PORTARIA Nº 973, DE 12 DE dezembro DE 2025

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DA BAHIA, no uso das atribuições regimentais,

CONSIDERANDO o disposto na Resolução TSE n.º 23.644, de 1º de julho de 2021, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO o disposto na Portaria n.º 405, de 17 de agosto de 2021, que regulamenta a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral da Bahia; e

CONSIDERANDO o disposto no Processo SEI n.º 0019253-12.2025.6.05.8000, 

RESOLVE:

Art. 1º Alterar a redação dos arts. 4º e 5º e do Anexo II e incluir o Anexo XVI na Portaria n.º 356, de 04 de julho de 2018, da Presidência, que passam a vigorar com a seguinte redação: 

“...............................................................................................

Art. 4º Os casos omissos deverão ser submetidos ao Comitê de Governança de Segurança da Informação (CGSI) para deliberação.

Art. 5º A Assessoria de Gestão de Segurança da Informação disponibilizará os anexos deste normativo no sítio eletrônico (intranet e internet) deste Tribunal.

...............................................................................................” (NR) 

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

 

ANEXO II

NSI-002 – Gestão de Identidade e Controle de Acesso Físico e Lógico

 

1. Objetivo e Âmbito de Aplicação

1.1. São objetivos desta norma:

I - Estabelecer diretrizes para gestão de identidade e controle de acesso físico e lógico relativos à segurança da informação no âmbito do Tribunal Regional Eleitoral da Bahia (TRE-BA);

II - Assegurar a confidencialidade, integridade e disponibilidade dos ativos de informação e comunicação sob a responsabilidade deste Tribunal.

1.2. Os usuários de TIC são corresponsáveis pela segurança da informação e comunicação, de acordo com os preceitos estabelecidos neste normativo.

1.3. Os usuários de ativos de TI são responsáveis por:

a) manter o ambiente seguro, incluindo criação de senhas seguras, conforme os padrões estabelecidos nesta norma;

b) manter a confidencialidade das informações acessadas;

c) informar imediatamente qualquer risco identificado ou presumido à segurança da instituição.

 

2. Princípios

2.1. O controle de acesso é regido pelos seguintes princípios:

I - Necessidade de saber: os usuários deverão ter acesso somente às informações necessárias ao desempenho de suas tarefas;

II - Necessidade de uso: os usuários deverão ter acesso apenas aos ativos (equipamentos de TI, sistemas, aplicações, procedimentos, salas) necessários ao desempenho de suas tarefas;

III - Privilégio mínimo: deverão ser conferidos apenas os privilégios necessários para que o usuário realize a sua função na organização;

IV - Segregação de funções: as funções desempenhadas no controle de acesso se dividem em pedido de acesso, autorização de acesso e administração de acesso.

 

3. Referências Normativas

3.1. Instrução Normativa GSI nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal.

3.2. Portaria TSE nº 262, de 08 de abril de 2024, que dispõe sobre o Controle de Acesso Físico e Lógico Relativos à Segurança das Informações e Comunicações do Tribunal Superior Eleitoral.

3.3. Norma Técnica ABNT NBR ISO/IEC 27001, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.

3.4. Norma Técnica ABNT NBR ISO/IEC 27002, que fornece diretrizes para práticas de gestão de segurança da informação.

 

4. Conceitos e Definições

4.1. Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria TSE nº 444/2021, aplicando-se, de forma subsidiária, aqueles estabelecidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, regulamentado por meio da Portaria GSI/PR n.º 93, de 18 de outubro de 2021.

 

5. Do Gerenciamento de Acesso Lógico

5.1. O acesso aos sistemas de informação será assegurado, unicamente, ao usuário devidamente identificado e autorizado.

5.1.1. As credenciais de acesso são pessoais e intransferíveis, sendo vedado o compartilhamento de credenciais em qualquer situação, inclusive nas hipóteses de substituição temporária de função.

5.1.2. Todas as ações e atividades executadas pelo usuário, utilizando suas credenciais de acesso, serão de sua exclusiva responsabilidade, bem como os possíveis danos decorrentes de uso indevido, devendo zelar pelo sigilo de seu acesso.

5.1.3. As regras de controle de acesso deverão ser baseadas na premissa de mínimo privilégio, para atendimento das demandas de trabalho do usuário.

5.2. Compete aos gestores de sistemas estabelecer regras de concessão, bloqueio e revogação de acesso dos usuários, levando em conta as políticas, princípios e normas de controle de acesso específicas aplicáveis a cada ativo.

5.3. A concessão e a revogação de acesso serão implementadas por meio de um processo formal, preferencialmente automatizado, com estabelecimento de responsáveis pela solicitação, administração, concessão, bloqueio e revogação.

5.3.1. As contas deverão ser desabilitadas, em vez de excluídas, para preservação de trilhas de auditoria.

5.4. Os usuários devem possuir identificação única e exclusiva para permitir relacioná-la às suas ações e responsabilidades.

