Disciplina as práticas de gestão de identidade e controle de acesso ao sistema de Controle de Acessos (SCA) Corporativo do Conselho Nacional de Justiça.
SEI n. 11797/2023.
Texto Compilado
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais, e considerando o contido no Processo SEI nº 11797/2023,
CONSIDERANDO o disposto na Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO o disposto na Portaria CNJ nº 118/2021, que dispõe sobre o portfólio de soluções de tecnologia da informação e comunicação e serviços digitais do Conselho Nacional de Justiça, bem como seu Anexo II, com redação determinada pela Portaria CNJ nº 411/2022;
CONSIDERANDO o disposto na Portaria SG nº 47/2017, que dispõe sobre a política de Segurança da Informação do CNJ;
RESOLVE:
Art. 1º Disciplinar as práticas de gestão de identidade e controle de acesso ao sistema de Controle de Acessos (SCA) Corporativo do Conselho Nacional de Justiça.
Art. 2º Para os fins desta Portaria, entenda-se:
I – gestão de identidade: atividade de administração de identidades digitais de usuários que envolva a criação, o gerenciamento e a proteção das informações que identificam um usuário em um sistema ou ambiente corporativo;
II – gestão de acesso: gerenciamento dos níveis de acesso aos recursos de um sistema ou ambiente corporativo, no sentido de delimitação de quais usuários têm acesso a quais informações e recursos, bem como quais ações eles podem executar;
III – SCA Corporativo: sistema que viabiliza o login único aos sistemas disponibilizados pelo CNJ, permitindo a inclusão, exclusão e vinculação de usuários aos perfis de acesso disponíveis;
IV – usuário: indivíduo que pode acessar informações, sistemas ou serviços a partir do SCA Corporativo;
IV – usuário: indivíduo que pode acessar informações, sistemas ou serviços a partir do SCA Corporativo, internos ou externos ao Poder Judiciário; (redação dada pela Portaria n. 244, de 1.8.2024)
V – nível de acesso: conjunto de permissões que um usuário tem para acessar informações, sistemas ou serviços a partir do SCA Corporativo;
VI – perfil de acesso: coleção de permissões que define o nível de acesso que um usuário ou grupo de usuários tem no SCA Corporativo;
VII – credencial de acesso: identidade digital do usuário, composta pelo conjunto de permissões concedidas a partir de sua vinculação a um ou múltiplos perfis de acesso; e
VIII – administrador regional: perfil que permite a criação, exclusão e vinculação de usuários aos perfis de acesso disponíveis.
VIII – administrador regional: perfil que permite a criação, exclusão e vinculação de usuários internos do Poder Judiciário aos perfis de acesso disponíveis nos sistemas do SCA. (redação dada pela Portaria n. 244, de 1.8.2024)
IX – administrador regional externo: perfil que permite a criação, edição e vinculação de usuários externos ao Poder Judiciário aos perfis de acesso disponíveis nos sistemas do SCA. (incluído pela Portaria n. 244, de 1.8.2024)
Art. 3º Compete aos conselhos e tribunais submetidos à autoridade do CNJ, no âmbito de suas atividades, a gestão de identidade e a gestão de acesso ao sistema SCA Corporativo.
Parágrafo único. No exercício da atribuição referida no caput, conselhos e tribunais deverão:
I – incluir usuários no sistema, por meio de processo de trabalho devidamente documentado;
II – definir credenciais de acesso, atribuindo aos usuários perfis de acesso compatíveis com os níveis de acesso necessários à execução de suas atividades, de modo a garantir que o usuário tenha acesso apenas aos serviços e sistemas relacionados às suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades;
III – excluir usuários do sistema, quando esgotados os motivos justificadores do acesso;
IV – cadastrar administradores regionais junto ao CNJ, em quantidade compatível com as necessidades da operação, observados os limites estabelecidos pelo Conselho Nacional de Justiça; e
V – realizar, ao final de cada semestre e sob responsabilidade dos administradores regionais, auditoria nos controles de acesso, a fim de remover credenciais obsoletas, inativar usuários ociosos e adequar os níveis de acesso das credenciais em vigor.
