DOE de 26/11/2013
Dispõe sobre os princípios, regras e critérios para regulamentar a classificação da informação do âmbito da política de segurança da informação da Secretaria de Estado da Fazenda de Alagoas.
O SECRETÁRIO DE ESTADO DA FAZENDA, no uso das atribuições conferidas pelo inciso II do art. 114 da Constituição Estadual, e o art. 58-A da Lei n° 5.900, de 26 de dezembro de 1996, resolve expedir a seguinte:
INSTRUÇÃO NORMATIVA:
Art. 1° Para efeito desta Instrução Normativa, ficam estabelecidos os seguintes conceitos:
I – Proprietário: aquele que é responsável pela criação, atualização, aprovação e classificação da informação e assume, em conjunto com o custodiante, a responsabilidade pela proteção da informação;
II – Custodiante: aquele que é responsável por garantir a disponibilidade, integridade e inviolabilidade da informação mediante orientação do proprietário, e assume, em conjunto com ele, a responsabilidade pela proteção da informação;
III – Usuário: todo colaborador, terceiro, cliente ou fornecedor que utiliza ou acessa a informação para a realização de seu trabalho.
Art. 2° Esta Instrução Normativa se aplica às informações da SEFAZ/AL independentemente dos meios utilizados em seu processo de produção, emprego, manuseio, armazenamento e reprodução.
Art. 3° São passíveis de classificação as informações que, se divulgadas indevidamente para pessoas não autorizadas a acessá-las, possam:
I – oferecer elevado risco à estabilidade financeira, econômica ou monetária do estado;
II – causar risco a projetos, sistemas, bens, instalações ou áreas de interesse estratégico;
III – por em risco a segurança da Instituição, das pessoas físicas e jurídicas;
IV – comprometer atividades de inteligência, de investigação ou de fiscalização relacionadas com prevenção ou repressão de infrações.
Art. 4° Serão utilizados subsidiariamente a esta Instrução Normativa procedimentos operacionais de tratamento das informações, cuja base é estabelecida no ANEXO ÚNICO desta IN – “Quadro de Tratamento de Informações”.
Art. 5° A informação deve ser classificada quanto ao grau de sigilo como:
I – Informações Secretas: requerem um tratamento especial e cuja divulgação ou acessos não autorizados podem gerar prejuízos financeiros, legais, normativos, contratuais, na reputação, na imagem ou nas estratégias da Instituição. O impacto associado a uma possível exposição indevida desse tipo de informação pode implicar em dano para a Instituição;
II – Informações Confidenciais: restritas a determinados grupos, áreas ou cargos. O impacto associado a uma possível exposição indevida desse tipo de informação pode implicar em dano para a Instituição;
III – Informações Reservadas: informações internas disponibilizadas a colaboradores e prestadores de serviço em razão de necessidade funcional. Podem ser disponibilizadas no âmbito da SEFAZ/AL, sem restrições de sigilo;
IV – Informações Públicas: podem ser divulgadas publicamente, sem a necessidade de aprovação.
§ 1° As informações classificadas como Secretas são, em geral, definidas pela Gestão da SEFAZ/AL, ou seja, Secretário de Estado de Fazenda, Superintendentes, Diretores e Coordenadores ou colaboradores previamente designados que, pela natureza do cargo ou função que exercem, são obrigados a conhecê-las.
§ 2° São consideradas informações secretas as que:
I – descrevem uma parte principal e muito significante das estratégias da SEF AZ/AL;
II – contém estratégias e diretrizes de longo prazo da Instituição;
III – contém detalhes técnicos sobre um produto, serviço ou tecnologia que, se divulgados indevidamente, podem trazer prejuízos às operações da Instituição.
§ 3° O prazo de restrição de acesso às informações classificadas como Secretas é de 25 anos.
§ 4° As informações classificadas como confidenciais, possuem caráter setorial, pertencentes a determinado órgão ou área da SEFAZ/AL. O acesso a esse tipo de informação deve ser restrito ao órgão proprietário.
