Legislação Tributária
ATO NORMATIVO DA SEFAZ

Ato: Portaria

Número/Complemento	Assinatura	Publicação	Pág. D.O.	Início da Vigência	Início dos Efeitos
287/2012	24/10/2012	30/10/2012	12	30/10/2012	30/10/2012

Ementa:	Estabelece normas de segurança a serem observadas para liberação de acesso aos sistemas informatizados da Secretaria Adjunta do Tesouro Estadual e estabelece as responsabilidades funcionais por acesso não autorizado.
Assunto:	Secretaria Adjunta do Tesouro Estadual Acesso aos Sistemas Fazendários Informatizados
Alterou/Revogou:
Alterado por/Revogado por:
Observações:

Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
PORTARIA N° 287/GSF/2012/SEFAZ

Estabelece normas de segurança a serem observadas para liberação de acesso aos sistemas informatizados da Secretaria Adjunta do Tesouro Estadual e estabelece as responsabilidades funcionais por acesso não autorizado.

O SECRETÁRIO ADJUNTO DO TESOURO ESTADUAL, no uso de suas atribuições legais,

CONSIDERANDO a necessidade de fixar regras para garantir o efetivo controle dos usuários com privilégios de acesso às bases de dados disponibilizadas nos sistemas informatizados geridos por órgãos vinculados à Secretaria Adjunta do Tesouro Estadual/ SATE;

CONSIDERANDO a necessidade de estabelecer sanções para desestimular os acessos não autorizados aos sistemas fazendários e o uso indevido de informações protegidas pelo sigilo fiscal;

R E S O L V E:

Das Disposições preliminares

Art. 1º A concessão de privilégios de acesso e o controle dos usuários com acesso aos aplicativos e sistemas informatizados geridos e administrados por órgãos vinculados à Secretaria Adjunta do Tesouro Estadual observarão as normas previstas nesta Portaria, sem prejuízo de qualquer outra mais abrangente.

Art. 2º Para os efeitos desta Portaria entende-se por:
I - Sistemas Corporativos: aplicativos informatizados ou bases de dados que possam ser acessadas por mais de uma Unidade ou Órgão, ou ainda por usuário externo a SEFAZ;
II - Usuário: toda pessoa cadastrada e habilitada nos aplicativos ou sistemas eletrônicos corporativos fazendários para consultar, inserir, suprimir ou modificar dado ou informação eletrônica ou digital;
III - Gestor de Sistema: órgão responsável pela definição, manutenção e aperfeiçoamento do respectivo sistema;
IV – Cadastrador: órgão responsável por promover junto ao gestor do sistema corporativo a habilitação ou o cancelamento da habilitação de usuário, ou ainda a alteração de privilégio de acesso;
V – Cadastrador setorial: pessoa designada pelo Superintende de Controle Gerencial Contábil do Estado, mediante subdelegação, para exercer as atividades de Cadastrador no âmbito de um órgão ou conjunto de órgãos;
VI – Cliente: órgão de lotação do usuário, solicitante da concessão de privilégio de acesso para o usuário;
VII – Desenvolvedor: órgão responsável pela especificação e implementação das funcionalidades de um aplicativo ou sistema informatizado;
VIII – Privilégio de acesso: permissão concedida ao usuário para acessar as funcionalidades de um sistema corporativo para consultar, inserir, alterar ou modificar informações.

Das atribuições e prerrogativas dos órgãos envolvidos

Art. 3º Compete ao cadastrador promover, por meio do respectivo gestor do sistema corporativo e a qualquer tempo, recadastramento parcial ou total de usuário ou privilégio de acesso, deliberando pelo cancelamento de privilégio ou inabilitação de usuário que não se recadastrar.

§ 1º O cadastrador deverá providenciar, ao menos uma vez a cada semestre, o confronto entre os termos de compromisso mantidos em arquivo físico e os acessos autorizados aos sistemas corporativos, promovendo as medidas corretivas sempre que detectar alguma divergência.

