PORTARIA NORMATIVA Nº 159, DE 12 DE DEZEMBRO DE 2025

A PRESIDÊNCIA DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE - TRE/SE, no uso de suas atribuições legais e regimentais, tendo em vista o disposto no art. 28, XXXIII do Regimento Interno (Resolução TRE/SE nº 187, de 29 de novembro de 2016),

CONSIDERANDO o ODS 16 da Agenda 2030, da ONU, que visa a promover sociedades pacíficas e inclusivas para o desenvolvimento sustentável, proporcionar o acesso à justiça para todos e construir instituições eficazes, responsáveis e inclusivas em todos os níveis;

CONSIDERANDO a Resolução CNJ n.º 396, de 24 de setembro de 2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n.º 23.644, de 1º de julho de 2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral e a Portaria DG/TSE n.º 444, de 8 de julho de 2021, que dispõe sobre a instituição da norma de termos e definições relativas à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls e nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002; e

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Sergipe,

RESOLVE:

CAPÍTULO I

Das Disposições Preliminares

Art. 1º Esta Portaria aprova a revisão da Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados, a qual estabelece diretrizes, responsabilidades e competências destinadas a garantir a segurança, proteção e disponibilidade dos dados digitais sob a responsabilidade da Secretaria de Tecnologia da Informação e Comunicação (STI). Esses dados são essenciais para assegurar a continuidade das atividades do Tribunal Regional Eleitoral de Sergipe.

Parágrafo único. Esta Política deve estar alinhada com a Política de Segurança da Informação e com a gestão de continuidade de negócios do Tribunal Regional Eleitoral de Sergipe.

Art. 2º A Seção de Suporte Operacional (SESOP), vinculada à Coordenadoria de Infraestrutura (COINF), será a unidade responsável por estruturar e implementar, por meio do Plano de Gerenciamento de Backup e Restauração de Dados, a Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados.

Art. 3º As informações do Tribunal Regional Eleitoral de Sergipe, incluindo dados pessoais, biográficos, biométricos e corporativos, devem ser protegidas por meio de rotinas sistemáticas de backup.

Parágrafo único. Não estão cobertos por esta norma os dados armazenados localmente em microcomputadores, notebooks, dispositivos móveis ou outros dispositivos de uso individual utilizados para atividades laborais no Tribunal.

Art. 4º A salvaguarda e a recuperação dos dados de sistemas de informação custodiados por outras entidades, públicas ou privadas, utilizados pelo TRE-SE, deverão estar estabelecidas em cláusulas contratuais.

CAPÍTULO II

Das Definições

Art. 5º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE n.º 444/2021, além dos seguintes:

I - backup ou cópia de segurança: conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação;

II - backup completo: modalidade de backup em que todos os dados a serem salvaguardados são copiados integralmente (cópia de segurança completa) para uma unidade de armazenamento, independentemente de terem sido ou não alterados desde o último backup;

III - backup diferencial: modalidade de backup em que são salvaguardados apenas dados novos ou modificados desde o último backup completo efetuado;

IV - backup incremental: modalidade de backup em que são salvaguardados apenas os dados novos ou modificados desde o último backup de qualquer modalidade efetuado;

V - criticidade: grau de importância dos dados para a continuidade das atividades e serviços da organização;

VI - descarte: eliminação correta dos dados, unidades de armazenamento e acervos digitais;

VII - plano de gerenciamento de backup e restauração de dados: documento formal no qual são definidos os responsáveis pela cópia dos dados, o que será armazenado, periodicidade de execução da cópia e tempo de retenção, de acordo com as orientações da norma complementar da Política de Segurança da Informação para gerenciamento de backup e restauração de dados;

VIII - restauração: processo de recuperação e disponibilização de dados salvaguardados em determinada imagem de backup;

IX - retenção: período de tempo pelo qual os dados devem ser salvaguardados e estar aptos à restauração;

X - janela de backup: período de tempo durante o qual, cópias de segurança sob execução agendada ou manual poderão ser executadas;

XI - rotina de backup: procedimento utilizado para se realizar um backup; e

XII - unidade de armazenamento de backup: dispositivo para armazenamento de dados em suporte digital com características específicas para retenção de cópia de segurança de dados digitais.

CAPÍTULO III

Dos Padrões Operacionais

SEÇÃO I

Dos Princípios Gerais

Art. 6º As rotinas de backup devem ser orientadas para a restauração dos dados no menor tempo possível, principalmente quando um incidente ocasionar indisponibilidade de serviços essenciais de TI.

Art. 7º As rotinas de backup devem possuir requisitos mínimos, diferenciados de acordo com o tipo de serviço de TI ou dado salvaguardado, dando prioridade aos serviços de TI críticos da organização.