5.5. Os acessos à rede, serviços e aos sistemas computacionais disponibilizados pelo TRE-BA deverão ser solicitados à Secretaria de Tecnologia da Informação e Comunicação (STI), por meio da Central de Serviços de TIC, quando serão definidos os níveis de acesso adequados às atividades desenvolvidas.

5.6. Compete à chefia imediata, ao gestor do sistema ou ao gestor de contrato solicitar à Secretaria de Tecnologia da Informação e Comunicação:

I – a concessão dos acessos necessários ao desenvolvimento das atividades dos servidores efetivos, requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários vinculados a sua unidade ou de prestadores de serviço de contrato sob sua gestão;

II – a alteração dos níveis de acesso ou a remoção do acesso a sistemas concedidos a servidores efetivos, requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários da unidade ou a prestador de serviço de contrato sob sua gestão, sempre que necessária sua adequação às atividades desenvolvidas;

III – a remoção dos acessos concedidos a servidores efetivos, requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários ou a prestador de serviço de contrato sob sua gestão, imediatamente após o seu afastamento ou desligamento da unidade ou do contrato;

5.6.1. Quando necessária a concessão, alteração ou remoção de acesso de magistrado, a solicitação deverá ser efetuada pela chefia de cartório, no caso de juízes eleitorais, e pela Secretaria Judiciária, em se tratando de membros da Corte.

5.7. Em redes locais, especialmente de postos de atendimento, os procedimentos de concessão, alteração e remoção de acesso deverão ser executados pelo respectivo chefe de cartório, podendo ser por ele delegada a outra pessoa, sem, no entanto, haver transferência de responsabilidade.

5.8. A não solicitação da alteração ou remoção de acesso no momento oportuno poderá ensejar à chefia a responsabilização pelo acesso indevido a informações da unidade.

5.9. Compete a Secretaria de Gestão de Pessoas (SGP) cadastrar em sistema próprio os casos de falecimento, exoneração, demissão, redistribuição, aposentadoria, remoção e cedência a outro órgão, retorno à origem, ou término do estágio de estudantes, imediatamente após a ocorrência do ato, para remoção automatizada dos acessos concedidos aos usuários.

5.9.1. No caso de terceirizados, este cadastramento caberá aos gestores de contratos.

5.10. Os usuários aposentados, afastados e cedidos ou removidos para outros órgãos, terão acesso aos serviços administrativos via Extranet.

5.11. A Secretaria de Tecnologia da Informação e Comunicação comunicará à unidade respectiva sobre a efetivação do cadastro, fornecendo as informações necessárias ao acesso.

5.12. Os direitos de acessos dos usuários deverão ser revisados em intervalos regulares, bem como após mudança de função, alteração de lotação ou desligamento.

5.12.1. Compete ao gestor de sistema realizar a revisão de direitos de acesso ao ativo sob sua responsabilidade.

5.13. As solicitações de concessão de acesso aos recursos tecnológicos do TRE-BA a prestadores de serviço deverão ser acompanhadas da respectiva justificativa, inclusive quanto ao prazo de concessão (temporário ou indeterminado).

5.14. A Secretaria de Tecnologia da Informação e Comunicação efetuará bloqueio automático das credenciais de acesso dos usuários que não realizaram acesso por mais de 90 (noventa) dias consecutivos, incluindo servidores aposentados, cedidos e licenciados.

5.14.1. O desbloqueio de credencial será realizado pela Secretaria de Tecnologia da Informação e Comunicação, mediante solicitação do titular da unidade vinculada ao usuário ou da Secretaria de Gestão de Pessoas.

5.15. É dever do chefe da unidade ou do gestor do contrato garantir que o novo usuário dos serviços de TIC tome pleno conhecimento dos normativos de segurança da informação do Tribunal.

 

6. Do Acesso Privilegiado

6.1. O acesso privilegiado aos sistemas e ativos de informação somente será concedido aos usuários que tenham como atribuição funcional o dever de administrá-los.

6.1.1. É responsabilidade da chefia imediata solicitar a concessão, a alteração e a remoção dos acessos privilegiados dos seus subordinados.

6.2. A credencial de acesso privilegiado é de uso pessoal e intransferível, qualificando o usuário, inequivocamente, como responsável por quaisquer acessos e ações realizados com a sua credencial, bem como pelos possíveis danos decorrentes de uso indevido.

6.3. Os direitos de acesso dos usuários privilegiados devem ser revistos trimestralmente, bem como após qualquer mudança de nível institucional que implique em realocação de pessoas, unidades ou papéis, considerando ainda a consistência entre os direitos de acesso e as necessidades e requisitos de segurança.

 

7. Da Concessão do Acesso à Rede, Sistemas e Serviços de Rede

7.1. A gestão de credenciais de usuários e o controle de acesso se darão de forma centralizada, por meio de serviço de diretório, restrito e controlado pela Secretaria de Tecnologia da Informação e Comunicação.

