O DIRETOR-GERAL DA CÂMARA DOS DEPUTADOS, no uso das atribuições que lhe confere o art. 147, XV, da Resolução nº 20, de 30 de novembro de 1971, resolve: 

     Art. 1º Esta Portaria dispõe sobre a gestão de identidade digital e de acesso aos recursos computacionais no âmbito da Câmara dos Deputados. 

     Parágrafo único. As regras sobre autenticação aplicadas ao processo legislativo, incluídas as aplicadas ao Sistema de Deliberação Remota (SDR) e a outros recursos computacionais correlatos, serão reguladas por norma específica. 

     Art. 2º Para fins desta Portaria, aplicam-se os seguintes termos e definições: 
     
     I - autenticação: processo que busca verificar a identidade digital de uma entidade de um sistema no momento em que o acesso é requisitado; 

     II - autenticação de dois fatores (2º fator de autenticação ou 2FA): processo de segurança que exige dos usuários o fornecimento de dois meios de identificação antes de acessarem suas contas; 

     III - autenticação de múltiplos fatores (MFA): utilização de dois ou mais fatores de autenticação para a concessão de acesso a um sistema; 

     IV - autorização: direito ou permissão de acesso a recurso de um sistema, após a autenticação, com a função de diferenciar os privilégios atribuídos ao usuário que foi autenticado; 

     V - conta de rede: identificação digital única do usuário, do serviço ou do administrador da rede Câmara armazenada no repositório de identidades digitais da Câmara dos Deputados e utilizada para acessar as estações de trabalho da rede Câmara e os serviços de Tecnologia da Informação e Comunicação (TIC) nela disponibilizados, incluído o correio eletrônico; 

     VI - conta de usuário: conta de rede destinada à identificação digital única de pessoas sem privilégios de administrador da rede Câmara; 

     VII - conta gov.br: mecanismo de autenticação, disponibilizado pelo Poder Executivo Federal a todos os registrados no Cadastro de Pessoas Físicas (CPF), utilizado para acesso a serviços digitais do Estado brasileiro; 

     VIII - credenciado: pessoa física credenciada, na forma do inciso I do art. 2º da Portaria nº 2, de 18 de abril de 2023; 

     IX - credencial de acesso: todas as informações necessárias, tais como nome de usuário, senha e segundo fator de autenticação, associados a alguma plataforma de controle de acesso, que permitam o acesso a alguma rede de dados; 

     X - disponibilização da conta de usuário: ato de recebimento das credenciais de acesso à rede Câmara por parte do titular da conta de usuário; 

     XI - estação de trabalho: mobiliário necessário para o desempenho de atividades corporativas; 

     XII - login cidadão: mecanismo de autenticação unificado da Câmara dos Deputados para acesso aos serviços voltados ao cidadão; 

     XIII - prazo de validade da conta de usuário: prazo informado pelo requerente da conta de usuário e aprovado pelo chefe da unidade administrativa responsável da Câmara dos Deputados; 

     XIV - prestador eventual: prestador de serviço eventual no âmbito de contrato com a Câmara dos Deputados, podendo ou não ser em suas dependências; 

     XV - recursos computacionais: equipamentos de tecnologia da informação e comunicação e/ou softwares que processam, armazenam e transmitem informações, tais como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede, bancos de dados, equipamentos de conectividade e infraestrutura; 

     XVI - rede Câmara: rede para transferência de dados, voz e vídeo da Câmara dos Deputados, denominada Intranet; 

     XVII - sistema de informação: conjunto de elementos materiais ou intelectuais, colocados à disposição dos usuários, em forma de serviços ou bens, que possibilitam a agregação dos recursos de tecnologia, informação e comunicações de forma integrada; 

     XVIII - terceirizado: prestador de serviço da Câmara dos Deputados no âmbito de contrato com mão de obra alocada;

     XIX - vínculo: relação jurídica existente entre o requerente da conta de usuário e a Câmara dos Deputados, que pode ser de natureza estatutária, contratual ou convenial; 

     XX - vínculo direto: relação existente entre o titular da conta de usuário e a Câmara dos Deputados; 

     XXI - vínculo indireto: relação existente entre o titular da conta de usuário e pessoa física ou jurídica que detenha vínculo direto com a Câmara dos Deputados; 

     XXII - vínculo indireto de natureza contratual: relação existente entre o titular da conta de usuário e a pessoa física ou jurídica que detenha vínculo direto de natureza contratual ou convenial com a Câmara dos Deputados; 

     § 1º O processo de autenticação de que trata o inciso I do caput deste artigo ocorre por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-definidas no sistema, para reconhecer como verdadeiras ou legítimas as partes nele envolvidas. 

