RESOLUÇÃO n° 588, DE 5 DE AGOSTO DE 2016* Altera a Resolução nº 396/2009, que estabelece diretrizes para a segurança das informações produzidas e custodiadas pelo Supremo Tribunal Federal e dá outras providências, especialmente em face do advento das Leis 12.527/2011 e 12.965/2014. O PRESIDENTE DO SUPREMO TRIBUNAL FEDERAL , nos termos do artigo 363, inciso I, do Regimento Interno. CONSIDERANDO que o Tribunal, no exercício de suas competências, gera, adquire e armazena informações, que devem permanecer íntegras, disponíveis e, quando for o caso, com o sigilo devidamente resguardado para a preservação da intimidade de seus usuários; CONSIDERANDO que as informações no Tribunal são armazenadas em distintos meios eletrônicos, veiculadas por diferentes formas e, portanto, vulneráveis; CONSIDERANDO que a adequada gestão de segurança da informação pressupõe a observância do disposto no art. 5º, XII, da Constituição Federal, o qual assegura a inviolabilidade e o sigilo das informações em trânsito, sejam elas correspondências ou comunicações de dados; CONSIDERANDO o advento da Lei 12.965/2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, dentre os quais, a proteção da intimidade e da vida privada, a inviolabilidade e sigilo do fluxo das comunicações, em especial daquelas armazenadas por provedores e administradores de redes, bem como a vedação do fornecimento de dados pessoais a terceiros, inclusive dos registros de conexão dos usuários; e CONSIDERANDO , finalmente, a necessidade de melhor disciplinar o acesso às informações produzidas ou custodiadas pelo Tribunal, que não sejam de domínio público, é regulado pela Lei 12.965/2014; RESOLVE: Art. 1º. Alterar o disposto nos artigos 2º e 9º, da Resolução nº 396/2009, que passa a vigorar com a seguinte redação: “Art. 2º (...) VIII – Entende-se por Administrador do Sistema o Secretário de Tecnologia da Informação do Supremo Tribunal Federal. (...) Art. 9º As informações produzidas ou custodiadas pelo STF, que não sejam de domínio geral, permanecerão inacessíveis para o público externo, o administrador do sistema e os demais usuários, preferencialmente por intermédio de codificação criptográfica, nos termos o art. 5º, XII, da Constituição Federal, sem prejuízo do disposto na Lei 12.527/2011. § 1º. As informações de caráter sigiloso, bem assim as de cunho privado, referidas no caput deste artigo, somente poderão ser disponibilizadas a terceiros mediante ordem judicial, hipótese em que as credenciais denominadas “Administradores de Domínio” terão o seu uso disciplinado da seguinte maneira: I – Todas as senhas de acesso serão divididas em duas partes: a) a primeira delas será de conhecimento exclusivo do Secretário e dos Coordenadores da Secretaria de Tecnologia da Informação; e b) a segunda parte será conhecida apenas pelo Secretário-Geral e, na sua ausência ou em situações excepcionais, por seu substituto legal; II – As duas partes das senhas deverão ser utilizadas conjuntamente para o acesso às informações; III- As senhas de acesso serão alteradas todas as vezes em que ocorrerem mudanças na lotação dos servidores indicados nos incisos I e II deste artigo; IV – Poderão ser estabelecidas credenciais inferiores àquelas dos Administradores de Domínio de modo a permitir a execução de rotinas operacionais de caráter ordinário, sendo estritamente vedada a utilização dessas credenciais para burlar o disposto no caput deste artigo; V – Para fins de monitoramento, far-se-á, em arquivo próprio, o registro de cada utilização das credenciais de Administração de Domínio, acompanhada da respectiva justificativa, ao qual terão acesso os membros do Comitê Corporativo de Segurança da Informação. § 2º A responsabilidade pela manutenção do sigilo das informações de que trata o caput deste artigo é do Administrador do Sistema, o qual deverá custodiá-las em ambiente seguro e controlado, cujo acesso somente poderá ocorrer na forma indicada no § 1º. § 3º As informações permanecerão sob a guarda do Administrador do Sistema pelo período de 1 (um) ano, salvo pedido formal em contrário do usuário. § 4º O referido prazo poderá ser prorrogado a requerimento de autoridade competente por até 60 (sessenta) dias, contados a partir do final do período indicado acima. § 5º Decorrido o prazo de 1 (um) ano previsto no § 3º e não havendo a prorrogação prevista nos §§ 3º e 4º, as informações de que trata este artigo serão definitiva e completamente eliminadas. § 6º O acesso aos recursos de tecnologia da informação somente é permitido mediante identificação e autenticação da conta de acesso do usuário na rede. § 7º O usuário da rede do STF disporá de uma única conta de acesso. § 8º São de responsabilidade exclusiva do usuário os acessos realizados por meio de sua conta. § 9. É pessoal e intransferível a senha que permite o acesso aos recursos de rede, a exemplo do correio eletrônico, dos bancos de dados e demais sistemas do STF. § 10. Apenas os recursos de tecnologia da informação indispensáveis à realização das respectivas atividades laborais serão acessíveis ao usuário. § 11. O usuário é responsável pelos recursos de tecnologia da informação por ele utilizados. § 12. O sigilo das informações deverá ser estritamente preservado pelo usuário, dentro e fora das dependências do Tribunal, sob pena de responsabilização, na forma da lei.” Art. 2. Os sistemas computacionais afetados por esta Resolução deverão ser adaptados no prazo improrrogável de 30 (trinta) dias. Art. 3. Esta Resolução entra em vigor na data de sua publicação. Ministro RICARDO LEWANDOWSKI *Resolução republicada por ter saído com incorreção material no Diário da Justiça Eletrônico nº 167, fl. 1, de 10/8/2016.