Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            106
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
6.11. As senhas têm validade de 45 (quarenta e cinco) dias, devendo o usuário ser informado antecipadamente a fim de que ele próprio efetue a mudança.
6.12. Caso o colaborador não efetue a troca de senha nos prazos estabelecidos, será bloqueado seu acesso à rede até que a nova senha seja configurada.
6.13. O usuário que passar mais de 45 (quarenta e cinco) dias sem acesso ao ambiente de rede terá sua conta desativada.
6.14. As senhas devem atender aos requisitos de complexidade abaixo:
6.14.1. Devem ser constituídas no mínimo por letras maiúsculas e minúsculas, números e caracteres especiais ;
6.14.2. O tamanho mínimo das senhas é de 10 (dez) caracteres, exceto caso seja senha de conta com privilégio de administrador, que deverá ter tamanho 
mínimo de 15 (quinze) caracteres;
6.14.3. Não devem ser usados números ou letras repetidos, em sequência ou formando séries óbvias, como, por exemplo, “aaaabbbb“, “12345678”, “asdfghjk”;
6.14.4. Não podem ser utilizadas informações como nome, sobrenome, data de nascimento ou a identificação de usuário (login) para formação da senha;
6.14.5. Não devem ser utilizadas transformações simples de palavras (7eleven, Kvalo, etc.);
6.14.6. Não deve ser feita a reutilização de senhas (Jesus#1, Jesus#2, etc.).
7. CONTA DE ACESSO BIOMÉTRICO
7.1. A conta de acesso biométrico, quando implementada, deve ser vinculada a uma conta de acesso lógico. Preferencialmente, ambas devem ser utilizadas 
para se obter um acesso, a fim de atender os conceitos da autenticação de multifatores.
7.2. A Sefaz tratará os dados biométricos como dados pessoais sensíveis, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD).
7.3. O tratamento de dados biométricos não será realizado sem a utilização de medidas de segurança, a exemplo de criptografia, na forma da legislação 
vigente, em especial a LGPD.
8. REVISÃO E CERTIFICAÇÃO DE ACESSO
8.1. Sempre que formalmente solicitado, devem ser disponibilizados relatórios com as contas de usuários ativas relacionando os recursos a que o colaborador 
tem privilégio de acesso e os que ele efetivamente acessou em determinado período.
8.2. Os gestores dos locais de lotação dos colaboradores e gestores das informações devem certificar os acessos e privilégios dos colaboradores, informando 
quais devem ser alterados e quais devem ser removidos.
9. CONTROLE DE ACESSO REMOTO
9.1. O acesso remoto originado de redes externas para quaisquer equipamentos, sistemas ou aplicativos em ambientes computacionais da Sefaz deve ser permitido 
somente através de conexões seguras, tráfego criptografado, por meio de soluções, equipamentos e padrões de segurança homologados e definidos pela Cotic.
9.2. A solicitação de acesso ao sistema remoto da Sefaz será realizada por meio da central de atendimento ao usuário, descrevendo-se as atividades que se 
pretende realizar, a fim de que sejam disponibilizados apenas os recursos necessários.
9.3. Em caso de usuário externo, a solicitação será realizada pelo gestor do sistema a ser utilizada pelo usuário, submetida a parecer técnico da Ceiti, para 
então ser autorizada pelo Gestor de Segurança da Informação ou Comitê de Segurança da Informação e Privacidade de Dados (CSIPD).
9.4. Será exigido do usuário externo autenticação por meio de certificação digital.
10. EXCEÇÕES
10.1. Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da PSI serão resolvidos pelo Comitê de Segurança da Informação e Privacidade 
de Dados (CSIPD).
11. PENALIDADES
11.1. O não cumprimento da Norma de Controle de Acesso Lógico por parte dos colaboradores estará sujeito às penalidades previstas nas esferas adminis-
trativa, civil e penal.
12. ELUCIDÁRIO
12.1. Acesso Biométrico: Verificação da identidade de um indivíduo por meio de uma característica física.
12.2. Acesso lógico: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão 
ou entidade, observada eventual restrição que se aplique.