7.1.1. Os direitos de acesso lógico dos usuários à rede corporativa devem ser definidos por meio de credencial e perfil de acesso, de acordo com a sua alocação e função.

7.2. A criação de nomes de usuário e de contas de e-mail seguirá os seguintes critérios:

7.2.1. A identificação de usuário se dará por meio do número de seu título eleitoral, contendo 12 (doze) dígitos.

7.2.2. Cada usuário receberá também um identificador alternativo, sendo formado pelo prenome, seguido do ponto (.) e do último sobrenome, no estilo prenome.sobrenome.

7.2.2.1. Em situações justificadas, poderá ser utilizado outro prenome ou sobrenome para a composição da identificação.

7.3. É vedada a criação de conta de acesso à rede e aos sistemas de informática para
colaboradores menores de idade, sendo permitido o acesso local à estação de trabalho, bem como acesso à intranet e ao Portal dos Servidores.

 

8. Política de Senhas

8.1. Os sistemas ou serviços de informação, considerados passíveis de controle de acesso, devem ter seu acesso restrito e controlado através do uso de senhas, token ou mecanismo de autenticação similar.

8.1.1. O acesso remoto à rede, o acesso administrativo e o acesso a aplicações expostas externamente se darão por autenticação multifatorial (MFA).

8.1.2. A STI poderá implantar a autenticação de multifatores para determinados tipos de acesso, em função de sua criticidade.

8.2. As senhas de acesso do usuário, tokens e outros fatores de autenticação devem ser de uso pessoal e intransferível.

8.3. Na utilização das credenciais de acesso, compete ao usuário observar as recomendações a seguir indicadas, bem como adotar outras medidas de segurança de caráter pessoal, com vista a impedir o uso não autorizado dos recursos de tecnologia da informação a partir de sua conta de acesso:

I – não compartilhar a senha com outras pessoas;

II – não armazenar senhas em local acessível por terceiros, sob pena de responsabilização pelos acessos indevidos.

III – não utilizar senhas com frases ou palavras que possam ser facilmente adivinhadas por terceiros, baseadas em informações relativas ao próprio usuário, tais como nome de parentes, datas de aniversário e números de telefone;

IV – não utilizar senhas formadas por sequência de caracteres triviais, tais como 123456 ou abcde, ou senhas simples que repitam a identificação do usuário, como, por exemplo, usuário joao.silva e senha joao.silva;

V – ao ausentar-se de sua estação de trabalho, ainda que temporariamente, o usuário deverá encerrar ou bloquear a sessão;

VI – não utilizar o recurso de salvamento automático das senhas institucionais nos navegadores;

VII – não utilizar as mesmas credenciais (nome de usuário e senha institucionais) para fins particulares e profissionais, sob pena de responsabilização pelos acessos indevidos.

8.4. A senha deverá satisfazer os seguintes requisitos de complexidade:

I – não conter o identificador da conta do usuário (login) ou mais de dois caracteres consecutivos de partes de seu nome completo;

II – ter pelo menos oito caracteres;

III – conter caracteres de, no mínimo, três das quatro categorias a seguir:

a) caracteres maiúsculos (A-Z);

b) caracteres minúsculos (a-z);

c) números (0 a 9);

d) caracteres especiais (!, $, #, % etc.).

8.4.1. Excetuam-se ao quanto estabelecido no item 8.4. os sistemas atualmente disponibilizados que não permitam o atendimento aos requisitos estabelecidos.

8.5. A senha temporária, para primeiro acesso ou no caso de o usuário esquecer a sua senha, deverá ser emitida através de procedimento instruído pela equipe de suporte da Secretaria de Tecnologia da Informação e Comunicação.

8.5.1. Fica vedada a emissão de senha para ciência de terceiros, ainda que chefes imediatos ou superiores do usuário, bem como o seu envio através de texto claro ou correio de terceiro.

8.6. É responsabilidade do usuário a alteração da senha inicial fornecida pela Secretaria de Tecnologia da Informação e Comunicação no primeiro acesso realizado.

8.7. Em caso de suspeita de comprometimento da senha ou de outro recurso de autenticação, o usuário comunicará imediatamente Central de Serviços de TIC, que poderá, como medida preventiva, suspender temporariamente o acesso.

