Comando para Ignorar Faixa de Opções
Ir para o conteúdo principal
28/05/2021 04:00

​Resolução SFP-31, de 24-5-2021

(DOE 25-05-2021)

Institui a Política de Segurança da Informação no âmbito da Secretaria da Fazenda e Planejamento 

O Secretário da Fazenda e Planejamento, com fundamento no disposto na alínea “c” do inciso II do artigo 157 do Decreto 64.152, de 22-03-2019, Considerando a necessidade de estabelecer diretrizes e padrões para viabilizar um ambiente tecnológico controlado e seguro para a preservação da confiabilidade e credibilidade dos ativos da Instituição, bem como a necessidade de assegurar o acesso às informações por usuários devidamente autorizados; Considerando a importância da integridade, disponibilidade, confidencialidade e autenticidade dos dados e informações dos diversos sistemas e serviços de TIC da Secretaria da Fazenda e Planejamento; Considerando a necessidade de mitigar e monitorar os riscos aos quais essas informações estão sujeitas, resolve: 

Artigo 1º - Fica instituída, nos termos desta Resolução, a Política de Segurança da Informação da Secretaria da Fazenda e Planejamento (Sefaz). 

Capítulo I
Das Disposições Preliminares

Artigo 2º - As normas estabelecidas por esta Resolução aplicam-se aos servidores, aos estagiários, aos prestadores de serviço e a quaisquer outros indivíduos ou organizações que venham a ter relacionamento, direta ou indiretamente, com a Sefaz. 

Seção I
Dos Conceitos e das Definições 

Artigo 3º - Para os fins desta Resolução, considera-se:

I. Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano à Instituição; 

II. Análise de Riscos: Uso sistemático de informações para identificar fontes e estimar o risco (ISO/IEC 27001); 

III. Ativo Intangível: Todo elemento que possui valor para a Instituição e que esteja em suporte digital ou constitua-se de forma abstrata, mas registrável ou perceptível, tais como reputação, imagem, marca e conhecimento; 

IV. Ativo: Qualquer coisa que tenha valor para a organização (ISO/IEC 27001);

V. Ativos de Informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas (ISO/IEC 27002); 

VI. Conformidade: Designa o dever de cumprir, de estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades de uma organização; 

VII. Continuidade do Negócio: Capacidade da organização de continuar a entrega de produtos ou serviços, em um nível aceitável previamente definido, após incidentes que causem sua interrupção; 

VIII. Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal (ISO/IEC 27002); 

IX. Dados: Parte elementar da estrutura do conhecimento, computável, mas, incapaz de, por si só, gerar conclusões inteligíveis ao destinatário; 

X. Dispositivo de Identificação Digital: Recurso tecnológico que possibilita identificar e autenticar o usuário em ambientes lógicos e físicos, tais como crachá magnético, certificado digital, token e biometria; 

XI. Dispositivos Móveis: Equipamentos que têm como características a capacidade de registro, armazenamento ou processamento de informações, possibilidade de estabelecer conexões e interagir com outros sistemas ou redes, além de serem facilmente transportados devido a sua portabilidade, como por exemplo, pen drives, celulares, smartphones, notebooks ou netbooks, tablets, equipamentos reprodutores de MP3, câmeras de fotografia ou filmagem, ou qualquer dispositivo que permita conexão à internet, portabilidade ou armazenagem de dados; 

XII. Evento de Segurança da Informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ISO/IEC 27001); 

XIII. Incidente de Segurança da Informação: um evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/IEC 27001); 

XIV. Informação: Conjunto de dados que, processados ou não, podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato; 

XV. Internet: O sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes; 

XVI. Log: Registro de atividades gerado por programa de computador que possibilita a reconstrução, revisão e análise das operações, procedimento ou evento em sistemas de informação; 

XVII. Mídias Sociais: Plataformas baseadas em internet, sobre as quais ocorre a interação entre pessoas físicas ou jurídicas e a produção, troca ou compartilhamento de informações; 

XVIII. Recursos de Tecnologia de Informação e Comunicação (recursos de TIC): Recursos físicos e lógicos utilizados para criar, armazenar, processar, manusear, transportar, compartilhar e descartar a informação, podendo-se destacar: microcomputadores, notebooks, smartphones, tablets, pendrives, mídias, impressoras, scanners, softwares, entre outros; 

XIX. Risco: Combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos; 

XX. Segurança da Informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ISO/IEC 27001); 

XXI. Serviços Corporativos: São serviços oferecidos pela Sefaz aos usuários dos recursos de TIC, por meios próprios ou por contratos com terceiros; 

XXII. Usuário: Funcionário, servidor, estagiário, prestador de serviço, terceirizado, conveniado, credenciado, fornecedor ou qualquer outro indivíduo ou organização que venha a ter relacionamento, direta ou indiretamente, com a Instituição; 

XXIII. Violação: Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política ou em quaisquer das demais normas que a complemente. 

Seção II
Dos Objetivos 

Artigo 4º - Esta Política de Segurança da Informação (PSI) tem por objetivos:

I. Estabelecer os princípios e as diretrizes estratégicas de um modelo de Gestão da Segurança da Informação, por meio da implantação de controles para uso seguro, ético e legal das informações, dos ativos intangíveis e dos recursos de TIC da Sefaz. 

II. Declarar formalmente o compromisso da Instituição com a proteção das informações, dos ativos intangíveis e dos recursos de TIC de sua propriedade ou sob sua guarda, devendo ser cumprida por todos os seus usuários. 

III. Promover e motivar a criação de uma cultura de segurança da informação, abrangendo todos os usuários da Sefaz na execução de suas atividades profissionais, bem como seus processos de trabalho, buscando o envolvimento de toda a Instituição, do nível operacional ao gerencial.

IV. Zelar pela preservação dos 5 atributos fundamentais da segurança da informação: 

a) Autenticidade: Garantia de que a informação é procedente e fidedigna, capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu; 

b) Confidencialidade: Garantia de que as informações sejam acessadas e reveladas somente a indivíduos, entidades e processos devidamente autorizados;

c) Disponibilidade: Garantia de que as informações e os recursos de TIC estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso; 

d) Integridade: Garantia de que as informações estejam protegidas contra manipulações e alterações indevidas; 

e) Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com a legislação em vigor. 


Seção III
Da Estrutura Normativa 

Artigo 5º - A estrutura normativa de Segurança da Informação na Sefaz é constituída de 3 categorias de documentos: 

I. Política (Nível Estratégico): Define as regras estratégicas, os princípios e as diretrizes relacionadas à segurança da informação, servindo de base para as atividades da Sefaz e de seus usuários, bem como para o desenvolvimento dos demais instrumentos normativos relacionados à matéria; 

II. Normas (Nível Tático): Especificam, no plano tático e de maneira detalhada, os controles de segurança da informação que devem ser implementados para alcançar a estratégia definida na Política de Segurança da Informação; 

III. Procedimentos (Nível Operacional): Instrumentalizam o disposto na Política e nas Normas de Segurança da Informação, permitindo a direta aplicação nas atividades dos usuários da Sefaz. 

