Política de Segurança da Informação do DETRAN de Sergipe

GOVERNO DE SERGIPE
SECRETARIA DE ESTADO DA SEGURANÇA PÚBLICA

DEPARTAMENTO ESTADUAL DE TRÂNSITO
Avenida Presidente Tancredo Neves, S/N° - Ponto Novo – CEP 49097-510 – Aracaju/SE
www.detran.se.gov.br
GOVERNO DE SERGIPE
INTRODUÇÃO
O DETRAN reconhece a importância e necessidade da adoção de boas práticas de Segurança

da Informação enquanto ferramenta necessária para a persecução da sua missão e para a
defesa de seus valores.
Para tanto, o DETRAN conta com o apoio e dedicação de todos os seus colaboradores,
prestadores de serviço, credenciados, parceiros e fornecedores, sendo responsabilidade de
todos, independentemente de cargo ou função, estarem cientes do seu dever em cumprir (e
cobrar o cumprimento) da presente Política de Segurança da Informação, que deve ser
aplicada nas atividades diárias, respeitando e disseminando o seu conteúdo.
Aracaju – SE, 2 de setembro de 2022
___________________________________
PRESIDÊNCIA
GOVERNO DE SERGIPE
GLOSSÁRIO
Diretoria Executiva Órgão decisório máximo do DETRAN. Para os fins desta política pode
se referir também a órgãos inferiores imediatamente subordinados a
este, para os quais o órgão deliberativo máximo tenha delegado
poderes para a tomada de determinadas decisões.
Ameaça Causa potencial de um incidente indesejado, que pode resultar em
dano ao Órgão.
Aplicativos de Comunicação Conjunto de código e instruções compiladas, executados ou
interpretados por um Recurso de Tecnologia da Informação e
Comunicação, armazenados em um dispositivo ou na nuvem, que são

usados para troca rápida de mensagens, conteúdos e informações
multimídia.
Área Segura Espaço físico no qual se encontrem localizados ativos da informação
sensíveis, como provedores e arquivos físicos
Ativo Qualquer coisa que contenha informação utilizável e tenha valor para
o DETRAN e precisa ser adequadamente protegido.
Ativo Intangível Todo elemento que possui valor para o DETRAN e que esteja em
suporte digital ou se constitua de forma abstrata, mas registrável ou
perceptível, a exemplo, mas não se limitando à dados, reputação,

imagem, marca e conhecimento.
Autenticidade Garantia de que a informação é procedente e fidedigna, sendo capaz
de gerar evidências não repudiáveis da identificação de quem a criou,
editou ou emitiu.
GOVERNO DE SERGIPE
Backup Salvaguarda de informações, realizada por meio de reprodução e/ou

espelhamento de uma base de arquivos, com a finalidade de plena
capacidade de recuperação em caso de incidente ou necessidade de

restore, ou ainda, constituição de infraestrutura de acionamento
imediato em caso de incidente ou necessidade justificada do Órgão.
Colaborador Categoria que engloba todos os empregados, estagiários,

prestadores de serviço, terceirizados, fornecedores, menores
aprendizes, representantes ou qualquer outro indivíduo ou

organização representantes, que venham a ter relacionamento
profissional, direta ou indiretamente, com o DETRAN, incluindo atuais,

antigos ou potenciais.
Comitê de Segurança da Órgão responsável por implementar, dirigir e aprimorar o Sistema
Informação e Proteção de Integrado de Gestão em Segurança da Informação e Proteção de

Dados (CSIPD) Dados (SIGSIPD).
Controlador Agente responsável pela tomada de decisões essenciais, quanto à
finalidade e os meios de tratamento de dados pessoais.
Dados Pessoais Qualquer dado ou informação que possa ser associado direta ou
indiretamente a uma pessoa física (humana e viva), tornando possível
sua identificação.
Decisões automatizadas Decisões tomadas por sistemas de inteligência artificial.
Desequilíbrio de Poderes Situação fática na qual uma das partes de determinada relação possui
parte de sua liberdade tolhida em decorrência, em regra, de uma
relação de subordinação e/ou dependência para com a outra.
Dispositivos Móveis Equipamentos que podem ser facilmente transportados devido a sua
GOVERNO DE SERGIPE
portabilidade, com capacidade de registro, armazenamento ou

processamento de informações, além da possibilidade de estabelecer
conexões com a Internet e outros sistemas, redes ou qualquer
dispositivo.
Dispositivos Removíveis de Dispositivos capazes de armazenar informações que pode ser

