Notas:

1) Revogada pela Portaria PGFN nº 384, de 21.08.2002, DOU 23.08.2002.

2) Assim dispunha a Portaria revogada:

"O Procurador-Geral da Fazenda Nacional, no uso das atribuições que lhe conferem os incisos XIII e XVIII do artigo 49 do Regimento Interno da PGFN, aprovado pela Portaria nº 138, de 1º de julho de 1997, e tendo em vista a necessidade de regulamentar a segurança e o controle de acesso lógico aos sistemas informatizados da Procuradoria-Geral da Fazenda Nacional, resolve:

Das Disposições Gerais

Art. 1º Os sistemas informatizados da Procuradoria-Geral da Fazenda Nacional - PGFN, que utilizam o sistema de Controle de Acesso Senha-Rede do SERPRO, observarão as normas de segurança e de controle de acesso lógico em conformidade com o disposto nesta Portaria.

Art. 2º Para efeitos desta Portaria entende-se por:

I - Acesso Cooperativo: a transferência direta de informações entre o computador do usuário e o computador central;

II - Acesso Imotivado: aquele realizado para fins estranhos às tarefas do servidor;

III - Acesso Lógico: a operação de atualização e consulta de dados e informações em um sistema;

IV - Acesso por Transferência de Arquivo: a formatação de dados em um computador e sua transmissão a outro computador;

V - Ambiente de Desenvolvimento: o conjunto de recursos utilizados para construir, testar e manter sistemas;

VI - Ambiente de Homologação: o conjunto de recursos utilizados para verificar se o sistema funciona conforme a especificação;

VII - Ambiente de Produção: o conjunto de recursos onde são executados os sistemas com dados reais e operações válidas no ambiente administrativo;

VIII - Ambiente de Treinamento: o conjunto de recursos utilizados para capacitar usuários nas funcionalidades do sistema;

IX - Cadastrador: servidor para este fim designado que utiliza o Sistema de Controle de Acesso Senha-Rede para cadastrar usuários na Rede - SERPRO e habilitá-los no uso de sistemas;

X - Cadastramento: procedimento de inclusão de sistemas ou usuários no sistema de controle de acesso Senha-Rede;

XI - Confidencialidade: a garantia de sigilo das informações;

XII - Disponibilidade: o princípio de segurança que trata da entrega tempestiva da informação, a usuários e processos autorizados;

XIII - Gestor de Sistema: o servidor da PGFN responsável pela definição e manutenção do respectivo sistema;

XIV - Habilitação: o procedimento que permite ao usuário cadastrado acessar sistemas;

XV - Integridade: o princípio de segurança que trata da confiabilidade da informação;

XVI - Log: o registro das atividades relativas às ações realizadas sobres os dados de um sistema e da identificação do Usuário que a executou;

XVII - Nível: o subconjunto de transações de um sistema, que define a abrangência de atuação de um Cadastrador ou Usuário;

XVIII - Transação: um programa executável do sistema;

XIX - Titular da Unidade: os titulares da unidade central ou das unidades descentralizadas da PGFN e da Secretaria da Receita Federal - SRF;

XX - Usuário: a pessoa ou processo autorizado ao uso de determinada informação ou conjunto de dados.

Parágrafo único. São deferidas aos Procuradores-Gerais Adjuntos e Coordenadores-Gerais da PGFN as mesmas competências e obrigações previstas nesta Portaria aos Titulares das Unidades.

Art. 3º São Usuários dos sistemas informatizados da PGFN:

I - Os servidores da PGFN;

II - Os servidores da SRF;

III - Os servidores do SERPRO em atividade na PGFN e na SRF;

IV - Os servidores do SERPRO da área de desenvolvimento e manutenção dos sistemas designados pelo seu superintendente;

V - Os estagiários da PGFN.

Art. 4º As formas de acesso aos sistemas informatizados da PGFN são:

I - Acesso Cooperativo;

II - Acesso Lógico;

III - Acesso por Transferência de Arquivos.

Art. 5º Os Gestores do sistema de controle de acesso aos sistemas informatizados da PGFN, a serem designados pela Comissão de Informática, instituída pela Portaria PGFN nº 173, de 05 de abril de 1999, possuem as seguintes atribuições:

I - definir e manter atualizada a relação de níveis e transações estabelecidas para utilização dos sistemas informatizados;

II - definir e classificar os níveis de Usuários que serão habilitados nos sistemas informatizados da PGFN, nos ambientes de desenvolvimento, homologação, produção e treinamento;

III - determinar, quando for necessária, a execução de transações dos sistemas em locais específicos.