Capítulo II
Dos Princípios da Segurança da Informação 

Artigo 6º - A Gestão da Segurança da Informação na Sefaz deve se basear nos seguintes princípios: 

I. Legalidade/Conformidade: Cumprimento da legislação vigente e dos instrumentos regulamentares relacionados às atividades profissionais e aos objetivos institucionais e éticos da Sefaz e da Administração Pública Estadual; 

II. Defesa em Profundidade: Estratégia de segurança de informação que busca integrar pessoas, tecnologia e recursos instituindo múltiplos, redundantes e independentes níveis de proteção, considerando o valor dos ativos de TIC para a organização; 

III. Hierarquia de Controles Administrativos: Estabelecimento de políticas, normas e procedimentos para o gerenciamento, planejamento, controle e avaliação de todas as atividades de segurança da informação; 

IV. Simplicidade: Favorecimento da implementação de salvaguardas e controles de segurança simples ao invés de complexos; 

V. Proteção dos Ativos: Preservação e proteção da imagem, logotipo, reputação e demais ativos intangíveis da Sefaz, em relação aos diversos tipos de ameaça como acesso, divulgação, compartilhamento ou modificação não autorizados; 

VI. Cultura de Segurança da Informação: Incorporação, por todos os usuários, da segurança da informação como um elemento essencial em seus hábitos e atitudes dentro e fora da organização; 

VII. Privilégio Mínimo: Concessão aos usuários apenas das permissões estritamente necessárias para a execução das atividades profissionais designadas; 

VIII. Celeridade: Oferecimento de ações rápidas em resposta a incidentes e falhas, visando reduzir os impactos gerados por incidentes de segurança; 

IX. Responsabilidade: Definição clara das responsabilidades primárias e finais pela proteção de cada ativo e pelo cumprimento de processos de segurança. 

Capítulo III
Das Diretrizes da Segurança da Informação 

Seção I
Da Gestão e do Tratamento das Informações 

Artigo 7º - Toda informação criada, adquirida, custodiada e/ou processada pela Sefaz é um bem a ser protegido em consonância com as regulamentações legais, seus requisitos de segurança e demais necessidades de preservação de Confidencialidade, Integridade e Disponibilidade. 

Artigo 8º - O uso das informações da Sefaz deve ser exclusivo para o cumprimento das atividades institucionais, dentro dos limites estabelecidos, e de acordo com o padrão de conduta ética e moral que conduz a adminstração Pública, e em observância à obrigação de sigilo profissional e legal.

Artigo 9º - As informações de que trata o artigo 7º desta Resolução deverão ser classificadas levando-se em consideração aspectos legais, grau de sigilo requerido, tempo de guarda e retenção, observando-se o seguinte: 

I. Deverão ser adotados procedimentos formais para o gerenciamento e a classificação das informações de acordo com as melhores práticas de segurança da informação, em consonância com a legislação vigente; 

II. A metodologia de classificação e o tratamento da informação em relação ao grau de sigilo deverá ser disciplinado em norma específica; 

III. A classificação das informações servirá de base para determinar os controles de segurança adequados para a sua proteção. 

Artigo 10 – O Tratamento das Informações deve atender aos seguintes requisitos: 

I. Cada usuário é responsável pela segurança dos ativos de informação aos quais tiver acesso em função de suas atividadesna Sefaz, especialmente em relação àqueles que estão sob a sua tutela. 

II. É vedado ao usuário revelar, transferir, publicar, compartilhar ou divulgar quaisquer informações de propriedade ou sob a responsabilidade da Sefaz, inclusive informações relacionadas às suas rotinas de trabalho, dados de contribuintes, fornecedores e prestadores de serviços ou demais detalhes operacionais, salvo quando na execução de atividades institucionais, observando-se nesse caso os critérios de classificação e tratamento da informação e o sigilo fiscal. 

III. Os controles de segurança aplicáveis no gerenciamento da informação devem levar em consideração todo o seu ciclo de vida, o qual compreende sua criação, registro, classificação, acesso, manuseio, modificação, reprodução, distribuição, compartilhamento, publicação, transmissão, armazenamento, arquivamento e destruição. 

IV. É vedada a transmissão e armazenamento de arquivos de qualquer conteúdo, software ou informação de propriedade ou sob a responsabilidade da Sefaz que tenha classificação que exija algum nível de proteção e sigilo, para fora do ambiente corporativo ou a qualquer plataforma de internet tais como: repositórios digitais, e-mails ou serviços de armazenamento de arquivos de forma geral. 

