A PRESIDENTE EM EXERCÍCIO DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso de suas atribuições legais e regimentais, tendo em vista o disposto no artigo 28, XXXIII, do Regimento Interno (Resolução TRE/SE nº 187, de 29 de novembro de 2016),

CONSIDERANDO o ODS 16 da Agenda 2030, da ONU, que visa a promover sociedades pacíficas e inclusivas para o desenvolvimento sustentável, proporcionar o acesso à justiça para todos e construir instituições eficazes, responsáveis e inclusivas em todos os níveis;

CONSIDERANDO a necessidade de estabelecer diretrizes e padrões para garantir que os requisitos de segurança da informação sejam alcançados no descarte e doações de equipamentos e mídias de armazenamento;

CONSIDERANDO a Resolução TSE n.º 23.644, de 1º de julho de 2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral e a Portaria DG/TSE n.º 444, de 8 de julho de 2021, que dispõe sobre a instituição da norma de termos e definições relativas à Política de Segurança da Informação do Tribunal Superior Eleitoral e as boas práticas em segurança da informação previstas no modelo CIS Controls e nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO o disposto no Plano de Logística Sustentável (PLS) do TRE-SE - ciclo 2022-2026, que exige a adequada gestão dos resíduos sólidos gerados, com incentivo da sua redução, reutilização e reciclagem através da coleta seletiva, bem como a gestão sustentável de documentos e materiais, instituído em obediência à Resolução CNJ nº 400, de 16 de junho de 2021; e

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD) e que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Sergipe,

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria Normativa estabelece procedimentos para o processo de preparação de mídias magnéticas, óticas ou de estado sólido de armazenamento de dados (fitas de backup, discos rígidos, pendrives, discos SSDs, cartões de memória, CDs e assemelhados) e dispositivos que armazenam dados sensíveis (computadores, notebooks, servidores, storages, impressoras, dispositivos móveis, dentre outros) visando o descarte seguro, a substituição em virtude de garantia ou a doação de equipamentos, no âmbito da Justiça Eleitoral de Sergipe.

Parágrafo único. Este procedimento tem como objetivo prevenir a divulgação não autorizada de informações corporativas sensíveis ou sigilosas contidas em mídias de armazenamento de dados ou dispositivos tecnológicos que armazenam dados sensíveis.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 2º Para os efeitos desta instrução normativa aplicam-se as seguintes definições:

I - Mídia magnética: dispositivo em que o meio de armazenamento é composto por uma superfície magnética, tais como Discos Rígidos (Hds), cartões magnéticos e fitas magnéticas;

II - Mídia óptica: são meios de armazenamento de dados que utilizam meios ópticos para escrita e leitura das informações. São exemplos: CDs, DVDs e discos Blu-ray;

III - Mídia de estado sólido: são meios de armazenamento de dados que utilizam memória flash ou circuitos integrados. São exemplos: SSDs, pendrives, cartões de memória utilizados em máquinas fotográficas, tablets e smartphones;

IV - Dispositivos de TIC (Tecnologias da Informação e Comunicação): são equipamentos de hardware, componentes eletrônicos e sistemas que permitem a coleta, processamento, armazenamento, transmissão e exibição de informações de forma digital. Eles integram tecnologias de computação e telecomunicações para facilitar a comunicação e automação de processos;

V - Sanitização de mídia: é o processo usado para garantir que dados que foram apagados não possam ser recuperados. Exemplos: desmagnetização, sobrescrita, destruição física;

VI - Desmagnetização: técnica irreversível em que uma mídia magnética é exposta a um campo eletromagnético muito forte capaz de alterar sua estrutura natural e com isso destruir a informação armazenada;

VII - Sobrescrita: técnica em que são gravadas sequências de zeros (0) e uns (1) de forma repetitiva em todo o disco;

VIII - Destruição física: técnica pela qual a mídia de armazenamento é destruída e, por conseguinte, todas as informações nela contidas. Existem várias formas para a destruição física, tais como: incineração, esmagamento, trituração e derretimento;

IX - Dados Sensíveis: dados de caráter sigiloso ou confidencial para o órgão, além daqueles definidos pela LGPD - Lei Geral de Proteção de Dados; e

X - Apagamento criptográfico: é um método de higienização de dados que torna informações armazenadas irrecuperáveis ao eliminar a chave de criptografia usada para protegê-las, em vez de sobrescrever cada dado. Sem a chave, os dados permanecem no dispositivo, mas tornam-se ilegíveis e impossíveis de descriptografar.

CAPÍTULO III

DO PROCESSO DE LIMPEZA

Art. 3º As disposições deste normativo aplicam-se a todas as mídias e dispositivos capazes de armazenar dados ou informações produzidas, recebidas, custodiadas, utilizadas ou tratadas pelo Tribunal, independentemente da classificação da informação.

