DECRETO Nº 30.492, DE 20 DE ABRIL DE 2021

 

CRIA A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO – NO ÂMBITO DA ADMINISTRAÇÃO DIRETA E INDIRETA DA PREFEITURA MUNICIPAL DE CACHOEIRO DE ITAPEMIRIM.

 

O PREFEITO DO MUNICÍPIO DE CACHOEIRO DE ITAPEMIRIM, ESTADO DO ESPÍRITO SANTO, no uso de suas atribuições que lhe são conferidas pelo artigo 69, inciso IV da Lei Orgânica Municipal, decreta:

 

CAPÍTULO I

DA FINALIDADE E ABRANGÊNCIA

 

Art. 1º A presente Política de Segurança da Informação e Comunicação, tem por objetivo instituir princípios e diretrizes de Segurança da Informação no âmbito da Prefeitura Municipal de Cachoeiro de Itapemirim, com o propósito de limitar a exposição ao risco a níveis aceitáveis e garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações e comunicações que suportam os objetivos estratégicos do Município de Cachoeiro de Itapemirim.

 

Art. 2º O Decreto baseia-se nos preceitos da Lei nº 13.709/2018, LGPD - Lei Geral de Proteção de Dados Pessoais, tendo como princípio base garantir a segurança das informações armazenadas dos Órgãos da Administração Pública Municipal em seu ambiente de dados.

 

Art. 3º Esta política abrange todos os colaboradores que possuam acesso à rede corporativa da PMCI, a informações confidenciais, aos equipamentos computacionais ou ambientes controlados que necessitam de uma senha ou cartão de acesso.

 

Art. 4º Somente terá acesso ao ambiente computacional da PMCI, de acordo com o controle de acesso estabelecido, os usuários que concordarem com as diretrizes estabelecidas neste decreto e demais normativas de segurança da informação registrando o aceite através da assinatura do Termo de Compromisso à Privacidade e Segurança da Informação apresentado quando de sua admissão na PMCI. A assinatura do termo determina a adesão do profissional a todas as normas e políticas internas.

 

Art. 5º O uso indevido dos recursos, em desacordo com a política poderá implicar em abertura de processos administrativos cabíveis.

 

CAPÍTULO II

DA BASE LEGAL E REGULAMENTAR

 


Art. 6º As orientações e procedimentos contidos neste Decreto obedecem aos dispositivos estabelecidos nos seguintes regulamentos:

 

I – Lei Federal nº. 12.965/2014;

 

II – Lei nº 13.709/2018;

 

III – Lei nº 13.853/2019.

 

CAPÍTULO III

DA COMPETÊNCIA

 

Art. 7º O Decreto é de competência da Secretaria Municipal da Fazenda por meio da Coordenadoria de Tecnologia da Informação da PMCI, no qual cabe aplicar as normas aqui expressas, bem como garantir a segurança dos dados armazenados e tratados em seu ambiente.

 

Art. 8º Tais normas têm suas responsabilidades divididas entre as Coordenadorias Especiais de TI, no que tange suas competências, sendo elas: Coordenadoria Especial de Segurança e Auditoria e Coordenadoria Especial de Infraestrutura; Coordenadoria Especial de Sistema e; Coordenadoria Especial de Atendimento e Serviços. Cada qual com suas devidas atribuições, que juntas corroboram para garantia da segurança dos dados trafegados e armazenados no DATACENTER da PMCI.

 

Art. 9º É de responsabilidade da Coordenadoria de Tecnologia da Informação, em conjunto com a PMCI:

 

I – Estabelecer um programa orçamentário específico e anual para ações de Segurança da Informação;

 

II – Aplicar ações corretivas e disciplinares aos colaboradores em casos de tratamento de incidentes de Segurança da Informação;

 

III – Coordenar ações de Segurança da Informação e Proteção de Dados Pessoais;

 

IV – Capacitar continuamente os profissionais de Tecnologia da Informação da Coordenadoria de Tecnologia da Informação, a fim de que estes estejam alinhados com as melhores práticas do mercado no que tange a Segurança da Informação;

 

V – Coordenar as ações de Segurança da Informação;

 

VI – Deliberar sobre a implantação de ações voltadas a Segurança da Informação;

 

VII – Solicitar apuração de casos suspeitos de incidentes de Segurança da Informação;

 

VIII– Desenvolver estudos de novas tecnologias que agregam à Segurança da Informação;

 

IX – Implantar e seguir as ações estabelecidas na presente Política de Segurança da Informação;

 

X – Atualizar constantemente este decreto a fim de seguir o que dispõe a legislação vigente que a compete.

 

CAPÍTULO IV

DOS CONCEITOS

 

Art. 10 Para efeitos deste Decreto, considera-se:

 

I – REDE PMCI: Abrange todos os sistemas, diretórios e Intranet disponibilizados aos Colaboradores da PMCI;

 

II – SOFTWARE: São todos os programas instalados nos computadores, os quais são disponibilizados pela equipe de TI da Coordenadoria de Tecnologia da Informação, ou por terceiros, após aprovação de uso pela Coordenadoria, para o exercício de sua função;

 

III – SISTEMAS DE TERCEIROS: Sistemas de terceiros utilizados pelos colaboradores da PMCI, e que estão hospedados em seu DATACENTER;

 

IV – AMBIENTE LÓGICO: Ambiente tecnológico controlado, eletrônico, onde são armazenadas Informações confidenciais, servidores, sistemas e bancos de dados;

 

V – AMBIENTE FÍSICO: dependências físicas que integram a rede da PMCI;

 

VI – EQUIPAMENTOS COMPUTACIONAIS: Equipamentos tecnológicos de propriedade da PMCI disponibilizados para uso de seus colaboradores, tais como: estações de trabalho, notebooks, impressoras, scanners, etc;

 

VII – HOMOLOGAÇÃO: Verificação pela equipe de TI da Coordenadoria de Tecnologia da Informação quanto à compatibilidade técnica do software ou aplicativo em seu parque tecnológico. Confirmação do atendimento das funcionalidades de um sistema aos seus requisitos funcionais e não funcionais. Confirmação pelo usuário do sistema do funcionamento adequado das funcionalidades previstas quando da implantação ou atualização de versão;

 

VIII – USUÁRIO: Colaborador que possua acesso aos ambientes físico ou lógico da PMCI para o desempenho de suas atividades;

 

IX – INFORMAÇÕES CONFIDENCIAIS: Informações restritas somente aos órgãos que compõe a Administração Pública Municipal, com o devido controle de acesso estabelecido;

 

X – COLABORADOR OU COLABORADORES: Todos os prestadores de serviço que compõem a PMCI;

 

XI – PRESTADORES DE SERVIÇOS: Pessoa jurídica ou física com contrato vigente de prestação de serviço com a PMCI;

 

XII – VISITANTE: Todo aquele que não mantenha qualquer vínculo formal com a PMCI, suas Secretarias e demais órgãos municipais;

 

XIII – SERVIDOR: Dispositivo físico equipado de hardware e software de alto desempenho visando oferecer serviços a uma rede de dados.

 

CAPÍTULO V

DA POLÍTICA DE PRIVACIDADE

 

Art. 11 A Política de Segurança da Informação da PMCI se apresenta em conformidade com as diretrizes estabelecidas pela Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais, subdividida por competências entre as Coordenadorias Especiais de TI da Coordenadoria de Tecnologia da Informação, visando garantir, em cada área, critérios de segurança da rede de dados.

