ATO
GP Nº 08/2015
Institui a Política de Senhas no âmbito do Tribunal Regional
do Trabalho da 2ª Região.
A DESEMBARGADORA
DO TRABALHO PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO,
no uso de suas atribuições legais e regimentais,
CONSIDERANDO
o Ato
GP nº 28/2012 que instituiu a Política de Segurança
da Informação no âmbito do Tribunal Regional do Trabalho
da 2ª Região;
CONSIDERANDO
a necessidade de estabelecer critérios relativos às senhas
de usuários, visando o incremento da segurança dos usuários
e do ambiente computacional no âmbito do Tribunal Regional do Trabalho
da 2ª Região;
CONSIDERANDO
a norma ABNT NBR ISO/IEC 27002:2005 que sugere um código de prática
para a gestão da segurança da informação, tratando
de controle de acessos no capítulo 11,
RESOLVE:
Art. 1º.
Instituir a Política de Senhas no âmbito do Tribunal Regional
do Trabalho da 2ª Região.
Art. 2º
Para os efeitos deste Ato aplicam-se as seguintes definições:
I. Credencial
de Acesso: no escopo deste normativo, o mesmo que senha;
II. Macros: ação ou um conjunto de ações automatizadas,
disparadas por algum comando de entrada;
III. Teclas de função: teclas configuradas para executarem
automaticamente algum comando ao serem acionadas;
IV. Autenticidade: propriedade que assegura que uma informação
foi produzida, emitida ou modificada por uma determinada pessoa ou sistema
legitimado para tal finalidade;
V. Senhas Administrativas: senhas que habilitam a determinados usuários
o acesso com privilégios administrativos a equipamentos que integram
a infraestrutura computacional do Tribunal;
VI. Senhas de Uso Compartilhado: senhas que não são individualizadas,
como senhas de e-mail de unidades funcionais ou senhas de serviços
em que o Tribunal atua como usuário e não como provedor;
VII. Recursos: aplicação ou equipamento da infraestrutura
tecnológica responsável pelo processamento e armazenamento
de informações utilizadas por este tribunal;
VIII. Privilégios Administrativos: privilégios de acesso
irrestrito, destinados à administração de determinado
recurso e não apenas à sua simples utilização;
IX. Confidencialidade: propriedade que assegura que uma informação
é acessada apenas por pessoa credenciada para tal acesso;
X. Integridade: propriedade que assegura que uma informação
não foi modificada ou destruída indevidamente;
XI. Criptografia: técnica que consiste em tornar um texto claro
e legível em texto codificado e não legível, garantindo
a confidencialidade da informação.
Art. 3º.
As disposições deste Ato aplicam-se a todos os usuários
de recursos de tecnologia da informação do Tribunal Regional
do Trabalho da 2ª Região;
Parágrafo
único. Os contratos e convênios firmados pelo Tribunal que envolvam
utilização de recursos de tecnologia da informação
devem conter cláusula exigindo a observância deste ato, que
estará disponível no sítio eletrônico do Tribunal
na Internet.
Art. 4º.
As senhas de acesso à rede corporativa são de uso pessoal e
intransferível.
§
1º. O usuário é responsável por manter sigilo sobre
suas credenciais de acesso.
§
2º. O usuário é considerado responsável por qualquer
ação realizada utilizando suas credenciais de acesso no ambiente
computacional deste Regional.
Art. 5º.
A política de acesso a determinado recurso tecnológico, mediante
uso de senha ou não, é definida pelo Comitê de Segurança
da Informação e Comunicações.
Parágrafo
único. A Secretaria de Tecnologia da Informação é
responsável pelo monitoramento das ações praticadas
em recursos tecnológicos onde é franqueado acesso sem utilização
de senha.
Art. 6º.
Não é permitido tentar obter ou conseguir acesso não
autorizado a qualquer sistema informatizado ou equipamento.
Art. 7º.
As senhas devem atender aos seguintes parâmetros de complexidade:
I. Devem
conter, no mínimo, 8 caracteres;
II. Devem conter, no mínimo, 1 caractere de cada um dos grupos
abaixo:
a. letras maiúsculas;
b. letras minúsculas;
c. números.
III. Devem ser isentas de caracteres idênticos consecutivos;
IV. Devem ser isentas de sequências numéricas ou sequências
alfabéticas com 4 ou mais caracteres.
Parágrafo
único. Senhas geradas automaticamente por sistemas informatizados
devem utilizar a maior complexidade possível no referido sistema, em
relação à quantidade de caracteres e presença
de outros grupos de caracteres, como símbolos, letras acentuadas ou
sinais de pontuação.
Art. 8º.
É sugerido que todas as senhas atendam às boas práticas
de segurança da informação, tais como:
I. Não
devem conter, em todo ou em parte, nome do usuário ou sua matrícula
institucional;
II. Não devem conter datas;
III. Não devem conter informações pessoais;
IV. Não devem conter informações de fácil
dedução;
V. Não devem ser armazenadas em papel ou em qualquer outro meio
que facilite sua descoberta por outras pessoas;
VI. Não devem ser incluídas em processos automáticos,
como macros ou teclas de função.
Art. 9º. As senhas terão validade máxima
de 1 (um) ano. Antes do término desse período, deverão
ser geradas novamente pelo usuário.
