Dispõe sobre a utilização dos recursos de tecnologia da informação do Tribunal de Contas do Estado de São Paulo

RESOLUÇÃO Nº 09/2019

Processo SEI Nº 0011748/2019-56

Dispõe sobre a utilização dos recursos de tecnologia da informação do Tribunal de Contas do Estado de São Paulo e dá outras providências.

o TRIBUNAL DE CONTAS DE SÃO PAULO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de se aperfeiçoar a disciplina de utilização dos recursos de tecnologia da informação do Tribunal de Contas do Estado de São Paulo,

RESOLVE:

DOS TERMOS UTILIZADOS

8108115. 1º - Para efeito do disposto nesta Resolução, consideram-se:
         1. 1. - arquivo: conjunto de informações concatenadas passível de armazenamento em meio digital;
            2. - chefia: posição hierárquica correspondente à dos servidores públicos no exercício dos cargos de chefia imediata ou mediata;
            3. - CTI: Comitê de Tecnologia da Informação, instituído pela Resolução nº 01/2002, de 19/12/2002;
            4. - DTI: Departamento de Tecnologia da Informação, Unidade Administrativa, diretamente subordinada à Presidência e responsável pela gestão dos recursos de tecnologia da informação do Tribunal, na forma da Resolução nº 01/2002, de 19/12/2002;
            5. - mensageria: serviço de envio e recebimento de mensagens (correio eletrônico, mensagens instantâneas, videoconferência e telefonia IP) em meio digital, compreendendo softwares e equipamentos;
            6. - código malicioso: programa ou trecho de programa projetado especificamente para atentar contra a segurança dos recursos de tecnologia da informação, por meio de exploração de vulnerabilidade do equipamento e seus respectivos softwares;
            7. - rede local: conjunto dos recursos de informação de cada um dos prédios do Tribunal, incluindo a infraestrutura que os conecta;
            8. - software: conjunto de comandos lógicos, escritos em linguagem específica, para execução em equipamento de informática;
            9. - usuário: pessoa autorizada a operar equipamento de informática, mediante identificação exclusiva;
            10. - SPAM: mensagem eletrônica não solicitada pelo usuário;
            11. - webmail: site da Internet que permite ao usuário ler e escrever e-mail usando um navegador.
            12. - servidores de rede: computadores especializados, com alta capacidade de processamento de informações, que disponibilizam serviços aos usuários, tais como sites, arquivos, sistemas, e-mail, dentre outros.

DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO

8108115. 2º - São considerados recursos de tecnologia da informação, destinados ao atendimento das necessidades dos serviços e sujeito às disposições desta Resolução:
         1. 1. - equipamentos disponibilizados pelo TCE-SP aos usuários, como computadores, tablets, impressoras e celulares;
            2. - softwares e sistemas criados ou adquiridos pelo TCE-SP;
            3. - servidores de rede;
            4. - espaço de gravação de arquivos e informações, incluindo mídias removíveis;
            5. - rede local, seus equipamentos e suas conexões;
            6. - equipamentos conectados, direta ou indiretamente, à rede local do TCE-SP;
            7. - sala cofre e seus sistemas de proteção;
            8. - serviços de mensageria;
            9. - equipamentos de telecomunicações;
            10. - bases de dados;
            11. - informações armazenadas nos recursos anteriormente citados, bem como eventuais cópias armazenadas em recursos externos ao TCE-SP;
            12. - serviços disponibilizados por meio dos recursos anteriormente citados.

Paragráfo único - Quando conectados à rede local do TCE-SP, os recursos de tecnologia de informação de propriedade particular ou de terceiros estarão igualmente sujeitos às normas desta Resolução.

8108115. 3º - O acesso aos recursos de tecnologia da informação implicará aceitação, pelo usuário, do Termo de Compromisso de Utilização dos Recursos de Tecnologia da Informação, conforme o Anexo I desta Resolução.