§ 2º A função de cadastrador será exercida pela Coordenadoria de Contabilidade por Sistemas Digitais/CCSD da Superintendência Controle Gerencial Contábil do Estado/SCGC.

Art. 4º Compete à Coordenadoria de Contabilidade por Sistemas Digitais/CCSD, além das atividades de cadastrador, as atividades de gerenciamento das diretrizes fixadas nesta Portaria, devendo zelar para que ocorra a integral aplicação das mesmas no âmbito das unidades vinculadas à SATE.

Art. 5º Compete a Superintendência de Controle Gerencial Contábil do Estado/SCGC gerenciar o controle de acesso dos usuários aos sistemas corporativos, podendo ainda deliberar pela desconcentração das atividades de cadastramento, desde que mantido controle efetivo sobre as atividades exercidas por esses cadastradores setoriais.

§ 1º A descentralização da atividade de cadastramento somente será feita mediante a prévia obtenção de Termo de Responsabilidade da pessoa a ser designada como cadastrador setorial, através do qual o designado se comprometa a obedecer às disposições desta Portaria.

§ 2º O cadastrador setorial somente poderá promover o acesso de usuário aos dados dos sistemas corporativos após autorização do gestor do sistema, devendo manter em sua guarda, além da autorização do gestor do sistema, os formulários Cadastramento Inicial e Atualização de Usuário que instruíram o pedido de habilitação, os quais deverão estar preenchidos conforme previsto nos artigos 8º e 9º desta Portaria.

Art. 6º Compete ao desenvolvedor do sistema corporativo implementar as funcionalidades em conformidade com as solicitações do gestor do sistema, devendo comunicar ao cadastrador eventuais solicitações feitas pelo gestor que possam vulnerabilizar ou enfraquecer a gestão de usuários e privilégios de acesso.

§ 1º Os sistemas corporativos, desenvolvidos a partir desta data, deverão possuir funcionalidade que permita ao cadastrador consultar e alterar, a qualquer tempo, a permissão de acesso e/ou habilitação do usuário.

§ 2º A partir da publicação desta Portaria os documentos virão dos novos sistemas corporativos, assim como o das atualizações e das novas versões de sistemas já implantados, deverão conter a descrição de todos os módulos ou funcionalidades que serão acessados por cada grupo ou perfil de usuário.

§ 3º Os grupos ou perfis de usuários deverão ser organizados de forma que seus módulos ou funcionalidades contenham informações de uma única categoria de sigilo, obedecida à classificação constante das normas de segurança da informação aplicáveis.

Art. 7º Compete ao gestor do sistema corporativo, em conjunto com o cadastrador, analisar e avaliar todas as funcionalidades ou módulos de funcionalidades a serem disponibilizadas pelo sistema informatizado em construção ou alteração, classificando-as em uma das seguintes categorias: confidencial, reservado, restrito e ostensivo.

Parágrafo único. O conjunto de módulos ou funcionalidades, definidos para um grupo ou perfil de usuários na elaboração do documento visão do sistema, somente poderá ser alterado mediante solicitação expressa do gestor do sistema, da qual conste a anuência do cadastrador.

Dos procedimentos de habilitação de usuário

Art. 8º A habilitação de usuário para acesso ou manipulação de dados e informações disponibilizados em aplicativo ou sistema corporativo gerido por órgão vinculado a Secretaria Adjunta do Tesouro Estadual somente será concedida mediante a prévia assinatura do termo de compromisso que faz parte do formulário Cadastramento Inicial, cujo modelo encontra-se disponibilizado na página da Internet da SEFAZ.

Parágrafo único. O formulário Cadastramento Inicial, cujo modelo e instruções de preenchimento encontram-se no Anexo I desta Portaria, depois de preenchido, impresso e assinado pelo usuário e chefia do órgão cliente/solicitante, deverá ser encaminhado ao gestor do sistema para que esse autorize a habilitação no sistema corporativo.