     § 2º Os fatores de autenticação, de que trata o inciso III do caput deste artigo, podem ser: 

     I - algo que o usuário conhece, como senhas, frases de segurança e PIN; 

     II - algo que o usuário possui, como certificado digital, tokens e códigos enviados por SMS; 

     III - algo que o usuário é, aferível por meios biométricos, como digitais, padrões de retina e reconhecimento facial; e

     IV - onde o usuário está, quando o acesso só pode ser feito em uma máquina específica e de forma restrita. 

     § 3º Os atributos da autorização de que trata o caput do inciso IV deste artigo serão definidos em grupos mantidos em base de dados centralizada, sendo que cada usuário herda as características do grupo a que ele pertence.

SEÇÃO I
Das Contas de Usuário

     
     Art. 3º As Contas de Usuário na rede Câmara serão criadas exclusivamente para: 

     I - deputado federal e servidor da Câmara dos Deputados, desde que em efetivo exercício; 

     II - terceirizado e prestador eventual, desde que:

a)

por prazo determinado;

b)

mediante apresentação de justificativa da necessidade; e

c)

tenha sido identificado pelo Departamento de Polícia Legislativa Federal (Depol).

     III - outros não enquadrados nos incisos I e II do caput deste artigo, desde que:

a)

possuam vínculo com a Câmara dos Deputados, como estagiários e menores aprendizes;

b)

necessitem de acesso aos recursos computacionais para finalidade específica por prazo determinado;

c)

apresentem justificativa específica; e

d)

tenham sido identificados pelo Depol.

     § 1º A solicitação para a criação da conta deverá ser apresentada e: 

     I - para efeito do inciso II do caput deste artigo, assinada pelo corresponsável, fiscal técnico do contrato, para aprovação pela Diretoria de Inovação e Tecnologia da Informação (Ditec), na forma constante de normativo próprio;

     II - para efeito do inciso III do caput deste artigo, assinada pelo corresponsável, deputado ou servidor da Câmara dos Deputados, lotado na unidade administrativa relacionada com o usuário titular da conta, analisada pela área de segurança cibernética e aprovada pelo titular da Ditec, na forma constante de normativo próprio. 

     § 2º Somente poderá ser disponibilizada conta de usuário na rede Câmara aos terceirizados, bem como prestadores eventuais, enquanto seus empregadores possuírem vínculo com a Câmara dos Deputados.

     § 3º Poderá ser criada conta de usuário para ex-deputado federal com o perfil de deputado federal, mediante autorização prévia do Presidente da Câmara dos Deputados, conforme dispõe o inciso IV do art. 234 do Regimento Interno. 

     § 4º Para fins do disposto no § 2º do art. 101 do Regimento Interno da Câmara dos Deputados, a criação da conta na rede Câmara poderá ser autorizada pelo Secretário-Geral da Mesa, mediante apresentação de justificativa específica da necessidade do uso do serviço digital.  

     § 5º Excepcionalmente, a criação de conta na rede Câmara para situações não previstas neste artigo poderá ser autorizada pelo Primeiro-Secretário, após parecer da unidade administrativa responsável pela segurança cibernética sobre os riscos envolvidos.

SUBSEÇÃO I
  Da Criação, da Inativação, da Reativação e da Exclusão das Contas de Usuários

     Art. 4º A criação de conta de usuário será precedida do cadastro de seu titular e da assinatura do Termo de Uso, Responsabilidade e Compromisso de Sigilo. 
  
     § 1º A assinatura do Termo de Uso, Responsabilidade e Compromisso de Sigilo pelo usuário deverá ser realizada sob alguma das formas previstas no Ato da Mesa nº 80, de 23 de março de 2016, ou por meio de assinatura eletrônica avançada disponibilizada pela plataforma gov.br. 

