a atualização for tecnicamente inviável;

IV - A reprodução automática de mídias removíveis, nas estações de trabalho, deve estar desativada pela STI;

V - As configurações de segurança das estações de trabalho das usuárias e dos usuários serão definidas pela STI.

Art. 14.  As unidades que demandarem estações de trabalho com especificações de hardware diferentes da configuração padronizada pela STI, deverão submeter justificativa prévia, que será analisada por comissão designada pela STI quanto aos aspectos técnicos e de segurança.

Parágrafo único.  As estações de trabalho receberão softwares homologados e licenciados pela STI, conforme a necessidade de cada usuária e cada usuário e a disponibilidade de licenças.

Art. 15.  A critério da STI, poderão ser desabilitados dispositivos de hardware e software nativos dos equipamentos, a fim de preservar a segurança e a integridade da rede de comunicação de dados.

Art. 16.  Não é permitido o compartilhamento de pastas de arquivos locais na rede sem a anuência da STI.

Art. 17.  É dever da usuária e do usuário bloquear a sua estação de trabalho sempre que se ausentar do seu posto de trabalho.

§ 1º  As estações de trabalho devem ser configuradas pela STI para ter bloqueio automático de tela em casos de período de inatividade e, para restaurar a sessão, a usuária ou o usuário deverá ser obrigado a fornecer novamente suas credenciais de acesso.

§ 2º  O bloqueio automático a que se refere o § 1º poderá, por necessidade do serviço, não ser implementado em estações de trabalho especificamente informadas à STI.

Art. 18.  Compete a usuária e ao usuário zelar pela integridade e conservação dos ativos de TI, responsabilizando-se por eventuais danos causados aos equipamentos em seu poder.

§ 1º  É vedada a abertura das estações de trabalho por pessoal não autorizado pela STI.

§ 2º  A usuária e o usuário deve informar à STI quando identificar violação da integridade física do equipamento por ele utilizado.

§ 3º  Será considerado uso indevido por parte das usuárias e dos usuários, permitir pessoas estranhas aos quadros da Justiça Eleitoral ter acesso aos equipamentos e/ou recursos de TI do Tribunal.

Art. 19.  É vedado as usuárias e aos usuários :

I - Instalar, por conta própria, quaisquer tipos de software nas estações de trabalho, ficando facultada à STI a verificação, de forma presencial ou remota, e a desinstalação, sem necessidade de comunicação prévia.

II - Alterar quaisquer configurações de hardware ou software nas estações de trabalho sem a autorização e orientação da STI.

III - Utilizar sistemas operacionais diferentes do padrão estabelecido pela STI, exceto em situações que seja tecnicamente inviável, mediante análise por comissão designada pela STI e assinatura de termo de responsabilidade pela usuária ou usuário e gestor da unidade.

IV - Utilizar as portas USB para conexão de dispositivos pessoais ou não fornecidos pelo TRE-SP como, mas não se limitando a: smartphones, tablets, receptores de TV, adaptadores wi-fi, ventiladores, modem, etc.

Art. 20.  É vedado à STI conceder as usuárias e aos usuários privilégios de administrador local nas estações de trabalho, salvo em casos excepcionais, mediante justificativa do titular da unidade.

Parágrafo único.  Comprovada a necessidade prevista no caput, a STI deverá criar uma outra conta de rede, para a usuária ou o usuário, que deverá ser utilizada apenas para a instalação ou desinstalação de sistemas, não sendo permitido o uso comum dessa conta, de forma a atender ao princípio do menor privilégio.

Art. 21.  Sempre que for necessário um novo serviço ou software provido pela área de TI e não disponível na estação de trabalho, a usuária e o usuário deverá, com a anuência do superior imediato, solicitar à STI, no canal de atendimento de requisições de serviços, sua instalação ou acesso com a finalidade de uso e justificativa fundamentada, condicionado o atendimento do pedido à disponibilidade de licença.

Parágrafo único.  Quando um software ou serviço não for mais útil para o desempenho das atividades institucionais, a usuária e o usuário deverá solicitar à STI a desinstalação do mesmo.