Art. 9º Juntamente com o formulário Cadastramento Inicial deverá ser encaminhado ao gestor do sistema o formulário Atualização de Usuário, através da qual a chefia imediata do usuário especificará os sistemas, perfis ou grupos de funcionalidades a que este deverá ter acesso.

§ 1º O formulário Atualização de Usuário e as respectivas instruções de preenchimento encontram-se no anexo II desta Portaria, e também está disponibilizado na página da Internet da SEFAZ para preenchimento, impressão e assinatura da chefia do órgão cliente/solicitante.

§ 2º A habilitação para acesso e a concessão de privilégios relativos ao ambiente operacional de rede de compartilhamento de hardware, software ou interconexão de estações de trabalho entre si ou servidor de qualquer natureza, continuarão a ser concedidas pelo Administrador da Rede, a pedido do órgão cliente/solicitante, facultado ao Coordenador de Contabilidade por Sistemas Digitais/CCSD promover periodicamente atividade de avaliação dos acessos cadastrados.

Art. 10 Os pedidos de habilitação de acesso de pessoa externa à Secretaria de Fazenda aos sistemas corporativos deverão ser dirigidos a Superintendência de Administração do Relacionamento do Tesouro/SART, o qual repassará as solicitações para o respectivo gestor do sistema, a quem compete disponibilizar ao interessado, para preenchimento, os formulários Cadastramento Inicial e Atualização de Usuário.

§1º Os formulários Cadastramento Inicial e Atualização de Usuário relativos à solicitação de habilitação a usuário externo à Secretaria de Fazenda aos sistemas corporativos deverão conter a assinatura do representante legal da entidade à qual o usuário estiver vinculado, sob pena de indeferimento de plano do pedido.

§ 2º A análise da viabilidade e a autorização para o acesso de usuário externo aos sistemas corporativos são de competência do gestor do sistema, o qual, quando autorizado o acesso, encaminhará a documentação para que o cadastrador ou cadastrador setorial promova a habilitação e informe ao usuário a senha provisória que deverá ser utilizada para o acesso inicial.

§ 3º No caso de não ser autorizado o acesso, o gestor do sistema devolverá ao solicitante os formulários Cadastramento Inicial e Atualização de Usuário, informando ao mesmo as razões do indeferimento do pedido.

Art. 11 Para viabilizar o preenchimento do formulário Atualização de Usuário por parte dos clientes dos sistemas será disponibilizada na página da SEFAZ na Internet a listagem dos sistemas corporativos vinculados à Secretaria Adjunta do Tesouro Estadual/SATE, com seus gestores, funcionalidades, grupos e perfis de acesso.

Parágrafo único. Compete ao gestor de cada sistema corporativo promover junto a Coordenadoria de Tecnologia da Informação/COTI e/ou Centro de Processamento de Dados do Estado de Mato Grosso/CEPROMAT, sempre que necessário, a atualização da listagem de que trata o caput deste artigo.

Art. 12 Ao iniciar suas atividades, o cadastrador, assim como os cadastradores setoriais eventualmente designados pela Superintendência de Controle Gerencial Contábil do Estado/SCGC, assinará Termo de responsabilidade, conforme modelo constante do Anexo III, mediante o qual se comprometerão a seguir integralmente as normas desta Portaria.

§ 1º O Termo de Responsabilidade de que trata o caput deste artigo, quando relativo à cadastradores setoriais vinculados a unidades da Secretaria Adjunta do Tesouro Estadual/SATE, será emitido em 02 vias, as quais serão encaminhadas a Superintendência de Controle Gerencial Contábil do Estado/SCGC para aprovação e distribuição das vias conforme segue:
a) 1ª via: Coordenadoria de Contabilidade por Sistemas Digitais/CCSD, na qual permanecerá arquivada até o final do 5º ano subseqüente àquele em que o cadastrador setorial cessou suas atividades.
b) 2ª via: Coordenadoria de Tecnologia da Informação/COTI e/ou Centro de Processamento de Dados do Estado de Mato Grosso/CEPROMAT, para que seja concedido o privilégio de habilitar outros usuários para acessar as bases de dados dos sistemas corporativos, e onde deverá permanecer em arquivo até o final do 5º ano subseqüente àquele em cadastrador setorial cessou suas atividades.

