PORTARIA NORMATIVA SE/CGU Nº 20, DE 26 DE JULHO DE 2022
Estabelece a política de utilização do serviço de correio eletrônico no âmbito da Controladoria-Geral da União.
O SECRETÁRIO-EXECUTIVO DA CONTROLADORIA-GERAL DA UNIÃO, no exercício das atribuições previstas no art. 30 do Anexo I do Decreto nº 11.102, de 23 de junho de 2022, e no inciso II do art. 6º da Portaria CGU nº 1.973, de 31 de agosto de 2021, e considerando o disposto no Decreto nº 10.332, de 28 de abril de 2020, na Portaria SE/CGU nº 587, de 10 de março de 2021, na Portaria CGU nº 1.335, de 21 de maio de 2018, e na Portaria SE/CGU nº 947, de 27 de abril de 2021, e com base no processo SEI 00190.103941/2022-28, resolve:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Esta Portaria Normativa estabelece princípios, diretrizes e padrões para a utilização do serviço de correio eletrônico (e-mail) corporativo no âmbito da Controladoria-Geral da União – CGU.
Art. 2º Para efeitos desta Portaria Normativa, considera-se:
I – caixa postal individual – repositório de armazenamento de mensagens de correio eletrônico destinada ao usuário dos serviços de correio eletrônico providos pela CGU;
II – caixa postal institucional – repositório de armazenamento de mensagens de correio eletrônico destinada à unidade ou subunidade da CGU, cujo gestor é o titular da unidade ou subunidade para a qual foi destinada a caixa postal ou servidor por ele designado;
III – lista de distribuição – agrupamento de diversas caixas postais em um único endereço eletrônico que, uma vez inserido como destinatário de uma mensagem, permite a sua distribuição a todas as caixas postais integrantes da lista;
IV – serviço de correio eletrônico – sistema de mensagens eletrônicas utilizado para criar, enviar, encaminhar, responder, transmitir, arquivar, manter, copiar, mostrar, ler ou imprimir informações, com o propósito de comunicação entre redes de computadores ou entre pessoas ou grupos; e
V – usuário – servidores, terceirizados, colaboradores, consultores e estagiários que obtenham autorização do responsável pela unidade da CGU para acesso aos ativos de informação da CGU.
Art. 3º Integram o objeto desta Portaria Normativa as regras para utilização do serviço de correio eletrônico provido pela CGU, mediante a prescrição de condutas para a troca de mensagens eletrônicas e de critérios para que o conteúdo e a forma das mensagens estejam em conformidade com os procedimentos e as boas práticas da CGU.
Art. 4º Os princípios, diretrizes e padrões constantes desta Portaria Normativa e de eventuais normas complementares dela decorrentes devem ser observados por todos os usuários do serviço de correio eletrônico provido pela CGU.
Art. 5º O serviço de correio eletrônico corporativo da CGU utilizará, preferencialmente, o ambiente de computação em nuvem.
Parágrafo único. A utilização do serviço de correio eletrônico no ambiente computacional de nuvem deve estar aderente aos princípios estabelecidos no art. 3º da Portaria SE/CGU nº 587, de 10 de março de 2021 – POSIN, bem como das respectivas normas complementares.
CAPÍTULO II
DO CADASTRO NO SERVIÇO DE CORREIO ELETRÔNICO
Caixas postais individuais
Art. 6º Podem ser usuários do serviço de correio eletrônico os agentes públicos, em exercício na CGU, bem como os funcionários de empresas prestadoras de serviços terceirizados não eventuais e ainda os estagiários em atividade no Órgão.
Art. 7º Uma caixa postal individual será atribuída a cada usuário, com identificação única, de uso pessoal e intransferível.
Art. 8º A definição de nomes de contas das caixas postais obedecerá ao regramento definido pela Diretoria de Tecnologia da Informação – DTI.
Art. 9º Em respeito à privacidade e ao sigilo de correspondência, é vedado o acesso ao conteúdo da caixa postal individual dos usuários.
