ATO NORMATIVO 51/2024
Estadual
Judiciário
03/12/2024
05/12/2024
DJERJ, ADM, n. 64, p. 12.
- Processo Administrativo: 06008580; Ano: 2024
- Processo Administrativo: 06116728; Ano: 2024
- Processo Administrativo: 0643889; Ano: 2020
Institui a Política de Segurança de Serviços em Nuvem no Poder Judiciário do Estado do Rio de Janeiro.
ATO NORMATIVO TJ Nº 51/2024
Institui a Política de Segurança de Serviços em Nuvem no Poder Judiciário do Estado do Rio de Janeiro.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO DE JANEIRO, Desembargador Ricardo Rodrigues Cardozo, no uso de suas atribuições legais,
CONSIDERANDO o disposto na Lei Federal nº 13.709/2018, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais;
CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;
CONSIDERANDO os termos da Resolução CNJ nº 396/2021, de 07 de junho de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), bem como a Portaria CNJ nº 162/2021, de 10 de junho de 2021, que regulamentou a ENSEC-PJ;
CONSIDERANDO a Resolução TJ/OE nº 9/2024, que dispõe sobre a Política de Segurança da Informação, aprovada na sessão administrativa do Órgão Especial do dia 01 de abril de 2024 (Processo SEI nº 2024-06008580);
CONSIDERANDO a necessidade de dotar o Poder Judiciário do Estado do Rio de Janeiro de mecanismos de tratamento e proteção de dados pessoais para garantir o cumprimento da norma de regência; e o exposto no processo administrativo nº 2020-0643889;
CONSIDERANDO a necessidade de estabelecer diretrizes específicas para a segurança dos serviços em nuvem, em face do crescente aumento da utilização de soluções em nuvem no Poder Judiciário e a necessidade de garantir a proteção adequada dos dados e sistemas digitais;
CONSIDERANDO o disposto no Processo Administrativo nº 2024-06116728;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º. Este Ato institui a Política de Segurança de Serviços em Nuvem no Tribunal de Justiça do Estado do Rio de Janeiro (TJRJ), em conformidade com a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro (PJERJ) e a Lei Geral de Proteção de Dados (LGPD).
Art. 2º. A Política de Segurança de Serviços em Nuvem no Tribunal de Justiça do Estado do Rio de Janeiro (TJRJ) tem por objetivo estabelecer diretrizes e requisitos para garantir a segurança da informação nos serviços em nuvem utilizados pelo PJERJ, incluindo Software as a Service (SaaS), Platform as a Service (PaaS) e Infrastructure as a Service (IaaS).
Art. 3º. Esta política se aplica a todos os funcionários, contratados e terceirizados que utilizam ou gerenciam serviços em nuvem em nome do PJERJ.
Art. 4º. O Poder Judiciário do Estado do Rio de Janeiro (PJERJ) reconhece e respeita a importância da privacidade dos titulares de dados pessoais e, por isso, dedica todos os seus esforços para proteger seus dados, seguindo os mais elevados padrões de proteção de dados pessoais.
CAPÍTULO II
DAS DEFINIÇÕES
Art. 5º. Para efeitos deste ato, aplicam-se as seguintes definições:
I - Serviço de Segurança em Nuvem: Refere-se a um conjunto de serviços e soluções oferecidos por provedores de nuvem que visam proteger a infraestrutura, os dados e as aplicações, garantindo a confidencialidade, integridade e disponibilidade das informações. Inclui ferramentas e práticas como criptografia, monitoramento de segurança, detecção e resposta a incidentes;
II - IaaS (Infrastructure as a Service) Infraestrutura como Serviço: Modelo de serviço que fornece acesso a recursos de infraestrutura de computação essenciais, incluindo capacidade de processamento, armazenamento e redes, sob demanda e escalável. Permite que os usuários gerenciem e configurem sistemas operacionais, armazenamento e aplicativos em um ambiente virtualizado;
III - PaaS (Platform as a Service) Plataforma como Serviço: Modelo de serviço que oferece uma plataforma completa para o desenvolvimento, teste, implementação e gerenciamento de aplicações. Inclui recursos como bancos de dados, middleware, ferramentas de desenvolvimento e serviços de integração, permitindo que os desenvolvedores criem e mantenham aplicativos sem gerenciar a infraestrutura subjacente;
IV - SaaS (Software as a Service) Software como Serviço: Modelo de entrega de software onde o provedor hospeda e gerencia a aplicação, permitindo que os usuários a acessem via navegador da web, aplicativo móvel ou cliente de software. O provedor é responsável pela manutenção, segurança e atualização da aplicação, proporcionando aos usuários acesso a um software completo e funcional sem necessidade de instalação local;
V - Usuários (ou "Usuário", quando individualmente considerado): refere-se a pessoas que interagem ou utilizam um sistema, serviço, produto ou plataforma.