 

9. O Sistema de Gerenciamento de Senha deve:

9.1. Permitir que os usuários selecionem e modifiquem suas próprias senhas, incluindo procedimento de confirmação para evitar erros;

9.2. Forçar as mudanças de senha em intervalos regulares de, no máximo, 180 (cento e oitenta) dias, conforme necessidade;

9.3. Manter registro, no mínimo, das 10 (dez) senhas anteriores utilizadas e bloquear sua reutilização;

9.4. Armazenar e transmitir as senhas de forma protegida;

9.5. Não mostrar as senhas na tela quando forem digitadas;

9.6. Garantir a modificação das senhas temporárias no primeiro acesso ao sistema ou serviço de informação.

9.7. Monitorar tentativas de acesso a contas desativadas.

 

10. Procedimentos Seguros de Entrada no Sistema

10.1. O procedimento adequado de entrada no sistema (login) deve atender às seguintes recomendações:

I - não fornecer mensagens de ajuda ou informações do sistema, durante o procedimento de entrada, que possam auxiliar usuário não autorizado;

II - validar informações de entrada no sistema somente após todos os dados estarem completamente preenchidos;

III - em caso de erro, não indicar qual parte do dado de entrada está correta ou incorreta;

IV - bloquear o acesso do usuário ao sistema após, no máximo, 10 (dez) tentativas de entrada no sistema;

V - registrar tentativas de acesso ao sistema, sem sucesso e bem-sucedidas;

VI - por ocasião da entrada no sistema, mostrar as seguintes informações:

a) data e hora da última entrada no sistema ou equipamento, com sucesso; e

b) detalhes de qualquer tentativa sem sucesso de entrada no sistema;

VII - encerrar sessões inativas, após um período definido de inatividade de, no máximo, 10 minutos;

VIII - em caso de uso externo, o tempo de conexão deverá ser restringido para reduzir oportunidade de acesso não autorizado.

 

11. Do Controle de Acesso ao Código-Fonte de Programas

11.1. O código-fonte e os itens associados (esquemas, especificações, planos de validação, etc.) dos sistemas de informação desenvolvidos pelo Tribunal somente serão acessíveis aos usuários que tenham como atribuição funcional seu desenvolvimento, manutenção ou outra atividade para a qual o acesso seja imprescindível.

11.2. As bibliotecas de código-fonte e de itens associados devem ser armazenadas em ferramentas apropriadas para esse fim, em ambientes segregados dos sistemas operacionais em que os respectivos sistemas de informação sejam executados.

11.3. Os eventos de acesso às bibliotecas de código-fonte e de itens associados devem ser registrados, de forma a permitir sua auditoria.

11.4. Códigos-fonte que sejam publicados para entidades externas devem contar com controles adicionais que garantam sua integridade.

 

12. Registros (log) de Eventos

12.1. Serão mantidos, por um período mínimo de 3 (três) meses, os registros dos acessos dos usuários e dos acessos privilegiados aos recursos tecnológicos disponibilizados pelo TRE-BA, inclusive para fins de apuração e comprovação de incidentes de segurança.

12.1.2. Serão registrados os seguintes dados:

I – identificação de usuário de quem efetuou o acesso;

II – data e hora de entrada e saída do sistema;

III – origem do acesso;

IV – erros ou falhas de conexão e acesso;

V – troca de senhas de Serviços de Infraestrutura de TI;

VI – outras informações que venham a ser necessárias para os controles de segurança.

 

13. Controle de Acesso Físico

13.1. Do Perímetro de Segurança

13.1.1. Fica estabelecido, por meio deste normativo, que as instalações de processamento e armazenamento da informação (datacenter) e das demais áreas de TI que contenham informações críticas ou sensíveis serão tratados como perímetro de segurança física devendo receber proteção adequada e compatível com a importância dos ativos de informação.

13.1.2. As instalações do datacenter devem atender às seguintes diretrizes:

I - paredes fisicamente sólidas, sem brechas nem pontos por onde possa ocorrer uma invasão, portas protegidas por mecanismos de controle contra acesso não autorizado;

II - videomonitoramento de sua área interna e de seu perímetro;

III - controle de acesso físico às áreas e instalações, sob a responsabilidade da Secretaria de Tecnologia da Informação e Comunicação (STI), utilizando-se dos mecanismos necessários para o controle e registro de data e hora de todas as entradas e saídas, sejam de servidores, visitantes ou prestadores de serviço, permitindo-lhes o acesso, desde que previamente autorizados;

IV- mecanismos de controle de acesso às áreas críticas, conforme definido pela Secretaria de Tecnologia da Informação e Comunicação;

V - instalações de processamento e armazenamento das informações que sejam projetadas para minimizar os riscos de ameaças físicas potenciais;

VI - edifícios que sejam dotados de proteção contra raios e que, em todas as linhas de entrada de força e de comunicações, tenham filtros de proteção contra raios;

VII - alimentações de energia elétrica e telecomunicações, com rotas físicas diferentes;

VIII - iluminação e comunicação de emergência;

IX - sistema de controle de temperatura e umidade com recurso de emissão de alertas.

13.1.3. As diretrizes para proteção das demais áreas que contenham informações críticas ou sensíveis que não estejam armazenadas no datacenter devem ser estabelecidas pelo Comitê de Governança de Segurança da Informação, observadas as legislações vigentes.