 

CAPÍTULO VI

DAS ÁREAS DE SEGURANÇA E AUDITORIA E DE INFRAESTRUTURA DE REDES

 

Seção I

Da Segurança da Informação

 

Art. 12 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio do setor de Infraestrutura de Redes e Segurança e Auditoria, propor e apoiar iniciativas que garantam a segurança dos dados armazenados em seu DATACENTER, implantando sistemas de proteção contra intrusos, ataques, antivírus e acessos não autorizados.

 

Art. 13 A Coordenadoria de Tecnologia da Informação deverá promover a conscientização dos colaboradores da PMCI quanto às boas práticas de segurança da informação, por meio de campanhas, palestras e treinamentos.

 

Art. 14 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio dos setores de Infraestrutura e Segurança da Informação, elaborar manuais de boas práticas aos usuários da rede corporativa.

 

Art. 15 Garantir a disponibilidade e integridade dos dados armazenados no DATACENTER da PMCI.

 

Art. 16 Participar ativamente no desenvolvimento de novos sistemas impondo requisitos de adequação de controles aos dados a serem coletados.


 Art. 17 Na rede corporativa da PMCI, na qual abrange todos os órgãos municipais, é vedado o uso de softwares não licenciados e não autorizados pela Coordenadoria de Tecnologia da Informação. Estes, além de seu uso ser ilegal, podem conter código malicioso extremamente prejudicial ao usuário e a rede da PMCI.

 

Art. 18 É expressamente proibido o uso de sistemas que visam burlar a segurança da rede, como programas que criam redes virtuais privadas para navegação. O uso desse tipo de software poderá acarretar sanções administrativas.

 

Seção II

Do Encarregado pelo Tratamento de Dados Pessoais

 

Art. 19 De acordo com a Lei nº 13.709/2018, a PMCI através do encarregado pelo tratamento de dados pessoais, deverá exercer as seguintes atividades:

 

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

 

II – Receber comunicações da autoridade nacional e adotar providências;

 

III – Orientar funcionários, contratados, clientes e demais usuários da PMCI a respeito das práticas a serem adotadas em relação à proteção de dados pessoais e;

 

IV – Executar as demais atribuições determinadas ou estabelecidas em normas complementares.

 

V – De forma complementar, é de responsabilidade da área de Segurança da Informação da Coordenadoria de Tecnologia da Informação:

 

a) Criar manuais de Segurança de Dados e Sistemas;

b) Disseminar a cultura de proteção de dados, além de criar normas e procedimentos necessários ao estabelecimento da segurança das informações;

c) Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;

d) Elaborar e manter procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;

e) Preparar avisos para usuários em consonância com a política de privacidade de dados, requisitos legais e análise prévia de riscos;

f) Prestar assessoria necessária na área de infraestrutura de Tecnologia da Informação, conforme sua área de conhecimento específico;

g) Sugerir melhorias nos ambientes de segurança de informação;

h) Acompanhar as investigações e avaliações em curso oriundas de incidentes de Tecnologia da Informação;

i) O canal de comunicação entre os titulares de dados e à PMCI deverá ser desenvolvido pelo setor de Desenvolvimento de Sistemas de Informação da Coordenadoria de Tecnologia da Informação.

 

Seção III

Do Plano de Contingência (desaster and recovery)

 

Art. 20 Os setores de Infraestrutura de Redes e Segurança da Informação da Coordenadoria de Tecnologia da Informação deverá estabelecer protocolos para gerir e notificar brechas na segurança de dados, aos titulares dos dados e à Autoridade Nacional, por intermédio do Encarregado de Dados definido pela PMCI;

 

Art. 21 Este protocolo visa atender o disposto na Lei 13.709/2018, no qual deve-se informar, em casos de vazamento de dados, à Autoridade Nacional sobre o ocorrido e as ações a serem adotadas para solução do problema;

 

Art. 22 É, portanto, de responsabilidade da Coordenadoria de Tecnologia da Informação desenvolver um PCRD - Plano de Contingência e de Recuperação de Desastres, contendo as medidas operacionais estabelecidas e devidamente documentadas para que sejam seguidas em casos de ocorrência de alguma indisponibilidade dos serviços de TI, a fim de evitar que o período em que os recursos estão parados acarrete perdas à municipalidade e órgãos públicos.

 

Seção IV

Do Monitoramento e Auditoria do Ambiente

 

Art. 23 A Coordenadoria de Tecnologia da Informação deve realizar monitoramento do ambiente de DATACENTER da PMCI, resguardando a inviolabilidade dos dados pessoais armazenados em seus servidores e bancos de dados.

 

Art. 24 Na Coordenadoria de Tecnologia da Informação deverá investir continuamente em produtos e serviços de tecnologia da informação que garantam a segurança, integridade e disponibilidade dos dados.

 

Art. 25 A Coordenadoria de Tecnologia da Informação, visando garantir as normas estabelecidas nesse decreto, poderá implantar sistemas de monitoramento nas estações de trabalho e equipamentos ou dispositivos que estejam lotados na rede corporativa da PMCI.

 

Art. 26 As informações coletadas por sistemas de auditoria e monitoramento deverão ficar disponíveis, em casos de solicitações, para acesso pela ANPD - Agência Nacional de Proteção de Dados, gerentes ou superiores.

 

Art. 27 A Coordenadoria de Tecnologia da Informação poderá, a qualquer momento, realizar inspeção física nos equipamentos de propriedade da PMCI, a fim de validar que os preceitos de segurança estão sendo seguidos e não foram violados.


 Art. 28 A Coordenadoria de Tecnologia da Informação, através dos setores de Infraestrutura e Segurança da Informação, deverá solicitar periodicamente a contratação de uma auditoria externa de segurança de dados, a fim de verificar possíveis vulnerabilidades no ambiente de redes e servidores.

 

Art. 29 A periodicidade da auditoria será estabelecida pela Coordenadoria de Tecnologia da Informação em conjunto com o setor de Infraestrutura e Segurança. Fica estabelecido o mínimo de 01 (uma) auditoria externa a cada 02 (dois) anos.

 

Art. 30 Ao fim de cada auditoria externa, deverá ser gerado relatório e entregue à Coordenadoria de Tecnologia da Informação para análise e providências. Devendo-se tomar as atitudes necessárias para corrigir possíveis problemas encontrados pela auditoria.

 

Art. 31 O relatório da auditoria deverá ficar à disposição da ANPD, em casos de solicitações.

 

Seção V

Do Correio Eletrônico

 

Art. 32 É de responsabilidade da Coordenadoria de Tecnologia da Informação fornecer à PMCI infraestrutura necessária para utilização do correio eletrônico.

 

Art. 33 O uso do e-mail corporativo pelos colaboradores da PMCI é restrito para o exercício de suas funções diárias dentro da instituição, não sendo permitido para fins pessoais.

 

Art. 34 A PMCI, por meio da Coordenadoria de Tecnologia da Informação, poderá auditar a qualquer momento as caixas de correio eletrônico armazenadas em seus servidores.

