ATO NORMATIVO TJ Nº 52/2024

 

Estabelece as normas para Gestão de Acesso a Recursos de Tecnologia da Informação e Comunicação, Concessão de Correio Eletrônico e Acesso à Internet do Tribunal de Justiça do Estado do Rio de Janeiro e dá outras providências.

 

O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO DE JANEIRO, Desembargador Ricardo Rodrigues Cardozo, no uso de suas atribuições legais;

 

CONSIDERANDO o que dispõe a Lei Federal nº 12.527/2011, de 18 de novembro de 2011, que regula o acesso a informações, previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;

 

CONSIDERANDO o que dispõe a Lei Federal nº 13.709/2018, de 14 de agosto de 2018, sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet);

 

CONSIDERANDO o que dispõe a Resolução nº 435/2021, de 28 de outubro de 2021, do Conselho Nacional de Justiça - CNJ, sobre a política e o sistema nacional de segurança do Poder Judiciário e dá outras providências;

 

CONSIDERANDO o que dispõe a Resolução nº 215/2015 de 16 de dezembro de 2015, do Conselho Nacional de Justiça - CNJ, sobre o acesso à informação e a aplicação da Lei 12.527 no âmbito do Poder Judiciário;

 

CONSIDERANDO o que dispõe a Resolução nº 370/2021, de 28 de janeiro de 2021, do Conselho Nacional de Justiça - CNJ, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 09/2017, de 07 de agosto de 2017, que instituiu a Estratégia de Tecnologia da Informação e Comunicação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 34/2014, de 24 de novembro de 2014, que aprovou o Programa de Gestão Documental do Poder Judiciário do Estado do Rio de Janeiro - PROGED/PJERJ;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 03/2024, de 05 de março de 2024, que altera a Resolução TJ/OE nº 09/2017 que institui a Estratégia de Tecnologia da Informação e Comunicação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 28/2022, de 04 de outubro de 2022, que instituiu a Estratégia de Segurança da Informação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe Ato Normativo nº 08/2018, de 22 de maio de 2018, sobre o Serviço de Informação ao Cidadão, do Acesso às Informações do Poder Judiciário do Estado do Rio de Janeiro e dá outras providências;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 09/2024, 02 de abril 2024, que instituiu a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Portaria nº 140/2024, 22 de abril de 2024, do Conselho Nacional de Justiça-CNJ, sobre o uso de Múltiplos Fatores de Autenticação;

 

CONSIDERANDO o disposto no Processo Administrativo nº 2024-06090043;

 

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES INICIAIS

 

Art. 1º. A gestão de acesso físico e eletrônico às informações sob o controle do Poder Judiciário do Estado do Rio de Janeiro (PJERJ) será disciplinada pelo presente Ato Normativo.

 

Art. 2º. O acesso à informação sob o domínio do PJERJ seguirá o princípio do privilégio mínimo, ou seja, somente serão concedidas permissões imprescindíveis e suficientes, pelo tempo necessário, para que o usuário possa realizar suas atividades.

 

Art. 3º. Cabe aos responsáveis pelos recursos de Tecnologia da Informação e Comunicação (TIC) zelar pela sua segurança, garantindo que somente pessoas autorizadas tenham acesso.

 

Art. 4º. O PJERJ deverá realizar as ações necessárias para o atendimento da Lei Federal nº 13.709, de 14 de agosto de 2018, com a redação dada pela Lei Federal nº 13.853, de 08 de julho de 2019, para a proteção de dados pessoais dos usuários garantindo o uso destas apenas para as atividades finalistas as quais os dados estão vinculados.

 

§ 1º. Cabe aos usuários internos do PJERJ que utilizam dados e informações em meio físico garantir o seu correto uso, evitando que possam ser utilizados para outros fins.

 

§ 2º. Cabe ao Departamento de Segurança da Informação (DESEG) garantir que os dados e informações armazenados nas bases corporativas sejam protegidos, evitando que possam ser desviados e utilizados para atividades diversas ao seu objetivo.

 

CAPÍTULO II

DA GESTÃO DE ACESSO FÍSICO

 

Art. 5º. Cabe à Secretaria Geral de Segurança Institucional (SGSEI) a gestão do acesso físico a todas as instalações do PJERJ, de forma a impedir que dados e informações possam ser acessados indevidamente.

 

Parágrafo único. Complementarmente, os responsáveis e funcionários de cada unidade do PJERJ devem zelar para que não haja acesso físico indevido a dados e informações em suas respectivas unidades.

 

Art. 6º. A violação de qualquer instalação, local físico ou ativo de TIC do PJERJ deve ser comunicada imediatamente à SGSEI, através dos canais competentes e a SGTEC, para remoção de acessos ao micro.

 

Art. 7º. As áreas de acesso restrito devem estar devidamente fechadas e sempre que possível monitoradas por câmeras de vigilância, sob o controle da SGSEI.

 

Art. 8º. Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos eletrônicos.

 

Art. 9º. Os documentos impressos devem ser protegidos contra perda, reprodução e uso não autorizado.

 

§ 1º. Os documentos impressos em impressoras departamentais ou compartilhadas devem ser recolhidos imediatamente.

 

§ 2º. A impressão de documentos sigilosos deverá ser realizada sob supervisão do responsável.

 

Art. 10. Visando à proteção das informações em meio físico, cabe ao usuário trabalhar adotando o princípio da mesa limpa, não deixando processos ou quaisquer documentos expostos quando se ausentar do local.

 

Art. 11. O acesso físico ao Data Center deverá ser feito por sistema forte de autenticação, mediante uso de solução de TIC própria.

