Ir para o conteúdo

DECRETO Nº 7.621 DE 21 DE JANEIRO DE 2025

 

“Institui a ‘Política de Segurança da Informação – PSI’ a ser aplicada a todos os órgãos da Administração Direta do Município de Santa Bárbara d´Oeste e revoga o Decreto Municipal nº 7.484/2023”.

RAFAEL PIOVEZAN, Prefeito do Município de Santa Bárbara d’Oeste, Estado de São Paulo, no uso das atribuições legais e conforme o que consta no Memorando nº 008/2025;
 

DECRETA

Art. 1º Fica instituída a “Política de Segurança da Informação – PSI” no Município de Santa Bárbara d‘Oeste, a ser aplicada a todos os órgãos da administração pública direta, conforme detalhado no Anexo I deste Decreto e nos modelos contidos nos Anexos II e III, partes integrantes do presente decreto.

Art. 2º Compete à Diretoria de Gestão da Tecnologia da Informação, vinculada à Secretaria Municipal de Administração, a adoção de ações de acompanhamento e orientação para a implantação da PSI junto aos órgãos da Administração Municipal.

Art. 3º Este Decreto entrará em vigor na data de sua publicação, revogadas as disposições em contrário, em especial o Decreto Municipal nº 7.484/2023.

Santa Bárbara d’Oeste, 21 de janeiro de 2025.

RAFAEL PIOVEZAN
Prefeito Municipal





ANEXO I


POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI
 

1. APRESENTAÇÃO

Sobre a “informação" podemos afirmar que:

Como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. (ABNT NBR ISO/IEC 27002:2005)

O Município de Santa Bárbara d’Oeste tem conhecimento da importância da informação como ativo imprescindível a esta Municipalidade e ao contribuinte em geral, estabelecendo dessa forma a presente Política de Segurança, comprometendo-se com a devida proteção da informação nos seus mais diversos formatos. Embora o comprometimento da Administração na implantação da presente norma seja uma ação importante, não é suficiente se não houver a conscientização e engajamento por parte dos funcionários, prestadores de serviços e demais pessoas que tenham acesso à informação, conforme a seguinte definição:

Desde 1989, tenho me dedicado ao assunto "segurança da informação". Aprendi na prática, com acertos e erros, que a implementação de regras, regulamentos, políticas, normas, bem como o uso de programas de proteção da informação, são ações importantes. No entanto, são apenas parte da solução. Essas ações conseguem construir apenas metade da ponte que nos leva à efetiva proteção. A parte restante, crucial, para que a ponte cumpra seu objetivo é construída quando as pessoas da organização (funcionários, prestadores de serviço, executivos e acionistas) tornam-se conscientes desse assunto. (FONTES, 2006, Segurança da Informação)

Assim sendo, esta Política de Segurança da Informação (PSI) tem a finalidade de estabelecer a racionalização na utilização dos recursos computacionais no âmbito do Município de Santa Bárbara d’Oeste, bem como determinar as diretrizes de segurança da informação adequada ao ambiente desta municipalidade e respectivos setores. A utilização desses recursos está relacionada às funções dos usuários e à prestação de serviços das Unidades Administrativas, sendo necessário seu cumprimento por todos os funcionários/terceiros que se utilizarem dos recursos computacionais disponibilizados para a execução de suas atividades laborais.

Este documento tem como base as recomendações expressas pela norma ABNT NBR ISO/IEC 27002:2005.

2. OBJETIVO

Este documento tem por finalidade conduzir as atividades da área de Tecnologia da Informação no âmbito do Município de Santa Bárbara d’Oeste com o intuito de preservar as informações pertencentes e/ou processadas por esta municipalidade. Para consecução desse objetivo se faz necessária a preservação da confidencialidade, integridade e disponibilidade das informações sob a tutela deste órgão. Para maior elucidação do que vem a ser esses pilares da segurança da informação, segue um breve conceito de cada um:

O que é Confidencialidade de informações?

Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações, sejam estas armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.

O que é Integridade de informações?

Consiste na fidedignidade da informação. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.

O que é Disponibilidade de informações?

Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de tecnologia. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito.

3. PÚBLICO ALVO

Esta Política de Segurança da Informação (PSI), aplica-se a todos os servidores municipais, estagiários, terceiros e quaisquer outros que se utilizam ou venham a utilizar-se dos recursos computacionais deste Município.

4. USUÁRIOS

Para os efeitos desta PSI, são considerados “usuários” dos recursos computacionais e de rede desta municipalidade: servidores, estagiários, prestadores de serviços e visitantes.
É de responsabilidade da Diretoria de Gestão da Tecnologia da Informação (DGTI), desde que acionada, conceder os acessos a que se refere esta PSI, ainda que por tempo determinado ou com características especiais, uma vez que os acessos solicitados estejam dentro dos padrões aqui estabelecidos.