Art. 6º A autorização para acesso aos sistemas informatizados da PGFN observará o seguinte:

I - ao administrador do sistema de controle de acesso Senha-Rede, funcionário do Serviço Federal de Processamento de Dados - SERPRO, designado pelo seu Superintendente de Negócios, cabe:

a) criar os sistemas informatizados da PGFN, nos ambientes de desenvolvimento, homologação, produção e treinamento, bem como a relação de níveis e respectivas transações estabelecidas pelos Gestores dos sistemas;

b) cadastrar e descadastrar o Cadastrador Nível 1 no Sistema de Controle de Acesso Senha-Rede;

c) habilitar, desabilitar, reativar, desativar, desbloquear e trocar senha do Cadastrador Nível 1;

d) manter atualizado o arquivo contendo as solicitações de cadastramento, exclusão do cadastro, habilitação, desabilitação, reativação, desativação, desbloqueio e troca de senha do Cadastrador Nível 1;

II - Ao Cadastrador Nível 1, servidor da PGFN, cabe:

a) cadastrar os sistemas informatizados da PGFN no Sistema de Controle de Acesso Senha-Rede, conforme definição dos Gestores dos sistemas;

b) cadastrar e excluir do cadastro os Usuários no Sistema de Controle de Acesso Senha-Rede e nos sistemas informatizados da PGFN;

c) habilitar, desabilitar, reativar, desativar, desbloquear e trocar senha dos Usuários;

d) orientar os Usuários na execução e desempenho de suas atividades;

e) manter atualizado o arquivo contendo as solicitações de cadastramento, exclusão do cadastro, habilitação, desabilitação, reativação, desativação, desbloqueio e troca de senha dos Usuários sob sua supervisão, bem como os atos formais que os nomearam para exercer suas funções.

Art. 7º A solicitação de cadastramento no sistema de controle de acesso Senha-Rede e a habilitação dos Usuários nos sistema informatizados da PGFN far-se-ão por intermédio de formulário, conforme modelo anexo a esta Portaria, observando-se o seguinte:

I - as autorizações de acesso devem se definidas de acordo com a necessidade de condução das tarefas, considerando o princípio dos privilégios mínimos (ter acesso apenas aos sistemas, transações e recursos necessários para a condição de tarefas), sendo esta definição de estrita responsabilidade do Titular da Unidade em que trabalhar o usuário;

II - o nível de acesso observará o conjunto de transações inerentes aos níveis estabelecidos pelos Gestores dos sistemas informatizados;

III - as autorizações de acesso devem ser auditadas semestralmente pelos Gestores e Cadastradores Nível 1.

Parágrafo único. Aos Usuários estagiários da PGFN e servidores da SRF somente será permitida consulta aos dados dos sistemas, sem qualquer possibilidade de alteração, à exceção do Sistema DEFESA.

Art. 8º Os sistemas informatizados da PGFN, que utilizam o sistema de Controle de acesso Senha-Rede, deverão ser controlados e protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso e alterações indevidas, em conformidade com os princípios da confidencialidade, integridade e disponibilidade.

§ 1º O sistema de Controle de Acesso deverá prover as funções de:

a) autorização, identificação e autenticação, acesso controlado, contabilização e auditoria;

b) validação do número de inscrição no Cadastro de Pessoas Físicas e o respectivo nome do usuário ou cadastrador, em relação ao sistema de Cadastro de Pessoas Físicas da Secretaria da Receita Federal;

c) proteção das informações dos sistemas informatizados da PGFN contra o uso não autorizado;

d) manutenção da integridade dos dados armazenados e rotinas de segurança inerentes aos sistemas;

e) exibir na tela inicial mensagem informando que o serviço só pode ser utilizado por Usuários autorizados.

§ 2º O Log deverá:

a) assegurar a preservação dos dados relativos às transações realizadas nos sistemas, com a identificação do Usuário, local e horário de acesso;

b) permitir a contabilização do uso, auditoria e recuperação nas situações de falhas.

§ 3º As senhas devem ser individuais, secretas, intransferíveis e protegidas com o grau de segurança compatível com a informação associada.

§ 4º O arquivo de senhas deve ser criptografado e o acesso a ele controlado.

