PORTARIA CFO-SEC-117, de 01 de agosto de 2019

O presidente do Conselho Federal de Odontologia, no uso das atribuições que lhe conferem a Lei nº 4.324, de 14 de abril de 1964, o Decreto nº 68.704, de 03 de junho de 1971, e em especial o Regimento Interno,

Considerando os direitos e as garantias individuais assegurados na Constituição Federal, assim como os deveres e as obrigações dos empregados públicos;

Considerando a relevância e o impacto dos serviços de tecnologia da informação (TI) e da rede de computadores para a execução das atividades administrativas a cargo dos Conselhos de Odontologia (CFO e CROs);

Considerando as diretrizes, os objetivos, os princípios e as definições constantes do Plano Diretor de Tecnologia da Informação do CFO, devidamente aprovado pela Decisão CFO-15/2011, em especial, aos enunciados que tratam sobre as políticas de TIC como dispositivos que garantidores da segurança, da disponibilidade e do bom uso dos recursos computacionais pela estrutura organizacional do CFO;

Considerando que o uso inadequado da rede de computadores do CFO, de dispositivos portáteis e de demais recursos de TI pode comprometer a segurança das informações produzidas ou custodiadas pelos Conselhos de Odontologia (CFO e CROs);

Considerando a necessidade de aprimorar mecanismos de proteção às informações e aos serviços de TI disponíveis na rede de computadores do CFO; e,

Considerando que o aprimoramento da segurança da informação no uso da rede de computadores, dos dispositivos portáteis e de demais recursos de TI constitui-se em etapa fundamental para a implantação sustentável do processo eletrônico no sistema Conselhos de Odontologia (CFO e CROs).

 

RESOLVE:

 

Art. 1º. Aprovar as regras gerais de uso das redes de computadores, de dispositivos portáteis e de demais recursos de TI do Conselho Federal de Odontologia, conforme anexo I desta Portaria.

Art. 2º. Dê-se ciência.

ANEXO

 

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º As regras gerais para uso da rede de computadores, de dispositivos portáteis e de demais recursos de TI do CFO obedecem ao disposto nesta Portaria e à legislação pertinente, e estão alinhadas com os princípios e as diretrizes do PDTI-CFO.

Art. 2º A rede de computadores, os dispositivos portáteis e demais recursos de TI de propriedade do CFO constituem recursos corporativos para utilização no interesse do serviço.

Art. 3º Para efeito do disposto nesta Portaria, entende-se por:

I – rede de computadores do CFO (rede CFO): conjunto de computadores, funcionalidades e outros dispositivos, de propriedade do CFO ou por ele providos, que, ligados em uma rede de comunicação de dados, possibilitam a prestação de serviços de TI;

II – conta: identificação única de usuário, com senha associada, para acesso à rede CFO;

III – conta de uso coletivo: conta para acesso à rede CFO utilizada por mais de um usuário, com finalidade específica;

IV – estação de trabalho: computador de mesa (desktop) de propriedade do CFO;

V – dispositivo portátil: qualquer dispositivo utilizado para acessar a rede CFO e que tenha como característica a portabilidade, tais como notebooks, organizadores pessoais eletrônicos (PDAs) e smartphones;

VI – dispositivo de comunicação: equipamento, como roteador e switch, utilizado para prover serviços de TI e comunicação entre estações de trabalho, ou redes de dados, e dispositivos portáteis por meio da rede CFO, com ou sem fio;

VII – diretório: espaço de armazenamento específico na rede CFO;

VIII – administrador de diretório: empregado lotado na Gerência de TI que responde pela infraestrutura, da mesma forma que, em relação à utilização do diretório;

IX – incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;

X – administrador de recurso de TI: usuário ou grupo de usuários responsável por definir critérios de utilização e autorizar, conceder ou modificar permissões de uso sobre o recurso de TI;

XI – administrador de grupo: usuário responsável pela criação manual e manutenção de grupos de usuários;

XII – privilégio: permissão concedida a usuário e grupos de usuários de um recurso de TI;

XIII – cópia-imagem: cópia do disco da configuração padrão para cada modelo de estação de trabalho, contendo todos os programas instalados e configurados, conforme definido pela Gerência de TI do CFO;

XIV – acesso interno: acesso a serviços de TI providos pelo CFO, por meio de equipamento autorizado conectado diretamente à rede CFO;