Art. 3-A Compete exclusivamente ao CNJ a atribuição e exclusão dos perfis de administrador regional e de administrador regional externo. (incluído pela Portaria n. 244, de 1.8.2024)
§ 1º O cadastramento de administradores regionais externos será realizado mediante pedido do autoridade máxima do órgão ou da instituição junto ao CNJ, com indicação do nome, CPF, número de telefone, matrícula e e-mail funcional dos indicados, instruído com cópia dos respectivos documentos de identificação. (incluído pela Portaria n. 244, de 1.8.2024)
§ 2º Pedidos de cadastramento de administradores externos regionais deverão ser formalizados por meio do Protocolo Eletrônico do CNJ, em expediente endereçado à Secretaria-Geral. (incluído pela Portaria n. 244, de 1.8.2024)
§ 3º Formalizado e adequadamente instruído o pedido de cadastramento de administrador regional externo, a SecretariaGeral autorizará o cadastramento e o DTI/CNJ promoverá a atribuição do perfil aos usuários indicados, no prazo máximo de 5 (cinco) dias úteis. (incluído pela Portaria n. 244, de 1.8.2024)
§ 4º O quantitativo de administradores regionais externos ativos observará os seguintes limites: (incluído pela Portaria n. 244, de 1.8.2024)
I – Conselho Nacional do Ministério Público (CNMP) e Ministério da Justiça e Segurança Pública (MJSP): até 10 administradores regionais; (incluído pela Portaria n. 244, de 1.8.2024)
II – Unidades da federação, em que os tribunais são de grande porte: até 16 administradores regionais; (incluído pela Portaria n. 244, de 1.8.2024)
III – Unidades da federação, em que os tribunais são de médio porte: até 10 administradores regionais; e (incluído pela Portaria n. 244, de 1.8.2024)
IV – Unidades da federação, em que os tribunais são de pequeno porte: até 6 administradores regionais. (incluído pela Portaria n. 244, de 1.8.2024)
Art. 4º Compete exclusivamente ao CNJ a atribuição e exclusão do perfil de administrador regional.
§ 1º O cadastramento de administradores regionais será realizado mediante pedido da Presidência dos conselhos ou dos tribunais, com indicação do nome, matrícula e e-mail funcional dos indicados, instruído com cópia dos respectivos documentos de identificação.
§ 2º Pedidos de cadastramento de administradores regionais deverão ser formalizados por meio do Protocolo Eletrônico do CNJ, em expediente endereçado à Secretaria-Geral.
§ 3º Formalizado e adequadamente instruído o pedido de cadastramento de administrador regional, a Secretaria-Geral autorizará o cadastramento e o DTI/CNJ promoverá a atribuição do perfil aos usuários indicados, no prazo máximo de 5 (cinco) dias úteis.
§ 4º O quantitativo de administradores regionais ativos observará os seguintes limites:
I – conselhos e tribunais Superiores: até 10 administradores regionais;
II – tribunais de grande porte: até 16 administradores regionais;
III – tribunais de médio porte: até 10 administradores regionais; e
IV – tribunais de pequeno porte: até 6 administradores regionais.
