Texto: PORTARIA Nº 128/2005 – SEFAZ . Consolidada até a Portaria 197/2014. . Prorrogação do prazo para recadastramento, até 20.12.05, pela Portaria 153/05. . Vide Portarias 010/2007 e 223/2008. . Vide Resolução 02/2007 - CONDEPRODEMAT. . Vide Port. 044/2016.
Considerando a necessidade de fixar regras para garantir o efetivo controle dos usuários com privilégios de acesso às bases de dados disponibilizadas nos sistemas informatizados geridos por órgãos vinculados à Secretaria Adjunta da Receita Pública - SARP;
Considerando a necessidade de estabelecer sanções para desestimular os acessos não autorizados aos sistemas fazendários e o uso indevido de informações protegidas pelo sigilo fiscal, R E S O L V E:
§ 1º O cadastrador deverá providenciar, ao menos uma vez a cada semestre, o confronto entre os termos de compromisso mantidos em arquivo físico e os acessos autorizados aos sistemas corporativos, promovendo as medidas corretivas sempre que detectar alguma divergência.
§ 2º A função de cadastrador será exercida pela Gerência de Planejamento, Captura e Disponibilização do Dado Digital – GPDD da Superintendência de Informações do ICMS – SUIC. (Nova redação dada ao § 2º pela Port. 197/14)
§ 2º O cadastrador setorial somente poderá promover o acesso de usuário aos dados dos sistemas corporativos após autorização do gestor do sistema, devendo manter em sua guarda, além da autorização do gestor do sistema, os formulários Cadastramento Inicial e Atualização de Usuário que instruíram o pedido de habilitação, os quais deverão estar preenchidos conforme previsto nos artigos 8º e 9º desta Portaria. Art. 6º Compete ao desenvolvedor do sistema corporativo implementar as funcionalidades em conformidade com as solicitações do gestor do sistema, devendo comunicar ao cadastrador eventuais solicitações feitas pelo gestor que possam vulnerabilizar ou enfraquecer a gestão de usuários e privilégios de acesso.
§ 1º Os sistemas corporativos, desenvolvidos a partir desta data, deverão possuir funcionalidade que permita ao cadastrador consultar e alterar, a qualquer tempo, a permissão de acesso e/ou habilitação do usuário;
§ 2º A partir da publicação desta Portaria os documentos visão dos novos sistemas corporativos, assim como o das atualizações e das novas versões de sistemas já implantados, deverão conter a descrição de todos os módulos ou funcionalidades que serão acessados por cada grupo ou perfil de usuário.
§ 3º Os grupos ou perfis de usuários deverão ser organizados de forma que seus módulos ou funcionalidades contenham informações de uma única categoria de sigilo, obedecida à classificação constante das normas de segurança da informação aplicáveis. Art. 7º Compete ao gestor do sistema corporativo, em conjunto com o cadastrador, analisar e avaliar todas as funcionalidades ou módulos de funcionalidades a serem disponibilizadas pelo sistema informatizado em construção ou alteração, classificando-as em uma das seguintes categorias: confidencial, reservado, restrito e ostensivo.
Parágrafo único. O conjunto de módulos ou funcionalidades, definidos para um grupo ou perfil de usuários quando da elaboração do documento visão do sistema, somente poderá ser alterado mediante solicitação expressa do gestor do sistema, da qual conste a anuência do cadastrador.
Parágrafo único. O formulário Cadastramento Inicial, cujo modelo e instruções de preenchimento encontram-se no Anexo I desta Portaria, depois de preenchido, impresso e assinado pelo usuário e chefia do órgão cliente/solicitante, deverá ser encaminhado ao gestor do sistema para que esse autorize a habilitação no sistema corporativo. Art. 9º Juntamente com o formulário Cadastramento Inicial deverá ser encaminhado ao gestor do sistema o formulário Atualização de Usuário, através da qual a chefia imediata do usuário especificará os sistemas, perfis ou grupos de funcionalidades a que este deverá ter acesso.
§ 1º O formulário Atualização de Usuário e as respectivas instruções de preenchimento encontram-se no anexo II desta Portaria, e também está disponibilizado na página da Internet da SEFAZ para preenchimento, impressão e assinatura da chefia do órgão cliente/solicitante.
