Resolução CGTIC Nº 003/2022
Regulamenta a ferramenta tecnológica de colaboração e de produtividade oficial dos órgãos e das entidades subordinadas à Política de Tecnologia da Informação e Comunicação -TIC, do Estado do Rio Grande do Sul.
O COMITÊ DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - CGTIC , com fundamento no Decreto nº 56.106, de 24 de setembro de 2021, que institui a Política de Tecnologia da Informação e Comunicação - TIC-RS,
DETERMINA:
I- ao Comitê Executivo de Tecnologia da Informação e Comunicação - CETIC a divulgação e a aplicação da normativa contendo as regras de uso, as proibições e as recomendações relacionadas à implantação e à operação da Suíte Office 365 no Poder Executivo Estadual, conforme Anexo Único deste documento.
RECOMENDA:
I- aos demais órgãos e entidades do Estado não submetidos à Política de TIC que elaborem normativa própria, contendo as regras de uso, as proibições e as recomendações relacionadas à implantação e à operação da Suíte Office 365, a exemplo do Anexo Único deste documento.
ANEXO ÚNICO
CAPÍTULO I
DAS REGRAS DE USO DA FERRAMENTA DE COLABORAÇÃO E PRODUTIVIDADE
Art. 1º Para os efeitos desta resolução, considerar-se-á o que consta no artigo 2º do Decreto nº 56.106, de 24 de setembro de 2021, e os seguintes conceitos:
I- documento arquivístico: documento produzido (elaborado ou recebido), no curso de uma atividade prática, como instrumento ou resultado de tal atividade, e retido para ação ou referência;
II- documento finalístico: documento considerado como concluído e para o qual se deseja manter sob o procedimento regular de cópias de segurança;
III- downgrade: termo utilizado para designar uma redução, rebaixamento ou retorno de um hardware ou software a um ponto anterior;
IV- Kiosk: Licença Exchange Online para usuários que exijam menos recursos, tendo em vista que fornece 2 GB de espaço de caixa de correio, baseado na Web por meio do Outlook na Web;
V- Linkedin Contact Sync: conexão entre a conta do LinkedIn e a conta Microsoft 365 ou Office 365, por meio do Outlook na Web, o qual permite que todas as conexões do LinkedIn sejam listadas como contatos em "Pessoas" no Microsoft 365 ou no Office 365;
VI- MFA (múltiplo fator de autenticação): método de autenticação eletrônica, no qual um usuário recebe acesso somente após apresentar, com sucesso, duas ou mais evidências de verificação de sua identidade;
VII- ponto focal: colaborador especialista que fará o primeiro nível de atendimento aos usuários de seu órgão ou de sua entidade; e
VIII- servidor de arquivos (ou file server): sistema de armazenamento de arquivos voltado ao compartilhamento de documentos, planilhas, vídeos e similares, por meio de uma rede local ou remota.
SEÇÃO I
DAS RESPONSABILIDADES
Art. 2º São responsabilidades dos usuários:
I- estar ciente desta resolução e conhecer seu conteúdo;
II- zelar pelas informações e permissões de acesso que lhe forem concedidas;
III- zelar pela segurança dos ativos disponibilizados na ferramenta tecnológica de colaboração e de produtividade;
IV- reportar qualquer incidente ou evento que apresente risco de segurança da informação; e
V- participar de cursos de capacitação disponibilizados na rede do Estado pelos órgãos e entidades competes.
Art. 3º São responsabilidades dos gestores:
I- solicitar acesso para seus subordinados e para o exercício de suas funções, dando-lhes conhecimento do conteúdo desta resolução;
II- zelar pela correta aplicação das diretrizes instituídas nesta resolução;
III- definir seus pontos focais e zelar pela manutenção de seus conhecimentos e habilidades, contribuindo para a formação de novos pontos focais sempre que necessário;
IV- zelar pelo correto uso dos ativos, incentivando a participação da sua equipe nos cursos de capacitação disponibilizados; e
V- agir sempre que for identificada falha de segurança nos ativos e nos usuários sob sua responsabilidade, acionando a área de Tecnologia da Informação e Comunicação do seu órgão e/ou canais competentes.
Art. 4º São responsabilidades do Centro de Tecnologia da Informação e Comunicação do Estado do Rio Grande Do Sul S.A. - PROCERGS:
I- implementar e gerenciar os elementos técnicos necessários à adequada execução da ferramenta de colaboração e de produtividade e desta resolução;
II- qualificar a equipe que administra e que presta suporte à Suíte Office 365, com o objetivo de manter os ativos do Estado, físicos e virtuais, sob sua responsabilidade;
III- comunicar o Sistema de Governança e Gestão de TIC sobre qualquer incidente de segurança da informação envolvendo os ativos do Estado, físicos e virtuais, sob sua responsabilidade;
IV- apoiar os órgãos em suas iniciativas de qualificar colaboradores e pontos focais; e
V- apoiar os órgãos quando da identificação de incidentes de segurança da informação e vulnerabilidades técnicas.