V. A transmissão e o recebimento de conteúdos, mensagens ou informações institucionais devem ser realizados exclusivamente através de serviços corporativos oferecidos pela Sefaz. 

Artigo 11 – O armazenamento e o processamento de informações da Sefaz em serviços de nuvem pública deverão observar o disposto nesta Política e, ainda, as orientações, regras e controles aplicáveis a este tipo de tecnologia conforme disciplinado em norma específica. 

Seção II
Da Gestão de Ativos 

Artigo 12 - Deverão ser adotados procedimentos formais de inventário e identificação de recursos de TIC, de acordo com sua relevância. 

§ 1º - Todos os recursos de TIC devem possuir um responsável designado. 

§ 2º - O DTI é o responsável pelos controles de segurança lógicos aplicáveis aos recursos de TIC institucionais. 

Artigo 13 - O processo de descarte de recursos de TIC deve seguir os procedimentos formais em vigor na data de sua ocorrência; 

Seção III
Da Gestão do Uso dos Recursos de Tecnologia da Informação e Comunicação 

Artigo 14 – Os recursos de TIC da Sefaz são de uso exclusivo para o cumprimento das atividades institucionais, devendo cada usuário zelar pela segurança de todos e qualqueis recursos corporativos aos quais tiver acesso. 

Artigo 15 -Todo recurso de TIC institucional, particular ou de terceiros quando conectado à rede da Sefaz deve possuir ferramentas de proteção contra software malicioso ativas e atualizadas, sendo vedado ao usuário efetuar alteração de configuração, remoção ou desativação dessas ferramentas. 

Artigo 16 - É vedado aos usuários dos recursos de TIC visualizar, acessar, baixar ou transmitir arquivos, utilizar, instalar, armazenar, divulgar ou repassar qualquer material, conteúdo, ou recurso ilícito, impróprio, obsceno, pornográfico, ofensivo, discriminatório, que atente contra os princípios éticos adotados pela Instituição, bem como que seja incompatível com as diretrizes e interesses da Sefaz, por meio de recursos de TIC conectados à rede corporativa.

Artigo 17 - Os usuários são responsáveis pelo conteúdo armazenado em seus recursos de TIC particulares que estejam conectados à rede corporativa, os quais poderão estar sujeitos a inspeção pela área competente da Sefaz, se necessário. 

Artigo 18 - Os processos de manutenção, instalação, configuração, desinstalação, substituição e remanejamento de recursos de TIC da Sefaz serão realizados exclusivamente pelo DTI, que poderá autorizar a realização dessas atividades mediante solicitação justificada. 

Artigo 19 – Norma específica poderá disciplinar o uso aceitável de recursos de TIC da Sefaz e de dispositivos particulares que estejam conectados à rede corporativa. 

Seção IV
Da Segurança Física e do Ambiente 

Artigo 20 - Deverão ser estabelecidos mecanismos de proteção para as instalações físicas e as áreas de processamento das informações, prevenindo o acesso físico não autorizado, danos ou interferências. 

§ 1º - Deverão ser adotados procedimentos específicos dispondo sobre o acesso físico dos usuários às dependências da Sefaz. 

§ 2º - Todos os envolvidos em trabalhos de apoio, tais como segurança patrimonial, manutenção das instalações físicas e serviços de conservação e limpeza, devem ser orientados e capacitados para manter as medidas de proteção de acesso adotadas pela Sefaz. 

§ 3º - Não são permitidos registros fotográficos, de imagens, filmagens ou captura de sons no ambiente corporativo da Sefaz, salvo quando houver autorização prévia pela Instituição. 

§ 4º - São vedados a divulgação e o compartilhamento do conteúdo de que trata o § 3º deste artigo em mídias sociais, internet ou outros meios eletrônicos, exceto quando autorizados pela Área de Comunicação da Assessoria do Gabinete do Secretário. 

Seção V
Do Controle de Acessos 

Artigo 21 – O acesso a informações, sistemas e recursos de TIC da Sefaz deve ser realizado por meio da utilização de dispositivo de identificação digital capaz de identificar o usuário de forma inequívoca, conforme definido em norma específica. Parágrafo único – Os usuários são responsáveis pelos atos praticados com as suas credenciais de acesso. 

Artigo 22 – As concessões de acesso devem fornecer aos usuários apenas das permissões estritamente necessárias para a execução das atividades profissionais designadas. 

Artigo 23 – Os dados referentes a acessos, conteúdo trafegado a partir da rede corporativa, uso de ativos intangíveis, armazenamento de informações, marcas e recursos de TIC, além de seus ambientes físicos e lógicos, serão monitorados. 

§ 1º - Os registros de logs, e-mails, acessos a sítios de internet, histórico de navegação, endereçamento IP, condições aceitas e quaisquer outras informações relevantes devem ser armazenados de forma segura, por prazo estabelecido em norma específica. 

§ 2º - É vedada qualquer tentativa de alteração de registros de logs, os quais somente poderão ser acessados por profissionais autorizados pelo DTI na investigação ou apuração de incidente de segurança da informação, cometimento de infração, ato ilícito ou descumprimento de lei ou norma da Sefaz. 

Seção VI
Da Auditoria e Conformidade 

Artigo 24 – Serão realizadas periodicamente auditorias de verificação de conformidade em relação à segurança da informação pelo DTI visando à adequação e ao aprimoramento dos controles de segurança aos objetivos estabelecidos por esta Política e pelas demais normas e procedimentos de segurança da informação. 

§ 1º - A periodicidade das auditorias poderá ser definida em função dos riscos associados aos recursos de TIC e da sensibilidade das informações. 

§ 2º - Os controles internos dos sistemas de informação não devem ser objeto de testes de violabilidade por parte dos usuários. 

§ 3º - Os procedimentos de auditoria serão definidos e documentados em norma específica.

Artigo 25 – A Sefaz poderá auditar e realizar inspeções físicas e lógicas nos dispositivos móveis, equipamentos, sistemas ou recursos de TIC que interajam com seus ambientes lógicos ou físicos, conforme disciplinado em norma específica. 

Seção VII
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 

Artigo 26 - O desenvolvimento, a aquisição e a manutenção de sistemas, produtos e serviços de TIC devem atender aos requisitos de segurança definidos pelo DTI. 

Artigo 27 - Os softwares adquiridos de terceiros e aqueles que estejam de posse da Sefaz não podem ser copiados, salvo se houver previsão nos termos de licenciamento de software e desde que previamente autorizado. 

Artigo 28 - Desde a concepção de uma solução tecnológica e durante todo o seu processo de desenvolvimento, a segurança da informação deve ser pautada levando-se em consideração os aspectos de tecnologia, processos e pessoas. 

Artigo 29 - No processo de desenvolvimento de Sistemas de Informação deverão ser adotadas metodologias, técnicas e testes de segurança e validação de software que visem à entrega de soluções com código seguro, confiáveis e com base em práticas que minimizem os riscos relacionados a vulnerabilidades técnicas. 

Artigo 30 - O DTI e as Unidades Administrativas responsáveis pelos Sistemas de Informação da Sefaz deverão garantir a manutenção da atualização tecnológica e de segurança dos servidores, frameworks, componentes e demais sistemas de suporte enquanto estes sistemas estiverem ativos e em uso. 

Seção VIII
Da Gestão de Incidentes de Segurança da Informação 

Artigo 31 – Deverão ser estabelecidos o processo de gestão de Incidentes de Segurança da Informação, os procedimentos e demais instrumentos formais necessários para a identificação e o tratamento tempestivo e ordenado de eventos e incidentes de segurança da informação, bem como também deverão ser desenvolvidos mecanismos que viabilizem a melhoria contínua dos controles de segurança e a prevenção de novas ocorrências.

