DECRETO Nº 3555/2024, DE 30 DE DEZEMBRO DE 2024
"Cria no Âmbito do Município de Santa Maria da Serra a política de uso de Tecnologia de Informação, bem como normatiza os procedimentos e critérios para uso e segurança dos equipamentos de informática e banco de dados da Prefeitura Municipal".
JOSIAS ZANI NETO, Prefeito Municipal de Santa Maria da Serra, Estado de São Paulo, no exercício de suas atribuições legais e;
CONSIDERANDO a necessidade de disciplinar, padronizar e implementar procedimentos básicos quanto ao uso apropriado dos recursos de computação e redes, bem como a proteção, privacidade e segurança dos ativos, as condições de acesso, utilização, responsabilidades, uso apropriado, armazenamento e segurança dos recursos computacionais e banco de dados no âmbito da Administração Pública Municipal de Santa Maria da Serra;
CONSIDERANDO a necessidade de implementar as políticas de planejamento, execução e orientação normativa dos recursos tecnológicos da Informação no âmbito da Administração Pública Municipal;
CONSIDERANDO a Lei Municipal nº 1611/2024, que institui o Plano Diretor de Tecnologia da Informação;
CONSIDERANDO a Lei Municipal nº 1612/2024, que dispõe sobre instalação de tecnologia de filtragem de conteúdo;
D E C R E T A
Art. 1º - Este Decreto tem por finalidade normatizar as condições de acesso, utilização, responsabilidade, uso apropriado, armazenamento e segurança dos recursos computacionais e bancos de dados da Prefeitura Municipal de Santa Maria da Serra e, também, visa à proteção dos ativos de informação, baseada nos três pilares da integridade, confidencialidade e disponibilidade, de acordo com as Normas Brasileiras Sobre Segurança da Informação.
Art. 2º - Todos os recursos computacionais da Prefeitura de Santa Maria da Serra têm por finalidade única e exclusiva de servir aos usuários autorizados na realização de atividades profissionais e relacionados estritamente com os serviços de interesse da Administração, sendo expressamente vedado o uso para fins particulares.
Art. 3º - Para fins deste Decreto, considerar-se-ão as seguintes definições:
I. Recursos Computacionais: são todos os equipamentos, instalações, programas de computador e banco de dados, direta ou indiretamente administrados e operados pela Administração Municipal, para armazenar, processar, transmitir e disseminar informações de interesse da Prefeitura, entre eles:
a) computadores e terminais de qualquer espécie, incluindo acessórios;
b) impressoras e scanners de qualquer espécie;
c) servidores de ativos, de impressão, de correio eletrônico e Web;
d) modems, roteadores, hubs/switchs e afins;
e) sistemas operacionais e aplicativos;
f) sistemas da intranet, internet e correio eletrônico;
g) softwares adquiridos ou desenvolvidos pela Administração Municipal;
h) banco de dados ou documentos residentes em discos, fitas e outros meios;
i) salas de computadores, laboratórios, escritórios e mobiliários específicos;
j) site ou homepage da Prefeitura de Santa Maria da Serra;
k) manuais técnicos;
l) redes lan, wireless e afins.
II. Material de Consumo em Informática: materiais utilizados, direta ou indiretamente, para armazenar, processar, transmitir e disseminar informações nas áreas de informática, tais como: formulários contínuos, discos, pendrives, tonner e fotocondutores para impressora, CD-R/W, DVD-R/W, entre outros.
III. Usuário Autorizado: é toda pessoa física ou jurídica que se utiliza de quaisquer recursos computacionais da Prefeitura de Santa Maria da Serra, de forma autorizada, podendo ser membro (servidor do quadro permanente ou temporário, comissionado ou à disposição), estagiário ou prestadores de serviços.
Art. 4º - Dos direitos dos usuários autorizados:
I. Fazer uso dos recursos computacionais da Administração para a realização de atividades profissionais relacionadas aos serviços de interesse da Prefeitura.
