Normas do Tribunal

Nome: ATO GP Nº 08/2015
Origem: Gabinete da Presidência
Data de edição: 23/03/2015
Data de publicação: 26/03/2015
Fonte:
DOELETRÔNICO - CAD. ADM. - 26/03/2015
Vigência:
Tema:
Institui a Política de Senhas no âmbito do TRT da 2ª Região.
Indexação:
Senha; segurança; informação; usuário; controle; código; credencial; macro; tecla; autenticidade; acesso; equipamento; infraestrutura; e-mail; unidade; recurso; responsável; armazenamento; privilégio; confidencialidade; criptografia; técnica; texto; tecnologia; contrato; convênio; internet; sigilo; validade; secretaria; letra; caracteres; sequência numérica; sequência alfabética; símbolo;  matrícula; data; expiração; período; criação; alteração; chefe; substituto.
Situação: EM VIGOR
Observações:

ATO GP Nº 08/2015

Institui a Política de Senhas no âmbito do Tribunal Regional do Trabalho da 2ª Região.


A DESEMBARGADORA DO TRABALHO PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o Ato GP nº 28/2012 que instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 2ª Região;

CONSIDERANDO a necessidade de estabelecer critérios relativos às senhas de usuários, visando o incremento da segurança dos usuários e do ambiente computacional no âmbito do Tribunal Regional do Trabalho da 2ª Região;

CONSIDERANDO a norma ABNT NBR ISO/IEC 27002:2005 que sugere um código de prática para a gestão da segurança da informação, tratando de controle de acessos no capítulo 11,

RESOLVE:

Art. 1º. Instituir a Política de Senhas no âmbito do Tribunal Regional do Trabalho da 2ª Região.

Art. 2º Para os efeitos deste Ato aplicam-se as seguintes definições:

I. Credencial de Acesso: no escopo deste normativo, o mesmo que senha;

II. Macros: ação ou um conjunto de ações automatizadas, disparadas por algum comando de entrada;


III. Teclas de função: teclas configuradas para executarem automaticamente algum comando ao serem acionadas;


IV. Autenticidade: propriedade que assegura que uma informação foi produzida, emitida ou modificada por uma determinada pessoa ou sistema legitimado para tal finalidade;


V. Senhas Administrativas: senhas que habilitam a determinados usuários o acesso com privilégios administrativos a equipamentos que integram a infraestrutura computacional do Tribunal;


VI. Senhas de Uso Compartilhado: senhas que não são individualizadas, como senhas de e-mail de unidades funcionais ou senhas de serviços em que o Tribunal atua como usuário e não como provedor;


VII. Recursos: aplicação ou equipamento da infraestrutura tecnológica responsável pelo processamento e armazenamento de informações utilizadas por este tribunal;


VIII. Privilégios Administrativos: privilégios de acesso irrestrito, destinados à administração de determinado recurso e não apenas à sua simples utilização;


IX. Confidencialidade: propriedade que assegura que uma informação é acessada apenas por pessoa credenciada para tal acesso;


X. Integridade: propriedade que assegura que uma informação não foi modificada ou destruída indevidamente;


XI. Criptografia: técnica que consiste em tornar um texto claro e legível em texto codificado e não legível, garantindo a confidencialidade da informação.


Art. 3º. As disposições deste Ato aplicam-se a todos os usuários de recursos de tecnologia da informação do Tribunal Regional do Trabalho da 2ª Região;

Parágrafo único. Os contratos e convênios firmados pelo Tribunal que envolvam utilização de recursos de tecnologia da informação devem conter cláusula exigindo a observância deste ato, que estará disponível no sítio eletrônico do Tribunal na Internet.

Art. 4º. As senhas de acesso à rede corporativa são de uso pessoal e intransferível.

§ 1º. O usuário é responsável por manter sigilo sobre suas credenciais de acesso.

§ 2º. O usuário é considerado responsável por qualquer ação realizada utilizando suas credenciais de acesso no ambiente computacional deste Regional.

Art. 5º. A política de acesso a determinado recurso tecnológico, mediante uso de senha ou não, é definida pelo Comitê de Segurança da Informação e Comunicações.

Parágrafo único. A Secretaria de Tecnologia da Informação é responsável pelo monitoramento das ações praticadas em recursos tecnológicos onde é franqueado acesso sem utilização de senha.

Art. 6º. Não é permitido tentar obter ou conseguir acesso não autorizado a qualquer sistema informatizado ou equipamento.

Art. 7º. As senhas devem atender aos seguintes parâmetros de complexidade:

I. Devem conter, no mínimo, 8 caracteres;

II. Devem conter, no mínimo, 1 caractere de cada um dos grupos abaixo:


a. letras maiúsculas;


b. letras minúsculas;


c. números.


III.  Devem ser isentas de caracteres idênticos consecutivos;


IV. Devem ser isentas de sequências numéricas ou sequências alfabéticas com 4 ou mais caracteres.


Parágrafo único. Senhas geradas automaticamente por sistemas informatizados devem utilizar a maior complexidade possível no referido sistema, em relação à quantidade de caracteres e presença de outros grupos de caracteres, como símbolos, letras acentuadas ou sinais de pontuação.