 

Parágrafo único. O acesso físico por meio de chave apenas poderá ocorrer em emergências, quando a segurança física do Data Center estiver comprometida, seja por motivo de incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver funcionando.

 

Art. 12. A relação de pessoas autorizadas a acessar fisicamente o Data Center deverá ser atualizada imediatamente, pelo Diretor da área de infraestrutura de TIC da SGTEC, em casos de alterações, como admissões, impedimentos ou desligamentos, e as atualizações deverão ser implementadas de imediato, nos sistemas de controle de acesso.

 

Art. 13. O acesso físico eventual de visitantes ao Data Center deverá ser sempre registrado, acompanhado e supervisionado por funcionário especificamente designado pelo responsável pelo Data Center, e ocorrerá mediante declaração de responsabilidade e sigilo assinada pelo visitante em documento próprio, sem prescindir da prévia autorização do Diretor da área de infraestrutura de TIC da SGTEC.

 

Art. 14. O Data Center onde se localizam os ativos de infraestrutura de TIC deverá ter tratamento diferenciado com os seguintes requisitos:

 

I - acesso somente de pessoas credenciadas e previamente autorizadas;

 

II - o acesso à sala obrigatoriamente dar-se-á por sistema biométrico e registro do acesso em relatório de entrada dos usuários;

 

III - monitoramento pleno do ambiente interno por intermédio de câmeras de vigilância de Circuito Fechado de Televisão (CFTV);

 

IV - sistema de detecção de incêndio especial, independentemente de se apresentarem inodoras e invisíveis;

 

V - ramal telefônico especial, para acionamento em caso de emergência, interligado com o Centro Integrado de Segurança do Poder Judiciário (CISPJ);

 

VI - instalação de sistema de monitoramento com câmeras, interligado com o CISPJ.

 

CAPÍTULO III

DA GESTÃO DE ACESSO A RECURSOS DE TIC

 

Art. 15. Para efeitos deste Ato Normativo, ficam estabelecidas as seguintes definições:

 

I - nome de usuário, também chamado "login", é a conta de acesso atribuída individualmente a um usuário para acesso aos recursos de TIC;

 

II - usuários internos: magistrados e servidores do PJERJ, bem como outros a que se reconhecer acesso às funcionalidades internas do sistema de processamento em meio eletrônico, tais como: estagiários, conciliadores, juízes leigos colaboradores, prestadores de serviço e visitantes, dentre outros;

 

III - usuários externos: todos os demais usuários, incluídos partes, advogados, membros do Ministério Público, defensores públicos, peritos e leiloeiros;

 

IV - certificado digital: é um documento eletrônico que funciona como uma identidade virtual no mundo online. Ele garante a autenticidade, confidencialidade e integridade das suas informações durante transações digitais, conferindo validade jurídica aos seus atos.

 

Art. 16. Os certificados digitais do domínio do PJERJ pertencem obrigatoriamente à cadeia "AC JUS" e podem ser emitidos para: pessoa jurídica (institucional) e pessoas físicas (usuários internos).

 

§ 1º. Os certificados digitais emitidos para servidores de TIC (equipamentos de TIC de processamento de sistemas informatizados), do tipo SSL (Secure Sockets Layer), poderão ser emitidos fora da cadeia "AC JUS", desde que sejam emitidos por entidade autorizada mediante contrato previamente firmado com o TJERJ.

 

§ 2º. Sistemas que sejam acessados unicamente pela rede interna poderão fazer uso de certificado autoassinado.

 

§ 3º. Os certificados digitais são pessoais e intransferíveis independente do meio no qual esteja instalado, cabendo a seu titular a guarda do arquivo ou dispositivo, bem como a proteção do login e da senha.

 

Art. 17. Cada usuário interno pessoa física, que no uso de suas atribuições precisar de assinatura digital, só terá direito a um certificado digital armazenado em token ou smartcard e outro armazenado num único desktop e notebook de uso corporativo.

 

Parágrafo único. Os Magistrados farão jus a 02 (dois) certificados digitais.

 

SEÇÃO I

DA IDENTIFICAÇÃO DO USUÁRIO (LOGIN) E SENHA DE ACESSO

 

Art. 18. O acesso a recursos de TIC tais como rede, sistemas corporativos e outros está condicionado a identificação e autenticação da conta do usuário através de um único login e senha, certificado digital, biometria e outros fatores de autenticação, conforme as necessidades de cada ativo de TIC.

 

Art. 19. O login e respectiva senha serão únicos e atribuídos a cada usuário, de forma individual e intransferível, de uso exclusivo do seu titular, não podendo ser compartilhado com outros usuários.

 

§ 1º. É vedado, a qualquer usuário, se apropriar e utilizar ou compartilhar login e senha pertencente a outro usuário.

 

§ 2º. Os usuários são responsáveis por todos os acessos e atividades desenvolvidas através do seu login, podendo ser responsabilizados pelos danos decorrentes de sua má utilização.

 

§ 3º. Caso seja detectado acesso ou atividade suspeita, o login do usuário será desabilitado até o esclarecimento do incidente, e podendo ensejar na instauração de processo administrativo disciplinar.

 

Art. 20. A solicitação de login deverá ser feita à SGTEC, através de seus canais de atendimento.

 

Parágrafo único. Os Usuários deverão fornecer todos os dados necessários para a sua identificação.

 

Art. 21. Um login só poderá ser criado nos seguintes casos:

 

I - usuário interno: se estiver cadastrado em uma das bases de dados de gestão de pessoas do PJERJ;

 

II - usuário externo: se estiver cadastrado na base de dados de usuários externos, no cadastro presencial do PJERJ ou possuir certificado digital ICP Brasil.