Art. 4º Antes da reutilização, remanejamento, cessão, doação, alienação, devolução, substituição em garantia, envio para manutenção externa, descarte, baixa patrimonial ou qualquer forma de saída do controle do Tribunal, as mídias e equipamentos de armazenamento deverão ser submetidos a sanitização, apagamento criptográfico ou destruição física, de modo a tornar irrecuperáveis as informações originais. Sempre que aplicável, a destinação dos materias de forma ambientalmente adequada deve ser observada.

§ 1º A escolha do método deverá considerar o tipo de ativo, a tecnologia empregada, a classificação da informação, a destinação do ativo e a possibilidade de comprovação do resultado.

§ 2º Discos rígidos magnéticos poderão ser submetidos a sobrescrita segura, desmagnetização ou destruição física, conforme o caso.

§ 3º SSDs, pendrives, cartões de memória e demais mídias flash deverão ser submetidos a procedimento compatível com sua tecnologia, como secure erase, apagamento criptográfico ou destruição física, não sendo suficiente a sobrescrita simples quando não houver garantia de eliminação integral dos dados.

§ 4º CDs, DVDs, Blu-rays, fitas magnéticas e demais mídias não reutilizáveis deverão ser destruídos fisicamente ou desmagnetizados.

§ 5º Impressoras, multifuncionais, scanners, equipamentos de rede, dispositivos móveis, appliances e demais equipamentos com memória interna deverão ter removidos dados, logs, configurações, credenciais, certificados, chaves criptográficas, filas de impressão e demais informações residuais.

§ 6º Mídias com falha, inacessíveis ou cujo procedimento de sanitização não possa ser confirmado deverão ser destruídas fisicamente, salvo método mais seguro e tecnicamente justificado.

Art. 5º A sanitização deverá ser precedida de avaliação quanto à necessidade de preservação, migração, arquivamento ou retenção dos dados, conforme normas de gestão documental, tabela de temporalidade, legislação eleitoral, Lei de Acesso à Informação, Lei Geral de Proteção de Dados Pessoais e demais normas aplicáveis.

Art. 6º Todo procedimento de sanitização, apagamento criptográfico, desmagnetização ou destruição física deverá ser registrado em termo próprio, chamado técnico, processo administrativo ou sistema de gestão de ativos, contendo identificação do equipamento, número de patrimônio, número de série, tipo de mídia, método utilizado, responsável pela execução, data, resultado da verificação e destino final.

Art. 7º No caso de manutenção externa, substituição em garantia ou devolução a terceiros, as mídias deverão, sempre que possível, ser previamente removidas e retidas pelo Tribunal; quando isso não for possível, o equipamento somente poderá sair após sanitização, apagamento criptográfico ou autorização formal baseada em avaliação de risco.

Art. 8º Os contratos que envolvam manutenção, suporte, locação, garantia, descarte, reciclagem, logística reversa ou tratamento de equipamentos de TIC deverão conter cláusulas de confidencialidade, proteção de dados, proibição de cópia ou retenção indevida, obrigação de eliminação segura, emissão de evidências, direito de auditoria e comunicação imediata de incidente.

Art. 9º A liberação de mídia ou equipamento para doação, alienação, devolução, reutilização, descarte ou baixa patrimonial fica condicionada à comprovação da sanitização ou destruição segura.

CAPÍTULO IV

DAS COMPETÊNCIAS

Art. 10 Em relação ao objeto desta Portaria, fixam-se as seguintes competências:

I - Assessoria de Segurança Cibernética/STI: responsável por propor normas e procedimentos técnicos relacionados à Segurança Cibérnetica e orientar o cumprimento deste procedimento técnico;

II - Seção de Suporte Operacional e Seção de Apoio ao Usuário: responsáveis por garantir o cumprimento deste procedimento técnico; e

III - Unidade responsável pelo ativo ou pelos dados: responsável por informar a existência de dados que exijam tratamento especial; responsável por providenciar ou confirmar a preservação, migração ou arquivamento dos dados necessários e responsável por não entregar mídia ou equipamento a terceiros sem prévia autorização e sem observância deste normativo.

CAPÍTULO V

DAS VIOLAÇÕES E SANÇÕES

Art. 11 O descumprimento deste normativo poderá ensejar apuração de responsabilidade administrativa, civil, contratual ou penal, conforme o caso, sem prejuízo da adoção de medidas de resposta a incidente de segurança da informação ou violação de dados pessoais.

Parágrafo único. O não cumprimento por funcionários terceirizados resultará em comunicado formal à empresa contratada para que sejam adotadas as medidas cabíveis.

Art. 12 O servidor que tomar ciência de infrações a esta Portaria que possam pôr a segurança da informação do Tribunal em risco deverá comunicar à unidade responsável pela Gestão de Segurança Cibernética do Tribunal, sob pena de incorrer no descumprimento do dever do servidor público elencado no inciso VI do art. 116 da Lei 8112/90.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 13 Os casos omissos serão resolvidos pelo CGSI - Comitê Gestor de Segurança da Informação do Tribunal.

Art. 14 Esta Portaria Normativa entra em vigor na data de sua publicação.

PUBLIQUE-SE.

ANA BERNADETE LEITE DE C. ANDRADE

Presidente em Exercício