Art. 8º. É sugerido que todas as senhas atendam às boas práticas de segurança da informação, tais como:

I. Não devem conter, em todo ou em parte, nome do usuário ou sua matrícula institucional;

II. Não devem conter datas;


III. Não devem conter informações pessoais;


IV. Não devem conter informações de fácil dedução;


V. Não devem ser armazenadas em papel ou em qualquer outro meio que facilite sua descoberta por outras pessoas;


VI. Não devem ser incluídas em processos automáticos, como macros ou teclas de função.


Art. 9º. As senhas terão validade máxima de 1 (um) ano. Antes do término desse período, deverão ser geradas novamente pelo usuário.

§ 1º. A Secretaria de Tecnologia da Informação enviará e-mail aos usuários cujas senhas se aproximarem da data de expiração pelo menos 1 (um) mês antes da referida data.

§ 2º. Findo o prazo do caput sem a nova geração de senha, os usuários terão suas senhas desabilitadas e deverão entrar em contato com o serviço de atendimento fornecido pela Secretaria de Tecnologia da Informação para proceder com o processo de troca de senhas.

§ 3º. Durante a troca de senhas, os usuários não poderão utilizar nenhuma das 3 últimas senhas utilizadas.

Art. 10. Os usuários poderão trocar suas senhas a qualquer tempo, antes da expiração do prazo presente no caput do Art. 9º, ocasião em que a validade da senha é renovada pelo período indicado.

§ 1º. Os usuários podem trocar suas senhas até 3 (três) vezes num prazo de 3 (três) dias. Se houver necessidade de trocas de senhas adicionais, estas devem acontecer de acordo com o previsto no Art. 9º, §§ 2º e .

§ 2º. Quando for solicitada a intervenção da Secretaria de Tecnologia da Informação para alteração de uma senha, a solicitação deverá ser realizada pelo próprio usuário, que estará sujeito a confirmação de dados pessoais para verificação de autenticidade.

Art. 11. As senhas deverão ser desabilitadas automaticamente sempre que houver 5 (cinco) tentativas seguidas de acesso mal sucedido ao mesmo sistema informatizado.

Parágrafo único. Na hipótese prevista no caput, o usuário deverá providenciar a mudança de sua senha de acordo com o previsto no Art. 9º, §§ 2º e .

Art. 12. As senhas administrativas deverão ser gerenciadas pela Coordenadoria de Administração de Recursos.

§ 1º. Quando recursos requererem permissões especiais para sua administração, privilégios administrativos deverão ser atribuídos a usuários específicos e individuais.

§ 2º. Deve ser adotado um procedimento formal de autorização, registro e revisão de todos os privilégios administrativos concedidos aos usuários.

§ 3º. As autorizações de que trata o Art. 12, § 2º, devem ser revisadas periodicamente, ou sempre que houver mudança na situação funcional de usuário da senha administrativa.

§ 4º. Salvo nos eventuais casos de restrições impostas pela solução tecnológica utilizada, nenhum recurso deve entrar em operação antes que seja feita a alteração da senha administrativa padrão do fabricante.

§ 5º. Deve ser adotado um procedimento formal para a criação e alteração de senhas administrativas que garanta senhas fortes e assegure o sigilo das senhas inclusive entre os participantes desse processo.

§ 6º. Senhas administrativas somente deverão ser utilizadas quando não for possível a atribuição de determinado privilégio a um usuário individualizado.

§ 7º. O acesso a recursos via senha administrativa deverá ser formalmente autorizado pelo diretor da Coordenadoria de Administração de Recursos.

§ 8º. Senhas administrativas devem ser utilizadas por usuário previamente autorizado para uma demanda especifica e por tempo determinado. Finalizada a necessidade de utilização, a senha deve ser alterada de acordo com o art. 12, § 5º.

§ 9º. Na impossibilidade de alteração de senha administrativa por restrições da solução tecnológica, apenas o chefe e o substituto da seção que necessita de acesso administrativo podem receber autorização, que deve ser feita mediante a assinatura de declaração de confidencialidade específica para esse caso.

§ 10. O armazenamento das senhas administrativas deve ser centralizado e deve ser adotado um procedimento formal que garanta a disponibilidade, confidencialidade, integridade e autenticidade nos processos de armazenamento e recuperação das senhas.

Art. 13. Senhas de uso compartilhado serão atribuídas ao responsável pela unidade que fará uso da mesma.

Parágrafo único. O responsável pela unidade poderá, mantida sua responsabilidade, compartilhar com seus subordinados a senha de que trata este artigo.

Art. 14. As bases de dados que armazenam senhas devem fazê-lo utilizando recursos de criptografia, de modo que não seja possível a qualquer pessoa, mesmo que da equipe técnica de tecnologia da informação deste Regional, recuperar a senha armazenada.

Art. 15. Os sistemas informatizados fornecidos pelo Tribunal Regional do Trabalho da 2ª Região deverão prover mecanismos que garantam que qualquer nova senha esteja em conformidade com os critérios definidos nesta Política.

§ 1º. Os sistemas informatizados devem se adequar a este normativo em até 180 dias, a contar da data de sua publicação.

§ 2º. Os mecanismos que implementam os critérios definidos nesta Política poderão ser auditados pela Secretaria de Tecnologia da Informação, a qualquer tempo, para verificação dos controles empregados.

Art. 16. Este Ato entra em vigor na data de sua publicação, ficando revogadas as disposições em contrário.

Publique-se e cumpra-se.

São Paulo, 23 de março de 2015.



SILVIA REGINA PONDÉ GALVÃO DEVONALD
Desembargadora do Trabalho Presidente do Tribunal




DOELETRÔNICO - CAD. ADM. - 26/03/2015

Coordenadoria de Gestão Normativa e Jurisprudencial