 

13.2. Dos Equipamentos de Processamento e Armazenamento

13.2.1. Para evitar perdas, danos, furtos ou comprometimento de ativos e interrupção das operações da organização, o Tribunal deverá observar as seguintes diretrizes:

I - adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais;

II - verificar se os suprimentos de energia elétrica, telecomunicações, água, gás, esgoto, calefação/ventilação e sistema de ar-condicionado estejam em conformidade com as especificações do fabricante do equipamento e com os requisitos legais da localidade;

III - adotar controles para evitar a retirada de equipamentos do Tribunal sem prévia autorização da unidade competente, conforme regulamentação específica;

IV - utilizar, sempre que possível, racks que disponham de fechaduras com chave ou mecanismo semelhante, garantindo que apenas a(s) equipe(s) responsáveis pelos ativos instalados nos racks possam acessá-los fisicamente.

 

13.3. Da Segurança do Cabeamento

13.3.1. O cabeamento de energia elétrica e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação, interferência ou danos, conforme as seguintes diretrizes:

I - as linhas de energia elétrica e de telecomunicações que entram nas instalações de processamento da informação devem ser subterrâneas ou ficar abaixo do piso, sempre que possível, e devem atender aos requisitos mínimos de proteção;

II - os cabos de energia elétrica devem ser segregados dos cabos de comunicação, para evitar interferências.

 

13.4. Da Manutenção Externa dos Equipamentos

13.4.1. A manutenção dos equipamentos de processamento de informações deve seguir as seguintes diretrizes:

I - ser realizada somente por pessoal de manutenção identificado e autorizado;

II - manter registro de todas as falhas, constatadas ou suspeitas, e de todas as operações de manutenção preventiva e corretiva realizadas;

III - eliminar as informações sensíveis do equipamento, quando possível, ou tratar de forma alternativa os riscos de sua exposição;

IV - inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que está em perfeito funcionamento.

 

13.5. Da Reutilização ou Descarte Seguro dos Equipamentos ou dos Equipamentos em Prova de Conceito

13.5.1. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes da reutilização ou descarte, para assegurar que dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.

13.5.2. As mídias que contenham informações com acesso restrito de propriedade intelectual devem ser apagadas fisicamente. Da mesma forma, as informações devem ser destruídas, apagadas ou sobrescritas por meio de técnicas que tornem as informações originais irrecuperáveis.

 

13.6. Da Política de Mesa Limpa e Tela Limpa

13.6.1. Informação com restrição de acesso não deve ser deixada à vista sobre mesas de trabalho ou em quaisquer outros suportes que não disponham de mecanismos de controle de acesso e deve ser destruída antes de ser descartada, seja em papel ou em meio eletrônico.

13.6.1.2. A política de mesa limpa para papéis e mídias de armazenamento removíveis deve considerar a classificação da informação, requisitos contratuais e legais e o risco correspondente.

13.6.2. Computadores pessoais e terminais de computador não devem apresentar senhas na tela e não devem permanecer logados, caso o usuário esteja ausente.

13.6.2.1. A política de tela limpa para computadores e terminais deve ser aplicada por meio de bloqueio de tela por senha, token ou mecanismo de autenticação similar.

13.6.3. Os documentos físicos contendo dados pessoais devem ser guardados em local devidamente protegido com chave, com acesso restrito a pessoas autorizadas.

 

14. Das Disposições Finais

14.1. Os casos omissos serão resolvidos pelo Comitê de Governança de Segurança da Informação (CGSI).

14.2. A revisão desta norma ocorrerá sempre que se fizer necessário, não excedendo o período máximo de 03 (três) anos.

14.3. O descumprimento desta norma será objeto de apuração pela unidade competente do TRE-BA, com a consequente aplicação das penalidades cabíveis a cada caso.

 

 

ANEXO XVI

NSI-016 – Uso de Recursos de Tecnologia da Informação

 

1. Objetivos

1.1. Estabelecer diretrizes para a utilização dos recursos de tecnologia da informação no âmbito do Tribunal Regional Eleitoral da Bahia (TRE-BA).

1.2. Preservar os ativos de informação.

1.3. Assegurar a confidencialidade, integridade e disponibilidade dos ativos de informação e comunicação sob a responsabilidade deste Tribunal.

 

2. Âmbito de Atuação

2.1. Esta norma se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que utilizam os ativos de informação e comunicação da Justiça Eleitoral.

2.1.1. Os contratos celebrados pelo Tribunal com entidades privadas ou parcerias celebradas com outros órgãos públicos, acordos de cooperação de qualquer tipo, convênios e termos congêneres que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral, deverão atender os requisitos desta política, bem como as normas referentes à proteção de dados pessoais.

2.1.2. Todos são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos neste normativo.

 

3. Conceitos e definições

3.1. Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria TSE nº 444/2021, aplicando-se, de forma subsidiária, aqueles estabelecidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, regulamentado por meio da Portaria GSI/PR n.º 93, de 18 de outubro de 2021.