Armazenamento de Informação removida do equipamento, possibilitando a portabilidade dos dados,
como CD, DVD, HD Externo e pen drive.
Encarregado pela Proteção de Responsável por dirigir o Comitê de Proteção de Dados em suas
Dados/Data Protection Officer atividades e por servir de intermediário entre as partes interessadas e
(DPO) o Órgão.
Entes reguladores Pessoas jurídicas e órgãos que possuem como função precípua a
fiscalização de uma dada atividade econômica.
Importar dados Salvar, copiar, compartilhar, transferir ou, de qualquer modo, inserir
em dispositivo, computador, nuvem, ou qualquer outro meio, dados

da aplicação.
Incidente de segurança Evento, causada por forças humanas ou não-humanas, que violem a
confidencialidade, integridade, a disponibilidade e a privacidade da
informação.
Operador Sujeito que trata dados pessoais em nome e por conta dos
controladores.
Homologação Processo de avaliação e aprovação técnica de Recursos de Tecnologia

da Informação e Comunicação para serem utilizados dentro do
ambiente do Órgão
GOVERNO DE SERGIPE
Identidade Digital É a identificação do colaborador em ambientes lógicos, sendo

composta por seu nome de usuário (login) e senha ou por outros
mecanismos de identificação e autenticação como crachá magnético,
certificado digital, token e biometria.
Incidente de Segurança da Ocorrência identificada de um estado de sistema, dados, informações,

Informação e Comunicação serviço ou rede, que indica possível violação à Política de Segurança
da Informação ou Normas Complementares, falha de controles ou

situação previamente desconhecida, que possa ser relevante à
segurança da informação, isto é, tenha impactos não-previstos ou
não desejados na confidencialidade, integridade, disponibilidade e,

sendo o caso, privacidade.
Informação Conjunto de dados que, processados ou não, podem ser utilizados

para produção, transmissão e compartilhamento de conhecimento,
contidos em qualquer meio, suporte ou formato.
Integridade Garantia de que as informações estejam íntegras durante o seu ciclo
de vida.
Legalidade Garantia de que todas as informações sejam criadas e gerenciadas de
acordo com as disposições do Ordenamento Jurídico em vigor.
Parceiros Sujeito, pessoa física ou jurídica, com quem uma dado DETRAN tem
Econômicos/Prestadores
Econômicos/Prestadores de ou planeja estabelecer negócios, incluindo, mas não se limitando a
Serviço/Executores de fornecedores, operadores e representantes contratados;
contratos.
Proprietário da informação Colaborador responsável pela criação/recebimento, classificação,

divulgação, compartilhamento, eliminação e destruição da
informação. Também é incumbido da gestão de validação, liberação
GOVERNO DE SERGIPE
e cancelamento dos acessos à informação destes. Em regra, será o

Coordenador, contudo este poderá delegar a Responsabilidade para
outro colaborador.
Recursos de Tecnologia da Hardware, software, serviços de conexão e comunicação ou de
Informação e Comunicação infraestrutura física necessários para criação, registro,
(Recursos de TICC/TI)
TICC/TI armazenamento, manuseio, transporte, compartilhamento e descarte
de informações.
Relatório de Impacto à Documento a ser confeccionado para operações de tratamento que
Proteção de Dados Pessoais impliquem em alto risco aos direitos e liberdades dos titulares,
(“RIPD”)
(“RIPD”) visando uma reflexão mais aprofundada sobre as mesmas e um
tratamento mais efetivo de seus riscos.
Responsável pelo tratamento

tratamento Sujeito responsável pela operação de tratamento a ser realizada.
Repositórios Digitais Plataformas de armazenamento na Internet, a exemplo de Google
(Cyberlockers) Drive, OneDrive, Dropbox, iCloud, Box, SugarSync, Slideshare e