CAPÍTULO III
DOS PRINCÍPIOS E DIRETRIZES GERAIS
Art. 6º. A utilização dos serviços de computação em nuvem pelo PJERJ deve assegurar a conformidade com os padrões corporativos e diretrizes de Segurança da Informação da Entidade. Além disso, deve respeitar as restrições legais e normativas estabelecidas por órgãos externos e agências reguladoras pertinentes.
SEÇÃO I
DOS PRINCÍPIOS
Art. 7º. As soluções de serviços em nuvem adotadas pelo PJERJ devem atender aos seguintes princípios fundamentais:
I - Economicidade: Assegurar que a escolha e a utilização dos serviços em nuvem sejam realizadas com foco na eficiência dos recursos e na redução de custos, maximizando o retorno sobre o investimento;
II - Segurança: Garantir a proteção dos dados e a integridade dos processos, de acordo com as melhores práticas e normas vigentes de segurança da informação, para prevenir riscos e assegurar a confidencialidade, integridade e disponibilidade das informações;
III - Eficiência: Facilitar a Transformação Digital, por meio da adoção de soluções que permitam respostas rápidas e eficientes às demandas e necessidades do PJERJ, respeitando os princípios administrativos e fazendo uso correto do orçamento público, evitando desperdícios.
§ 1º. A implementação de soluções em nuvem deve promover a inovação e a eficiência, alinhando se com as estratégias e objetivos de Transformação Digital do PJERJ.
§ 2º. A escolha e a gestão dos serviços em nuvem deverão considerar a relação custo-benefício, a robustez das medidas de segurança e a capacidade de adaptação e resposta ágil às mudanças.
SEÇÃO II
DAS DIRETRIZES GERAIS
SUBSEÇÃO I
AVALIAÇÃO E SELEÇÃO DE FORNECEDORES DE SERVIÇOS EM NUVEM
Art. 8º. Antes de adotar qualquer serviço em nuvem, deverá ser realizada avaliação de riscos com a finalidade de garantir que os fornecedores de serviços em nuvem atendam aos requisitos de segurança, conformidade e privacidade aplicáveis.
Art. 9º. A avaliação de riscos de cada fornecedor deverá considerar:
I - certificações de conformidade (ABNT ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2, entre outras certificações que sejam aplicáveis);
II - políticas de proteção de dados e privacidade;
III - relatórios de auditorias independentes;
IV - incidentes de segurança anteriores e resposta a incidentes.
Art. 10. Deverá ser avaliado se os Acordos de Níveis de Serviços (SLA) atendem às necessidades do PJERJ, especialmente em termos de tempo de resposta e resolução de incidentes de segurança.
Art. 11. O serviço de nuvem deve ser implementado conforme os normativos de segurança do PJERJ que sejam aplicáveis, com monitoramento contínuo para garantir a conformidade com os padrões acordados, incluindo revisões periódicas de desempenho e auditorias regulares.
SUBSEÇÃO II
CLASSIFICAÇÃO E PROTEÇÃO DE DADOS
Art. 12. Os dados armazenados e processados nos serviços em nuvem devem ser protegidos conforme segue:
I - implementação de medidas de proteção adequadas para os dados armazenados e processados nos serviços em nuvem, como criptografia, controle de acesso e monitoramento;
II - implementação de criptografia para dados em trânsito e em repouso com base na classificação dos dados;
III - implementação de controles de acesso baseados em funções (RBAC) para garantir que apenas usuários autorizados possam acessar dados classificados;
IV - aplicação de políticas de controle de acesso que restrinjam o acesso a dados com base na necessidade de conhecer e no princípio do menor privilégio;
V - monitoramento do acesso e o uso dos dados, registrando atividades relevantes para garantir que não haja acesso não autorizado ou uso indevido;
VI - implementação de soluções de monitoramento para detectar e alertar sobre atividades suspeitas relacionadas à proteção de dados;
VII - estabelecimento de procedimentos para backup regular dos dados, incluindo a criação de cópias de segurança criptografadas;
VIII - testar e validar os processos de recuperação de dados para garantir que a integridade e a disponibilidade dos dados possam ser mantidas em caso de perda ou corrupção;
IX - definir e documentar uma política de retenção de dados de acordo com a Política de Classificação da Informação e Tabela de Temporalidade estabelecida no PJERJ;
X - implementar procedimentos para o descarte seguro de dados, incluindo a exclusão permanente e a destruição de mídia conforme a classificação dos dados.