§ 2º O Termo de Responsabilidade do cadastrador poderá ser emitido em uma única via, a qual, após aprovação da Superintendência de Controle Gerencial Contábil do Estado/SCGC, será remetida à Coordenadoria de Tecnologia da Informação/COTI e/ou Centro de Processamento de Dados do Estado de Mato Grosso/CEPROMAT para a adoção das medidas previstas na alínea "b" do parágrafo anterior.

§ 3º Semestralmente, ou sempre que solicitado, a Coordenadoria de Tecnologia da Informação/COTI e/ou Centro de Processamento de Dados do Estado de Mato Grosso/CEPROMAT remeterá à Coordenadoria de Contabilidade por Sistemas Digitais/CCSD a relação dos cadastradores setoriais habilitados nos sistemas, cabendo a esta promover o confronto entre os Termos de Responsabilidade mantidos em arquivo físico e os dados dos cadastradores setoriais autorizados, e promover, sempre que detectar divergências, as medidas corretivas necessárias.

Art. 13 O usuário sempre terá o acesso desabilitado ou revogado integralmente quando for remanejado, cedido a qualquer título, licenciado, desligado do órgão ou da entidade a que estiver vinculado.

§ 1º O cliente do sistema ou chefia responsável pela solicitação da habilitação do usuário deverá informar ao gestor do sistema o remanejamento, desligamento ou licença do usuário.

§ 2º Quando se tratar de usuário vinculado a órgão da estrutura da Secretaria Adjunta do Tesouro Estadual/SATE, cópia da comunicação a que se refere o § 1º, deverá ser encaminhada ao órgão de recursos humanos responsável pelo cadastro de pessoal.

Art. 14 O cadastrador ou cadastrador setorial deverá manter em arquivo físico os formulários Cadastramento Inicial e Atualização de Usuário mediante os quais habilitou, alterou privilégios, ou ainda excluiu usuários dos sistemas corporativos, devendo apresentá-los sempre que forem solicitados por autoridade competente.

Parágrafo único. O gestor de sistema deverá remeter ao cadastrador, ao menos uma vez a cada semestre, a relação dos usuários com seus respectivos privilégios de acesso, hipótese em que o cadastrador deve, de plano, cancelar, desabilitar ou revogar qualquer usuário ou acesso divergente no sistema, aplicação ou programa.

Das Disposições finais

Art. 15 Os dados e informações existentes em sistemas informatizados, discos, ou banco de dados terão o acesso controlado e monitorado, devendo o gestor do sistema, para autorização do acesso, observar a compatibilidade dos privilégios solicitados com as características do trabalho desenvolvido e a posição hierárquica ocupada pelo usuário.

Parágrafo único. É proibida a exploração de falhas ou vulnerabilidades que possam existir em aplicativos ou sistemas informatizado.

Art. 16 É responsabilidade de todo usuário cuidar da integridade, confidencialidade e disponibilidade dos dados, informações, sistemas e programas, devendo comunicar por escrito ao cadastrador e gestor do sistema qualquer irregularidade, desvio ou falha identificada.

§ 1º O acesso à informação não garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas.

§ 2º O usuário, assim como o cadastrador e os cadastradores setoriais, deve manter em segredo sua senha de acesso, bem como adotar todas as medidas a seu alcance para não deixar qualquer sistema em condições de ser acessado por terceiros.

Art. 17 Cabe à chefia imediata, ou a qualquer pessoa que tiver notícia, iniciar a ação corretiva apropriada para corrigir desvios, falhas ou vulnerabilidades na segurança de dados e informações detectadas no âmbito de sua atuação, inclusive eventuais violações às normas desta Portaria.