II. Ter conta de acesso à rede de computadores e aplicativos mediante a liberação da senha.
III. Ter conta de acesso ao correio eletrônico mediante liberação de senha pelo setor responsável, quando for o caso.
IV. Acessar a intranet e a internet, respeitando as políticas de filtragem de conteúdo.
V. Ter privacidade das informações na sua área de armazenamento.
VI. Solicitar suporte técnico quando necessário.
VII. Receber treinamento periódico sobre segurança da informação.
VIII. Ter acesso às políticas e normas de segurança da informação.
Art. 5º - Das obrigações dos usuários autorizados:
I. Zelar pela integridade e segurança dos equipamentos e pelas informações processadas e armazenadas nos recursos computacionais sob sua responsabilidade e uso.
II. Utilizar os recursos computacionais exclusivamente para os serviços da Administração.
III. Zelar pelo sigilo e segurança de sua senha de acesso à rede e aplicativos, que é de uso individual e intransferível, não podendo ser compartilhada com terceiros.
IV. Manter sigilo, integridade, segurança e disponibilidade de todos os dados que tiverem acesso.
V. Controlar o acesso físico aos equipamentos sob sua responsabilidade.
VI. Fazer uso racional de matéria de consumo e expediente da Administração, combatendo desperdícios em todas as suas formas.
VII. Respeitar e seguir as normas e procedimentos definidos pela Administração Municipal.
VIII. Participar dos treinamentos de segurança da informação quando convocado.
IX. Realizar troca de senha a cada 90 dias.
X. Utilizar senhas com no mínimo 8 caracteres, contendo letras maiúsculas, minúsculas, números e caracteres especiais.
XI. Comunicar imediatamente ao setor de TI qualquer violação de segurança ou incidente detectado.
Art. 6º - Fica expressamente proibido aos usuários:
I. Utilizar os recursos computacionais e materiais de consumo da Administração Municipal para trabalhos particulares ou organizações que não tenham relação com a Prefeitura.
II. Remover, transferir, emprestar, modificar ou proceder qualquer alteração na característica físicas ou técnicas dos equipamentos, sem a prévia autorização do setor responsável.
III. Compartilhar com terceiros sua conta de acesso à rede, senha e outros tipos de modernização de uso individual e intransferível.
IV. Executar ou configurar os recursos computacionais com a intenção de facilitar o acesso a usuários não autorizados.
V. Criar ou propagar vírus, danificar equipamentos, serviços e arquivos.
VI. Obter acesso não autorizado aos sistemas.
VII. Copiar, transferir ou emprestar software para finalidade ou pessoa estranha aos serviços da Prefeitura.
VIII. Destruir ou estragar intencionalmente equipamentos, software ou dados pertencente à Prefeitura.
IX. Violar os sistemas de segurança dos recursos computacionais como identificação de usuários, senhas de acesso, fechaduras automáticas ou sistemas antivírus.
X. Usar, instalar, executar, copiar ou armazenar aplicativos, programas ou qualquer outro material que não estejam devidamente autorizados pela Administração Municipal.
XI. Usar a internet para a exibição, veiculação ou armazenamento voluntário de páginas com conteúdo pornográfico, eróticos, comercial, político partidário, ofensivo ao decoro pessoal e ao princípio de urbanidade e que provoquem sobrecarga no sistema.
XII. Utilizar o correio eletrônico para uso particular ou para distribuição voluntária de mensagens não desejadas como correntes de cartas, circulares, manifestos políticos e de conteúdo pornográfico ou erótico, bem como as que sejam ofensivas à honra e a dignidade da Administração, autoridades e pessoas.
XIII. Remover, copiar, emprestar, ceder ou divulgar documento confidencial e sigiloso, bem como lista de endereços de usuários e informações de banco dados de propriedade da Administração.
XIV. Utilizar os recursos computacionais para constranger, assediar, ofender, caluniar ou ameaçar qualquer pessoa ou instituição.
Art. 7º - A autorização para utilizar os recursos computacionais da Administração é facultada ao servidor do quadro permanente ou temporário, comissionado ou à disposição, estagiário ou prestador de serviço, mediante a autorização da Administração Municipal e assinatura do Termo de Responsabilidade, conforme disposto no Anexo I deste Decreto, no qual declara conhecer e cumprir as normas vigentes.
