O COORDENADOR DO GRUPO GESTOR DE TECNOLOGIA DA INFORMAÇÃO E COMIUNICAÇÃO DA SECRETARIA DA FAZENDA - GGTIC/SEFAZ , no uso de suas atribuições, e considerando o disposto no Art. 11 §5º da Instrução Normativa SEFAZ Nº 01/2025, que instituiu a Política de Segurança da Informação da Secretaria da Fazenda do Estado do Rio Grande do Sul,

RESOLVE:

CAPÍTULO I - DOS OBJETIVOS

Art. 1º Fica definido o documento de Responsabilidades dos Usuários, com o objetivo de orientar os usuários da Secretaria da Fazenda do Rio Grande do Sul - SEFAZ/RS sobre as responsabilidades associadas ao acesso seguro e sobre a prevenção contra acesso não autorizado aos recursos de tecnologia da informação.

§ 1º O escopo desta Resolução é estabelecer requisitos de segurança para acesso seguro dos usuários autorizados e prevenir acesso não autorizado aos recursos de tecnologia da informação, de forma a garantir a proteção das informações e dos ativos de informação.

§ 2º As normas desta Resolução destinam-se a todos os servidores, estagiários e colaboradores de empresas prestadoras de serviço à SEFAZ-RS que necessitem acessar o ambiente de Tecnologia da Informação e Comunicação da Secretaria na execução de suas atribuições legais ou contratuais.

CAPÍTULO II - DAS RESPONSABILIDADES DOS USUÁRIOS

Art. 2º São responsabilidades dos usuários:

I - estar ciente e conhecer a política instituída, legislações de referência e suas normativas complementares, incluindo resoluções deliberativas, padrões de TIC e notas técnicas estabelecidas através dos poderes delegados ao Comitê de Segurança da Informação da Secretaria da Fazenda - CSI/SEFAZ;

II - observar os procedimentos de segurança previstos nesta Política de Segurança da Informação, por seu Comitê de Segurança da Informação ou pelos setores competentes para tal, ficando diretamente responsável pelas consequências decorrentes de práticas que danifiquem ou coloquem em risco os sistemas de informação e os arquivos de dados da SEFAZ/RS;

III - utilizar o ambiente e as soluções de Tecnologia da Informação da SEFAZ/RS única e exclusivamente para o desenvolvimento de atividades diretamente vinculadas ao exercício de suas funções na Secretaria;

IV - zelar pela guarda das informações e permissões que lhe forem concedidas;

V - zelar pelos ativos que lhe forem disponibilizados;

VI - reportar qualquer incidente ou evento que apresente risco de segurança da informação ao seu superior imediato e aos canais de comunicação de incidente de segurança do DETIC;

VII - participar dos cursos de capacitação em segurança da informação disponibilizados pelo Sistema de Governança e Gestão de TIC do Estado e pela própria SEFAZ/RS;

VIII - evitar o registro ou a reprodução de informações consideradas críticas em meio físico;

IX - zelar pela integridade da rede, agindo de maneira a preservar o ambiente contra a ameaça representada por programas de código malicioso;

X - não participar de qualquer ação que coloque em risco a segurança da rede;

XI - não explorar de falhas ou vulnerabilidades porventura existentes nos sistemas, salvo em se tratando de atividade controlada e autorizada pelo responsável técnico de segurança, não se eximindo por quaisquer danos dela decorrentes;

XII - zelar pela integridade, confidencialidade e disponibilidade dos dados, informações e sistemas da SEFAZ/RS, comunicando à chefia imediata e ao DETIC qualquer irregularidade, desvio ou falha identificada, bem como indicativos de contaminação por software malicioso;

XIII - manter todo seu trabalho institucional na rede corporativa da SEFAZ/RS;

XIV - utilizar apenas aplicações homologadas pela área de TIC da SEFAZ/RS;

XV - não divulgar informações sigilosas a que teve acesso por consequência de sua função ou atribuições;

XVI - não enviar informações confidenciais pela internet de forma indevida ou sem antes de ter certeza da segurança do respectivo canal de comunicação; e

XVII - não acessar ou permitir acesso de terceiros a áreas físicas de perímetro restrito sem a devida autorização.

CAPÍTULO III - DO USO DE SENHAS

Art. 3º As senhas de acesso aos sistemas de informação são de caráter pessoal e intransferível.