Parágrafo único. O descumprimento das disposições desta Portaria caracterizará infração funcional a ser apurada em Processo Administrativo Disciplinar, sem prejuízo da responsabilidade penal e civil.

Art. 18 Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional de revelação de segredo do qual se apropriou em razão do cargo e crime contra a Administração Pública a divulgação, a quem não seja servidor da SEFAZ, de informações dos sistemas informatizados protegidas pelo sigilo fiscal.

Art. 19 Considerando o posicionamento da Coordenadoria de Contabilidade por Sistemas Digitais/CCSD no sentido da impossibilidade de se implantar uma sistemática de controle de usuários com acesso aos sistemas corporativos, a SATE responderá pelo gerenciamento desta implantação, transferindo a implementação da atividade para aquela Coordenadoria em data posterior.

Parágrafo único. No período de implantação das normas constantes desta Portaria caberá à SATE deliberar sobre os procedimentos a serem seguidos na habilitação e cancelamento de usuários, podendo inclusive promover, através dos gestores dos respectivos sistemas, recadastramento total de usuários, cancelando a habilitação daqueles usuários para os quais não for providenciado o preenchimento e assinatura dos formulários Cadastramento Inicial e Atualização de Usuário.

Art. 19-A Para fins do disposto nesta Portaria, incluem-se entre os aplicativos e sistemas informatizados geridos e administrados por órgãos vinculados à Secretaria Adjunta do Tesouro Estadual, os arrolados no Anexo IV.

Art. 20 A partir da data de publicação desta Portaria, todos os usuários habilitados nos sistemas corporativos geridos por órgãos vinculados a Secretaria Adjunta do Tesouro Estadual/SATE terão o prazo de 30 dias para efetuarem o recadastramento nos sistemas mediante o preenchimento e remessa dos formulários Cadastramento Inicial e Atualização de Usuário ao gestor dos respectivos sistemas.

§ 1º Caberá à Superintendência de Controle Gerencial Contábil do Estado/SCGC adotar as providências necessárias para que no prazo de 30 dias da publicação desta Portaria o cadastrador e todos os cadastradores setoriais vinculados a unidades da SATE assinem o termo que se refere o artigo 12, promovendo a remessa de uma via dos mesmos para as providências cabíveis no âmbito da Coordenadoria de Tecnologia da Informação/COTI e/ou Centro de Processamento de Dados do Estado de Mato Grosso/CEPROMAT.

§ 2º Os usuários e cadastradores setoriais que não efetuarem o recadastramento no prazo fixado terão suas habilitações canceladas, ficando-lhes vedado o acesso aos sistemas informatizados.

Art. 21 O disposto nesta Portaria se aplica a qualquer servidor ou terceirizado que preste serviço no âmbito da Secretaria Adjunta do Tesouro Estadual/SATE.

Art. 22 Esta Portaria entra em vigor na data de sua publicação, revogadas as disposições em contrário.

CUMPRA-SE

Gabinete do Secretário Adjunto do Tesouro Estadual, Cuiabá/MT, 24 de setembro de 2012.

