INSTRUÇÃO NORMATIVA Nº 005, DE 29 DE MAIO DE 2025.

A DIRETORA-GERAL DO TRIBUNAL REGIONAL ELEITORAL DO PARANÁ, no uso das atribuições que lhe são conferidas pelo art. 43, inc. VII, do Regulamento da Secretaria deste Tribunal;

CONSIDERANDO a Lei n. 13.709, de 14/08/2018 (Lei Geral de Proteção de Dados Pessoais LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

CONSIDERANDO a Lei nº 10.098, de 19/12/2000, que estabelece normas gerais e critérios básicos para a promoção da acessibilidade das pessoas portadoras de deficiência ou com mobilidade reduzida;

CONSIDERANDO o disposto na Resolução CNJ n° 370, de 28/01/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTICJUD);

CONSIDERANDO o disposto na Resolução CNJ n° 396, de 07/06/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO o disposto na Resolução TSE nº 23.644, de 1º/07/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Instrução Normativa DG/TRE/PR nº 04, de 27/10/2022, que regulamenta a utilização dos recursos computacionais no âmbito da Justiça Eleitoral do Paraná;

CONSIDERANDO a Norma Técnica nº 002, de 12/09/2022, que institui o processo de Gerenciamento de Ativos e Configuração de Tecnologia da Informação no âmbito da Justiça Eleitoral do Paraná;

CONSIDERANDO o contido no SEI nº 0001687-44.2025.6.16.8000;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a norma de Gestão de Ativos de Tecnologia da Informação (TI), em consonância com a Política de Segurança da Informação (PSI) da Justiça Eleitoral.

Art. 2º Para os efeitos desta norma, aplicam-se os termos e definições conceituados no Anexo I.

CAPÍTULO II

DO INVENTÁRIO DOS ATIVOS

Art. 3º Todos os ativos de TI que utilizem infraestrutura de Tecnologia da Informação, enquanto permanecerem sob responsabilidade ou custódia do TRE-PR, devem ser identificados e inventariados.

Art. 4º O inventário de ativos de TI do TRE-PR deve abranger toda a infraestrutura tecnológica utilizada, conectada ou não à rede corporativa, conforme estabelece o art. 3º.

Art. 5º O detalhamento dos ativos de TI deve contemplar, no mínimo, e, quando aplicável, o seguinte conjunto de informações:

I - Identificação única (matrícula, número patrimonial, nome, QR Code, RFID, etc.);

II - Tipo de ativo;

III - Descrição do ativo;

IV - Localização;

V - Unidade responsável;

VI - Proprietária (o) do ativo de informação;

VII - Custodiante;

VIII - informações complementares sobre software, como versão, fornecedor, formato, data de instalação, licenças de uso, disponibilidade de suporte, cópia de segurança (backup) e aprovação de instalação na rede corporativa;

IX - informações complementares sobre hardware, como endereço de Internet Protocol (IP), endereço de hardware (MAC Address), nome da máquina.

Art. 6º Recomenda-se que o detalhamento dos ativos contemple, também, os seguintes itens:

I - O levantamento das interfaces e das interdependências internas e externas dos ativos de informação considerados críticos, bem como os impactos quando da indisponibilidade ou destruição de tais ativos de informação, seja no caso de incidentes ou de desastres, visando atender aos interesses da sociedade e do Estado;

II - Os requisitos de segurança da informação categorizados, no mínimo, em 5 (cinco) categorias de controle:

a) Tratamento da informação;

b) Controles de acesso físico e lógico;

c) Gestão de risco de segurança da informação;

d) Tratamento e respostas a incidentes em redes computacionais;

e) Gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação.

Art. 7º O inventário de ativos de TI deve assegurar compatibilidade e exatidão de conteúdo com outros inventários em uso no TRE-PR, a exemplo do controle patrimonial.

§ 1º. Os procedimentos serão realizados pela Secretaria de Tecnologia da Informação.

§ 2º As urnas eletrônicas poderão ser controladas em inventário diferenciado, em função de suas especificidades de arquitetura e de utilização.

Art. 8º As informações registradas no inventário de ativos devem ser revisadas anualmente, e as anomalias encontradas devem ser apresentadas ao Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais (CGSIPDP), conforme definições do processo de gerência de configuração.

