Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            101
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
ANEXO IV A QUE SE REFERE A PORTARIA N°235/2023 - NORMA DE GESTÃO DE CONFORMIDADE
1. APRESENTAÇÃO
1.1. Este documento tem por objetivo estabelecer e difundir a Norma de Gestão de Conformidade no âmbito da Secretaria da Fazenda do Estado do Ceará 
(Sefaz), com a definição de critérios para verificar se a prática, no âmbito desta Administração Fazendária está em conformidade legal, técnica, com as normas 
e Política de Segurança da Informação (PSI) estabelecidas pela instituição.
2. ABRANGÊNCIA
2.1. Esta Norma de Gestão de Conformidade abrange os seguintes tópicos:
2.1.1. Conformidade com os requisitos legais;
2.1.2. Conformidade e análise crítica da Segurança da Informação;
2.1.3. Auditoria de Segurança da Informação.
3. CONFORMIDADE COM REQUISITOS LEGAIS
3.1. Aspectos Gerais
3.1.1. A Constituição Federal e as normas infraconstitucionais, as quais a Sefaz e seus colaboradores estejam submetidos, devem ser cumpridas no exercício 
de suas atividades profissionais e na operacionalização de processos de negócio, de sistemas de informação e de Segurança da Informação (SI) da Instituição.
3.2. Conformidade com Requisitos Legais e Contratuais
3.2.1. A conformidade com os requisitos legais tem por objetivo evitar violações de quaisquer obrigações legais, estatutárias, regulamentares, contratuais 
relacionadas à SI e de quaisquer requisitos de segurança.
3.2.2. Os requisitos legais, aos quais os processos de negócio, de sistemas de informações e de SI da Sefaz necessitam estar em conformidade, devem ser 
definidos, documentados e atualizados.
3.2.3. Os gestores deverão identificar a legislação aplicável aos processos de negócios sob responsabilidade das suas áreas, definindo e documentando controles 
específicos e responsabilidades individuais, de forma que atenda os requisitos de conformidade em análises críticas independentes de SI.
3.2.4. Os colaboradores devem resguardar as informações pessoais, sob sua custódia, adotando os mecanismos de segurança definidos pela instituição, de 
forma a garantir a proteção e a privacidade dos dados.
3.2.5. As responsabilidades em SI dos fornecedores de bens e prestadores de serviço, bem como dos funcionários terceirizados, devem ser definidas por 
meio do estabelecimento de termos de responsabilidade e/ou acordos de confidencialidade, devidamente assinados entre as partes e/ou cláusulas contidas no 
contrato de trabalho ou de prestação de serviços, que comuniquem e comprovem a prévia ciência, obrigações e sanções inerentes ao processo.
3.2.5.1. Os modelos-padrão dos documentos relacionados neste parágrafo deverão estar disponíveis em repositório central, com a manutenção de suas versões, 
o que deverá ser objeto de regulamentação.
3.2.5.2. Os servidores da Administração Fazendária terão ciência prévia do disposto neste dispositivo no ato da posse ao cargo público.
3.3. CONTRATAÇÃO PARA SOLUÇÕES EM SI
3.3.1. A aquisição de bens e serviços de SI deverá observar os princípios e as regras estabelecidas nos seguintes normativos, sem a exclusão de outros:
3.3.1.1. Lei Federal n.º 8.666, de 21 de junho de 1993;
3.3.1.2. Lei Federal n.º 14.133, de 1º de abril de 2021;
3.3.1.3. Lei Federal n.º 8.248, de 23 de outubro de 1991;
3.3.1.4. Lei Estadual n.º 16.727, de 26 de dezembro de 2018;
3.3.1.5. Instrução Normativa SEPLAG/CE n.º 01, de 08 de março de 2022.
3.3.2. A aquisição de bens e serviços de SI, quando da utilização de recursos de Organismo Internacional Financeiro, deverá observar, além dos princípios 
e das regras que regem a licitação e a contratação no âmbito da administração pública, no que couber, os procedimentos específicos impostos por tal orga-
nismo internacional.
3.4. DIREITOS DE PROPRIEDADE INTELECTUAL
3.4.1. O uso de ativos de informação devem respeitar os direitos de propriedade intelectual da Sefaz e de terceiros, assim como os termos e condições de 
licenciamento estipulados nos contratos pertinentes.
3.4.2. A instalação e a configuração de recursos de informática devem ser controladas, de forma que somente produtos licenciados, homologados e autori-
zados sejam utilizados.