Parágrafo único - Diante da disponibilidade da infraestrutura de tecnologia da informação e de requisitos de segurança, poderão ser impostos limites ao acesso e utilização dos recursos de tecnologia de informação.

8108115. 4º - As solicitações para aquisição de recursos de tecnologia da informação, ou para substituição dos existentes, deverão ser encaminhadas ao DTI.

Paragráfo único - O seu atendimento às solicitações dependerá da disponibilidade dos recursos solicitados, ou, na falta destes, da aprovação de sua aquisição pelo Gabinete da Presidência.

8108115. 5º - A distribuição de novos recursos de tecnologia da informação será determinada pelo Gabinete da Presidência, de acordo com sua disponibilidade e da necessidade de cada Unidade Administrativa.

DOS USUÁRIOS

8108115. 6º - São usuários dos recursos de tecnologia da informação os servidores, os prestadores de serviço, visitantes e os demais colaboradores, devidamente autorizados e identificados.

• 1º - A autorização e acesso de uso dos recursos de tecnologia da informação dar-se-á pela idenfiticação pessoal e instransferível do usuário.
• 2º - Toda e qualquer ação, executada por meio de um determinado acesso, será de responsabilidade daquele a quem for atribuído, cabendo-lhe, portanto, zelar por sua confidencialidade e segurança.

Artigo 7º - O uso adequado dos recursos de tecnologia da informação é de responsabilidade do usuário, cabendo-lhe solucionar dúvidas junto ao DTI acerca da maneira adequada de seu uso e fruição.

Paragráfo único - Constatado pelo dirigente responsável pela unidade o uso inadequado dos equipamentos ou softwares, a ocorrência deverá ser imediatamente comunicada ao DTI, para a adoção das providências cabíveis.

Artigo 8º - O cadastramento do usuário deverá ser realizado previamente ao seu acesso aos recursos de tecnologia da informação.

• 1º - A autorização de uso contemplará o acesso aos recursos de tecnologia da informação necessários para a execução das tarefas.
• 2º - O afastamento definitivo do servidor dos quadros do TCE-SP deverá ser comunicado pela Diretoria de Pessoal ao DTI, para cancelamento da autorização de uso.
• 3º - As alterações de autorização de uso dependerão de comunicação pelas Chefias ao DTI, para os ajustes necessários.

§ 4 -  Cabe ao dirigente da Unidade Administrativa interessada solicitar ao DTI o acesso aos recursos de tecnologia, bem como seu cancelamento, a prestadores de serviço, visitantes e demais colaboradores.

Artigo 9º – Cabe ao usuário:

1. 1. 1. - zelar pelo sigilo de suas credenciais de acesso;
      2. - bloquear seu acesso aos recursos de tecnologia da informação, quando não os estiver utilizando;
      3. - comunicar imediatamente ao DTI qualquer suspeita de que estejam sendo executados atos em seu nome por meio dos recursos de tecnologia da informação;
      4. - alterar imediatamente suas credenciais de acesso quando houver qualquer suspeita de comprometimento do mesmo;
      5. - zelar pela segurança e integridade física dos recursos de tecnologia da informação colocados sob seu cuidado, evitando submetê-los a condições de risco e comunicando imediatamente ao DTI qualquer anormalidade.

Artigo 10 – Cabe, ainda, ao usuário, impedido de desenvolver atividades por conta das restrições mencionadas no Artigo 5º, justificar a necessidade à sua Chefia, que então solicitará ao DTI a liberação das restrições.

• 1º - A liberação das restrições impostas estará condicionada à análise técnica a ser realizada pelo DTI.
• 2º - Recusada a liberação, o pedido poderá ser apresentado novamente ao DTI para reconsideração.
• 3º - No caso de reincidência de recusa pelo DTI, o pedido poderá ser apresentado ao CTI, em grau de recurso.