§ 1º Excetuam-se do disposto no caput os acessos para:
I – apuração de incidente de segurança;
II – restauração de backup de e-mail em caixa postal;
III – apuração de uso indevido do serviço de correio eletrônico;
IV – instrução de procedimentos e processos investigativos e acusatórios correcionais conduzidos pela Corregedoria-Geral da União – CRG;
V – cumprimento de determinação judicial; e
VI – compartilhamento de informações solicitadas por órgãos de persecução criminal, civil ou administrativa, para instrução de processos instaurados no órgão ou entidade solicitante.
§ 2º A apuração de incidente de segurança e a restauração de backup de e-mail em caixa postal ficarão a cargo da DTI, a quem caberá a determinação de acesso ao conteúdo da caixa postal afetada pelo incidente ou da caixa postal que terá o backup restaurado.
§ 3º O uso indevido do serviço de correio eletrônico corporativo no âmbito da CGU será comunicado às seguintes unidades organizacionais, a cujo titular caberá a determinação de apuração dos fatos e a concessão de autorização de acesso ao conteúdo da caixa postal eletrônica correspondente:
I – Secretaria-Executivo, caso o usuário seja ocupante de Cargo Comissionado Executivo – CCE ou Função Comissionada Executiva – FCE, de nível 15 ou superior, ou ainda em se tratando de terceirizados ou estagiários; e
II – CRG, nas demais hipóteses.
§ 4º Cabe à DTI o estabelecimento dos critérios para acesso ao conteúdo da caixa postal individual dos usuários, nos termos deste artigo.
Caixas postais institucionais
Art. 10. A criação e a exclusão de caixas postais institucionais para utilização das unidades da CGU dependerá de solicitação do respectivo dirigente.
§ 1º A concessão e a revogação do acesso à caixa postal institucional e a sua operação por servidores e contratados poderão ser solicitados à DTI pelo dirigente da unidade mediante abertura de chamado do sistema eletrônico Portal de Serviços ou outro que venha a substituí-lo.
§ 2º O dirigente que solicitou a criação de caixa postal institucional deve solicitar a sua exclusão quando ela não for mais necessária.
Listas de distribuição
Art. 11. As listas de distribuição poderão agrupar caixas postais individuais de usuários que integram uma unidade ou grupo de trabalho, comitê, comissão, projeto ou atividade específica de interesse da CGU, com vistas à simplificação do envio de mensagens a múltiplos destinatários.
Parágrafo único. As listas de distribuição terão, obrigatoriamente, um administrador, a quem compete:
I – conduzir o grupo de trabalho, comitê, comissão, projeto ou a própria atividade específica de interesse da CGU a que se refere a respectiva lista de distribuição;
II – delegar a administração ou designar coadministradores para a lista;
III – efetuar a inclusão e exclusão de usuários das listas, seja diretamente ou por meio abertura de chamado no sistema eletrônico Portal de Serviços ou outro que venha a substituí-lo; e
IV – solicitar a exclusão da lista quando não for mais necessária.
Art. 12. A DTI será responsável pela criação e manutenção das listas de distribuição, incluída a implementação das solicitações do administrador da lista.
CAPÍTULO III
DA SEGURANÇA DO SERVIÇO DE CORREIO ELETRÔNICO
Art. 13. Caberá à DTI definir e divulgar os critérios mínimos de segurança para a criação de senhas de acesso ao serviço de correio eletrônico, sempre em conformidade com as boas práticas e com os atos normativos relativos à segurança da informação.
Art. 14. As senhas são intransferíveis e de exclusiva responsabilidade do usuário a manutenção de seu sigilo.
§ 1º A senha cadastrada para acesso à caixa postal corporativa deverá ser de uso exclusivo para o ambiente organizacional da CGU, não devendo ser utilizada em cadastros de sites externos.
§ 2º Em caso de suspeita de vazamento de senha ou de informação que possa deduzi-la, a DTI poderá impor ao usuário a troca da senha antes do período padrão de expiração.
§ 3º O usuário é corresponsável no caso de uso indevido de sua caixa postal por pessoa a quem tenha informado a senha de acesso.