 

§ 1º. A SGTEC manterá integração do sistema de controle de acesso com as bases de dados de gestão de pessoas a fim de garantir a correta identificação dos usuários e a segurança dos sistemas corporativos.

 

§ 2º. Não será permitido o cadastro de contas de correio eletrônico genéricas (ex.: contato@...; vendas@...) para usuários externos pessoas físicas.

 

§ 3º. Não será permitida a concessão de login genérico para qualquer usuário.

 

Art. 22. Caso o usuário não esteja em uma das bases de dados de gestão de pessoas ou no cadastro presencial, deverá solicitar o respectivo cadastramento ao órgão responsável pela gestão da base de dados vinculada ao seu perfil, para posteriormente solicitar o login.

 

Art. 23. A criação de logins para os usuários internos do PJERJ obedecerá ao padrão estabelecido no seguinte formato: "prenome.sobrenome" ou "sobrenome.prenome".

 

§ 1º. Deverá ser utilizado preferencialmente o sobrenome extraído da filiação do usuário para a composição do login previsto no caput deste artigo.

 

§ 2º. Os pedidos de troca de login deverão ser devidamente justificados e submetidos obrigatoriamente à Administração Superior, através de processo administrativo.

 

§ 3º. O padrão estabelecido no caput deste artigo será aplicado aos logins que forem criados a partir da publicação deste ato normativo.

 

Art. 24. Os logins de usuários internos referentes aos certificados digitais de pessoas físicas armazenados no servidor de rede do PJERJ, por definição da ferramenta será o número do CPF.

 

Art. 25. O usuário externo terá como login o número do CPF, para acesso aos sistemas corporativos, sem acesso a recursos da rede informatizada do PJERJ.

 

Art. 26. Todo login será vinculado a um perfil limitado as atividades realizadas pelos usuários, conforme art. 2º deste Ato Normativo.

 

Art. 27. É de responsabilidade exclusiva do usuário a manutenção do sigilo de sua senha de acesso aos ativos de TIC do PJERJ.

 

Art. 28. É obrigatória a implementação de método de autenticação do tipo Múltiplo Fator de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais sensíveis.

 

§ 1º. O uso de MFA é obrigatório para usuários internos e externos.

 

§ 2º. A habilitação do MFA é mandatória, não cabendo aos usuários optarem por sua utilização.

 

§ 3º. A implementação do MFA não exclui ou limita a aplicação de outras medidas de segurança ou práticas que possam contribuir para o fortalecimento da segurança da informação e proteção de dados, devendo ser associada a uma cadeia de credenciais confiáveis adequadamente protegidas.

 

Art. 29. São considerados sistemas judiciais sensíveis:

 

a) sistemas de processo judicial eletrônico;

 

b) sistemas ou serviços que permitam acesso a dados sensíveis ou confidenciais;

 

c) sistemas ou serviços que permitam a emissão de mandados de prisão e alvarás de soltura;

 

d) sistemas ou serviços que permitam a pesquisa de ativos financeiros, sua constrição e movimentação;

 

e) sistemas de tramitação de processos administrativos;

 

f) ferramentas de acessos a redes privadas virtuais (VPNs);

 

g) sistemas ou serviços que permitam acesso remoto ao ambiente interno de rede;

 

h) sistemas ou serviços de e mail funcional ou corporativo;

 

i) quaisquer outros sistemas ou serviços considerados críticos na avaliação interna do Tribunal, incluindo quaisquer sistemas expostos ao acesso remoto via internet.

 

Art. 30. Cabe ao DESEG elaborar e, após apreciação do Comitê Gestor de Segurança da informação (CGSI) e aprovação do Presidente do PJERJ, implementar e divulgar políticas e boas práticas na utilização de senhas, visando prevenir o acesso de usuários não autorizados aos sistemas de informação.

 

SEÇÃO II

DA SENHA DE USUÁRIOS

 

Art. 31. A segurança dos sistemas deve ser reforçada com o uso de senhas complexas, garantindo a proteção dos dados confidenciais e prevenindo acessos não autorizados. As senhas devem ser:

 

I - secretas: Mantidas em sigilo absoluto pelo usuário, sem divulgação a terceiros;

 

II - memorizadas ou armazenadas: Devem ser memorizadas ou armazenadas em soluções de segurança específicas para este fim, homologadas pela SGTEC;

 

III - não compartilhadas: Proibido o compartilhamento ou uso compartilhado de senhas entre usuários ou com terceiros.

 

Parágrafo único. Os critérios específicos para a formação e gestão das senhas em sistemas automatizados serão detalhados em um documento próprio, que abordará aspectos como

complexidade, comprimento mínimo, periodicidade de alteração e práticas recomendadas de segurança.

 

SEÇÃO III

DA INATIVAÇÃO DO USUÁRIOS

 

Art. 32. O usuário interno terá seu login desabilitado, por questões de segurança, nas seguintes situações:

 

I - se ficar mais de 35 (trinta e cinco) dias sem acessar qualquer sistema corporativo (ou rede);

 

II - se ficar mais de 180 (cento e oitenta) dias sem acessar qualquer sistema corporativo;

 

III - se for desligado definitivamente ou perder o vínculo com o PJERJ;

 

IV - se errar a senha 5 (cinco) vezes consecutivas;

 

V - caso seja identificado o vazamento ou a descoberta da senha por terceiros, ou haja fortes indícios de que isso tenha acontecido.

 

§ 1º. Não estão incluídos na regra estabelecida nos incisos I, II e III deste artigo, os usuários que possuam cadastros que não derivem diretamente do vínculo com o PJERJ para acessar processos judiciais, pelo cadastro presencial e sejam partes de processos judiciais ativos.