 

Art. 35 O uso do e-mail corporativo deverá obedecer às seguintes regras e orientações:

 

I – É vedado o envio de e-mails não solicitados para múltiplos destinatários, que possam ser considerados como spams;

 

II – É vedado o envio de mensagens que possam tornar seu remetente, a PMCI ou suas secretarias vulneráveis a ações civis ou criminais;

 

III – Não é autorizado o uso do correio eletrônico para divulgar informações, como imagens, prints de tela, documentos, etc., sem autorização formal ou expressa concedida pelo proprietário de tais conteúdos;

 

IV – É vedado todo o trâmite de informações sigilosas e confidenciais à Prefeitura de Cachoeiro de Itapemirim ou qualquer órgão da Administração Municipal por meio do correio eletrônico sem sua devida autorização;

 

V – Não é permitido o acesso à caixa postal de outro usuário sem sua prévia autorização;

 

VI – É vedado à Coordenadoria de Tecnologia da Informação informar senha ou endereço de e-mail por telefone. As informações, como em caso de troca de senhas, deverão ser fornecidas de forma oficial mediante requisição via sistema de abertura de chamados;

 

VII – O usuário deve adicionar assinatura ao final de seus e-mails, contendo no mínimo o seu nome, setor em que está lotado e telefone para contato;

 

VIII – É vedada a reprodução de e-mails que contenham ameaças eletrônicas, tais como: spam, phishing, email bomb, vírus, etc.;

 

IX – O usuário não poderá enviar e-mails contendo determinados tipos de extensões de anexos, como arquivos executáveis (.exe, .bat, .vbs, .reg, .js, etc). Tal limitação visa evitar a proliferação de ameaças de vírus ou malware;

 

X – Não se deve reproduzir conteúdo por meio do correio eletrônico que:

 

a) Sejam protegidos por direitos autorais sem a permissão expressa de quem detém os direitos;

b) Visem burlar qualquer sistema de segurança ou interromper serviços;

c) Tenham por objetivo acessar indevidamente informações alheias ou sigilosas, e que possam causar danos à municipalidade;

d) Tenham caráter ilegal, impróprio, difamatório, violento, pornográfico, calunioso e que venha a desrespeitar leis e os direitos humanos;

e) Possuam mensagens preconceituosas quanto a raça, sexo, deficiência física ou mental, classe social, etc.;

f) Sejam de caráter político;

g) Obtenham acesso não autorizado a servidores, computadores ou ativos de rede;

h) É de responsabilidade do usuário manter sua caixa de entrada organizada, com acompanhamento diário, verificando quais e-mails são de real necessidade permanecer em sua caixa postal;

i) Todas as caixas postais possuem limitação de espaço (cota de uso), visando atender a todos os usuários com uma quantidade ideal para trabalho;

j) O usuário não poderá exceder a cota da caixa postal, sob o risco de ficar impossibilitado de receber e enviar e-mails. Portanto, é de responsabilidade do usuário, periodicamente, proceder com a limpeza de suas pastas, excluindo e- mails que não são mais necessários para uso, possibilitando aplicar uma política de bom uso do correio eletrônico. Caso o usuário exceda o limite de sua caixa postal, deverá solicitar junto ao Helpdesk da Coordenadoria de Tecnologia da Informação, mediante abertura de chamado pelo GLPI, análise da possibilidade de expansão de sua cota.

 

Seção VI

Dos Domínios da Rede de Computadores

 

Art. 36 A rede corporativa da PMCI deverá possuir um ou mais domínios para gerenciamento dos computadores conectados a ela.

 

Art. 37 Todos os computadores conectados à rede corporativa da PMCI deverão ser inseridos no domínio principal ou no domínio específico da secretaria, caso existir.

 

Art. 38 É de responsabilidade da Coordenadoria Especial de Infraestrutura administrar e gerenciar todos os sistemas de contas, incluindo de e-mail corporativo, contas em servidores de arquivos, contas de domínios, Active Directory, etc.

 

Art. 39 Todos os domínios existentes na rede da PMCI serão gerenciados pela Coordenadoria de Tecnologia da Informação e deverão estar alocados fisicamente em seu DATACENTER.

 

Seção VII

Acesso à Rede Corporativa

 

Art. 40 O uso da rede corporativa da PMCI é restrito aos seus colaboradores e, em casos de necessidade, a funcionários de empresas prestadoras de serviços à Prefeitura.

 

Art. 41 A rede local deverá possuir controle e organização a fim de impedir que qualquer dispositivo se conecte de forma automática. Para ingresso à rede corporativa, o computador deverá ser homologado pela Coordenadoria de Tecnologia da Informação por meio de seus setores competentes, a fim de garantir a segurança da mesma.

 

Art. 42 Todos os acessos à rede corporativa deverão ser monitorados, a fim de garantir a segurança do tráfego das informações e a integridade dos dados armazenados em seus sistemas.

 

Art. 43 A PMCI, por meio da Coordenadoria de Tecnologia da Informação, poderá auditar todos os acessos à rede corporativa.

 

Art. 44 Para ingresso, os computadores deverão estar devidamente inseridos no domínio da rede da PMCI. E cada colaborador deverá possuir um login para acesso.

 

Art. 45 Não será permitido uso da rede por computadores que estejam fora do domínio ou por colaboradores que não possuam login.

 

Seção VIII

Filtro de conteúdo para acesso à internet

 

Art. 46 É de responsabilidade da Coordenadoria de Tecnologia da Informação manter sistemas de Filtro de Conteúdo para acesso à internet.

 

Art. 47 Os filtros de conteúdo poderão e deverão ser aplicados por meio de Web Gateway, proxy ou firewall.

 

Art. 48 A Coordenadoria de Tecnologia da Informação terá controle sobre toda a navegação na internet dos computadores da PMCI que estiverem conectados à rede corporativa.

 

Art. 49 Toda informação acessada, transmitida, recebida ou enviada pela internet deverá ser monitorada e seus registros armazenados para realização de auditorias.

 

Art. 50 Por padrão, todos os computadores que compõe a rede corporativa da PMCI possuem acesso à internet de forma restrita, ou seja, com bloqueio de sites considerados impróprios para uso de acordo com as boas práticas de Segurança da Informação, e que venham a infringir leis em âmbitos municipal, estadual e federal ou aos direitos humanos.

 

Art. 51 É vedado aos usuários dos órgãos que compõe a estrutura da PMCI em sua rede corporativa:

 

I – A visualização, cópia, transferência e quaisquer atos relacionados ao acesso a sites de conteúdo pornográfico e de conteúdo sexual, além do armazenamento e a distribuição dos conteúdos provenientes destes sites;

 

II – O download ou cópia em grande quantidade de arquivos de vídeo, som ou gráficos que não estejam relacionados aos interesses de negócio da PMCI. Tal atitude pode afetar a disponibilidade da rede, visto o alto consumo de banda de dados que serão consumidos;

 

III – Participação em salas de bate-papo online com assuntos não relacionados aos interesses de negócios da PMCI;

 

IV – Distribuição em redes internas ou externas de informações consideras confidenciais;

 

V – Disseminação de notícias ou informações falsas;

 

VI – Acesso a sites que incitem o preconceito ou o menosprezo a qualquer classe social, orientação sexual, raça, religião, nacionalidade, etc.;

 

VII – Acesso, visualização, armazenamento e transferência de conteúdos de sites com conteúdo ilícito;

 

VIII – Realizar o download de conteúdo que vise burlar o licenciamento de softwares;

 

IX – Não é permitido o armazenamento e disponibilização de páginas pessoais utilizando os recursos de rede da PMCI.

