Portaria
Cotec
nº 54, de 08 de junho de 2017
(Publicado(a) no DOU de 22/06/2017, seção 1, página 21)
Dispõe sobre as formas e critérios de segurança da informação para o acesso a dados da Secretaria da Receita Federal do Brasil (RFB) por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional.
Histórico de alterações
(Alterado(a) pelo(a) Portaria
Cotec
nº 320, de 06 de dezembro de 2018)
(Alterado(a) pelo(a) Portaria Cotec nº 55, de 03 de julho de 2019)
(Alterado(a) pelo(a) Portaria Cotec nº 90, de 27 de dezembro de 2019)
(Alterado(a) pelo(a) Portaria Cotec nº 1, de 22 de janeiro de 2020)
(Alterado(a) pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
(Alterado(a) pelo(a) Portaria Cotec nº 55, de 03 de julho de 2019)
(Alterado(a) pelo(a) Portaria Cotec nº 90, de 27 de dezembro de 2019)
(Alterado(a) pelo(a) Portaria Cotec nº 1, de 22 de janeiro de 2020)
(Alterado(a) pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
A COORDENADORA-GERAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da atribuição que lhe confere o inciso III do art. 312 do Regimento Interno da Secretaria da Receita Federal do Brasil, aprovado pela Portaria MF nº 203, de 14 de maio de 2012, e tendo em vista o disposto no art. 22, inciso VI, da Portaria SRF nº 450, de 28 de abril de 2004, o disposto na Portaria RFB nº 1.384, de 09 de setembro de 2016, na Portaria RFB nº 1.639, de 22 de novembro de 2016, e a necessidade de regulamentar as formas e critérios de segurança da informação para acesso a bases de dados da Secretaria da Receita Federal do Brasil por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, resolve:
Art. 1º O modelo tecnológico para disponibilização de dados constantes de base de dados da Secretaria da Receita Federal do Brasil (RFB) para órgãos convenentes e órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional seguirá o disposto nesta Portaria.
Parágrafo Único. Para efeitos desta Portaria, além do disposto no artigo 2º da Portaria SRF nº 450/2004, entende-se por:
I - Forma de acesso: meio ou tecnologia utilizada para acessar as informações disponibilizadas a convenente ou a órgãos e entidades da administração pública federal direta, autárquica e fundacional;
II - Web Service/Application Programming Interface (API): Aplicação lógica, programável que torna compatíveis entre si diferentes aplicativos, independentemente do sistema operacional, arquitetura ou protocolo utilizados (REST ou SOAP), permitindo a comunicação e intercâmbio de dados entre diferentes redes e sistemas;
II –Web Service/Application Programming Interface (API): Modelo tecnológico composto por aplicação lógica, programável, que torna compatíveis entre si diferentes aplicativos, independentemente do sistema operacional, arquitetura ou protocolo utilizados (REST ou SOAP), permitindo a comunicação e intercâmbio de dados entre diferentes redes e sistemas;
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
III - Perfil de sistema: conjunto de privilégios ou transações de um sistema atribuído a um usuário;
III – Blockchain: Modelo tecnológico composto por camada lógica de integração baseada em protocolo de confiança composto de blocos de registros encadeados e banco de dados distribuído.
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
IV - Perfil de serviço: conjunto de privilégios e informações passíveis de consulta por meio de um serviço atribuído a um órgão convenente ou a órgãos e entidades da administração pública federal direta, autárquica e fundacional;
IV - Rede Permissionada Blockchain: Implementação da tecnologia Blockchain, em uma abordagem onde apenas as entidades autorizadas participarão da rede.
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
IV - Transação: conjunto de operações que desempenha uma função lógica em um sistema;
(Suprimido(a) - vide
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
V - Evento: qualquer interação com o ambiente informatizado da RFB, com ou sem intervenção do usuário;
V - bCPF: Rede Permissionada Blockchain do Cadastro de Pessoas Físicas.
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
VI - Registro de eventos (log): conjunto de informações armazenadas para permitir o acompanhamento de eventos praticados no ambiente informatizado; e
VI – Perfil de sistema: conjunto de privilégios ou transações de um sistema atribuído a um usuário;
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
VII - Apuração especial: procedimento computacional destinado a gerar relatório ou arquivo eletrônico especificado pela RFB e executado por um de seus prestadores de serviços.