Art. 8º - Todos os usuários autorizados e servidores, tem o dever de denunciar ao seu Diretor de Departamento, qualquer tentativa de acesso não autorizado, uso indevido ou qualquer ocorrência que evidencie desrespeito a este Decreto, devendo tomar imediatamente as providências necessárias que estiverem ao seu alcance, para garantir a segurança, integridade, confidencialidade, disponibilidade e conservação dos recursos computacionais da Administração.
Art. 9º - Das políticas específicas de segurança:
I. Backup:
a) Backup completo semanal de todos os dados críticos
b) Backup incremental diário
c) Teste de restauração mensal obrigatório
d) Armazenamento dos backups em local seguro e externo
e) Registro e documentação de todos os procedimentos de backup
f) Retenção mínima de 5 anos para dados críticos
II. Atualizações e Manutenção:
a) Sistemas operacionais: atualização mensal obrigatória
b) Antivírus: atualização diária automática
c) Aplicativos: conforme disponibilidade do fornecedor
d) Manutenção preventiva trimestral dos equipamentos
e) Inventário semestral de hardware e software
f) Documentação de todas as alterações realizadas
III. Gestão de Incidentes:
a) Registro formal de todas as ocorrências em sistema próprio
b) Análise de impacto documentada
c) Plano de ação com prazos e responsáveis
d) Relatório de resolução com medidas preventivas
e) Comunicação aos usuários afetados
f) Revisão periódica dos incidentes para melhoria contínua
IV. Proteção de Dados Pessoais (LGPD):
a) Inventário atualizado de dados pessoais tratados
b) Avaliação de impacto à proteção de dados
c) Registro de todas as operações de tratamento
d) Procedimentos documentados para exercício de direitos dos titulares
e) Termo de confidencialidade para todos os usuários
f) Política de retenção e descarte seguro de dados
V. Controle de Acesso:
a) Revisão semestral de todas as contas de usuário
b) Bloqueio automático após 3 tentativas de senha incorreta
c) Desativação imediata de contas de ex-funcionários
d) Registro de todos os acessos aos sistemas críticos
e) Política de mesa limpa e tela limpa
f) Dupla autenticação para sistemas críticos
VI. Segurança de Rede:
a) Firewall configurado e atualizado
b) Segregação de redes por departamento
c) VPN para acesso remoto
d) Monitoramento contínuo do tráfego
e) Bloqueio de portas e serviços não utilizados
f) Registro de tentativas de invasão
Art. 10 - Do Comitê de Segurança da Informação:
I. Composição:
a) Responsável pelo Setor de T.I
b) Representante do Departamento Jurídico
c) Representante do Departamento de Administração
d) Responsável pela Segurança da Informação
II. Atribuições:
a) Revisar periodicamente as políticas de segurança
b) Avaliar incidentes graves
c) Aprovar normas e procedimentos
d) Deliberar sobre casos omissos
e) Propor melhorias na segurança
Art. 11 - Das Auditorias:
I. Realização de auditoria interna semestral
II. Auditoria externa anual
III. Testes de penetração anuais
IV. Avaliação de conformidade com normas e legislação
Art. 12 - A violação das normas descritas neste Decreto, constitui infração disciplinar, portanto, serão aplicados, no que couber, os dispositivos da Consolidação das Leis do Trabalho (CLT), e demais normas aplicáveis.
Parágrafo Único - Da decisão final tomada com base neste artigo, caberá recurso ao Prefeito.
Art. 13 - Fica aprovado o Plano de Continuidade de Serviços de Tecnologia da Informação e Comunicação, anexo II deste Decreto, que estabelece as estratégias e procedimentos para garantir a continuidade dos serviços essenciais de TI em casos de interrupção ou desastre.
§ 1º O Plano de Continuidade deverá ser revisado anualmente pelo Comitê de Segurança da Informação.
§ 2º As revisões e atualizações do Plano de Continuidade deverão ser aprovadas pelo Prefeito Municipal mediante decreto.
Art. 14 - Este Decreto entra em vigor na data de sua publicação.
Art. 15 - Revogam-se as disposições em contrário.
Paço Municipal Irineo Zani, 30 de Dezembro de 2024.