     § 2º No caso de terceirizado e prestadores eventuais, o Termo de Uso, Responsabilidade e Compromisso de Sigilo deverá ser firmado inclusive pelo preposto da respectiva empresa contratada. 

     § 3º O disposto neste artigo deverá constar expressamente dos instrumentos convocatórios de contratações que demandem a criação de conta de usuário na rede Câmara. 

     Art. 5º A conta de usuário será criada ou reativada pela Ditec apenas após o cumprimento de todas as regras definidas nesta Portaria, devolvendo-se a solicitação ao requerente no caso de desconformidade. 

     Art. 6º A conta de usuário será inativada nas seguintes hipóteses: 

     I - interrupção do exercício ou fim do mandato do deputado federal, quando não reeleito, desde que previamente autorizado pelo parlamentar;
 
     II - exoneração;
      
     III - demissão; 
      
     IV - aposentadoria; 

     V - falecimento;
 
     VI - posse em outro cargo inacumulável; 

     VII - inativação do terceirizado e do prestador de serviço eventual no instrumento contratual firmado com a Câmara dos Deputados; 
            
     VIII - término da vigência do respectivo contrato de prestação de serviço; 

     IX - término do prazo de validade da conta. 

     § 1º A comunicação da ocorrência de hipótese enumerada nos incisos do caput deste artigo compete: 

     I - no caso do inciso I, à Secretaria-Geral da Mesa (SGM); 

     II - no caso dos incisos II a VI, ao Departamento de Pessoal (Depes); 

     III - no caso dos incisos VII e VIII, ao fiscal técnico; 

     IV - no caso do inciso IX, à Ditec. 

     § 2º A comunicação à Ditec da ocorrência de hipótese enumerada nos incisos do caput deste artigo deve acontecer em até 72 (setenta e duas) horas de seu conhecimento pela unidade administrativa competente ou pela pessoa responsável indicada nos casos do §1° deste artigo. 

     § 3º Após ciência de hipótese enumerada nos incisos do caput deste artigo, a Ditec procederá à inativação da conta em até 72 (setenta e duas) horas. 

     § 4º Na hipótese prevista no inciso VII do caput deste artigo, é de responsabilidade do preposto da contratada cientificar o fiscal técnico, bem como proceder ao registro imediato da informação acerca da exclusão do profissional prestador de serviço, conforme o caso, no sistema de controle de terceirizados ou no sistema de credenciamento. 

     § 5º As responsabilidades relativas a prepostos de instrumentos contratuais previstas neste artigo, bem como os prazos correspondentes deverão constar expressamente dos instrumentos convocatórios de contratações que demandem a criação de conta de usuário na rede Câmara, prevendo-se multa em caso de descumprimento, sem prejuízo das demais penalidades aplicáveis à espécie.

SUBSEÇÃO II
Das Outras Formas de Acesso aos Recursos Computacionais

     Art. 7º Aqueles que não se enquadrarem nos perfis e nas condições estabelecidos nos incisos do caput do art. 3º poderão utilizar os seguintes recursos computacionais da Câmara dos Deputados: 

     I - a rede de dados específica para visitantes, diversa da rede Câmara, com acesso exclusivo à Internet nas dependências da Câmara dos Deputados; 

     II - aqueles disponibilizados através da Internet, cuja autenticação é realizada com o uso do login cidadão ou da conta gov.br (nível prata ou ouro). 

     Art. 8º Qualquer pessoa vinculada ao Senado Federal deverá acessar os recursos computacionais da Câmara dos Deputados por meio de sua conta de usuário no Senado Federal, desde que os sistemas de autenticação das duas Casas estejam integrados e operantes. 

     Art. 9º Ex-deputados federais, pensionistas de deputados federais, inativos, pensionistas de servidores e ex-servidores poderão acessar aos recursos computacionais da Câmara dos Deputados disponibilizados através da Internet com o uso da conta gov.br (nível prata ou ouro).

