PORTARIA Nº 229, DE 31 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Segurança de TIC para serviços em nuvem no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a portaria para Segurança de TIC em serviços em nuvem, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  A Segurança de TIC para serviços em nuvem visa aplicar medidas de segurança adicionais para elevar o nível de proteção da infraestrutura de TIC do TRE-SP.

Art. 3º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP 580/2022.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 4º  Para efeitos desta portaria consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021.

CAPÍTULO III

DA ANÁLISE DE RISCOS E DEFINIÇÃO DE REQUISITOS

Art. 5º  Deve ser estabelecido processo de avaliação e gestão de riscos de segurança da informação associados ao uso de serviços em nuvem.

Parágrafo único. Os riscos residuais ligados ao uso do serviços em nuvem devem ser identificados e submetidos à Comissão de Segurança da Informação, para decisão sobre aceitá-los ou não.

Art. 6º  Devem ser definidos:

I - todos os requisitos relevantes de segurança da informação associados ao uso dos serviços em nuvem;

II - critérios de seleção de serviços em nuvem;

III - escopo do uso de serviços em nuvem;

IV - papéis e responsabilidades relacionadas ao uso e gestão de serviços em nuvem;

V - quais controles de segurança da informação devem ser gerenciados pelo provedor de serviços em nuvem e quais devem ser gerenciados pelo TRE-SP;

VI - como obter e utilizar recursos de segurança da informação fornecidos pelo provedor de serviços em nuvem;

VII - a garantia sobre controles de segurança da informação implementados por provedores de serviços em nuvem;

VIII - como gerenciar controles, interfaces e mudanças nos serviços de diferentes provedores de serviços em nuvem;

IX - procedimentos para o tratamento de incidentes de segurança da informação que ocorrem em relação ao uso de serviços em nuvem;

X - abordagem para monitorar, analisar criticamente e avaliar o uso contínuo de serviços em nuvem para gerenciar riscos de segurança da informação;

XI - como alterar ou parar o uso de serviços em nuvem, incluindo estratégias de saída para serviços em nuvem.

Art. 7º  Deve ser exigido da empresa fornecedora de serviço em nuvem a assinatura de termo que aborde os requisitos de confidencialidade, integridade, disponibilidade e manuseio de informações do TRE-SP, nível de serviço e objetivos qualitativos de serviço em nuvem.

Art. 8º  As especificações para contratação de serviços em nuvem pelo TRE-SP devem contemplar:

I - soluções baseadas em padrões aceitos de mercado para a arquitetura e a infraestrutura;

II - controles de acesso dos serviços em nuvem;

III - implementação de soluções de monitoramento e proteção de malware;

IV - tratamento e armazenamento de informações sensíveis conforme legislação vigente;

V - suporte dedicado em caso de incidente de segurança da informação no ambiente do serviço em nuvem;

VI - proibição de que os serviços em nuvem sejam subcontratados;

VII - apoio na coleta de provas digitais, considerando as leis e regulamentos vigentes;

VIII - suporte e disponibilidade adequados aos serviços dentro de um prazo adequado, quando a organização quiser sair do serviço em nuvem;

IX - obrigatoriedade de backup de dados e informações de configuração;

X - fornecimento de informações como arquivos de configuração, código-fonte e dados do TRE-SP, quando solicitados durante a prestação ou no término do serviço

XI - comunicação antecipada de qualquer alteração que interfira na disponibilidade do serviço.

XII - responsabilidades do provedor de serviços em nuvem sobre a gestão de vulnerabilidades técnicas em seu ambiente.

CAPÍTULO IV

VULNERABILIDADES

Art. 9º  A empresa fornecedora do serviço em nuvem deve executar a gestão de vulnerabilidade em seu ambiente.

Art. 10.  O TRE-SP é responsável pelas vulnerabilidades das aplicações e serviços próprios que venha a disponibilizar em nuvem.

Art. 11.  O TRE-SP poderá executar análise de vulnerabilidades nos serviços de nuvem contratados.

Art. 12.  O TRE-SP deverá comunicar à empresa fornecedora do serviço as vulnerabilidades detectadas em relação ao serviço contratado, que deverá corrigi-las conforme prazo contratual.

Art. 13.  O fornecedor do serviço de nuvem deverá prover registros de ações (log) de acesso e atividades das usuárias e dos usuários.

CAPÍTULO V

INCIDENTES EM SERVIÇOS CONTRATADOS

Art. 14.  A empresa provedora do serviço em nuvem é responsável pela segurança do ambiente e serviços que fornece.

Art. 15.  O TRE-SP é responsável pela segurança das aplicações que vier a disponibilizar através de serviços em nuvem.

Art. 16.  Cabe à ETIR o tratamento de incidentes no âmbito do TRE-SP e acionamento do plano de comunicação existentes.

Art. 17.  Cabe à fiscalização do contrato o acompanhamento da solução de incidentes de segurança da informação que tenham sido causados pela empresa fornecedora do serviço em nuvem.

CAPÍTULO VI

DO USO DOS SERVIÇOS EM NUVEM

Art. 18.  Os serviços em nuvem contratados pelo TRE-SP devem ser utilizados para fins de trabalho, não se destinando ao uso particular.

Art. 19.  Não devem ser armazenados em nuvem arquivos e mensagens de e-mail que já não sejam mais necessários ao trabalho.

Art. 20.  Não devem ser utilizados, para fins de trabalho, outros serviços públicos em nuvem, gratuitos ou pagos, que não os contratados pelo TRE-SP.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 21.  Os casos omissos e eventuais dúvidas quanto à aplicação desta portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 22.  A STI elaborará, em até 120 dias, os procedimentos operacionais, para aplicação desta portaria, que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 23.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 24.  O descumprimento não fundamentado desta portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação, e será objeto de apuração pela unidade competente do Tribunal, com consequente aplicação das penalidades cabíveis a cada caso.

Art. 25.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL