Norma
07/07/2000
#53267

Portaria SRF nº 1098, de 7 de julho de 2000

Estabelece medidas de segurança para contratos de prestação de serviços de informática entre a Receita Federal e o SERPRO.

Dispõe sobre as medidas de segurança a serem estabelecidas nos contratos de prestação de serviço celebrados com o Serviço Federal de Processamento de Dados - SERPRO, relativas a dados, informações e sistemas informatizados da Secretaria da Receita Federal.

O SECRETÁRIO DA RECEITA FEDERAL, no uso das atribuições que lhe são conferidas pelo art. 190, III e VII, do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF No 227, de 3 de setembro de 1998, tendo em vista o disposto no art. 1o, I e XII, do referido Regimento Interno, e
considerando que o art. 2o da Lei No 5.615, de 13 de outubro de 1970, atribui ao SERPRO, com exclusividade, a execução de todos os serviços necessários aos órgãos do Ministério da Fazenda, relacionados com tratamento de informações e processamento de dados;
considerando que o art. 24, XVI, da Lei No 8.666, de 21 de junho de 1993, dispensa licitação para prestação de serviços de informática pelo SERPRO à Secretaria da Receita Federal; considerando que o art. 198 da Lei No 5.172, de 25 de outubro de 1966 - Código Tributário Nacional, veda à Fazenda Pública e seus funcionários a divulgação de informações protegidas por sigilo fiscal;
considerando que o art. 8o da Lei No 5.615, de 1970, obriga os administradores e empregados do SERPRO a guardar sigilo quanto aos elementos manipulados, impondo-lhes sanções trabalhistas e administrativas por infração, sem prejuízo do que determina a lei civil ou criminal;
considerando que o art. 325 do Decreto-Lei No 2.848, de 7 de dezembro de 1940 - Código Penal, estabelece pena de detenção ou multa para quem revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação;
considerando que o art. 327, § 1o, do Código Penal equipara a funcionário público, para fins criminais, quem exerce cargo, emprego ou função em entidade paraestatal, resolve:
Art. 1o Os contratos de prestação de serviços de informática, firmados entre a Secretaria da Receita Federal - SRF e o Serviço Federal de Processamento de Dados - SERPRO, observado o disposto nesta Portaria, devem conter cláusulas específicas visando a assegurar a disponibilidade, confidencialidade e integridade dos dados, informações e sistemas informatizados pertencentes à SRF, armazenados no SERPRO.
Parágrafo único. Os contratos de que trata este artigo devem, também, estabelecer as responsabilidades dos dirigentes e funcionários do SERPRO por descumprimento de obrigações relacionadas com o sigilo e a segurança dos dados, informações e sistemas.
Art. 2o Os dados, informações e sistemas, a que se refere o artigo anterior, devem ser protegidos contra ações ou omissões intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso ou alteração indevidos.
§ 1o Os dados e as informações devem ser mantidos com o mesmo nível de proteção, independentemente do meio no qual estejam armazenados, em que trafeguem, ou do ambiente em que estejam sendo processados.
§ 2o Para fins do disposto neste artigo, o SERPRO deverá adotar política de segurança de informação, para atender aos requisitos de sigilo e segurança definidos pela SRF.
§ 3o As medidas relativas à política de segurança devem:
I - ter por base as necessidades do serviço a ser prestado, o valor e a confidencialidade da informação, os riscos existentes e a magnitude de danos potenciais;
II - ser formalizadas, divulgadas e implementadas em conformidade com o disposto neste Ato e na Portaria SRF No 782, de 20 de junho de 1997;
III - ser revistas periodicamente, tendo em vista as necessidades do serviço, a evolução da tecnologia e a identificação de novas hipóteses de risco.
§ 4o O SERPRO deve encaminhar à Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, relatórios mensais que permitam acompanhar a execução da política de segurança prevista neste artigo.
Art. 3o Os ambientes de produção, treinamento, homologação e desenvolvimento dos sistemas informatizados, destinados a atendimento exclusivo da SRF, devem ser distintos daqueles utilizados pelo SERPRO para prestação de serviços contratados com outros órgãos, entidades ou empresas.
Art. 4o O acesso pelo SERPRO e seus funcionários a dados, informações ou sistemas pertencentes à SRF deve ser realizado somente por necessidade de serviço e de forma controlada, ficando limitado às pessoas formalmente autorizadas, segundo critérios definidos pela SRF.
§ 1o O acesso de que trata este artigo atenderá exclusivamente aos objetivos estabelecidos em contrato firmado entre a SRF e o SERPRO, não podendo, sem autorização prévia da SRF, ser liberado para outros usuários ou utilizado para outras finalidades.
§ 2o Os funcionários do SERPRO que em razão do exercício de suas atividades tenham acesso a informações pertencentes à SRF, protegidas por sigilo, devem adotar todas as cautelas devidas, na sua utilização e guarda.
§ 3o O responsável por revelação, direta ou indireta, de assunto ou fato sigiloso fica sujeito a sanções de ordem penal, administrativa e trabalhista, nos termos da legislação pertinente.
Art. 5o A COTEC realizará, periodicamente, auditoria e análise de risco, no SERPRO, objetivando verificar a correta implementação das normas e dos procedimentos de segurança.
§ 1o Caso sejam identificadas irregularidades, serão objeto de notificação ao SERPRO para que promova as devidas correções, no prazo estabelecido pela COTEC.
§ 2o A inobservância das normas de segurança, previstas em contrato com o SERPRO, deverá ensejar processo interno de sindicância, com a participação da SRF, visando a apurar responsabilidades por falha de segurança ou uso indevido de dados, informações ou sistemas pertencentes à SRF.
Art. 6o Os contratos de prestação de serviços de informática já firmados entre a SRF e o SERPRO, que estejam em execução, devem ser alterados para que se tornem compatíveis com as disposições desta Portaria.
Art. 7o Esta Portaria entra em vigor na data de sua publicação.
EVERARDO MACIEL