Scribd.
Risco Combinação da probabilidade da concretização de uma ameaça e
seus potenciais impactos.
Segurança da Informação Preservação da confidencialidade, integridade, disponibilidade,

privacidade, legalidade e autenticidade da informação. Visa proteger
a informação dos diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos aos negócios,
maximizar o retorno dos investimentos e de novas oportunidades de

transação.
Sites/Websites Denominação comum para as páginas de internet.
Transferência Internacional de Operação na qual se transfere dados pessoais para fora do território
GOVERNO DE SERGIPE
Dados Pessoais nacional, independente do meio em que ocorra.
Tratamento Qualquer operação feita com dados pessoais.
Tentativa de Burla Atos que busquem violar as diretrizes estabelecidas nos documentos
normativos do DETRAN e sejam frustrados por erro durante o
planejamento ou durante sua execução.
Titular Pessoa física a quem os dados pessoais se referem.
Violação Qualquer atividade que desrespeite as regras estabelecidas nos
documentos normativos do Órgão.
Violação de dados pessoais Incidente de segurança que envolva dados pessoais.
OBJETIVO, ESCOPOS E PRINCÍPIOS
GOVERNO DE SERGIPE
1. OBJETIVO
1.1. Esta Política de Segurança da Informação (PSI

PSI)
PSI tem como objetivo ser uma declaração
formal do comprometimento do DETRAN e seus dirigentes na proteção das informações,
incluindo dados pessoais, de sua propriedade ou sob a sua tutela, devendo ser cumprida por
todos os seus colaboradores, credenciados, cooperantes e demais usuários de seus serviços.
1.2. Por meio dela, o DETRAN estabelece as diretrizes, responsabilidades e os limites de

atuação das partes que consigo se relacionam naquilo que diz respeito à segurança da
informação, reforça a cultura interna e prioriza as ações necessárias para preservar a:
• Autenticidade: propriedade pela qual se assegura que a informação foi produzida,

expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema,
órgão ou entidade.
• Confidencialidade: propriedade pela qual se assegura que a informação não esteja

disponível e/ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizada
nem credenciados;
• Integridade: propriedade pela qual se assegura que a informação não foi modificada
ou destruída de maneira não autorizada ou acidental;
• Privacidade: propriedade da informação pela qual se assegura que os dados pessoais

apenas sejam tratados de forma transparente, adequada e nos estritos limites de sua
necessidade para o alcance de propósitos expressos e legítimos.
1.3. A Política de Segurança da Informação busca, ainda, estabelecer e manter uma relação
de confiança entre o DETRAN e todas as partes interessadas, inclusive os titulares de dados
pessoais, buscando uma atuação transparente na qual se demonstre a disposição do DETRAN
GOVERNO DE SERGIPE
para resguardar os seus interesses.
2. ABRANGÊNCIA
ABRANGÊNCIA
2.1. Esta PSI é um documento público, com valor jurídico e aplicabilidade imediata e indistinta,
60 (sessenta) dias a partir da data de sua publicação, no escopo do Órgão, bem como
qualquer de suas unidades, devendo ser respeitada e cumprida por todos aqueles que
representem, integrem ou mantenham relações com quaisquer dessas unidades.
3. RELAÇÃO COM OUTRAS NORMAS
3.1. Esta PSI não revoga outras normas internas, desde que sejam com ela compatíveis.
3.2. Esta PSI é complementada pela Política de Proteção de Dados (PPD), que estabelece
regramentos específicos para o tratamento de dados pessoais.
4. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
4.1. Autenticidade
Autenticidade:
tenticidade buscando garantir que seja possível a identificação da origem de uma
dada ação em nossos sistemas;
4.2. Confidencialidade:
Confidencialidade agindo para limitar o acesso às informações ao pessoal autorizado;
4.3. Disponibilidade: adotando medidas para garantir que a informação se encontre

disponível quando se fizer necessária;
4.4. Integridade: atuando para preservar a informação de destruição ou modificação
GOVERNO DE SERGIPE
acidental e/ou não-autorizada.
4.5. Privacidade: não tratando dados pessoais para além do estritamente necessário para
as finalidades lícitas perseguidas;
4.6. Segurança: preservando e protegendo a informação, incluindo dados pessoais, do

DETRAN ou sob sua responsabilidade, em todo o seu ciclo de vida, contida em qualquer
suporte ou formato, de vulnerabilidades e ameaças;
4.7. Proatividade:
Proatividade prevenindo e reduzindo impactos gerados pelos incidentes de segurança
da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e
a privacidade no desenvolvimento das atividades profissionais;
4.8. Ética e transparência: zelando por relações transparentes e éticas e coibindo toda
forma de corrupção, fraude, suborno, favorecimento e extorsão praticados por colaboradores
;
4.9. Legalidade: cumprindo a legislação brasileira e os demais instrumentos regulamentares

relacionados ao negócio no que diz respeito à segurança da informação, privacidade e
proteção de dados pessoais.
4.10. Diversidade,
Diversidade, não-
não-discriminação, respeito e promoção dos direitos humanos
humanos: praticando
a inclusão e a não-discriminação, coibindo qualquer conduta preconceituosa, incluindo, mas
não se limitando àquelas decorrentes de gênero, etnia, religião, idade, orientação sexual.
4.11. Interoperabilidade:
Interoperabilidade buscando garantir que pessoas, organizações e sistemas
computacionais consigam interagir para trocar informações de maneira eficaz e eficiente;
4.12. Prioridade:
Prioridade priorizando a adoção das medidas em acordo com o potencial impacto de
sua ausência;
GOVERNO DE SERGIPE
4.13. Responsabilidade:
Responsabilidade atuando de forma responsável e atribuindo responsabilidades
adequadas em matéria de Segurança da Informação e Proteção de Dados Pessoais.
5. DIRETRIZES GERAIS
5.1. Interpretação: Esta PSI e seus documentos complementares devem ser interpretados de
forma restritiva, ou seja, as atividades que não estão tratadas nos normativos só devem ser
realizadas após prévia e formal autorização do superior hierárquico do colaborador.
5.2.
5.2. Publicidade: Esta PSI e seus documentos complementares devem ser divulgados aos
colaboradores e usuários externos, pela DIRETORIA DO ÓRGÃO visando dar publicidade para
todos que se relacionam profissionalmente com o Órgão.
5.3. Accountability: Salvo expressa disposição em sentido contrário, a execução de todos os

procedimentos previstos ao longo da presente política deve ser adequadamente
documentada e arquivada pelo prazo de, no mínimo, 10 (dez) anos.
6. EDUCAÇÃO E CONSCIENTIZAÇÃO
6.1. O DETRAN se compromete a treinar os seus colaboradores em matéria de segurança da
informação e proteção de dados no momento de sua admissão e periodicamente.
6.1.1. Os treinamentos periódicos ocorrerão, no mínimo, uma vez ao ano.
6.1.2. Caberá à GEREH definir e organizar os dias e horários dos treinos.
6.2. O DETRAN incentiva o aprimoramento de seus colaboradores em matéria de segurança
da informação e proteção de dados, orientando que estes, sempre que possível, participem de
eventos sobre a temática e mantenham contato com grupos relevantes.
7. PENALIDADES
7.1. Violações: Qualquer atividade que desrespeite as diretrizes estabelecidas nesta PSI ou em
quaisquer dos documentos complementares do DETRAN deve ser considerada como uma
GOVERNO DE SERGIPE
violação e tratada pelo CSIPD a fim de apurar as responsabilidades dos envolvidos de acordo
com as “Medidas Disciplinares” do Órgão, visando aplicação de sanções cabíveis de acordo
com a legislação vigente.
7.2. Tentativa de Burla: A tentativa de burlar as diretrizes e controles estabelecidos, quando

constatada, deve ser tratada como uma violação.
7.3. Sanções: para além das ações cíveis e criminais cabíveis, a violação da presente política e
dos documentos que a complementem poderá, em acordo com o grau de culpa, ser
sancionada, nos casos que for cabível, com instauração de Processo Administrativo Disciplinar,
conforme legislação vigente, que pode resultar em:
o Advertência verbal e escrita;

o Suspensão;
o Exoneração;
GOVERNO DE SERGIPE
PROPRIEDADE, CLASSIFICAÇÃO E SIGILO DA INFORMAÇÃO
1. PROPRIEDADE
As informações geradas, acessadas, manuseadas, armazenadas ou descartadas no exercício

das atividades realizadas pelos colaboradores, bem como os demais ativos intangíveis e
tangíveis disponibilizados, são de propriedade ou estão sob a responsabilidade e direito de
uso exclusivo do DETRAN e devem ser utilizados unicamente para fins profissionais.
2. CLASSIFICAÇÃO DA INFORMAÇÃO
Todas as informações de propriedade ou sob a responsabilidade do DETRAN devem ser

classificadas e protegidas com controles específicos em todo o seu ciclo de vida.
2.1.
2.1. As informações do DETRAN serão classificadas em:
• Informações Públicas: toda e qualquer informação que possa ser livremente divulgada
e acessada pelo público.
• Informações Internas:
Internas: toda e qualquer informação que possa ser acessada apenas
pelos colaboradores e demais colaboradores que integrem os quadros funcionais do Órgão,
credenciados e demais órgãos do Poder Público que tenham acesso ao banco de Dados do
Órgão, por força de previsão legal.
• Informações Setoriais: toda e qualquer informação que possa ser acessada apenas
pelos colaboradores lotados nos setores que façam uso da mesma para o exercício de suas
funções.
2.2.
2.2. É de responsabilidade dos Proprietários da Informação definirem a classificação da
informação e alterá-la ao longo de seu ciclo de vida, observando os seguintes limites:
• Salvo quando estritamente necessário para cumprimento de obrigação legal,
GOVERNO DE SERGIPE
firmamento ou execução de contrato, convênio ou termo de cooperação, ou aferimento de

benefício pelo titular, dados pessoais serão classificados, preferencialmente, como
informações internas.
2.3. Cabe ao responsável pelo setor solicitar à AGIN a criação de pastas (File Servers)
2.3
protegidas por senhas para melhor resguardar as informações setoriais.
2.4
2.4. Cada responsável pelo setor deverá manter registro das informações sob seu poder e
suas respectivas classificações, de acordo com os dados devidamente inventariados.
2.4
2.4.1. Esse registro deve ser mantido e atualizado pelo conjunto de Proprietários de cada
Coordenação, cada qual atuando segundo a sua responsabilidade.
2.5
2.5. O DETRAN tomará medidas adequadas para assegurar que informações que não sejam
públicas apenas sejam compartilhadas com partes acobertadas por um acordo de
confidencialidade e termo de responsabilidade, ressalvadas as hipóteses de compartilhamento
obrigatório por força de lei, decisão judicial ou administrativa.
3. SIGILO
É vedada, a qualquer tempo e por qualquer meio, a promoção do acesso ou revelação de

informação de propriedade ou sob a responsabilidade do DETRAN à sujeito não-autorizado,
ainda que integrante dos quadros funcionais do Órgão, sem a prévia e formal autorização do
Proprietário da Informação, excetuando-se a informação pública.
GOVERNO DE SERGIPE
USO E INVENTÁRIO DOS ATIVOS
1. USO DOS ATIVOS
Os ativos de propriedade ou sob a responsabilidade do DETRAN devem ser utilizados

somente para fins profissionais e de acordo com as orientações dos fabricantes e do Órgão.
1.1. Uso dos Recursos e Ativos da Informação:

Informação: Os Recursos e Ativos da Informação de
propriedade ou sob a responsabilidade do DETRAN devem ser utilizados somente para fins
profissionais, de modo lícito, ético e moral e conforme as regras e normas, internas e externas,
porventura aplicáveis.
1.2. Manutenção dos Ativos: A gestão dos ativos no DETRAN deve atender às recomendações
dos fabricantes e desenvolvedores, sendo que qualquer necessidade de manutenção,
atualização ou correção de falhas técnicas somente pode ser realizada ou acompanhada pela
AGIN,
AGIN de acordo com o tipo de ativo.
1.2.3. Devolução dos Ativos:

