PORTARIA Nº 701, DE 18 DE JULHO DE 2023

O PRESIDENTE DO EGRÉGIO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso das competências que lhe são conferidas pelo art. 18, incisos XII, do Regimento Interno e com fundamento no art. 35, inciso I, da Lei n. 8.112, de 11.12.1990, com redação dada pela Lei n. 9.527, de 10.12.1997,

CONSIDERANDO os termos da Resolução 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), as diretrizes para sua governança, gestão e colaboração tecnológica;

CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;

CONDIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V. 8.;

CONSIDERANDO a necessidade de definir processos para o uso de recursos criptográficos; e

CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral Amazonas;

RESOLVE:

Art. 1º Fica instituído Instrução Normativa para o Uso de Recursos Criptográficos, no âmbito do Tribunal Regional Eleitoral Amazonas.

Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

CAPÍTULO I
DAS DEFINIÇÕES

Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE n. 444/2021.

Art. 4º O uso de recursos criptográficos visa proteger a confidencialidade, a integridade e a autenticidade dos dados transmitidos pelas redes de computadores, assim como dos dados em repouso, armazenados em servidores, microcomputadores, dispositivos móveis e bancos de dados.

CAPÍTULO II
DA CRIPTOGRAFIA DOS DADOS EM TRÂNSITO

Art. 5º É obrigatório o uso de protocolo seguro, como HTTPS, em todos os sistemas e portais web, independentemente de serem acessados pela rede interna ou pela Internet.

Art. 6º Toda comunicação cliente/servidor, onde trafeguem dados pessoais ou e senhas,logins deve utilizar protocolos de comunicação segura.

CAPÍTULO III
DA CRIPTOGRAFIA DOS DADOS ARMAZENADOS

Art. 7º Os dados pessoais sensíveis armazenados em servidores e bancos de dados, devem adotar técnicas de criptografia ou anonimização, visando diminuir o risco em caso de vazamento de dados.

Art. 8º As cópias de segurança (backups) que contenham dados pessoais sensíveis devem adotar técnicas de criptografia, visando diminuir o risco em caso de vazamento de dados.

Art. 9º Os computadores, notebooks e dispositivos móveis, de propriedade da Justiça Eleitoral, utilizados em trabalho remoto, devem ter seus discos rígidos protegidos por criptografia, visando diminuir o risco de vazamento de dados em caso de furto.

CAPÍTULO IV
DA ASSINATURA DIGITAL

Art. 10º O Tribunal deverá distribuir e gerenciar certificados para assinatura digital, sejam do tipo A1 (arquivo digital com senha, fornecido pela STI) ou A3 (token, fornecido pela SJD), de acordo com as necessidades do usuário interno e com os procedimentos técnicos adotados.

Art. 11º Os certificados digitais poderão ser utilizados como segundo fator de autenticação (2FA) em computadores ou sistemas, de acordo com a sua criticidade e disponibilidade da tecnologia.

CAPÍTULO V
DA AUTORIDADE CERTIFICADORA

Art. 12º O TRE-AM poderá manter Infraestrutura de Chaves Públicas (ICP) própria para uso em sistemas e computadores de uso interno, sendo permitido o modelo de AC (autoridade certificadora) auto assinada.

Art. 13º Os certificados digitais instalados em servidores e sistemas Web com acesso pela Internet deverão utilizar certificados digitais fornecidos por AC (autoridade certificadora) comercial, visando a compatibilidade com os computadores e dispositivos móveis dos usuários externos.

CAPÍTULO VI
DAS RESPONSABILIDADES

Art. 14º Compete à STI, por meio de suas Áreas Técnicas:

I. Implementar o nível adequado de criptografia nos sistemas e dispositivos.
II. Adquirir e gerenciar os certificados digitais para usuários.
III. Implementar e manter Infraestrutura de chaves públicas interna.
IV. Adquirir e gerenciar os certificados digitais para servidores e aplicações.
V. Informar ao Comitê Gestor de Segurança da Informação e de Gerenciamento de Crises Cibernéticas eventuais não-conformidades.

Art. 15º Cabe ao usuário:

I. Zelar pela sua segurança do certificado digital recebido, não compartilhando o seu uso e a sua senha com terceiros;
II. Assinar termo de compromisso no ato do recebimento de certificado digital;
III. Informar imediatamente à STI em caso de extravio ou comprometimento do certificado digital para adoção das providências de revogação;
IV. Estar ciente de que a assinatura ou login feitos por meio de certificado digital são irretratáveis, não cabendo repúdio.

CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS

Art. 16º No caso algum equipamento, aplicação, aplicativo, sistema ou banco de dados não permitir a adoção de protocolos seguros, a informação deverá constar em documento de análise de riscos de segurança da informação, sendo imediatamente submetido para apreciação do Comitê Gestor de Segurança da Informação.

Art. 17º A STI elaborará, em até 120 (cento e vinte dias) dias, os procedimentos operacionais para aplicação desta norma, que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 18º Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas.

Art. 19º Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 20º Esta norma complementar deverá ser revisada a cada 12 (doze) meses pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas, sempre que se fizer necessário ou conveniente à este Tribunal.

Art. 21º Esta Política deve ser publicada no portal de intranet do Tribunal pelo Comitê de Segurança da Informação.

Art. 22º Esta Portaria entra em vigor na data de sua publicação.

Publique-se e cumpra-se.

Desembargador JORGE MANOEL LOPES LINS
Presidente do TRE - AM