 

§ 2º. A reabilitação do login poderá ser solicitada à SGTEC diretamente pelo usuário, a qualquer tempo, pelos canais de atendimento, justificando o motivo se necessário, salvo na situação prevista no inciso III deste artigo.

 

§ 3º. Os usuários internos terceirizados e visitantes deverão ter suas contas configuradas, sempre que possível, para expirar e serem bloqueadas automaticamente pelos sistemas de informação ao término de seus projetos ou período de prestação de serviço ou permanência do PJERJ.

 

§ 4º. É dever do fiscal do contrato ou responsável pelo visitante comunicar à SGTEC, via abertura de chamado, caso o usuário descrito no parágrafo anterior pare de prestar serviços para o PJERJ antes do período previsto para expiração do acesso.

 

§ 5º. Enquanto a área responsável não notificar a SGTEC o desligamento prestador de serviço, o acesso será mantido e as responsabilidades atribuídas para o usuário em questão, permanecerão com a área responsável pelo contrato ou visitante.

 

Art. 33. O usuário externo que ficar mais de 180 (cento e oitenta) dias sem acessar o sistema para o qual está cadastrado será desabilitado, exceto se estiver cadastrado para acessar processos judiciais pelo cadastro presencial e sejam partes de processos judiciais ativos.

 

SEÇÃO IV

DA CONCESSÃO DE ACESSOS AOS RECURSOS DE TIC

 

Art. 34. Após a criação do login, a concessão a qualquer recurso de TIC deverá ser solicitada pelos canais de atendimento da SGTEC, com informação do autorizador (superior hierárquico), no caso de usuário interno, para o exclusivo exercício das atividades a qual o usuário foi designado.

 

§ 1º. Caso haja solicitações de pedidos via SEI ou qualquer outro meio alterativo, ele será negado. O canal de atendimento é sempre da SGTEC.

 

§ 2º. Para usuários externos vinculados a outros órgãos públicos, o acesso deverá ser requisitado pelo chefe do órgão.

 

§ 3º. No caso de usuários externos não vinculados a órgãos públicos, tais como partes processuais ou advogados, o pedido de inclusão, alteração ou exclusão deverá ser feito pelo próprio.

 

§ 4º. Só serão concedidas as permissões de acesso a recursos de TIC que sejam necessárias para o cumprimento das atribuições do usuário.

 

Art. 35. Além de cumprirem os requisitos insculpidos neste Ato Normativo, os prestadores de serviços que acessarem recursos de TIC também deverão assinar o termo de confidencialidade e sigilo, abarcando os limites de uso, bem como ciência quanto responsabilidade em caso de má utilização dos recursos de TIC do PJERJ, sem o qual não poderão ser cadastrados na respectiva base de dados de gestão de pessoas.

 

Art. 36. Os usuários internos do PJERJ não poderão se conectar a mais de um recurso de TIC fixo, simultaneamente com o seu login.

 

§ 1º. A regra estabelecida no caput deste artigo não se aplica a dispositivos móveis cadastrados na conta de cada usuário.

 

§ 2º. Os servidores e colaboradores da área de TIC, por dever de ofício, também não se enquadram nas restrições estabelecidas neste artigo.

 

Art. 37. A necessidade de uso de recursos TIC da rede corporativa por outros órgãos públicos ou privados será individualmente analisada pela SGTEC e DESEG.

 

Art. 38. A vinculação ou integração da conta institucional individual a soluções de terceiros não licenciadas para o Tribunal, que acarretem permissão de acesso aos dados ou recursos internos, será avaliada pela SGTEC e DESEG, e poderá ser liberada por interesse do TJERJ.

 

SEÇÃO V

DO ACESSO AO PROCESSO ELETRÔNICO

 

Art. 39. Em se tratando de processos eletrônicos, a prática de atos processuais e a consulta aos autos do processo no sítio eletrônico do PJERJ deverão ser realizadas através de login e senha e certificado digital ICP Brasil nos atos assim estabelecidos em legislação própria.

 

Parágrafo único. A consulta processual completa permite a visualização de todos os andamentos processuais, os documentos e arquivos a eles anexados, enquanto a consulta pública permite apenas a visualização dos andamentos processuais.

 

Art. 40. Alternativamente a prática de atos processuais e a consulta aos autos do processo no sítio do PJERJ poderão ser feitas sem certificado digital desde que precedidas de Cadastro Presencial.

 

Art. 41. O Cadastro Presencial deverá ser feito pelo usuário interessado em atuar em processo eletrônico, nos órgãos ou serventias eletrônicas, mediante assinatura do termo de cadastramento e adesão ao sistema, com a apresentação compulsória dos documentos originais acompanhados de cópia, conforme estabelecido em legislação própria.

 

Parágrafo único. O Cadastro Presencial será igualmente obrigatório para os casos em que for necessário o acesso, via internet, à movimentação de processos que tramitem em segredo de Justiça e para acesso às audiências gravadas no sistema de registro audiovisual.

 

Art. 42. Todos os serventuários, terceirizados, estagiários ou funcionários cedidos, que atuarem em processo eletrônico, de qualquer esfera ou instância do Tribunal de Justiça, deverão utilizar também a assinatura eletrônica ou identificação, através do Cadastro Presencial, que será disponibilizado na serventia em que esteja lotado, em aplicativo próprio a ser gerenciado pelo responsável pela serventia.