Ativos todos os ativos da informação de propriedade, ou sob a guarda,
do Órgão, que se encontrem sob poder de um colaborador ou parceiro, devem ser
devolvidos ao mesmo quando do encerramento de sua relação com o DETRAN ou quando,
por qualquer motivo, seja requerido pelo DETRAN.
1.2.3.1. É dever da coordenação na qual o colaborador encontra-se alocado requerer e

controlar a devolução dos ativos em poder de colaboradores ou de terceiros.
1.2.3.2. Acaso não seja viável para o responsável pelo setor controlar e promover a devolução
dos aludidos ativos, deverá a Diretoria do Órgão ser acionada para adotar as devidas
providências.
1.3. Descarte e reciclagem de Ativos: toda mídia que detenha informações não-públicas deverá
ser descartada de forma a não permitir o acesso às informações nela contidas.
GOVERNO DE SERGIPE
1.3.1. Para as mídias que não se caracterizem como ativos de TIC, especialmente aquelas em
papel, caberá aos Coordenadores de cada setor o estabelecimento dos meios de descarte
apropriados, tal como a incineração ou trituração;
1.3.2. Para as mídias que se caracterizem como recursos de TIC, caberá à AGIN tomar as
medidas adequadas para a remoção dos dados nelas constantes, adotando todas as medidas
adequadas para que as informações ora armazenadas se tornem inacessíveis.
1.3.3. Relativamente aos recursos de TIC, caberá à AGIN manter registro das medidas
adequadas para o seu descarte.
1.3.4. O colaborador será devidamente informado que, acaso quando devolvido o ativo da
informação, existam dados de sua titularidade, estes serão imediatamente excluídos pela
AGIN, sem prévio aviso.
2. TRANSFERÊNCIA FÍSICA DE MÍDIAS
Quando proceder a transferência física de mídias, o DETRAN adota medidas aptas a

resguardar estas mídias, contratando serviços de transporte confiáveis, adotando provisões
contratuais adequadas e mantendo as mídias em embalagens apropriadas ao transporte.
2.1. O DETRAN deverá manter registro das transferências físicas de mídias, contendo, sempre
que possível, breve síntese de seus respectivos conteúdos.
3. TRANSFERÊNCIA DE INFORMAÇÕES
Ao transferir informações, o DETRAN deverá adotar medidas adequadas para proteger a

informação transferida contra interceptação, cópia, modificação, desvio e destruição;
GOVERNO DE SERGIPE
3.1. O Usuário não deve aceder ou baixar qualquer documento ou arquivo de uma fonte não-
conhecida ou não confiável.
3.2. Sempre que receber informação de uma fonte confiável, porém não-habitual, o Usuário
deverá fazer uma varredura do arquivo antes de executá-lo por meio dos programas detecção
e proteção contra código malicioso.
3.3. Todos os usuários que transmitam informações não-públicas por meio de anexos devem,
na assinatura de seu e-mail, possuir um legal disclaimer, informando que o conteúdo e os
anexos da mensagem são sigilosos e, por conseguinte, só devem ser acessados por seus
legítimos destinatários, sob as penas da lei, e ignorados e excluídos em caso de erro em seu
encaminhamento;
3.4. É estritamente vedado o uso de qualquer meio de comunicação fornecido pelo DETRAN
ou sob sua guarda, responsabilidade ou serviço de forma antiética, especialmente para a
prática de difamação, assédio, falsa identidade, criação ou disseminação de fake news ou
retransmissão de "correntes”.
3.5. É vedada a retransmissão automática de mensagens eletrônicas (e-mails) para endereços

externos, salvo expressa e documentada autorização do CSIPD;
SIPD
3.6.
3.6 É vedado o compartilhamento de informações não-públicas com destinatários não-
confiáveis ou diante da inexistência de certeza da identidade do destinatário;
3.6.1. Em caso de dúvida quanto a identidade do destinatário, o Colaborador deverá requisitar

sua confirmação ao seu superior imediato, apenas após a qual, desde que o destinatário se
encontre autorizado a recebê-lo, poderá transferir a informação solicitada.
3.6.1.1. O Colaborador deverá confirmar a identidade do destinatário, desde que previamente