 

4. Diretrizes Gerais

4.1. Os recursos de tecnologia da informação disponibilizados pelo Tribunal Regional Eleitoral da Bahia aos usuários serão utilizados em atividades relacionadas às funções institucionais e abrangem os seguintes elementos:

I – os computadores servidores, os computadores para uso individual ou coletivo, de qualquer porte, os equipamentos de armazenamento e distribuição de dados, os dispositivos móveis, as impressoras, as multifuncionais, bem como os respectivos periféricos e acessórios;

II – a rede lógica do TRE-BA e das respectivas unidades remotas (cartórios eleitorais, postos de atendimento ao eleitor e Centro de Apoio Técnico);

III – as contas de acesso dos usuários e os certificados digitais;

IV – os sistemas computacionais desenvolvidos com recursos providos pelo TRE-BA;

V – os sistemas computacionais contratados de terceiros, sob licença ou na forma de software livre ou aberto.

4.1.1. A utilização dos recursos de TI pode ser monitorada e auditada.

4.2. A Secretaria da Tecnologia da Informação e Comunicação (STI) poderá estabelecer restrições de acesso aos recursos tecnológicos, a fim de garantir a segurança cibernética do Tribunal. Poderão ser restringidos:

I – horários de acesso;

II – geolocalização; e

III - dias específicos ou feriados.

4.3. Os recursos de TI não devem ser utilizados para acessar, criar, transmitir, distribuir ou armazenar conteúdo em desrespeito às leis e regulamentações vigentes.

4.3.1. O uso indevido é passível de sanção disciplinar na forma da lei.

 

5. Estações de Trabalho

5.1. Os recursos de TI disponibilizados aos usuários destinam-se à execução de atividades da Justiça Eleitoral ou a elas diretamente correlatas.

5.1.1. Aos estagiários e aos terceirizados será disponibilizado, quando possível e pertinente, acesso a uma estação de trabalho.

5.2. As estações de trabalho possuirão configurações de hardware e software padronizadas pela STI, de acordo com a necessidade de utilização dos usuários e deverão atender, no mínimo, aos seguintes requisitos de segurança:

I - o sistema operacional deve possuir suporte ativo para recebimento de atualizações de segurança homologadas pela STI;

II - deverão possuir software antimalware instalado, ativado, permanentemente atualizado e configurado para realizar verificação automática das mídias removíveis;

III - todos os softwares instalados deverão ser configurados para receber atualização de forma automática, sempre que tecnicamente viável;

IV - a reprodução automática de mídias removíveis, nas estações de trabalho, deve estar desativada;

V - as configurações de segurança das estações de trabalho dos usuários serão definidas e configuradas pela Secretaria de Tecnologia da Informação e Comunicação;

VI - bloqueio automático de tela por inatividade, com restauração da sessão somente por meio do uso de credencial de acesso válida.

5.2.1. Os problemas de software serão solucionados pela reinstalação padrão, ficando a área de suporte a usuário isenta da responsabilidade sobre eventual perda de dados.

5.3. A critério da STI poderão ser desabilitados dispositivos de hardware e software nativos dos equipamentos, a fim de preservar a segurança e a integridade da rede de comunicação de dados.

5.4. Quando ocorrer o desligamento ou término da relação do usuário com o TRE-BA, ou ao final do contrato ou acordo de trabalho no caso de colaboradores, os equipamentos disponibilizados para a execução de atividades profissionais devem ser devolvidos à STI, com todos os acessórios que o acompanharam, em até 20 (vinte) dias, exceto em se tratando de prazo diferente estipulado em norma específica, devendo o usuário observar os seguintes procedimentos:

I - as informações de cunho particular e as que contêm dados pessoais devem ser apagadas das estações de trabalho e dispositivos de armazenamento após efetiva apresentação ao Tribunal a fim de garantir os requisitos de privacidade previstos na LGPD;

II - as informações de cunho particular e as que contêm dados pessoais não serão passíveis de backup; e

III - restituí-los nas mesmas condições em que lhe foram cedidos.

5.5. O Tribunal não se responsabilizará por quaisquer informações de cunho particular que o usuário tenha deixado nos ativos de TI após sua devolução.

5.6. Não é permitido o compartilhamento de pastas de arquivos locais na rede sem a anuência da STI.

5.7. É vedado à STI conceder aos usuários finais privilégios de administrador local nas estações de trabalho.

5.7.1. Havendo necessidade de o usuário final possuir acesso privilegiado, a chefia imediata deverá solicitar de forma justificada à STI.

5.8. Nos casos de perda, furto ou roubo do equipamento, bem como nas hipóteses de ausência de devolução ou verificação de existência de avarias no equipamento devolvido, a Secretaria de Tecnologia da Informação e Comunicação informará à Secretaria do Tribunal a situação ocorrida, com a documentação respectiva, para as providências cabíveis.