Art. 8º As tecnologias utilizadas para a realização do backup devem cumprir os requisitos necessários para preservar a integridade, a confidencialidade, a disponibilidade e a irretratabilidade das informações.

Art. 9º Os dados abarcados por esta norma deverão ser definidos em um Plano de Gerenciamento de Backup e Restauração de Dados, a ser estabelecido pela área técnica responsável, refletindo os requisitos de negócio da organização, bem como os requisitos de segurança da informação envolvidos.

§ 1º O Plano de Gerenciamento de Backup e Restauração de Dados deve ser aprovado pelo Comitê Gestor de Segurança da Informação.

§ 2º O Plano de Gerenciamento de Backup e Restauração de Dados possui informações restritas, devendo ser utilizado e preservado em local seguro pela Secretaria de Tecnologia da Informação e Comunicação.

Art. 10. A solicitação e validação de salvaguarda dos dados referentes aos serviços de TI devem ser realizada pelos gestores técnicos dos serviços de TI.

Art. 11. A infraestrutura de backup deve ficar em rede segregada, logicamente, protegida por firewall, não podendo utilizar os mesmos controladores de domínio do restante da  Infraestrutura e nem os dos usuários comuns, com acesso privilegiado protegido por cofre de senha.

Art. 12. O Plano de Gerenciamento de Backup e Restauração de Dados deve explicitar, no mínimo, os seguintes requisitos técnicos:

I - escopo (dados a serem salvaguardados/restaurados);

II - tipo (completo/total, incremental e diferencial);

III - frequência (diária, semanal, mensal e anual);

IV - tempo de retenção;

V - unidade de armazenamento;

VI - janela de backup;

VII - local de armazenamento das mídias; e

VIII - periodicidade de teste de restauração do backup.

Art. 13. A documentação do Plano de Gerenciamento de Backup e Restauração de Dados e das rotinas de backup deve ser armazenada em local seguro e com acesso restrito à área responsável pelo gerenciamento de backup.

Art. 14. Os backups devem ser armazenados de forma criptografada, considerando as melhores práticas de mercado e normas vigentes.

Art. 15. Deverão ser utilizadas soluções de backup e restauração de dados adequadas e especializadas, preferencialmente capazes de atuar de maneira automatizada.

SEÇÃO II

Dos Tipos, Frequência e Retenção dos Dados de Backups

Art. 16. Os backups devem ser realizados observando-se o tipo, a frequência e o tempo de retenção a serem definidos no Plano de Gerenciamento de Backup e Restauração de Dados.

§ 1º Poderão ser estabelecidos tipo, frequência e tempo de retenção diferenciados para cada serviço e/ou sistema de informação, de acordo com o nível de criticidade, desde que respeitados os padrões mínimos estabelecidos no Plano de Gerenciamento de Backup e Restauração de Dados.

§ 2º Os backups devem ser realizados utilizando-se os seguintes tipos:

I - completo/total;

II - incremental; e

III - diferencial.

§ 3º Os backups devem ser realizados utilizando-se as seguintes frequências temporais:

I - diária;

II - semanal;

III - mensal; e

IV - anual.

Art. 17. Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada.

SEÇÃO III

Do Uso da Rede

Art. 18. Deverá ser considerado, para a execução das rotinas de backup, o seu impacto sobre o desempenho da rede computacional, garantindo que o tráfego necessário para tal não cause degradação do tráfego ou a indisponibilidade dos demais sistemas e serviços de TI.

Parágrafo Único. O backup das informações armazenadas nos servidores da rede corporativa deve ser realizado em período de baixa utilização de seus recursos computacionais, preferencialmente fora do horário de expediente ordinário das unidades da Secretaria do Tribunal.

SEÇÃO IV

Das Unidades de Armazenamento de Backups

Art. 19. A escolha das unidades de armazenamento utilizadas na salvaguarda dos dados deverá atender às seguintes características dos dados resguardados:

I - a criticidade;

II - o tempo de retenção;

III - a probabilidade de necessidade de restauração;

IV - o tempo esperado para restauração;

V - o custo de aquisição da unidade de armazenamento de backup; e

VI - a vida útil da unidade de armazenamento de backup.

Art. 20. O backup, de acordo com sua criticidade, deve ser provido em 2 (duas) mídias distintas, com conteúdo idêntico, para armazenamento em 2 (dois) locais diferentes, observado o seguinte:

I - uma cópia de segurança deve ser armazenada de forma a permitir sua rápida localização e recuperação;

II - outra cópia de segurança deve ser armazenada em local externo à sede do Tribunal; e

III - ao menos uma cópia de segurança deve ser armazenada em uma localização que não seja endereçável de forma contínua por meio de chamadas do sistema operacional.