Art. 22.  As unidades do Tribunal devem, obrigatoriamente, submeter à prévia análise da Secretaria de Tecnologia da Informação a intenção em adquirir ou instalar software, equipamento ou serviço que não tenha sido provido pela área de TI e que faça uso ou requeira recursos de tecnologia da informação e comunicação. Parágrafo único. A STI poderá aprovar ou vetá-los por questões de segurança ou falta de compatibilidade ou de padronização com as soluções já adotadas.

Art. 23.  Poderão ser disponibilizadas máquinas virtuais quando houver necessidade de acesso a mais de um ambiente, ou em casos especiais a serem analisados pela STI.

Art. 24.  É vedada a instalação e execução de máquinas virtuais em estações de trabalho, exceto quando comprovadamente inviável o desempenho das atividades, mediante justificativa da unidade, análise formal por comissão designada pela STI e autorização desta.

Parágrafo único.  Caso aprovada a execução de máquina virtual em estação de trabalho, a unidade que a utiliza fica responsável por não ocultar seu endereçamento de rede, bem como observar a correta aplicação de atualizações, de modo que esteja sempre em conformidade com os padrões de segurança e configurações estabelecidos pela STI.

CAPÍTULO VI

DOS SOFTWARES E SUAS LICENÇAS

Art. 25.  As unidades do Tribunal que necessitarem de softwares de uso específico, não fornecido pela STI, deverão encaminhar Documento de Oficialização da Demanda, para aquisição do software ou contratação de assinatura quando na modalidade Software como Serviço.

Art. 26.  A unidade demandante é responsável por comunicar a necessidade de novas aquisições e /ou renovações de assinatura do software, para que a STI providencie.

Art. 27.  A STI é responsável por manter inventário de software e licenças, devendo comunicar às unidades demandantes quando uma versão de software deixar de ter suporte ou atualizações de segurança.

Art. 28.  Unidades que contratarem serviços que contemplem softwares como parte da solução deverão obrigatoriamente contratar serviço de suporte técnico do fornecedor/prestador do serviço e controlar a necessidade de renovação do suporte.

Art. 29.  Nas contratações por unidades do TRE-SP que não a STI, de soluções ou serviços em que seja necessário o fornecimento de servidores, sistemas operacionais e aplicações, a STI participará como apoio técnico exclusivamente no que se refere a ativos de TI.

Art. 30.  As licenças de softwares adquiridas pelo TRE-SP não devem ser instaladas em dispositivos particulares, compartilhadas ou cedidas.

CAPÍTULO VII

DA REDE CORPORATIVA

Art. 31.  A STI fará uso de ferramentas, softwares e procedimentos que venham garantir a segurança da rede corporativa do Tribunal e dos dados que nela trafegam.

Parágrafo único.  Equipamentos que forem identificados como potencialmente nocivos à rede de dados do tribunal, seja por contaminação por vírus ou por outro tipo de anomalia, poderão ser postos em quarentena sem aviso prévio à usuária ou ao usuário, somente saindo dessa condição após a devida análise da situação pela STI.

Art. 32.  Somente as servidoras e os servidores indicados pela STI tem permissão de adicionar, configurar ou retirar dispositivos de comunicação da rede corporativa do tribunal.

Art. 33.  Todas as portas de switches e pontos de rede sem uso serão desativados pela equipe técnica da STI, sendo reativados quando necessário, através de solicitação à STI, no canal de atendimento de requisições de serviços.

Art. 34.  É proibida a conexão de qualquer dispositivo não fornecido pelo Tribunal em qualquer ativo que compõe a infraestrutura de rede da instituição, salvo em redes preparadas pela STI para essa finalidade mediante a orientação e anuência da STI.

§ 1º  A conexão de qualquer equipamento à rede corporativa do Tribunal será feita pela STI, ou por pessoas por ela autorizados.

§ 2º  Em situações excepcionais será admitido o uso de equipamentos particulares para acesso à rede corporativa de forma local ou remota, mediante permissão e orientação da STI, ficando neste caso o acesso condicionado ao atendimento de requisitos de segurança estabelecidos em procedimentos definidos pela STI.

Art. 35.  Os pontos de acesso sem fio conectados à rede corporativa deverão ser registrados e aprovados pela STI. Parágrafo único. É vedado o uso de pontos de acesso particulares de comunicação de dados sem fio.

