Portaria Cotec nº 54, de 08 de junho de 2017
(Publicado(a) no DOU de 22/06/2017, seção 1, página 21)  
Multivigente Vigente Original Relacional

Dispõe sobre as formas e critérios de segurança da informação para o acesso a dados da Secretaria da Receita Federal do Brasil (RFB) por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional.



A COORDENADORA-GERAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da atribuição que lhe confere o inciso III do art. 312 do Regimento Interno da Secretaria da Receita Federal do Brasil, aprovado pela Portaria MF nº 203, de 14 de maio de 2012, e tendo em vista o disposto no art. 22, inciso VI, da Portaria SRF nº 450, de 28 de abril de 2004, o disposto na Portaria RFB nº 1.384, de 09 de setembro de 2016, na Portaria RFB nº 1.639, de 22 de novembro de 2016, e a necessidade de regulamentar as formas e critérios de segurança da informação para acesso a bases de dados da Secretaria da Receita Federal do Brasil por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, resolve:
DISPOSIÇÕES PRELIMINARES
Art. 1º O modelo tecnológico para disponibilização de dados constantes de base de dados da Secretaria da Receita Federal do Brasil (RFB) para órgãos convenentes e órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional seguirá o disposto nesta Portaria.
Parágrafo Único. Para efeitos desta Portaria, além do disposto no artigo 2º da Portaria SRF nº 450/2004, entende-se por:
I - Forma de acesso: meio ou tecnologia utilizada para acessar as informações disponibilizadas a convenente ou a órgãos e entidades da administração pública federal direta, autárquica e fundacional;
II –Web Service/Application Programming Interface (API): Modelo tecnológico composto por aplicação lógica, programável, que torna compatíveis entre si diferentes aplicativos, independentemente do sistema operacional, arquitetura ou protocolo utilizados (REST ou SOAP), permitindo a comunicação e intercâmbio de dados entre diferentes redes e sistemas;   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
III – Blockchain: Modelo tecnológico composto por camada lógica de integração baseada em protocolo de confiança composto de blocos de registros encadeados e banco de dados distribuído.   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
IV - Rede Permissionada Blockchain: Implementação da tecnologia Blockchain, em uma abordagem onde apenas as entidades autorizadas participarão da rede.   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
V - bCPF: Rede Permissionada Blockchain do Cadastro de Pessoas Físicas.   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
VI – Perfil de sistema: conjunto de privilégios ou transações de um sistema atribuído a um usuário;   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
VII – Perfil de serviço: conjunto de privilégios e informações passíveis de consulta por meio de um serviço atribuído a um órgão convenente ou a órgãos e entidades da administração pública federal direta, autárquica e fundacional;   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
VIII – Transação: conjunto de operações que desempenha uma função lógica em um sistema;   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
IX – Evento: qualquer interação com o ambiente informatizado da RFB, com ou sem intervenção do usuário;   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
X – Registro de eventos (log): conjunto de informações armazenadas para permitir o acompanhamento de eventos praticados no ambiente informatizado;   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
XI – Apuração especial: procedimento computacional destinado a gerar relatório ou arquivo eletrônico especificado pela RFB e executado por um de seus prestadores de serviços; e   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
XII – Chave Criptográfica Privada: Registro de compartilhamento proibido e de guarda e gestão privativa do convenente, que identifica o participante na Rede Permissionada Blockchain do Cadastro de Pessoas Fisicas.   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
Das formas de acesso
Art. 2º O acesso aos dados da RFB, por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, dar-se-á por consulta via Web Service/API ou por redes permissionadas blockchain.   (Redação dada pelo(a) Portaria Cotec nº 1, de 22 de janeiro de 2020)
§1º O órgão ou entidade convenente deverá adotar as soluções previstas no caput até 31 de dezembro de 2024.   (Redação dada pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
§2º Fica autorizado o acesso aos sistemas de cadastros por meio da solução HOD até a data prevista § 1º.   (Redação dada pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
§3º Fica a critério da RFB avaliar o fornecimento de acesso aos sistemas de cadastros por meio de habilitação em perfis próprios do Portal de Cadastros, a depender da solicitação de acesso ou até que os órgãos convenentes adotem as soluções previstas no caput   (Redação dada pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
§4º A disponibilização de acesso aos dados por meio de fornecimento de réplicas, parciais ou totais, das bases de dados do CPF e do CNPJ poderá ser realizada conforme previsto no art. 11 da Portaria RFB nº34, de 14 de maio de 2021.   (Incluído(a) pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
DOS CRITÉRIOS DE SEGURANÇA PARA ACESSO VIA WEB SERVICES e REDE PERMISSIONADA BLOCKCHAIN DO CADASTRO DE PESSOAS FÍSICAS   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
Art. 3º Os Web Services/API e a Rede Permissionada Blockchain do Cadastro de Pessoas Físicas utilizados para o fornecimento dos dados deverão conter as seguintes funcionalidades e características:   (Redação dada pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
I - comunicação via HTTPS com uso de certificado digital ICP-Brasil, emitido em nome do órgão receptor dos dados objeto de convênio ou autorização, do tipo e-Equipamento;
II - filtrar a conexão de origem por conjunto de endereços IP atribuídos aos órgãos receptores dos dados;
III - exigir a identificação (CPF) do usuário que está de fato realizando a consulta aos dados;
IV - habilitação em perfis de serviços e sistemas de acesso a base por órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, com vias a restringir o acesso apenas aos órgãos/usuários devidamente autorizados; e
V - registro de todos os eventos, com armazenamento e forma como definidas na Portaria RFB nº 693, de 13 de fevereiro de 2014.
VII – Gestão segura da chave criptográfica privada e dos ativos tecnológicos representados pelos computadores, conjunto de softwares e demais elementos de hardware utilizados.   (Incluído(a) pelo(a) Portaria Cotec nº 320, de 06 de dezembro de 2018)
Da habilitação em perfis de sistemas
Art. 4º As habilitações de usuários de órgãos convenentes ou de órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, para acesso a sistemas da RFB seguirão o rito estabelecido na Portaria RFB/Sucor/Cotec nº 117, de 31 de outubro de 2022.   (Redação dada pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
§ 1º As habilitações serão realizadas apenas por necessidade de serviço, as quais, após cessados os motivos que levaram a sua concessão, deverão ser retiradas por meio de uma solicitação de desabilitação.
§ 2º A qualquer tempo a RFB poderá solicitar aos órgãos convenentes ou por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional a revisão das habilitações vigentes dos seus usuários.
DA UTILIZAÇÃO E PROTEÇÃO DAS INFORMAÇÕES DISPONIBILIZADAS
Art. 5º O convenente e órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional são responsáveis pela correta utilização dos dados disponibilizados e os mesmos não poderão ser transferidos a terceiros, total ou parcialmente, ou divulgados de qualquer forma ou a qualquer título.
Art. 6º Os dados poderão ser utilizados apenas nas atividades intrínsecas para as quais foram solicitadas.
Art. 7º A utilização dos dados disponibilizados pela RFB em desconformidade com a legislação pertinente, implicará o imediato cancelamento da disponibilização, sem prejuízo de apurações de responsabilidade na forma prevista em regulamentação específica.
Art. 8º Os sistemas de informação de âmbito interno dos órgãos convenentes ou dos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que consumirem as informações disponibilizadas, deverão implementar, no mínimo, os seguintes requisitos:
I - acesso por meio de certificado digital ICP-Brasil, padrão A3, para os usuários, quando os sistemas fizerem acesso à base recebida ou acesso por outra forma de autenticação de usuários quando os sistemas consumirem as informações através de Web Service/API que implemente os demais requisitos previstos;   (Redação dada pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
II - Uso de protocolos criptografados para tráfego e armazenamento de dados;
III - Registro de todos os eventos de logs que envolvam os dados objetos do convênio ou autorização, permitindo identificar individualmente a operação efetuada, o usuário, estação de trabalho e data/hora das transações realizadas;
IV - Adoção dos meios necessários para promover criptografia dos backups operacionais;
V - Estabelecimento de perfis de acesso com definição de atribuições e responsabilidades dos usuários neles habilitados; e
VI - Acesso regulamentado mediante processos formais para a solicitação de acesso aos perfis dos sistemas, permitindo verificar, inclusive, os autorizadores que concederam as permissões ao usuário.
