PORTARIA NORMATIVA Nº 4, DE 11 DE MARÇO DE 2022
Estabelece procedimentos para a utilização da Sala de Sigilo com vistas ao tratamento dos dados protegidos por sigilo no âmbito da Controladoria-Geral da União, conforme Decreto 10.209, de 22 de janeiro de 2020.
O SECRETÁRIO-EXECUTIVO DA CONTROLADORIA-GERAL DA UNIÃO, no exercício das atribuições previstas no art. 28 do Anexo I do Decreto nº 9.681, de 3 de janeiro de 2019, e no inciso II do art. 6º da Portaria CGU nº 1.973, de 31 de agosto de 2021, considerando o Decreto nº 10.209, de 22 de janeiro de 2020, e com base no processo SEI 00190.109736/2021-95, resolve:
Art. 1º Esta Portaria Normativa regulamenta, no âmbito da Controladoria-Geral da União – CGU, os procedimentos de segurança para obtenção, custódia e tratamento de dados e informações protegidas por sigilo provenientes dos órgãos do Poder Executivo Federal e destinadas aos respectivos trabalhos ou atividades.
§ 1º Será disponibilizado ambiente controlado denominado “Sala de Sigilo” para acesso e tratamento de dados sigilosos, em atendimento ao inciso II do art. 3º e ao art. 5º do Decreto nº 10.209, de 22 de janeiro de 2020.
§ 2º A Sala de Sigilo da CGU é um ambiente seguro e isolado, localizado em Brasília, Distrito Federal, para disponibilização de ferramentas de pesquisa e análise de dados sob sigilo para uso exclusivo dos servidores da CGU no auxílio de seus trabalhos.
CAPÍTULO I
DA OBTENÇÃO DE DADOS PROTEGIDOS POR SIGILO FISCAL
Art. 2º O acesso a dados protegidos por sigilo fiscal deverá ser justificado e diretamente relacionado a projeto de trabalho cadastrado no sistema E-Aud.
Art. 3º O Diretor da área requisitante, com anuência do respectivo Secretário, entrará em contato com a Diretoria de Auditoria da Secretaria Federal de Controle – SFC responsável por acompanhar o órgão detentor dos dados requisitados para intermediar o primeiro contato com a respectiva área de negócio.
§ 1º Nas unidades regionais da CGU, a requisição deverá ser feita pelo respectivo Superintendente à Diretoria de Auditoria da SFC responsável por acompanhar o órgão detentor dos dados a serem requisitados, após tratativas com a Secretaria responsável pelo tema do trabalho a ser realizado.
§ 2º Após o primeiro contato de que trata o caput, a Diretoria da área requisitante ou, conforme o caso, o Superintendente encaminhará ofício com designação da equipe responsável, identificando os servidores que terão acesso aos dados protegidos por sigilo fiscal, bem como relação das bases de dados e informações a serem obtidas, conforme o disposto no § 2º do art. 2º do Decreto nº 10.209, de 2020.
Art. 4º A obtenção dos dados deverá ser feita por meio de protocolo criptografado e com o devido controle de acesso.
Parágrafo único. A Diretoria de Pesquisas e Informações Estratégicas – DIE da Secretaria de Combate à Corrupção receberá os dados criptografados e a Diretoria da área requisitante receberá a senha para descriptografia.
Art. 5º Após sua obtenção, os dados serão carregados para o servidor de dados onde serão armazenados, que deverá manter-se offline e em rede isolada na Sala de Sigilo.
§ 1º A carga a que se refere o caput deverá ser feita fisicamente através de mídia criptografada.
§ 2º Um representante da DIE e outro da Diretoria requisitante deverão estar presentes no momento da carga dos dados para o fim de supervisionar o ato de descriptografia.
§ 3º Devem ser armazenados registros (logs) sobre o evento de carga de dados na Sala de Sigilo, incluindo data e hora da carga e login do usuário responsável.