Art. 36.  As conexões à rede sem fio poderão ser avaliadas pela STI em relação aos requisitos de segurança e deverão atender ao princípio do menor privilégio.

Art. 37.  Os dispositivos conectados à rede corporativa através de conexão sem fio deverão utilizar as configurações estabelecidas pela STI.

CAPÍTULO VIII

DO ARMAZENAMENTO DE ARQUIVOS

Art. 38.  Cada unidade do Tribunal poderá ter disponível área de armazenamento em rede (diretório compartilhado), de tamanho limitado, para salvaguardar os arquivos relacionados ao trabalho desenvolvido, com garantia de integridade, disponibilidade, controle de acesso e cópia de segurança.

§ 1º  Esses arquivos serão acessíveis apenas internamente, a partir da rede do Tribunal.

§ 2º  As informações corporativas de interesse do Tribunal serão armazenadas nesses diretórios.

§ 3º  Os dados armazenados nas estações de trabalho dos usuários não estão contemplados pelas garantias mencionadas no caput, cabendo aos usuários providenciar eventual cópia de segurança e a eliminação periódica dos arquivos armazenados nos discos rígidos locais.

§ 4º  É vedado executar e/ou fornecer backup de arquivos, informações ou dados de qualquer tipo a servidoras e servidores, requisitadas e requisitados ou contratadas e contratados que tiveram seu vínculo com o TRE-SP encerrado, por qualquer motivo.

Art. 39.  A usuária e o usuário deverá garantir que em sua estação de trabalho não permaneçam armazenados dados pessoais.

Parágrafo único.  As informações de dados pessoais devem ser apagadas das estações de trabalho e dispositivos de armazenamento após efetiva apresentação ao Tribunal a fim de garantir os requisitos de privacidade previstos na LGPD.

Art. 40.  O Tribunal se reserva ao direito de inspecionar, sem a necessidade de aviso prévio, os computadores e arquivos armazenados, que estejam no disco local dos computadores, nas áreas privativas ou nas áreas compartilhadas da rede, visando assegurar o cumprimento desta Portaria e da Política de Segurança da Informação do TRE/SP.

Art. 41.  É vedado armazenar arquivos não relacionados com as atividades institucionais nas unidades de rede.

§ 1º  Os arquivos de uso pessoal, armazenados no drive de rede corporativo, poderão ser excluídos pela STI, sem prévia comunicação a usuária e ao usuário proprietário.

§ 2º  Consideram-se arquivos de uso pessoal músicas, filmes, fotografias, documentos pessoais, dentre outros, de propriedade particular da usuária ou do usuário.

§ 3º  Os arquivos previstos no parágrafo anterior, se armazenados em disco local, não estarão sujeitos ao procedimento de backup pela STI e poderão não estar mais disponíveis quando o equipamento for encaminhado para manutenção ou na realização de procedimento de segurança ou de clonagem com imagem padrão quando das atualizações das estações.

Art. 42.  A STI deve definir parâmetros para armazenamento de arquivos nos servidores de arquivo, incluindo requisitos como tamanho máximo e tipos de arquivos permitidos, com vistas a não comprometer o desempenho e a segurança dos serviços de TI.

Art. 43.  A STI deve estabelecer uma política de arquivamento de forma que apenas arquivos em uso ou recentes estejam armazenados nos servidores, sendo o material de necessidade histórica ou de uso para auditoria armazenado em meio óptico ou magnético.

Art. 44.  É vedada a utilização de serviços em nuvem de caráter particular, gratuito ou pago, para o processamento ou armazenamento de informações de propriedade da Justiça Eleitoral.

§ 1º  Constatada a ocorrência descrita no caput, a responsabilidade quanto à confidencialidade, integridade, disponibilidade e autenticidade de tais informações recairá, com exclusividade, sobre a usuária ou o usuário.

§ 2º  O incidente de segurança da informação no Tribunal resultante da violação ao disposto neste artigo sujeitará o usuário responsável às penalidades cabíveis.

CAPÍTULO IX

DO ACESSO REMOTO

SEÇÃO I

DO ACESSO REMOTO PARA SUPORTE TÉCNICO

Art. 45.  O acesso remoto para suporte técnico aos equipamentos de informática do tribunal, tem por finalidade diminuir a necessidade do deslocamento do técnico do seu local de trabalho para onde estão instalados os equipamentos.