5. RESPONSABILIDADES

5.1 Dos usuários

- Os usuários devem observar as seguintes condutas:
- Arquivos de terceiros somente poderão ser acessados mediante explícita autorização do usuário detentor da informação.
- Cabe a cada usuário proteger suas credenciais de acesso à rede e sistemas para que terceiros não venham utilizar-se desses logins de forma indevida.
- Os logins fornecidos são individuais, não podendo ser compartilhados, sendo os usuários responsabilizados por atos que venham a ocorrer a partir de suas credenciais.
- Quando necessário, deverá solicitar a DGTI a instalação/configuração/modificação de software ou hardware, sendo proibido aos usuários tais atividades nos equipamentos sob sua responsabilidade.
- Ferramentas de mídia social (Facebook, Youtube, etc.) poderão ser acessadas, desde que tenham relação com a atividade profissional do usuário e mediante expresso consentimento do responsável pelo setor.
- O usuário é responsável pela preservação e uso correto dos logins e senhas, visando evitar o acesso aos sistemas por terceiros não habilitados.
- Alterar sua senha, quando houver suspeita de comprometimento da mesma.
- Em nenhuma hipótese o usuário poderá usar os recursos computacionais do Município para difamar, caluniar ou molestar outras pessoas, ou utilizar-se de “logins falsos” para essas ações.
- O usuário não poderá conectar qualquer equipamento à rede, sem expressa autorização da DGTI, tais como notebooks, roteadores e outros.
- Cada usuário precisa ter conhecimento de quão sensíveis são as informações a que tem acesso, bem como de sua correta utilização e do possível potencial, caso tais informações sejam manipuladas indevidamente.
- O usuário deve observar que o e-mail corporativo ostenta a natureza jurídica de ferramenta de trabalho, motivo pelo qual deve usá-lo de maneira adequada, ou seja, para ações voltadas especificamente ao trabalho.
- Usar os recursos computacionais de forma adequada, ou seja, para atender às necessidades corporativas.

5.2 Da Diretoria de Gestão de Tecnologia da Informação

Os computadores e demais equipamentos deverão estar configurados para os usuários de modo a cumprir os requisitos desta PSI.
Após solicitação formal dos responsáveis pelos setores, efetuar o bloqueio de acesso de usuário por motivo de transferência, licença, desligamento, entre outros.
A instalação de softwares nos computadores será de acordo com as funções dos usuários.
Nas manutenções realizadas nos computadores, verificar a integridade do software de antivírus que está instalado no referido equipamento.
Configurar os computadores para que os usuários não tenham direitos administrativos sobre os equipamentos.

5.3 Do Setor de Recursos Humanos / DP

Quando da contratação de novo funcionário, garantir que o mesmo esteja ciente do conteúdo desta PSI. O colaborador deverá assinar o Termo de Compromisso, estando ciente de que deverá seguir as normas estabelecidas.

5.4 Dos Chefes de Setores / Departamentos / Divisões

Informar a terceiros que estejam trabalhando nos respectivos setores sobre a existência desta PSI, bem como colher a assinatura dos mesmos no Termo de Compromisso, comprometendo-se a seguir os procedimentos dispostos no presente documento.
Alinhar com a DGTI sobre os acessos necessários (internet, sistemas, compartilhamento de rede, etc.) aos funcionários sob sua responsabilidade.
Comunicar à DGTI e à Secretaria Municipal de Gestão Estratégica (Divisão de Corregedoria) sobre qualquer irregularidade cometida por algum dos funcionários sob sua responsabilidade, quando este venha a utilizar-se de forma inadequada dos recursos de software e hardware.

Obs.: A Secretaria Municipal de Gestão Estratégica utiliza-se de instrumentos legais em eventuais irregularidades nesta área, cometidas por servidores públicos municipais.

O chefe imediato de usuários com afastamento superior a 30 dias e de usuários desligados do quadro de servidores deverá informar essa ocorrência à DGTI para que tome as medidas de segurança necessárias acerca dos logins de acesso. O tempo máximo de inatividade de uma conta é de 3 (três) meses, sendo excluída após esse período, salvo mediante solicitação justificando os motivos para a não exclusão.
A DGTI deverá ser informada também quando algum usuário assumir novo cargo ou quando algum prestador de serviço não exercer mais essa atividade no município.