§ 1º Os órgãos convenentes ou os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional deverão guardar por período necessário à garantia de responsabilidade dos usuários por eventual uso indevido das informações, observadas as políticas e normas internas, os dados relativos ao controle de acesso e ao acesso a registros de informação, bem como os documentos referentes à autorização de acesso e utilização dos dados disponibilizados pela RFB.
§ 2º Deve ser adotado anualmente procedimentos formais para a revisão das habilitações concedidas.
§ 3º Os sistemas de que trata o caput devem ser desenvolvidos com adesão à práticas e metodologias de desenvolvimento seguro com vias a mitigar vulnerabilidades e falhas no sistema.
§ 4º Os sistemas de que trata o caput que fizerem consultas pontuais e transacionais aos dados, não armazenando as informações consumidas de modo a criar uma réplica parcial ou total dos dados da RFB, estão dispensados do inciso II do caput, no que diz respeito ao armazenamento de dados, e do inciso IV do caput.   (Incluído(a) pelo(a) Portaria Cotec nº 55, de 03 de julho de 2019)
§5º O Web Service/API que fizer acesso à base de dados para responder requisições dos sistemas de informação de âmbito interno de que trata o caput deve implementar comunicação via HTTPS com uso de certificado digital ICP-Brasil, emitido em nome do órgão receptor dos dados objeto de convênio ou autorização, do tipo e-Equipamento.   (Incluído(a) pelo(a) Portaria Cotec nº 149, de 11 de abril de 2023)
Art. 9. As salas, nos órgãos receptores dos dados ou prestadores de serviço, destinadas aos equipamentos servidores, banco de dados e storages responsáveis pela recepção e guarda dos dados provenientes da RFB, deverão implementar, no mínimo, os seguintes requisitos:
I - utilização de mecanismo eletrônico de identificação e controle de acesso baseado em, no mínimo, dois fatores de autenticação;
II - todo acesso de pessoas e materiais deve ser autorizado e registrado por equipamento de monitoramento, 24 horas pelos 7 dias da semana, e mantidas em arquivos de log;
III - infraestrutura protegida com ativos de segurança (Firewall, IDS - Intrusion Detection System e IPS - Intrusion Prevention System) e gerenciados e monitorados por Grupo de Resposta a Ataques - GRA; e
IV - manutenção das imagens do sistema de monitoramento, preferencialmente na mesma mídia, pelo período mínimo de um ano.
Parágrafo Único. O disposto neste artigo não se aplica à sistemas que fizerem consultas pontuais e transacionais aos dados, não armazenando as informações consumidas de modo a criar uma réplica parcial ou total dos dados da RFB.   (Incluído(a) pelo(a) Portaria Cotec nº 55, de 03 de julho de 2019)
DAS DISPOSIÇÕES finais
Art. 10. O convenente ou os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional devem garantir a implementação das políticas de segurança da informação dispostas nesta Portaria, sendo facultado à RFB solicitar, a qualquer momento, a demonstração do atendimento do disposto nesta Portaria.
Parágrafo Único. Compete ao convenente ou aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, a responsabilidade civil, penal e administrativa pela fiel implementação desta Portaria, não excluindo ou reduzindo essa responsabilidade eventual acompanhamento realizado pela RFB.   (Incluído(a) pelo(a) Portaria Cotec nº 55, de 03 de julho de 2019)
Art. 11. Fica revogada a Portaria RFB/Sucor/Cotec nº 83, de 14 de dezembro de 2016. swap_horiz
Art. 12. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.
CLAUDIA MARIA DE ANDRADE
*Este texto não substitui o publicado oficialmente.