Art. 46.  O acesso remoto às estações de trabalho somente será efetuado a partir de equipamentos de propriedade do Tribunal com o intuito de prestar suporte e promover a solução de problemas registrados formalmente pela usuária e pelo usuário.

§ 1º  As estações de trabalho devem ser configuradas para permitir acesso remoto apenas às pessoas autorizadas a prestá-lo e a partir de endereços de rede pré-determinados.

§ 2º  Em situações excepcionais será admitido o uso de equipamentos particulares para suporte técnico, com orientação e anuência da STI, ficando neste caso o acesso remoto para suporte técnico condicionado ao atendimento dos requisitos de segurança estabelecidos pela STI.

Art. 47.  A liberação de acesso remoto às estações de trabalho se dará mediante ferramenta homologada pela STI e de autorização expressa por parte da usuária ou do usuário.

Parágrafo único.  Sempre que possível a usuária ou o usuário deverá acompanhar as sessões de acesso remoto.

Art. 48.  À pessoa que realizar o acesso remoto, para fins de suporte técnico, é vedado:

I - Acessar sem finalidade específica de prestar suporte, na forma regulamentada por esta Portaria;

II - Visualizar conteúdo contido no equipamento por curiosidade ou má fé;

III - Alterar ou adulterar conteúdo de equipamento do Tribunal sem autorização da STI;

IV - Obter cópia de conteúdos, protegidos ou não, sem autorização;

V - Copiar softwares licenciados para o Tribunal ou licença de uso dos mesmos sem autorização da STI;

VI - Sabotar ou interromper intencionalmente o funcionamento de serviço ou sistema dentro de equipamento do Tribunal;

VII - Qualquer ação que comprometa a segurança da rede de computadores da Justiça Eleitoral ou do equipamento acessado ou das informações neles disponíveis.

Parágrafo único. O acesso remoto sem autorização expressa da usuária ou do usuário, será realizado somente em regime de exceção, mediante autorização da STI.

SEÇÃO II

DO ACESSO REMOTO A RECURSOS DE TI PUBLICADOS NA INTERNET

Art. 49.  A STI disponibilizará aplicações e serviços na internet e o acesso remoto à rede corporativa do tribunal, conforme regras específicas e características técnicas de cada serviço.

Art. 50.  As aplicações e serviços web do Tribunal que forem disponibilizados na internet deverão exigir autenticação de dois fatores, exceto quando tecnicamente inviável.

Art. 51.  O Tribunal não se responsabilizará pela infraestrutura tecnológica necessária para o acesso a recursos de TI publicados na internet, sendo responsabilidade de cada usuária e cada usuário propiciar esse meio de acesso.

Art. 52.  No caso de imperiosa necessidade para desempenho do trabalho, as usuárias ou os usuários poderão fazer uso do acesso remoto, mediante solicitação justificada da chefia imediata à STI, no canal de atendimento de requisições de serviços.

§ 1º  As permissões concedidas às usuárias e aos usuários para acesso remoto deverão atender ao princípio do menor privilégio, de forma que disponibilizada para a usuária ou usuário apenas os serviços que forem estritamente necessários para o desenvolvimento de seu trabalho.

§ 2º  Na solicitação para acesso remoto, a usuária ou o usuário deverá informar todos os serviços que forem necessários ao desenvolvimento do trabalho. § 3º Por questão de segurança, o acesso remoto deverá exigir autenticação de dois fatoResolução

Art. 53.  O acesso remoto dar-se-á por equipamentos fornecidos pelo Tribunal, mediante disponibilidade, observadas as especificações técnicas definidas pela STI.

§ 1º  Equipamentos particulares não poderão fazer acesso remoto aos recursos de TI do Tribunal, salvo em casos excepcionais mediante a orientação e anuência da STI, ficando neste caso o acesso remoto condicionado ao atendimento dos requisitos de segurança estabelecidos pela STI.

§ 2º  O acesso remoto à rede do Tribunal não poderá ser realizado a partir de computadores de uso público.

§ 3º  É vedado o acesso remoto à rede do Tribunal, por meio de redes sem fio públicas.