Parágrafo único. Os dados tratados devem ser integralmente processados e armazenados em território brasileiro. Caso essa exigência não possa ser cumprida e haja necessidade de realização de transferência internacional de dados, é imprescindível que sejam observadas as cláusulas-padrão contratuais estabelecidas no ANEXO II da Resolução CD/ANPD nº 19/2024.
SUBSEÇÃO III
GERENCIAMENTO DE ACESSO E IDENTIDADE
Art. 13. Deverão ser implementados controles de acesso e identidade apropriados para garantir que apenas usuários autorizados possam acessar os serviços em nuvem e os dados neles contidos. Os controles de acesso e identidade devem incluir:
I - Implementação de Autenticação Multifator (MFA) para todos os acessos aos serviços de nuvem, aumentando a segurança além do uso de senhas;
II - aplicação do princípio do menor privilégio para limitar o acesso aos recursos dos serviços em nuvem com base nas funções e responsabilidades dos usuários;
III - estabelecimento de qualidade de senhas em conformidade com a política de senhas do TJRJ;
IV - implementação de um procedimento específico para provisionar e controlar acessos nos ambientes de nuvem;
V - realização de revisões periódicas de acessos para garantir que os privilégios de usuários estejam sempre atualizados e minimizados;
VI - implementação de auditorias regulares dos registros de acesso para identificar e corrigir acessos inadequados ou suspeitos.
SUBSEÇÃO IV
MONITORAMENTO E REGISTRO DE ATIVIDADES
Art. 14. O monitoramento e registro das atividades devem ocorrer de forma contínua, de forma a detectar e responder a eventos de segurança e atividades suspeitas. Além disso, deverá:
I - manter registros detalhados de todas as atividades de acesso e uso dos serviços de nuvem;
II - implementar sensores e agentes de monitoramento em todos os pontos críticos dos serviços de nuvem, incluindo servidores, aplicativos e dispositivos de rede;
III - configurar os sensores e agentes para capturar logs detalhados de atividades, incluindo tentativas de acesso, modificações de dados e atividades administrativas;
IV - configurar a coleta centralizada de logs de todas as fontes relevantes, incluindo servidores, aplicativos, dispositivos de rede e sistemas de segurança;
V - garantir que os logs capturem informações obrigatórias, como data e hora, identificadores de usuário, tipo de atividade e resultados;
VI - estabelecer um repositório seguro para armazenamento de logs, garantindo que estejam protegidos contra acesso não autorizado e modificação;
VII - implementar procedimentos para a remoção segura de logs após o período de retenção mínimo de 90 (noventa) dias ou conforme necessidades do negócio (ou determinações legais).
SUBSEÇÃO V
GESTÃO DE VULNERABILIDADES E PATCHES
Art. 15. A gestão de vulnerabilidades e patches deverá:
I - realizar varreduras automatizadas de vulnerabilidades para escanear regularmente os sistemas e aplicativos na nuvem, conforme política de gestão de vulnerabilidades do PJERJ;
II - monitorar as comunicações dos fornecedores de serviços em nuvem sobre atualizações, patches e vulnerabilidades e aplicar as ações corretivas necessárias em tempo hábil;
III - monitorar fontes de inteligência de ameaças e boletins de segurança de fornecedores para obter informações sobre novas vulnerabilidades e ameaças emergentes.