§ 5º A distribuição de senhas aos Usuários (inicial ou não) será feita diretamente ao Titular da Unidade, por correio eletrônico. A senha inicial, quando gerada pelo sistema, deve ser trocada no primeiro acesso.

§ 6º O sistema de acesso deve permitir ao Usuário alterar sua senha sempre que desejar.

§ 7º A senha digitada não deve ser exibida.

§ 8º A troca de uma senha bloqueada só deve ser executada após a identificação do Usuário.

§ 9º As senhas serão:

a) bloqueadas, após três tentativas de acesso frustradas;

b) inativadas, caso não haja acesso por período de 45 dias;

c) excluídas, caso não haja acesso no período de 90 dias.

§ 10. O sistema solicitará nova autenticação do Usuário após certo tempo de inatividade da sessão (time-out), definido pelo gestor do sistema.

Art. 9º A produção, homologação, desenvolvimento e treinamento dos sistemas informatizados da PGFN utilizarão ambientes específicos.

Art. 10. Qualquer infringência às regras estabelecidas para o uso dos sistemas informatizados da PGFN deverá ser informada ao Titular da Unidade de ocorrência do fato, para fins de apuração de responsabilidade.

Dos Deveres, Responsabilidades e Penalidades Institucionais e Funcionais

Art. 11. É de responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos dados, informações e sistemas da PGFN, devendo comunicar por escrito ao Titular da Unidade quaisquer irregularidades, desvios ou falhas identificadas.

§ 1º O direito de acesso do Usuário é intransferível.

§ 2º É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas.

§ 3º O acesso à informação não garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas.

§ 4º É proibida a divulgação de dados obtidos dos sistemas informatizados para servidores e funcionários públicos que não estejam envolvidos nos trabalhos objeto das consultas.

§ 5º Os Usuários e cadastradores devem manter suas senhas de acesso secretas, não podendo deixar qualquer sistema em condições de ser acessado por terceiros.

Art. 12. O tráfego de informações em rede deve ser protegido contra danos, perdas, indisponibilidades ou uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.

Art. 13. As redes locais e microcomputadores da PGFN devem adotar e manter procedimentos de backup e recuperação, procedimentos de combate a vírus, bem como utilizar somente softwares autorizados.

Parágrafo único. As estações de trabalho instaladas nas redes locais da PGFN devem possuir controle de acesso lógico individual.

Art. 14. É responsabilidade do Titular da Unidade iniciar ação preventiva e corretiva apropriada para corrigir os desvios com relação às normas desta Portaria ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato aos Gestores dos sistemas informatizados da PGFN.

Art. 15. O descumprimento das disposições desta Portaria caracterizará infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil.

Art. 16. O Acesso Imotivado aos serviços informatizados da PGFN constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de descumprimento de normas legais ou regulamentares, tipificada no artigo 116, incisos I e III, da Lei nº 8.112, de 11 de dezembro de 1990.

Art. 17. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional de que tratam os incisos III e VIII do artigo 116 da Lei nº 8.112, de 1990, a divulgação de dados dos sistemas informatizados para servidores da PGFN que não estejam envolvidos nos trabalhos objeto das consultas.

Art. 18. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional de revelação de segredo do qual se apropriou em razão do cargo, tipificada no inciso IX do artigo 132 da Lei nº 8.112, de 1990, a divulgação, a quem não seja servidor da PGFN e da SRF, de informações dos sistemas informatizados protegidas pelo sigilo fiscal, sujeitando o infrator à penalidade de demissão independentemente de sanção prevista no Capítulo I do Título XI do Decreto-lei nº 2.848, de 1940 (Código Penal).

Art. 19. Sem prejuízo da responsabilidade penal e civil, na forma dos artigos 121 a 125 da Lei nº 8.112, de 1990, e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, na forma dos inciso I e III do artigo 116 da Lei nº 8.112, de 1990, não proceder o servidor com o devido cuidado na guarda e utilização da senha ou cedê-la a outro servidor, ainda que habilitado.

Das Disposições Finais

Art. 20. Os Cadastradores e Usuários dos sistemas informatizados da PGFN que se encontrem habilitados na data da publicação desta Portaria devem ser recadastrados no prazo de 60 dias, sob pena de exclusão.

Art. 21. Esta Portaria entra em vigor na data de sua publicação.

CARLOS EDUARDO DA SILVA MONTEIRO"