§ 4º  A instalação e a configuração de certificados e aplicativos necessários para uso do acesso remoto serão realizadas por técnicos autorizados pela STI nas dependências do Tribunal.

§ 5º  Os equipamentos fornecidos pelo Tribunal para acesso remoto à rede corporativa somente devem ser utilizados para atividades da Justiça Eleitoral ou a elas diretamente correlatas.

§ 6º  A STI poderá solicitar às servidoras e aos servidores que receberam equipamentos para acesso remoto que realizem, em intervalos de tempo regulares, procedimentos de manutenção de segurança no equipamento ou que tragam o equipamento ao Tribunal para manutenção de segurança.

Art. 54.  O suporte técnico para o acesso remoto pela internet aos recursos de TI do Tribunal estará disponível durante o horário de expediente.

Parágrafo único.  Nos casos em que o acesso remoto seja autorizado a ser feito pelo equipamento pessoal da servidora ou do servidor, a STI está desobrigada a prestar suporte técnico para problemas de hardware ou softwares do equipamento pessoal.

Art. 55.  A usuária ou o usuário, quando utilizar o acesso remoto, deverá permanecer conectado apenas enquanto estiver efetivamente utilizando os serviços disponibilizados, devendo desconectar-se nas interrupções e no término do trabalho.

Art. 56.  O acesso remoto poderá ser interrompido a qualquer momento, independente de comunicação à usuário ou ao usuário, na hipótese de ser identificada situação de grave ameaça ou alto risco à integridade da rede interna e dos serviços disponíveis.

Art. 57.  O extravio do equipamento ou certificado utilizado para acesso remoto deverá ser imediatamente comunicado à STI.

Art. 58.  Fica vedada a utilização de outros aplicativos de acesso remoto sem o conhecimento e autorização expressa da STI.

CAPÍTULO X

DOS SERVIÇOS DE COMUNICAÇÃO

Art. 59.  Para fins desta Portaria, serviços de comunicação englobam correio eletrônico, mensagens instantâneas, listas de e-mail, serviços de videochamada e a infraestrutura de telefonia.

Art. 60.  Os serviços de comunicação são disponibilizados como ferramenta para comunicação e colaboração, tanto internamente, com o corpo funcional, quanto com o público externo.

Art. 61.  É vedado o cadastramento de endereço de correio eletrônico institucional em sites externos para:

I - cadastramento em lojas virtuais, listas de discussões, fóruns;

II - como credencial de acesso a sites externos;

III - qualquer outra finalidade que não seja de interesse da instituição.

Parágrafo único.  O disposto no caput não se aplica aos casos em que seja justificada a necessidade para o desempenho das atividades funcionais.

Art. 62.  As usuárias e os usuários são corresponsáveis pela segurança das informações da Justiça Eleitoral, não abrindo mensagens recebidas cujo conteúdo suscite dúvidas quanto à potencialidade de prejudicá-la em sua integridade, confiabilidade e disponibilidade, seja através de contaminação por códigos maliciosos ou vírus de computador, seja por quaisquer outros meios, principalmente os que apresentem as seguintes características, dentre outras:

I - remetente desconhecido ou suspeito;

II - links desconhecidos no corpo da mensagem;

III - anexos com extensões suspeitas.

Parágrafo único.  Nos casos previstos no caput é obrigatória a abertura de chamado junto ao Serviço de Suporte, conforme instruções vigentes.

Art. 63.  O correio eletrônico registrará os envios e recebimentos de mensagens, de modo a identificar minimamente os remetentes e destinatários.

Art. 64.  O uso do correio eletrônico será monitorado por meio de ferramentas antispam com o intuito de impedir o recebimento de spam, phishing, mensagens contendo vírus e outros arquivos que coloquem em risco a segurança da infraestrutura tecnológica do Tribunal ou que contenham conteúdo impróprio.

Art. 65.  A STI deverá implementar mecanismos para coibir o uso indevido dos serviços de comunicação.

Art. 66.  O uso dos serviços de comunicação pelas usuárias e pelos usuários colaboradores dependerá de solicitação do titular da unidade à qual estejam vinculados.