XV – acesso externo: acesso a serviços de TI providos na rede CFO, por meio de conexão à internet não fornecida pelo CFO;

XVI – nível de serviço: padrão de qualidade expresso em parâmetros como horários de funcionamento, tempo máximo de resposta, quantidade mínima de transações processadas, percentuais mínimos de disponibilidade e prazo para atendimento a demandas;

XVII – autenticação: processo de validação da identidade do usuário, que pode ser feito por diversos meios, tais como: combinação de usuário/senha, biometria ou utilização de certificado digital;

XVIII – programa de captura de tráfego: programa (software) que permite a captura e a apresentação dos dados que trafegam entre estações de trabalho, ou dispositivos portáteis, e a rede;

XIX – programa de geração de tráfego: programa (software) que permite a definição de parâmetros para geração e transmissão de dados a partir de estações de trabalho ou dispositivos portáteis, e que possibilita testar ou medir o tráfego de dados na rede;

XX – conexão à rede CFO: ligação de equipamento à rede CFO por meio de cabeamento físico (telefônico, elétrico, óptico ou coaxial), de equipamentos de radiofrequência ou de comunicação via infravermelho ou microondas (rede sem fio), via Bluetooth e de redes privadas virtuais (VPN); e,

XXI – central de serviços de TI: setores vinculados à Gerência de TI Unidade organizacional responsável pela TI que têm a atribuição de atender, ou providenciar para que sejam atendidas, solicitações de usuários relativas aos serviços e soluções de TI corporativos.

Parágrafo único. Para os fins desta norma, dispositivo portátil de propriedade do CFO tem tratamento equivalente ao de estação de trabalho.

 

Art. 4º São usuários da rede CFO:

I – usuário interno: autoridade ou empregado ativo do CFO que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo CFO;

II – usuário colaborador: prestador de serviço terceirizado, estagiário ou qualquer outro colaborador do CFO que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo CFO;

III – usuário externo: empregado lotado nos Conselhos Regionais de Odontologia, pessoa física ou jurídica que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo CFO e que não se enquadre nas definições contidas nos incisos I e II deste artigo; e,

IV – usuário visitante: pessoa física, que não se enquadre na definição disposta nos incisos I, II e III deste artigo, com acesso temporário, somente à internet, autorizado a partir da rede CFO.

CAPÍTULO II

DA IDENTIFICAÇÃO DE USUÁRIOS E DO TRATAMENTO DE SENHAS

Art. 5º Cada usuário deve possuir uma única conta para acesso à rede CFO, exceto nos casos explicitamente definidos e autorizados pela Gerência de TI.

§ 1º Nos casos específicos de acessos procedentes dos Conselhos Regionais, a conta para acesso deverá ser única, em nome do Conselho Regional, por meio de redes privadas virtuais

Art. 6º A criação, exclusão e a atualização de conta de usuário interno para acesso à rede CFO devem ser realizadas pela Gerência de TI com base nos registros contidos no sistema informatizado de gestão de pessoas, sendo estes obrigatoriamente encaminhados pelo Setor de Recursos Humanos.

§ 1º A Gerência de TI deve definir, justificar, obter aprovação e divulgar os procedimentos a serem executados com vistas à criação e à desativação de contas de usuários externos, colaboradores e visitantes.

§ 2º A utilização de conta de uso coletivo é permitida para usuário em treinamento.

§ 3º A criação de conta de uso coletivo para finalidade diferente de treinamento deve ser solicitada à central de serviços de TI, e autorizada somente em casos devidamente justificados e avaliados pela Gerência de TI, para os quais não seja possível trabalhar com a conta de usuário individual.

Art. 7º O usuário é responsável pelas atividades realizadas por meio da utilização de sua conta para acesso à rede CFO.

Art. 8º As contas para acesso à rede CFO têm os seguintes prazos de validade:

I – contas de autoridades e de empregado ativos, do CFO: enquanto durar o vínculo com o CFO e com os CROs;

II – contas dos Conselhos Regionais de Odontologia: sem prazo de validade previamente fixado, ressalvados os casos em que norma específica defina os prazos pertinentes;

III – contas de usuários colaboradores: durante o exercício de suas atividades para o CFO;

IV – contas de usuários visitantes e contas de uso coletivo: pelo período necessário para a execução das atividades que motivaram a criação; e,

V – contas de usuários externos: sem prazo de validade previamente fixado, ressalvados os casos em que norma específica defina os prazos pertinentes.