VII – Perfil de serviço: conjunto de privilégios e informações passíveis de consulta por meio de um serviço atribuído a um órgão convenente ou a órgãos e entidades da administração pública federal direta, autárquica e fundacional;
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
VIII – Transação: conjunto de operações que desempenha uma função lógica em um sistema;
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
IX – Evento: qualquer interação com o ambiente informatizado da RFB, com ou sem intervenção do usuário;
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
X – Registro de eventos (log): conjunto de informações armazenadas para permitir o acompanhamento de eventos praticados no ambiente informatizado;
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
XI – Apuração especial: procedimento computacional destinado a gerar relatório ou arquivo eletrônico especificado pela RFB e executado por um de seus prestadores de serviços; e
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
XII – Chave Criptográfica Privada: Registro de compartilhamento proibido e de guarda e gestão privativa do convenente, que identifica o participante na Rede Permissionada Blockchain do Cadastro de Pessoas Fisicas.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
Art. 2º O acesso aos dados da RFB, por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, dar-se-á por consulta via Web Service/API, com o uso de certificado digital.
Art. 2º O acesso aos dados da RFB, por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, dar-se-á por consulta via Web Service/API ou pelo bCPF.
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
Art. 2º O acesso aos dados da RFB, por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, dar-se-á por consulta via Web Service/API por redes permissionadas blockchain.
(Redação dada pelo(a)
Portaria
Cotec
nº
55,
de
03 de julho de 2019)
Art. 2º O acesso aos dados da RFB, por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, dar-se-á por consulta via Web Service/API ou por redes permissionadas blockchain.
(Redação dada pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
§ 1º Para dados do Cadastro de Pessoa Física (CPF) e do Cadastro Nacional de Pessoa Jurídica (CNPJ), em complemento ao disposto no caput, é facultado o acesso por meio de habilitação em perfis próprios desses sistemas, permitindo acesso aos seguintes dados:
§ 1º Para dados do Cadastro de Pessoa Física (CPF) e do Cadastro Nacional de Pessoa Jurídica (CNPJ), em complemento ao disposto no caput, é facultado o acesso por meio de habilitação em perfis próprios desses sistemas, conforme as respectivas portarias de controle de acesso.
(Redação dada pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
§1º O órgão ou entidade convenente deverá adotar as soluções previstas no caput até 31 de dezembro de 2024.
(Redação dada pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
- Número de inscrição;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Situação cadastral;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Indicativo de residente no exterior;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Nome do país, caso seja residente no exterior;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Data de nascimento;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Endereço completo (tipo de logradouro, nome do logradouro, número da habitação, CEP, UF e município);
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Unidade administrativa;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Indicativo de estrangeiro;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Data de inscrição do CPF;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Naturalidade; e
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Nacionalidade.
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Número de inscrição;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Indicador de matriz/filial;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Nome empresarial;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Nome fantasia;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Situação cadastral;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Cidade no exterior, caso o estabelecimento seja domiciliado no exterior;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Código do país, caso o estabelecimento seja domiciliado no exterior;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Nome do país, caso o estabelecimento seja domiciliado no exterior;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Data da situação cadastral;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Natureza jurídica;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Data de abertura;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- CNAE - Principal;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- CNAE secundários (até 10);
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Responsável pela PJ, CPF e nome;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Capital Social da Empresa;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- CPF dos participantes do QSA;
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Qualificação dos participantes no QSA; e
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
- Porte do estabelecimento.
(Revogado(a) pelo(a)
Portaria
Cotec
nº
1,
de
22 de janeiro de 2020)
§ 2º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e CNPJ, poderá ser realizada até 31 de dezembro de 2018, nos termos do § 2º do art. 6º da Portaria RFB nº 1639, de 2016.
§ 2º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e do CNPJ poderá ser realizada até 31 de julho de 2019, nos termos do § 3º do art. 6º da Portaria RFB nº 1639, de 2016.
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
§ 2º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e do CNPJ poderá ser realizada até 31 de janeiro de 2020, nos termos do § 3º do art. 6º da Portaria RFB nº 1639, de 2016.
(Redação dada pelo(a)
Portaria
Cotec
nº
55,
de
03 de julho de 2019)
§ 2º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e do CNPJ poderá ser realizada até 31 de julho de 2020, nos termos do § 3º do art. 6º da Portaria RFB nº 1639, de 2016.
(Redação dada pelo(a)
Portaria
Cotec
nº
90,
de
27 de dezembro de 2019)
§2º Fica autorizado o acesso aos sistemas de cadastros por meio da solução HOD até a data prevista § 1º.
(Redação dada pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
§ 3º O órgão receptor das bases de dados de que trata o art. 2º deve garantir a total rastreabilidade das informações ou mídias fornecidas, em conformidade com os requisitos previstos nesta Portaria.
(Suprimido(a) - vide
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
§3º Fica a critério da RFB avaliar o fornecimento de acesso aos sistemas de cadastros por meio de habilitação em perfis próprios do Portal de Cadastros, a depender da solicitação de acesso ou até que os órgãos convenentes adotem as soluções previstas no caput
(Redação dada pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
§4º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e do CNPJ poderá ser realizada conforme previsto no art. 11 da Portaria RFB nº34, de 14 de maio de 2021.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
DOS CRITÉRIOS DE SEGURANÇA PARA ACESSO VIA WEB SERVICES e REDE PERMISSIONADA BLOCKCHAIN DO CADASTRO DE PESSOAS FÍSICAS
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
Art. 3º Os Web Services/API utilizados para o fornecimento dos dados deverão conter as seguintes funcionalidades e características:
Art. 3º Os Web Services/API e a Rede Permissionada Blockchain do Cadastro de Pessoas Físicas utilizados para o fornecimento dos dados deverão conter as seguintes funcionalidades e características:
(Redação dada pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
I - comunicação via HTTPS com uso de certificado digital ICP-Brasil, emitido em nome do órgão receptor dos dados objeto de convênio ou autorização, do tipo e-Equipamento;
II - filtrar a conexão de origem por conjunto de endereços IP atribuídos aos órgãos receptores dos dados;
IV - habilitação em perfis de serviços e sistemas de acesso a base por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, com vias a restringir o acesso apenas aos órgãos/usuários devidamente autorizados; e
V - registro de todos os eventos, com armazenamento e forma como definidas na Portaria RFB nº 693, de 13 de fevereiro de 2014.
VI - Politica de segurança atualizada; e
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
VII – Gestão segura da chave criptográfica privada e dos ativos tecnológicos representados pelos computadores, conjunto de softwares e demais elementos de hardware utilizados.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
320,
de
06 de dezembro de 2018)
Art. 4º As habilitações de usuários de órgãos convenentes ou de órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, para acesso a sistemas da RFB seguirão o rito estabelecido na Portaria RFB/Sucor/Cotec nº 73, de 08 de dezembro de 2014, alterada pela Portaria RFB/Sucor/Cotec nº 1, de 11 de janeiro de 2016.
Art. 4º As habilitações de usuários de órgãos convenentes ou de órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, para acesso a sistemas da RFB seguirão o rito estabelecido na Portaria RFB/Sucor/Cotec nº 117, de 31 de outubro de 2022.
(Redação dada pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
§ 1º As habilitações serão realizadas apenas por necessidade de serviço, as quais, após cessados os motivos que levaram a sua concessão, deverão ser retiradas por meio de uma solicitação de desabilitação.
§ 2º A qualquer tempo a RFB poderá solicitar aos órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional a revisão das habilitações vigentes dos seus usuários.
Art. 5º O convenente e órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional são responsáveis pela correta utilização dos dados disponibilizados e os mesmos não poderão ser transferidos a terceiros, total ou parcialmente, ou divulgados de qualquer forma ou a qualquer título.
Art. 6º Os dados poderão ser utilizados apenas nas atividades intrínsecas para as quais foram solicitadas.
Art. 7º A utilização dos dados disponibilizados pela RFB em desconformidade com a legislação pertinente, implicará o imediato cancelamento da disponibilização, sem prejuízo de apurações de responsabilidade na forma prevista em regulamentação específica.