conhecido, solicitando uma confirmação de sua identidade por meio de um outro meio de
GOVERNO DE SERGIPE
contato já utilizado e confiável ou notoriamente conhecido.
3.7. É vedado aos colaboradores o envio de arquivos anexos, via e-mail, para cidadãos,
proprietários de veículo, condutores ou permissionários.
4. INVENTÁRIO DOS ATIVOS
O DETRAN deve realizar inventário de hardwares e softwares que possuir, devendo a AGIN ou
COMAP,
COMAP, a depender da situação fática, indicar as informações necessárias e ser a responsável
pelo seu registro, armazenamento e atualização.
GOVERNO DE SERGIPE
DISPOSITIVOS MÓVEIS, BYOD E TRABALHO REMOTO
1. DISPOSITIVOS MÓVEIS CORPORATIVOS
Os dispositivos móveis devem ser utilizados quando fornecidos ou autorizados prévia e

expressamente pelo Coordenador da área e aprovado pelo Comitê de Segurança da
Informação e Proteção de Dados,
Dados conforme a função do colaborador e as necessidades do
negócio.
2. USO DOS RECURSOS DE TIC/DISPOSITIVOS MÓVEIS PARTICULARES (BYOD)
Não é permitido o uso de Ativos da Informação/Dispositivos Móveis particulares na execução

de qualquer atividade profissional, exceto quando autorizado e fundamentado pelo
Coordenador do setor e aprovado pelo Comitê de Segurança da Informação e Proteção de
Dados.
Dados
2.1. A aprovação do uso de Recursos de TIC e dispositivos móveis particulares será precedido
da concordância do proprietário com, no mínimo, as seguintes condições:
• Sua responsabilidade pelo equipamento, pelo conteúdo nele armazenado.
• A declaração, pelo proprietário, que todos os softwares instalados possuem licença

regular, sob pena de sua responsabilização isolada por violação à propriedade intelectual de
terceiros;
• A adoção, pelo proprietário, de requisitos mínimos de segurança, incluindo a

manutenção de antimalwares, senhas de bloqueio, duplo fator de autenticação, backup e
outros requisitos que, em concreto, forem apropriados, de acordo com as diretrizes internas
do Órgão.
GOVERNO DE SERGIPE
• Estar de acordo com as normas e requisitos específicos do Órgão, que serão

disponibilizados, de forma documentada, ao colaborador no momento da solicitação de
acesso à Rede Interna do DETRAN.
2.2. Salvo disposição contratual em sentido contrário, o DETRAN será uma mera beneficiária, a
título não oneroso, do recurso de propriedade do colaborador, não se responsabilizando por
danos, de qualquer natureza, que o equipamento do Colaborador venha a sofrer.
2.3. É dever do colaborador manter uma postura discreta e cuidadosa com o equipamento
posto à disposição do DETRAN e, em caso de ocorrência de incidente de segurança da
informação de qualquer natureza, comunicar o DETRAN sem demora indevida.
2.4. É dever do colaborador, uma vez encerrado o seu vínculo com o Órgão, proceder,
conforme solicitado, a remessa e adequada eliminação das informações, incluindo dados
pessoais, de propriedade, ou sob a guarda, do Órgão.
2.4.1. O colaborador poderá solicitar à AGIN que proceda a eliminação das informações ou
optar por fazê-lo por meio de seus próprios recursos, sob sua responsabilidade.
2.4.2. Caso opte por realizar a eliminação com seus próprios recursos, o Colaborador deverá
declarar documentadamente que procedeu a eliminação.
3. REPOSITÓRIOS DIGITAIS E DISPOSITIVOS REMOVÍVEIS
É vedado aos colaboradores o uso de repositórios digitais ou dispositivos removíveis não

autorizados ou homologados pelo DETRAN para armazenar ou transmitir informações de
propriedade ou sob a responsabilidade do Órgão.
3.1. Qualquer mídia removível que tenha sido inserida em máquina ou equipamento não
pertencente ao Órgão apenas poderá ser inserido em máquina ou equipamento
pertencente ao DETRAN após a prévia inspeção e homologação do equipamento pela
GOVERNO DE SERGIPE
AGIN.
AGIN
3.1.1. Sempre que o colaborador desejar utilizar um dispositivo móvel, tal como um pen-
drive pessoal, deverá recorrer à AGIN e fazer a inserção do dispositivo de forma
assistida.
3.2. É absolutamente proibido o armazenamento de qualquer informação pertencente ao