Art. 4-A Compete ao administrador regional externo, vinculado aos Órgãos e às Entidades externas ao Poder Judiciário, exclusivamente, a gestão de identidade e a gestão de acesso ao sistema SCA Corporativo aos usuários externos ao Poder Judiciário. (incluído pela Portaria n. 244, de 1.8.2024)
Parágrafo único. No exercício da atribuição referida no caput, os Administradores regionais externos deverão: (incluído pela Portaria n. 244, de 1.8.2024)
I – incluir usuários externos no sistema, por meio de processo de trabalho devidamente documentado; (incluído pela Portaria n. 244, de 1.8.2024)
II – definir credenciais de acesso, atribuindo aos usuários e perfis externos os níveis de acesso necessários à execução de suas atividades, de modo a garantir que o usuário tenha acesso apenas aos serviços e sistemas relacionados às suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades; (incluído pela Portaria n. 244, de 1.8.2024)
III – promover a edição de dados de usuários do sistema, bem como a sua inativação quando esgotados os motivos justificadores do acesso; (incluído pela Portaria n. 244, de 1.8.2024)
IV – solicitar o cadastramento de administradores regionais externos junto ao CNJ, em quantidade compatível com as necessidades da operação, observados os limites estabelecidos pelo Conselho Nacional de Justiça; e (incluído pela Portaria n. 244, de 1.8.2024)
V – realizar, ao final de cada semestre e sob responsabilidade dos administradores regionais externos e do CNJ, auditoria nos controles de acesso, a fim de remover credenciais obsoletas, inativar usuários ociosos e adequar os níveis de acesso das credenciais em vigor. (incluído pela Portaria n. 244, de 1.8.2024)
Art. 5º No prazo de 90 (noventa) dias a contar da publicação desta Portaria, conselhos e tribunais deverão promover o recadastramento de seus administradores regionais, observados os limites quantitativos estabelecidos.
Parágrafo único. Alcançado o termo final do prazo estabelecido, todas as credenciais de administrador regional não recadastradas serão removidas.
Art. 5-A O sistema SCA (corporativo) e os sistemas sensíveis possuirão o termo de uso com as seguintes disposições mínimas: (incluído pela Portaria n. 244, de 1.8.2024)
I – Ser responsável pelo seu devido acesso; (incluído pela Portaria n. 244, de 1.8.2024)
II – Notificar imediatamente o CNJ ou o órgão responsável em caso de suspeita de uso indevido ou perda das credenciais. (incluído pela Portaria n. 244, de 1.8.2024)
III – Utilizar os sistemas exclusivamente para os fins a que se destinam, observando os princípios de ética, legalidade e segurança. (incluído pela Portaria n. 244, de 1.8.2024)
IV – Os dados pessoais coletados e armazenados nos sistemas são protegidos conforme a legislação vigente sobre proteção de dados. O usuário se compromete a utilizar os dados pessoais apenas para os fins previstos. (incluído pela Portaria n. 244, de 1.8.2024)
V – O acesso e uso dos sistemas pode ser monitorado e auditado pelo CNJ para garantir conformidade com os termos de uso e as políticas de segurança. (incluído pela Portaria n. 244, de 1.8.2024)
VI – As infrações aos termos de uso podem resultar em sanções administrativas, civis e penais, além da suspensão ou cancelamento do acesso aos sistemas. (incluído pela Portaria n. 244, de 1.8.2024)
VII – O CNJ se reserva o direito de realizar atualizações e manutenções nos sistemas, podendo haver interrupções temporárias de serviço. (incluído pela Portaria n. 244, de 1.8.2024)
VIII – É proibido: (incluído pela Portaria n. 244, de 1.8.2024)
a) Compartilhar credenciais de acesso com terceiros. (incluído pela Portaria n. 244, de 1.8.2024)
b) Realizar quaisquer atividades que comprometam a integridade, disponibilidade e confidencialidade dos sistemas e das informações neles contidas. (incluído pela Portaria n. 244, de 1.8.2024)
c) Utilizar os sistemas para fins ilícitos ou contrários à moral e ética no serviço público. (incluído pela Portaria n. 244, de 1.8.2024)
d) O usuário deve assegurar que todos os dados inseridos nos sistemas sejam verídicos, completos e atualizados. (incluído pela Portaria n. 244, de 1.8.2024)
Art. 6º Anualmente, no mês de julho de cada ano, o Departamento de Tecnologia da Informação e Comunicação (DTI/CNJ) encaminhará aos conselhos e tribunais a relação nominal dos administradores regionais cadastrados no SCA Corporativo, para fins de saneamento.
Art. 7º Os casos omissos serão resolvidos pelo Secretário-Geral.
Art. 8º Esta Portaria entra em vigor na data de sua publicação.
Ministro Luís Roberto Barroso