Art. 67.  É vedado executar ou fornecer cópia de mensagens de e-mail a servidoras ou servidores, requisitadas, requisitados, contratadas ou contratados cujo vínculo com o TRE-SP tenha sido encerrado por qualquer motivo.

CAPÍTULO XI

DO ACESSO À INTERNET

Art. 68.  Será liberado na rede corporativa, independentemente de solicitação, acesso aos conteúdos de sites governamentais (por exemplo: domínios .jus.br, .leg.br, .mp.br, .gov.br, .edu.br), além de outros sites necessários à execução de atividades de trabalho.

Art. 69.  Serão bloqueados, para todas as usuárias e todos os usuários e em todos os meios de acesso, os sites ou serviços com conteúdo ilegal, ou que possam comprometer a segurança da informação ou degradar os links de Internet do Tribunal, tais como:

I - sites de pornografia, pedofilia, pirataria de software, violência, jogos online, apostas, drogas, phishing, spyware e similares;

II - serviços de transmissão de sinais televisivos como IPTV e similares;

III - serviços de compartilhamento de arquivos como Torrent, Emule e similares;

IV - serviços de acesso remoto como TeamViewer e similiares;

V - sites de comunidades sociais como Facebook, Twitter, Instagram e similares;

VI - sites de compartilhamento de vídeos como o Youtube, Vimeo, Netflix e similares;

VII - serviços de streaming como Netflix, Amazon Prime Video e similares;

VIII - softwares para capturar informações trafegadas pela rede corporativa;

IX - serviços de webmail gratuitos ou pagos;

X - serviços de homebroker;

XI - serviços de streaming de música e web rádio;

XII - serviços de proxy, VPN e qualquer tipo de anonimizador de tráfego de internet;

XIII - cursos online sem conexão com os interesses do TRE-SP ou com as atividades da unidade de lotação.

§ 1º  Excetuam-se da proibição constante dos incisos III ao XI aquelas definidas como ferramentas de trabalho pelo Tribunal e devidamente homologadas pela Secretaria de Tecnologia da Informação.

§ 2º  O acesso a sites, serviços e softwares constante dos incisos III ao VI poderá ser concedido, mediante avaliação da STI, às unidades que, devido à natureza peculiar do serviço, possuam a necessidade do acesso para o desempenho das atribuições funcionais da unidade.

§ 3º  O acesso a sites das categorias constantes dos incisos I a XIII que eventualmente não estejam bloqueados constitui violação desta Portaria, com consequente instauração de sindicância que poderá resultar em processo administrativo disciplinar.

Art. 70.  O acesso à Internet será controlado, de forma automática, por ferramenta de filtro de conteúdo, configurada de acordo com os termos desta Portaria.

Parágrafo único.  A liberação, por tempo determinado ou indeterminado, de acesso a sítios eletrônicos e serviços bloqueados, mas necessários ao desempenho das atribuições funcionais da usuária e do usuário, dependerá de solicitação a STI, no canal de atendimento de requisições de serviços.

Art. 71.  A critério da STI, poderão ser adotadas medidas visando a manutenção da disponibilidade e da qualidade do acesso à Internet, seja em situações normais de funcionamento, seja nos períodos críticos do calendário eleitoral ou em situações de contingência, tais como:

I - bloqueios totais ou parciais e/ou priorização de acessos a determinados sítios eletrônicos e serviços;

II - limitação de banda de tráfego de dados.

Art. 72.  O acesso da usuária e do usuário poderá ser bloqueado imediatamente, sem prévio aviso, em caso de uso indevido dos recursos, consumo excessivo de tráfego, acesso a conteúdo proibido ou sempre que colocar em risco a segurança da informação na rede de computadores da Justiça Eleitoral.

Parágrafo único.  Os casos citados nesse artigo constituem violação desta Portaria, com consequente instauração de sindicância que poderá resultar em processo administrativo disciplinar.

Art. 73.  O acesso à Internet dar-se-á, exclusivamente, pelos meios autorizados, configurados pela STI.

§ 1º  É expressamente proibido o uso de proxies externos ou similares e tunelamento HTTP ou HTTPS.

§ 2º  É proibido o uso de programas ou tecnologias que burlem as restrições administrativas dos sistemas de segurança ou que possibilitem navegar anonimamente na Internet.

