Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            105
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
9. EXCEÇÕES
9.1. Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da PSI serão resolvidos pelo Comitê de Segurança da Informação e Privacidade 
de Dados (CSIPD). 
10. PENALIDADES
10.1. O não cumprimento da Norma de Gestão de Pessoas por parte dos colaboradores estará sujeito às penalidades previstas nas esferas administrativa, 
civil e penal.
11. ELUCIDÁRIO
11.1. Ativo de informação - Tudo aquilo que armazene e/ou manipule direta ou indiretamente uma informação. Em termos de segurança das informações, 
um ativo pode ser um computador, bases de dados e arquivos, uma impressora, um fichário na mesa da secretária, o próprio usuário, etc. Não deve ser 
confundido com o ativo patrimonial.
11.2. Colaboradores: servidores, terceirizados, consultores externos, estagiários, prestadores de serviços ou a quem quer que venha a ter acesso a dados ou 
informações da Sefaz.
11.3. Estagiário – Indivíduo que, por tempo determinado, esteja em processo de aprimoramento profissional e prestando serviço à Secretaria da Fazenda.
11.4. Servidor: todos aqueles que mantêm vínculo de trabalho profissional com os órgãos e entidades governamentais, integrados em cargos ou empregos.
11.5. Gestor: todo aquele que administra uma área responsável pelos recursos do seu ambiente.
ANEXO VII A QUE SE REFERE A PORTARIA N°235/2023 - NORMA DE ACESSO LÓGICO
1. APRESENTAÇÃO
1.1. Este documento visa estabelecer e difundir a Norma de Controle de Acesso Lógico no âmbito da Secretaria da Fazenda do Estado do Ceará (Sefaz), 
definindo critérios para controlar o acesso à informação, garantindo que apenas usuários autorizados obtenham acesso quando necessário e impedindo o 
acesso não autorizado aos sistemas de informações da instituição.
2. ABRANGÊNCIA
2.1. A Norma de Controle de Acesso Lógico engloba todos os serviços de tecnologia da informação da Sefaz que necessitem de autenticação.
3. CONTROLE DE ACESSO LÓGICO
3.1. O acesso lógico aos recursos da rede da Sefaz deve ser realizado por meio de um sistema de controle de acesso. O acesso deve ser concedido e mantido 
pela Célula de Infraestrutura de Tecnologia da Informação e Comunicação (Ceiti), baseado nas responsabilidades e tarefas de cada colaborador.
3.2. O gerenciamento de identidade dos colaboradores deve ser apoiado por um processo capaz de formalizar as rotinas de liberação, alteração, revogação 
e controle dos direitos de acesso e das senhas.
3.3. As concessões de acesso lógico aos recursos da rede da Sefaz serão limitadas aos colaboradores que necessitarem de recursos de tecnologia da informação 
(TI), limitando-se apenas ao necessário para a execução das suas atividades profissionais na Sefaz.
3.4. O acesso remoto deve ser realizado por meio de Rede Virtual Privada (VPN) ou através de um portal de aplicações, após as devidas autorizações.
3.5. O pedido inicial de concessão de acesso às informações ou aos recursos de informação devem ser solicitados formalmente pelo gestor do local de lotação 
do colaborador.
3.6. Em caso de pedidos de acesso temporário, o período de expiração deverá ser previamente definido na solicitação de acesso.
3.7. Caso ocorra mudança do colaborador para outro setor, os direitos de acesso à rede devem ser readequados, conforme solicitação do novo gestor imediato. 
Os direitos de acesso antigos devem ser imediatamente cancelados conforme solicitação do antigo gestor imediato.
3.8. Outros pedidos de concessão de acesso às informações ou aos recursos de informação devem ser solicitados formalmente pelo colaborador, aprovados 
pelo gestor do local de lotação deste e autorizados pelo gestor da informação ou pelo gestor dos recursos de informação solicitados.
4. CREDENCIAIS DE ACESSO
4.1. A credencial de acesso consiste no meio de autenticação do colaborador na rede da Sefaz.
4.2. As credenciais de acesso são de uso pessoal e intransferível. É vedado ao titular compartilhar as suas credenciais de acesso ou fornecê-las a terceiros.
4.3. As permissões de acesso atribuídas às contas de colaboradores devem ser bloqueadas quando ocorrer alguma das seguintes situações:
4.3.1. Solicitação pelo gestor imediato do colaborador com devida justificativa;
4.3.2. Períodos de ausência do colaborador superiores a 45 (quarenta e cinco) dias;
4.3.3. Desligamento ou transferência do colaborador. Cabe ao gestor da lotação do colaborador formalizar e comunicar o desligamento ou transferência à 
área de Gestão de Pessoas;
4.3.4. Término de autorização temporária. Cabe ao gestor que solicitou o acesso formalizar e comunicar o término da autorização temporária de acesso;
4.3.5. Ocorrência de incidente de segurança para o qual o acesso do colaborador tenha contribuído, independentemente de culpa;
4.3.6. Quando da suspeita fundamentada de mau uso dos serviços disponibilizados pela Sefaz ou descumprimento da PSI e normas correlatas em vigência.