Art. 8º Os sistemas de informação de âmbito interno dos órgãos convenentes ou dos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que consumirem as informações disponibilizadas, deverão implementar, no mínimo, os seguintes requisitos:
I - acesso por meio de certificado digital ICP-Brasil, padrão A3, para os usuários, quando os sistemas fizerem acesso à base recebida ou acesso por outra forma de autenticação de usuários quando os sistemas consumirem as informações através de Web Service/API que implemente os demais requisitos previstos;
(Redação dada pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
III - Registro de todos os eventos de logs que envolvam os dados objetos do convênio ou autorização, permitindo identificar individualmente a operação efetuada, o usuário, estação de trabalho e data/hora das transações realizadas;
V - Estabelecimento de perfis de acesso com definição de atribuições e responsabilidades dos usuários neles habilitados; e
VI - Acesso regulamentado mediante processos formais para a solicitação de acesso aos perfis dos sistemas, permitindo verificar, inclusive, os autorizadores que concederam as permissões ao usuário.
§ 1º Os órgãos convenentes ou os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional deverão guardar por período necessário à garantia de responsabilidade dos usuários por eventual uso indevido das informações, observadas as políticas e normas internas, os dados relativos ao controle de acesso e ao acesso a registros de informação, bem como os documentos referentes à autorização de acesso e utilização dos dados disponibilizados pela RFB.
§ 3º Os sistemas de que trata o caput devem ser desenvolvidos com adesão à práticas e metodologias de desenvolvimento seguro com vias a mitigar vulnerabilidades e falhas no sistema.
§ 4º Os sistemas de que trata o caput que fizerem consultas pontuais e transacionais aos dados, não armazenando as informações consumidas de modo a criar uma réplica parcial ou total dos dados da RFB, estão dispensados do inciso II do caput, no que diz respeito ao armazenamento de dados, e do inciso IV do caput.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
55,
de
03 de julho de 2019)
§5º O Web Service/API que fizer acesso à base de dados para responder requisições dos sistemas de informação de âmbito interno de que trata o caput deve implementar comunicação via HTTPS com uso de certificado digital ICP-Brasil, emitido em nome do órgão receptor dos dados objeto de convênio ou autorização, do tipo e-Equipamento.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
149,
de
11 de abril de 2023)
Art. 9. As salas, nos órgãos receptores dos dados ou prestadores de serviço, destinadas aos equipamentos servidores, banco de dados e storages responsáveis pela recepção e guarda dos dados provenientes da RFB, deverão implementar, no mínimo, os seguintes requisitos:
I - utilização de mecanismo eletrônico de identificação e controle de acesso baseado em, no mínimo, dois fatores de autenticação;
II - todo acesso de pessoas e materiais deve ser autorizado e registrado por equipamento de monitoramento, 24 horas pelos 7 dias da semana, e mantidas em arquivos de log;
III - infraestrutura protegida com ativos de segurança (Firewall, IDS - Intrusion Detection System e IPS - Intrusion Prevention System) e gerenciados e monitorados por Grupo de Resposta a Ataques - GRA; e
IV - manutenção das imagens do sistema de monitoramento, preferencialmente na mesma mídia, pelo período mínimo de um ano.
Parágrafo Único. O disposto neste artigo não se aplica à sistemas que fizerem consultas pontuais e transacionais aos dados, não armazenando as informações consumidas de modo a criar uma réplica parcial ou total dos dados da RFB.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
55,
de
03 de julho de 2019)
Art. 10. O convenente ou os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional devem garantir a implementação das políticas de segurança da informação dispostas nesta Portaria, sendo facultado à RFB solicitar, a qualquer momento, a demonstração do atendimento do disposto nesta Portaria.
Parágrafo Único. Compete ao convenente ou aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, a responsabilidade civil, penal e administrativa pela fiel implementação desta Portaria, não excluindo ou reduzindo essa responsabilidade eventual acompanhamento realizado pela RFB.
(Incluído(a) pelo(a)
Portaria
Cotec
nº
55,
de
03 de julho de 2019)
*Este texto não substitui o publicado oficialmente.