§ 3º  Não será permitida a utilização de outros meios de conexão à Internet ou de outro tipo de rede a partir de estações de trabalho do Tribunal, seja através de modems 3G ou 4G ou de qualquer outro tipo existente ou que venha a ser criado, salvo mediante expressa autorização da STI.

§ 4º  É proibido o uso concomitante da rede cabeada com a rede sem fio, em estações de trabalho que contenham adaptadores, de forma a burlar os controles de acesso implementados pela STI.

§ 5º  Apenas será permitido o acesso a redes sem fio ofertadas pelo Tribunal, sendo vedado o uso de redes desconhecidas ou geradas a partir de roteamento do celular próprio ou de terceiros, salvo mediante expressa autorização da STI.

§ 6º  É proibido a contratação de serviços de internet diretamente por cartórios ou outras unidades organizacionais, salvo por consentimento expresso da STI.

Art. 74.  Constitui acesso indevido à Internet qualquer das seguintes ações:

I - acesso à Internet utilizando conta de outras usuárias ou outros usuários;

II - o compartilhamento de informações sigilosas ou protegidas por lei;

III - acessar ou fazer download de arquivos não relacionados ao trabalho, em especial, músicas, imagens, vídeos, jogos e programas de qualquer tipo;

IV - acessar sítios eletrônicos que representem ameaça de segurança ou que possam comprometer, de alguma forma, a integridade da rede de computadores do Tribunal;

V - utilizar serviços de compartilhamento de arquivos em nuvem, não contratados pelo TRE/SP.

CAPÍTULO XII

DOS MEIOS DE IMPRESSÃO

Art. 75.  Os recursos de impressão pertencentes a este Tribunal, disponíveis para a usuária ou o usuário, serão utilizados em atividades estritamente relacionadas às suas funções institucionais.

Art. 76.  Sempre que possível, o compartilhamento de documentos deve ser priorizado, evitando o uso desnecessário de insumos.

Art. 77.  Os meios de impressão, sempre que possível devem ser compartilhados por mais de uma unidade, visando a economicidade dos recursos e as recomendações de sustentabilidade.

CAPÍTULO XIII

DOS SISTEMAS INFORMATIZADOS

Art. 78.  Os sistemas informatizados deverão ter uma gestora ou um gestor da área de negócio e uma gestora ou um gestor da área técnica, nos termos da Portaria TRE-SP 230/2020.

Art. 79.  Sistemas que forneçam informações que sejam de acesso restrito devem conter autenticação, quando para público interno ao TRE-SP, utilizando credencias de acesso à rede ou matrícula.

Art. 80.  Sistemas destinados ao público externo, que entreguem informações de acesso restrito, que não as consultas de dados próprios no cadastro de eleitores, devem exigir credenciais de acesso, com as opções de gerar uma nova senha em caso de expiração ou esquecimento.

Art. 81.  As senhas devem possuir prazo de validade e critérios de complexidade que não viabilizem ataques de força bruta ou dicionário.

Art. 82.  Deve ser empregado o uso de desafio para validar que o acesso esteja sendo realizado por pessoa e não por meio automatizado.

Art. 83.  Deverá ser estabelecido monitoramento quanto ao uso dos sistemas, permitindo identificar, no mínimo, a quantidade de acessos por: faixa horária, dia, semana e mês.

Art. 84.  A cada semestre a gestora ou o gestor de sistema da área de negócio deverá receber relatório de monitoramento de acessos e justificar a necessidade de manutenção da disponibilidade do sistema.

Art. 85.  Sistemas com baixo nível de uso, obsoletos ou não mais necessários devem ter seu acesso desabilitado e serem removidos dos servidores de aplicação.

Art. 86.  Não devem ser adquiridos ou desenvolvidos sistemas informatizados diferentes para atendimento de uma mesma demanda, exceto quando justificada impossibilidade técnica da adoção de uma solução apenas.

Art. 87.  Em caso de vulnerabilidade grave em sistema, a unidade responsável pela Segurança Cibernética pode solicitar que o sistema seja tornado indisponível até que seja aplicada uma correção.

CAPÍTULO XIV

DAS DISPOSIÇÕES FINAIS

Art. 88.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 89.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 90.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 91.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 92.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL