Dispõe sobre as diretrizes de uso e gestão de contas e senhas para usuários e administradores de Tecnologia da Informação, e uso da Internet e Redes Sociais no âmbito do Poder Judiciário do Estado do Ceará.

• 1. PORTARIA-No-1072-2023-diretrizes-de-uso-e-gestao-de-contas-e-senhas.pdf

  Baixar anexo (166 KB)

  • Baixar (166 KB)

Dispõe sobre as diretrizes de uso e gestão de contas e senhas para usuários e administradores de Tecnologia da Informação, e uso da Internet e Redes Sociais no âmbito do Poder Judiciário do Estado do Ceará.

O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas atribuições legais e regimentais,

CONSIDERANDO os termos da Resolução do Conselho Nacional de Justiça (CNJ) n° 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;

CONSIDERANDO os termos da Resolução do CNJ n° 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO os termos da Resolução do Órgão Especial do TJCE n° 25/2016, que regulamenta a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará;

CONSIDERANDO os termos da Portaria do CNJ n° 162, que aprovou protocolos e manuais criados pela Resolução CNJ n° 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); e

CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação que visam a garantir a disponibilidade e a integridade de sistemas, aplicativos, dados e documentos digitais do Poder Judiciário do Estado do Ceará;

RESOLVE:

Art. 1º Definir as diretrizes de uso e gestão de Contas e Senhas para Usuários e Administradores de Tecnologia da Informação (TI), e uso da Internet e Redes Sociais no âmbito do Poder Judiciário do Estado do Ceará, na forma do Anexo I e II desta portaria.

Art. 2º A Secretaria de Tecnologia da Informação (SETIN) deverá informar ao Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP), em até 30 (trinta) dias após publicação deste normativo ato, o tempo necessário para adequar-se as normas nele descritas, no que diz respeito as suas competências.

Art. 3º Os casos não previstos deverão ser apreciados pelo Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP).

Art. 4° Esta Portaria revoga o Anexo I – Norma de Contas e Senhas para Usuários e Administradores de TI, e o Anexo III – Norma da Internet, Intranet e Redes Sociais, Portaria nº 1186/2018, do Tribunal de Justiça do Estado do Ceará.

Art. 5º Esta Portaria entra em vigor na data da sua publicação.

REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.

GABINETE DA PRESIDÊNCIA DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 27 de abril de 2023.

Desembargador Antônio Abelardo Benevides Moraes
Presidente do Tribunal de Justiça do Estado do Ceará

ANEXO I DA PORTARIA Nº 1072/2023
NORMA DE CONTAS E SENHAS PARA USUÁRIOS E ADMINISTRADORES DE TECNOLOGIA DA INFORMAÇÃO

Art. 1º A presente norma define diretrizes de utilização de contas e senhas pelos usuários, administradores de redes, de sistemas e de serviços no âmbito do Poder Judiciário do Estado do Ceará.

Art. 2º As regras constantes nesta norma aplica-se a todos os usuários e usuárias de tecnologia da informação que possuam ou são responsáveis por uma conta, bem como qualquer forma de acesso com privilégios de “administrador” de rede, sistemas de informações, equipamentos locais, serviços e banco de dados no ambiente de Tecnologia da Informação do Poder Judiciário do Estado do Ceará.

Art. 3º Para efeitos deste ato normativo considera-se:

I - usuário(a): magistrados(as) e servidores(as) ocupantes de cargo efetivo ou em comissão, requisitados(as) e cedidos(as), desde que previamente autorizados(as), empregados(as) de empresas prestadoras de serviços terceirizados, conveniados(as), consultores(as), estagiários(as), e outras pessoas que se encontrem a serviço da Justiça Estadual, utilizando em caráter temporário os recursos tecnológicos do Poder Judiciário do Estado do Ceará;

II - conta de acesso: código de acesso atribuído a cada usuário. A cada código de acesso é associada uma senha individual e intransferível, destinada a identificar o Usuário, permitindo-lhe o acesso aos recursos computacionais disponíveis; e

III - administrador de rede, de sistemas, de serviços: usuários que possuem contas que permitem acesso total e irrestrito a quaisquer recursos da rede, sistema ou serviço em que estão configuradas.

Art. 4º A toda conta serão vinculados um usuário e uma senha;

Art. 5º Na criação de uma nova conta de rede, o usuário receberá uma senha temporária, gerada randomicamente, a qual deverá ser trocada no primeiro acesso;

Art. 6º Os gestores e usuários, em todos os níveis de privilégios, deverão observar as seguintes regras:

I - toda conta deverá possuir senha com:

a) no mínimo 10 (dez) caracteres;

b) caracteres alfa-numéricos (ex: Ip25O4);

c) caracteres em caixa alta e caixa baixa (ex: IpSTma); e

d) no mínimo um caractere especial (ex: tipo #, @, $,%, &, !, *, ?, _,/, <>,:,;, {}, [], =, +);

II - todas as senhas de acesso a rede, sistemas e serviços diversos do Poder Judiciário do Estado do Ceará deverão ser modificadas a cada 45 (quarenta e cinco) dias;

III - No caso de suspeita do comprometimento de uma senha, o usuário poderá redefini-la e caso não consiga deverá entrar em contato com a Central de Atendimento de Tecnologia da Informação (CATI);

Art. 7º As contas de rede serão bloqueadas depois de 5 (cinco) tentativas de entrada inválidas ou se ficarem inativas por mais de 90 (noventa) dias corridos;

Paragrafo único: Para desbloquear o usuário deverá entrar em contato com a Central de Atendimento de Tecnologia da Informação (CATI);

Art. 8º O mau uso de uma conta de acesso por terceiros será de responsabilidade do seu titular, sujeitando-o às penalidades cabíveis;

Art. 9º Além das regras contidas nas alineas b), c) e d), do inciso I, do art. 6º da presente portaria, os Administradores de rede, de sistema e de serviços, em todos os níveis de privilégios, deverão observar os seguintes parâmetros:

I – Utilizar no mínimo 14 (quatorze) caracteres ou o limite máximo, nos ambientes que não suportarem tal quantidade;

II - Evitar a utilização:

o nome do usuário para senha (ex: usuário: maria, senha: maria);

nome ou combinações deste, nomes de familiares, datas de aniversário, número de telefone;

informações pessoais ou fáceis de serem obtidas; e

repetição de números e letras (ex: 111111, aaabbb).

Art. 10 Todo e qualquer usuário que possui ou é responsável por uma conta ou qualquer forma de acesso com privilégios de “administrador” de sistemas de informações, equipamentos locais, serviços ou banco de dados será associado a uma matrícula ou CPF que o identifique de forma individual;

Art. 11 A Secretaria de Tecnologia da Informação (SETIN) deverá garantir a manutenção de um histórico composto, pelo menos, das 5 (cinco) últimas senhas, de forma a impedir que o usuário as reutilize;

Art. 12 As senhas para administradores de máquina local, de domínio, de servidores físicos e virtuais, de sistemas de informações, de serviços e de banco de dados deverá ser obrigatoriamente trocada a cada 45 (quarenta e cinco) dias;

Art. 13 As senhas de sistemas de informações ou banco de dados utilizadas em ambiente de produção deverão ser exclusivas e diferentes daquelas utilizadas em outros ambientes (treinamento, teste, homologação).

Art. 14 É de responsabilidade dos (as) usuários (as):

I - Comunicar ao setor competente da Secretaria de Tecnologia da Informação ou a sua chefia imediata qualquer violação a esta Norma;

II - Observar rigorosamente os procedimentos de segurança estabelecidos quanto à confidencialidade de sua senha, através dos quais possa efetuar operações designadas nos recursos computacionais que acessa, procedendo com:

a) a modificação da senha temporária no primeiro acesso;

b) evitando registrar a senha em papel, em local visível, no computador ou na Internet;

c) não utilizando o recurso de “salvar senha” ou semelhantes em aplicações como navegadores, correio eletrônico, entre outras;

d) alterando a senha quando houver indícios de comprometimento sido comprometida e comunicar o incidente a Setin através da Cati; e

e) não revelando suas senhas pelo telefone, e-mail ou por qualquer outro meio para qualquer pessoa, independente de hierarquia.

Paragrafo Único: O acesso à conta, e seus recursos atribuídos, é de responsabilidade pessoal e intransferível do titular.

Art. 15 É de responsabilidade dos Custodiantes das Informações:

I - da Gerência de Infraestrutura de Tecnologia da Informação:

adotar mecanismos para bloquear a senha após 5 (cinco) tentativas inválidas;

adotar mecanismos para não aceitar senha com menos de 10 (dez) caracteres;

adotar mecanismos para garantir que as senhas expirem a cada 45 (quarenta e cinco dias);

adotar mecanismos para forçar o usuário a trocar a senha no primeiro acesso;

conscientizar os usuários na criação de senhas e a sua importância na segurança da informação;

promover divulgação das regras presentes nesta norma, acompanhar as auditorias dos sistemas e reportar ao Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP) as ameaças à Política de Segurança da Informação.

Realizar auditorias e monitorar o ambiente de Ti quanto ao cumprimento deste normativo;

II - do Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP):

Paragrafo único: o comitê será acionado quando a Coordenadoria de Segurança da Informação julgar pertinente.

Art. 16. uma vez que o usuário é responsável por qualquer atividade a partir de sua conta de rede ou sistemas, o mesmo responderá por qualquer ação legal apresentada ao Poder Judiciário do Estado do Ceará que envolva a suas contas;

§1º. no caso de evidências de uso irregular das contas de rede ou sistemas, o usuário terá seu acesso bloqueado para averiguação, sem prévio aviso;

§2º. o usuário infrator deverá ser notificado e a ocorrência de transgressão comunicada ao seu chefe imediato e à diretoria correspondente;

§3º. o acesso somente será restabelecido mediante solicitação da chefia imediata, informando que tomou conhecimento da violação das normas de segurança;

§4º. nos casos em que ficar evidente que o usuário permitiu ou facilitou, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública, o Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP) será informado e tomará as medidas que julgar necessárias; e

§5º as penalidades poderão incluir: bloqueio temporário, cancelamento dos acessos, processos administrativos, criminais e cíveis, além da aplicação das penalidades previstas em lei.

ANEXO II DA PORTARIA Nº 1072/2023

NORMA DE USO DA INTERNET E DE REDES SOCIAIS

Art. 1º A presente norma tem como objetivo estabelecer diretrizes para administração e utilização de acesso aos serviços de Internet e redes sociais no âmbito do Poder Judiciário do Estado do Ceará.

Paragrafo único: As regras contidas nesta norma aplicam-se a todos os (as) usuários (as) de tecnologia da informação que utilizam a Internet e Redes Sociais no âmbito deste Poder.

Art. 2º Para efeitos deste ato normativo considera-se:

I - usuário(a): magistrados(as) e servidores(as) ocupantes de cargo efetivo ou em comissão, requisitados(as) e cedidos(as), desde que previamente autorizados(as), empregados(as) de empresas prestadoras de serviços terceirizados, conveniados(as), consultores(as), estagiários(as), e outras pessoas que se encontrem a serviço da Justiça Estadual, utilizando em caráter temporário os recursos tecnológicos do Poder Judiciário do Estado do Ceará;

II - internet: associação mundial de redes de computadores interligadas, que utilizam protocolos de comunicação de dados. A Internet provê um meio abrangente de comunicação através de transferência de arquivos, conexões à distância, serviços de correio eletrônico, etc.;

III - órgão: qualquer ente da Administração Pública Direta ou Indireta, Fundações, Autarquias e Empresas Públicas;

IV - site: páginas contendo informações, imagens, fotos, vídeos, sons etc., que ficam armazenadas em provedores de acesso (computadores denominados servidores) à Internet, para serem acessadas por qualquer pessoa que se conecte a rede;

V - software: é um conjunto de programas de computador, que realiza procedimentos, dotado de regras, documentos e dados associados que fazem parte das operações do Sistema de Computação;

VI - código malicioso: termo genérico que se refere a todos os tipos de programa especificamente desenvolvidos para executar ações danosas em recursos de Tecnologia da Informação, tais como vírus, cavalo de tróia, spyware, worms, bots, backdoors, keyloggers, rootkits entre outros;

VII - vírus: é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador;

VIII - redes sociais: estruturas sociais digitais compostas por pessoas ou organizações conectadas por um ou vários tipos de relações, que partilham valores e objetivos comuns.

Art. 3º São diretrizes a serem observadas quando da utilização da rede mundial de computadores (internet):

I - o acesso à internet deve restringir-se à esfera profissional com conteúdo relacionado às atividades desempenhadas pelo Órgão, observando-se sempre a conduta compatível com a moralidade administrativa;

II - as contas de usuários deverão ter níveis de acesso distintos, conforme a necessidade dos serviços, de acordo com os perfis definidos pela Secretaria de Tecnologia da Informação (SETIN);

III - o acesso à internet será concedido mediante solicitação da chefia imediata, contendo a devida justificativa, feita através de registro de chamado junto a Central de Atendimento (CATI);

IV - a SETIN só liberará o acesso à Internet aos usuários mediante comprovação de vínculo com o Poder Judiciário do Estado do Ceará;

V - por padrão todos os usuários inicialmente receberão nível básico de acesso, conforme sua lotação e/ou atividades desempenhadas;

VI - no momento em que houver desligamento de vínculo de servidores, terceirizados, estagiários e conveniados, a chefia imediata deverá informar imediatamente à Setin, para que a mesma cesse os acessos, exceto no caso de desligamento dos magistrados onde a Secretaria de Gestão de Pessoas – SGP deverá prover tal informação;

VII - os funcionários de empresas contratadas pelo Poder Judiciário do Estado do Ceará, terão acesso à Internet, mediante solicitação do preposto, contendo a devida justificativa, com autorização dos fiscais do contrato, desde que apresentado Termo de Ciência da Política de Segurança da Informação e suas normas e procedimentos;

VIII - todas as solicitações de acesso, alterações de nível de acesso ou bloqueio à Internet deverão ser realizadas através da Central de Atendimento de Tecnologia da Informação (CATI) pelo gestor imediato;

IX - no caso de evidências de uso irregular dos recursos de acesso à Internet, o usuário terá seu acesso bloqueado para averiguação, sem prévio aviso;

X - é vedado o uso de provedores de acesso externos ou de qualquer outra forma de conexão, em equipamentos/dispositivos do Poder Judiciário do Estado do Ceará, conveniados ou de empresas contratadas, quando não autorizado no ambiente deste Poder;

XI - o uso de provedores de acesso externos ou de qualquer outra forma de conexão, excluindo de uso particular (celulares, tablets, etc), deverá sempre ser autorizado pelo Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP);

XII - à Setin deverá prover o serviço de conexão à Internet implementando mecanismos de segurança adequados;

§1º É vedado, exceto quando devidamente autorizado pela Setin e/ou CGSICCPDP):

I - o acesso às páginas de conteúdo considerado ofensivo, ilegal ou impróprio, tais como: pornografia, pedofilia, preconceitos, vandalismo, entre outros;

II - a obtenção de arquivos que apresentem vulnerabilidade de segurança ou possam comprometer, de alguma forma, a integridade da rede deste Poder;

III - o uso de IM (Instant Messenger) não homologado ou não autorizado;

IV - o uso de proxy anônimo;

V - o acesso às salas de bate-papo (chats);

VI - acesso a jogos;

VII - a divulgação de informações confidenciais da instituição, dados pessoais e dados pessoal sensíveis;

VIII - o envio a destino externo de qualquer software licenciado ao Poder Judiciário do Estado do Ceará ou dados de sua propriedade ou de seus usuários, salvo expressa e fundada autorização do responsável pela sua guarda;

IX - toda e qualquer tentativa de burlar as políticas de bloqueios automaticamente aplicadas pelas ferramentas sistêmicas do Poder Judiciário do Estado do Ceará;

X - a utilização de software de compartilhamento de conteúdo em qualquer modalidade; e

XI - o tráfego de quaisquer outros dados capazes de prejudicar o desempenho dos serviços de tecnologia da informação do Poder Judiciário do Estado do Ceará.

§º 2º. caso seja identificada a necessidade de liberação de uma página para a execução de atividades relativas à rotina de trabalho dos usuários, a chefia imediata deverá solicitar, através de registro de chamado na Central de Atendimento, contendo a devida justificativa, que será submetido à avaliação. Somente serão liberadas as páginas analisadas e autorizadas pela Setin; e

§3º. A ocorrência de qualquer constatação de má utilização da Internet deverá ser comunicada, de imediato, à Setin;

Art. 4º São diretrizes a serem observadas quando da utilização de redes sociais:

I - o acesso às redes sociais é um recurso disponibilizado aos devidos usuários para o desenvolvimento das atividades profissionais e controlado por meio das credenciais de acesso dos usuários;

II - o acesso às redes sociais poderá ser concedido ao usuário, para criação, administração e gerenciamento de perfis institucionais, ou a critério do CGSICCPDP para monitoramento, quando solicitado pelo gestor da área com a devida justificativa;

III - a concessão de acesso às redes sociais implica na utilização adequada, conforme as recomendações abaixo:

não publicar assuntos que provoquem assédio, perturbação a outras pessoas ou que comprometam a imagem do negócio;

não publicar temas considerados difamatórios, discriminatórios, material obsceno, ilegal ou antiético;

não publicar intencionalmente códigos considerados maliciosos;

não publicar informações sem autorização;

não publicar informações sem a previa verificação de sua veracidade (fake news);

publicar apenas informações classificadas como públicas; e

respeitar o direito à propriedade intelectual, direitos autorais, direitos de marcas e patentes e direitos publicitários.

IV - o uso das redes sociais não deve interferir no desempenho do próprio profissional ou de qualquer outro usuário, prejudicar o desempenho dos recursos disponíveis ou comprometer a imagem do Poder Judiciário do Estado do Ceará;

V - o acesso às redes sociais poderá ser monitorado e suspenso a qualquer momento, por decisão do gestor da área do usuário, da área de informática ou do Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP), sem prévio aviso; e

VI - perfis institucionais mantidos nas redes sociais devem ser administrados e gerenciados por servidores efetivos ou ocupantes de cargo comissionado do Poder Judiciário do Estado do Ceará.

Art. 5° É de responsabilidade dos (as) usuários (as) e colaboradores (as), no uso de internet e redes sociais:

I - ações e acessos realizados por meio da sua conta de acesso à Internet e redes sociais;

II - s problemas técnicos verificados pelos usuários, ocorridos durante o acesso aos serviços de Internet, devem ser imediatamente comunicados à Setin, via registro de chamado na Central de Atendimento do TJCE, para que sejam analisados; e

III - o mau uso de uma conta de acesso à Internet por terceiros será responsabilidade de seu titular.

Art. 6° É de responsabilidade da chefia imediata dos usuários de internet e redes socais:

I - toda alteração de nível de acesso somente será realizada mediante solicitação formal, pela chefia imediata do usuário, contendo a devida justificativa, que será avaliada pela Setin, podendo esta solicitação ser negada em caso de risco ou vulnerabilidade a segurança e a integridade da rede do TJCE.

Art. 6° É de responsabilidade dos custodiantes da Informação:

I - da Gerência de Infraestrutura de Tecnologia da Informação por meio de suas respectivas coordenadorias:

a) os navegadores de Internet e Intranet utilizados no âmbito do Poder Judiciário do Estado do Ceará deverão ser definidos e homologados pela coordenadoria de Suporte Técnico, que será responsável pelas atualizações e correções de segurança;

b) as paralisações dos serviços de Internet e Intranet, para manutenção preventiva, devem ser previamente comunicadas a todos os usuários;

c) implantar mecanismos de monitoramento dos acessos à Internet;

d) arquivar todo histórico de acesso à Internet para controle, conforme legislação em vigor ou por tempo determinado pelo Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP);

e) verificar periodicamente os acessos à Internet, para detectar eventuais problemas que possam ocorrer;

f) fornecer, quando solicitado pelo gestor da área, relatório de acessos dos usuários; e

g) bloquear sites que estão contra esta e outras Normas e que estejam comprometendo o bom funcionamento dos recursos  de Internet ou que ofereçam riscos a segurança das informações.

h) promover divulgação das regras presentes neste documento, acompanhar as auditorias dos sistemas e reportar ao Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP) as ameaças à Política de Segurança da Informação; e

i) Realizar auditorias e monitorar o ambiente de Ti quanto ao cumprimento deste normativo

II - Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP):

a) o comitê será acionado quando a área de Segurança da Informação julgar pertinente.

Art. 7° Uma vez que o usuário é responsável por qualquer atividade a partir de sua conta, o mesmo responderá por qualquer ação legal apresentada ao Poder Judiciário do Estado do Ceará que envolva a suas contas;

§1º. no caso de evidências de uso irregular dos recursos de acesso à Internet ou redes sociais, o usuário terá seu acesso bloqueado para averiguação, sem prévio aviso;

§2º. o usuário infrator deverá ser notificado e a ocorrência de transgressão comunicada ao seu gestor imediato e o CGSICCPDP será informado e tomará as medidas que julgar necessárias;

§3º. o acesso somente será restabelecido mediante solicitação da gestão imediata, informando que tomou conhecimento da violação das normas de segurança;

§4º. nos casos em que ficar evidente que o usuário permitiu ou facilitou, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública, o Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais será informado e tomará as medidas que julgar necessárias, e

§5º. as penalidades poderão incluir: bloqueio temporário, cancelamento dos acessos, processos administrativos, criminais e cíveis, além da aplicação das penalidades previstas em lei.