 

Art. 52 Em caso de necessidade de desbloqueio de algum site em que o colaborador identifique que seu conteúdo seja imprescindível para exercer suas funções diárias, o mesmo deverá requerer ao seu supervisor imediato que solicite à Coordenadoria de Tecnologia da Informação liberação do web-site específico. A solicitação será, obrigatoriamente, feita por meio oficial encaminhada à Coordenadoria de Tecnologia da Informação.

 

Art. 53 A Coordenadoria de Tecnologia da Informação, por meio das equipes de Infraestrutura e Segurança analisarão a solicitação, verificando junto ao Gestor imediato a real necessidade de acesso ao site. Em caso de aprovação, serão solicitadas algumas informações para que a liberação seja efetivada. Estas informações tornam-se imprescindíveis para a administração eficiente dos acessos temporários, ou não, aos sites bloqueados. Após análise e deferimento da solicitação, a equipe técnica da Coordenadoria de Tecnologia da Informação entrará em contato para dar prosseguimento ao chamado. Sendo elas:

 

I – O site será liberado para todos os usuários do setor?

 

II– O site será liberado apenas para um número restrito de usuários?

 

III – Data de revogação do acesso?

 

Art. 54 A liberação de sites não exime o usuário de seus deveres quanto ao uso adequado da rede corporativa. Todas as regras estabelecidas neste decreto também são aplicadas à estas situações.

 

Seção IX

Política de Backup

 

Art. 55 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio do setor de Infraestrutura e Segurança, estruturar uma política de backup de todos os sistemas e arquivos armazenados no DATACENTER da PMCI.

 

Art. 56 A Coordenadoria de Tecnologia da Informação deverá investir continuamente em tecnologia de software e hardware para execução da rotina de backup, visto que esta é uma estratégia fundamental e imprescindível para recuperação em casos de desastres.

 

I – As mídias de armazenamento dos backups deverão ser guardadas em local seguro e de acesso restrito;

 

II – Periodicamente deverão ser executados testes de restauração a fim de garantir o funcionamento da rotina em casos reais de solicitações de restore;

 

III – As Coordenadorias Especiais de Segurança e Auditoria e de Infraestrutura deverão criar e manter o Procedimento de Controle de Backup e Restore - PCBR, onde estarão contidas as estratégias de backup e restore dos servidores, bem como todos os registros de jobs já realizados, além de nomear os responsáveis pela operação diária da rotina;

 

IV – O período de retenção do backup dos servidores deverá ser estabelecido pela equipe técnica da Coordenadoria de Tecnologia da Informação de acordo com normas internas preestabelecidas no PCBR;

 

V – A Coordenadoria de Tecnologia da Informação realizará backup das caixas de entrada mantidas em seus servidores. Os backups de e-mail terão retenção fixada em 30 dias. É de responsabilidade dos usuários manter cópia dos e- mails considerados imprescindíveis em local seguro. A retenção dos backups das caixas postais não significa que os e-mails serão excluídos das contas dos usuários, apenas que um restore de e-mails apagados pelo usuário não poderá ser restaurado após 30 dias;

 

VI – É de responsabilidade do usuário manter uma cópia de segurança em mídia remota dos arquivos armazenados em seus computadores. Os arquivos salvos somente nas estações de trabalho não possuem garantia de backup. A Coordenadoria de Tecnologia da Informação não se responsabilizará pela perda desses arquivos;

 

VII – Demais normas e boas práticas da rotina de backup devem estar contidas no PCBR.

 

Seção X

Acesso ao Ambiente de DATACENTER

 

Art. 57 A Coordenadoria de Tecnologia da Informação, por meio das Coordenadorias Especiais de Segurança e de Infraestrutura, deverá manter um Procedimento de Controle de Acesso ao Datacenter - PCAD, que deverá conter suas normas de uso e acesso.

 

Art. 58 O PCAD deverá conter uma lista com os colaboradores que possuem acesso autorizado ao ambiente de DATACENTER.

 

Art. 59 É vedado o acesso ao DATACENTER sem prévia autorização dos setores de Segurança e de Infraestrutura.

 

Art. 60 O acesso de terceiros e visitantes somente poderá ser feito mediante acompanhamento por membro do corpo técnico da Coordenadoria de Tecnologia da Informação que possua autorização de acesso. A solicitação deverá ser feita de forma oficial.

 

Art. 61 A entrada deverá ser solicitada junto à Coordenadoria Especial de Infraestrutura ou de Segurança e Auditoria, que analisará a necessidade. O acesso somente será autorizado após assinatura do Termo de Responsabilidade contido no PCAD.

 

Art. 62 O DATACENTER deverá conter pelo menos um sistema de autenticação em sua entrada (biometria, cartão magnético, painel digital de senhas, etc.), visando garantir a autenticidade das pessoas que adentrarem em seu interior.


 Art. 63 A entrada ou retirada de equipamentos do DATACENTER deverá ser feita mediante autorização prévia do setor de Infraestrutura de Redes por meio do preenchimento da solicitação de movimentação de bens contida no PCAD.

 

Art. 64 Em caso de desligamento de colaborador que possuía autorização para acesso ao DATACENTER, sua credencial de acesso deverá ser excluída imediatamente.

 

Art. 65 Demais normas e boas práticas para uso do DATACENTER devem estar contidas no PCAD.

 

Seção XI

Servidores, Banco de Dados e Ativos de Rede

 

Art. 66 Todos os servidores utilizados pelas Secretarias Municipais deverão estar fisicamente lotados no DATACENTER da PMCI, sob gerência dos técnicos do setor de Infraestrutura.

 

Art. 67 A Coordenadoria de Tecnologia da Informação deverá realizar a instalação, manutenção, gerenciamento e atualização dos servidores lotados no DATACENTER.

 

Art. 68 Todos os servidores deverão possuir sistema de auditoria de logs ativo, visando garantir o monitoramento e a auditoria do ambiente.

 

Art. 69 A entrada de servidores de terceiros no DATACENTER deverá ser autorizada somente após análise e deliberação por parte da Coordenadoria Especial de Infraestrutura ou de Segurança e Auditoria. É de responsabilidade do proprietário dos servidores (de terceiros) mantê-los em conformidade com este Política de Segurança.

 

Art. 70 Deverão ser instalados nos servidores de terceiros todos os agentes de sistemas de segurança utilizados pela Coordenadoria de Tecnologia da Informação, sob pena de retirada do ambiente e veto do seu ingresso à rede.

 

Art. 71 A Coordenadoria Especial de Infraestrutura deverá gerenciar todos equipamentos de rede, bem como roteadores de borda, switches L2 e L3, switch core, firewall, IPS, gateway de e-mail, proxy, e demais dispositivos que compõe a rede do DATACENTER.

 

Art. 72 Ficará a cargo da Coordenadoria de Tecnologia da Informação desenvolver projetos para a expansão dos recursos tecnológicos do DATACENTER visando o atendimento às demandas constantes da PMCI, garantindo a qualidade na prestação dos serviços ao cidadão.