Parágrafo único - O processo de que trata o caput deste artigo será disciplinado em norma específica. 

Seção IX
Da Gestão de Riscos 

Artigo 32 – Deverá ser adotado um processo contínuo de gestão de riscos relacionados aos recursos e serviços de TIC da Sefaz, com metodologias e procedimentos padronizados para identificação, classificação, avaliação e tratamento de riscos, estabelecendo-se critérios objetivos para a sua aceitação. 

§ 1º - O processo de que trata o caput deste artigo orientará a seleção dos controles adequados para a mitigação dos riscos identificados, e as atividades necessárias para a implementação desses controles serão coordenadas pelo DTI. 

§ 2º - Os riscos mais relevantes deverão ser sistematicamente monitorados e comunicados às áreas potencialmente impactadas. Seção X Da Gestão de Continuidade de Negócio 

Artigo 33 – A continuidade das atividades essenciais da Sefaz, frente a ocorrência de eventos adversos, deve ser objeto de regulamentação específica, sendo imprescindível a manutenção de um plano de continuidade de negócio nos seguintes casos: 

I. Nos serviços contínuos essenciais, abrangendo também a contratação e a transição contratual; 

II. No uso de tecnologia de nuvem; 

III. Para sistemas e serviços críticos que afetem as operações dos usuários externos. 

Capítulo IV
Dos Papéis e das Responsabilidades 

Seção I
Do Comitê Gestor de Tecnologia da Informação 

Artigo 34 – O Comitê Gestor de Tecnologia da Informação (CGTI) terá por responsabilidade: 

I. Aprovar os instrumentos normativos relacionados à Política de Segurança da Informação; 

II. Avaliar se as ações que visam à segurança das informações estão alinhadas com os objetivos estratégicos da Sefaz;

III. Analisar criticamente a efetividade da Política de Segurança da Informação e dos demais instrumentos normativos a ela relacionados na Sefaz. 

Seção II
Do Departamento de Tecnologia da Informação 

Artigo 35 - O Departamento de Tecnologia da Informação, além de outras atribuições definidas nesta norma, terá por responsabilidade: 

I. Promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação; 

II. Definir os requisitos de segurança da informação e os controles adequados para a proteção das informações e recursos de TIC da Instituição; 

III. Estabelecer parâmetros de segurança adequados para a disponibilização de serviços, de sistemas e da infraestrutura que os apoiam, de forma que atendam aos requisitos mínimos de qualidade e reflitam as necessidades operacionais da Sefaz; 

IV. Gerenciar a estrutura de segurança dos recursos de TIC para que os objetivos estabelecidos na Política e demais normas e procedimentos em vigor sejam alcançados; 

V. Executar as atividades técnicas e operacionais visando atender às orientações desta Política e prestar o suporte necessário ao esclarecimento de dúvidas dos usuários; 

VI. Disponibilizar e prover a manutenção das ferramentas necessárias para viabilizar a implementação das diretrizes descritas nesta Política, em todo o ambiente computacional da Sefaz;

VII. Identificar e avaliar os riscos relacionados aos ativos intangíveis, recursos de TIC, dados e informações e promover melhorias nos controles existentes;

VIII. Implementar e atualizar os controles de segurança para a proteção das informações e dos recursos de TIC da Sefaz e apoiar as demais áreas em suas necessidades relacionadas à Segurança da Informação; 

IX. Gerenciar os incidentes de segurança da informação, desenvolvendo capacidades para sua detecção, tratamento e prevenção; 

X. Prover mecanismos para detecção e remoção de códigos maliciosos e combate a atividades anormais; 

XI. Analisar e avaliar casos de violações e demais eventos negativos relativos à segurança da informação na Sefaz, inclusive quando envolver a internet e as mídias sociais; 