§ 5° São consideradas informações confidenciais:
I – informações protegidas por sigilo fiscal e bancário;
II – projetos e procedimentos específicos das áreas de ação fiscal;
III – relatórios utilizados para planejamento e mensuração de desempenho de processos (como por exemplo, oportunidades, retorno da execução da ação fiscal, etc);
IV – indicadores das áreas;
V – metodologias de detecção de oportunidades;
VI – sindicâncias, inquéritos, auditorias e ações de controle interno;
VII – informações fiscais individualizadas e privadas das pessoas físicas, jurídicas e de fornecedores.
§ 6° O prazo de restrição de acesso às informações classificadas como Confidenciais é de 15 anos.
§ 7° As informações classificadas como reservadas podem ser de conhecimento dos usuários internos da SEFAZ/AL, tendo em vista não apresentarem potencial de risco.
§ 8° São consideradas informações reservadas:
I – políticas, normas e procedimentos do sistema de documentação da SEFAZ/AL;
II – listas para localização dos colaboradores no ambiente da SEFAZ/AL;
III – demais informações de serviço utilizadas pelos colaboradores internamente.
§ 9° O prazo de restrição de acesso às informações classificadas como Reservadas é de 5 anos.
§ 10. A classificação pública deve ser atribuída às informações da SEFAZ/AL que não apresentam potencial de risco e que sua divulgação ao público agregue valor à imagem e à missão da Instituição.
§ 11. São consideradas informações públicas:
I – as de caráter informativo ou promocional – folders, reportagens para revistas, jornais e demais veículos de comunicação do setor, informações veiculadas na Internet e material de divulgação de produtos e serviços que atendam às linhas de atuação da SEFAZ/AL;
II – as referentes a valores de contratos e licitações para aquisição de bens e serviços pela SEFAZ/AL;
III – as que devem ser públicas por força de lei ou agentes reguladores;
IV – as referentes a notificações e editais encaminhados para publicação em diário oficial.
§ 12. Por serem consideradas de livre acesso, as informações públicas, não necessitam de selo de classificação, assim como de tratamento específico.
Art. 6° Para efeito de classificação das informações segundo o seu grau de sigilo, ficam estabelecidas as seguintes competências aos atores envolvidos:
ao Proprietário, compete:
classificar a informação;
delegar poder de classificação ao Custodiante;
definir, com suporte da Área de Segurança da Informação, quais controles são necessários para o tratamento da informação, conforme o nível de classificação definido;
documentar a classificação da informação sob sua responsabilidade, enfatizando a responsabilidade específica dos usuários autorizados no tratamento da mesma;
autorizar o acesso à informação.
ao Custodiante, compete:
proteger a informação, de acordo com sua classificação;
armazenar eficientemente a informação sob sua custódia;
aplicar os controles e procedimentos de segurança pertinentes.
ao Usuário, compete:
zelar pela informação conhecida e/ou utilizada, conforme seu nível de classificação e com o respectivo tratamento associado;
notificar à Àrea de Segurança da Informação, em casos de suspeita de violação de sigilo de uma determinada informação.