 

Art. 73 Todo sistema disponibilizado pela PMCI e acessado diretamente pela Internet (aplicação web) deverá estar alocado na Zona Desmilitarizada (DMZ) isolada da rede local.


 Art. 74 Todos os bancos de dados de sistemas utilizados pela PMCI, bem como todos os sistemas a serviços das secretarias e demais órgãos que compõe a Prefeitura, deverão, obrigatoriamente, estar alocados fisicamente no DATACENTER.

 

Art. 75 O acesso aos servidores de Banco de Dados deverá ser restrito às Coordenadorias de Segurança, Infraestrutura e Sistema. Ficará a cargo destes a criação de usuários para conexões específicas dos sistemas utilizados pela PMCI.

 

Art. 76 Em hipótese alguma a senha de administrador será fornecida a terceiros para quaisquer que seja o objetivo. Esta senha deverá ser restrita aos setores citados no artigo anterior.

 

Seção XII

Acesso aos Servidores

 

Art. 77 A Coordenadoria Especial de Infraestrutura deverá prover o acesso aos servidores somente aos usuários técnicos da Coordenadoria de Tecnologia da Informação que julgar necessário.

 

Art. 78 Os servidores não poderão possuir acesso remoto público via protocolo RDP externamente à rede corporativa. Internamente o acesso deverá ser limitado dada a necessidade e possuir controle de acesso efetivo.

 

Art. 79 A Coordenadoria Especial de Infraestrutura deverá prover mecanismo de acesso aos servidores de forma a garantir a segurança no tráfego de informações.

 

Art. 80 Servidores alocados no DATACENTER que são utilizados por terceiros para hospedagem de sistemas, deverão ser acessados por tecnologia segura, como VPN, ou por mecanismo de acesso remoto homologado pela equipe de Infraestrutura e Segurança.

 

Art. 81 Terceiros que desejarem acesso à servidores, deverão solicitar à Coordenadoria de Tecnologia da Informação, por meio de canal oficial, sempre que for necessário realizar uma conexão remota. É de responsabilidade da Coordenadoria Especial de Infraestrutura registrar, analisar a solicitação e deliberar ou não sobre o pedido.

 

Art. 82 É de responsabilidade da Empresa (terceiro) solicitante todo e qualquer incidente que vier a prejudicar a rede corporativa da PMCI, e que comprovadamente for decorrente de seu acesso remoto, podendo sofrer sanções administrativas ou criminais.

 

CAPÍTULO VII

DA ÁREA de atendimento e serviços

 

Seção I

Suporte Técnico e Manutenção

 

Art. 83 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio da Coordenadoria Especial de Atendimento e Serviços (Helpdesk):

 

I – Prover suporte técnico de informática às secretarias que compõe à PMCI;

 

II – Manter o funcionamento da rede corporativa da PMCI, bem como dar manutenção dos equipamentos, dispositivos e componentes de hardware que a compõe;

 

III – Desenvolver projetos para estruturação de redes locais visando adequar o ambiente de trabalho dos órgãos que compõe à PMCI.

 

Seção II

Abertura de Chamados (incidente ou requisição)

 

Art. 84 Todas as solicitações, seja de incidente ou requisição, relacionadas a Tecnologia da Informação da PMCI, deverão ser encaminhadas para o Helpdesk da Coordenadoria de Tecnologia da Informação por meio do sistema GLPI. Cada secretaria deverá possuir pelo menos um login e senha para abertura de chamados. Caso não possua, poderá ser solicitado via e-mail institucional pelo supervisor do setor requerente.

 

Art. 85 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio da Coordenadoria Especial de Atendimento e Serviços, elaborar uma Política de Atendimento ao Usuário em TI. Esta deverá conter as diretrizes necessárias para o bom atendimento aos usuários da PMCI, seguindo as boas práticas de suporte e prestação de serviços em tecnologia da informação.

 

Seção III

Políticas de Senhas e Direitos de Acesso

 

Art. 86 Cada usuário deverá possuir uma combinação de usuário e senha próprios, sendo esses dados de cunho pessoal e intransferível, não podendo, de forma alguma, ser compartilhado com terceiros. Tal diretiva assegura que apenas ele utilize os seus privilégios de acesso em seu computador.

 

Art. 87 É de responsabilidade de cada Secretaria solicitar via Helpdesk da Coordenadoria de Tecnologia da Informação a criação de um novo login. Deverá ser encaminhado ao suporte alguns dados, sendo eles: nome e sobrenome do novo colaborador, setor de lotação, cargo/função, telefone de contato e, se já possuir, e-mail institucional. A solicitação deverá ser feita por meio do supervisor do setor.

 

Art. 88 É de responsabilidade da Coordenadoria de Tecnologia da Informação receber a solicitação, analisá-la e deliberar sobre o atendimento. Deferindo o pedido, deverá ser encaminhado ao supervisor do setor solicitante, via e-mail institucional ou GLPI, o login e senha do usuário criado, orientando-o de sua utilização e prestando o suporte necessário para o primeiro login.

 

Art. 89 Todos os logins, independente do domínio ou sistema, deverão seguir o padrão estabelecido pela Coordenadoria de Tecnologia da Informação, sendo formatado da seguinte forma: nome.sobrenome.

 

Art. 90 As senhas deverão obedecer a uma combinação pré estabelecida pela Coordenadoria de Tecnologia da Informação, sendo estruturada da seguinte forma: mínimo de 08 (oito) caracteres, tendo necessariamente letras(s) maiúscula(s), letra(s) minúscula(s), dígito(s) numérico(s) ou caractere(s) especial.

 

Art. 91 Cada login permite apenas que o usuário utilize um computador por vez, sendo necessária solicitação ao Helpdesk Coordenadoria de Tecnologia da Informação para realizar em outro computador.

 

Art. 92 Os sistemas deverão suportar autenticação via diretório LDAP, sendo possível a integração com os domínios do Active Directory.

 

Art. 93 O usuário não deverá escolher senhas consideradas fáceis ou óbvias, como seu próprio nome ou sobrenome, siglas conhecidas, datas de aniversário, número de telefone do seu setor, etc.

 

Art. 94 Por segurança, as senhas possuem um período de validade estabelecido pela Coordenadoria de Tecnologia da Informação. Ao final desse período, o usuário receberá uma solicitação para atualização da senha.

 

Art. 95 Será de responsabilidade única e exclusiva do usuário todos os acessos e operações realizados através de seu login e senha. Caso o usuário suspeite que seu login esteja sendo utilizado por outra pessoa, deverá trocar a senha imediatamente.

 

Art. 96 É vedada a criação de logins genéricos, com o intuito de serem utilizados por mais de um usuário. Cada usuário deverá, obrigatoriamente, possuir sua própria chave de acesso (login).

 

Art. 97 Tal política se estende a todos os sistemas que necessitem de login como chave de acesso.

 

Seção IV

Correio Eletrônico - acesso

 

Art. 98 As Secretarias deverão solicitar junto à Coordenadoria de Tecnologia da Informação a criação de contas de e-mails para seus colaboradores. As contas de e-mail estarão disponíveis a qualquer usuário da PMCI, mediante autorização do Secretário da pasta.

 

Art. 99 A requisição deverá ser feita por meio do sistema de abertura de chamados da Coordenadoria de Tecnologia da Informação, onde deverão ser informados:

 

I – Nome completo do colaborador;

 

II – Lotação;

 

III – Superior direto;

 

IV – Telefone do setor para contato.