5.5 Dos Equipamentos Particulares e dos Prestadores de Serviços

Quando não autorizados pela DGTI, equipamentos particulares e de prestadores de serviços não poderão ser conectados à rede local desta municipalidade.
Quando autorizados pela DGTI, os proprietários dos equipamentos particulares e prestadores de serviço se responsabilizam legalmente por seus softwares e recursos de tecnologia conectados à rede local, bem como por eventuais danos causados a esta municipalidade pelo uso dos mesmos.
Os prestadores de serviços deverão assinar o acordo de não divulgação de dados sigilosos, conforme ANEXO.
6. ACESSO ÀS INFORMAÇÕES
Para garantir o correto acesso dos usuários aos sistemas e demais recursos disponibilizados, será necessária a observância dos seguintes requisitos:
Quando o usuário estiver em novo Setor, não poderá fazer uso de benefícios, contas, senhas de acesso, direitos especiais ou informações aos quais não está autorizado em sua nova situação.
A DGTI suspenderá os acessos do usuário, quando do infringimento desta norma, ou por razões relacionadas à segurança dos dados, visando o bem da Administração Pública.
Todos os computadores conectados à rede da municipalidade ou das unidades administrativas devem obedecer aos procedimentos padronizados pela DGTI.
A DGTI terá acesso a qualquer equipamento que esteja conectado à rede, seja para fins de manutenção ou de outra ordem que se fizer necessário.

ASSINATURA ELETRÔNICA

Tendo como base o Decreto Municipal nº 7382, de 01 de dezembro de 2022, e a lei nº 14.063, de 23 de setembro de 2020 – Lei das assinaturas eletrônicas, os documentos digitais produzidos nesta municipalidade têm sua autenticidade e integridade garantidas por meio da aplicação de assinatura eletrônica.
A assinatura eletrônica ocorrerá por meio de:
a) assinatura eletrônica simples, a qual permite identificar o seu signatário através de seu login de acesso e anexar ou associar dados a outros dados em formato eletrônico do signatário;
b) assinatura eletrônica avançada, a qual está associada ao signatário de maneira unívoca; utiliza dados para a criação de assinatura eletrônica fornecida pela plataforma digital, como Sub-Autoridade Certificadora e está relacionada aos dados a ela associados de tal modo que qualquer modificação posterior é detectável; e,
c) assinatura eletrônica qualificada ou certificada, a qual utiliza o certificado digital, padrão ICP-Brasil, nos termos do disposto na Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
A assinatura eletrônica é de uso pessoal e intransferível, sendo de responsabilidade do titular sua guarda e sigilo. A utilização da assinatura eletrônica individual indevida será de responsabilidade exclusiva do titular.

PROIBIÇÕES

É proibido:

I – Disseminar qualquer tipo de praga virtual;
II – Intencionalmente, causar danos aos equipamentos, softwares e arquivos pertencentes ao Município;
III – Tentar acessar ou obter acesso a qualquer recurso não autorizado;
IV – Instalar software não autorizado;
V – Acessar sites que contenham referência à nudez total ou parcial, sexo, pornografia ou pedofilia, racismo ou outros conteúdos impróprios ao desenvolvimento de suas atividades;
VI – Acessar jogos on-line, bate-papo e de conteúdo diverso que não tenha relação com suas atribuições;
VII – Utilizar tecnologia de compartilhamento de arquivos chamada “Torrent” ou similares;
VIII – Interceptar informações de qualquer natureza, seja pela utilização de software ou outros equipamentos;
IX – Enviar equipamentos de informática para manutenção de terceiros sem prévio conhecimento e autorização da DGTI;
X - Autorizar acesso aos equipamentos ou sistemas a terceiros sem conhecimento e autorização da DGTI;
XI – Fornecer credenciais de acessos a terceiros;
XII – Conectar equipamentos não autorizados à rede local da municipalidade.

9. PROCEDIMENTOS E SANÇÕES

Qualquer usuário, ao tomar conhecimento sobre qualquer violação a esta norma, deverá:

I – Informar à DGTI e ao chefe imediato;
II – Para garantir a segurança, deverá manter o sigilo;
É de responsabilidade de todas as Secretarias, juntamente com os seus Departamentos, observarem o disposto nesta PSI.
O acesso aos recursos computacionais do Município de Santa Bárbara d’Oeste são para assuntos profissionais, podendo sofrer fiscalização por parte dos superiores imediatos pelo uso indevido.
Os casos de violações a esta PSI, que caracterizem infração, serão analisados pela Divisão de Corregedoria para apuração preliminar.
Os casos omissos serão analisados pela DGTI.