XII. Prover mecanismos de autenticação e registro que determinem a titularidade de todos os acessos a recursos de TIC; 

XIII. Disponibilizar na Intranet a relação de programas homologados disponíveis para utilização na Sefaz; 

XIV. Realizar programas de educação continuada e conscientização em segurança da informação com envolvimento dos usuários e suas chefias, estimulando o cumprimento da Política e aprimorando a cultura em Segurança da Informação; 

XV. Orientar os usuários a respeito das responsabilidades e dos procedimentos de segurança acerca dos recursos de TIC que lhes forem disponibilizados; 

XVI. Monitorar os dados e informações da Sefaz em trânsito ou armazenados em recursos de TIC institucionais ou particulares. 

Seção III
Dos Gestores Organizacionais e Gestores de Contratos 

Artigo 36 – Os Gestores Organizacionais e os Gestores de Contratos terão por responsabilidade:

I. Orientar suas equipes quanto ao uso ético, seguro e legal das informações, dos recursos de TIC e dos valores adotados pela Sefaz;

II. Reportar ao Suporte Técnico do DTI os casos de descumprimento desta Política;

III. Cooperar na apuração de incidentes de segurança relacionados às informações, recursos de TIC e usuários sob sua responsabilidade;

IV. Garantir a implementação de controles administrativos, tais como: a assinatura de Termos de Uso e Responsabilidade, Termos de Confidencialidade e Cláusulas Contratuais que tratem especificamente da segurança da informação, nos relacionamentos e nas contratações de prestadores de serviços ou de fornecedores em que haja o compartilhamento de informações da Sefaz, ou na concessão de qualquer tipo de acesso aos seus ambientes e recursos de TIC.

Seção IV
Dos Usuários 

Artigo 37 – Os usuários, além das obrigações determinadas nessa Política, terão por responsabilidade:

I. Zelar pela segurança da informações, dos sistemas e ativos de TIC da Sefaz, agindo em observância às determinações desta Política; 

II. Proteger as informações a que tenha acesso em função de suas atividades;

III. Seguir as orientações técnicas para o uso seguro das informações, sistemas e ativos de TIC; 

IV. Reportar para a sua chefia ou para o Suporte Técnico do DTI os casos de descumprimento desta Política. 

V. Utilizar somente conteúdos e informações legítimos e autorizados pela Instituição, de acordo com os controles de acesso estabelecidos e respeitando os direitos de propriedade intelectual e industrial da Sefaz e de terceiros. 

Capítulo V
Das Violações e das Penalidades 

Artigo 38 – A não observância dos dispositivos desta Política sujeita os infratores, isolada ou cumulativamente, a sanções administrativas, cíveis e penais previstas nos artigos 251 a 263 da Lei 10.261, de 28-10-1968, alterados pela Lei Complementar 942, de 06-06-2003 – Estatuto dos Funcionários Públicos Civis do Estado, no Código Penal - Decreto-Lei 2.848, de 07-12-1940, no Código Civil - Lei 10.406, de 10-01-2002, Código de Ética da Sefaz – Resolução SF 51, de 20-09-2007, ou em qualquer outra legislação que regule ou venha a regular a matéria, assegurados aos envolvidos o contraditório e a ampla defesa. 

Capítulo VI
Disposições Finais 

Artigo 39 – Esta Política norteará instrumentos normativos complementares específicos, os quais deverão manter a coesão com as diretrizes e os princípios nela estabelecidos. 

Artigo 40 - Todo caso de exceção às determinações da Política de Segurança da Informação deve ser analisado de forma individual, aplicável apenas ao caso concreto, dentro dos limites e motivos que o fundamentaram. 

Artigo 41 – A presente Política será revista e atualizada sempre que necessário e em intervalos não superiores a 3 anos. 

Artigo 42 - Esta Resolução entra em vigor na data da sua publicação.