DO DTI

Artigo 11 - O DTI deverá zelar pelo bom uso dos recursos de tecnologia da informação, prezando por garantir sua confidencialidade, disponibilidade, autenticidade e integridade, cabendo-lhe, com exclusividade:

1. 1. 1. - administrar os recursos de tecnologia da informação;
      2. - empregar mecanismos para controlar licenças de uso, bem como para bloquear recursos de tecnologia da informação não licenciados;
      3. - empregar mecanismos para restringir alterações da configuração dos recursos de tecnologia da informação;
      4. - empregar mecanismos de segurança e contingência, visando garantir a disponibilidade, a confidencialidade e a integridade dos recursos de tecnologia da informação;
      5. - empregar mecanismos para detecção, análise e registro de uso inadequado dos recursos de tecnologia da informação;
      6. - elaborar estudos, em conjunto com as áreas afins, para a renovação dos recursos de tecnologia da informação, visando otimizar e garantir a segurança das atividades executadas pelo TCE-SP;
      7. - analisar e submeter à apreciação do Gabinete da Presidência proposta de aquisição de recursos de tecnologia de informação, cuja contratação envolva custos;
      8. - auxiliar as Chefias e os usuários, visando o uso adequado dos recursos de tecnologia da informação do TCE-SP;
      9. - realizar ações preventivas e corretivas, com a implantação de mecanismos de controle, que evitem ou coíbam irregularidades;
      10. - planejar, implantar, aperfeiçoar e manter mecanismos que possibilitem filtrar, detectar, restringir e bloquear as ações definidas como mau uso nesta Resolução e quaisquer outras que possam acarretar riscos aos recursos de tecnologia da informação, às atividades, ou à imagem do TCE-SP e de seus membros;
      11. -  armazenar informações referentes ao uso dos recursos de tecnologia da informação, para fins de inspeção, estatísticas de utilização e otimização dos recursos de tecnologia da informação;
      12. - realizar pesquisas e levantamentos sobre a segurança dos recursos de tecnologia da informação providos pelo TCE-SP;
      13. - aplicar controles de segurança apropriados para a proteção de dados pessoais coletados e tratados nos recursos de tecnologia da informação do TCE-SP;
      14. - implementar políticas e procedimentos que sejam requisitos para o atendimento à boas práticas, normas técnicas tecnologia da informação e legislação vigente.

DOS RECURSOS DE TECNOLOGIA PARTICULARES E DE PRESTADORES DE SERVIÇO

Artigo 12 - É expressamente vedada a conexão de recursos de tecnologia particulares ou de prestadores de serviço, quando não autorizados pelo DTI, à rede local do TCE-SP.

• 1º. É de responsabilidade dos particulares ou prestadores de serviço contratados pelo TCE-SP a legalidade de seus recursos de tecnologia da informação, devendo comprová-la, caso solicitado.
• 2º. A manutenção dos equipamentos particulares, bem como a instalação de softwares, será de responsabilidade do proprietário, isentando-se o TCE-SP por eventuais danos ocorridos.
• 3º. São de responsabilidade dos terceiros e prestadores de serviço eventuais danos causados ao TCE-SP pelo uso de seus recursos particulares de tecnologia da informação.

DO MONITORAMENTO DE ATIVIDADES

Artigo 13 - As atividades dos recursos de tecnologia da informação serão monitoradas de forma constante, automatizada e não individualizada, sendo utilizada para:

1. 1. 1. - levantamento de métricas, estatísticas e eventos nos recursos de tecnologia de informação;
      2. - planejamento em relação à infraestrutura de tecnologia de informação;
      3. - identificação de riscos em relação aos recursos de tecnologia da informação;
      4. - verificação da conformidade de atendimento das regras definidas e publicadas para o uso dos recursos de tecnologia de informação;
      5. - aperfeiçoamento dos controles de segurança da informação.