CAPÍTULO II
DOS APLICATIVOS
SEÇÃO I
DAS REGRAS GERAIS
Art. 5º Deverão ser observadas para a Suíte Office 365 as seguintes diretrizes:
I- priorização do uso da ferramenta de colaboração e de produtividade oficial do Estado, conforme Resolução CGTIC 03/2021;
II- utilização da ferramenta de colaboração e de produtividade apenas para fins institucionais, vedado o uso para quaisquer fins privados;
III- vedação de compartilhamento de senhas e outros métodos de autenticação da plataforma;
IV - a produção documental dentro da Suíte Office 365 é considerada documento arquivístico, e deve ser armazenada no repositório oficial do Estado;
V- utilização de métodos seguros de autenticação, por meio de senhas alfanuméricas e do duplo fator de autenticação para todos os usuários, ressalvada a hipótese na qual os recursos disponibilizados pelo Estado para tal finalidade mostrarem-se insuficientes ou inadequados à condição do usuário específico, hipótese em que deverão ser observadas as seguintes regras:
a) a regra de MFA (múltiplo fator de autenticação) poderá ser afastada apenas para equipamentos em uso na rede do órgão;
b) o usuário e o seu gestor, ao solicitarem a excepcionalização, serão considerados responsáveis pelo risco inerente a não utilização deste controle de segurança; e
c) a excepcionalização deverá ser aprovada pelo Comitê Executivo de TIC.
VI- o compartilhamento com usuários de fora do domínio do Estado deve ser feito por meio de links ou pastas de informações classificadas como públicas.
Art. 6º Deverão ser observadas as seguintes diretrizes em relação às licenças:
I - o gestor máximo de cada órgão utilizador da Suíte deve assegurar que suas licenças estejam em pleno uso e ajustadas ao quadro de pessoal, levando em conta a racionalização dos recursos públicos;
II - o gestor máximo de cada órgão deve implementar controles para ativação e desativação das licenças, com o objetivo de evitar o uso indevido por usuários já desligados do órgão;
III - quando houver inativação de licenças, cabe à TI do órgão providenciar a cópia dos arquivos armazenados nos aplicativos online da Suíte;
IV - cabe à TI do órgão providenciar o cancelamento das licenças nas seguintes hipóteses, sob pena de responsabilização:
a) a licença do servidor desligado do quadro funcional do Estado será cancelada em 5 (cinco) dias, a contar do desligamento; e
b) a licença do servidor afastado será cancelada após 30 (trinta) dias do início do afastamento.
V - a operacionalização do cancelamento das licenças é responsabilidade da TI do órgão, sendo responsabilidade de seus Gestores garantir que as licenças que não estejam em pleno uso sejam desativadas ou remanejadas dentro do contrato. Para isso, as TIs devem se reportar a PROCERGS, administradora das licenças Microsoft 365;
VI - eventuais providências deverão ser solicitadas pelo órgão gestor do contrato FPE 020131/2022 para ajustes no uso das licenças, conforme previsto no Decreto nº 55.795/2021;
VII - as licenças somente serão atribuídas a pessoas físicas, pertencentes ao quadro funcional do Estado; e
VIII - cada servidor terá direito a uma única licença.
§ 1ºEventual exceção à regra da licença única deverá ser justificada, sendo atribuída a um servidor a responsabilidade pelos acessos.
§ 2º Poderá ser requerido o custeio da licença adicional ao órgão solicitante.
§ 3º Para servidores cedidos, o órgão de origem (administração direta), que optar por manter a conta do usuário ativa, deverá justificar a necessidade e, sempre que possível, realizar downgrade para a Licença Exchange Online Kiosk.
Art. 7º A inclusão de usuários não integrantes do quadro do poder executivo estadual, na modalidade "convidado", em equipes e canais, requer prévia formalização da indicação.
§ 1º O nível de formalização dependerá da criticidade das informações contidas nos grupos e equipes que o convidado fará parte.
§ 2º A formalização deverá ser feita por meio de mecanismos oficiais (chat, e-mail, ofício, entre outros), e enviada à autoridade competente.
Art. 8º Os usuários não devem salvar informações de login no navegador utilizado.
Art. 9º Os usuários deverão, preferencialmente, adotar o compartilhamento nominal na plataforma 365.
Art. 10 Fica proibida a utilização da plataforma 365 para arquivamento ou edição de conteúdo inadequado, a exemplo de conteúdo obsceno, pornográfico, ofensivo, preconceituoso, discriminatório, de incitação ao ódio e à violência, com teor político-partidário, jogos de azar, correntes e pirâmides, investimentos em bolsa de valores, moedas eletrônicas ou qualquer outro conteúdo contrário ao uso racional e coerente da plataforma e alinhado aos princípios da Administração Pública.
Art. 11. A sincronização de arquivos em dispositivos móveis deve ser feita exclusivamente por meio dos aplicativos oficiais da Microsoft ou outros homologados pelo CETIC-RS.