CAPÍTULO II
DA OBTENÇÃO DE DADOS PROTEGIDOS POR OUTRAS HIPÓTESE DE SIGILO
Art. 6º A utilização da Sala de Sigilo para obtenção, custódia e tratamento de outros dados e informações sigilosas necessárias para a realização dos trabalhos ou atividades da CGU observará as regras de compartilhamento de dados no âmbito da administração pública federal previstas no Decreto nº 10.046, de 9 de outubro de 2019, conforme disposto no art. 5º do Decreto nº 10.209, de 2020, sem prejuízo do cumprimento dos protocolos estabelecidos nesta Portaria Normativa.
CAPÍTULO III
DO CREDENCIAMENTO DE ACESSO À SALA DE SIGILO
Art. 7º A concessão de acesso à Sala de Sigilo ao servidor requisitante será feita pela DIE, após autorização do respectivo Diretor ou Superintendente e assinatura de termo de compromisso de sigilo.
§ 1º O requisitante deverá comunicar à DIE sobre eventual necessidade de carregamento de informações ou dados adicionais no servidor específico da Sala de Sigilo.
§ 2º Na hipótese referida no § 1º, a DIE poderá realizar a análise dos arquivos a serem carregados, de modo a mitigar possíveis riscos no ambiente da Sala de Sigilo quando da introdução de novos dados.
Art. 8º Os acessos concedidos pela DIE deverão ser armazenados em logs.
Art. 9º O acesso à rede isolada da Sala de Sigilo exigirá três fatores de autenticação, quais sejam:
I – acesso biométrico;
II – token criptográfico; e
III – senha de acesso.
CAPÍTULO III
DA ESTRUTURA FÍSICA
Art. 10. A Sala de Sigilo deverá possuir monitoramento por circuito fechado de televisão – CFTV e controle biométrico de acesso físico.
§ 1º Os logs gerados pelas câmeras e a fechadura biométrica deverão permanecer armazenados pelo período mínimo de um ano.
§ 2º O acesso à Sala de Sigilo não poderá ser feito de forma remota, de modo que os servidores das Superintendências da CGU que compuserem a equipe mencionada no § 2º do art. 3º deverão deslocar-se à respectiva instalação física em Brasília para o fim de utilizá-la.
CAPÍTULO IV
DA CONSULTA AOS DADOS DA SALA DE SIGILO
Art. 11. As consultas realizadas na Sala de Sigilo deverão ser feitas apenas localmente, sendo vedada a exportação dos resultados para quaisquer outros dispositivos, com exceção da hipótese prevista no art. 13.
Parágrafo único. Durante a realização das consultas é vedada a entrada de qualquer dispositivo ou pertence do servidor que permita, de qualquer forma, o registro dos dados acessados na Sala de Sigilo, tais como pen-drives, HDs, celulares, canetas, máquinas fotográficas, dentre outros.
Art. 12. As consultas às informações protegidas por sigilo fiscal deverão gerar logs que identifiquem a consulta realizada, a data e hora, e o login do usuário que realizou o acesso.
Art. 13. Para exportação de informações derivadas dos dados protegidos por sigilo, resultantes das consultas realizadas, o servidor demandante solicitará uma análise do material para um grupo de avaliação de resultados.
§ 1º O grupo de avaliação de resultados deverá ser composto por:
I – um membro da Diretoria solicitante das informações ou Superintendente;
II – um membro da Diretoria responsável por acompanhar o órgão ou entidade de origem dos dados; e
III – um membro do Gabinete da Secretaria da Diretoria requisitante ou, no caso de requisitante de uma unidade Regional da CGU, da Secretaria responsável pelo tema do trabalho a ser realizado.
§ 2º O grupo de avaliação de resultados deverá analisar se a informação derivada pode ser exportada sem afetar o sigilo e estabelecerá o formato das informações a serem exportadas, bem como o meio ou dispositivo mais adequado para a exportação dos resultados.
§ 3º As decisões do grupo de avaliação de resultados deverão ser registradas e armazenadas na própria Sala de Sigilo para posterior consulta.
CAPÍTULO V
DA EXCLUSÃO DE ACESSO AOS DADOS
Art. 14. Ao fim do processo administrativo que deu origem à necessidade de acesso aos dados sob sigilo fiscal, a DIE deverá proceder a exclusão do acesso aos dados e à Sala de Sigilo dos integrantes da equipe mencionada no § 2º do art. 3.