 

Art. 100 O padrão para a criação do e-mail institucional será:

 

I – sigladasecretaria.nome@cachoeiro.es.gov.br;

 

II – sigladasecretaria.nome.sobrenome@cachoeiro.es.gov.br (caso existam dois colaboradores de mesmo nome na Secretaria requerente).

 

Art. 101 Somente em casos especiais, a serem analisados pela equipe de Atendimento e Serviços da Coordenadoria de Tecnologia da Informação, o e- mail poderá obedecer a outra combinação.

 

Seção V

Procedimentos de Retirada de Acesso

 

Art. 102 É de responsabilidade das Secretarias encaminharem à Coordenadoria de Tecnologia da Informação uma solicitação para desativar quaisquer contas de usuários que não estejam mais prestando serviços à PMCI.

 

Art. 103 Quando um colaborador é desligado da PMCI ele perde imediatamente o direito de acesso ao ambiente de rede, serviço de e-mail, internet, sistemas de gestão, etc. Este procedimento é iniciado no envio de solicitação oficial à Coordenadoria de Tecnologia da Informação para retirada de acessos.

 

Art. 104 Em caso de transferências internas (entre secretarias ou setores internos), os direitos de acesso originais deverão ser substituídos pelos novos de acordo com sua lotação futura. Para tanto, torna-se necessário o envio de solicitação oficial para transferência dos acessos.

 

Art. 105 Todo servidor, seja contratado por designação temporária, efetivo, estagiário ou terceirizado, que tiver seu contrato de trabalho encerrado deverá ter todos os seus acessos bloqueados.

 

Art. 106 Após 40 dias de inatividade do usuário (em sistemas, e-mail, rede, etc.), caso a Coordenadoria de Tecnologia da Informação não receba a solicitação para bloqueio dos logins, este ocorrerá de forma automática.

 

Art. 107 A Coordenadoria de Tecnologia da Informação não se responsabilizará por danos a arquivos ou afins causados por usuários que foram deslocados de setores, mas que a Secretaria de sua lotação não solicitou remanejamento das permissões de acesso.

 

Seção VI

Acesso à Rede Wi-Fi

 

Art. 108 A Coordenadoria de Tecnologia da Informação fornecerá equipamentos wireless indoor para disponibilização de rede Wi-fi, quando houver necessidade.

 

Art. 109 Fica a cargo da Coordenadoria de Tecnologia da Informação adquirir equipamentos do tipo roteador wi-fi para disponibilizar rede sem fio em seus setores.

 

Art. 110 É vedada a utilização de roteadores particulares dos colaboradores, isto é, que não sejam de patrimônio da PMCI ou de suas secretarias.

 

Art. 111 A configuração e instalação dos roteadores fica a cargo da Coordenadoria Especial de Atendimento e Serviços. As secretarias deverão solicitar, por meio de seu Secretário, através do GLPI, a instalação dos equipamentos.

 

Art. 112 A Coordenadoria de Tecnologia da Informação, seguindo as disposições do decreto e boas práticas, fará uma análise da solicitação, bem como a validação do funcionamento adequado do roteador para então deferir ou não sobre sua configuração e instalação.

 

Seção VII

Estações de Trabalho e Dispositivos Móveis

 

Art. 113 É de responsabilidade dos usuários zelar pela conservação dos dispositivos de informática que estão sob seu uso e guarda.

 

Art. 114 É vedado ao usuário utilizar as estações de trabalho para fins particulares.

 

Art. 115 Os usuários deverão possuir perfis de uso restrito nas estações de trabalho e dispositivos móveis, ou seja, sem permissões de administrador.

 

Art. 116 Para toda e qualquer execução de software que requer permissões administrativas, o usuário deverá realizar a abertura de chamado junto ao Helpdesk da Coordenadoria de Tecnologia da Informação.

 

Art. 117 É vedado a todos os usuários possuir login com perfil de administrador. Somente o terão os técnicos da Coordenadoria de Tecnologia da Informação indicados pelas Coordenadorias Especiais de Atendimento e Serviços, Infraestrutura e Segurança e Auditoria.

 

Art. 118 Os computadores para uso dos servidores da PMCI são padronizados de forma a atender suas necessidades de trabalho, dessa forma, é automaticamente vedada a personalização do ambiente de área de trabalho nas estações.

 

Art. 119 Os usuários não poderão abrir fisicamente os computadores ou quaisquer dispositivos de rede a fim de retirar ou instalar peças e demais componentes.


 Art. 120 Todas as estações de trabalho deverão ser homologadas pela Coordenadoria de Tecnologia da Informação antes de sua utilização na rede corporativa.

 

Art. 121 A manutenção dos computadores deverá ser feita exclusivamente pelo setor de Helpdesk da Coordenadoria de Tecnologia da Informação.

 

Art. 122 A Coordenadoria de Tecnologia da Informação não se responsabilizará pela perda de arquivos de cunho pessoais nos processos de formatação e manutenção dos computadores. Arquivos que não estiverem no servidor de arquivos da secretaria onde a estação de trabalho está lotada, serão considerados como de cunho pessoal.

 

Seção VIII

Uso de Computadores Particulares

 

Art. 123 Nenhum dispositivo particular poderá ingressar na rede corporativa da PMCI sem o aval do setor técnico responsável.

 

Art. 124 O colaborador que desejar utilizar um dispositivo particular na rede corporativa da PMCI, deverá requerer ao seu supervisor direto que solicite à Coordenadoria de Tecnologia da Informação a homologação do equipamento.

 

Art. 125 A solicitação deverá ser acompanhada de justificativa para o uso de computador de cunho particular.

 

Art. 126 O computador particular deverá ser submetido a varredura do programa de proteção de Endpoints utilizado oficialmente pela Coordenadoria de Tecnologia da Informação.

 

Art. 127 Para que dispositivo possa ingressar na rede, o mesmo deverá atender a todos os requisitos de segurança estabelecidos no presente decreto, incluindo bloqueios e restrições que visam proteger os dados da PMCI.

 

Art. 128 É de responsabilidade do proprietário e de seu supervisor direto qualquer dano que vier a ocorrer na rede corporativa da PMCI e que tenha origem da causa diagnosticada como sendo o dispositivo de cunho particular solicitado para uso.

 

Art. 129 Os computadores pessoais não terão acesso às pastas compartilhadas em servidor de arquivos na rede corporativa, devendo seu uso na rede ser apenas temporário.

 

Seção IX

Acesso a Unidades USB e Drives de CD/DVD

 

Art. 130 Por padrão, todos as unidades USB e drives de CD/DVD dos computadores que integram os domínios de rede da PMCI serão desabilitadas, a fim de evitar a contaminação por malware ou quaisquer tipos de vírus por meio de mídias removíveis.

 

Art. 131 Caso haja necessidade de uso de portas USB ou mídias de CD/DVD por parte de algum colaborador da PMCI (usuário), o supervisor (gerente) do setor em questão deverá abrir um chamado por meio do sistema de Service Desk da Coordenadoria de Tecnologia da Informação (GLPI) justificando o motivo da solicitação do acesso às mídias removíveis. A requisição será examinada pelos técnicos do setor de TI, que poderão deferir ou não o pedido de acordo com o resultado final da análise.