CAPÍTULO III

DA GESTÃO DOS ATIVOS DE TI

Art. 9º Todo ativo de TI utilizado no TRE-PR terá uma unidade administrativa encarregada de gerenciar seu ciclo de vida.

Parágrafo único. O gestor do ativo de TI se responsabilizará pelo cumprimento das exigências de segurança da informação, a fim de minimizar custos e riscos, garantir a continuidade dos serviços, conformidade, e ainda:

I - Manter um registro detalhado e atualizado de todos os ativos de TI, sua localização, quem os utiliza e qual seu status;

II - Gerir o ciclo de vida dos ativos de TI, desde sua aquisição até o descarte, quando for o caso, a fim de garantir que sejam utilizados de forma eficiente durante toda sua vida útil;

III - Comunicar possíveis riscos de segurança e operacionais, relacionados aos ativos de TI à unidade de Segurança Cibernética;

Art. 10. O(a) proprietário(a) do ativo de TI, TRE-PR ou outro órgão/entidade, se responsabilizará pela descrição do ativo, incluindo as exigências de segurança da informação, devidamente comunicadas a todo(a)s o(a)s custodiantes e usuárias(os), e, ainda:

I - Garantir o cumprimento das exigências de segurança da informação, por meio de monitoramento contínuo;

II - Indicar os riscos de segurança da informação que podem afetar os ativos;

III - Garantir a adequada classificação dos ativos sob sua responsabilidade, segundo o grau de segurança das informações nele contidas;

IV - Garantir tratamento adequado, conforme a classificação de segurança das informações nele contidas, de acordo com as orientações descritas na norma de classificação da informação;

V - Garantir a habilitação de credenciais ou contas de acesso, conforme as restrições ao acesso definidas pelo grau de segurança das informações nele contidas.

VI - Atualizar o inventário quando houver mudança de localização, responsabilidade ou custódia do ativo.

Art. 11. O(a) proprietário(a) do ativo de TI deve estabelecer critérios e práticas que assegurem a segregação de funções para que o controle de um processo ou sistema não fique restrito, na sua totalidade, a uma única pessoa, visando à redução do risco de mau uso acidental ou deliberado dos ativos.

Art. 12. O(a) proprietário(a) do ativo de TI poderá delegar as tarefas de rotina para um custodiante, providência que não afastará, todavia, a responsabilidade do primeiro.

CAPÍTULO IV

DA GESTÃO DE ATIVOS DE SOFTWARE

Art. 13. A gestão de ativos de software tem como premissas:

I - a ampliação do uso da tecnologia da informação para promover a eficiência dos processos de trabalho nas unidades do Tribunal;

II - a definição de papéis e responsabilidades das unidades envolvidas na gestão dos ativos de software;

III - o alinhamento ao planejamento estratégico do TRE-PR e à Política de Segurança da Informação da Justiça Eleitoral.

Art. 14. Para o desenvolvimento, a evolução e a sustentação de ativos de software, devem ser observados os seguintes requisitos:

I - seguir a arquitetura de software e de infraestrutura de tecnologia da informação e comunicação estabelecida e documentada pela Secretaria de Tecnologia da Informação;

II - ser avaliado e classificado como estruturante ou não estruturante pela Administração, em conjunto com a Secretaria de Tecnologia da Informação;

III - ter conformidade com a Lei Geral de Proteção de Dados, com a Lei de Acesso à Informação e com a Política de Segurança da Informação do TRE-PR;

IV - ter conformidade com requisitos e normativos vigentes relacionados à acessibilidade, interoperabilidade, privacidade e dados abertos em recursos de tecnologia da informação, quando aplicável;

V - atender, quando aplicável, a padrões que venham a ser recomendados pelo Comitê de Gestão da Tecnologia da Informação (CGTI).

Art. 15. As solicitações de serviço de desenvolvimento, evolução ou sustentação de ativos de software devem seguir o fluxo de atendimento estabelecido no normativo interno que regulamenta a solicitação de serviços de tecnologia da informação e comunicação.

Art. 16. A SECTI é responsável pelo desenvolvimento, evolução e sustentação de ativos de software corporativos.