5.8.1. Na ocorrência de um dos fatos acima, a reposição, quando autorizada pelo Comitê de Gestão de TIC (CGesTIC), dependerá da disponibilidade de equipamento para substituição.

5.9. Os equipamentos servidores e os computadores para uso individual ou coletivo, de qualquer porte, serão dotados de mecanismos de proteção contra malwares.

5.10. Os procedimentos de instalação, configuração e manutenção de equipamentos e softwares serão realizados pela Secretaria de Tecnologia da Informação e Comunicação ou por terceiros por ela autorizados, sob a supervisão do gestor da unidade, que verificará a adequação do serviço realizado ao atendimento das atividades desenvolvidas pela unidade.

5.11. Não será fornecido suporte a equipamentos particulares (computadores, notebooks, smartphones e tablets), seja quanto à instalação e configuração de sistemas ou aplicativos, ainda que disponibilizados pelo TRE-BA, seja quanto às questões relacionadas à conexão à rede sem-fio.

 

6. Licenças de Software

6.1. As licenças de softwares, de qualquer natureza, contratadas ou adquiridas pelo TRE-BA, são de uso institucional, privativo do Tribunal.

6.2. O Tribunal, sempre que possível e necessário, dará preferência ao uso de software livre ou de código aberto.

6.3. É vedada a instalação de softwares não licenciados ou não homologados pela Secretaria de Tecnologia da Informação e Comunicação nos equipamentos conectados à rede do Tribunal, sendo facultada à STI a verificação, de forma presencial ou remota, e a desinstalação, sem necessidade de comunicação prévia.

6.3.1. A instalação de softwares não homologados poderá ser autorizada excepcionalmente pelo Comitê de Gestão de TIC (CGesTIC), desde que demonstrada a necessidade de sua utilização para o desempenho das atribuições funcionais do usuário, observadas as condições de segurança e proteção estabelecidas, bem como a compatibilidade e adequação aos recursos computacionais disponibilizados pelo TRE-BA.

6.3.2. As unidades do Tribunal poderão encaminhar à Secretaria de Tecnologia da Informação e Comunicação pedido de homologação de softwares para uso em suas atividades. Quando necessário, o pedido, acompanhado de parecer técnico, será submetido ao Comitê de Gestão de TIC (CGesTIC).

6.4. O usuário deverá solicitar a desinstalação de softwares ou serviços que não forem mais úteis ao desempenho das atividades institucionais.

6.5. As unidades do Tribunal devem obrigatoriamente submeter à prévia análise da Secretaria de Tecnologia da Informação e Comunicação a intenção em adquirir ou instalar software, equipamento ou serviço que não tenha sido provido pela área de TIC e que faça uso ou requeira recursos de tecnologia da informação.

6.5.1. A STI poderá aprovar ou vetar, por questões de segurança, por falta de compatibilidade ou de padronização com as soluções já adotadas.

 

7. Acesso a Rede Lógica

7.1. Todos os equipamentos e dispositivos móveis conectados à rede lógica de dados do TRE-BA terão seus acessos monitorados por questões de segurança e para fins de auditoria.

7.2. A cada ponto de acesso à rede de dados do TRE-BA poderá ser conectado apenas um equipamento, vedada a utilização de dispositivos multiplicadores de acesso, tais como hub e switch, dentre outros, salvo mediante expressa autorização da Secretaria de Tecnologia da Informação e Comunicação.

7.3. É proibida a conexão de qualquer dispositivo não fornecido pelo TRE-BA na rede cabeada sem a prévia anuência da Secretaria de Tecnologia da Informação e Comunicação.

7.3.1. A conexão de qualquer equipamento à rede cabeada da Sede do TRE-BA será feita pela Secretaria de Tecnologia da Informação e Comunicação ou por terceiros por ela autorizados.

7.3.2. Em unidades remotas, a conexão poderá ser realizada por pessoal do local mediante suporte da Secretaria de Tecnologia da Informação e Comunicação.

7.3.3. Deverão ser removidos quaisquer ativos não autorizados, com imediata comunicação ao Comitê de Governança de Segurança da Informação (CGSI), para apuração da violação de segurança.

7.4. A Secretaria de Tecnologia da Informação e Comunicação poderá fazer uso de ferramentas, softwares e procedimentos que venham garantir a segurança da rede corporativa do Tribunal e dos dados que nela trafegam.

7.4.1. Equipamentos que forem identificados como potencialmente nocivos à rede de dados do Tribunal, seja por má configuração, contaminação por vírus ou por outro tipo de anomalia, poderão ser postos em quarentena sem aviso prévio ao usuário, somente saindo dessa condição após a devida análise da situação pela Secretaria de Tecnologia da Informação e Comunicação.

