PORTARIA Nº 227, DE 31 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Gestão de Fornecedores no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Portaria de Gestão de Fornecedores, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP nº 580/2022.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º  Para efeitos desta Portaria consideram-se os termos e definições previstos na Portaria DG/TSE nº 444/2021.

Art. 4º  A gestão de fornecedores visa proteger a segurança das redes de computadores, assim como dos dados em repouso, armazenados em servidores, microcomputadores, dispositivos móveis e bancos de dados.

CAPÍTULO III

DOS CONTROLES E CRITÉRIOS DE SELEÇÃO

Art. 5º  Deverá ser estabelecido processo para identificar e documentar os tipos de fornecedores que podem afetar a confidencialidade, integridade e disponibilidade das informações, como por exemplo:

I - serviços de TIC;

II - logística;

III - conservação e manutenção predial;

IV - serviços financeiros;

V - componentes de infraestrutura de TIC;

VI - controle de acesso físico;

VII - recepção;

VIII - central de atendimento à eleitora e ao eleitor.

Art. 6º  Deverá ser estabelecido processo para avaliar a sensibilidade de informações, produtos e serviços a que os fornecedores terão acesso, como por exemplo:

I - estruturas prediais;

II - documentos restritos;

III - infraestrutura de TIC;

IV - bases de dados sensíveis.

Art. 7º  Deverão ser estabelecidos, com base nos resultados das análises referenciadas nos artigos 5º e 6º, critérios para seleção de fornecedores que possuam controles adequados de segurança da informação, e analisá-los criticamente, em particular, a precisão e a completeza dos controles implementados que assegure a integridade do tratamento de informações e, consequentemente, a segurança da informação do TRE-SP.

Art. 8º  Deverá ser criado processo para periodicamente avaliar e gerenciar os riscos de segurança da informação associados a:

I - Uso das informações do TRE-SP pelos fornecedores e outros ativos associados, incluindo riscos originário de potenciais fornecedores maliciosos;

II - Mau funcionamento ou vulnerabilidades dos produtos (incluindo componentes de software e subcomponentes utilizados nesses produtos) ou serviços prestados pelos fornecedores;

III - Atendimento aos requisitos estabelecidos de segurança da informação para cada tipo de fornecedor e tipo de acesso;

IV - Não conformidade de um fornecedor, seja ela detectada através de monitoramento ou por outros meios;

V - Incidentes e contingências associados a produtos e serviços de fornecedores, incluindo responsabilidades tanto do TRE-SP quanto dos fornecedores;

VI - Resiliência e, se necessário, medidas de recuperação e contingência para assegurar a disponibilidade do tratamento de informações e informações do fornecedor e, consequentemente, a disponibilidade das informações do TRE-SP;

VII - Gerenciar a transferência necessária de informações, outros ativos associados e qualquer outro item que precise ser alterado e assegurar que a segurança da informação seja mantida durante todo o período de transferência;

VIII - Requisitos e procedimentos de gestão de incidentes (especialmente notificação e colaboração durante a remediação de incidentes);

Art. 9º  Deverão ser criados procedimentos de conscientização e ministrados treinamentos ao quadro de pessoal do TRE-SP quanto à interação com fornecedores, baseados no tipo de fornecimento e no nível de acesso do fornecedor aos sistemas de informações do TRE-SP.

CAPÍTULO IV

DO ACESSO À REDE

Art. 10.  Poderá ser concedido acesso à rede e serviço de e-mail, com o uso de computador disponibilizado pelo TRE-SP, com as permissões estritamente necessárias à execução do contrato, sendo vedado o uso para fins particulares e armazenamento de arquivos pessoais.

Parágrafo único.  Toda funcionária e todo funcionário de fornecedor/prestador de serviço que venham a ter acesso à rede, deverão tomar conhecimento da PSI e suas normas, bem como assinar termo de ciência a ser entregue à (ao) fiscal do contrato.

Art. 11.  Cabe à (ao) fiscal do contrato solicitar a criação de conta de acesso à rede e demais acessos necessários, bem como sua revogação quando da substituição de pessoal ou término do contrato.

Art. 12.  Não será concedida qualquer forma de acesso remoto externo aos equipamentos de fornecedor/prestador de serviço.

Art. 13.  O fornecedor/prestador de serviço é obrigado a manter os equipamentos citados no art. 12 devidamente atualizados e sem vulnerabilidades.

Art. 14.  Deverá ser concedida senha de administração de sistema operacional à equipe da STI, que irá alterá-la e mantê-la em sigilo.

Art. 15.  A STI fará auditorias e varreduras em busca de vulnerabilidades e falhas de segurança.

Art. 16.  Os equipamentos do fornecedor/prestador de serviço deverão exportar seus logs conforme determinado pela STI.

Art. 17.  Em caso de vulnerabilidade ou falha de segurança, a STI acionará a unidade responsável pela fiscalização do contrato para que o fornecedor/prestador do serviço efetue as correções, sob pena de desconexão do equipamento e descumprimento contratual.