Parágrafo único. Quando da conclusão dos trabalhos, os dados sob sigilo poderão ser apagados do servidor de dados de forma segura, de modo a garantir a impossibilidade de serem recuperados por quaisquer meios lógicos ou físicos.
CAPÍTULO VI
DA MANUTENÇÃO DA SALA DE SIGILO
Art. 15. O acesso à Sala de Sigilo para limpeza e manutenção de equipamentos deverá obedecer aos seguintes procedimentos:
I – o acesso à sala deve ser acompanhado e registrado por um servidor da DIE;
II – no caso de necessidade de manutenção de equipamentos de tecnologia da informação (TI), o acesso e execução de serviços por terceirizados deverá ser acompanhado por um servidor da Diretoria de Tecnologia da Informação – DTI; e
III – dispositivos defeituosos que armazenem dados sob sigilo deverão ser inutilizados após sua substituição.
Art. 16. Todos os usuários, membros das equipes técnicas, de administração, de limpeza, de manutenção e de segurança que tenham acesso à Sala de Sigilo deverão assinar termo de compromisso de sigilo.
Art. 17. Todos os logs relacionados à carga e à consulta dos dados da Sala de Sigilo, bem como os logs relativos a credenciamento e acesso à sala, deverão possuir backups.
Parágrafo único. Os backups previstos pelo caput deverão ser realizados mensalmente e serão armazenados e protegidos por criptografia em ambiente separado da Sala de Sigilo.
CAPÍTULO VII
DAS COMPETÊNCIAS DAS UNIDADES ENVOLVIDAS
Art. 18. Cabe à Diretoria de Pesquisas e Informações Estratégicas – DIE:
I – obter por meio criptografado os dados sob sigilo dos órgãos detentores da informação;
II – realizar a carga inicial dos dados requisitados na Sala de Sigilo;
III – atualizar e manter as bases existentes, bem como processar, limpar e verificar novas bases de dados inseridas na Sala de Sigilo;
IV – manter controle das autorizações de acesso recebidas das Diretorias requisitantes e dos acessos realizados à Sala de Sigilo;
V – acompanhar os serviços gerais de limpeza e manutenção da Sala de Sigilo;
VI – cadastrar e remover registros biométricos;
VII – cadastrar e remover usuários da rede interna da Sala de Sigilo; e
VIII – exportar e enviar aos servidores requisitantes as informações aprovadas para saída pelo grupo de avaliação de extração de resultados.
Art. 19. Cabe à Diretoria de Tecnologia da Informação – DTI:
I – instalar e manter a infraestrutura de TI da Sala de Sigilo;
II – emitir e desativar tokens de acesso;
III – acompanhar a manutenção de equipamentos de TI da Sala de Sigilo; e
IV – manter grupo de resposta a incidentes envolvendo a Sala de Sigilo.
Art. 20. Cabe à Diretoria responsável por acompanhar o órgão detentor do dado protegido por sigilo:
I – intermediar o primeiro contato entre a Diretoria requisitante e as áreas de negócio do órgão de origem dos dados; e
II – compor o grupo de avaliação de resultados para extração de informações derivadas da Sala de Sigilo.
Art. 21. Cabe às Diretorias requisitantes dos dados da Sala de Sigilo:
I – autorizar o acesso à Sala de Sigilo de seu pessoal para pesquisas relacionadas aos trabalhos respectivos; e
II – informar ao Gabinete da Secretaria Federal de Controle a expectativa de realização de trabalhos com dados protegidos por sigilo fiscal para o exercício seguinte até o final do mês de julho de cada exercício, conforme disposto no § 3º do art. 2º do Decreto nº 10.209, de 2020.
CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS
Art. 22. Terá precedência para a utilização da sala de sigilo a realização de trabalhos ou atividades que envolvam procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da administração tributária e aduaneira, da gestão fiscal ou da análise de demonstrações financeiras da União.
Art. 23. Demais questões relativas à utilização da sala de sigilo e eventuais casos omissos serão decididos pela Secretaria-Executiva da Controladoria-Geral da União.
Art. 24. Esta Portaria Normativa entra em vigor em 1º de abril de 2022.
JOSE MARCELO CASTRO DE CARVALHO
