IMPRENSA OFICIAL - AMÉRICO DE CAMPOS
Publicado em 20 de julho de 2022 | Edição nº 1413 | Ano VIII
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Portarias
PORTARIA Nº. 9.573.
15 DE JULHO DE 2.022.
OBJETO: Estabelece norma de segurança para gestão de identidade e acesso aos ativos e sistemas de informação da Prefeitura de Américo de Campos.
ROSENALDO RODRIGUES, Prefeito Municipal de Américo de Campos, Estado de São Paulo, no uso de suas atribuições legais conferidas pelo Art. 42, Inciso VIII da LOM e com fulcro na Lei Federal nº. 13.709, de 14 de Agosto de 2.018 – Lei Geral de Proteção de Dados (LGPD) .
RESOLVE:
Art. 1º - A Norma de segurança da informação N-SI-001 complementa a Política Geral de Segurança da Informação, definindo as diretrizes para garantir que o acesso aos ativos de informação ou sistemas de informação da Prefeitura garantaníveis adequados de proteção.
Art. 2º - Esta norma obedece ao escopo definidona Política Geral de Segurançada Informação.
Art. 3º - São diretrizes para acesso a ativos e sistema de informação da Prefeitura de Américo de Campos:
§ 1º - A Prefeitura fornece a seus usuáriosautorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo,rede corporativa.
§ 2º - As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais.
§ 3 º - Toda conta de acesso é de uso do usuário a qual foi delegada e intransferível. Desta forma, o usuárioé integralmente responsável por sua utilização, respondendo por qualquer violação ou ato irregular/ilícito, mesmo que exercido por outro indivíduo e/ou organização de posse de sua conta de acesso.
Art. 4º - Os usuários deverão adotar medidas de prevenção para garantir o acesso seguroa ativos e serviços de informação, incluindo:
§ 1º - Não anotar ou registrar senhas de acesso em qualquer local, exceto nasferramentas oficialmente fornecidas pela Prefeitura de Américo de Campos.
§ 2 º - Não utilizar sua conta, ou tentar utilizar qualquer outra conta, para violar controles de segurançaestabelecidos pela Prefeitura de Américo de Campos.
§ 3 º - Não compartilhar a conta de acesso e senha com outro usuário, colaborador e/ou terceiro.
§ 4º - Informar imediatamente a equipe de segurança caso identifique qualquerfalha ou vulnerabilidade que permita a utilização não autorizada de ativos de informação, sistemas e/ou recursos computacionais da Prefeitura de Américo de Campos.
Art. 5 º - Os Usuários que têm acesso autorizado a privilégios administrativos em sistemas de informação devem possuir uma credencial específica para este propósito.
§ 1º - A credencial privilegiada deverá ser utilizada somentepara a execução de atividades administrativas que requeiram esse nível de acesso, enquanto a conta de acesso comum deveráser utilizada em atividades do dia a dia.
§ 2 º - Qualquer utilização não autorizada ou tentativa de utilização não autorizada de credenciais e senhas de acesso a ativos/serviços de informação ou recursos computacionais será tratada como um incidente de segurança da informação, cabendo uma análise da infração pelo CGSI e aplicação das sanções e punições previstas na Política Geral de Segurançada Informação, conformea gravidade da violação.
Art. 6º - As senhas associadas às contas de acesso a ativos/serviços de informação ourecursos computacionais da Prefeitura de Américo de Campos são de uso pessoal e intransferível, sendo dever do usuário zelar por sua guarda e sigilo.
Art. 7º - A Prefeitura de Américo de Camposadota os seguintes padrões para geraçãode senhas de acesso a seus ativos/serviços de informação ou recursos computacionais:
§ 1º - A equipe de tecnologia da informação será responsável por fornecer senhas de acesso inicialao usuário, que deverá procedercom a troca imediata da mesma.
§ 2º - As senhas possuem validade, passado o prazo, os sistemas poderãosolicitar automaticamente a troca da senha.
§ 3º - As senhas associadas as contas com privilégio não-administrativo serãocompostas usando uma quantidade mínima de 08 (oito) dígitos, combinando letras maiúsculas e minúsculas, números e caracteres especiais.
§ 4º - As senhas associadas as contas que possuem privilégio administrativo serão compostas usando uma quantidade mínima de 15 (quinze) dígitos,combinando letras maiúsculas e minúsculas, númerose caracteres especiais.
§ 5º - Após 05 (cinco) tentativas de acesso com senhas inválidas, a conta do usuário poderá ser bloqueada, assim permanecendo por no mínimo30 (trinta) minutos.
§ 6º - Os sistemas de informação podem manter um histórico das últimas 12 (doze) senhasutilizadas, não permitindo sua reutilização.
Art. 8º - Quando criadauma nova senha, usuários devem estar atentosas seguintes recomendações:
§ 1º - Não utilizarnenhuma parte de sua credencial na composição da senha.
§ 2º - Não utilizarqualquer um de seus nomes, sobrenomes, nomes de familiares, colegas de trabalho ou informação a seu respeito de fácil obtenção como, por exemplo,placa do carro,data de aniversário, ou endereço.
§ 3º - Não utilizarrepetição ou sequência de caracteres, númerosou letras.