SUBSEÇÃO VI
SEGURANÇA EM AMBIENTES PaaS e IaaS
Art. 16. Em ambientes PaaS e IaaS, deve-se:
I - configurar firewalls para controlar o tráfego de rede entre diferentes segmentos e recursos na nuvem;
II - definir regras de firewall que permitam apenas o tráfego necessário, bloqueando o acesso não autorizado;
III - implementar soluções de proteção de endpoints para monitorar e proteger dispositivos finais conectados aos serviços de nuvem;
IV - configurar políticas de segurança para endpoints, incluindo antivírus, antimalware e controles de acesso;
V - implementar soluções IAM (Identity Access Management) específicas para PaaS e IaaS, garantindo o controle de acesso baseado em funções e responsabilidades;
VI - configurar autenticação multifator (MFA) para todos os acessos administrativos aos recursos de PaaS e IaaS;
VII - estabelecer padrões de configuração segura para todos os recursos de PaaS e IaaS, incluindo servidores virtuais, contêineres e bancos de dados;
VIII - documentar as configurações de segurança recomendadas e garantir que sejam aplicadas consistentemente;
IX - implementar segmentação de redes para isolar diferentes ambientes e recursos, minimizando o risco de propagação de ataques;
X - definir zonas de segurança e aplicar políticas de firewall entre elas para controlar o tráfego de rede;
XI - configurar regras de rede para restringir o tráfego de entrada e saída com base em critérios de segurança, como endereços IP confiáveis e portas de comunicação;
XII - monitorar continuamente o tráfego de rede para detectar e responder a atividades anômalas;
XIII - implementar criptografia de dados em repouso e em trânsito para proteger informações sensíveis armazenadas em ambientes PaaS e IaaS;
XIV - gerenciar chaves de criptografia de acordo com as melhores práticas, garantindo a segurança e a disponibilidade das chaves;
XV - monitorar continuamente os ambientes PaaS e IaaS para garantir a conformidade com as políticas de segurança e responder rapidamente a incidentes;
XVI - configurar alertas de segurança para notificar a equipe sobre atividades suspeitas ou violações de políticas;
XVII - realizar auditorias regulares das configurações e políticas de segurança em ambientes PaaS e IaaS.
SUBSEÇÃO VII
CONFORMIDADE E AVALIAÇÃO DE RISCOS
Art. 17. A conformidade e avaliação de riscos devem incluir:
I - assegurar que os fornecedores de serviços em nuvem estejam em conformidade com as regulamentações e padrões de segurança e privacidade;
II - realizar avaliações de conformidade periódicas nos fornecedores de serviços em nuvem para garantir que estejam em conformidade com os requisitos identificados;
III - solicitar e revisar evidências de conformidade, como certificações, auditorias de terceiros e relatórios de conformidade;
IV - incluir cláusulas de conformidade nos contratos com fornecedores, especificando as penalidades por não conformidade;
V - implementar um processo de monitoramento contínuo para garantir que os fornecedores mantenham a conformidade ao longo do tempo;
VI - identificar os riscos potenciais associados ao uso de serviços em nuvem, considerando ameaças internas e externas;
VII - documentar todos os riscos identificados, incluindo a descrição do risco, a fonte e os possíveis impactos;
VIII - desenvolver planos de mitigação para cada risco identificado, detalhando as ações a serem tomadas para reduzir a probabilidade e/ou impacto do risco;
IX - atribuir responsabilidades e prazos para a implementação dos planos de mitigação;
X - monitorar continuamente os riscos identificados e revisar os planos de mitigação conforme necessário;
XI - realizar avaliações de riscos periódicas para identificar novos riscos e reavaliar os existentes.
SUBSEÇÃO VIII
GESTÃO DE INCIDENTES E RESPOSTA A INCIDENTES
Art. 18. A gestão de incidentes deve contemplar:
I - desenvolver e documentar políticas de gestão de incidentes que definam as responsabilidades e procedimentos para a detecção, comunicação, resposta e resolução de incidentes de segurança;
II - realizar a Gestão de Incidentes de Segurança da Informação conforme a política de Segurança da Informação;
III - assegurar que o plano de resposta a incidentes seja revisado e atualizado regularmente para refletir as melhores práticas e lições aprendidas;
IV - implementar ferramentas de monitoramento contínuo para detectar atividades suspeitas e anômalas nos serviços de nuvem;
V - configurar alertas automáticos para notificar a equipe de resposta a incidentes sobre potenciais incidentes de segurança;
VI - estabelecer canais de comunicação diretos com os fornecedores de serviços em nuvem para coordenar a resposta a incidentes;
VII - exigir que os fornecedores notifiquem o PJERJ imediatamente após a identificação de um incidente de segurança que afete os dados ou recursos da organização.