JOSIAS ZANI NETO
Prefeito Municipal
Publicada e registrada em livro próprio da Secretaria da Prefeitura do Município de Santa Maria da Serra, Estado de São Paulo e afixada no quadro de publicações instalado no átrio desta Municipalidade, aos trinta dias do mês de dezembro do ano de dois mil e vinte e quatro 30/12/2024).
ARIANNE VOLTARELLI FERRARI
Resp. p/ Exp. da Secretaria Administrativa
ANEXO I
PREFEITURA MUNICIPAL DE SANTA MARIA DA SERRA/SP |
TERMO DE RESPONSABILIDADE PARA USO DE RECURSOS DE TI |
IDENTIFICAÇÃO DO USUÁRIO
| 1. NOME DO USUÁRIO |
2. CPF |
| 3. DOCUMENTO DE IDENTIFICAÇÃO |
| 4. SETOR/DEPARTAMENTO NO QUAL TRABALHA/PRESTA SERVIÇO |
5. ENDEREÇO |
| 6. EQUIPAMENTO (MAQUINA MODELO / PATRIMÔNIO/RECURSOS) |
7. TELEFONE |
| |
|
|
DECLARAÇÃO DE COMPROMISSO
8.
Em consonância com o disposto no Decreto nº 3555/2024, de 30/12/2024, que Cria no Âmbito do Município de Santa Maria da Serra a política de uso de Tecnologia de Informação, bem como normatiza os procedimentos e critérios para uso e segurança dos equipamentos de informática e banco de dados da Prefeitura Municipal, declaro estar ciente de que o uso indevido ou fraudulento de quaisquer recursos de TI disponibilizados (acesso à rede de computadores, Internet e Intranet (Portal), conta de correio eletrônico e demais recursos de TI) ou para outro fim que não seja estritamente no interesse das atividades da Prefeitura Municipal de Santa Maria da Serra/SP, ensejará apuração de responsabilidade, cabendo a quem imputada a culpa as penalidades administrativas porventura cabíveis.
Responsabilizo-me a indenizar e assumir os danos que venham a ser causados ao Erário, nos termos da lei, pelo uso indevido dos recursos de TI, inclusive por qualquer reclamação de calúnia, difamação, violação de direitos de reserva e infração de propriedade intelectual ou outros direitos, arcando com todos os ônus decorrentes (obrigações, perdas, custos, despesas, honorários advocatícios).
Declaro, ainda, estar ciente de que a Prefeitura Municipal de Santa Maria da Serra/SP:
- se resguarda o direito de rescindir o acesso a recursos de TI, a qualquer momento e sem prévia comunicação, com o que, desde já, manifesto minha concordância;
poderá introduzir modificações nas orientações normativas da Prefeitura Municipal de Santa Maria da Serra/SP sobre o uso de recursos de TI, por meio de comunicação escrita ou eletrônica, as quais dou por recebidas, certas e aceitas, quando do acesso a qualquer recurso de TI.
Na qualidade de titular de uma conta individual para acesso aos recursos de TI da Prefeitura Municipal de Santa Maria da Serra/SP, declaro, também, estar ciente das normas estabelecidas pela Prefeitura e comprometo-me a cumpri-las, sujeitando-me às ações disciplinares da Prefeitura Municipal de Santa Maria da Serra/SP e às penalidades previstas em lei.
Santa Maria da Serra - SP, de - - de .
APROVAÇÃO
| 9. USUÁRIO |
10. SUPERIOR IMEDIATO |
11. DATA DO RECEBIMENTO:
________DE________________DE ____________ |
12. OBSERVAÇÕES |
ANEXO II
PLANO DE CONTINUIDADE DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
1. APRESENTAÇÃO
Falhas nos serviços de TI causam impactos diretos na prestação de serviços públicos à população de Santa Maria da Serra, além de prejuízos operacionais e financeiros devido à dependência dos recursos tecnológicos em cada atividade realizada pela Prefeitura por meio das unidades administrativas distribuídas no município.
2. OBJETIVO
O Plano de Continuidade de TI é um documento que descreve as estratégias necessárias à continuidade dos serviços essenciais de TI definidos como críticos para o planejamento dos planos de contingência, de continuidade e de recuperação, garantindo a continuidade das operações em casos de interrupção ou desastre.