7.5. O Tribunal disponibilizará acesso à rede sem-fio para usuários internos e externos.

7.5.1. A conexão, para os usuários internos, será feita por meio da credencial (nome de usuário e senha) utilizada para o acesso à rede, e, para os usuários externos, será feita mediante cadastramento prévio em sistema específico do TRE-BA.

7.5.2. É permitida a conexão de dispositivos móveis particulares nas redes sem-fio administradas pelo TRE-BA.

7.5.3. O acesso à Internet por meio das redes sem-fio observará as regras dispostas na NSI-003 de Controle de Acesso à Internet.

7.5.4. Por questões de segurança tecnológica, regras específicas poderão ser implementadas no acesso à Internet via rede sem-fio.

7.5.5. Poderão ser bloqueados os acessos à rede sem-fio, temporariamente ou por tempo indeterminado, de dispositivos móveis identificados durante o monitoramento como fonte de ações maliciosas, intencionais ou não, ou em que forem detectadas vulnerabilidades ou problemas de segurança tecnológica.

 

8. Armazenamento de Dados

8.1. Cada unidade do Tribunal possuirá área de armazenamento de dados corporativos coberta por política de backup.

8.1.1. As informações armazenadas localmente não serão contempladas por política de backup.

8.2. O usuário deverá garantir que, em sua estação de trabalho, não permaneçam armazenadas informações de dados pessoais, sejam do próprio usuário ou de terceiros, atendendo os requisitos de privacidade da LGPD.

8.3. A STI poderá inspecionar, sem a necessidade de aviso prévio, os arquivos armazenados nos computadores, mídias removíveis e áreas de armazenamento de arquivos em rede, sempre que necessário para assegurar o cumprimento desta norma.

8.4. A STI poderá definir parâmetros para armazenamento de arquivos, incluindo requisitos como tamanho máximo e tipos de arquivos permitidos, com vistas a não comprometer o desempenho e a segurança dos serviços de TI.

 

9. Meios de Impressão

9.1. Os recursos de impressão e fotocopiadoras pertencentes a este Tribunal ou contratados, disponíveis para o usuário, serão utilizados em atividades estritamente relacionadas às suas funções institucionais.

9.2. Sempre que possível, o uso ou compartilhamento de documentos no formato digital deve ser priorizado, evitando o uso desnecessário de insumos.

9.3. O usuário deve observar as seguintes disposições específicas quanto ao uso de equipamentos de impressão e fotocópia:

I - retirar imediatamente da impressora ou fotocopiadora os documentos que tenha solicitado a impressão, transmissão ou cópia que contenham informações pessoais, sensíveis ou restritas;

II- impressão ou cópia de documento em suporte físico deve ser limitada à quantidade exata necessária para a tarefa determinada;

III - não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas que contenham informações pessoais, sensíveis ou restritas, devendo as mesmas serem descartadas de acordo com os procedimentos adotados pelo TRE-BA;

IV - é facultado à Secretaria de Tecnologia da Informação e Comunicação o uso de mecanismos de autenticação e auditoria com o objetivo de registrar a quantidade de impressões por usuários/unidades.

 

10. Deveres e Vedações

10.1. O usuário é responsável por:

I – zelar pela integridade e conservação dos ativos de TI que lhe sejam destinados para o exercício de suas atribuições, especialmente os de utilização pessoal, tais como computadores, impressoras, dispositivos móveis e demais equipamentos;

II – preservar o sigilo de sua senha ou outro mecanismo de autenticação que venha a ser utilizado para acesso aos recursos tecnológicos disponibilizados;

III – preservar o sigilo das informações a que tiver acesso, sendo vedada sua revelação a usuários ou terceiros não autorizados;

IV – atos praticados e acessos realizados aos recursos de tecnologia por meio de sua credencial de acesso;

V – comunicar à STI a perda, extravio, furto e/ou roubo de equipamentos sob sua custódia, tão logo possível;

VI – informar imediatamente à ETIR sobre quaisquer incidentes de segurança, como suspeitas de violações de dados ou acesso não autorizado.

10.2. É vedado ao usuário em relação às estações de trabalho:

I - compartilhar pastas na rede local;

II - abrir fisicamente o equipamento para qualquer fim;

III - permitir o uso do equipamento por pessoas estranhas aos quadros da Justiça Eleitoral;

IV - alterar qualquer configuração de hardware ou software;

V - instalar ou desinstalar, por conta própria, quaisquer tipos de software nas estações de trabalho.

 

11. Disposições Finais

11.1. Os casos omissos serão resolvidos pelo Comitê de Governança de Segurança da Informação (CGSI).

11.2. A revisão desta norma ocorrerá sempre que se fizer necessário, não excedendo o período máximo de 03 (três) anos.

11.3. O descumprimento desta norma será objeto de apuração pela unidade competente do Tribunal e consequente aplicação das penalidades cabíveis a cada caso.

 

Desembargador ABELARDO PAULO DA MATTA NETO

Presidente do Tribunal Regional Eleitoral da Bahia