§ 4º - Qualquer parte ou variação do nome Unidade de Processamento de Dados da Prefeitura – “PREFEITURA”.
§ 5º - Qualquer variação dos itens descritos acima como duplicação ou escrita invertida.
Art. 9º - A autorização e o nível permitido de acesso de ativos/serviços de informação da Prefeitura de Américo de Campos é feita com base em perfis que definemo nível de privilégio dos usuários.
Art. 10. O acesso à ativos/serviços de informação é fornecido a critério da Prefeitura de Amério de Campos, que define permissões baseadas nas necessidades laborais dos usuários.
Autorizações de acesso a perfis são fornecidas e/ou revogadas com base na solicitação dos gestores de cada colaborador. Solicitações deverão ser encaminhadas a equipe de tecnologia da informação.
Art. 11. Os usuários devem ainda observar as seguintes diretrizes:
§ 1º - A seu critério exclusivo, a Prefeitura de Américo de Campos poderá ativar uma cota para armazenamento de arquivos em sua infraestrutura computacional local ou serviços de armazenamento remoto(nuvem). Caso o usuário necessitede mais espaço, deverá realizar uma solicitação ao departamento de tecnologia da informação.
§ 2 º - É expressamente proibido o armazenamento de informações de caráter pessoal, que infrinjam direitos autorais ou que não sejam de interesse da Prefeitura de Américo de Campos, tanto na infraestrutura computacional local ou serviços de armazenamento remoto(nuvem).
§ 3º - Usuários não devem ter expectativa de privacidade quanto aos arquivosarmazenados na infraestrutura computacional local ou serviços de armazenamento remoto(nuvem) da Prefeitura de Américo de Campos.
Art. 12. É responsabilidade dos colaboradores apontados como Gestorda Informação:
§ 1º - Autorizar a concessão e revogação de acesso a ativos/sistemas de informação sob sua responsabilidade.
§ 2º - Autorizar a concessão e o controlede acesso administrativo a ativos/sistemas de informação sob sua responsabilidade.
§ 3º - Realizar a revisão periódica de autorizações de acesso e credenciais de acesso a ativos/sistemas de informação sob sua responsabilidade.
Art. 13. É responsabilidade do Departamento de Recursos Humanos:
§ 1º - Reportar em tempo hábil o desligamento de servidores da Prefeitura de Américo de Campos a equipede tecnologia da informação para que contasde acesso possam ser revogadas.
§ 2º - Apoiar a gestão de identidades enviandorelatórios periódicos sobre colaboradores desligados ou que mudaramde posição na Prefeitura de Américo de Campos.
§ 3º - Apoiar a revisão periódicada validade de credenciais de acesso a ativos/sistemas de informação fornecendo informações sobre os empregados.
Art. 14. É responsabilidade dos gestorese coordenadores:
§ 1º - Solicitar a equipe de tecnologia da informação a concessão de acesso de novos empregados ou empregados que necessitem de novos acessos conforme mudanças em suas atividades laborais.
§ 2º - Solicitar a equipe de tecnologia da informação concessão de acesso aterceiros/prestadores de serviços contratados justificando a necessidade de acessoa ativos/sistemas de informação.
§ 3º - Informar a equipe de tecnologia da informação quando ao encerramento do contrato com terceiros/prestadores de serviços contratados que tenham a ativos/sistemas de informação.
Art. 15. É responsabilidade do setor de tecnologia da informação:
§ 1º - Receber e analisar solicitações para criação de contas de acesso ou fornecimento de privilégios para usuários de empregados, terceiros/prestadores de serviços.
§ 2º - Conceder, quando autorizado, o acesso aos usuários de empregados, terceiros/prestadores de serviço, conforme indicado pelos gestores da informação.
§ 3º - Revogar, quando solicitado, o acesso dos usuários de empregados, terceiros/prestadores de serviço, conforme indicado pelos gestores da informação.
§ 4º - Apoiar a revisão periódicada validade de credenciais de acesso a ativos/sistemas de informação dos usuários de empregados, terceiros/prestadores de serviço fornecendo informações sobre os privilégios atualmente efetivados em ativos/sistemas de informação.
Art. 16. Sanções e punições serão aplicadas conformeprevisto na Política Geral de Segurança da Informação.
Art. 17. Esta norma é revisadacom periodicidade anual ou conformeo entendimento do Comitê Gestor de Proteção de Dados.
Art. 18. A norma N-SI-001 é aprovada pelo Comitê Gestor de Proteção de Dados, em conjunto com a Diretoriada Unidade de Processamento de Dados da Prefeitura.
Art. 19. Esta Portaria entrará em vigência na data de sua publicação, com efeitos retroativos para o dia 11 de Julho de 2.022.
Art. 20. Ficam revogadas as disposições contrárias.
Cumpre-se, Registre-se e Publique-se.
Prefeitura de Américo de Campos/|SP,
15 de Julho de 2.022.
ROSENALDO RODRIGUES
Prefeito Municipal
Registrado no Livro de Atos Oficiais e Publicado no diário Oficial Eletrônico de Américo de Campos, data supra.
LUÍS CARLOS SARAIVA
Diretor Estratégico
Departamento Municipal de Planejamento e Gestão Pública
Este conteúdo não substitui o publicado na versão certificada.