Art. 7° Complementarmente aos princípios constantes na Política de Segurança da Informação da SEFAZ/AL, ficam estabelecidas as seguintes diretrizes:
I – todos aqueles que tomarem conhecimento de documentos classificados ficam automaticamente responsáveis pela preservação do seu sigilo;
II – os ativos de informação assumem automaticamente a classificação de maior grau de sigilo atribuída a uma informação suportada por eles;
III – informações de terceiros sob a responsabilidade ou custódia da Secretaria de Estado da Fazenda de Alagoas devem ser, se não classificadas formalmente, submetidas a medidas e critérios estabelecidos entre as partes, alinhados com o processo de classificação interno, as cláusulas contratuais e os termos de sigilo estabelecidos;
IV – o acesso à informação deve ser preservado pelo prazo indicado na descrição de sua classificação (Art. 5°) ou até atingir a obsolescência, após o que deve ser submetida a procedimentos de arquivamento ou descarte;
V – uma informação poderá ter o seu grau de sigilo modificado por autoridade de nível hierárquico superior ao do proprietário. Nesse caso, o proprietário da informação deve ser alertado para a adoção das medidas de proteção decorrentes da mudança;
VI – caso algum usuário ou custodiante julgue que a classificação de uma informação é inadequada, nova classificação deve ser proposta, aumentando-se ou diminuindo-se o respectivo nível de classificação, remetendo-a para a apreciação do proprietário (reclassificação);
VII – a classificação da informação deve estar identificada e de fácil visualização. Informações sem indicação de sua classificação podem, após análise do Comitê Gestor de Segurança da Informação da SEF AZ/AL, serem tratadas como públicas até a sua efetiva classificação pelo seu respectivo proprietário;
VIII – o rótulo da informação deve identificar claramente o seu proprietário;
IX – a informação deve ser classificada no momento da sua criação ou aquisição, conforme:
o valor que a mesma agrega para os negócios e a estratégia da SEFAZ/AL.
os potenciais impactos, danos ou perda, em caso de acesso indevido, comprometimento do sigilo ou integridade.
interesse de terceiros de qualquer tipo.
X – a classificação ou reclassificação de uma informação deve ser de competência do proprietário ou, na sua falta, do superior hierárquico ou de um colaborador formalmente indicado e devidamente instruído para a atividade;
XI – a indicação dos indivíduos autorizados a acessar a informação deve ser coerente com o seu nível de classificação;
XII – os casos em que não for possível determinar o grau de classificação da informação ou outras exceções não previstas nesta política devem ser submetidos ao Comitê Gestor de Segurança da Informação da SEFAZ/AL para avaliação e direcionamento;
XIII – usuários devem ter seu acesso restrito apenas às informações as quais estão autorizados, conforme classificação definida;
XIV – a violação e o uso indevido de informações Secretas e Confidenciais, causados por perda, roubo ou divulgação não autorizada, devem ser tratados como incidente de segurança, cujo processo de tratamento deverá ser iniciado e coordenado pela Área de Segurança da Informação;
XV – informações classificadas como Secretas e Confidenciais somente devem ser compartilhadas com partes externas à SEFAZ/AL quando da existência de acordos de confidencialidade;
XVI – devem-se evitar exposições verbais de informações Secretas e Confidenciais em locais públicos ou de livre circulação, assim como pelo uso de telefones fixos ou móveis, sobretudo analógicos.
Art. 8° O não cumprimento das normas ora estabelecidas nesta Instrução Normativa, seja isolada ou acumulativamente, poderá ensejar, de acordo com a infração cometida, as seguintes punições:
I – bloqueio da conta do usuário infrator no Serviço de Diretório da SEFAZ/AL;
II – notificação formal ao usuário, informando o descumprimento da norma, com a indicação precisa da violação praticada;
III – encaminhamento de cópia desse comunicado para arquivamento na pasta funcional do usuário infrator.
Parágrafo único. Casos mais graves serão levados à CORREFAZ ou, caso o usuário infrator seja prestador de serviço ou colaborador terceirizado, ao gestor do respectivo contrato.
Art. 9° Os casos omissos a esta Instrução Normativa deverão ser encaminhados à Àrea de Segurança da Informação, para análise e encaminhamentos.
Art. 10. Esta Instrução Normativa entra em vigor na data de sua publicação.
SECRETARIA DE ESTADO DA FAZENDA DE ALAGOAS, em Maceió, de novembro de 2013.