§
1º. A Secretaria de Tecnologia da Informação enviará
e-mail aos usuários cujas senhas se aproximarem da data de expiração
pelo menos 1 (um) mês antes da referida data.
§ 2º. Findo o prazo do caput
sem a nova geração de senha, os usuários terão
suas senhas desabilitadas e deverão entrar em contato com o serviço
de atendimento fornecido pela Secretaria de Tecnologia da Informação
para proceder com o processo de troca de senhas.
§ 3º. Durante a troca de senhas, os usuários
não poderão utilizar nenhuma das 3 últimas senhas utilizadas.
Art. 10.
Os usuários poderão trocar suas senhas a qualquer tempo, antes
da expiração do prazo presente no caput
do Art. 9º, ocasião em que a validade da senha é renovada
pelo período indicado.
§
1º. Os usuários podem trocar suas senhas até 3 (três)
vezes num prazo de 3 (três) dias. Se houver necessidade de trocas de
senhas adicionais, estas devem acontecer de acordo com o previsto no
Art. 9º, §§
2º e 3º.
§
2º. Quando for solicitada a intervenção da Secretaria
de Tecnologia da Informação para alteração de
uma senha, a solicitação deverá ser realizada pelo próprio
usuário, que estará sujeito a confirmação de dados
pessoais para verificação de autenticidade.
Art. 11. As senhas deverão ser desabilitadas automaticamente
sempre que houver 5 (cinco) tentativas seguidas de acesso mal sucedido ao
mesmo sistema informatizado.
Parágrafo
único. Na hipótese prevista no caput,
o usuário deverá providenciar a mudança de sua senha
de acordo com o previsto no Art. 9º, §§ 2º e 3º.
Art. 12. As senhas administrativas deverão ser gerenciadas
pela Coordenadoria de Administração de Recursos.
§
1º. Quando recursos requererem permissões especiais para sua
administração, privilégios administrativos deverão
ser atribuídos a usuários específicos e individuais.
§ 2º. Deve ser adotado um procedimento formal
de autorização, registro e revisão de todos os privilégios
administrativos concedidos aos usuários.
§
3º. As autorizações de que trata o Art. 12, § 2º,
devem ser revisadas periodicamente, ou sempre que houver mudança na
situação funcional de usuário da senha administrativa.
§
4º. Salvo nos eventuais casos de restrições impostas pela
solução tecnológica utilizada, nenhum recurso deve
entrar em operação antes que seja feita a alteração
da senha administrativa padrão do fabricante.
§ 5º. Deve ser adotado um procedimento formal
para a criação e alteração de senhas administrativas
que garanta senhas fortes e assegure o sigilo das senhas inclusive entre
os participantes desse processo.
§
6º. Senhas administrativas somente deverão ser utilizadas quando
não for possível a atribuição de determinado
privilégio a um usuário individualizado.
§
7º. O acesso a recursos via senha administrativa deverá ser formalmente
autorizado pelo diretor da Coordenadoria de Administração de
Recursos.
§
8º. Senhas administrativas devem ser utilizadas por usuário previamente
autorizado para uma demanda especifica e por tempo determinado. Finalizada
a necessidade de utilização, a senha deve ser alterada de
acordo com o art. 12, §
5º.
§
9º. Na impossibilidade de alteração de senha administrativa
por restrições da solução tecnológica,
apenas o chefe e o substituto da seção que necessita de acesso
administrativo podem receber autorização, que deve ser feita
mediante a assinatura de declaração de confidencialidade específica
para esse caso.
§
10. O armazenamento das senhas administrativas deve ser centralizado e deve
ser adotado um procedimento formal que garanta a disponibilidade, confidencialidade,
integridade e autenticidade nos processos de armazenamento e recuperação
das senhas.
Art. 13. Senhas de uso compartilhado serão atribuídas
ao responsável pela unidade que fará uso da mesma.
Parágrafo
único. O responsável pela unidade poderá, mantida sua
responsabilidade, compartilhar com seus subordinados a senha de que trata
este artigo.
Art. 14.
As bases de dados que armazenam senhas devem fazê-lo utilizando recursos
de criptografia, de modo que não seja possível a qualquer pessoa,
mesmo que da equipe técnica de tecnologia da informação
deste Regional, recuperar a senha armazenada.
Art. 15.
Os sistemas informatizados fornecidos pelo Tribunal Regional do Trabalho
da 2ª Região deverão prover mecanismos que garantam que
qualquer nova senha esteja em conformidade com os critérios definidos
nesta Política.
§
1º. Os sistemas informatizados devem se adequar a este normativo em
até 180 dias, a contar da data de sua publicação.
§
2º. Os mecanismos que implementam os critérios definidos nesta
Política poderão ser auditados pela Secretaria de Tecnologia
da Informação, a qualquer tempo, para verificação
dos controles empregados.
Art. 16.
Este Ato entra em vigor na data de sua publicação, ficando
revogadas as disposições em contrário.
Publique-se
e cumpra-se.
São Paulo, 23 de março de 2015.
SILVIA REGINA PONDÉ
GALVÃO DEVONALD
Desembargadora
do Trabalho Presidente do Tribunal
DOELETRÔNICO - CAD. ADM. - 26/03/2015
|