 

§ 1º. Os serventuários que utilizarem o Cadastro Presencial estarão dispensados de apresentação dos documentos mencionados nos incisos I e II do artigo anterior, por já terem seus dados arquivados na Secretaria-Geral de Gestão de Pessoas (SGPES), mas deverão obrigatoriamente exibir um documento funcional com foto que o identifique, no momento da realização do cadastro.

 

§ 2º. O serventuário, terceirizado, estagiário, bem como o funcionário cedido, que já estejam cadastrados, utilizarão o mesmo login e senha utilizado nos demais sistemas corporativos do PJERJ.

 

Art. 43. O PJERJ poderá estabelecer convênios com outros órgãos com a finalidade de facilitar o cadastramento e/ou compartilhar o Cadastro Presencial, de acordo com o estabelecido na Lei nº 11.419de 19 de dezembro de 2006.

 

SEÇÃO VI

DA PERDA DE ACESSOS POR MUDANÇA DE LOTAÇÃO

 

Art. 44. O usuário interno que mudar de lotação perderá o acesso aos sistemas corporativos e aos ativos de rede referentes as atividades da sua última lotação, exceto aos sistemas de uso pessoal e em caso de acúmulo de funções ou atribuições, devidamente autorizados.

 

§ 1º. Magistrados e seus assessores que exercerem suas atividades em mais de uma lotação não se enquadram na regra do caput deste artigo.

 

§ 2º. Somente o novo superior hierárquico do usuário poderá autorizar a SGTEC a conceder as permissões de acesso aos sistemas corporativos e ativos de rede vinculados à unidade.

 

§ 3º. Estão incluídos na regra estabelecida no caput deste artigo os funcionários e magistrados que passarem à inatividade (aposentadoria) ou disponibilidade (para outros órgãos públicos).

 

 

SEÇÃO VII

DO ACESSO AO CORREIO ELETRÔNICO (e-mail)

 

Art. 45. A concessão de caixa de correio eletrônico (e-mail) institucional, bem como o acesso à rede mundial de computadores (Internet) no âmbito do Poder Judiciário do Estado do Rio de Janeiro seguirá as regras contidas neste ato.

 

§ 1º. Os endereços de correio eletrônico (e-mail) são intransferíveis e somente poderão ser utilizados em serviços e sites de uso institucional, vedado o seu uso em sites de uso pessoal, como redes sociais, sites de compras, entre outros.

 

§ 2º. Os acessos às caixas de correio eletrônico corporativas (e-mail) devem ser realizados com, pelo menos, dois métodos de autenticação.

 

§ 3º. A formação das senhas a serem configuradas nas caixas de correio eletrônico (e-mail) devem seguir os critérios estabelecidos neste ato.

 

§ 4º. É vedada a utilização e o cadastramento de conta de correio eletrônico de domínio do PJERJ em formulários ou sítios eletrônicos não relacionados ao trabalho ou de uso exclusivamente pessoal.

 

§ 5º. O cadastro do endereço eletrônico institucional em sites que não tenha relação com o trabalho e os interesses do TJERJ poderá acarretar sanção administrativa após processo regular de apuração.

 

§ 6º. O envio de mensagens de correio eletrônico automático por aplicações através do servidor relay deverá ser registrado para autorização do setor competente da SGTEC.

 

§ 7º. Os desenvolvedores não poderão criar nenhuma conta de correio eletrônico fora dos padrões adotados pelo PJERJ, devendo ser feita uma solicitação ao setor de contas de correio eletrônico para sua criação e registro, ressalvada a manutenção dos endereços eletrônicos existentes na data de publicação desta resolução.

 

§ 8º. Caberá a cada usuário a gestão de sua caixa de correio eletrônico, incumbindo lhe que zele para que esta não exceda os limites de armazenamento estabelecidos, quando aplicável.

 

Art. 46. Por questões de segurança, os arquivos anexados em mensagens recebidas poderão ser bloqueados, por possivelmente conterem arquivos maliciosos ou links que conduzirem à sites maliciosos.

 

Parágrafo único. A solicitação para liberação de anexos bloqueados poderá ser realizada via canais de atendimento da SGTEC, que poderá negar a solicitação em caso de risco à segurança da informação.

 

Art. 47. Todos os usuários internos do Poder Judiciário do Estado do Rio de Janeiro, cadastrados com login de rede terão acesso à Intranet, Internet e correio eletrônico.

 

Art. 48. Caberá a Secretaria-Geral de Tecnologia da Informação - SGTEC atender aos pedidos para a concessão de correio eletrônico e acesso à rede mundial de computadores formalizados por meio de chamados através do atendimento SGTEC.

 

Art. 49. Será concedido o acesso para realização de uma lista de distribuição para cada órgão da estrutura organizacional administrativa do Poder Judiciário do Estado do Rio de Janeiro, bem como para cada serventia judicial ativa e nesta lista serão adicionados quem deve receber os e-mails.

 

Art. 50. As serventias que tiverem estruturas administrativas próprias, tais como a Vara da Infância e Juventude e a Vara de Execuções Penais seguirão as mesmas regras estabelecidas para as Secretarias-Gerais.

 

Art. 51. Os casos não previstos serão avaliados pela Secretaria-Geral de Tecnologia da Informação - SGTEC e atendidos conforme a disponibilidade de recursos, ou determinação da Administração Superior.

 

Art. 52. Todas as informações processadas, armazenadas e compartilhadas pelos serviços de colaboração disponibilizados para os servidores, deverão seguir as normas e procedimentos estabelecidos na Política de Classificação da Informação afim de garantir a proteção das informações.