FORMULÁRIO CADASTRAMENTO INICIAL

Instruções de Preenchimento

I – SEGMENTO DO AMBIENTE INFORMATIZADO DA SATE
1. Segmento do ambiente informatizado da SATE: assinalar um X na quadrícula correspondente. Para facilitar o preenchimento, consulte a tabela Sistemas Tributários disponibilizada na internet, no mesmo local dessas instruções.
1.1. Ambiente: Assinalar com um X a quadrícula correspondente, considerando que:
1.1.1. Ambiente de produção: permite o acesso às bases de dados que são mantidas nos sistemas utilizados pela SEFAZ/MT e necessárias para a realização de seus negócios diários. É neste ambiente que se encontram as informações necessárias para a realização do trabalho diário, a exemplo das informações do cadastro, arrecadação, etc.
1.1.2. Ambiente de homologação: permite acesso às funcionalidades que estão sendo implementadas e desenvolvidas, para fins de consulta e validação. Normalmente esse ambiente é utilizado somente por desenvolvedores e gestores de sistemas informatizados.
1.1.3. Ambiente de treinamento: permite acessar bases de dados específicas, segregadas daquelas utilizadas para dar suporte às operações diárias da SEFAZ/MT, utilizadas para permitir o treinamento de usuários na manipulação de informações disponíveis em sistemas corporativos.
2. Sistema informatizado: Informar o nome do sistema em que estão contidas as informações que se pretende acessar. Para preencher este campo é necessário consultar o anexo I destas instruções.
3. Tipo de usuário: preencher com a expressão "INTERNO" se o usuário mantiver vínculo de trabalho com a SEFAZ/MT. Se o usuário não tiver vínculo com a SEFAZ/MT, preencher com a expressão "EXTERNO".

II – IDENTIFICAÇÃO DO USUÁRIO:
1.Nome completo: preencher com o nome, por extenso, do usuário/pessoa interessada em se habilitar para acessar e/ou manipular informações do sistema corporativo.
2. CPF: informar o número completo do CPF do interessado.
3. Matrícula: informar o número da matrícula funcional do interessado. No caso de pessoa que não tenha vínculo de trabalho com a SEFAZ/MT, o campo deverá ser deixado em branco.
4. Cargo: informar o cargo da pessoa interessada no acesso aos dados do sistema corporativo.
5. Telefone: informar o número do telefone comercial ou do local de trabalho.
6. Endereço eletrônico (e-mail): informar o endereço eletrônico completo do interessado, através do qual o mesmo possa ser contatado.
7. Local de Trabalho: informar o órgão de lotação do servidor, ou, quando se tratar de pessoa externa à Secretaria de Fazenda, o nome do órgão ou da empresa á qual está vinculada.
8. CNPJ da entidade de origem: informar o CNPJ da entidade á qual está vinculado o interessado no cadastramento inicial.
III – IDENTIFICAÇÃO DO SOLICITANTE:
1. Nome completo: informar o nome completo da autoridade da SEFAZ ou da entidade externa a SEFAZ/MT que está solicitando o cadastramento da pessoa interessada em acessar os dados dos sistemas fazendários. Nas unidades vinculadas a SATE, esta autoridade normalmente será o Gerente ou o Superintendente.
2. CPF: informar o número do CPF da autoridade solicitante.
3. Matrícula: informar o número da matrícula do solicitante.
4. Cargo: informar o cargo do solicitante do cadastramento inicial, ou seja, da autoridade que solicita a habilitação da pessoa interessada ou usuário nos sistemas fazendários.
5. Telefone (DDD/Nº RAMAL): informar o número do telefone através do qual se poderá falar com o solicitante/chefia do usuário.
6. Endereço eletrônico (e-mail): informar o endereço eletrônico/e-mail do solicitante, ou seja, da autoridade que solicita a habilitação do usuário para acessar os sistemas informatizados fazendários.
7. Local de trabalho: informar o órgão de lotação do servidor, ou, quando se tratar de solicitante externo à Secretaria de Fazenda, o nome do órgão ou da empresa á qual está vinculado.
8. Carimbo/data/assinatura: anotar a data da solicitação do cadastramento inicial, apondo a assinatura e carimbo do interessado no cadastramento.
IV – TERMO DE RESPONSABILIDADE:
1. Ao final do Termo de Responsabilidade deverá ser aposta a data do preenchimento do formulário e colhida a assinatura da pessoa interessada/usuário a ser habilitado para utilizar os sistemas informatizados. A falta da assinatura ao final do Termo de Responsabilidade impede a concessão de acesso ás informações dos sistemas fazendários.
V – ATENDIMENTO DA SOLICITAÇÃO:
1. Os campos desta parte do formulário serão preenchidos exclusivamente pelo cadastrador. A pessoa interessada/usuário, assim como o solicitante, não deverá preenchê-los.