§ 2º A habilitação para acesso e a concessão de privilégios relativos ao ambiente operacional de rede de compartilhamento de hardware, software ou interconexão de estações de trabalho entre si ou servidor de qualquer natureza, continuarão a ser concedidas pelo Administrador da Rede, a pedido do órgão cliente/solicitante, facultado a Gerência de Planejamento, Captura e Disponibilização do Dado Digital – GPDD promover periodicamente atividade de avaliação dos acessos cadastrados. (Nova redação dada ao § 2º pela Port. 197/14)
§ 2º A análise da viabilidade e a autorização para o acesso de usuário externo aos sistemas corporativos são de competência do gestor do sistema, o qual, quando autorizado o acesso, encaminhará a documentação para que o cadastrador ou cadastrador setorial promova a habilitação e informe ao usuário a senha provisória que deverá ser utilizada para o acesso inicial.
§ 3º No caso de não ser autorizado o acesso, o gestor do sistema devolverá ao solicitante os formulários Cadastramento Inicial e Atualização de Usuário, informando ao mesmo as razões do indeferimento do pedido. Art. 11 Para viabilizar o preenchimento do formulário Atualização de Usuário por parte dos clientes dos sistemas, será disponibilizada na página da SEFAZ na Internet a listagem dos sistemas corporativos vinculados à Secretaria Adjunta da Receita Pública, com seus gestores, funcionalidades, grupos e perfis de acesso.
Parágrafo único. Compete ao gestor de cada sistema corporativo promover junto a Coordenadoria de Tecnologia da Informação – COTI, sempre que necessário, a atualização da listagem de que trata o caput deste artigo. (Nova redação dada pela Port. 16/10)
§ 1º O cliente do sistema ou chefia responsável pela solicitação da habilitação do usuário deverá informar ao gestor do sistema o remanejamento, desligamento ou licença do usuário.
§ 2º Quando se tratar de usuário vinculado a órgão da estrutura da Secretaria Adjunta da Receita Pública, cópia da comunicação a que se refere o § 1º deverá ser encaminhada ao órgão de recursos humanos responsável pelo cadastro de pessoal. Art. 14 O cadastrador ou cadastrador setorial deverá manter em arquivo físico os formulários Cadastramento Inicial e Atualização de Usuário mediante os quais habilitou, alterou privilégios, ou ainda excluiu usuários dos sistemas corporativos, devendo apresentá-los sempre que forem solicitados por autoridade competente.
Parágrafo único. O gestor de sistema deverá remeter ao cadastrador, ao menos uma vez a cada semestre, a relação dos usuários com seus respectivos privilégios de acesso, hipótese em que o cadastrador deve, de plano, cancelar, desabilitar ou revogar qualquer usuário ou acesso divergente no sistema, aplicação ou programa.
Parágrafo único. É proibida a exploração de falhas ou vulnerabilidades que possam existir em aplicativos ou sistemas informatizado Art. 16 É responsabilidade de todo usuário cuidar da integridade, confidencialidade e disponibilidade dos dados, informações, sistemas e programas, devendo comunicar por escrito ao cadastrador e gestor do sistema qualquer irregularidade, desvio ou falha identificada.
§ 1º O acesso à informação não garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas.
§ 2º O usuário, assim como o cadastrador e os cadastradores setoriais, deve manter em segredo sua senha de acesso, bem como adotar todas as medidas a seu alcance para não deixar qualquer sistema em condições de ser acessado por terceiros. Art. 17 Cabe à chefia imediata, ou a qualquer pessoa que tiver notícia, iniciar a ação corretiva apropriada para corrigir desvios, falhas ou vulnerabilidades na segurança de dados e informações detectadas no âmbito de sua atuação, inclusive eventuais violações às normas desta portaria.
Parágrafo único. O descumprimento das disposições desta Portaria caracterizará infração funcional a ser apurada em Processo Administrativo Disciplinar, sem prejuízo da responsabilidade penal e civil. Art. 18 Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional de revelação de segredo do qual se apropriou em razão do cargo e crime contra a Administração Pública a divulgação, a quem não seja servidor da SEFAZ, de informações dos sistemas informatizados protegidas pelo sigilo fiscal. Art. 19 Considerando o posicionamento da Gerência de Planejamento, Captura e Disponibilização do Dado Digital – GPDD da Superintendência de Informações do ICMS – SUIC no sentido da impossibilidade de se implantar uma sistemática de controle de usuários com acesso aos sistemas corporativos, a SARP responderá pelo gerenciamento desta implantação, transferindo a implementação da atividade para aquela gerência a partir de 01 de janeiro de 2006. (Nova redação dada ao caput do art. 19 pela Port. 197/14)
§ 1º Caberá à Superintendência de Informações do ICMS – SUIC adotar as providências necessárias para que no prazo de 30 dias da publicação desta Portaria o cadastrador e todos os cadastradores setoriais vinculados a unidades da SARP assinem o termo que se refere o artigo 12, promovendo a remessa de uma via dos mesmos para as providências cabíveis no âmbito da COTI. (Nova redação dada pela Port. 16/10)