Brasão

Tribunal Regional Eleitoral - SE

Secretaria Judiciária

Coordenadoria de Gestão da Informação

Seção de Legislação e Jurisprudência

PORTARIA N° 1.249, DE 15 DE DEZEMBRO DE 2023

Institui as regras e os procedimentos para Desenvolvimento Seguro de Software do Tribunal Regional Eleitoral de Sergipe.

A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso das atribuições que lhe são conferidas pelo art. 28, inciso XXXIV, do Regimento Interno (Resolução TRE-SE nº 187/2016),

CONSIDERANDO a Resolução CNJ nº 370 de 2020, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e a Resolução nº TSE 23.644 de 2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral,

RESOLVE:

Art. 1º Instituir as regras e os procedimentos para o Ciclo de Vida Seguro de Sistemas, incluso o Desenvolvimento Seguro de Software, em consonância com a Política de Segurança da Informação da Justiça Eleitoral.

Art. 2º Para os efeitos da Política de Segurança da Informação da Justiça Eleitoral e das normas a ela subordinadas, aplicam-se os termos e definições conceituados na Portaria TSE nº 444, de 8 de julho de 2021.

Capítulo I

DA ARQUITETURA E DOS PADRÕES DE DESENVOLVIMENTO DE SISTEMAS

Art. 3º Os sistemas devem ser desenvolvidos unicamente por meio de linguagens de codificação, bibliotecas, frameworks, ferramentas e demais soluções de desenvolvimento previamente aprovadas pela unidade responsável pelas definições de arquitetura de desenvolvimento de software da Secretaria de Tecnologia da Informação e Comunicação (STI).

Art. 4º Devem ser adotados repositórios padronizados de armazenamento de dados para o desenvolvimento de sistemas, que permitam minimamente:

I - o controle de versionamento de códigos-fonte e de toda a documentação associada, tais como histórias de usuário, protótipos, workflows, casos de testes, diagramas e relatórios; e

II - o versionamento de artefatos de desenvolvimento, tais como arquivos compilados, bibliotecas, contêineres, snapshots, pacotes de instalação, executáveis e binários.

§ 1º Os repositórios devem ser mantidos de forma centralizada em ambiente controlado, de modo a garantir a confidencialidade, a integridade e a disponibilidade dos códigos e artefatos neles armazenados.

§ 2º Devem ser mantidos acordos de confidencialidade para todos aqueles que necessitem acessar os códigos desenvolvidos ou sob custódia do Tribunal, mesmo que de forma temporária.

Art. 5º A criação e aprovação dos modelos de dados para o desenvolvimento dos sistemas, sob incumbência da unidade responsável pela modelagem de dados da STI, deve contemplar controles efetivos, estipulados em manual de procedimentos de segurança de modelo de dados, com intuito de conferir segurança na disponibilização e processamento dos dados.

Art. 6º Devem ser utilizados, nos casos previstos, recursos de criptografia no desenvolvimento e implantação de sistemas de informação para assegurar, entre outros:

I - a confidencialidade, integridade e a autenticidade de informações sensíveis ou críticas que se encontrem armazenadas em bases de dados ou sistemas de arquivo ou que sejam objeto de transmissão eletrônica; e

II - o não repúdio, como forma de comprovar a ocorrência de um evento ou ação e sua associação à entidade originária.

Art. 7º A identificação da necessidade da utilização de recursos criptográficos deverá ser resultado da análise dos requisitos de segurança da aplicação associada à análise de ameaças

Parágrafo único. A transmissão eletrônica de credenciais de acesso aos sistemas de informação deverá sempre ser realizada de forma criptografada.

Art. 8º A unidade responsável pela Gestão de Segurança Cibernética do Tribunal publicará Procedimento de Uso de Recursos Criptográficos indicando quais são os recursos de criptografia aprovados para utilização, contemplando, ao menos, algoritmos para criptografia simétrica, assimétrica e cálculo de resumos criptográficos (hashes).

Parágrafo único. O procedimento será revisado a cada dois anos, ou quando houver modificação relevante nas tecnologias de criptografia.

Art. 9º Devem ser estabelecidas arquiteturas de referência para as diferentes linguagens de desenvolvimento de sistemas, que incluam os controles mínimos de segurança aplicáveis.

Capítulo II

DOS AMBIENTES DE EXECUÇÃO DOS SISTEMAS

Art. 10. Os sistemas do Tribunal devem contar com ambientes de execução diferenciados para o desenvolvimento, homologação e produção dos sistemas.

Parágrafo único. Sistemas fornecidos por terceiros, com ou sem ônus para o Tribunal, deverão contar obrigatoriamente com os ambientes de homologação e produção.

Art. 11. Os ambientes de desenvolvimento e homologação devem reproduzir o mais fielmente possível o ambiente de produção, para fins de redução de vulnerabilidades de segurança, com exceção das características de dimensionamento dos ambientes.

Art. 12. Cabe exclusivamente à unidade responsável pela infraestrutura de TI da STI, o controle sobre o dimensionamento e o acesso aos ambientes de execução dos sistemas.

Art. 13. Os sistemas devem ser devidamente testados e homologados em seus ambientes de execução apropriados, antes da sua liberação para a produção, de acordo com o processo de liberação de sistemas definido pela STI.

Parágrafo único. A disponibilização de sistemas deve ser autorizada pela sua unidade gestora, em conjunto com a unidade responsável pela segurança cibernética.

Art. 14. A infraestrutura dos ambientes de execução dos sistemas deve conter mecanismos que garantam o acesso seguro, observando-se, no mínimo, os seguintes controles:

I - somente a unidade responsável pela infraestrutura dos ambientes de produção da STI deve possuir acesso direto aos ambientes de produção dos sistemas, exceto por determinação da STI, após análise e aprovação de justificativa fundamentada;

II - o acesso aos ambientes de desenvolvimento e homologação é permitido somente à equipe de infraestrutura e à equipe de desenvolvimento do sistema que esteja sendo construído ou testado;

III - somente as unidades responsáveis pela administração de sistemas de banco de dados e da administração dos dados poderão realizar a atualização de dados nos ambientes de produção; e

IV - a unidade responsável pela infraestrutura de TI da STI poderá, após análise da unidade de  segurança cibernética, conceder o direito de acesso remoto aos ambientes de desenvolvimento e homologação do sistema aos seus desenvolvedores ou interessados, desde que seja solicitado com as devidas justificativas.

Parágrafo único. Toda e qualquer concessão de permissões de acesso aos ambientes deve ser precedida de assinatura de acordos de confidencialidade.

Capítulo III

DO PROJETO DE SISTEMAS

Art. 15. A unidade responsável pela Gestão de Segurança Cibernética, com o apoio das unidades de desenvolvimento de sistemas, deve especificar requisitos mínimos de segurança relativos ao sistema a ser desenvolvido.

§ 1º Todos os requisitos e especificações devem ser analisados e revisados quanto ao aspecto da segurança da informação, antes e durante a codificação, de acordo com as definições de desenvolvimento seguro aprovadas para cada tecnologia de codificação empregada.

§ 2º A análise de segurança dos requisitos e especificações do sistema deve direcionar as ações de verificação e testes de segurança necessárias ao longo do processo de desenvolvimento do sistema.

Art. 16. Os sistemas sob responsabilidade do Tribunal, classificados como de criticidade alta, devem ser submetidos à análise de riscos da unidade responsável pela segurança cibernética, observado o disposto na Política de Gestão de Riscos do Tribunal, devendo também considerar:

I - o apetite ao risco do Tribunal;

II - o perfil de risco do Tribunal;

III - a realização de análise de ameaças; e

IV - a avaliação e revisão periódica dos riscos das aplicações.

Art. 17. Os sistemas desenvolvidos por terceiros por meio de demanda formalizada pelo Tribunal, bem como sua documentação e artefatos, devem ser submetidos à avaliação pela unidade responsável pela Gestão de Segurança Cibernética do Tribunal.

Capítulo IV

DA CODIFICAÇÃO DOS SISTEMAS

Art. 18. O processo de desenvolvimento de sistemas do Tribunal deve considerar os procedimentos para desenvolvimento seguro definidos conjuntamente pela coordenadoria de sistemas corporativos e pela unidade responsável pela segurança cibernética, de acordo com as tecnologias empregadas na codificação, com vistas à garantia da integridade, confidencialidade e disponibilidade dos sistemas e seus dados.

Parágrafo único. Os procedimentos para desenvolvimento seguro serão publicados por meio da unidade responsável pela Gestão de Segurança Cibernética do Tribunal, em guias especializados.

Art. 19. Os procedimentos de codificação segura dos sistemas devem considerar, no mínimo, os seguintes controles de segurança:

I - o desenvolvimento deve ser auxiliado por interfaces, ferramentas ou procedimentos que  garantam a codificação segura do sistema;

II - o sistema deve utilizar camada de persistência segura para acesso ao banco de dados, de modo a reduzir probabilidade de ataques contra a integridade, a confidencialidade e a disponibilidade dos dados;

III - os dados de entrada do sistema devem ser submetidos à validação ou sanitização, antes da sua inserção à base de dados;

IV - os dados de saída do sistema devem ser codificados de forma a garantir a integridade e a confidencialidade das informações, quando seus requisitos assim o requererem;

V - a ocorrência de exceções e erros na execução dos sistemas em ambiente de produção deve ser tratada com a apresentação de mensagens de erro na tela dos usuários que não apresentem códigos ou textos que revelem detalhes técnicos sobre os erros. Tais detalhes devem ser apresentados exclusivamente no registro do evento no log do sistema; e

VI - os sistemas não devem conter senhas, chaves de criptografia, credenciais ou informações pessoais como CPF, nome, e-mail, título de eleitor ou outros dados sensíveis diretamente escritos em seus códigos-fonte.

Capítulo V

DO AMBIENTE IMPLANTAÇÃO DE SOFTWARE

Art. 20. Todos os componentes e bibliotecas de terceiros utilizados no desenvolvimento de sistemas do Tribunal devem ser mantidos em repositório centralizado.

§ 1º Os componentes e bibliotecas de terceiros devem ser submetidos à verificação de vulnerabilidade periodicamente ou sempre que necessária sua avaliação, de preferência de forma automatizada.

§ 2º Nos casos em que o componente a ser verificado integra sistema classificado como de alta criticidade, a verificação deve incluir uma análise manual detalhada, para a garantia de uma maior eficácia na realização dos testes.

§ 3º O processo de desenvolvimento de sistemas deve considerar preferencialmente o uso de bibliotecas já existentes e disponíveis no repositório, com o intuito de se reduzir a ocorrência de possíveis riscos no uso de bibliotecas de terceiros que estejam vulneráveis a ataques.

Art. 21. Devem ser definidos e documentados procedimentos de implantação de software nos ambientes de desenvolvimento, homologação e produção.

§ 1º A definição do processo de implantação deve ser disponibilizada em um local centralizado e acessível a ferramentas e profissionais envolvidos com o processo de desenvolvimento.

§ 2º As ferramentas utilizadas no processo de implantação devem contar com manutenção ativa de seus fabricantes ou comunidades de desenvolvimento, devem ser configuradas segundo as boas práticas de segurança recomendadas e devem ser submetidas a um processo periódico de aplicação de correções de segurança para ela disponibilizadas como patches, hotfixes, entre outros métodos.

§ 3º Os procedimentos de implantação devem ser automatizados em todos os estágios, de forma a eliminar a possibilidade de erros em função de sua execução manual.

Art. 22. A realização de testes dinâmicos em aplicações e de testes de intrusão deverá ser feita observando-se a classificação dos sistemas, de acordo com procedimento definido pela unidade responsável pela segurança cibernética, observando-se também os critérios de grau de sigilo, de criticidade das informações tratadas e o processo de modelagem de ameaças adotado pelo Tribunal, contando com o apoio de ferramentas especializadas, e deve considerar os seguintes controles:

I - todas as falhas encontradas, bem como as correções e evidências do teste devem ser registradas de forma centralizada e reportadas às equipes responsáveis pelo projeto de desenvolvimento e correção;

II - deve ser realizada análise de riscos sobre as falhas encontradas e não corrigidas;

III - adicionalmente, na realização de verificação de segurança em aplicações críticas, devem ser realizados testes complementares envolvendo técnicas exploratórias sobre os controles de segurança da aplicação, como metodologia de autenticação,  criptografia utilizada, controle de acessos e outros controles de segurança.