Art. 15. O usuário deverá comunicar imediatamente qualquer suspeita de uso não autorizado de seu e-mail institucional, por meio da caixa postal “[email protected]” ou da abertura de chamado no sistema eletrônico Portal de Serviços ou outro que venha a substituí-lo.
Art. 16. Mensagens não solicitadas ou impróprias, que porventura não tenham sido bloqueadas automaticamente, devem ser encaminhadas para a caixa postal “[email protected]” para o fim de tratamento e atualização da ferramenta de bloqueio de e-mails indevidos.
Art. 17. O usuário é corresponsável pela segurança das informações da CGU, cabendo-lhe comunicar imediatamente, por meio da caixa postal “[email protected]” ou da abertura de chamado no Portal de Serviços, o recebimento de mensagens que suscitem dúvidas quanto à possibilidade de que seu conteúdo possa ameaçar a integridade das informações, seja através da contaminação por códigos maliciosos ou vírus de computador, seja por quaisquer outros meios.
Parágrafo único. A DTI poderá bloquear o envio ou recebimento de mensagens não solicitadas ou que contenham arquivos maliciosos.
Art. 18. Ao compartilhar arquivos por e-mail, o usuário deve, preferencialmente, enviar o correspondente link de acesso ao invés de anexá-los à mensagem.
§ 1º O usuário deve avaliar o nível de segurança requerido para as informações constantes nos arquivos que serão compartilhados, aplicando criptografia quando identificar a necessidade para tanto.
§ 2º A DTI fornecerá as ferramentas para criptografia e as orientações de como operá-las.
CAPÍTULO IV
DA UTILIZAÇÃO DO SERVIÇO DE CORREIO ELETRÔNICO
Art. 19. A utilização do serviço de correio eletrônico deve estar em consonância com as atividades desempenhadas pelo usuário, que deve adotar linguagem e postura de acordo com o estabelecido no Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal e com o estabelecido no Código de Conduta Profissional do Servidor da Controladoria-Geral da União.
Art. 20. O acesso ao serviço de correio eletrônico da CGU será executado por meio do cliente de e-mail ou webmail.
Parágrafo único. O acesso ao serviço de correio eletrônico particular a partir de dentro da rede CGU somente é permitido por meio de navegadores de internet, sendo de exclusiva responsabilidade do usuário a ocorrência de eventuais incidentes de segurança decorrentes dessa modalidade de acesso.
Art. 21. Os usuários são os responsáveis pelo conteúdo e anexos das mensagens enviadas ou encaminhadas por meio de sua caixa postal corporativa.
Art. 22. A DTI estabelecerá os parâmetros e definições para:
I – os limites de tamanho das mensagens e anexos;
II – capacidade de armazenamento das caixas postais;
III – práticas de arquivamento e retenção de mensagens e registros de transações; e
IV – períodos de guarda decorrentes de disposições legais ou contratuais.
Art. 23. É vedado o uso do serviço de correio eletrônico corporativo para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, bem como para veicular opinião ideológica ou político-partidária.
Art. 24. É vedado o envio, o armazenamento e o encaminhamento, por meio do serviço de correio eletrônico, de mensagens contendo:
I – material ilegal, obsceno, preconceituoso, discriminatório, pornográfico, antiético ou pedófilo;
II – malwares ou qualquer outro tipo de arquivo danoso;
III – material protegido por leis de propriedade intelectual;
IV – mensagens não solicitadas, especialmente por sua destinação indevida a múltiplos destinatários;
V – material que promova a eleição de candidatos para cargos públicos eletivos, clubes, associações e sindicatos;
VI – mensagens não solicitadas para múltiplos destinatários com a distribuição de propagandas, entretenimentos, “correntes” e outros; e
VII – documentos que contenham informação sigilosa, seja na classificação de ultrassecreta, secreta ou reservada.
Parágrafo único. Excetuam-se da vedação do caput os casos dos incisos I a VI, quando o conteúdo constituir elemento de informação produzido ou compartilhado pela CGU ou outros órgãos de persecução criminal, civil ou administrativa, no estrito cumprimento do dever legal, observados o controle de acesso e a confidencialidade dos dados.