 

Art. 53. Compete à SGTEC juntamente com o DESEG definir, revisar e atualizar regras, elaborar e divulgar políticas e manuais de melhores práticas na utilização do correio eletrônico, com apreciação pelo CGSI e aprovação do Presidente do PJERJ, a fim de reduzir os riscos gerados na utilização deste meio de comunicação.

 

Art. 54. A caixa postal (conta) de correio eletrônico, que poderá ser individual ou compartilhada, será disponibilizada somente aos usuários ou órgãos previamente autorizados.

 

Art. 55. A pedido dos titulares das unidades será concedido o acesso para realização de listas de distribuição internas de correio eletrônico, onde serão adicionadas quem deverá receber os e-mails.

 

Parágrafo único. Adota-se como padrão para as listas de distribuição o formato nome1.nome2@tjrj.jus.br.

 

Art. 56. As caixas postais de correio eletrônico são de propriedade do PJERJ, passíveis de monitoração pela SGTEC juntamente com o DESEG em caso de fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas ou serviços, com a prévia autorização do chefe imediato, do CGSI, ou do Presidente do PJERJ.

 

Parágrafo único. Tratando-se de correio eletrônico cujo usuário seja magistrado, eventual monitoramento pela SGTEC juntamente com o DESEG, só pode ocorrer com prévia apreciação do CGSI, e aprovação do Presidente do PJERJ, e com aviso imediato ao usuário por qualquer meio de comunicação pessoal.

 

Art. 57. É vedado o envio, replicação ou encaminhamento de mensagens, por meio do correio eletrônico, de conteúdo não relacionado às atividades precípuas do PJERJ.

 

§ 1º. O Uso do correio eletrônico para veiculação de campanhas internas, de caráter social ou mensagens informativas, será regido por ato específico.

 

§ 2º. O usuário deverá informar imediatamente ao remetente o recebimento de mensagens encaminhadas por equívoco, devido a endereçamento incorreto, excluindo-a imediatamente.

 

Art. 58. É vedado a alteração de layout, adulteração da logomarca, inclusão de imagens ou logomarcas de terceiros, nas contas de correio eletrônico enviadas de caixas postais eletrônicas institucionais ou individuais do PJERJ.

 

Art. 59. Caso o usuário precise cadastrar o seu endereço eletrônico institucional em site relacionado ao trabalho, não deverá, em hipótese alguma, reproduzir a senha institucional neste.

 

Art. 60. Caberá ao Departamento de Comunicação Interna gerenciar o envio de e mail para listas restritas de distribuição de contas de correio eletrônico para órgãos e usuários do PJERJ.

 

Parágrafo único. Recomenda-se que o encaminhamento de mensagens eletrônicas para vários destinatários, de forma simultânea, seja feito por meio das listas ou do campo cópia oculta.

 

Art. 61. O recebimento de e-mails será controlado por solução de segurança com o objetivo reduzir o risco de recebimento de mensagens indesejadas ou que possam conter ameaças.

 

SEÇÃO VIII

DO ACESSO À INTERNET

 

Art. 62. O acesso dos usuários da rede corporativa à Internet deve ser feito utilizando as conexões autorizadas pela SGTEC.

 

Art. 63. O acesso à internet através da rede corporativa é permitido somente aos usuários previamente autorizados, através de login e senha.

 

Art. 64. Os acessos à internet são passíveis de identificação e registro de logs de acesso, por período compatível com a legislação vigente, quanto a login, endereço da máquina do usuário e site acessado.

 

Art. 65. Conexões com a internet, por meio de alternativas à rede corporativa do TJRJ, como redes sem fio, acesso 4G/5G e links dedicados particulares, só podem ser adotadas em estações não interligadas à rede do PJERJ. Para garantir o isolamento, mecanismos técnicos devem ser implementados, impedindo o funcionamento simultâneo nas duas redes e evitando pontos de entrada não supervisionados na rede institucional. Essas ações devem ser realizadas com autorização da SGTEC.

 

Art. 66. A detecção de ligações independentes entre a internet e o Tribunal de Justiça, Fórum Central, Fóruns Regionais, Comarcas, Juizados Especiais e demais Órgãos do PJERJ, implicará na desconexão imediata da estação, até a apuração de responsabilidades e adoção das providências cabíveis.

 

Art. 67. É vedado o acesso a sites da internet de conteúdo ilícito, que possam comprometer a segurança da informação ou que não estejam alinhados com os interesses do serviço público, como por exemplo de conteúdo:

 

I - de incentivo ao alcoolismo;

II - com utilitários para acesso anônimo;

III - de distribuição de exploits;

IV - para acesso a chats;

V - para namoro/encontros;

VI - incentivo a qualquer tipo de discriminação;

VII - apologia a drogas;

VIII - incentivo, divulgação da violência;

IX - de acesso a jogos;

X - qualquer tipo de comercio ilegal;

XI - de nudez;

XII - de mensagem instantânea;

XIII - para download de mídia;

XIV - de compartilhamento de mídia;

XV - de compartilhamento de arquivo;

XVI - de repositório de rede pessoal;

XVII - de spam/phishing;

XVIII - de pornografia;

XIX - de atividade suspeita, ilegal/potencialmente criminal

XX - hacker;

XXI - distribuição de software ilegal;

XXII - de profanação;

XXIII - de controle remoto;

XXIV - de conteúdo sexual;

XXV - de redes sociais;

XXVI - de malware (spyware/adware/keyloggers e etc);

XXVII - de streaming media;

XXVIII - de fumo/tabaco/bebidas;

XXIX - de crime/apologia ao crime;

XXX - de armas;

XXXI - de webmail externo;

XXXII - de telefonia IP (VOIP);

XXXIII - que ocasionem alto consumo de banda;

XXXIV - que estejam classificados como risco médio ou superior, conforme ferramenta em utilização.