Parágrafo único. Os testes citados no caput deste artigo serão executados por equipe técnica especialista em segurança de sistemas informatizados, quando se fizer necessária uma avaliação mais rigorosa em sistemas suspeitos de possuírem falhas de segurança.

Capítulo VI

DA GESTÃO DE IDENTIDADES, AUTENTICAÇÃO E CERTIFICAÇÃO DIGITAL

Art. 23. A autenticação de usuários nos sistemas do Tribunal deve ser realizada por meio de soluções de gestão de identidades e de autenticação padronizadas para o acesso dos usuários aos sistemas, não sendo permitido o armazenamento de quaisquer credenciais advindas de soluções de autenticação distintas das homologadas pela unidade responsável pelas definições de arquitetura de desenvolvimento de software da STI.

§ 1º As soluções de gestão de identidades e de autenticação devem prever a implementação de, pelo menos, um dos controles efetivos de segurança, tais como:

I - uso de duplo fator de autenticação (2FA);

II - suporte à utilização de certificação digital e tokens;

II - suporte à utilização de certificação digital e tokens;

III - funções de identificação de robôs, tais como captcha;

IV - gestão de políticas de senhas;

V - gestão de direitos de acesso; e

VI - registros das atividades (logs) de criação, modificação e exclusão de credenciais, bem como de autenticação.

§ 1º As funcionalidades de autorização de acesso dos usuários aos sistemas devem ser implementadas preferencialmente por meio de perfis de direitos de acesso, em oposição a direitos de acesso atribuídos de forma individual.

§ 2º Os sistemas que necessitem ser expostos para acesso externo ao Tribunal com obrigatória autenticação, devem possuir controles específicos de segurança no acesso que complementem o uso simples de credenciais baseadas em usuário e senha, tais como o uso obrigatório de duplo fator de autenticação ou o uso de certificação digital.

§ 3º A unidade responsável pela segurança cibernética publicará procedimento divulgando quais são as soluções de gestão de identidades e autenticação homologadas para utilização pelos sistemas e aplicações do Tribunal, indicando os cenários em que podem ser utilizadas.

§ 4º O procedimento de que trata o parágrafo anterior será revisado quando houver fato novo que exija sua revisão.

§ 5º As credenciais de acesso aos bancos de dados e aos sistemas devem possuir direitos de acesso mínimos necessários para suas funções.

Art. 24. Os sistemas expostos externamente ao Tribunal devem ser disponibilizados por meio de mecanismos que garantam a identidade do sistema, assim como a criptografia do tráfego de informações entre o ambiente do Tribunal e os clientes desses sistemas.

Parágrafo único. Quando utilizados certificados digitais, suas informações devem ser mantidas em repositório seguro controlado, de preferência por meio do uso de solução de gerenciamento centralizada, para fim de gestão de seus ciclos de vida.

Capítulo VII

DOS REGISTROS DE LOG DOS SISTEMAS

Art. 25. Os registros de logs dos sistemas devem ser armazenados por meio de solução centralizada e padronizada de gerenciamento de eventos.

Art. 26. Os projetos de desenvolvimento dos sistemas devem prever mecanismos para a geração e armazenamento dos logs, conforme definições da unidade responsável pela segurança cibernética do Tribunal, sendo necessário que o sistema mantenha uma base de logs local, a qual deve prever a sua replicação em base centralizada.

Art. 27. Os sistemas desenvolvidos pelo Tribunal devem gerar registros sobre sua utilização, com especificação de data e hora da ocorrência em milissegundos, tais como:

I - autenticação de usuários, com sucesso ou falha;

II - alteração de perfil do usuário;

III - erros e exceções sem tratamento nos sistemas;

IV - acesso a dados sensíveis para alteração;

V - acesso a dados sensíveis para leitura;

VI - negação de acesso às páginas ou funções;

VII - usuário autenticado executando a ação;

VIII - nome do servidor do sistema (se aplicável);

IX - IP (internet protocol) e número da porta de origem da máquina cliente do sistema (se aplicável);

X - tipo da ação; e

XI - tipo de erro.

Capítulo VIII

DO CICLO DE VIDA DOS SISTEMAS

Art. 28. Deve ser observado o procedimento para manutenção do ciclo de vida dos sistemas desenvolvidos ou de propriedade do Tribunal, envolvendo a inclusão de regras para o descarte, descontinuação e transição segura de sistemas e base de dados previstas na Política de Segurança da Informação.

§ 1º Para fins de transparência e obediência à norma de Gestão Documental e à Política de Preservação e Manutenção de Documentos Físicos e Eletrônico do Tribunal (Resolução TRE-SE 9/2021), o descarte deverá estar previsto na Tabela de Temporalidade, seguindo os trâmites internos de gestão documental para o descarte seguro dos dados e documentos, com registro no Sistema Eletrônico de Informações - SEI e publicação de edital de descarte no portal do Tribunal.

§ 2º Qualquer informação orgânica/arquivística armazenada em sistemas, bancos e bases de dados deverá ser avaliada e autorizada pela Comissão Permanente de Avaliação Documental (CPAD) antes do descarte, conforme a Resolução TRE-SE 9/2021.

Art. 29. O procedimento para manutenção do ciclo de vida dos sistemas deve considerar, no mínimo, os seguintes controles:

I - os Sistemas e suas Bases de Dados que foram substituídos ou legados devem ser retirados do ambiente de produção e preservados por meio de procedimento de armazenamento, de acordo com as regras definidas na Política de Backup e Restauração de Dados do Tribunal (Portaria TRE-SE 1047/2017), salvo por motivação legal ou por determinação da STI;

II - as bases de dados de sistemas legados que não mais realizem transações, porém necessitem disponibilizar os seus dados para consulta, devem preferencialmente ser disponibilizadas por meio de soluções de descoberta e disponibilização de dados;

III - os ambientes de desenvolvimento e homologação devem ser desativados quando não mais houver evolução no sistema, quando o sistema for retirado do ambiente de produção ou quando formalmente solicitado pelo gestor do sistema;

IV - as unidades gestoras dos sistemas devem informar à STI quando houver a necessidade de manutenção dos sistemas em produção.

Capítulo IX

DO INVENTÁRIO DE SISTEMAS

Art. 30. Todos os sistemas desenvolvidos internamente ou de propriedade do Tribunal devem ser claramente identificados e inventariados, contendo informações relevantes para o gerenciamento e manutenção da segurança dos dados institucionais.

Art. 31. Todas as informações sobre os ativos de sistema devem ser reunidas de forma integrada, preferencialmente por meio de base de gerência de ativos centralizada.

Art. 32. O detalhamento de informações no inventário sobre cada ativo de sistema deve contemplar, no mínimo e quando aplicável, os seguintes conjuntos de dados:

I - nome do sistema;

II - classificação do sistema;

III - versão atual do sistema;

IV - abrangência de uso;

V - unidade gestora responsável;

VI - unidade técnica responsável;

VII - data inicial de entrada em produção;

VIII - data de desativação;

IX - endereço de acesso ao sistema nos diversos ambientes (desenvolvimento, homologação e produção);

X - arquitetura de referência;

XI - linguagem de codificação utilizada;

XII - integrações com outros sistemas

XIII - bases de dados utilizadas; e

XIV - servidores e instâncias hospedeiras.

Parágrafo único. O gerenciamento dos ativos de sistemas deve considerar as Diretrizes para a Gestão de Vulnerabilidades nos Ativos de Informação no Tribunal (Portaria 916/2019).

Capítulo X

DISPOSIÇÕES FINAIS

Art. 33. Os casos omissos serão resolvidos pelo Comitê Gestor de Segurança da Informação (CGSI) deste Tribunal.

Art. 34. A revisão desta Portaria ocorrerá sempre que se fizer necessário ou conveniente para o Tribunal.

Art. 35. O descumprimento desta Portaria deve ser imediatamente informado à unidade responsável pela Gestão de Segurança Cibernética do Tribunal, registrado como incidente de segurança e comunicado ao CGSI para apuração e consequente adoção das providências cabíveis.

Art. 36. Esta Portaria entra em vigor na data de sua publicação e sua implementação se fará no prazo de 36 (trinta e seis) meses a contar desta data.

ELVIRA MARIA DE ALMEIDA SILVA

Presidente