3.4.3. As seguintes diretrizes devem ser consideradas para proteger o material que possa ser considerado como propriedade intelectual:
3.4.3.1. A aquisição de software somente por meio de fontes conhecidas e com reputação reconhecida, para assegurar que o direito autoral não seja violado;
3.4.3.2. A conscientização e a educação sobre as políticas de proteção de direitos de propriedade intelectual, bem como a notificação quanto à intenção de 
tomar ações disciplinares-administrativas, cíveis e penais contra pessoas que violarem tais políticas;
3.4.3.3. Abstenção da utilização de softwares não licenciados;
3.4.3.4. Todos os ativos que possuam informações ou licenças de uso que necessitem de proteção dos direitos de propriedade intelectual deverão ser identi-
ficados e registrados, de forma que permita o seu monitoramento e controle;
3.4.3.5. A manutenção de evidências acerca do licenciamento para o uso dos recursos de informática e de informações utilizados pela Sefaz e por seus 
colaboradores;
3.4.3.6. A implementação de controles para assegurar que o número máximo de usuários permitidos, consoante a licença concedida, não a exceda;
3.4.3.7. A condução de verificações e de apurações para que somente produtos de software autorizados e licenciados sejam instalados nas máquinas e 
computadores de propriedade desta Sefaz; 
3.4.3.8. O estabelecimento de procedimento para disposição ou transferência de software para outro ente, entidade ou órgão da administração pública, direta 
ou indireta, assim como a entes privados;
3.4.3.9. O cumprimento de termos e de condições para uso de software e informações obtidos a partir de redes públicas;
3.4.3.10. Não duplicação, conversão para outro formato ou extração de registros comerciais e de recursos de informática ou informações não permitidas 
pela lei de direitos autorais;
3.4.3.11. Não utilização de cópia, no todo ou em partes, de livros, artigos, relatórios, códigos-fontes ou outros documentos, além daqueles permitidos pela 
Lei de Direito de Propriedade Intelectual de Programa de Computador (Lei Federal n.º 9.609, de 19 de fevereiro de 1998) e pela Lei de Direitos Autorais 
(Lei Federal n.º 9.610, de 19 de fevereiro de 1998).
3.4.4. Os gestores de contrato deverão observar as restrições sobre cópia de material proprietário impostas por requisitos legais, regulamentares e contratuais, 
visto que, em particular, apenas, o material que está licenciado ou fornecido pelo desenvolvedor à Sefaz pode ser utilizado.
3.5. PROTEÇÃO DE REGISTROS
3.5.1. Os registros serão protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos 
regulamentares, estatutários, contratuais e do negócio.
3.5.2. Registros que possam ser requeridos para atender a requisitos legais, estatutários, regulamentares e contratuais ou para apoiar as atividades essenciais 
de negócio da Sefaz devem ser retidos de maneira segura.
3.5.3. Os registros que possam ser exigidos como fontes de prova em processos administrativos, cíveis e criminais para assegurar a defesa do Estado seguirão 
definições específicas de retenção, de acordo com as normas legais, além das previstas neste normativo.
3.5.4. São exemplos de registros os contábeis, os de base de dados, os de transações, os de auditoria, os procedimentos operacionais, entre outros.
3.5.5. O período de retenção, tipo de mídia de armazenamento (papel, microficha, meio magnético ou óptico), formas de descarte, controle de acesso ou 
quaisquer outras características pertinentes ao ciclo de vida destes registros devem ser formalmente definidos.
3.5.6. A classificação quanto ao grau de sigilo e proteção corresponderá ao estabelecido na Norma de Gestão de Ativos e Classificação da Informação.
3.6. DOS PRINCÍPIOS, GARANTIAS, DIREITOS E DEVERES PARA O USO DA INTERNET
3.6.1. A guarda e a disponibilização dos registros de conexão, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à 
preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas, previstos, notadamente, na Lei Federal n.º 
12.965, de 23 de abril de 2014 – Marco Civil da Internet e na Lei Federal n.º 13.709, de 14 de agosto de 2018 - LGPD.
3.6.2. Na provisão de conexão à internet, tanto por computadores da Sefaz, quanto por acesso às redes sem-fio, disponibilizadas pela Sefaz, a guarda dos 
registros de conexão deverá observar as normas estabelecidas no Marco Civil da Internet, na Norma de Acesso às Redes Sem-fio e outros regulamentos.
3.6.3. Cabe ao administrador de sistema respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo 
de 1 (um) ano, nos termos do regulamento.
3.6.4. A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
3.7. PROTEÇÃO E PRIVACIDADE DE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL
3.7.1. A privacidade e a proteção das informações alusivas à identificação pessoal serão asseguradas e os dados pessoais serão tratados em conformidade 
com a legislação de proteção de dados pessoais, notadamente, com a Lei Federal n.º 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados 
Pessoais (LGPD), bem como de acordo com as determinações da Autoridade Nacional de Proteção de Dados (ANPD), ou outro órgão/ente público que 
venha a assumir as suas competências.

Fechar