MAURÍCIO ACIOLI TOLEDO
Secretário de Estado da Fazenda
ANEXO ÚNICO
Quadro de Tratamento de Informações:
|
Ação |
Reservada |
Confidencial |
Secreta |
|
Armazenamento |
Armazenamento irrestrito, cujo local apropriado é determinado pelo proprietário da Informação. |
Armazenamento em local com acesso restrito e controlado. |
Armazenamento em local seguro e acesso restrito e registrado (Ex.: Gavetas com chaves ou cofres). Armazenamento em local com controle de acesso, monitorado, registrado e auditado periodicamente. Devem ser guardados em discos rígidos de computadores desktop, laptops ou similares se criptografados, com a autorização do proprietário da informação, e devendo uma cópia ser mantida em servidor seguro. |
|
Backup |
Backup opcional, que, se necessário, será requisitado ao custodiante pelo proprietário da informação. |
Backup obrigatório, com periodicidade definida pelo proprietário da informação. |
Backup da informação obrigatório, com periodicidade definida pelo proprietário da informação.Backup criptografado. |
|
Criptografia |
Não há necessidade de criptografia. |
Não há necessidade de criptografia. |
Utilizar apenas sistemas de cifra ou dispositivos de criptografia com as especificações definidas pela Área de Infraestrutura e aprovadas pela Gerência de Tecnologia e de Segurança. |
|
Descarte |
Sem restrições para descarte. |
Documentos e informações de valor legal, classificados como internos, devem obedecer aos prazos estabelecidos em lei, conforme sua natureza; Nas situações em que a informação confidencial não seja mais oportuna, esta deverá ser destruída. |
Documentos e informações de valor legal, classificados como secretos, devem obedecer aos prazos estabelecidos em lei, conforme sua natureza; Não descartar ou deixar desassistidos documentos confidenciais em lugares de livre circulação; Fragmentar impressos ou manuscritos de forma a não poderem ser lidos ou recuperados; Mídias (CD-ROMs, DVDs, fitas, etc.) formatadas e destruídas. |
|
Elaboração |
Podem ser elaborados nas instalações da SEFAZ/AL ou de partes externas autorizadas pela SEFAZ/AL. |
Devem ser elaborados, preferencialmente, nas |
Devem ser elaborados, somente nas instalações da SEFAZ/AL, protegendo-os de acessos não autorizados. Notas, manuscritos, provas ou quaisquer outros elementos utilizados na elaboração da informação devem ser protegidos contra acesso não autorizado; |
|
Reprodução |
A reprodução da informação só será permitida mediante aprovação dos canais competentes; Documento pode ser entregue a colaboradores e prestadores de serviço somente pelos canais competentes. |
Reprodução controlada, através de autorização Envio a pessoas de outras áreas somente com |
A cópia deve ter o mesmo grau de sigilo do documento original e ser autenticada pelo respectivo proprietário; Notas, manuscritos, clichês, carbonos, provas ou quaisquer outros elementos que possam dar origem à cópia não autorizada do todo ou de parte de documentos secretos devem ser destruídos; Reprodução controlada, através de autorização do proprietário, em qualquer tipo de mídia; Envio a pessoas externas requer aprovação do proprietário da informação e do Comitê de Divulgação. Cópias devem ser realizadas dentro de área apropriada ao grau de sigilo da informação; Cópias de documentos secretos efetuadas em tipografias, impressoras ou oficinas gráficas, devem ser supervisionadas por pessoal oficialmente designado, e responsável pela garantia do sigilo; |
|
Rótulo |
Documentos reservados devem, obrigatoriamente, incluir rótulos que indiquem o seu grau de sigilo (Ex.:cabeçalho, carimbo, marca d’água, entre outros); |
Documentos corporativos devem, obrigatoriamente, incluir rótulos que indiquem o seu grau de sigilo (Ex.: cabeçalho, carimbo, marca d’água, entre outros), e eventualmente, grupos de interesse. |
Documentos confidenciais devem, obrigatoriamente, incluir rótulos que indiquem o seu grau de sigilo (Ex.: cabeçalho, carimbo, marca d’água, entre outros), e eventualmente, grupos de interesse. |
|
Manuseio |
Restrito a colaboradores e prestadores de serviço da SEFAZ/AL. Fornecedores podem utilizar a informação se autorizados formalmente pelo proprietário da informação; |
Uso por colaboradores da SEFAZ/AL autorizados formalmente pelo proprietário da informação; Fornecedores, contratados e terceiros podem utilizar a informação se autorizados formalmente pelo proprietário da informação; |
Uso por colaboradores da SEFAZ/AL autorizados formalmente pelo Proprietário da informação; Fornecedores, contratados, terceiros e pessoas externas a SEFAZ/AL somente se autorizados formalmente pelo proprietário da informação; Não disponibilizar na Intranet ou Internet; Na rede interna, somente com acesso controlado, definido pelo proprietário da Informação, e com criptografia. |
|
Transporte |
Transporte eletrônico permitido dentro da rede interna da SEFAZ/AL; Envio para destinos externos apenas depois de autorizado pelo proprietário da informação; Transporte sem criptografia; Transporte físico autorizado a colaboradores da SEFAZ/AL; Pessoal externo pode transportar se autorizado pelo proprietário da Informação; Transporte por e-mail com rótulo de aviso (disclaimer) sobre tratamento (automaticamente adicionado pelo servidor de e-mail) |
Envio para destinos externos apenas depois de autorizado pelo proprietário da informação; Transporte com criptografia; Transporte físico somente por colaboradores da SEFAZ/AL formalmente autorizados pelo proprietário da informação; Transporte por e-mail com rótulo de aviso (disclaimer) sobre tratamento (automaticamente adicionado pelo servidor de e-mail); Envio via fax, apenas se extremamente necessário e autorizado pelo proprietário com marca d´água e disclaimer; |
Transporte físico de documentos secretos somente é autorizado aos colaboradores da SEFAZ/AL, avaliando-se os riscos relativos à sua circulação; Obrigatória criptografia do conteúdo quando em transporte eletrônico; Transporte para fontes externas somente se autorizado pelo Proprietário da informação; Transporte por e-mail com rótulo de aviso (disclaimer) sobre tratamento (automaticamente adicionado pelo servidor de e-mail); Transporte físico por meio de envelopes duplos lacrados, cuja identificação do nível de conteúdo será exposta apenas no invólucro interno; Transporte físico se não efetuado através dos próprios remetentes e destinatários, será feito por meio de colaboradores confiáveis e autorizados pelo proprietário da informação; |
|
GOVERNO DO ESTADO DE ALAGOAS |
|
|
REGIME ESPECIAL SRE N° 125/2013 |
|
|
EMENTA: IMPORTAÇÃO. Manutenção de inscrição no Cadastro de Contribuintes do Estado de Alagoas – CACEAL, para o desempenho exclusivo de operações vinculadas à Lei n° 6.410/03 e Decreto n° 1.738/03, com supedâneo no art. 51, § 1°, da Lei 5.900, de 27/12/96; no art. 84, da Lei 6.771, de 16/11/06; na Instrução Normativa SF n° 05, de 06/10/04; e na Instrução Normativa SF n° 05, de 18/02/09. |
|
|
PROCESSO SF N° 1500-036991/2013 |
|
|
INTERESSADO: M. LIGHT COMÉRCIO EXTERIOR – EPP |
|
|
CNPJ: 03905869/0003-35 |
CACEAL: 24293452-8 |
|
ATIVIDADE ECONÔMICA: Comércio atacadista de mercadorias em geral, com predominância de produtos alimentícios – CNAE:4691500 |
|
|
ENDEREÇO: Rua Breno Cansanção, 124, sala 07, Jacintinho – AL, CEP: 57.041.330 |
|
|
PEDIDO (X) Concessão Inicial ( ) Alteração ( ) Cancelamento |
|
|