3. SERVIÇOS ESSENCIAIS
Os seguintes serviços, por ordem de prioridade, são considerados necessários para ativar e executar este Plano de Continuidade:
Servidor Dados Local
Criticidade: Alta
RPO: 24h
RTO: 12h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Médio
Impacto Operacional: Alto
Servidor Sistemas Nuvem
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Alto
Link Principal
Criticidade: Alta
RPO: 8h
RTO: 4h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Alto
Sistema Tributário
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Alto
Nota Fiscal Eletrônica
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Alto
Sistema Contábil
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Alto
Impacto Legal: Médio
Impacto Imagem: Médio
Impacto Operacional: Alto
Portal de Transparência
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Médio
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Médio
Sistema de Saúde (e-SUS)
Criticidade: Alta
RPO: 12h
RTO: 6h
Impacto Financeiro: Alto
Impacto Legal: Alto
Impacto Imagem: Alto
Impacto Operacional: Alto
RPO (Recovery Point Objective): Limite aceitável de perda de dados
RTO (Recovery Time Objective): Tempo máximo para restauração do serviço
4. PRINCIPAIS AMEAÇAS
O plano deve ser acionado quando da ocorrência de um cenário de desastre que coloque em risco a continuidade dos serviços essenciais:
Interrupção Energia Elétrica
- Falha externa à rede elétrica municipal (>1h)
- Falha interna (curto-circuito, incêndio)
Falha Climatização Sala Servidor
- Superaquecimento dos equipamentos
- Falha no sistema de refrigeração
Falha Humana
- Acidentes operacionais
- Erros de configuração
Falha Hardware
- Necessidade de substituição de peças
- Defeitos em equipamentos críticos
Desastres Naturais
- Tempestades, alagamentos, casos fortuitos
Ataques Cibernéticos
- Invasões, ransomware, negação de serviço
Indisponibilidade de Rede
- Rompimento de fibra óptica
- Falha em equipamentos de rede
5. PAPÉIS E RESPONSABILIDADES
Comitê de Desastres
- Composto pelo Departamento de Administração e empresa contratada de TI
- Responsável por avaliar e acionar o plano
- Coordena comunicação durante o desastre
- Interface com funcionários, munícipes e fornecedores
Equipe Técnica
- Responsável pela infraestrutura física e lógica
- Avalia danos e provê conectividade
- Garante funcionamento dos servidores e aplicações
- Valida desempenho dos sistemas
- Executa procedimentos de recuperação
6. ESTRATÉGIAS DE CONTINUIDADE
6.1 Backup
- Backup completo (full) semanal
- Backups incrementais diários
- Snapshots para sistemas críticos
- Armazenamento em local seguro e remoto
6.2 Redundância
- Links de internet redundantes
- Servidores com configuração RAID
- Sistemas críticos em nuvem e local
- No-break e gerador para infraestrutura crítica
6.3 Plano de Continuidade Operacional
1. Identificação do desastre
2. Avaliação de impacto
3. Acionamento da equipe técnica
4. Execução de procedimentos de contingência
5. Comunicação aos envolvidos
6. Monitoramento da recuperação
6.4 Plano de Recuperação
1. Avaliação de danos
2. Acionamento de fornecedores
3. Recuperação de dados do backup
4. Reconfiguração de sistemas
5. Testes de funcionamento
6. Retorno à operação normal
7. PROCESSO DE REVISÃO
O plano deverá ser revisado anualmente ou quando houver:
- Mudanças significativas na infraestrutura
- Novos sistemas críticos
- Alterações nos processos de negócio
- Resultados de testes de recuperação
- Lições aprendidas de incidentes
8. FATORES CRÍTICOS DE SUCESSO
a) Apoio da alta administração
b) Recursos orçamentários adequados
c) Equipe técnica capacitada
d) Processos documentados
e) Testes periódicos do plano
f) Contratos de suporte adequados
g) Infraestrutura atualizada
Documento elaborado em conformidade com o PDTI 2025-2028 e Lei Municipal nº 1611/2024.