 

§ 1º. A vedação disposta no caput deste artigo é extensiva a webmail de provedores externos a rede corporativa do PJERJ.

 

§ 2º. Comprovada a imperiosa necessidade do serviço, o acesso poderá ser concedido pela SGTEC, após apreciação pelo DESEG, mediante solicitação por escrito, assinada pelo chefe imediato do órgão no qual o usuário está lotado, por meio do SEI.

 

§ 3º. A SGTEC poderá, sem prévio aviso, ou por orientação do DESEG, bloquear o acesso a sites que potencialmente ameacem a segurança da rede corporativa do PJERJ.

 

Art. 68. É vedada a utilização de softwares de mensagens instantâneas e voz sobre IP (VoIP) não homologados e autorizados pela SGTEC.

 

SEÇÃO IX

DA GESTÃO DE ACESSO A INFRAESTRUTURA DE TIC

 

Art. 69. A SGTEC juntamente com o DESEG deverá adotar sistema de gestão de identidades por meio do qual será gerida à concessão de credenciais de acesso aos recursos de infraestrutura de TIC de sua administração, que desempenhe as funções de autenticação e autorização, com deliberação pelo CGSI e aprovação pelo Presidente do PJERJ, cujos objetivos serão:

 

I - identificar usuário;

 

II - eliminar a necessidade de uso de contas genéricas, de usuário final com perfil especial ou de administrador;

 

III - autorizar o acesso somente aos recursos necessários, observando se a regra de privilégio mínimo.

 

§ 1º. Mediante justificativa tecnicamente fundamentada, a área responsável pelo processamento de dados poderá conceder o acesso à conta de acesso privilegiado ou administrador para execução de atividade temporária e especial.

 

§ 2º. O sistema de que trata o caput deste artigo deverá atender, ao menos, os seguintes requisitos:

 

I - cadastramento de informações do usuário;

 

II - suportar acesso baseado em papeis ou "Role Based Access" (RBAC);

 

III - definir diferentes níveis de privilégio de acesso para um usuário;

 

IV - vincular um usuário a um ou mais papeis;

 

V - possuir interface gráfica de gerenciamento;

 

VI - suportar protocolos seguros de comunicação para transporte de dados de autenticação;

 

VII - gerir os acessos conforme seu ciclo de vida: ativo, inativo, revogado e cancelado.

 

Art. 70. As ações praticadas por usuários deverão ser registradas em servidor de registro de eventos (logs), para auditoria posterior, de modo que seja possível identificar preferencialmente:

 

I - quem executou determinada ação;

 

II - quais ações foram executadas;

 

III - quando as ações foram executadas;

 

IV - em qual ativo de informação as ações foram executadas.

 

Art. 71. Os eventos armazenados em logs poderão ser definidos conforme a necessidade de informação que deverá ser disponibilizada em casos de auditoria, requerimento da Corregedoria-Geral da Justiça (CGJ) no âmbito de sua competência, investigação de ações, problemas ou para detecção de condutas que configurem mau uso dos recursos de TIC.

 

§ 1º. Por mau uso entendem-se as ações, propositais ou não, que configurem ataques de reconhecimento, força bruta, negação de serviço, estouro de buffer, engenharia social, phishing, exploração de vulnerabilidade, pós exploração de vulnerabilidade, dentre outras condutas de natureza similar que sejam praticadas contra os ativos de informação do PJERJ.

 

§ 2º. O tempo de retenção desses logs deverá ser definido de acordo com a necessidade e a capacidade de armazenamento, não podendo ser inferior a 90 (noventa) dias.

 

§ 3º. Para fins de verificação de conformidade, poderão ser realizadas auditorias de logs pelo DESEG.

 

Art. 72. Os softwares de gerenciamento, sistemas operacionais, serviços de infraestrutura de rede e camada de middleware deverão ser regidos pela política de controle de acesso vigente no PJERJ.

 

SEÇÃO X

DA GESTÃO DE ACESSO AOS BANCOS DE DADOS

 

Art. 73. O acesso aos dados de sistemas corporativos do PJERJ armazenados em Sistema de Gerenciamento de Banco de Dados (SGBD) deverá ser realizado através de sistema corporativo informatizado, cujas regras são definidas pelo negócio e de acordo com os perfis e papéis de seus usuários.

 

§ 1º. Nas hipóteses em que o acesso referido nesse artigo requeira ser realizado diretamente em interface do SGBD, exceto para realização de apurações especiais e manutenção de sistemas executados pelo corpo técnico da SGTEC, os seguintes requisitos deverão ser atendidos:

 

I - ser realizado através de credenciais individualizadas, pessoais e intransferíveis;

 

II - ser autorizado pelo DESEG e, em alguns casos, apreciado pelo CGSI, cuja autorização deve conter a justificativa, a finalidade e se a permissão é de leitura e/ou edição de dados;

 

III - ser realizado através de software licenciado e homologado pela SGTEC;

 

IV - ser a solicitação registrada em sistema de gestão de requisições de serviços em que conste o nome, matrícula, lotação do solicitante, especificação da(s) tabela(s), programa(s) e o(s) privilégio(s) necessário(s) (leitura e/ou edição);

 

V - tal acesso deverá ser concedido com prazo máximo de 30 (trinta) dias, renováveis por igual período e cumprindo o mesmo processo exigido para a concessão.

 

§ 2º. Os acessos externos as bases de dados realizado através de ferramentas automatizadas deverá seguir os padrões adotados pelo PJERJ e serão monitorados pela SGTEC.