12.3. Acesso Remoto: A capacidade de acessar uma rede utilizando recursos de uma localização distante. Geralmente, isso implica o uso de um computador, 
um modem e algum software de acesso remoto para conectar-se à rede. O software de acesso remoto disca diretamente para o servidor de rede. A única 
diferença entre um computador remoto e as estações de trabalho conectadas diretamente na rede é a velocidade mais baixa de transferência de dados.
12.4. Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram 
esses meios e as pessoas que a eles têm acesso.
12.5. Autenticação: processo que busca verificar a identidade digital de uma entidade de um sistema, no momento em que ela requisita acesso a esse sistema. 
O processo é realizado por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-defi-
nidas no sistema, reconhecendo como verdadeiras ou legítimas as partes envolvidas em um processo.
12.6. Autenticação de Dois Fatores: processo de segurança que exige que os usuários forneçam dois meios de identificação antes de acessarem suas contas.
12.7. Autenticação de Multifatores: utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema. Os fatores de autenticação 
se dividem em: algo que o usuário conhece (senhas, frases de segurança, PIN, dentre outros); algo que o usuário possui (certificado digital,tokens, códigos 
enviados por SMS, dentre outros); algo que o usuário é (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial, dentre 
outros); e onde o usuário está (quando o acesso só pode ser feito em uma máquina específica, cujo acesso é restrito).
12.8. Certificado Digital: conjunto de dados de computador, gerados por uma autoridade certificadora, em observância à recomendação internacional ITU-T 
X.509 que se destina a registrar, de forma única, exclusiva e intransferível, a relação existente entre uma chave criptográfica é uma pessoa física, jurídica, 
máquina ou aplicação.
12.9. Confidencialidade: propriedade da informação pela qual não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. É a 
garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.
12.10. Conta Administrativa: conta associada às tarefas de manutenção e administração de sistemas e ambientes computacionais.
12.11. Conta de Serviço: conta de acesso à rede corporativa de computadores, necessária a um procedimento automático (aplicação, script, entre outros) 
sem qualquer intervenção humana no seu uso.
12.12. Conta Não Administrativa: conta utilizada para as atividades rotineiras e sem os privilégios de acesso concedidos às tarefas de manutenção e admi-
nistração de sistemas e ambientes computacionais.
12.13. Colaboradores: servidores, consultores externos, estagiários, prestadores de serviços ou a quem quer que venha a ter acesso a dados ou informações 
da Sefaz.
12.14. Controle de Acesso Lógico: mecanismo que utiliza tecnologia para permitir acesso a recursos computacionais, sistemas e repositórios de dados. Ele 
faz a verificação da identidade dos usuários, por exemplo, por meio de credenciais de acesso (login e senha) ou por identificação biométrica.
12.15. Credencial de Acesso: permissão concedida por autoridade competente, após o processo de credenciamento, que habilita determinada pessoa, sistema 
ou organização ao acesso de recursos. A credencial pode ser física (como por exemplo um crachá), ou lógica (como por exemplo a identificação de usuário 
e senha).
12.16. Criptografia: processo de transformar informação usando um algoritmo de modo a impossibilitar a sua leitura a todos excepto aqueles que possuam 
uma identificação particular, geralmente referida como chave.
12.17. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de 
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
12.18. Gestor da Informação: pessoa formalmente designada, responsável pelas informações e recursos sob sua gestão, o qual os classifica conforme seu 
grau de sigilo.
12.19. Gestor de Sistema: usuário responsável pelo sistema que operacionaliza um processo de sua área de trabalho. Cabe a ele definir e determinar as 
manutenções legais, corretivas e de melhoria.
12.20. Incidente de Segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de 
computadores.
12.21. Privilégio mínimo: princípio que define que um indivíduo somente deve receber os privilégios necessários para concluir a tarefa a qual lhe foi designada.
12.22. Sistema de Controle de Acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de 
recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação.
12.23. Sistemas de informação: todo mecanismo projetado com a finalidade de coletar, processar, armazenar e transmitir informações, de maneira a facilitar 
o acesso de usuários interessados, solucionando problemas e atendendo suas necessidades.
12.24. Rede Virtual Privada (Virtual Private Network): refere-se à construção de uma rede privada, utilizando redes públicas (por exemplo, a Internet) como 
infraestrutura. Esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados possam ter acesso à 
rede privada e que nenhum dado seja interceptado enquanto estiver passando pela rede pública.

Fechar