8.1 Auditoria

Com a finalidade de assegurar as regras aqui definidas, a DGTI poderá:
Disponibilizar-se de sistemas de monitoramento, nos mais variados segmentos, o qual gerará logs para identificação dos acessos;
Inspecionar fisicamente os equipamentos do Município.

9. CONSIDERAÇÕES FINAIS

A informação está como um dos ativos mais bem avaliados dentro de uma organização e a sua proteção torna-se algo essencial. Esta Política tem por finalidade fazer com que esse ativo tenha sua salvaguarda dentro dos parâmetros estipulados na Segurança da Informação. Assim sendo, traz as diretrizes para que todos na organização façam uso dos recursos computacionais de forma consciente e segura.

ANEXO II

MODELO DE TERMO DE COMPROMISSO DE UTILIZAÇÃO DOS
RECURSOS DE TECNOLOGIA DA INFORMAÇÃO

Termo de Compromisso de utilização dos Recursos de Tecnologia da Informação
 

Pelo presente instrumento, eu _________________________________________, CPF n.º _________________________, lotado(a) no cargo ______________________________ em razão de seu vínculo com o MUNICÍPIO DE SANTA BÁRBARA D'OESTE, firmo o presente TERMO DE COMPROMISSO, mediante as estipulações consignadas neste instrumento:

DECLARO QUE:

1. Tenho conhecimento e acesso à Política de Segurança da Informação (PSI), que se encontra disponível para consulta e/ou impressão no website desta municipalidade, à qual li na íntegra, tomando conhecimento e ciência de suas diretrizes;

2. Compreendi completamente os termos, diretrizes, conceitos e condições de uso da Política de Segurança da Informação (PSI), e me comprometendo a cumprir integralmente as diretrizes constantes em tal documento;

3. Estou ciente e de acordo que, tanto os ativos de informação, quanto a infraestrutura tecnológica do Município de Santa Bárbara d’Oeste somente poderão ser utilizados para fins exclusivamente profissionais e relacionados às atividades que exerço neste órgão;

4. Estou ciente de que todos os acessos podem ser monitorados através de softwares/infraestrutura tecnológicas;

5. Estou ciente que as violações da Política de Segurança da Informação (PSI) são passíveis de sanções e punições, podendo incorrer em responsabilização legal nas esferas administrativas, cíveis e penais, nos termos da legislação em vigor;

6. Estou ciente de que, se necessário, o uso de assinatura eletrônica (engloba-se assinatura eletrônica simples, avançada ou qualificada) é de minha responsabilidade, incluindo a posse, proteção e os devidos cuidados associados. Reconheço que a assinatura eletrônica é pessoal e intransferível, compreendendo que empréstimos ou transferências a terceiros são estritamente proibidos;

7. Comprometo-me a não revelar, fato ou informações de qualquer natureza a que eu tenha conhecimento e/ou acesso por força das minhas atribuições, mesmo após o encerramento do contrato de trabalho com o Município de Santa Bárbara d’Oeste.
 

Santa Bárbara d’Oeste-SP, ____ de ______________________ de _______.

Nome do(a) servidor(a) público(a) municipal
 Setor:




ANEXO III
ACORDO DE CONFIDENCIALIDADE
 

O presente acordo é celebrado entre:

A EMPRESA CONTRATADA, inscrita no CNPJ/MF sob o n.º (NÚMERO, com sede na (ENDERECO), aqui denominada EMPRESA CONTRATADA (“compromitente”); e o
MUNICÍPIO DE SANTA BÁRBARA D’OESTE, inscrito no CNPJ sob o n.º 46.422.408/0001-52, com sede Avenida Monte Castelo, 1000 Jardim Primavera – Santa Bárbara d’Oeste, aqui denominado CONTRATANTE (“Município”); sendo compromitente e município doravante denominados em conjunto como PARTES e isoladamente como PARTE, e

CONSIDERANDO que qualquer das Partes em razão das perspectivas e proposta de trabalho a ser desenvolvida conjuntamente não poderá divulgar informações que dizem respeito a, entre outras coisas, novos clientes, projetos, propostas, abertura de mercado, segredos comerciais, credenciais, direitos autorais, desenhos, planos de negócios, oportunidades de negócios, finanças, pesquisa, desenvolvimento, know-how, produtos e ferramentas de sua propriedade ou de terceiros, de natureza sigilosa e estratégica, que dizem respeito à proposta;

Ass Parte aqui representadas por seus prepostos e por toda pessoa que vier a ser designada para execução dos serviços objeto deste contrato, acordam o que se segue:

1. Todas as informações privilegiadas as quais as Partes terão acesso são consideradas de propriedade exclusiva e de caráter rigorosamente confidencial (Informação confidencial) das Partes, podendo ser utilizadas somente no desenvolvimento de estudo, proposta, contrato, análise de prestação de serviços, cujo sigilo absoluto reconhece ser essencial para a preservação dos direitos das Partes.