 

§ 3º. O PJERJ poderá controlar e bloquear acesso externos realizados através de ferramentas automatizadas, para preservar o ambiente computacional e garantir um serviço igualitário a todos os usuários.

 

Art. 74. Todo acesso a SGBD de sistemas corporativos do PJERJ não realizado através de sistema corporativo informatizado e com fins a alteração de dados armazenados deve ser devidamente registrado em ferramenta de requisições de mudanças oficial da SGTEC (atualmente, o HPSM), incluindo autorização pelo magistrado ou diretor/chefia o qual seja responsável pelo respectivo sistema.

 

Art. 75. O acesso aos dados armazenados em SGBD do PJERJ através de sistemas corporativos deverá primar pelo controle de acesso individualizado e pessoal, quando a regra de negócio assim exigir, incluindo o devido registro de acesso realizado a dado sigiloso ou em segredo de justiça, assim como deverá incluir proteção de "ataques" de "força bruta" ou de "negação de serviço" que possam sobrecarregar recursos do respectivo SGBD e indisponibilizar outros sistemas corporativos.

 

Art. 76. Toda senha de acesso a SGBD do PJERJ ou a sistema corporativo informatizado do PJERJ deverá possuir proteção contra leitura em texto aberto, seja ela armazenada em arquivo executável, servidor de aplicação ou no próprio SGBD, seja no seu tráfego pela rede de dados.

 

Parágrafo único. A atribuição da responsabilidade por preservação e proteção da respectiva senha deverá ser individualizada e documentada, para fins de eventual auditoria.

 

Art. 77. Toda senha de acesso a SGBD de sistemas corporativos do PJERJ deverá ser alterada trimestralmente. A alteração deverá ser executada durante mudança realizada para manutenção do(s) respectivo(s) sistema(s) corporativo(s) que utilizam aquela senha.

 

CAPÍTULO IV

DA GESTÃO DE SEGURANÇA DE ACESSO A RECURSOS DE TIC

 

Art. 78. A SGTEC juntamente com o DESEG, poderá realizar acessos a computadores, servidores, arquivos e registros (logs) para diagnóstico de problemas ou em casos de suspeita de violação de regras, ainda que não autorizados pelo usuário ou chefe do órgão.

 

Art. 79. As solicitações para auditoria de segurança, análise ou informação quanto ao uso indevido dos recursos de TIC, deverão ser solicitados formalmente ao DESEG, sendo submetidos à deliberação do CGSI.

 

Art. 80. Os usuários deverão notificar ao DESEG quaisquer fragilidades ou ameaças, ocorridas ou suspeitas, na segurança dos sistemas, serviços ou informações, mesmo que estas não estejam diretamente sob sua responsabilidade.

 

§ 1º. Em nenhuma hipótese o usuário deve realizar uma averiguação de fragilidade de forma autônoma.

 

§ 2º. a realização de investigação poderá ser interpretada como potencial uso impróprio do sistema.

 

Art. 81. O DESEG deverá dispor de recursos que permitam monitorar, detectar, e identificar atividades indevidas nos recursos de TIC, inclusive as praticadas por usuários internos do PJERJ.

 

Art. 82. É vedado o compartilhamento de diretórios, arquivos e demais Ativos de TIC, sem prévia autorização da SGTEC e DESEG.

 

Parágrafo único. É vedado o acesso por terceiros a qualquer ativo de TIC que possa pôr em risco a integridade, confidencialidade e segurança das atividades do PJERJ, ressalvas exceções legais.

 

Art. 83. A detecção de compartilhamentos e diretórios que ponham em risco a segurança, implicará a desconexão imediata da estação até o saneamento dos riscos, a apuração de responsabilidade e adoção de providências cabíveis.

 

Art. 84. O acesso remoto às estações de trabalho, com o objetivo de suporte e manutenção dos recursos de TIC, só poderá ser realizado por equipe autorizada da SGTEC e sempre de forma transparente ao usuário, mediante prévia permissão deste, do chefe do órgão, do CGSI ou do Presidente do PJERJ.

 

§ 1º. Não se aplica a regra estabelecida neste artigo as atualizações e correções de sistemas comerciais e corporativos comuns, distribuídos remotamente para todo o parque de equipamentos do PJERJ.

 

§ 2º. A SGTEC deverá autorizar e ter meios para controlar todos os acessos remotos, inclusive os externos, de forma a garantir a segurança do ambiente corporativo.

 

Art. 85. É vedado dificultar ou impedir a atuação de pessoal autorizado pela SGTEC na execução de procedimentos técnicos nos recursos de TIC.

 

Art. 86. Cabe ao DESEG propor ao CGSI as políticas, procedimentos e normas para controlar o trabalho remoto, o acesso e o uso de dispositivos móveis, visando reduzir os riscos relativos à segurança da Informação do PJERJ.

 

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

 

Art. 87. Os casos omissos na aplicação dos dispositivos deste Ato Normativo serão objeto de deliberação pelo CGSI e encaminhados ao Presidente do PJERJ para decisão.

 

Art. 88. Este Ato Normativo deverá ser revisado a cada dois anos para atualização das diretrizes e políticas estabelecidas, assegurando que elas sejam consistentes com as melhores práticas de segurança da informação e normas em vigor.

 

Art. 89. O presente Ato Normativo entrará em vigor na data de sua publicação, revogando as disposições em contrário.

 

 

Rio de Janeiro, na data da assinatura digital.

 

 

Desembargador RICARDO RODRIGUES CARDOZO

Presidente do Tribunal de Justiça do Estado do Rio de Janeiro

 

Este texto não substitui o publicado no Diário Oficial.