 

SUBSEÇÃO III
Do Mau Uso das Contas de Usuário 

     Art. 10. As seguintes práticas são consideradas mau uso da conta de usuário:
 
     I - deixar de comunicar, imediata e formalmente, ao fiscal técnico do contrato a exclusão de terceirizado, residente ou não, do rol de prestadores de serviço; 

     II - fazer uso de conta de usuário de terceiro;

     III - permitir o uso de conta de usuário de sua titularidade por terceiro; 

     IV - solicitar ou exigir que deputado, servidor, terceirizado ou prestador eventual, forneça a sua credencial de acesso à rede Câmara; 

     V - continuar acessando a rede Câmara após a ocorrência de hipótese enumerada nos incisos do caput do art. 6º; 

     VI - fazer, permitir ou deixar de coibir o uso inadequado de conta de usuário.

SUBSEÇÃO IV
Das Sanções Aplicáveis

     Art. 11. Aqueles que, por ação ou omissão, contribuírem para conduta em desacordo com esta responderão pelo mau uso da conta de usuário. 

     Art. 12. O mau uso da conta de usuário poderá ensejar a abertura de procedimento administrativo apuratório, sem prejuízo de eventuais repercussões nas esferas penal, cível, administrativa e ética, assegurados o contraditório e a ampla defesa. 

     § 1º As sanções aplicadas à pessoa física não isentarão a pessoa jurídica que tiver concorrido para a sua prática ou que tenha responsabilidade contratual sobre o usuário. 

     § 2º A caracterização do mau uso de conta do usuário não está condicionada à vigência do instrumento contratual e observará o que está disposto no respectivo instrumento convocatório. 

     § 3º A caracterização do mau uso das contas de usuário disponibilizadas à pessoa jurídica contratada, ou ex-contratada, e aos seus empregados, ou aos ex-empregados, configurará prejuízo à segurança cibernética e da informação da Câmara dos Deputados, independentemente da ocorrência de dano.

SEÇÃO II
Das Credenciais de Acesso e Demais Mecanismos de Autenticação

     Art. 13. As credenciais de acesso e os demais mecanismos de autenticação têm caráter exclusivo, de uso estritamente individual e intransferível. 

     Parágrafo único. A preservação do sigilo das credenciais de acesso e demais mecanismos de autenticação, assim como os atos decorrentes de seu mau uso, são de responsabilidade do titular da conta. 

     Art. 14. Cabe ao titular da conta de usuário: 

     I - não compartilhar sua credencial de acesso com terceiros; 

     II - preservar o sigilo de senhas pessoais;

     III - evitar a utilização de informações pessoais na composição de senhas; 

     IV - utilizar senhas que atendam aos requisitos e às recomendações de segurança da informação e cibernética, definidos pela Ditec;

     V - não utilizar a mesma senha criada no ambiente digital da Câmara dos Deputados para a criação de conta de usuário em outros serviços digitais de cunho particular, como redes sociais, instituições financeiras, e-mail, sites de compras, listas de transmissão, jornais e sites de streaming; 

     VI - encerrar a sessão de uso do recurso computacional ou efetuar o bloqueio de tela sempre que se ausentar da sua estação de trabalho, ainda que temporariamente. 

     Parágrafo único. Em caso de suspeita de comprometimento da credencial de acesso ou de outro recurso de autenticação, o titular da conta de usuário deverá comunicar o fato imediatamente à Ditec.

SEÇÃO III
Do Controle de Acessos

     Art. 15. O acesso a recurso computacional provido pela Câmara dos Deputados será possibilitado mediante autorização, de acordo com as prerrogativas do titular da conta de usuário, conforme suas atribuições funcionais e com o uso da sua respectiva credencial de acesso. 

     § 1º O acesso aos sistemas de informação providos pela Câmara dos Deputados exigirá a autenticação de dois ou mais fatores padronizados pela Ditec. 

     § 2º A Ditec poderá deliberar sobre a dispensa de utilização de autenticação de dois ou mais fatores nos casos considerados inviáveis ou inconvenientes. 

     § 3º O acesso aos recursos computacionais deverá ser inativado após o encerramento do vínculo do titular da conta de usuário com a Câmara dos Deputados ou com a respectiva pessoa jurídica contratada, ou ainda, pelo término da vigência do instrumento contratual; 

     § 4º O acesso às informações dos recursos computacionais da rede Câmara deverá ser registrado e monitorado, para fins de auditoria e processos inerentes à gestão de incidentes de segurança cibernética. 

     § 5º O disposto no caput deste artigo deverá ser observado, inclusive, quando houver a mudança de lotação do usuário, bem como alterações em sua função dentro da unidade administrativa na qual está lotado. 