Art. 9º As situações abaixo identificadas acarretam a suspensão do uso da rede CFO:

I – conta com cinco tentativas sucessivas de autenticação com senha incorreta;

II – conta sem uso por período igual ou superior a seis meses;

III – quando o empregado ativo não estiver em efetivo exercício, por prazo igual ou superior a trinta dias; ou,

IV – quando o empregado ativo estiver em afastamento preventivo do exercício do cargo em decorrência de instauração de Processo Administrativo Disciplinar.

§ 1° A suspensão de conta a que se referem os incisos I e II é realizada automaticamente, observados os procedimentos estabelecidos pela Gerência de TI.

§ 2º A suspensão de conta em decorrência do inciso I é revogada automaticamente, de acordo com parâmetros definidos pela Gerência de TI.

§ 3º A suspensão de conta em decorrência do inciso II pode ser revogada pela central de serviços de TI, mediante solicitação do usuário e aprovação da chefia imediata.

§ 4° A suspensão e a posterior liberação do uso da rede CFO para a hipótese prevista no inciso III são realizadas pela Gerência de TI a partir de solicitação encaminhada pela Superintendência Executiva.

§ 5º A suspensão e a posterior liberação do uso da rede CFO para a situação indicada no inciso IV são realizadas pela Gerência de TI a partir de solicitação enviada pela Superintendência Executiva.

Art. 10. A senha associada à conta de usuário para acesso à rede CFO é pessoal, intransferível e o devido sigilo é de responsabilidade exclusiva do titular da conta.

§ 1º A Gerência de TI é responsável pela definição e pela divulgação das regras de formação da conta de usuário e da senha.

§ 2º A senha associada à conta de uso coletivo só deve ser divulgada para as pessoas que efetivamente utilizam a conta para o treinamento ou para a finalidade para a qual foi criada.

Art. 11. A alteração da senha associada à conta de usuário para acesso à rede CFO pode ser solicitada ou efetuada pelo próprio usuário ou, mediante seu pedido, pela chefia imediata.

Parágrafo único. A alteração de senha associada à conta de uso coletivo deve ser solicitada por quem demandou a criação ou pelo responsável pelo treinamento a ser ministrado.

CAPÍTULO III

DAS PERMISSÕES DE ACESSO A RECURSOS DE TI

Art. 12. As permissões de acesso a recursos de TI são concedidas a grupos de usuários pelo respectivo administrador do recurso.

§ 1º Os grupos de usuários relativos a unidades de lotação são automaticamente criados e atualizados pela Gerência de TI, com base nas informações lançadas no sistema informatizado de gestão de pessoas, sendo essas obrigatoriamente encaminhadas pelo Setor de Recursos Humanos.

§ 2º Para os grupos de usuários com atualização manual, cabe ao administrador do grupo a verificação periódica de seus componentes e a inclusão ou retirada tempestiva de membros.

§ 3º As permissões devem ser concedidas de forma que o usuário tenha somente o privilégio necessário para desempenhar suas funções.

§ 4º É responsabilidade do administrador do recurso de TI verificar e adequar periodicamente as permissões de acesso.

Art. 13. No caso de mudança de lotação de empregado ou de usuário colaborador, as permissões que foram concedidas em razão das atividades realizadas na unidade são revogadas automaticamente, exceto no caso definido no § 2° do artigo anterior.

CAPÍTULO IV

DO ACESSO À REDE

Art. 14. Os acessos à rede CFO obedecem aos seguintes critérios:

I – o acesso interno é concedido a autoridades e empregado ativos durante o vínculo com o CFO, a usuários colaboradores durante o exercício de suas atividades para o CFO, e aos Conselhos Regionais de Odontologia;

II – o acesso externo a conteúdo restrito fornecido pelos sites do CFO na internet é provido somente a usuário autenticado; e

III – o acesso externo a conteúdo público fornecido pelos sites do CFO na internet não requer autenticação.

§ 1º O acesso interno restrito à internet pode ser concedido a empregado inativo, e a usuário interno, colaborador ou visitante, quando da utilização de equipamento particular, observado o disposto nos arts. 27 e 29 desta Portaria.

 

CAPÍTULO V

DO ARMAZENAMENTO DE ARQUIVOS NA REDE CFO

Art. 15. A rede CFO deve prover ambiente seguro para armazenamento de arquivos.

Art. 16. Gerências, Divisões, Seções, Setores, Grupos de Trabalho, Comissões, Comitês, Projetos, Autoridades, Empregados Ativos e Colaboradores têm diretório específico na rede CFO.

§ 1º A definição das permissões dos diretórios das Gerências, Divisões, Seções, Setores, Grupos de Trabalho, Comissões, Comitês, Projetos, Autoridades, Empregados Ativos e Colaboradores é responsabilidade do administrador do diretório.

§ 2º O responsável pela área, ou serviço, deve solicitar à central de serviços de TI a concessão, a alteração ou a revogação de permissões sobre o diretório.

§ 3º O disposto no parágrafo anterior não se aplica aos casos de diretórios com conteúdo sigiloso, para os quais a concessão, a alteração ou a revogação de permissões deve ser feita pelo administrador do diretório.

Art. 17. É vedado o armazenamento das seguintes informações nos diretórios da rede CFO:

I – arquivos particulares tais como arquivos de imagem, apresentação, áudio ou vídeo que não sejam de interesse do serviço;

II – programa não homologado ou licenciado pelo CFO;

III – programa de conteúdo potencialmente prejudicial à segurança da rede CFO;

IV – programa em desacordo com demais critérios e requisitos de segurança definidos pelo CFO; e,

V – cópia de segurança de diretório de usuário ou cópia-imagem de estação de trabalho.

Parágrafo único. A Gerência de TI deverá definir e justificar a adoção de parâmetros para armazenamento de arquivos nos equipamentos, incluindo requisitos como tamanho máximo e tipos de arquivo permitidos, com vistas a não comprometer o desempenho e a segurança dos serviços de TI.

Art. 18. As informações armazenadas nos diretórios da rede CFO podem ser inspecionadas pela Gerência de TI, por meio de programa ou procedimento automatizado, quando houver indícios de armazenamento de informações em desacordo com o disposto no artigo anterior, independente de autorização prévia ou posterior do usuário.

§ 1º Os procedimentos citados no caput também se aplicam aos diretórios residentes nas estações de trabalho existentes no CFO no curso de sindicâncias ou de procedimentos investigativos preliminares, mediante prévia autorização da Direção do CFO.

§ 2º A informação armazenada em diretório da rede CFO em desacordo com o disposto no artigo anterior será excluída pela Gerência de TI e o fato será caracterizado como incidente de segurança da informação, com prévia comunicação à sua chefia imediata e ao titular da unidade em que está lotado, da mesma forma que à Direção do CFO.

CAPÍTULO VI

DA INSTALAÇÃO E EXECUÇÃO DE PROGRAMAS, E DAS ESTAÇÕES DE TRABALHO

Art. 19. A identificação de cada estação de trabalho do CFO é realizada pela Gerência de TI e deve estar de acordo com padrões por ela definidos.

Art. 20. A instalação de programas em estações de trabalho ou na rede CFO é atribuição exclusiva da Gerência de TI ou de pessoa ou empresa por ela expressamente autorizada.

§ 1º É vedado ao usuário o privilégio de administração e o acesso à senha do administrador local da estação de trabalho, exceto nos casos autorizados pela Gerência de TI, em que seja estritamente necessário para o desempenho das funções.

§ 2º É vedado ao usuário modificar a configuração da estação de trabalho, desabilitar ou desinstalar programas de segurança.

Art. 21. Cabe à Gerência de TI elaborar, manter atualizada e divulgar a relação de programas homologados para utilização na rede CFO.

Art. 22. Compete à Gerência de TI, em consonância com os objetivos estratégicos do CFO, definir os critérios e requisitos de segurança para a instalação ou a execução de programas em estações de trabalho da rede CFO.

Parágrafo único. Programa instalado ou executado em desacordo com os critérios e requisitos de segurança de que trata o caput será desinstalado pela Gerência de TI, e o fato caracterizado como incidente de segurança da informação e comunicado ao dirigente da respectiva unidade em que se encontra a estação de trabalho para que sejam tomadas as providências pertinentes, da mesma forma que à Direção do CFO.