Art. 17. Será excepcionalmente permitido, mediante análise prévia e autorização da SECTI, o desenvolvimento de ativos de software setoriais, incluindo os ativos construídos por meio de plataformas de low-code e no-code, por unidades não vinculadas à SECTI.

§ 1º. A unidade desenvolvedora se responsabilizará pela gestão, evolução, sustentação e descontinuação dos ativos de software sob sua responsabilidade, cujas condições constarão do Termo de Responsabilidade, assinado pelo titular da unidade e registrado por meio de processo eletrônico.

§ 2º. Previamente à disponibilização e uso do software, a unidade deverá submeter à SECTI para homologação da ferramenta, a qual será avaliada na conformidade quanto à segurança, desempenho, usabilidade e registros definidos pelo art. 3º.

§ 3º Os ativos de software setoriais poderão ser incorporados ao portfólio de softwares do TRE-PR, mediante análise e solicitação da SECTI.

Art. 18. As unidades desenvolvedoras de softwares setoriais, não vinculadas à SECTI, deverão:

I - utilizar exclusivamente as plataformas low-code e no-code homologados pela SECTI;

II - disponibilizar suporte aos usuários do software;

III - prever, quando necessário, as alternativas de continuidade de negócio para eventuais indisponibilidades de software que apoie processo crítico de trabalho;

IV - submeter à homologação da unidade responsável pela análise de conformidade do processo/serviço a ser criado em relação à manipulação de dados pessoais, a fim de garantir que os critérios definidos pela Lei Geral de Proteção de Dados (Lei n. 13.709/2018) sejam cumpridos;

Art. 19. Os serviços para apoiar o desenvolvimento ou sustentação de softwares setoriais são de competência exclusiva da SECTI.

§ 1º A SECTI avaliará os aspectos técnicos envolvidos, incluindo eventuais riscos para a disponibilidade da solução, assim como a capacidade de gestão e de fiscalização do serviço contratado.

§ 2º Na hipótese de contratação, a SECTI será responsável pela avaliação técnica e a unidade gestora será responsável pela avaliação de negócio do serviço prestado.

Art. 20. O ativo de software poderá ser descontinuado nos casos em que:

I - apresentar problemas insanáveis de segurança da informação;

II - não atender os requisitos descritos nesta IN;

III - tornar-se obsoleto para uso;

IV - for substituído por outro ativo de software.

Parágrafo único. É de responsabilidade da unidade gestora, sua declaração de descontinuidade.

CAPÍTULO V

DA GESTÃO DO INVENTÁRIO DOS ATIVOS

Seção I

Controle de Redes

Art. 21. Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (hardwares) inventariados, entre os quais:

I - utilização de ferramenta de varredura ativa ou passiva para manter automaticamente o inventário atualizado;

II - utilização de ferramentas de gerenciamento de endereço IP para atualizar o inventário;

III - controle sobre quais ativos podem ser conectados à rede corporativa;

IV - garantia de remoção da rede corporativa ou de colocação em quarentena de ativos não autorizados ou de atualização do inventário em tempo hábil.

Art. 22. Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (softwares) inventariados:

I - Utilização, preferencialmente, de ferramenta de inventário para automatizar o registro de todos os softwares utilizados;

II - Manutenção de lista atualizada de todos os softwares autorizados em uso;

III - Garantia de homologação para uso apenas de software atualmente suportado pelo fornecedor, cabendo a marcação daquele não suportado no inventário como sem disponibilidade de suporte, além de documentação de exceção detalhando os controles de mitigação e a aceitação do risco residual, caso o uso de software sem suporte seja necessário ao cumprimento da missão do tribunal;

IV - Integração dos inventários de software e hardware para que todos os ativos associados sejam rastreados em um único local;

V - Garantia de remoção de software não autorizado ou de atualização do inventário em tempo hábil;

VI - Avaliação regular dos riscos e vulnerabilidades de uso de software segregado ou conectado na rede corporativa.

Seção II

Controle de ativos de processamento

Art. 23. O processo de gerência de configuração deve assegurar que o inventário dos ativos seja adequadamente gerenciado, atualizado e monitorado em cada fase do ciclo de vida do ativo, quais sejam:

I - aquisição;

II - implementação;

III - manutenção; e

IV - descarte.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 24. A SECTI ou a unidade por ela delegada que detenha tal atribuição terá acesso ao inventário de que trata o art. 3º, para consulta e emissão de relatório, para fins de atualização do Plano de Classificação das Informações e dos Documentos e da Tabela de Temporalidade dos Documentos, bem como para classificação e avaliação dos ativos de informação do Tribunal.