Artigo 14 - Eventualmente, o TCE-SP poderá adotar o monitoramento de atividades individuais de um ou mais usuários, nas seguintes situações:

• 1. 1. - quando expressamente determinada pelo Gabinete da Presidência;
     2. - quando identificado pelo DTI risco para os recursos de tecnologia da informação, com imediata informação ao Gabinete da Presidência;
• 1º. Os dirigentes mediatos poderão solicitar diretamente ao Gabinete da Presidência monitoramento e levantamento de atividades, que, quando de acordo, encaminhará a autorização para o DTI.
• 2º. O monitoramento será realizado por servidor do DTI indicado pelo Diretor do DTI ou Gabinete da Presidência, que receberá as informações necessárias.
• 3º. Toda e qualquer informação adquirida através de monitoramento individualizado será tratada como sigilosa, com rastreabilidade de origem e em modo seguro, sob a responsabilidade do servidor indicado, sendo descartada caso a autorização não seja concedida pela Presidência.
• 4º. Serão consideradas faltas graves, sujeitas a penalidades:
  1. - O monitoramento das atividades dos usuários de forma individualizada sem as autorizações expressas constantes nesta Resolução;
  2. - O repasse das informações obtidas a outrem, sem a autorização do Gabinete da Presidência.

DO USO INADEQUADO

Artigo 15 - É considerado uso inadequado dos recursos de tecnologia da informação do TCE-SP, sujeito a penalidades:

1. 1. 1. - acessar redes externas por meio não previamente autorizado pelo DTI, quando conectado à rede local;
      2. - tentar ou efetivamente:
         1. alterar as características dos recursos de tecnologia da informação;
         2. alterar o local de instalação dos recursos de tecnologia da informação;
         3. alterar as configurações lógicas que impeçam, alterem ou possam alterar a regular administração realizada pelo DTI, bem como a segurança deste ou de qualquer outro recurso de tecnologia da informação;
         4. conectar à rede local recursos de tecnologia da informação não autorizados pelo DTI;
         5. apropriar-se, sem autorização do Gabinete da Presidência, de recursos de tecnologia da informação do TCE-SP;
         6. enviar ou publicar material que possa afetar de forma negativa o TCE-SP, seus servidores, fornecedores ou parceiros, inclusive no que tange às suas imagens públicas;
         7. enviar informações confidenciais ou proprietárias, inclusive senhas ou listas de endereços, para terceiros, sem a devida autorização;
         8. enviar ou acessar material que possa ser considerado de conteúdo agressivo, preconceituoso, difamatório, calunioso, discriminatório, pornográfico ou de incentivo ao ódio ou atividades ilegais;
         1. tornar a rede local vulnerável a ataques cibernéticos, em suas mais diferentes formas;
         10. violar os sistemas de segurança da informação do TCE-SP;
         11. burlar as regras definidas para o uso de recursos de tecnologia da informação;
         50. alterar os registros de acesso aos recursos de tecnologia de informação;
         1000. realizar ataque ou invasão aos recursos de tecnologia de informação, internos ou externos, sem anuência expressa do Gabinete da Presidência e ciência expressa do DTI;
         14. enviar material danoso, ilegal, ofensivo ou não ético, como código malicioso, propaganda comercial ou política, correntes, abaixo-assinados, spam, de confissão religiosa, boatos, e mensagens enganosas ou similares;

1. 1. 3. - fornecer por qualquer motivo, seu acesso para outrem ou fazer uso do acesso de outrem;
      4. - utilizar material ou software não licenciado ou que implique violação de direitos autorais, de propriedade intelectual ou de qualquer meio de proteção;
      5. - armazenar nos recursos de tecnologia da informação arquivos não relacionados às atividades do TCE-SP.

Paragráfo único - Não será considerado uso inadequado dos recursos de tecnologia da informação:

1. 1. 1. - veiculação de campanhas internas de caráter social ou informativo, desde que previamente autorizada pelo Gabinete da Presidência e que respeite os critérios técnicos definidos pelo DTI;
      2. - uso para eventual interesse particular do usuário, desde que seja moderado e compatível com suas atribuições funcionais.

