Portaria Presidência nº 10, de 28 de janeiro de 2025

O PRESIDENTE do Tribunal Regional Eleitoral Amapá, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de definir processos para o uso de recursos criptográficos;

CONSIDERANDO a Resolução nº 396/2021, do Conselho Nacional de Justiça (CNJ), que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução nº 23.644/2021, do Tribunal Superior Eleitoral (TSE), que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução nº 570/2022, do Tribunal Regional Eleitoral de Amapá (TRE/AP), que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral do Amapá;

CONSIDERANDO a Portaria Presidência nº 25/2023, do TRE-AP, que dispõe sobre a instituição da norma de de Termos e Definições relativa à Política de Segurança da Informação;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas da Associação Brasileira de Normas Técnicas (ABNT) / International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC), ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo Center for Internet Security (CIS) Controls V.8;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD); e

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional
Eleitoral do Amapá,

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria institui e regulamenta o uso de recursos criptográficos no âmbito do Tribunal Regional Eleitoral do Amapá.

Art. 2º Esta Portaria integra a Política de Segurança de Informação do TRE-AP, estabelecida pela Resolução TRE-AP nº 570/2022.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º O uso de recursos criptográficos visa proteger a confidencialidade, a integridade e a autenticidade dos dados transmitidos pelas redes de computadores, assim como dos dados em repouso, armazenados em servidores, microcomputadores, dispositivos móveis e bancos de dados.

CAPÍTULO III

DA CRIPTOGRAFIA DOS DADOS EM TRÂNSITO

Art. 4º É obrigatório o uso de protocolo seguro, como Hyper Text Transfer Protocol Secure (HTTPS), em todos os sistemas e portais web, independentemente de serem acessados pela rede interna ou pela internet.

Art. 5º Toda comunicação cliente/servidor onde trafeguem dados pessoais ou logins e senhas, deve utilizar protocolos de comunicação segura.

CAPÍTULO IV

DA CRIPTOGRAFIA DOS DADOS ARMAZENADOS

Art. 6º O armazenamento de dados pessoais sensíveis em servidores e bancos de dados deve adotar técnicas de criptografia ou anonimização, visando diminuir o risco em caso de vazamento de dados.

Art. 7º As cópias de segurança (backups) que contenham dados pessoais sensíveis devem adotar técnicas de criptografia, visando diminuir o risco em caso de vazamento de dados.

Art. 8º Os computadores, notebooks e dispositivos móveis, de propriedade da Justiça Eleitoral, utilizados em trabalho remoto, devem ter seus discos rígidos protegidos por criptografia, visando diminuir o risco de vazamento de dados em caso de perda ou furto.

CAPÍTULO V

DA ASSINATURA DIGITAL

Art. 9º A Secretaria de Tecnologia da Informação (STI) gerenciará aspectos técnicos de certificados para assinatura digital, sejam do tipo A1 (arquivo digital com senha) ou A3 (token), de acordo com as necessidades do usuário interno e com os procedimentos técnicos adotados.

Art. 10. Os certificados digitais poderão ser utilizados como segundo fator de autenticação (2FA) em computadores ou sistemas, de acordo com a sua criticidade e disponibilidade da tecnologia.

CAPÍTULO VI

DA AUTORIDADE CERTIFICADORA

Art. 11. O TRE-AP poderá manter Infraestrutura de Chaves Públicas (ICP) própria para uso em sistemas e computadores de uso interno, sendo permitido o modelo de AC (autoridade certificadora) auto assinada.

Art. 12. Os certificados digitais instalados em servidores e sistemas web com acesso pela internet deverão utilizar certificados digitais fornecidos por AC (autoridade certificadora) comercial, visando a compatibilidade com os computadores e dispositivos móveis dos usuários externos.

CAPÍTULO VII

DAS RESPONSABILIDADES

Art. 13. Cabe à Secretaria de Tecnologia da Informação (STI), por meio de suas áreas técnicas:

I - Implementar o nível adequado de criptografia nos sistemas e dispositivos.

II - Gerenciar os aspectos técnicos relacionados aos certificados digitais para usuários.

III - Implementar e manter Infraestrutura de Chaves Públicas interna, caso se torne uma Autoridade Certificadora - AC.

IV - Gerenciar os certificados digitais para servidores e aplicações.

V - Informar ao Comitê de Governança de Segurança da Informação eventuais inconformidades.

Art. 14. Cabe à usuária ou usuário:

I - Zelar pela segurança do certificado digital recebido, não compartilhando o seu uso e a sua senha com terceiros.

II - Assinar termo de compromisso no ato do recebimento de certificado digital.

III - Informar imediatamente à STI em caso de extravio ou comprometimento do certificado digital para adoção das providências de revogação.

IV - Estar ciente de que a assinatura ou login feitos por meio de certificado digital são irretratáveis, não podendo este alegar que não efetuou a ação.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 15. No caso de algum equipamento, aplicação, aplicativo, sistema ou banco de dados não permitir a adoção de protocolos seguros, a informação deverá constar em documento de análise de riscos de segurança da informação, sendo imediatamente submetido para apreciação do Comitê de Governança de Segurança da Informação.

Art. 16. Os casos omissos serão resolvidos pelo Comitê de Governança de Segurança da Informação.

Art. 17. A STI elaborará, em até 12 (doze) meses, os procedimentos operacionais para aplicação desta portaria, que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 18. Qualquer descumprimento desta portaria deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19 Esta portaria deverá ser revisada a cada 24 (vinte e quatro) meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação do Comitê de Governança de Segurança da Informação.

Art. 20. A STI deverá informar ao Gestor de Segurança da Informação, no prazo de 120 (cento e vinte) dias, quais ativos de informação não puderam se adequar a esta portaria.

Art. 21. Esta Portaria entra em vigor na data de sua publicação.

Desembargador JOÃO GUILHERME LAGES MENDES

PRESIDENTE