Art. 4º Devem ser observados os seguintes cuidados na utilização das senhas:

I - o tamanho e complexidade das senhas deverão obedecer aos critérios definidos pela área de Segurança de TIC;

II - ao digitar sua senha, certifique-se de que não está sendo observado, evitando que ela seja capturada;

III - é vedado o compartilhamento de sua senha com qualquer outra pessoa, bem como o uso de senhas de terceiros que não estejam designadas ao próprio usuário; e

IV - consequências decorrentes do uso indevido de suas senhas por terceiros não autorizados é de inteira responsabilidade de cada usuário.

Art. 5º As senhas devem ser imediatamente alteradas nas seguintes situações:

I - ao receber uma nova senha de login , fornecida pelo administrador do serviço, trocando-a por outra que seja de seu exclusivo conhecimento;

II - sempre que o sistema ou solução solicitar, por motivo de expiração ou necessidade do respectivo sistema;

III - quando houver suspeita de descoberta de senha por terceiros; e

IV - quando houver suspeita de captura indevida ou vazamento de senha na internet.

§ 1º Caso a senha não seja alterada nas situações acima, esta poderá ser bloqueada conforme critérios de segurança adotados pela área de TIC.

§ 2º Sempre que for detectado vazamento de credenciais pela monitoria de segurança, por prevenção, as senhas serão automaticamente expiradas.

CAPÍTULO IV - DO CONCEITO DE MESA LIMPA E TELA LIMPA

Art. 6º Devem ser adotadas as políticas de "mesa limpa" e de "tela limpa", referidas na ABNT NBR ISO 27001:2023: Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos, como formas eficazes para reduzir os riscos de acesso não autorizado, perda e dano à informação, durante e fora do horário de trabalho, evitando o acesso, divulgação, modificação ou furto de informações restritas.

Art. 7º Deve-se adotar a política de "mesa limpa" para que nenhuma informação confidencial seja deixada à vista, seja em papel, mídias magnéticas ou qualquer outro dispositivo eletrônico.

Parágrafo único. Considerar sempre a classificação das informações e os riscos correspondentes, observando-se as seguintes regras:

I - papéis e mídias de computador devem ser armazenados, quando não estiverem sendo utilizados, em lugares adequados, com fechaduras ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho;

II - informações sensíveis ou críticas ao negócio, quando não requeridas, devem ser guardadas em local distante da área de trabalho, de forma segura e fechada, especialmente quando não houver expediente;

III - equipamentos de reprodução corporativos (fotocopiadoras, scanners e máquinas fotográficas digitais) devem ser protegidos contra o uso não autorizado;

IV - informações sensíveis e/ou classificadas, quando impressas, devem ser imediatamente retiradas da impressora;

V - o descarte de informações sensíveis impressas deve ser feito de maneira a inviabilizar seu uso, preferencialmente, por meio de uso de picotadoras; e

VI - informações sensíveis e/ou classificadas, quando fotocopiadas ou digitalizadas (em equipamento do tipo scanner), devem ter seus arquivos de digitalização/fotocópia imediatamente apagados de pasta que não seja de acesso exclusivo do responsável pela digitalização.

Art. 8º A política de "tela limpa" para recursos de tecnologia da informação deve considerar a classificação das informações e os riscos correspondentes, observando os seguintes pontos:

I - os computadores e impressoras devem ser desligados ou bloqueados sempre que não estiverem em uso;

II - os equipamentos devem estar protegidos por mecanismos de bloqueio automático por tempo de inatividade; e

III - o usuário deve bloquear qualquer dispositivo eletrônico que faça uso da rede corporativa, ao afastar-se dele, para evitar o uso indevido por pessoas não autorizadas.

CAPÍTULO V - DO USO DE CORREIO ELETRÔNICO

Art. 9º O usuário deverá utilizar seu correio eletrônico observando as seguintes regras:

I - evitar bloqueio de sua conta por excesso de mensagens;

II - eliminar periodicamente as mensagens cujo valor legal, administrativo ou corporativo não tenha mais utilidade ou pertinência, gerenciando sua caixa de correio dentro dos limites de armazenamento preestabelecidos;

III - transmitir mensagens por correio eletrônico de forma consciente e responsável;

IV - utilizar o serviço de correio eletrônico única e exclusivamente para o desenvolvimento de suas atividades corporativas;

V - inspecionar os links recebidos, conferindo se o endereço indicado (URL) de um site está correto, de forma a garantir que o site acessado seja legítimo e não um site malicioso;

VI - evitar abrir arquivos anexos cuja origem ou característica seja duvidosa;

VII - fazer uso dos recursos anti-phishing (protetor contra páginas/sites falsos) e anti-spam oferecidos pelo cliente de e-mail, reportando a ocorrência pela ferramenta;

VIII - comunicar imediatamente a equipe de segurança da informação sempre que desconfiar de uma mensagem recebida, evitando clicar em links ou abrir arquivos anexos;