SEÇÃO II
DO SERVIÇO DE E-MAIL - OUTLOOK
Art. 12. O serviço de e-mail Outlook destina-se ao envio e recebimento de correspondência eletrônica pelos colaboradores do Estado no exercício de suas atribuições legais.
Art. 13. Quanto à Segurança da Informação e à Lei Geral de Proteção de Dados - LGPD, devem ser observadas as seguintes regras, de caráter cogente:
I- a ferramenta de correio eletrônico deverá ser utilizada apenas para fins institucionais e é vedado o uso de correios privados para este fim;
II- vedação do uso do correio eletrônico corporativo para fins particulares, tais como cadastro em redes sociais, sites comerciais, sites de relacionamento, cadastro para receber milhagens, dentre outros usos particulares;
III- o serviço de correio eletrônico deverá contar com cópia de segurança conforme diretrizes estabelecidas pelos administradores de tecnologia da informação e comunicação da ferramenta de colaboração e produtividade;
IV- o acesso às mensagens deve ser restrito ao remetente e ao destinatário, sendo estas invioláveis, salvo por determinação administrativa autorizada pela autoridade máxima da pasta (ou autoridade equivalente), ou por motivo de segurança institucional;
V- a Política de Segurança do órgão deverá contemplar os métodos e protocolos seguros para acesso ao serviço de correio eletrônico;
VI- vedação de redirecionamento automático de e-mail para caixas particulares;
VII - vedação de compartilhamento público de agendas pessoais na agenda do Office 365; e
VIII - utilização da configuração mais restrita de bloqueio de conteúdo de e-mail para mitigar riscos de infecção por malweres ocultos.
Art. 14. É vedada a integração com a funcionalidade LinkedIn a fim de evitar o vazamento de dados pessoais.
Art. 15. A criação e a edição de documentos devem ser realizadas, preferencialmente, por meio da plataforma online do Office 365.
Art. 16. Os usuários devem priorizar o compartilhamento nominal de arquivos armazenados no OneDrive ou Sharepoint, evitando o envio de documentos anexados que possam ser repassados a terceiros sem qualquer controle.
Art. 17 . A sincronização do correio eletrônico em dispositivos móveis deve ser evitada ou, quando necessária, realizada exclusivamente por meio dos aplicativos oficiais da Microsoft ou outros homologadas pelo CETIC-RS.
SEÇÃO III
DO SERVIÇO DE ARMAZENAMENTO INDIVIDUAL - ONEDRIVE
Art. 18. O Serviço OneDrive destina-se ao armazenamento individual de conteúdo, ficando a critério do usuário o compartilhamento de conteúdos.
SEÇÃO IV
DO SHAREPOINT
Art. 19. O serviço de Sharepoint destina-se ao compartilhamento de arquivos em construção, entre equipes, organizados por departamentos, divisões, grupos de trabalho, projetos, processos, entre outros.
Art. 20. O compartilhamento de arquivos oficiais finalísticos, que requeiram cópia de segurança, deve ser feito por meio do servidor de arquivos oficial do órgão.
SEÇÃO V
DO TEAMS
Art. 21. O serviço Teams destina-se a atividades colaborativas.
Art. 22. A utilização da conta e das equipes é condicionada às finalidades específicas de uso por parte do Governo do Estado, sendo vedado o uso dessas ferramentas para questões pessoais ou fora do escopo de trabalho do servidor.
Art. 23. Quanto a criação, habilitação e configuração de equipes e canais, deve-se observar:
I - competência para criação de equipes: a definição de quem pode criar equipes será feita pelo órgão, que deverá dar ciência à PROCERGS;
II - possibilidades de criação de equipes: as equipes podem ser criadas conforme a necessidade, integradas por membros oriundos da mesma secretaria ou de secretarias distintas;
III - habilitação das equipes: a criação de equipes é habilitada no ambiente pela área de TI respectiva;
IV- configuração das equipes:
a) cada equipe inicia com, no máximo 5GB, sendo possível, caso necessite, solicitar mais espaço à PROCERGS, por meio da TI do órgão;
b) as equipes serão todas privadas;
c) os nomes de equipes terão o indicativo do órgão a que pertencem, por configuração;
d) as equipes terão prazo de validade de 06 (seis) meses, podendo ser revalidadas pelo administrador da equipe;
e) as equipes não revalidadas estarão em retenção por 12 meses, sendo excluídas após este período; e
f) recomenda-se que o conteúdo de equipes não revalidadas seja mantido em backup pelo órgão de acordo com os prazos de guarda definidos pela Tabela de Temporalidade de Documentos, normatizada pelo Sistema de Arquivos do Estado do Rio Grande do Sul.
V - a criação de equipes públicas deve ser evitada.
Art. 24. Os arquivos de vídeo ou áudio gravados em reuniões e eventos on-line no Teams devem ser acessíveis apenas por pessoas autorizadas, desde que preservada a finalidade da gravação.
§ 1º Os presentes devem ser sempre informados quando a reunião estiver sendo gravada.
§ 2º Quando houver tratamento de dados pessoais, a inclusão de indivíduos nos grupos será limitada conforme a necessidade.