§ 1º Os locais de armazenamento das mídias da cópia de segurança devem ter mecanismos de segurança, considerando, minimamente, os seguintes elementos:

I - o acesso ao local deve ser restrito e monitorado;

II - o acesso ao local deve ser registrado em logs contendo minimamente a identificação do usuário e informações de data e hora de entrada e saída;

III - o local deve possuir controles de prevenção, detecção e combate a incêndio; e

IV - o local deve ser protegido contra interferências eletromagnéticas.

§ 2º Os locais externos de armazenamento da cópia de segurança devem possuir requisitos de segurança adequados e separados do ambiente de armazenagem da cópia principal, de forma que não permaneçam expostos aos mesmos riscos de desastres que a localidade de origem dos dados.

§ 3º A cópia de segurança referida no inciso II do caput pode ser armazenada em serviços de nuvem, desde que sejam criptografados e gerenciados pela mesma solução de backup, sendo observados, ainda, os cuidados de gerenciamento de acessos privilegiados e de bloqueio de redes de acesso.

Art. 21. Deverá ser identificada a viabilidade de utilização de diferentes tecnologias na realização dos backups, propondo a melhor solução para cada caso.

Art. 22. Poderão ser utilizadas técnicas de compressão de dados, contanto que o acréscimo no tempo de recuperação dos dados seja considerado aceitável.

SEÇÃO V

Do Descarte e da Substituição da Cópia de Segurança

Art. 23. O descarte e a substituição da mídia utilizada para geração da cópia de segurança devem respeitar o disposto na norma complementar específica da Política de Segurança da Informação que trata do Controle de Acesso Físico e Lógico relativos à Segurança das Informações.

Art. 24. Nos casos de substituição da solução de backup (hardware ou software), as informações contidas nas mídias da antiga solução devem ser transferidas, em sua totalidade, para mídias compatíveis com a nova solução.

Art. 25. Quando da necessidade de descarte de unidades de armazenamento de backups, tais recursos devem ser fisicamente destruídos de forma a inutilizá-los, atentando-se ao descarte sustentável e ambientalmente correto.

Parágrafo único. A solução de backup obsoleta somente poderá ser desativada após a certificação de que todas as informações foram transferidas para a nova solução implementada.

SEÇÃO VI

Dos Testes de Backup

Art. 26. Os backups devem ser testados periodicamente, ao menos trimestralmente, com o objetivo de garantir a sua confiabilidade e a integridade dos dados salvaguardados, utilizando-se uma amostra dos ativos corporativos dentro de um escopo.

Art. 27. Os testes de restauração dos backups devem ser realizados em ambiente logicamente isolado dos ambientes de produção, sendo que o quantitativo de testes deverá respeitar os recursos e limitações humanas e tecnológicas disponíveis.

Art. 28. A periodicidade, a abrangência, os procedimentos e as rotinas inerentes aos testes de backup devem ser devidamente registradas no Plano de Gerenciamento de Backup e Restauração de Dados.

CAPÍTULO IV

Das Responsabilidades

Art. 29. São atribuições dos responsáveis pela execução e gestão das rotinas de backup e restauração:

I - planejar os recursos necessários para implantar os requisitos desta norma e do Plano de Gerenciamento de Backup e Restauração de Dados;

II - elaborar e revisar o Plano de Gerenciamento de Backup e Restauração de Dados específico;

III - propor soluções de backup das informações produzidas ou custodiadas pelo Tribunal;

IV - providenciar a criação e manutenção dos backups;

V - configurar as soluções de backup;

VI - manter as unidades de armazenamento de backups identificadas, funcionais, preservadas e seguras;

VII - verificar periodicamente os eventos gerados pela solução de backup, tomando as providências necessárias para remediação de eventuais falhas;

VIII - gerenciar mensagens e registros de auditoria (logs) dos backups;

IX - tomar medidas preventivas para evitar falhas;

X - seguir rigorosamente os critérios estabelecidos pelos fabricantes, assegurando a validade e a qualidade das mídias utilizadas nos backups;

XI - reportar imediatamente os incidentes ou erros que causem indisponibilidade ou que impossibilitem a restauração dos backups;

XII - providenciar a execução dos testes de restauração; e

XIII - restaurar ou recuperar os backups em caso de necessidade.

CAPÍTULO V

Das Disposições Finais

Art. 30. Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria Normativa serão dirimidos pela Assessoria Técnica de Segurança Cibernética deste Tribunal.

Art. 31. Esta Portaria Normativa deverá ser revisada no prazo máximo de vinte e quatro meses.

Art. 32. Fica revogada a Portaria TRE-SE nº 1095/2023.

Art. 33. Esta Portaria Normativa entra em vigor na data de sua publicação e deverá estar integralmente implantada no prazo de 12 (doze) meses, abrangendo a elaboração do Plano de Gerenciamento de Backup e Restauração de Dados.

PUBLIQUE-SE.

DIÓGENES BARRETO

Presidente