Perguntas e respostas

Quem é equiparado a funcionário público para fins criminais segundo o art. 327, § 1o, do Código Penal?
Segundo o art. 327, § 1o, do Código Penal, é equiparado a funcionário público, para fins criminais, quem exerce cargo, emprego ou função em entidade paraestatal.
O que o SERPRO deve encaminhar à COTEC mensalmente?
O SERPRO deve encaminhar relatórios mensais que permitam acompanhar a execução da política de segurança prevista.
O que estabelece o art. 198 da Lei No 5.172, de 25 de outubro de 1966 - Código Tributário Nacional?
O art. 198 da Lei No 5.172, de 1966, veda à Fazenda Pública e seus funcionários a divulgação de informações protegidas por sigilo fiscal.
Qual é o nível de proteção que deve ser mantido para os dados e informações da SRF?
Os dados e as informações devem ser mantidos com o mesmo nível de proteção, independentemente do meio no qual estejam armazenados, em que trafeguem, ou do ambiente em que estejam sendo processados.
O que a COTEC realizará periodicamente no SERPRO?
A COTEC realizará auditoria e análise de risco objetivando verificar a correta implementação das normas e dos procedimentos de segurança.
Quais cláusulas devem conter os contratos de prestação de serviços de informática entre a SRF e o SERPRO?
Os contratos devem conter cláusulas específicas visando a assegurar a disponibilidade, confidencialidade e integridade dos dados, informações e sistemas informatizados pertencentes à SRF, armazenados no SERPRO.
Quais cautelas devem ser adotadas pelos funcionários do SERPRO que têm acesso a informações protegidas por sigilo da SRF?
Devem adotar todas as cautelas devidas na utilização e guarda dessas informações.
Quando a Portaria entra em vigor?
A Portaria entra em vigor na data de sua publicação.
Qual é a função do SERPRO conforme a Lei No 5.615, de 13 de outubro de 1970?
O SERPRO tem a função exclusiva de executar todos os serviços necessários aos órgãos do Ministério da Fazenda relacionados com tratamento de informações e processamento de dados.
Com que frequência devem ser revistas as medidas relativas à política de segurança do SERPRO?
As medidas devem ser revistas periodicamente, tendo em vista as necessidades do serviço, a evolução da tecnologia e a identificação de novas hipóteses de risco.
Quais são as sanções para o responsável por revelação de assunto ou fato sigiloso da SRF?
O responsável fica sujeito a sanções de ordem penal, administrativa e trabalhista, nos termos da legislação pertinente.
Para quais objetivos deve atender o acesso a dados, informações ou sistemas da SRF pelo SERPRO?
O acesso deve atender exclusivamente aos objetivos estabelecidos em contrato firmado entre a SRF e o SERPRO, não podendo ser liberado para outros usuários ou utilizado para outras finalidades sem autorização prévia da SRF.
O que o SERPRO deve adotar para atender aos requisitos de sigilo e segurança definidos pela SRF?
O SERPRO deve adotar uma política de segurança de informação para atender aos requisitos de sigilo e segurança definidos pela SRF.
O que deve ser feito com os contratos de prestação de serviços de informática já firmados entre a SRF e o SERPRO que estejam em execução?