SUBSEÇÃO IX
DESATIVAÇÃO E ENCERRAMENTO DE SERVIÇO EM NUVEM
Art. 19. Para a desativação e encerramento de serviços em nuvem, deve-se:
I - estabelecer procedimentos claros para a desativação e encerramento de serviços em nuvem, incluindo a remoção segura de dados e a destruição de informações confidenciais armazenadas nos serviços em nuvem;
II - identificar os serviços em nuvem que precisam ser desativados ou encerrados;
III - documentar os motivos para a desativação e o impacto potencial sobre os negócios;
IV - realizar backup completo de todos os dados armazenados nos serviços em nuvem antes da desativação;
V - garantir que os backups sejam armazenados em local seguro e estejam acessíveis para futuras necessidades de recuperação, por período definido na Tabela de Temporalidade de Documentos;
VI - implementar procedimentos de remoção segura de dados, seguindo práticas recomendadas e regulamentações aplicáveis (ex: uso de ferramentas de sobrescrita segura);
VII - verificar que todos os dados foram removidos de maneira irreversível e que não há cópias residuais nos sistemas;
VIII - formalizar o encerramento de contratos com fornecedores de serviços em nuvem e garantir a coordenação adequada durante o processo;
IX - garantir o encerramento de todas as contas e acessos associados aos serviços em nuvem;
X - documentar todas as atividades realizadas durante o processo de desativação, incluindo backups, remoção de dados, destruição de mídia e notificações de fornecedores;
XI - arquivar a documentação em um repositório centralizado e acessível para futuras auditorias.
SUBSEÇÃO X
RECUPERAÇÃO DE DESASTRES E CONTINUIDADE DE NEGÓCIOS
Art. 20. Os serviços em nuvem devem ser incluídos nos planos de recuperação de desastres e continuidade de negócios, de forma a garantir que os processos críticos possam ser mantidos em caso de interrupção ou falha dos serviços em nuvem. Sendo assim, deve-se:
I - desenvolver um plano de recuperação de desastres que inclua os serviços em nuvem, garantindo a disponibilidade contínua dos processos críticos;
II - identificar e documentar todos os processos de negócios críticos que dependem dos serviços em nuvem;
III - avaliar o impacto potencial de interrupções nos serviços em nuvem sobre esses processos críticos;
IV - desenvolver um plano detalhado de recuperação de desastres que inclua etapas para a recuperação de serviços em nuvem;
V - incluir procedimentos específicos para a restauração de dados, aplicativos e infraestrutura em nuvem;
VI - selecionar e implementar soluções de backup adequadas para dados e aplicativos em nuvem;
VII - configurar backups regulares e automatizados para garantir que todas as informações críticas sejam protegidas;
VIII - garantir que os backups sejam armazenados em locais seguros e, preferencialmente, em diferentes regiões geográficas - se possível;
IX - realizar testes regulares de recuperação para garantir que os backups possam ser restaurados com sucesso;
X - documentar os resultados dos testes e ajustar os planos de recuperação conforme necessário.
CAPÍTULO IV
DAS RESPONSABILIDADES
Art. 21. Os Diretores e Chefes de Serviço contratantes de serviços em nuvem são responsáveis por garantir que os membros de suas equipes compreendam e cumpram esta política e por coordenar a adoção e o gerenciamento desses serviços em suas áreas funcionais.
Art. 22. Os usuários são responsáveis por cumprir esta política e por proteger os dados e recursos do PJERJ nos serviços em nuvem.
CAPÍTULO V
DAS ALTERAÇÕES NA POLÍTICA DE SEGURANÇA DE SERVIÇOS EM NUVEM
Art. 23. Esta política de segurança para serviços em nuvem deve ser revisada e atualizada periodicamente, a cada dois anos, ou sempre que houver mudanças significativas na organização, na tecnologia, nos serviços em nuvem utilizados ou nas práticas de segurança da informação.
Art. 24. O Departamento de Segurança da Informação (DESEG) é responsável por manter e atualizar esta política e por garantir que todas as partes interessadas estejam cientes das alterações.
CAPÍTULO VI
DO TREINAMENTO E CONSCIENTIZAÇÃO
Art. 25. O TJRJ deve fornecer treinamento e conscientização periódicos sobre segurança em nuvem para todos os funcionários, contratados e terceirizados que utilizam ou gerenciam serviços em nuvem.
Parágrafo único. O treinamento e a conscientização devem abordar os requisitos e diretrizes desta política, bem como os riscos específicos associados ao uso de serviços em nuvem e as melhores práticas para mitigá-los.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 26. Os casos omissos ou divergências de interpretação dos dispositivos deste Ato Normativo serão resolvidos pelo Departamento de Segurança da Informação (DESEG).
Art. 27. O presente Ato Normativo entrará em vigor na data de sua publicação, revogando as disposições em contrário.
Rio de Janeiro, 3 de dezembro de 2024.
Desembargador RICARDO RODRIGUES CARDOZO
Presidente do Tribunal de Justiça
Este texto não substitui o publicado no Diário Oficial.