CAPÍTULO V

DOS SERVIÇOS DE TIC

Art. 18.  Deverão ser definidos requisitos de segurança da informação para aplicar na aquisição de produtos ou serviços de TIC;

Art. 19.  Deverá ser exigido dos fornecedores de serviços de TIC que propaguem os requisitos de segurança do TRE-SP por toda a cadeia de fornecimento, se subcontratarem partes do serviço de TIC prestados ao TRE-SP;

Art. 20.  Deverá ser exigido que os fornecedores de produtos de TIC propaguem práticas de segurança adequadas por toda a cadeia de fornecimento, se esses produtos incluírem componentes comprados ou adquiridos de outros fornecedores ou outras entidades (por exemplo, desenvolvedores de software subcontratados e provedores de componentes de hardware);

Art. 21.  Deve ser exigido que os fornecedores de produtos de TIC forneçam informações descrevendo os componentes de software utilizados nos produtos;

Art. 22.  Deve ser exigido que os fornecedores de produtos de TIC forneçam informações descrevendo as funções de segurança implementadas em seus produtos e as configurações necessárias para a sua operação segura;

Art. 23.  Deve ser implementado processo de monitoramento e métodos aceitáveis para validação de produtos e serviços de TIC em conformidade com os requisitos de desempenho, disponibilidade e segurança especificados.

Art. 24.  Deve ser implementado processo de identificação e documentação de componentes de produtos ou serviços que sejam fundamentais para a manutenção da funcionalidade ou continuidade do serviço contratado;

Art. 25.  Deve ser verificado se os produtos de TIC entregues estão funcionando como especificado, sem quaisquer características inesperadas ou indesejadas;

Art. 26.  Deve ser implementado processo para garantir que os componentes dos fornecedores sejam genuínos e sem alteração de sua especificação. As medidas de exemplo incluem rótulos anti adulteração, verificações de hash ou assinaturas digitais.

Art. 27.  Deve ser implementado processo para a prevenção e detecção de adulteração durante as múltiplas etapas do ciclo de vida do desenvolvimento de sistemas, incluindo projeto, desenvolvimento, integração, operações e manutenção;

Art. 28.  Deve ser garantido que os produtos e serviços de TIC atinjam os níveis de segurança necessários, por exemplo, através de certificação formal ou um esquema de avaliação, como o Acordo de Reconhecimento de Critérios Comuns;

Art. 29.  Devem ser implementados processos para a gestão do ciclo de vida dos componentes de TIC e disponibilidade e riscos de segurança associados, como por exemplo, a obsolescência.

CAPÍTULO VI

DA COMUNICAÇÃO DE EVENTOS

Art. 30.  Em caso de quaisquer eventos que caracterizem descumprimento de normas da PSI ou incidente de segurança da informação, intencional ou não, a equipe da STI comunicará a unidade responsável pelo contrato.

Art. 31.  Os eventos adversos gerados por fornecedor ou prestador de serviço serão objeto de apuração.

Art. 32.  Cabe à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) o tratamento de incidente que venha a ser causado por fornecedor, exclusivamente no âmbito do TRE-SP.

Art. 33.  Caso o incidente seja considerado ilícito cibernético, deverá ser seguido o Protocolo de Investigação de Ilícitos Cibernéticos

CAPÍTULO VII

DA CONFIDENCIALIDADE E SIGILO

Art. 34.  Quando da assinatura do contrato, a preposta ou o preposto da empresa deverá assinar termo de confidencialidade e sigilo sobre os dados e informações que venha a ter acesso durante a vigência contratual.

Art. 35.  A obrigação de assinatura de termo de confidencialidade e sigilo se estende às funcionárias e aos funcionários do fornecedor e do prestador de serviço que venham a ter acesso à rede do TRE-SP.

CAPÍTULO VIII

DA PROPRIEDADE INTELECTUAL

Art. 36.  Todo conceito, solução, informação ou dado produzido durante a vigência contratual, em função da prestação do serviço contratado, será de propriedade do TRE-SP.

Art. 37.  A propriedade intelectual se aplica a manuais, códigos-fonte, programas e similares que venham a ser desenvolvidos em função de contrato com o TRE-SP, sendo vedada sua reprodução ou compartilhamento pelo fornecedor/prestador de serviço.

CAPÍTULO IX

DO TÉRMINO DA VIGÊNCIA CONTRATUAL

Art. 38.  A(o) fiscal do contrato deverá solicitar a revogação do acesso de todas as funcionárias/prestadoras e todos os funcionários/prestadores de serviço, de modo que coincida com o término do contrato.

Art. 39.  A(o) funcionária(o) da fornecedora/prestadora ou do fornecedor/prestador de serviço deverá:

I - Entregar todos os recursos disponibilizados pelo TRE-SP em perfeitas condições de uso;

II - Assinar termo de compromisso de manutenção de sigilo após o término da prestação do serviço;

III - Assinar termo de compromisso de exclusão de informações no término da prestação do serviço;

IV - Abster-se de fazer qualquer tipo de backup de informações ou documentos que venha a produzir ou ter acesso;

Art. 40.  O fornecedor deverá realizar a eliminação segura de informações do TRE-SP a que tenha tido acesso durante a vigência contratual.

Art. 41.  Deverá constar como obrigação do fornecedor, ao final do contrato, executar processo de transição e apoio a outro fornecedor ou ao TRE-SP.

CAPÍTULO X

DISPOSIÇÕES FINAIS

Art. 42.  É vedada a concessão de qualquer tipo de acesso à rede a funcionária/prestadora ou funcionário/prestador de serviço antes ou após a vigência contratual.

Art. 43.  É vedado fornecer qualquer cópia de arquivo ou informação por qualquer meio digital ou impresso após o término da vigência contratual

Art. 44.  Cabe à(ao) fiscal do contrato acompanhar o cumprimento da PSI e suas normas pelas funcionarias ou funcionários do fornecedor/prestador de serviços.

Art. 45.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 46.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 47.  O descumprimento desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 48.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL