O Secretário da Fazenda, tendo em vista a necessidade de disciplinar os direitos e as obrigações dos usuários de ativos tecnológicos da Secretaria da Fazenda - Sefaz,

Resolve:

Art. 1º Ficam disciplinados, nos termos desta Portaria, os direitos e as obrigações dos usuários de ativos tecnológicos da Sefaz, que exerçam atividades no âmbito da Secretaria, bem como a qualquer pessoa ou empresa que venha a ter acesso a dados ou informações, em qualquer meio ou suporte.

§ 1º Os ambientes, sistemas, computadores e redes da Sefaz poderão ser monitorados e registrados, conforme previsto nas leis brasileiras.

§ 2º As dúvidas porventura existentes, relativas ao disposto nesta Portaria, deverão ser, conforme o caso, dirimidas pelo Gerente da respectiva área do usuário ou da área de tecnologia da informação.

Art. 2º Cabe ao usuário de ativos tecnológicos da Sefaz:

I - processar informações institucionais e utilizar ativos tecnológicos para o exercício de suas atividades ou seu desenvolvimento profissional;

II - utilizar racionalmente os recursos e suprimentos de computação, rede e impressão;

III - bloquear o acesso ao computador, sempre que não puder monitorá-lo, desligando-o, ao término do expediente;

IV - aplicar as correções de segurança no computador, sempre que o sistema operacional indicar essa necessidade;

V - notificar a Superintendência de Tecnologia da Informação - STI sobre a existência de qualquer fraude, sabotagem, desvio ou falha na segurança da informação de que tenha conhecimento;

VI - efetuar movimentação, desde que autorizada e devidamente registrada no Sistema de Patrimônio, de bens de informática entre as diferentes unidades da Sefaz;

VII - tratar a informação produzida pelos sistemas fazendários como um bem, disponibilizando-a de forma legal e apenas para pessoas autorizadas;

VIII - efetuar cópia de segurança de informações sensíveis para sua pasta de rede mantida pela STI, quando houver;

IX - proteger a confidencialidade dos dados armazenados em memórias e equipamentos portáteis fora das instalações da Sefaz, quando autorizado a obter cópia dos referidos dados;

X - não divulgar, sem justa causa, as informações obtidas através dos sistemas fazendários, em especial as sigilosas ou reservadas, assim definidas em lei;

XI - não promover ou facilitar a inserção de dados falsos, bem como alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública, com o fim de obter vantagem indevida para si ou para terceiros ou de causar dano;

XII - não modificar ou alterar sistemas de informações sem autorização;

XIII - não facilitar, especialmente por meio de atribuição, fornecimento ou empréstimo de senha, o acesso de pessoas não autorizadas a sistemas de informações ou a banco de dados da Administração Pública; e

XIV - preservar os direitos autorais de software comercial utilizado pela Sefaz, restringindo-se a usar apenas os programas de computador distribuídos e mantidos pela STI.

§ 1º Em caso de dúvida acerca da natureza confidencial de determinada informação, o usuário deverá mantê-la sob sigilo, até que seja autorizada
expressamente, pela chefia, a adoção de tratamento diferenciado, se for o caso.

§ 2º Relativamente ao disposto no § 1º, em nenhuma hipótese, a ausência de manifestação expressa da Sefaz poderá ser interpretada como autorização para divulgação da informação.

Art. 3º É proibido ao usuário em exercício na STI, no desempenho de suas atividades, sem prejuízo do disposto nos arts. 1º e 2º:

I - divulgar, por qualquer meio:

a) listagens e documentos, em qualquer mídia, com informações confidenciais;

b) documentos relativos a estratégias econômicas, financeiras, de investimentos, de captações de recursos e respectivas informações, armazenadas sob qualquer forma, inclusive em qualquer tipo de mídia;

c) metodologias e ferramentas de desenvolvimento de produtos e serviços, desenvolvidas pela Sefaz ou por terceiros, de propriedade da Secretaria;

d) valores e informações de natureza operacional, referentes às áreas de engenharia, de planejamento, financeira, administrativa, contábil e jurídica;

e) informações e documentos sigilosos utilizados na execução de seus serviços;

f) informações contidas em bancos de dados da Sefaz;

g) informações classificadas e protegidas com sigilo fiscal, conforme previsto na legislação pertinente; e

h) quaisquer outras informações ou dados confidenciais que já existam ou venham a ser assim definidos;

II - explorar vulnerabilidades que possam comprometer a disponibilidade, integridade e confidencialidade de bancos de dados, aplicativos e computadores da Sefaz; e

III - praticar as seguintes ações, sem a expressa autorização da Gerência competente da área de tecnologia da informação:

a) mudanças em bancos de dados, aplicativos e servidores;

b) acesso ou utilização de logins de serviços de produção, com finalidade diferente da que tenha sido autorizada;

c) alteração do código fonte dos sistemas fazendários; e

d) execução de jobs no ambiente de produção.

Art. 4º Mediante solicitação expressa e fundamentada da Diretoria ou Superintendência na qual o usuário tenha exercício, a STI poderá autorizar, extraordinariamente, o uso de computador portátil particular na Sefaz a:

I - agente público lotado na Sefaz, cujas atribuições requeiram deslocamento físico entre os prédios; e

II - prestador de serviço contratado para executar serviço temporário.

Art. 5º Na hipótese do uso de computador portátil da Sefaz, fora das suas instalações, o usuário poderá utilizar conta local da máquina para navegar na Internet.

Art. 6º Relativamente à identificação e à senha de sistemas, o usuário deverá observar o seguinte:

I - a sua identificação em sistemas fazendários (login), criada pela STI a pedido do respectivo Gerente, gera direitos de acesso restritos à função e ao cargo ocupados;

II - a identificação referida no inciso I poderá ser provida na forma de uma conta, composta, geralmente, pelo nome e sobrenome do usuário, separados por um sinal de pontuação, ou por um certificado digital;

III - o uso da conta é feito através de uma senha pessoal e intransferível ou através de um PIN (Personal Identification Number - número de identificação pessoal), no caso de certificado digital;

IV - a conta ou o certificado digital representam a assinatura eletrônica do uso dos sistemas fazendários, sendo o usuário responsável pelos atos executados nesses sistemas; e

V - deve ser preservado o sigilo da senha ou número de identificação pessoal (PIN).

§ 1º Os atos executados pelo usuário em ativos tecnológicos são comprovados por trilhas de auditoria e por arquivos de registros de atividades (log).

§ 2º É vedado o uso da conta de administrador, salvo autorização expressa da STI.

Art. 7º Relativamente ao uso da navegação na Internet:

I - cabe ao Gerente, em relação a seus subordinados, a responsabilidade pela autorização do seu acesso inicial; e

II - deve atender ao desempenho das funções do usuário, não sendo admitido o acesso a:

a) conteúdo ideológico que possa vincular a Sefaz a qualquer corrente político-partidária;

b) conteúdo que faça apologia a qualquer conduta criminosa, como racismo ou uso de drogas;

c) conteúdo pornográfico;

d) salas de bate-papo ou sítios de relacionamento fora dos interesses da Sefaz;

e) propagação proposital de vírus eletrônico; e

f) cópia de arquivos ou softwares que violem direitos autorais.

Art. 8º Quanto ao correio eletrônico:

I - é o meio de comunicação institucional e preferencial utilizado para informar atos e fatos administrativos que não tramitem por sistemas fazendários;

II - a comunicação deve estar restrita aos agentes por ela afetados;

III - a comunicação que contém documentos protegidos por sigilo fiscal deve ser criptografada com a chave pública do destinatário; e

IV - não deve o usuário utilizar serviço de terceiros para comunicar atos e fatos administrativos da Sefaz.

Art. 9º Quanto ao acesso e uso das redes sociais, serviços de transmissão de vídeo ou áudio sob demanda:

I - a comunicação institucional da Sefaz nas redes sociais compete exclusivamente à Diretoria de Comunicação - DICOM, sendo vedado, aos usuários não autorizados, veicular comunicação institucional nessas mídias;

II - o acesso e uso de redes sociais através dos recursos de informática da Sefaz é permitido mediante justificativa da efetiva necessidade das Diretorias envolvidas;

III - quando autorizado, o acesso às redes sociais e a serviços de transmissão deve ser efetuado de forma comedida e preferencialmente em horário de baixo tráfego de rede, como no horário de almoço ou no final do expediente;

IV - aplicativos de mensagens instantâneas, para troca de informações fiscais entre agentes públicos, devem manter comunicação criptografada ponta a ponta, tal como a proteção via https;

V - o registro da comunicação efetuada nos aplicativos, motivada para cumprir atos ou processos administrativos de forma célere e tempestiva, deve ser
copiado para a caixa postal dos agentes públicos envolvidos, bem como para a autoridade administrativa que gerencia os referidos atos ou processos;

VI - é vedado o uso de aplicativos de mensagens instantâneas através da rede interna da Sefaz, quando executados nas estações de trabalho, excetuando-se os casos motivados por necessidade das Diretorias, expressamente solicitados e justificados através da abertura de incidente; e

VII - a STI poderá suspender, de ofício, o acesso de usuários cujas atividades na Internet e em redes sociais contrariem as disposições previstas nesta Portaria ou que comprometam o regular funcionamento do serviço da Sefaz.

Art. 10. Quanto ao uso da rede interna da Sefaz, através de acesso remoto:

I - o acesso remoto deve ser utilizado de forma acessória às atividades do usuário;

II - o acesso remoto é provido mediante expressa solicitação da Gerência do usuário, que deverá conter informações sobre a necessidade, a adequação às atividades do usuário, bem como o período do início e fim de acesso;

III - a solicitação é realizada através de incidente no sistema de atendimento;

IV - o usuário com acesso remoto autorizado acessará os sistemas e recursos de informática especificamente informados na solicitação;

V - os usuários autorizados ao acesso remoto devem proteger suas credenciais (login e senha) e, em nenhum momento, devem disponibilizar, para outra pessoa, sua senha de rede, e-mail, VPN, ou qualquer informação de acesso; e

VI - os usuários com acesso remoto autorizado se comprometem a não permitir que outras pessoas utilizem seu perfil de acesso remoto.

Art. 11. Quanto à guarda dos dados e documentos da Secretaria, criados e mantidos sob a forma de arquivos de computador, em serviço de armazenamento e sincronização de arquivos na Internet:

I - deve ser realizada através de serviço próprio provido pela Sefaz;

II - serviços de terceiros podem ser utilizados nas unidades fazendárias cujas atividades prescindam desse meio de armazenamento para consecução de sua atividade-fim;

III - as solicitações de uso de serviço de terceiros devem ser fundamentadas e autorizadas pelo Gerente da área do usuário e arquivadas para fins de auditoria; e

IV - a STI poderá suspender, de ofício, o acesso de usuários cuja transferência de arquivos comprometa a comunicação de dados da Sefaz.

Art. 12. A utilização das pastas compartilhadas, mantidas nas instalações físicas da Sefaz, deve atender ao desempenho das funções do usuário, não se admitindo o uso para fins pessoais.

Art. 13. O descumprimento das normas previstas na presente Portaria será comunicado pela STI ao Gerente da área do usuário, que deverá tomar as medidas cabíveis.

Art. 14. Para efeito do disposto nesta Portaria:

I - relativamente à Internet e às pastas compartilhadas:

a) presume-se legítimo e autorizado o seu uso pelo Auditor Fiscal do Tesouro Estadual no exercício de suas atividades;

b) servidores administrativos, servidores de outros órgãos ou entidades da Administração Pública e prestadores de serviço na Sefaz devem ter o acesso aos serviços concedido mediante solicitação da respectiva Diretoria ou Gerência; e

c) o acesso de estagiários aos serviços informatizados é limitado ao período estabelecido no respectivo contrato de estágio; e

II - considera-se:

a) usuário: aquele que exerce, embora transitoriamente, cargo, emprego ou função pública, processa informações institucionais da Sefaz ou utiliza recursos de informática alocados na Secretaria, como bancos de dados, sistemas de informação, computadores, impressoras, suprimentos, redes de dados, e outros recursos tecnológicos disponibilizados pelo órgão;

b) equiparado a usuário: aquele que trabalha para empresa prestadora de serviço contratada ou conveniada para a execução de atividade da Administração Pública, bem como as pessoas que exercem estágio profissional nas dependências da Sefaz; e

c) ativos tecnológicos: bens que têm expressão financeira e processam ou armazenam dados, podendo ser:

1. materiais, como computadores e dispositivos de armazenamento e comutação de dados; ou

2. imateriais, como sistemas de informação, direito de licença de software e dados sensíveis ou protegidos pelo sigilo fiscal.

Art. 15. Esta Portaria entra em vigor na data de sua publicação.

Art. 16. Revoga-se a Portaria SF nº 81, de 27.4.2012.

MARCELO ANDRADE BEZERRA BARROS

Secretário da Fazenda