 

Art. 132 As mídias de CD/DVD serão liberadas apenas para leitura, bloqueado a gravação. Tal medida visa evitar a cópia não autorizada de dados que possam violar este decreto ou os direitos autorais do arquivo original.

 

Art. 133 A gravação de arquivos em mídias de CD/DVD deverá ser solicitada junto ao Helpdesk da Coordenadoria de Tecnologia da Informação (GLPI), informando a pasta e os arquivos a serem gravados, além de disponibilizar a mídia para gravação.

 

Seção X

Equipamentos de Informática

 

Art. 134 Todos os computadores, notebooks, roteadores wi-fi, switches de borda e demais dispositivos de informática que forem utilizados pelos usuários da PMCI na rede corporativa para exercerem suas atividades diárias, deverão ser encaminhados primariamente à Coordenadoria de Tecnologia da Informação para deliberação de seu uso e posterior configuração.

 

Art. 135 Somente poderão se conectar à rede corporativa equipamentos que forem homologados pela Coordenadoria de Tecnologia da Informação. Equipamentos de terceiros estão sujeitos à aplicabilidade deste decreto.

 

Art. 136 Fica a cargo da Coordenadoria de Tecnologia da Informação, por meio do setor de Helpdesk, preparar os computadores para uso das Secretarias, instalando os softwares necessários para o desenvolvimento das atividades diárias e de proteção das estações de trabalho.

 

Art. 137 A Coordenadoria de Tecnologia da Informação, por meio do setor de Atendimento e Serviços, deverá definir uma política de aquisição, utilização e padronização de equipamentos de informática, seja hardware ou software.

 

Art. 138 Equipamentos de informática só poderão ser adquiridos mediante homologação da Coordenadoria de Tecnologia da Informação. Fica a cargo desta emitir parecer técnico contrário a compra caso julgar que possa haver impacto ao ambiente tecnológico da PMCI.

 

Seção XI

Download, Instalação e Remoção de Software

 


Art. 139 É vedado aos usuários das estações de trabalho o download e a instalação de softwares não homologados pela Coordenadoria de Tecnologia da Informação.

 

Art. 140 Caso haja necessidade de instalação de algum software, o responsável pelo setor deverá solicitar formalmente à Coordenadoria de Tecnologia da Informação através de seu sistema de abertura de chamados (GLPI). A solicitação deverá conter as seguintes informações:

 

I – Justificativas da necessidade de instalação e uso do software;

 

II – Nome do usuário que utilizará o programa;

 

III – IP e patrimônio do computador em que o software será instalado.

 

Art. 141 Fica a cargo da Coordenadoria de Tecnologia da Informação, por meio do setor de Atendimento e Serviços, analisar a solicitação e conceder seu parecer final. Caso deferido, o Helpdesk deverá realizar o download e a instalação do software na estação de trabalho.

 

Art. 142 Todas as tentativas de downloads são monitoradas pela Coordenadoria de Tecnologia da Informação a fim de garantir a segurança da rede de computadores. O sistema de verificação analisa os arquivos baixados a fim de encontrar vulnerabilidades, vírus ou malwares. De acordo com o tamanho do arquivo, a análise poderá levar um tempo considerável.

 

Art. 143 Os usuários poderão solicitar à Coordenadoria de Tecnologia da Informação, por meio de seu Helpdesk e abertura de chamado, o download de arquivos que estão sendo considerados “falsos positivos” pelo sistema de prevenção. A área técnica competente fará a análise e posterior deliberação ou não pela solicitação.

 

Seção XII

Movimentação e Inventário de Equipamentos

 

Art. 144 A movimentação dos equipamentos de informática somente poderá ser feita pelos técnicos da Coordenadoria de Tecnologia da Informação subordinados pela Coordenadoria Especial de Atendimento e Serviços. Para tanto, deve ser feita solicitação prévia através de abertura de chamado para posterior agendamento.

 

Art. 145 Todos os computadores e equipamentos de informática de propriedade da Prefeitura Municipal de Cachoeiro de Itapemirim deverão ser inventariados pela Coordenadoria de Tecnologia da Informação, por meio do setor de Atendimento e Serviços.

 

Art. 146 O relatório do inventário ficará a disposição das Secretarias para consulta dos dispositivos que nelas se encontrarem. O pedido do relatório deverá ser realizado de forma oficial à Coordenadoria de Tecnologia da Informação.


 

CAPÍTULO VIII

DA ÁREA de SISTEMAS DE INFORMAÇÃO

 

Seção I

Contratos de Sistemas de Informação

 

Art. 147 É de responsabilidade da Coordenadoria Especial de Sistema da Informação da Coordenadoria de Tecnologia da Informação, juntamente com o setor jurídico da PMCI, adequar os contratos que tratam dos sistemas de informações utilizados pela PMCI à LGPD, como estabelece o capítulo IV da referida Lei: “Do Tratamento de Dados Pessoais pelo Poder Público”.

 

Art. 148 O processo de desenvolvimento ou expansão de sistemas da PMCI, bem como a contratação de softwares de terceiros, deverá ser supervisionado pela Coordenadoria de Tecnologia da Informação, ficando esta função a cargo da Coordenadoria de Sistemas em conjunto com o setor de Segurança e Auditoria. Tal ação visa garantir que todo e qualquer sistema utilizado pela PMCI possa seguir os requisitos de segurança estabelecidos neste decreto e pela LGPD.

 

Art. 149 A aprovação para o uso de um novo sistema deverá ser fornecida pela Coordenadoria de Sistema em conjunto com a Coordenadoria de Tecnologia da Informação.

 

Art. 150 É de responsabilidade da Coordenadoria de Tecnologia da Informação, em sistemas por ela desenvolvidos, seguir todos os preceitos previstos em lei para garantir a integridade dos dados tratados pelo software.

 

Art. 151 É de responsabilidade da Empresa que prestar serviços de sistemas à PMCI, seguir todos os preceitos previstos em lei para garantir a integridade dos dados tratados pelo software.

 

Art. 152 A Coordenadoria de Tecnologia da Informação deverá possuir gerenciamento de todos os sistemas desenvolvidos por terceiros, a fim de realizar testes de usabilidade, integridade e garantia que seus requisitos e ações atendam o disposto em lei.

 

Seção II

Termos de Aceite de Uso de Dados em Sistemas

 

Art. 153 Todos os sistemas que realizarem o tratamento de dados pessoais, deverão solicitar ao usuário a aceitação do Termo de Aceite e Políticas de Privacidade. Este deve conter informações relevantes sobre quais dados estão sendo coletados e que serão usados pelo sistema em uso.

 

Art. 154 É de responsabilidade da Coordenadorias de Sistema, em conjunto com a área jurídica da PMCI, elaborar o Termo de Aceite e Políticas de Privacidade - TAPP, que estejam em consonância com a Lei Nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais.


 Art. 155 O TAPP deve ser atualizado sempre que houver modificação nas ações de tratamento dos dados dos usuários, informando-os das novas informações que serão coletadas e para qual finalidade.

 

Seção III

Auditoria de Sistemas e Bancos de Dados

 

Art. 156 Todos os sistemas, seja desenvolvido pela Coordenadoria de Tecnologia da Informação ou por terceiros, deverão possuir registro de log de controle de acessos e atividades. Tais registros devem ser armazenados em local seguro a fim de serem utilizados para realização de auditoria interna ou externa contratada pela Coordenadoria de Tecnologia da Informação.