     Art. 16. As autorizações de acesso a recursos computacionais serão reavaliadas, periodicamente, pela Ditec, quanto à necessidade de concessão, modificação, inativação e exclusão, de acordo com as seguintes diretrizes: 

     I - as autorizações de acesso aos recursos computacionais da Câmara dos Deputados deverão corresponder às permissões mínimas necessárias para o regular desempenho das atribuições do titular da conta de usuário; 

     II - as autorizações de acesso aos recursos computacionais deverão ser inativadas após o encerramento do vínculo do titular da conta de usuário com a Câmara dos Deputados ou com a respectiva pessoa jurídica contratada, ou ainda, pelo término da vigência do instrumento contratual; 

     III - as autorizações de acesso de servidores e de terceirizados a recursos computacionais da Câmara dos Deputados serão reavaliadas quando da mudança de lotação; 

     IV - as autorizações de acesso aos recursos computacionais concedida aos titulares de contas de usuário conforme inciso III do art. 3º desta Portaria, deverão ser inativadas ao término do prazo de vigência da respectiva conta de usuário. 

     § 1º A Ditec poderá conceder e, em caráter emergencial e sem aviso prévio, modificar, inativar ou excluir autorização de acesso em situações que comprometam a segurança. 

     § 2º A autorização para acesso aos recursos computacionais providos pela Câmara dos Deputados será concedida pelo gestor de negócios do respectivo sistema de informação, ou pelo gestor de permissão por ele designado, conforme disposto na Portaria nº 88, de 29 de março de 2019, ou norma que vier a substitui-la. 

     § 3º Para recursos computacionais não abrangidos pelo § 2º deste artigo, a autorização de acesso será de responsabilidade da Ditec, na forma a ser estabelecida em normativo próprio. 

     § 4º A inativação das autorizações de acesso pela Ditec, referidas nos incisos II, III e IV do caput deste artigo, deverá acontecer em até 72 (setenta e duas) horas de sua comunicação

SEÇÃO IV
DISPOSIÇÕES FINAIS

     Art. 17. A Ditec definirá: 

     I - regras complementares acerca da criação, da modificação, da inativação, da reativação, da exclusão e da gestão de conta de usuário; 

     II - regras relativas à criação, à modificação, à inativação, à exclusão e à gestão de contas de rede ou de usuário; 

     III - modelo do Termo de Uso, Responsabilidade e Compromisso de Sigilo; 

     IV - prazo para assinatura do Termo de Uso, Responsabilidade e Compromisso de Sigilo em relação às Contas de Usuário existentes; 

     V - forma prevista no Ato da Mesa nº 80, de 23 de março de 2016, a ser utilizada para a assinatura do Termo de Uso, Responsabilidade e Compromisso de Sigilo; 

     VI - demais regras para exclusão das contas inativadas; 

     VII - definição dos requisitos para a criação e a renovação das senhas das credenciais de acesso à rede Câmara; 

     VIII - definição do uso dos mecanismos de autenticação; 

     IX - definição das possíveis situações de comprometimento de credenciais de acesso, para fins de monitoramento, bem como das medidas cabíveis em cada situação; 

     X - regras para concessão de autorização de acesso. 

     Art. 18. A Ditec inativará todas as contas de usuário que estiverem em desacordo com esta Portaria no prazo de 90 (noventa) dias, contados da data de sua publicação. 

     Parágrafo único. No caso de contas de ex-deputados, a inativação dependerá de prévia anuência do respetivo parlamentar. 

     Art. 19. A Ditec excluirá todas as contas de usuário inativadas, na forma do art. 6º desta portaria, após 90 (noventa) dias, contados da data de sua publicação. 

     Art. 20. Ficam revogados: 

     I - os arts. 18 a 23 da Portaria-DG nº 34, de 31 de março de 2009; 

     II - o § 4º do art. 3º e os arts. 4º a 6º da Instrução nº 3, de 25 de novembro de 2013; 

     III - a Portaria-DG nº 438, de 19 de outubro de 2012. 

     Art. 21. Esta Portaria entra em vigor na data de sua publicação.

CELSO DE BARROS CORREIA NETO
Diretor-Geral