4.4. Em caso de acesso bloqueado, para retomar o acesso à rede, deverá ser formalizada nova requisição pelo gestor imediato do colaborador.
4.5. Contas de colaboradores criadas para serviços temporários devem permanecer válidas apenas pelo período estimado para a execução desses serviços. 
Caso o período de execução dos serviços exceda o tempo previsto, deve ser feita uma nova validação.
4.6. Os colaboradores são responsáveis por todas as ações realizadas por meio das credenciais de acesso que lhes são atribuídas, ressalvada a hipótese de 
fraude para a qual o colaborador não tenha concorrido.
4.7. Em caso de furto ou extravio de equipamento que possua credenciais de acesso configuradas, o colaborador deverá solicitar o bloqueio das mesmas 
imediatamente.
4.8. Quando do afastamento temporário do usuário, as credenciais de acesso devem ser bloqueadas a pedido do superior imediato.
4.9. Ressalvadas as hipóteses de afastamento temporário, a conta de acesso não utilizada há mais de 180 (cento e oitenta) dias poderá ser cancelada.
5. CONTAS PARA USUÁRIOS ADMINISTRADORES E SERVIÇOS
5.1. A identificação das contas de usuários administradores deve obedecer a um formato que não torne possível a dedução do conjunto de privilégios atribuídos 
a diferentes contas administrativas. A conta padrão de instalação deve ser renomeada e ter sua descrição apagada.
5.2. Para cada usuário que necessite de privilégio de administrador deve ser criada uma conta específica com identificação diferente do padrão de instalação 
e aderente às regras de formação de identificação de contas.
5.3. Toda autenticação de contas com privilégios de administrador na rede da sefaz deverá ocorrer com autenticação de dois fatores.
5.4. As concessões de contas com privilégios de administrador serão limitadas aos colaboradores da Coordenadoria de Tecnologia da Informação e Comu-
nicação (Cotic) ou, em casos específicos e devidamente justificados, por outros colaboradores.
5.5. Conta de estação de trabalho com privilégio de administrador deve ser utilizada exclusivamente para tarefas que exigem tal privilégio. Para as demais 
tarefas, o usuário deve utilizar conta com privilégios menores do que a conta administrativa.
5.6. A conta com privilégio de administrador não deve ser utilizada em acesso à internet, para acessar arquivos externos e para iniciar serviços de rede.
5.7. As contas de serviços da Secretaria da Fazenda devem ser utilizadas exclusivamente para a carga de serviços de rede e ter sua identificação seguindo 
formato que não torne possível a dedução do serviço nem da função da conta.
5.8. Serviços de rede que não estejam em uso devem ser removidos e não apenas desabilitados.
6. GESTÃO DE SENHAS
6.1. Os critérios necessários de segurança para disponibilização, controle, troca e armazenamento de senhas devem ser estabelecidos em procedimentos para 
esse fim.
6.2. O gerenciamento de senhas de colaboradores deve ser apoiado por uma solução tecnológica que permita sua geração, armazenamento, distribuição e 
controle de forma segura.
6.3. Os colaboradores não devem registrar ou anotar suas senhas em meios, físicos ou eletrônicos, que possibilitem a sua leitura por outras pessoas.
6.4. Se um mesmo colaborador tiver duas contas diferentes, uma com privilégios administrativos e outra sem tais privilégios, devem ser usadas senhas 
distintas para cada conta.
6.5. Os colaboradores devem alterar imediatamente as suas senhas sempre que houver indícios de que a sua confidencialidade possa ter sido violada, inde-
pendentemente dos prazos de expiração pré-definidos.
6.6. A expiração da senha deve bloquear todos os acessos correspondentes.
6.7. Os acessos serão bloqueados automaticamente após 5 (cinco) tentativas consecutivas sem sucesso de autenticação, sendo desbloqueados, automatica-
mente, após um período de 15 minutos.
6.8. Caso ocorra a expiração ou bloqueio da senha, o colaborador fica impedido de acessar os recursos de informática correspondentes, cabendo ao gestor 
de sua unidade solicitar o desbloqueio ou a geração de uma nova senha à Ceiti.
6.9. A Ceiti fornecerá uma senha temporária para cada conta de acesso criada no momento da liberação dessa conta e a mesma deverá ser alterada pelo 
usuário quando do primeiro acesso à rede.
6.10. Será mantido um histórico das últimas 15 (quinze) senhas utilizadas por cada usuário, não sendo permitida a repetição de nenhuma delas.

Fechar