IX - comunicar imediatamente a equipe de segurança sempre que detectar comportamento anômalo após a abertura de anexos ou acesso a links nas mensagens;

X - analisar cuidadosamente mensagens recebidas nas pastas identificadas como "lixo eletrônico" ou "spam" antes de abrir ou mover para outras pastas;

XI - havendo comunicação de mensagem em quarentena, analisar atentamente as características do remetente e do conteúdo da mensagem antes de liberá-la para a caixa de entrada;

XII - manter o sigilo de sua senha de acesso a este serviço;

XIII - excluir e-mails que contenham links de internet ou arquivos anexos de origem desconhecida ou duvidosa, a fim de evitar execução ou instalação de softwares que contenham códigos maliciosos;

XIV - não divulgar o e-mail corporativo em sites ou listas de discussão na internet cujo tema não está ligado às atividades corporativas; e

XV - evitar sobrecarregar o correio eletrônico com anexos, priorizando o envio de links de compartilhamento.

Parágrafo único. A conta pessoal de correio eletrônico corporativo, disponibilizada ao usuário, é pessoal e intransferível, sendo seu titular o único responsável pelas ações e danos que venham a ser ocasionados por mau uso do serviço.

Art. 10. É vedada a utilização do serviço de correio eletrônico corporativo para enviar, encaminhar, receber e armazenar mensagens contendo:

I - códigos maliciosos (vírus, Cavalos de Tróia, entre outros);

II - materiais com conteúdo pornográfico, antiético, atentatórios à moral e aos bons costumes, ofensivos ou que incentivem a violência ou discriminação de raça ou credo ou qualquer outro tipo de discriminação previsto na Constituição Federal;

III - conteúdo criminoso ou ilegal, ou que façam sua apologia;

IV - conteúdo que não respeite os direitos autorais ou comerciais pertinentes;

V - mensagens em cadeia ou "pirâmides", independentemente da vontade do destinatário de receber tais mensagens;

VI - transmissão de conteúdo potencialmente perigoso, tais como arquivos executáveis ou outros que possam conter vírus ou outras ameaças;

VII - grande quantidade de mensagens de correio eletrônico ( junk mail ou spam ), incluindo qualquer tipo de mala direta, publicidade comercial ou não, anúncios, informativos ou propaganda política, que afete a capacidade técnica da rede corporativa;

VIII - dados pessoais que não sejam destinados ao agente de tratamento; e

IX - listas de endereços institucionais ao público externo em geral não afetos às atividades da SEFAZ/RS.

Art. 11. É́ vedado o uso do correio eletrônico corporativo para fins particulares, tais como redes sociais, estabelecimentos comerciais, clubes, associações, ou qualquer outro serviço não diretamente vinculado ao exercício de suas funções.

Parágrafo único. A detecção do cadastro ou uso do endereço de e-mail corporativo de forma indevida ensejará o bloqueio de seu acesso até a exclusão ou alteração do referido cadastro ou serviço.

Art. 12. O uso ou acesso à conta de correio eletrônico particular pelo usuário deve ser evitada, sendo vedada sua utilização para tráfego de informações de interesse ou posse da SEFAZ/RS.

Art. 13. O usuário deve utilizar os serviços de correio eletrônico, no ambiente da SEFAZ/RS, de forma a não prejudicar o trabalho de terceiros, causar tráfego desnecessário na rede de dados, ou sobrecarregar os sistemas de informação da Secretaria ou de outras organizações.

Art. 14. Mensagens de correio eletrônico que contenham informações classificadas como Ultrassecretas, Secretas e Reservadas, segundo a Lei federal nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação - LAI, devem utilizar, obrigatoriamente, recurso de criptografia, de forma a garantir a segurança das informações trafegadas.

Art. 15. O acesso à caixa postal individual de correio eletrônico poderá, entre outras medidas, ser suspenso ou bloqueado quando for constatada utilização indevida conforme Política de Segurança, sendo comunicado à chefia imediata do usuário.

Parágrafo único. A recuperação do acesso só será realizada mediante análise do incidente e correção, quando possível, das falhas verificadas.

CAPÍTULO VI - DO USO DA REDE INTERNA E INTERNET

Art. 16. Todo usuário poderá utilizar os serviços da rede interna e de internet após a liberação da concessão de acesso à rede corporativa e conforme o perfil de acesso autorizado.

Parágrafo único. Para acesso aos serviços de intranet e internet, deverão ser utilizados somente os navegadores ( browsers ) homologados pela área de segurança, vedada a instalação de navegadores alternativos.