Art. 25. Os casos omissos serão resolvidos pelo CGTI e/ou pela SECTI, observadas suas competências.

Art. 26. A revisão desta Instrução Normativa ocorrerá sempre que se fizer necessário para o TRE PR.

Art. 27. O descumprimento desta Instrução Normativa deve ser imediatamente registrado como incidente de segurança e comunicado ao CGSIPDP para apuração e consequente adoção das providências cabíveis.

Art. 28. Esta Instrução Normativa entrará em vigor na data de sua publicação e sua implementação se fará no prazo de 1 ano a contar desta data.

Curitiba, 29 de maio de 2025.

SOLANGE MARIA VIEIRA

Diretora-Geral

ANEXO I

TERMOS E DEFINIÇÕES

Para os efeitos desta instrução normativa, considera-se:

I. Ativos de TI: todo e qualquer componente de hardware, software e rede de dados em uso no Tribunal, nos Cartórios Eleitorais e pelos servidores do quadro funcional da Justiça Eleitoral do Paraná, quando no exercício de suas funções;

II. Ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação e locais onde se encontram esses meios e as pessoas que a eles têm acesso;

III. Ativos de processamento: são elementos físicos (hardware) e lógicos (software) que processam informações e dados na organização.

IV. Ativos de hardware: componentes físicos dos equipamentos de Informática;

V. Ativos de software: item de solução de tecnologia da informação e comunicação constituído por software que é classificado, quanto a sua estrutura, em:

a) estruturante: ativo de software desenvolvido, evoluído ou sustentado pelo TRE-PR que contenha informações em sua construção que sejam de responsabilidade restrita a um agente público;

b) não estruturante: todo ativo não classificado como estruturante;

VI. Desenvolvimento de software: construção de novos ativos de software;

VII. Evolução de software: inclusão de novas funcionalidades ou de melhorias nas funcionalidades existentes no ativo de software em produção;

VII. Gestor do Ativo - O responsável por gerenciar todo o ciclo de vida dos recursos de Tecnologia da Informação (TI).

VIII. Sustentação de software: correção de falhas ou adaptação de ativo de software em produção para garantir o correto funcionamento;

IX. Suporte técnico: serviço que proporciona assistência direta sobre o ativo de hardware ou de software e envolve atividades relacionadas à ativação, disponibilidade em ambiente produtivo e orientações quanto ao uso da solução e suas funcionalidades;

X. Software corporativo: ativo de software destinado ao atendimento de necessidades de negócio da organização como um todo, com impacto abrangente sobre resultados ou funcionamento do Tribunal;

XI. Software setorial: ativo de software destinado ao atendimento de necessidades de uma unidade ou de conjunto reduzido de unidades, com impacto limitado sobre resultados ou funcionamento do Tribunal;

XII. Protótipo: ativo de software de caráter experimental desenvolvido para teste e validação de conceitos e hipóteses para o atendimento a necessidades ou oportunidades de negócio do Tribunal;

XIII. Portfólio de softwares do Tribunal: repositório único de registro de todos os softwares à disposição do Tribunal Regional Eleitoral do Paraná, inclusive de origem externa cujo acesso seja permitido a partir do ambiente computacional do Tribunal.

XIV. Low-code: plataformas de desenvolvimento que permitem a criação de ativos de software com pouco ou nenhum código de programação tradicional.

XV. no-code: plataformas de desenvolvimento que permitem a criação de ativos de software com nenhum código de programação tradicional.

XVI. Proprietária(o) do ativo de informação: refere-se à parte interessada do órgão ou entidade, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável primário pela viabilidade e sobrevivência dos ativos de informação.

XVII. Custodiante: aquele que, de alguma forma, total ou parcialmente, zela pelo armazenamento, operação, administração e preservação de um sistema estruturante - ou dos ativos de informação que compõem o sistema de informação - que não lhe pertence, mas que está sob sua custódia.

Curitiba-PR, 29 de maio de 2025.

SOLANGE MARIA VIEIRA

Diretora-Geral