2. Cada Parte se compromete por si, por suas coligadas, prepostos, empregados e profissionais designados a jamais utilizar as informações recebidas para efetivar qualquer tipo de abordagem, proposta, trabalho ou estudo para quaisquer terceiros, em particular, aos clientes cujos dados foram mencionados entre outra parte. 

Qualquer utilização das informações e conhecimentos trocados entre as partes, somente poderá ser realizada com autorização escrita da Parte Reveladora, isto é, da parte que originalmente divulgou ou compartilhou as informações, e participação efetiva desta no eventual negócio/proposta/abordagem que venham a ser concretizados.

3. As Partes obrigam-se a manter todas as informações a que tiverem acesso, por qualquer meio e sob qualquer forma, em caráter de absoluta confidencialidade, desde o momento em que lhes forem reveladas, ainda que verbalmente, desde que sejam de qualquer forma reduzidas a escrito, quer estejam contidas em documentos de qualquer espécie, tais como relatórios, memorandos, contratos, correspondências e quaisquer outros papéis entregues pelas Partes, bem como quaisquer outros que vierem a ser produzidos, em decorrência dos entendimentos, e identificados como confidenciais, comprometendo-se a não as divulgar a terceiros, em quaisquer circunstâncias e sob quaisquer condições e ainda a protegê-las de qualquer uso ou revelação não autorizados.

4. As Partes reconhecem que a violação das obrigações decorrentes deste Acordo de Confidencialidade acarretará prejuízos que deverão ser devidamente ressarcidos, além de sujeitar-se os representantes legais da infratora às sanções de ordem criminal aplicáveis à espécie.

5. Exceto no tocante ao compromisso constante do Item 2, que deverá ser observado em qualquer hipótese, as restrições, acima, ao uso e revelação de uma Informação Confidencial recebida não se aplicam com respeito a informações que, ao tempo em que forem recebidas, já tenham sido consideradas como de domínio público, sejam previamente conhecida pela Parte receptora, seja(m) independentemente desenvolvida pela Parte receptora, seja(m) adquiridas(s) pela Parte receptora de terceiros que não sejam, dentro de seu conhecimento, obrigados a guardar sigilo com respeito a tal informação, ou ainda, que seja ou torne-se disponível publicamente, sem infração ao disposto neste Acordo.
6. As partes comprometem-se a devolver, no prazo máximo de 10 (dez) dias contados do recebimento de pedido escrito, todo e qualquer documento recebido, contendo informações confidenciais, bem como, as respectivas cópias, se houver, certificando, por escrito, a ocorrência de destruição de quaisquer documentos que eventualmente tenha sido verificada.

7. A Parte receptora deverá notificar prontamente a Parte reveladora, por escrito, em caso de qualquer utilização ou divulgação não autorizada de Informação Confidencial que tenha conhecimento, e deverá prover a assistência necessária para que tal utilização ou divulgação venha a cessar. Da mesma forma, a Parte receptora deverá informar imediatamente a Parte reveladora na eventualidade de ter recebido qualquer ordem de autoridade judicial ou administrativa determinando a revelação de informação confidencial transmitida sob este instrumento. Não obstante, a Parte receptora estará livre para satisfazer tal ordem judicial ou administrativa na medida em que for necessário ao seu cumprimento.

8. O Destinatário aqui reconhece que a divulgação ou uso não autorizado das informações confidenciais poderá causar dano irreparável e significante à Parte reveladora, e de difícil determinação. Dessa forma, concorda que a Parte reveladora terá o direito de procurar e obter medidas cautelares imediatas para executar as obrigações decorrentes do presente Acordo, além de quaisquer outros direitos e medidas que possa ter.

9. O presente Acordo de Confidencialidade não poderá ser cedido sem prévia e escrita autorização da outra Parte e deverá ser observado, por prazo indeterminado, mesmo após eventual rompimento da relação jurídica mantida entre as Partes.

10. Fica eleito o foro da comarca de Santa Bárbara d’Oeste/SP como competente para dirimir quaisquer dúvidas ou litígios oriundos deste contrato.

As PARTES declaram que leram, compreenderam e aceitaram todos os termos do presente instrumento. E por assim se estarem justos e contratados, assinam as Partes o presente Acordo de Confidencialidade em 2 (duas) vias.

Local e data


CONTRATANTE

CONTRATADA


Testemunhas:
Nome / CPF
NOME / CPF