Art. 17. A utilização da Internet deverá ser realizada dentro dos princípios da administração pública, em especial dos princípios da legalidade, da moralidade, da razoabilidade, da ética entre outros.

Art. 18. O usuário não deve disponibilizar na Internet dados ou informações, que não sejam públicas, custodiadas ou de propriedade da SEFAZ/RS, sem prévia autorização do respectivo proprietário.

Art. 19. Caso seja necessário ao desempenho das funções institucionais do usuário, poderá ser realizado download de arquivos da Internet, desde que sejam respeitados os termos de licença de cópia, de uso e contratuais pertinentes.

Parágrafo único. Os arquivos que eventualmente forem bloqueados poderão ter o download liberado temporariamente desde que previamente autorizados após adequada verificação e justificativa.

Art. 20. Quando o usuário utilizar o acesso a serviços de internet para a realização de transações que envolvam informações classificadas como Reservadas, Secretas e Ultrassecretas, conforme a Lei federal nº 12.527/11, adotar, no mínimo, as seguintes regras de segurança:

I - digitar o endereço do site diretamente no navegador ( browser ), evitando clicar em links indicados nas páginas de internet ou mensagens de correio eletrônico;

II - ao acessar sites de instituições bancárias, sempre verificar a existência de certificado digital e sinalização de site seguro, representado por um cadeado fechado no início do endereço da respectiva página; e

III - quando da transmissão de informações, verificar se o endereço do site (URL) inicia-se por "HTTPS", indicando se tratar de site seguro.

Art. 21. O usuário é responsável pela reparação de todo e qualquer dano, direto ou indireto (inclusive decorrentes de violação de direitos de outros usuários; de terceiros, direitos de propriedade intelectual; de sigilo; e de personalidade), que sejam causados à Administração Pública, a qualquer outro usuário, ou ainda a qualquer terceiro, em virtude do descumprimento do disposto nas Políticas de Segurança ou de qualquer ato praticado indevidamente a partir de seu acesso ao serviço.

Art. 22. Serão considerados usos indevidos, abusivos ou excessivos no acesso à rede interna ou internet:

I - acessar computadores, softwares, dados, informações ou outros recursos de informação, em redes locais ou externas, sem a devida autorização ou, intencionalmente, habilitar outros a fazê-lo;

II - utilizar programas, recursos ou equipamentos que causem ou tentem causar a indisponibilidade de serviços de rede ou que prejudiquem de alguma forma as atividades de outros usuários;

III - efetuar ações que possam ser caracterizadas como violação da segurança computacional, como utilização de ferramentas de varreduras de rede, analisador de pacotes, entre outras;

IV - utilizar recursos de comunicação (como e-mail, mensageiros instantâneos ou sistemas com funções similares) para o envio de mensagens fraudulentas, hostis, obscenas, ameaçadoras ou outras mensagens que violem a legislação vigente ou políticas da SEFAZ/RS;

V - compartilhar arquivos através de programas que estejam protegidos por direitos autorais ou que possam comprometer o desempenho da rede;

VI - divulgar informações confidenciais ou relacionadas à privacidade e confidencialidade de outros usuários;

VII - utilizar de aplicações ou recursos tecnológicos que visem burlar regras de firewall ou desativar bloqueios de navegação estabelecidos pela Política de Segurança;

VIII - acessar portais ou páginas inseguras que ofereçam riscos de contaminação por vírus ou por outro código nocivo de programação nas redes computacionais corporativas das Unidades Organizacionais da SEFAZ/RS;

IX - transmitir em benefício próprio ou para terceiros, softwares ou informações custodiadas ou de propriedade da SEFAZ/RS sem prévia autorização;

X - acessar sites com conteúdo abusivo, ofensivo, obsceno e pornográfico;

XI - acessar sites com conteúdo discriminatório, difamatório, ameaçador e de ódio; e

XII - as demais utilizações que estejam em desacordo com a legislação vigente ou que possam comprometer a Segurança da Informação e Comunicações da SEFAZ/RS.

CAPÍTULO VII - DO USO DE FERRAMENTAS DE COLABORAÇÃO E PRODUTIVIDADE

Art. 23. As ferramentas de colaboração e produtividade oficiais da SEFAZ/RS deverão ser utilizadas apenas para fins institucionais, vedado seu uso para fins particulares tais como redes sociais, estabelecimentos comerciais, clubes, associações, ou qualquer outro serviço não diretamente relacionado às atividades corporativas.

§ 1º A detecção do uso das ferramentas de colaboração corporativas de forma indevida ensejará o bloqueio de seu acesso até a exclusão do conteúdo criado ou utilizado.