Art. 23. Caso haja necessidade de o usuário utilizar programa de computador não homologado ou licenciado para o CFO, deve ser encaminhada solicitação de aquisição ou de instalação à Gerência de TI, acompanhada de justificativa e, quando for o caso, dos requisitos necessários.

Art. 24. A estação de trabalho deve dispor de área em disco destinada a informações personalizadas e dados do usuário.

Parágrafo único. Somente os dados desta área e que estejam de acordo com a as normas e políticas de TI são resguardados pela central de serviços de TI quando da instalação de cópia-imagem.

Art. 25. É vedada a abertura física ou a desmontagem de equipamento de informática de propriedade do CFO, exceto se realizada pela Gerência de TI ou por pessoa ou empresa por ela expressamente autorizada.

Art. 26. É vedada a conexão de mais de um equipamento a um ponto de rede, exceto nos casos expressamente autorizados pela Gerência de TI.

Art. 27. É vedada a conexão à rede CFO, por meio de cabeamento físico, de computador de mesa ou dispositivo portátil, com ou sem fio, que não sejam de propriedade do CFO, exceto nos casos expressamente autorizados pela Gerência de TI.

§ 1º. As conexões à rede CFO, sem prévia autorização da Gerência de TI e tratadas no caput serão finalizadas, sem prévio comunicado, e o fato caracterizado como incidente de segurança da informação, devendo ser comunicado ao dirigente da respectiva unidade em que se encontra a conexão para que sejam tomadas as providências pertinentes.

§ 2º A autorização da Gerência de TI depende de solicitação justificada do motivo e do período da conexão, bem como da verificação da segurança do computador.

§ 3º No caso de necessidade de conexão à rede CFO de computador de organização que utilize as dependências do CFO, cabe à Gerência de TI autorizar e definir os critérios e requisitos de segurança necessários.

Art. 28. É vedada a instalação de programa licenciado para o CFO em computador de mesa ou dispositivo portátil que não sejam de propriedade do CFO, excetuando-se programas específicos para acesso à rede CFO.

CAPÍTULO VII

DOS DISPOSITIVOS PORTÁTEIS E DA REDE SEM FIO

Art. 29. A conexão de dispositivo portátil à rede CFO deve seguir procedimentos específicos definidos pela Gerência de TI.

Parágrafo único. No caso de dispositivo portátil particular, a conexão direta à rede CFO fica restrita ao acesso à internet por meio de rede sem fio específica para este fim.

Art. 30. Em caso de extravio ou roubo de dispositivo eletrônico portátil de propriedade do CFO, a ocorrência deve ser imediatamente registrada junto à Gerência de TI como incidente de segurança da informação, sem prejuízo das demais providências necessárias, devendo a referida Gerência informar o fato a todos os demais interessados do CFO.

Art. 31. A Gerência de TI deve divulgar os requisitos de compatibilidade e de configuração de dispositivo portátil para conexão à rede sem fio do CFO.

Parágrafo único. A configuração de dispositivo portátil particular para acesso à rede sem fio do CFO, específica para este fim, é responsabilidade do usuário, podendo a Gerência de TI auxiliá-lo nos procedimentos técnicos.

Art. 32. A Gerência de TI não é responsável pela resolução de problemas na utilização da rede sem fio do CFO, específica para este fim, por dispositivos portáteis particulares nem pela resolução de problemas relativos ao acesso de dispositivos portáteis do CFO a redes de terceiros.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 33. Cabe ao usuário, como custodiante das informações, garantir a segurança das mesmas sob sua guarda, armazenadas tanto em computadores de mesa como em dispositivos portáteis, independentemente de o CFO ser proprietário desses equipamentos.

Art. 34. Cabe à Gerência de TI, como administradora do serviço de rede:

I – garantir a disponibilidade dos serviços, de acordo com níveis de serviço definidos;

II – propor, obter aprovação, implantar e manter atualizados mecanismos e procedimentos de monitoramento e proteção da rede contra ataques externos e internos; e,

III – propor, obter aprovação, implantar e manter atualizados sistemas operacionais e mecanismos de proteção das estações de trabalho, servidores e equipamentos de rede.

Art. 35. O acesso à internet e a redes de outros órgãos, por meio da rede CFO, deve ser provido exclusivamente pela Gerência de TI.

Parágrafo único. Enquanto conectado por cabo à rede CFO, o computador ou o dispositivo portátil não pode estar conectado à internet por solução diferente daquela provida pela Gerência de TI. Em caso de ocorrência, o fato será caracterizado como incidente de segurança da informação, devendo ser previamente comunicado ao dirigente da respectiva unidade em que se encontra a conexão para que sejam tomadas as providências pertinentes.

Art. 36. A utilização dos recursos de TI integrantes da rede CFO pode ser monitorada pela Gerência de TI, com vistas a identificar inobservâncias às normas definidas pelo CFO e a fornecer evidências, no caso de incidentes de segurança da informação, respeitados os direitos e as garantias individuais previstos em lei, e observados os procedimentos previstos para situações específicas dispostas nesta Portaria.

§ 1º O monitoramento definido no caput apenas poderá ser realizado mediante autorização da Gerência de TI, Superintendência Executiva e Presidência.

§ 2º Caso um profissional administrador da rede realize monitoramento de utilização, sem autorização das instâncias definidas no parágrafo acima, estará sujeito às penalidades administrativas apuradas em Processo Administrativo Disciplinar com esse fim.

Art. 37. As seguintes ações indevidas relativas à rede CFO são passíveis de apuração de responsabilidade:

I – conexão à rede, sem autorização expressa da Gerência de TI, de dispositivo de comunicação, tais como dispositivo de acesso a rede sem fio ou equipamento de rede que não seja de propriedade do CFO;

II – utilização de programa para captura ou geração de tráfego na rede, exceto pelas equipes de administração da rede e segurança do CFO;

III – desenvolvimento, manutenção, utilização ou divulgação de mecanismo que permita ou tente violar os sistemas de segurança da rede CFO;

IV – tentativas de acesso não autorizado a recursos de TI, com indícios de fraude ou sabotagem;

V – utilização ou tentativa de utilização, com indícios de fraude ou sabotagem, de conta cujo acesso não seja autorizado ao usuário;

VI – utilização de recurso tecnológico para burlar dispositivo de segurança ou restrição de acesso implementada na rede;

VII – utilização, com indícios de fraude ou sabotagem, de mecanismo que provoque congestionamento da rede, sobrecarga ou indisponibilidade de serviço; e,

VIII – outras utilizações em desacordo com as normas de segurança estabelecidas por esta portaria.

Art. 38. Ao utilizar rede de computadores externa por meio de dispositivos portáteis de propriedade do CFO, o usuário deve obedecer também às normas e às diretrizes daquelas redes.

Parágrafo único. Em caso de divergência entre as normas das redes externas e esta portaria prevalece o definido nas normas do CFO.

Art. 39. Cabe à Gerência de TI, por meio da central de serviços de TI, esclarecer eventuais dúvidas do usuário quanto à conformidade de determinada atitude ou utilização em relação às normas de uso da rede CFO.

Art. 40. A violação ou a inobservância aos dispositivos desta Portaria pode acarretar, isolada ou cumulativamente:

I – limitação do uso da rede CFO, conforme estabelecido nos arts. 41 e 42 desta Portaria; e,

II – nos termos da legislação aplicável, outras sanções administrativas, civis e penais.

Art. 41. Para o empregado ativo, o uso da rede CFO pode ser limitado cautelarmente mediante autorização da Superintendência Executiva ou Diretoria, com posterior comunicação ao usuário envolvido.

Art. 42. A limitação do uso da rede CFO por usuários colaboradores, externos e visitantes pode ser realizada pela Gerência de TI, a qualquer tempo, se o uso estiver em desacordo com as diretrizes traçadas pelo CFO, devendo comunicar imediatamente o fato à Superintendência Executiva e Diretoria.

Parágrafo único. A limitação de que trata o caput deste artigo deve ser comunicada ao usuário envolvido e a respectiva liberação realizada no 1º dia útil após o término da limitação.

Art. 43. Incumbe à Gerência de TI monitorar e avaliar periodicamente as práticas de segurança da informação relativas às regras estabelecidas nesta Portaria e propor os ajustes que considerar necessários.

Art. 44. Os casos omissos serão analisados conjuntamente pela Gerência de TI e Superintendência Executiva e dirimidos pela Direção do CFO.