Artigo 16 - Constatado o uso inadequado, o DTI deverá tomar as providências necessárias, comunicando, na ordem:

1. 1. 1. - Chefia imediata;
      2. - Chefia mediata, quando existir, reiterando à chefia imediata.

Paragráfo único - Mantendo-se o usuário em reincidência, o DTI bloqueará seu acesso, comunicando imediatamente ao Gabinete da Presidência e reiterando às Chefias imediata e mediata.

DAS PENALIDADES

Artigo 17 - O descumprimento das disposições contidas nesta Resolução, que possa caracterizar infração funcional, será objeto de apuração preliminar, nos termos da Lei nº 10.261/68.

Artigo 18 - A autoridade que determinar a instauração de apuração preliminar contra servidor poderá requisitar ao DTI a suspensão cautelar da correspondente autorização de uso, mediante bloqueio da conta de acesso.

DAS DISPOSIÇÕES FINAIS

Artigo 19 - Em situações emergenciais, como ataques internos e externos ou qualquer outro evento que possa comprometer a segurança e disponibilidade dos recursos de tecnologia da informação, o DTI tomará as medidas técnicas necessárias, incluindo eventuais bloqueios a serviços permitidos por esta Resolução.

Paragráfo único - Efetivada a restrição, o DTI dará ciência imediata ao Gabinete da Presidência, que decidirá sobre a manutenção do bloqueio.

Artigo 20 - Os casos omissos serão analisados pelo DTI e submetidos ao CTI.

Artigo 21 - Das decisões proferidas pelo CTI cabe recurso ao Gabinete da Presidência, no prazo de 10 (dez) dias úteis a contar da data de comunicação da decisão ao interessado pelo DTI ou pelo CTI.

Artigo 22 - Cabe ao DTI elaborar e revisar, periodicamente, políticas e procedimentos técnicos, de forma a aumentar a segurança, disponibilidade e adequação dos recursos de tecnologia da informação, devendo estes, previamente à sua efetivação:

1. 1. 1. - serem apreciados e autorizados pelo CTI;
      2. - serem anexados a esta Resolução e publicados no Portal do Servidor. 

Artigo 23 - O conteúdo desta Resolução será publicado no Portal do Servidor.

Artigo 24 - Esta Resolução entrará em vigor na data de sua publicação, revogadas as disposições em contrário.

São Paulo, 6 de novembro de 2019.

ANTONIO ROQUE CITADINI – Presidente

EDGARD CAMARGO RODRIGUES

RENATO MARTINS COSTA

CRISTIANA DE CASTRO MORAES

DIMAS RAMALHO

SIDNEY ESTANISLAU BERALDO

VALDENIR ANTONIO POLIZELI - Auditor Substituto de Conselheiro

Anexo I - Termo de Compromisso de Utilização dos Recursos de Tecnologia da Informação

Eu, [NOME COMPLETO], CPF [CPF], declaro que tomei conhecimento dos termos da Resolução Nº XX/XXXX do Tribunal de Contas do Estado de São Paulo, cujo conteúdo encontra-se disponível no Portal do Servidor, estando ciente de todas as responsabilidades que a mim competem como usuário dos recursos de tecnologia da informação deste Tribunal de Contas, bem como das penalidades que estarei sujeito em caso de utilização inadequada.

Declaro estar ciente também de que o uso dos recursos de tecnologia da informação é passível de monitoramento, nos termos da mencionada Resolução, por se tratarem de ferramentas de trabalho a mim disponibilizadas pelo Tribunal de Contas do Estado de São Paulo, não cabendo, portanto, a presunção de que tal monitoramento viola o que dispõe o inciso XII, do artigo 5º da Constituição Federal de 1988.

São Paulo, XX de XXXXXXXXX de 2.0XX

___________________________

Assinatura