§ 2º É permitido o uso de soluções de videoconferência, chat ou conversação alternativas à oficial, por necessidade de uso ou quando não for possível a utilização da solução oficial, desde que homologadas pela área de segurança de TIC, observadas as diretrizes da Política de Segurança da SEFAZ.

Art. 24. O usuário deverá utilizar a ferramenta de colaboração e produtividade observando as seguintes regras:

I - o ambiente de trabalho colaborativo tem caráter temporário e precário, devendo ser utilizado enquanto durarem as atividades das equipes ou grupos de trabalho;

II - após a finalização de projetos ou trabalhos, a documentação resultante deve ser migrada para as devidas pastas corporativas de armazenamento ( fileserver ), excluindo-se as equipes ou grupos criados durante a execução das atividades;

III - eliminar periodicamente arquivos e estruturas cujo valor legal, administrativo ou corporativo não tenha mais utilidade ou pertinência, gerenciando seus recursos dentro dos limites de armazenamento preestabelecidos; e

IV - manter as informações de perfil atualizadas, sendo obrigatório o uso de fotografia que identifique o usuário de maneira clara e inequívoca, no mesmo padrão adotado para a foto de identificação funcional do crachá.

Art. 25. É vedada a utilização das ferramentas de colaboração e produtividade para enviar, encaminhar, receber e armazenar material contendo:

I - códigos maliciosos (vírus, Cavalos de Tróia, entre outros);

II - conteúdo pornográfico, antiético, atentatórios à moral e aos bons costumes, ofensivos ou que incentivem a violência ou discriminação de raça ou credo ou qualquer outro tipo de discriminação previsto na Constituição Federal;

III - conteúdo criminoso ou ilegal, ou que façam sua apologia;

IV - conteúdo que não respeite os direitos autorais ou comerciais pertinentes;

V - transmissão de conteúdo potencialmente perigoso, tais como arquivos executáveis ou outros que possam conter vírus ou outras ameaças;

VI - dados pessoais que não sejam destinados ao agente de tratamento; e

VII - as demais utilizações que estejam em desacordo com a legislação vigente ou que comprometa a Segurança da Informação e Comunicações da SEFAZ/RS.

CAPÍTULO VIII - DO USO DE ARMAZENAMENTO PESSOAL

Art. 26. O usuário deverá utilizar suas pastas de armazenamento pessoal observando as seguintes regras:

I - as pastas de armazenamento pessoal, locais ou em nuvem, tem caráter temporário e precário, devendo seu uso ficar restrito ao desenvolvimento de tarefas acessórias, sendo seu conteúdo de total responsabilidade do usuário;

II - após a finalização de projetos ou trabalhos, a documentação resultante deve ser migrada para as devidas pastas corporativas de armazenamento ( fileserver ), excluindo-as das pastas pessoais; e

III - devem ser eliminados, periodicamente, arquivos e materiais que não tenham mais utilidade ou pertinência, gerenciando seus recursos dentro dos limites de armazenamento disponibilizados.

Art. 27. O desenvolvimento de tarefas corporativas ou institucionais deverá priorizar o armazenamento de informações nas pastas corporativas das respectivas áreas, com o controle de acesso adequado.

Art. 28. É vedada a utilização das pastas pessoais para armazenamento de:

I - códigos maliciosos (vírus, Cavalos de Tróia, entre outros);

II - conteúdo pornográfico, antiético, atentatórios à moral e aos bons costumes, ofensivos ou que incentivem a violência ou discriminação de raça ou credo ou qualquer outro tipo de discriminação previsto na Constituição Federal;

III - conteúdo criminoso ou ilegal, ou que façam sua apologia;

IV - conteúdo que não respeite os direitos autorais ou comerciais pertinentes;

V - conteúdo potencialmente perigoso, tais como arquivos executáveis ou outros que possam conter vírus ou outras ameaças;

VI - softwares, arquivos ou informações de propriedade da SEFAZ/RS, para posterior cópia ou transmissão, em benefício próprio ou para terceiros, sem prévia autorização; e

VII - qualquer outro ativo ou conteúdo que esteja em desacordo com a legislação vigente ou que possa comprometer a Segurança da Informação da SEFAZ/RS.

CAPÍTULO IX - DAS DISPOSIÇÕES FINAIS

Art. 29. Caberá ao CSI/SEFAZ tratar os casos omissos a esta Resolução .

Art. 30. Esta Resolução entra em vigor na data de sua publicação.

GGTIC/SEFAZ, em Porto Alegre, 01 de julho de 2025.

André Renato Facchini ,

Coordenador do GGTIC/SEFAZ.

Registre-se e publique-se.