Determina a implementação do método de autenticação do tipo Múltiplo Fator de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais sensíveis.
SEI n. 10142/2020.
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais, e o contido no processo SEI nº 10142/2020,
CONSIDERANDO a Resolução CNJ nº 435/2021, que dispõe sobre a política e o sistema nacional de segurança do Poder Judiciário e dá outras providências, estabelecendo diretrizes para a proteção das informações e da infraestrutura crítica de Tecnologia da Informação e Comunicação (TIC);
CONSIDERANDO a Resolução CNJ nº 396/2021, que Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução CNJ nº 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), visando à modernização e à eficiência dos serviços judiciários por meio da tecnologia;
CONSIDERANDO a Resolução CNJ nº 335/2020, que institui política pública para a governança e a gestão de processo judicial eletrônico, integrando os tribunais do país com a criação da Plataforma Digital do Poder Judiciário Brasileiro – PDPJ-Br e mantendo o sistema PJe como sistema de Processo Eletrônico prioritário do Conselho Nacional de Justiça;
CONSIDERANDO a Portaria CNJ nº 316/2023 que Disciplina as práticas de gestão de identidade e controle de acesso ao sistema de Controle de Acessos (SCA) Corporativo do Conselho Nacional de Justiça;
CONSIDERANDO a deliberação da 12ª Reunião do Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ), que reconheceu a importância de fortalecer as medidas de segurança da informação e de proteger os sistemas judiciários contra ameaças cibernéticas;
CONSIDERANDO que o Conselho Nacional de Justiça é o Órgão de Gestão Superior (OGS) do Poder Judiciário;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES INICIAIS
Art. 1º Determinar aos órgãos do Poder Judiciário Brasileiro, com exceção do Supremo Tribunal Federal (STF), a implementação de método de autenticação do tipo Múltiplo Fator de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais sensíveis.
§ 1º O uso de MFA é obrigatório para usuários internos e externos.
§ 2º A habilitação do MFA é mandatória, não cabendo aos usuários optarem por sua utilização.
§ 3º A implementação do MFA não exclui ou limita a aplicação de outras medidas de segurança ou práticas que contribuam para o fortalecimento da segurança da informação e proteção de dados, devendo ser associada a uma cadeia de credenciais confiáveis adequadamente protegidas.
Art. 2º Consideram-se sistemas judiciais sensíveis:
a) sistemas de processo judicial eletrônico;
b) sistemas ou serviços que permitam acesso a dados sensíveis ou confidenciais;
c) sistemas ou serviços que permitam a emissão de mandados de prisão e alvarás de soltura;
d) sistemas ou serviços que permitam a pesquisa de ativos financeiros, sua constrição e movimentação;
e) sistemas de tramitação de processos administrativos;
f) ferramentas de acessos a redes privadas virtuais (VPNs);
g) sistemas ou serviços que permitam acesso remoto ao ambiente interno de rede;
h) sistemas ou serviços de e-mail funcional ou corporativo;
i) quaisquer outros sistemas ou serviços considerados críticos na avaliação interna do Tribunal, incluindo quaisquer sistemas expostos ao acesso remoto via internet.
§ 1º Sistemas de processo judicial eletrônico e módulos da Plataforma Digital do Poder Judiciário Brasileiro (PDPJ-Br) deverão utilizar o Serviço de Autenticação Única (Single Sign-On - SSO) disponibilizado na PDPJ-Br.
§ 2º Ficam excluídos da obrigatoriedade de implementação do MFA os serviços públicos cuja utilização não depende de autenticação.
CAPÍTULO II
DA GESTÃO DO MÚLTIPLO FATOR DE AUTENTICAÇÃO
Seção I
Dos Critérios de Seleção
Art. 3º Os Órgãos integrantes do Poder Judiciário brasileiro deverão considerar os seguintes critérios na seleção dos métodos de MFA:
I - Compatibilidade: escolha de métodos de MFA que se integrem de maneira eficiente com a infraestrutura tecnológica existente;
II - Usabilidade: priorização de soluções que ofereçam facilidade de uso para promover ampla adoção pelos usuários; e
III - Segurança: avaliação rigorosa do nível de segurança fornecido por cada método de MFA, visando proteção efetiva contra ameaças cibernéticas.
Seção II
Mecanismos de Revisão e Atualização do Múltiplo Fator de Autenticação (MFA)
Art. 4º Determinar aos órgãos do Poder Judiciário brasileiro que desenvolvam e implementem mecanismos eficientes de monitoramento para avaliar, de forma contínua, a eficácia das medidas de MFA adotadas. Este monitoramento deverá incluir a análise de tentativas de acesso, a taxa de sucesso de autenticações MFA e a detecção de padrões anormais que possam indicar tentativas de violação.
Parágrafo único. Caso o método de MFA implementado seja considerado insuficiente em termos de eficácia, eficiência, segurança ou usabilidade, o órgão deverá tomar as medidas necessárias para sua revisão ou substituição, podendo incluir a avaliação de novas tecnologias de autenticação e a implementação de soluções mais robustas e adaptáveis às necessidades atuais e futuras.
Art. 5º Determinar aos órgãos que adotem processo de revisão regular, pelo menos anualmente, para identificar necessidades de aprimoramento tecnológico ou ajustes nas políticas de MFA. Este processo considerará as evoluções tecnológicas, as novas ameaças de segurança cibernética e as melhores práticas de segurança recomendadas por entidades nacionais e internacionais de segurança da informação.
Parágrafo único. Todas as revisões, atualizações e substituições de soluções MFA deverão ser devidamente documentadas, incluindo justificativa para as mudanças, impactos esperados e orientações para implementação. As atualizações serão comunicadas a todos os usuários afetados de forma clara e acessível, garantindo a compreensão e a adoção das novas medidas.
Seção III
Capacitação e Compartilhamento
Art. 6º Determinar aos órgãos do Poder Judiciário brasileiro que desenvolvam ações periódicas de capacitação e conscientização de seus usuários, internos e externos, destinadas a garantir uso seguro e eficaz do MFA.
Parágrafo único. A periodicidade das ações de que trata o caput deste artigo será definida pelo órgão e informado anualmente ao Conselho Nacional de Justiça.
CAPÍTULO III
DAS DISPOSIÇÕES FINAIS
Art. 7º É responsabilidade do Comitê Gestor de Segurança da Informação do Poder Judiciário realizar o monitoramento da implementação do múltiplo fator de autenticação nos órgãos do Poder Judiciário, propondo as adaptações necessárias e compartilhando melhores práticas.
Art. 8º Fixar o prazo de 90 (noventa) dias para implementação do múltiplo fator de autenticação (MFA), nos termos desta Portaria.
Art. 9º Esta Portaria entre em vigor na data de sua publicação.
Ministro Luís Roberto Barroso