Devem ser alterados para que se tornem compatíveis com as disposições da Portaria.
Como devem ser formalizadas, divulgadas e implementadas as medidas relativas à política de segurança do SERPRO?
Devem ser formalizadas, divulgadas e implementadas em conformidade com o disposto na Portaria e na Portaria SRF No 782, de 20 de junho de 1997.
O que deve ocorrer em caso de inobservância das normas de segurança previstas em contrato com o SERPRO?
Deve ser instaurado um processo interno de sindicância, com a participação da SRF, visando apurar responsabilidades por falha de segurança ou uso indevido de dados, informações ou sistemas pertencentes à SRF.
O que deve ser estabelecido nos contratos entre a SRF e o SERPRO em relação às responsabilidades dos dirigentes e funcionários do SERPRO?
Os contratos devem estabelecer as responsabilidades dos dirigentes e funcionários do SERPRO por descumprimento de obrigações relacionadas com o sigilo e a segurança dos dados, informações e sistemas.
Como devem ser os ambientes de produção, treinamento, homologação e desenvolvimento dos sistemas informatizados destinados à SRF?
Devem ser distintos daqueles utilizados pelo SERPRO para prestação de serviços contratados com outros órgãos, entidades ou empresas.
O que dispensa a licitação para prestação de serviços de informática pelo SERPRO à Secretaria da Receita Federal?
O art. 24, XVI, da Lei No 8.666, de 21 de junho de 1993, dispensa a licitação para prestação de serviços de informática pelo SERPRO à Secretaria da Receita Federal.
Como devem ser protegidos os dados, informações e sistemas da SRF armazenados no SERPRO?
Devem ser protegidos contra ações ou omissões intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso ou alteração indevidos.
O que acontecerá se forem identificadas irregularidades durante a auditoria e análise de risco no SERPRO?
As irregularidades serão objeto de notificação ao SERPRO para que promova as devidas correções no prazo estabelecido pela COTEC.
O que estabelece o art. 325 do Código Penal?
O art. 325 do Código Penal estabelece pena de detenção ou multa para quem revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação.
Quais são as bases para as medidas relativas à política de segurança do SERPRO?
As medidas devem ter por base as necessidades do serviço a ser prestado, o valor e a confidencialidade da informação, os riscos existentes e a magnitude de danos potenciais.
Como deve ser realizado o acesso pelo SERPRO e seus funcionários a dados, informações ou sistemas pertencentes à SRF?
O acesso deve ser realizado somente por necessidade de serviço e de forma controlada, ficando limitado às pessoas formalmente autorizadas, segundo critérios definidos pela SRF.
Quais são as obrigações dos administradores e empregados do SERPRO conforme o art. 8o da Lei No 5.615, de 1970?
Os administradores e empregados do SERPRO são obrigados a guardar sigilo quanto aos elementos manipulados, estando sujeitos a sanções trabalhistas e administrativas por infração, além do que determina a lei civil ou criminal.

Temas

Este artefato ainda não tem temas.

Itens vinculados

Nenhum item vinculado a este artefato.