 

Art. 157 Os bancos de dados presentes no DATACENTER da PMCI também devem possuir capacidade para controle de acesso, registro de atividades e auditoria.

 

Art. 158 O setor de Sistemas de Informação em conjunto com a área de Segurança de Dados deverá realizar, periodicamente, auditorias internas em todos os sistemas, a fim de averiguar possíveis vulnerabilidades e riscos de vazamentos de dados pessoais.

 

Art. 159 A periodicidade da auditoria interna deverá ser definida pela Coordenadoria de Tecnologia da Informação, ficando estabelecido o mínimo de 01 (uma) auditoria a cada 02 (dois) anos.

 

Art. 160 Os relatórios da auditoria interna deverão ficar disponíveis para a Coordenadoria de Tecnologia da Informação analisar e tecer parecer sobre as ações a serem tomadas posteriormente.

 

Seção IV

Autorização nas Funções dos Sistemas Corporativos

 

Art. 161 A criação de perfis e logins para acesso aos sistemas corporativos utilizados pela PMCI, devem ser feitos por técnicos da Coordenadoria de Tecnologia da Informação indicados pela Coordenadoria Especial de Sistema.

 

Art. 162 A solicitação de criação, alteração ou remoção de perfis deverá ser feita de forma oficial à Coordenadoria de Tecnologia da Informação pelo Secretário onde se encontra lotado o colaborador (usuário).

 

Art. 163 No ato da solicitação, o titular da secretaria torna-se co-responsável pelas ações dos usuários nos sistemas corporativos ao qual possuírem acesso.

 

Seção V

Uso e Tratamento dos Dados

 

Art. 164 O uso e o tratamento dos dados pessoais por parte da PMCI em todos os sistemas por estas utilizados, deverão sempre seguir os princípios base de segurança da informação:

 

I – Confidencialidade: Garantia de que a informação estará acessível apenas para pessoas autorizadas;

 

II – Integridade: Os serviços prestados a municipalidade são focados na finalidade pública, visando oferecer ao cidadão serviços de qualidade em cumprimento com sua missão institucional, dessa forma, em hipótese alguma deverão convergir com interesses pessoais que venham a oferecer prejuízo à Administração Pública. Assim sendo, somente pessoas devidamente autorizadas poderão fazer uso e tratamento dos dados;

 

III – Disponibilidade: Os serviços deverão estar seguros e disponíveis para serem acessados a qualquer momento pelos usuários autorizados;

 

IV – Autenticidade: Deve-se sempre identificar e registrar o usuário que está enviando ou modificando a informação, mantendo trilhas de logs para auditoria de sistemas;

 

V – Finalidade: Todas as práticas de tratamento dos dados pessoais no âmbito da Prefeitura Municipal de Cachoeiro de Itapemirim devem condizer com sua natureza, escopo e missão institucional, obedecendo sobretudo as leis que a regem e à Lei Geral de Proteção de Dados Pessoais.

 

Seção VI

Metodologia de Desenvolvimento de Software: Privacy by Design (PbD)

 

Art. 165 Todos os softwares desenvolvidos pela PMCI ou contratados de Terceiros deverão ser desenvolvidos seguindo as diretrizes da metodologia Privacy by Design.

 

Art. 166 É de responsabilidade da Coordenadoria de Sistemas, desenvolver documentação que estabeleça as diretrizes para o desenvolvimento de softwares. Esta deverá estar de acordo com as diretrizes da PbD.

 

Art. 167 A Coordenadoria deverá estabelecer a privacidade como sendo a configuração padrão para os usuários da aplicação.

 

Art. 168 A proteção de dados pessoais deve ser estabelecida desde a concepção das aplicações, levantamento de requisitos, passando pelo desenvolvimento dos sistemas até a sua entrega final e posterior utilização pelos usuários.

 

Art. 169 Sistemas anteriores a este decreto e à LGPD deverão ser reestruturados e adequados a legislação e as diretrizes de desenvolvimento da PbD.

 

Art. 170 A contratação de softwares de terceiros por todos os órgãos que compõe a PMCI, deverá possuir a avaliação técnica e homologação da Coordenadoria de Tecnologia da Informação.

 

Art. 171 Todos os sistemas utilizados pelas unidades administrativas da PMCI que envolvem o tratamento de dados pessoais (conforme Lei Nº 13.709/2018) deverão:

 

I – Possuir a privacidade como base de seu desenvolvimento;

 

II – Ter a privacidade incorporada ao design;

 

III – Segurança em todo ciclo de desenvolvimento do software;

 

IV – Abranger visibilidade e transparência;

 

V – Respeitar a privacidade do titular dos dados;

 

VI – Ser proativo quando a surgimento de vulnerabilidades.

 

Seção VII

Criptografia

 

Art. 172 Todas os sistemas que necessitarem de usuário e senha para comunicação interna com bases de dados, deverão possuir criptografia em seu código ao utilizar essas informações. As chaves para descriptografia deverão ser fornecidas ao setor de Infraestrutura para armazenamento em local seguro.

 

Seção VIII

Canal de Comunicação com os Titulares dos Dados

 

Art. 173 É de responsabilidade da Coordenadoria de Tecnologia da Informação, por meio do setor de Sistemas de Informação, a criação e manutenção de um canal de comunicação entre os titulares de dados e o Encarregado de Dados da PMCI.

 

Art. 174 O canal deverá possuir interface amigável, de fácil usabilidade e que permita a rápida comunicação do cidadão com a PMCI.

 

Art. 175 As solicitações deverão ser feitas exclusivamente pelo titular dos dados. A respostas as solicitações deverão ser encaminhadas em tempo hábil ao titular.

 

Art. 176 É de responsabilidade do encarregado de dados da PMCI responder as solicitações com as informações necessárias de acordo com o disposto na lei 13.709/2018.

 

Art. 177 O titular dos dados pessoais armazenados nos bancos de dados da PMCI, poderá solicitar, a qualquer momento, informações sobre o uso de seus dados, bem como atualizações e correções.

 

CAPÍTULO IX

CONSIDERAÇÕES FINAIS

 

Art. 178 Este Decreto da Política de Segurança da Informação e Comunicação visa estabelecer normas e diretrizes que estejam em conformidade com a Lei 13.709/2018 - Lei Geral de Proteção de Dados, utilizando-se das melhores práticas em tecnologia da informação para o tratamento de dados pessoais com segurança e privacidade no âmbito da Prefeitura Municipal de Cachoeiro de Itapemirim.

 

Art. 179 As dúvidas e/ou omissões geradas por deste Decreto deverão ser solucionadas junto à Coordenadoria de Tecnologia da Informação.

 

Art. 180 Todos os envolvidos nos processos de tecnologia da informação e comunicação devem atentar-se para o atendimento pleno das disposições contidas neste Decreto.

 

Art. 181 Este Decreto entra em vigor a partir de sua publicação.

 

Cachoeiro de Itapemirim/ES, 20 de abril de 2021.

 

VICTOR DA SILVA COELHO

Prefeito municipal

 

Este texto não substitui o original publicado e arquivado na Prefeitura Municipal de Cachoeiro de Itapemirim.