Art. 25. É vedado ao usuário do serviço de correio eletrônico da CGU:
I – o acesso não autorizado a caixas postais de terceiros;
II – a utilização das listas públicas de endereços do serviço de correio eletrônico para distribuição de mensagens que não sejam de estrito interesse funcional; e
III – o redirecionamento automático das mensagens recebidas por meio do serviço de correio eletrônico da CGU para correios de provedores externos.
CAPÍTULO V
DA GESTÃO DO SERVIÇO DE CORREIO ELETRÔNICO
Criação de caixas postais individuais
Art. 26. A criação de uma caixa postal individual corporativa é realizada simultaneamente à criação do login de rede e, em consonância com os incisos II e III do art. 7º da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), mediante coleta e armazenamento dos dados referentes a nome e sobrenome, CPF, data de nascimento, endereço completo, número de telefone de contato e lotação.
Competências da DTI
Art. 27. Compete à DTI a gestão do serviço de correio eletrônico corporativo, bem como a responsabilidade pelas seguintes atribuições:
I – promoção da implantação e a utilização do serviço de correio eletrônico de acordo com o estabelecido nesta Portaria Normativa;
II – estabelecimento de um modelo de gestão que contemple a coordenação, o planejamento, a manutenção, a administração, a divulgação, o controle e o monitoramento do uso do serviço de correio eletrônico;
III – garantia da disponibilidade do serviço de correio eletrônico em níveis de serviço adequados à necessidade do trabalho;
IV – garantia da recuperação do serviço de correio eletrônico em caso de danos ao ambiente computacional;
V – criação de caixas postais individuais, caixas postais institucionais e listas de distribuição, desde que os responsáveis pelo uso dessas contas sejam identificados no ato de cadastramento;
VI – estabelecimento de rotinas e procedimentos de manutenção de caixas postais e adoção de medidas necessárias para reprimir a sua utilização indevida;
VII – submissão prévia das mensagens a um programa de filtro eletrônico apto a bloquear, preventivamente, mensagens abusivas ou suspeitas, classificadas como spam ou phishing, gerando o envio de notificação para o remetente;
VIII – desenvolvimento de ações que garantam a operacionalização desta Portaria Normativa; e
IX – divulgação desta Portaria Normativa aos usuários, bem como o fomento a campanhas educacionais e de conscientização quanto ao bom uso do serviço de correio eletrônico na CGU.
Cancelamento e suspensão das caixas postais individuais
Art. 28. A caixa postal individual será válida enquanto o usuário possuir vínculo ativo com a CGU.
Parágrafo único. O cancelamento e a suspensão de caixas postais obedecerão ao regramento definido pela DTI.
Apuração de responsabilidades
Art. 29. O descumprimento das normas relacionadas ao uso regular do serviço de correio eletrônico por servidores ocupantes de cargo efetivo ou em comissão ou por ocupantes de emprego público em exercício na CGU poderá ensejar a instauração de procedimento investigativo ou processo correcional que vise à apuração da infração praticada.
Art. 30. Se a apuração de uso indevido do serviço de correio eletrônico indicar o envolvimento de terceirizados ou estagiários, serão adotadas as seguintes medidas, sem prejuízo de eventual comunicação às autoridades policiais ou jurídicas competentes:
I – em caso de terceirizado, o fato será notificado à empresa que o contratou e a pessoa será imediatamente devolvida à sua empregadora; e
II – em caso de estagiário, o fato será informado à empresa que o agenciou e a pessoa será imediatamente desligada.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS
Art. 31. Esta Portaria Normativa observará, no que couber, os conceitos constantes do Glossário de Segurança da Informação aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
Art. 32. A revisão dessa Portaria Normativa deverá ser realizada pelo Comitê Gerencial de Segurança Corporativa sempre que necessário.
Art. 33. Fica revogada a Norma Complementar nº 6, de 3 de julho de 2017.
Art. 34. Esta Portaria Normativa entra em vigor na data da sua publicação.
JOSÉ MARCELO CASTRO DE CARVALHO
