Dispõe sobre as medidas de segurança a serem estabelecidas nos contratos de prestação de serviço celebrados com o Serviço Federal de Processamento de Dados - SERPRO, relativas a dados, informações e sistemas informatizados da Secretaria da Receita Federal.
O SECRETÁRIO DA RECEITA FEDERAL, no uso das atribuições que lhe são conferidas pelo art. 190, III e VII, do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF No 227, de 3 de setembro de 1998, tendo em vista o disposto no art. 1o, I e XII, do referido Regimento Interno, e
considerando que o art. 2o da Lei No 5.615, de 13 de outubro de 1970, atribui ao SERPRO, com exclusividade, a execução de todos os serviços necessários aos órgãos do Ministério da Fazenda, relacionados com tratamento de informações e processamento de dados;
considerando que o art. 24, XVI, da Lei No 8.666, de 21 de junho de 1993, dispensa licitação para prestação de serviços de informática pelo SERPRO à Secretaria da Receita Federal; considerando que o art. 198 da Lei No 5.172, de 25 de outubro de 1966 - Código Tributário Nacional, veda à Fazenda Pública e seus funcionários a divulgação de informações protegidas por sigilo fiscal;
considerando que o art. 8o da Lei No 5.615, de 1970, obriga os administradores e empregados do SERPRO a guardar sigilo quanto aos elementos manipulados, impondo-lhes sanções trabalhistas e administrativas por infração, sem prejuízo do que determina a lei civil ou criminal;
considerando que o art. 325 do Decreto-Lei No 2.848, de 7 de dezembro de 1940 - Código Penal, estabelece pena de detenção ou multa para quem revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação;
considerando que o art. 327, § 1o, do Código Penal equipara a funcionário público, para fins criminais, quem exerce cargo, emprego ou função em entidade paraestatal, resolve:
Art. 1o Os contratos de prestação de serviços de informática, firmados entre a Secretaria da Receita Federal - SRF e o Serviço Federal de Processamento de Dados - SERPRO, observado o disposto nesta Portaria, devem conter cláusulas específicas visando a assegurar a disponibilidade, confidencialidade e integridade dos dados, informações e sistemas informatizados pertencentes à SRF, armazenados no SERPRO.
Parágrafo único. Os contratos de que trata este artigo devem, também, estabelecer as responsabilidades dos dirigentes e funcionários do SERPRO por descumprimento de obrigações relacionadas com o sigilo e a segurança dos dados, informações e sistemas.
Art. 2o Os dados, informações e sistemas, a que se refere o artigo anterior, devem ser protegidos contra ações ou omissões intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso ou alteração indevidos.
§ 1o Os dados e as informações devem ser mantidos com o mesmo nível de proteção, independentemente do meio no qual estejam armazenados, em que trafeguem, ou do ambiente em que estejam sendo processados.
§ 2o Para fins do disposto neste artigo, o SERPRO deverá adotar política de segurança de informação, para atender aos requisitos de sigilo e segurança definidos pela SRF.
§ 3o As medidas relativas à política de segurança devem:
I - ter por base as necessidades do serviço a ser prestado, o valor e a confidencialidade da informação, os riscos existentes e a magnitude de danos potenciais;
II - ser formalizadas, divulgadas e implementadas em conformidade com o disposto neste Ato e na Portaria SRF No 782, de 20 de junho de 1997;
III - ser revistas periodicamente, tendo em vista as necessidades do serviço, a evolução da tecnologia e a identificação de novas hipóteses de risco.
§ 4o O SERPRO deve encaminhar à Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, relatórios mensais que permitam acompanhar a execução da política de segurança prevista neste artigo.
Art. 3o Os ambientes de produção, treinamento, homologação e desenvolvimento dos sistemas informatizados, destinados a atendimento exclusivo da SRF, devem ser distintos daqueles utilizados pelo SERPRO para prestação de serviços contratados com outros órgãos, entidades ou empresas.
Art. 4o O acesso pelo SERPRO e seus funcionários a dados, informações ou sistemas pertencentes à SRF deve ser realizado somente por necessidade de serviço e de forma controlada, ficando limitado às pessoas formalmente autorizadas, segundo critérios definidos pela SRF.
§ 1o O acesso de que trata este artigo atenderá exclusivamente aos objetivos estabelecidos em contrato firmado entre a SRF e o SERPRO, não podendo, sem autorização prévia da SRF, ser liberado para outros usuários ou utilizado para outras finalidades.
§ 2o Os funcionários do SERPRO que em razão do exercício de suas atividades tenham acesso a informações pertencentes à SRF, protegidas por sigilo, devem adotar todas as cautelas devidas, na sua utilização e guarda.
§ 3o O responsável por revelação, direta ou indireta, de assunto ou fato sigiloso fica sujeito a sanções de ordem penal, administrativa e trabalhista, nos termos da legislação pertinente.
Art. 5o A COTEC realizará, periodicamente, auditoria e análise de risco, no SERPRO, objetivando verificar a correta implementação das normas e dos procedimentos de segurança.
§ 1o Caso sejam identificadas irregularidades, serão objeto de notificação ao SERPRO para que promova as devidas correções, no prazo estabelecido pela COTEC.
§ 2o A inobservância das normas de segurança, previstas em contrato com o SERPRO, deverá ensejar processo interno de sindicância, com a participação da SRF, visando a apurar responsabilidades por falha de segurança ou uso indevido de dados, informações ou sistemas pertencentes à SRF.
Art. 6o Os contratos de prestação de serviços de informática já firmados entre a SRF e o SERPRO, que estejam em execução, devem ser alterados para que se tornem compatíveis com as disposições desta Portaria.
Art. 7o Esta Portaria entra em vigor na data de sua publicação.
EVERARDO MACIEL