Cláusula primeira. Fica a empresa acima qualificada, doravante denominada de Interessada, autorizada a manter sua inscrição no Cadastro de Contribuintes do ICMS do Estado de Alagoas-CACEAL, em conformidade com o que disciplina a Instrução Normativa SF nº 05/2004. Parágrafo único. A inscrição, de que trata o caput desta cláusula, tem como objetivo habilitar a Interessada a desempenhar exclusivamente atividades relativas a operações de importação vinculadas à Lei nº 6.410, de 24 de outubro de 2003, ou delas decorrentes, e ao Decreto nº 1.738, de 19 de dezembro de 2003, obedecidos os demais dispositivos regulamentares pertinentes. |
|
|
Cláusula segunda. Fica vedado à Interessada realizar, pela sistemática prevista no Decreto nº 1.738/03: I – operações com petróleo, inclusive lubrificantes, combustíveis líquidos e gasosos dele derivados, energia elétrica, trigo e farinha de trigo; II – operações com veículos automotores novos classificados nas posições NCM previstas no anexo II do Convênio ICMS nº 132/92 e no Convênio ICMS nº 52/93, em decorrência dos efeitos constantes do Convênio ICMS 51/00, combinado com o item 2.2 da alínea “a” do inciso I do art. 3º do Decreto nº 1.738/03, caso ocorra faturamento direto pela Interessada com a entrega do veículo realizada pela concessionária envolvida na operação, resultando em partilhamento da receita advinda da cobrança do imposto, que será dividida entre a Unidade Federada de origem e a de destino; III – operações internas com produtos sujeitos ao regime de substituição tributária, conforme determina o item 2.1 da alínea “a” do inciso I do art. 3º do Decreto nº 1.738/03. |
|
|
Cláusula terceira. A Diretoria de Cadastro – DICAD, da SEFAZ, fica autorizada a manter a Interessada na condição ativa no CACEAL, a partir da publicação do presente Regime Especial no Diário Oficial do Estado de Alagoas, desde que atendidas às determinações previstas na legislação para inscrição, especialmente as constantes no Decreto nº 3.481, de 16 de novembro de 2006, e na Instrução Normativa SEF nº 17, publicada no DOE em 05 de julho de 2007. |
|
|
Cláusula quarta. A requerente deverá comprovar, sempre que solicitado pela Sefaz/AL, junto à Receita Federal do Brasil ou ao Ministério da Indústria, do Comércio e do Turismo- MICT, a efetiva habilitação do responsável e/ou do(s) representante(s), no Sistema Integrado de Comércio Exterior (SISCOMEX) ou no Cadastro de Exportadores e Importadores da Secretaria de Comércio Exterior – SECEX. |
|
|
Cláusula quinta. A Interessada, a partir do primeiro dia do terceiro mês subseqüente ao da publicação do presente regime, ficará obrigada a utilizar escrituração fiscal digital (SPED-EFD. |
|
|
1 |
|
|
Cláusula sexta. O presente Regime Especial: I – deverá ter seus termos reproduzidos no livro Registro de Utilização de Documentos Fiscais e Termos de Ocorrências. II – terá cópia legível disponível para apresentação ao Fisco, quando solicitado. III – ficará automaticamente revogado: a) quando da edição de norma jurídica tributária superveniente, em que haja conflito com os procedimentos fiscais aqui estabelecidos; b) no caso de descumprimento do disposto em suas cláusulas; ou c) na ocorrência de dolo, fraude e/ou simulação, nas operações da Interessada, independente da aplicação das penalidades cabíveis; IV – poderá ser alterado ou cancelado, a qualquer tempo, a critério da SEFAZ, desde que mediante prévia comunicação feita à Interessada; V – não desobriga a Interessada do cumprimento: a) das demais disposições do Decreto nº 1.738/03; b) de qualquer obrigação tributária – principal ou acessória – prevista na legislação tributária; VI – entrará em vigor na data de sua publicação no Diário Oficial do Estado, tendo cópias de igual teor, a seguinte destinação: a) Superintendência da Receita Estadual; b) Contribuinte. |
|
|
Superintendência da Receita Estadual, em Maceió, 14 de novembro de 2013. ___________________________________________ ___________________________________________________________________________ |
|