DETRAN em dispositivos removíveis que não sejam de propriedade ou encontrem-se sob a
guarda do Órgão.
4. TRABALHO REMOTO
A prática do Trabalho Remoto apenas ocorrerá mediante a prévia autorização da Diretoria do

DETRAN, e obedecerá, para além das demais regras previstas nesta política, às seguintes
diretrizes específicas:
4.1. Será dever do Colaborador manter o equipamento sob o seu poder em local fisicamente
seguro, resguardado de eventuais intempéries ou outras potenciais causas de dano físico.
4.2.
4.2 O acesso aos sistemas do Órgão deve se operar apenas pela VPN do DETRAN, não se
devendo adotar qualquer outro meio não-autorizado pelo Comitê de Segurança da
Informação e Proteção de Dados.
Dados
4.2.3. Salvo expressa autorização em sentindo contrário, nos termos desta Política, toda
comunicação e troca de documentos deverá se operar por meio da rede interna ou, quando
não for possível, por intermédio do e-mail corporativo.
4.3. É vedado ao Colaborador autorizar ou, de qualquer modo, possibilitar o acesso ao

equipamento disponibilizado pelo Órgão, ou aos ativos da informação de propriedade, ou
sob a guarda, do mesmo, a qualquer sujeito não-autorizado, incluindo familiares e amigos.
GOVERNO DE SERGIPE
4.3.1. Caberá, ao Colaborador, adotar todas as medidas adequadas para evitar o acesso aos
ativos da informação do DETRAN por terceiros.
4.4
4.4. Aplicar-se-á, no que for cabível, os deveres e diretrizes relativos aos usos de recursos e
dispositivos particulares (BYOD), previstos no item 2 deste capítulo.
GOVERNO DE SERGIPE
APLICATIVOS DE COMUNICAÇÃO INSTANTÂNEA E MÍDIAS SOCIAIS
1. APLICATIVOS DE COMUNICAÇÃO INSTANTÂNEA
O uso de aplicativos de comunicação instantânea é permitido, desde que aprovado

previamente pelo coordenador do setor no qual o Colaborador se encontre alocado.
1.1. A autorização para o uso de aplicativos de comunicação instantânea será precedida de

observância dos seguintes requisitos:
• O aplicativo deverá fornecer segurança adequada, podendo, para avaliar a segurança

do aplicativo, o Coordenador solicitar um opinativo da AGIN.
AGIN.
• O aplicativo deverá ser mantido com o máximo de proteção por si fornecido,

incluindo, se for o caso, a adoção de um duplo-fator de autenticação.
• O Colaborador deverá declarar formalmente que se obriga a não-compartilhar ou

autorizar o acesso da aplicação a terceiro, salvo se expressamente autorizado pelo
coordenador de seu setor.
• A observância, em tudo o que for cabível, do disposto no item 2 do capítulo anterior

(BYOD).
1.2. Salvo autorização expressa e específica do Comitê de Segurança da Informação e

Proteção de Dados,
Dados é proibido o compartilhamento de informações e documentos
classificados como setoriais ou internos por qualquer meio que não seja a rede interna do
DETRAN e o e-mail corporativo.
GOVERNO DE SERGIPE
1.3. Qualquer decisão, solicitação ou mudança de procedimento, acaso discutidas e

definidas através dos aplicativos de comunicação instantânea, deverá ser devidamente
documentada pelos meios oficiais, devidamente transmitida às partes interessadas.
1.3. No silêncio do Coordenador do Setor, o único aplicativo de comunicação instantânea

autorizado para uso é o e-mail corporativo.
2. MÍDIAS SOCIAIS
O uso das mídias sociais para realização das atividades profissionais em favor do DETRAN
deve ocorrer somente quando necessário e de forma restrita aos objetivos do negócio, de
acordo com as normas internas e externas aplicáveis. Tais atividades devem ser executadas
apenas pelo setor de Comunicação (AGECOM)
AGECOM),
AGECOM) por meio dos Recursos e Ativos da Informação
do Órgão
2.1. Conduta do Colaborador no Uso das Mídias Sociais: O colaborador deve ser cauteloso,
ético e seguro em relação à sua exposição de modo que não afete a reputação do Órgão, a
exemplo de rotinas, trajetos e contatos, além do dever de preservar o sigilo profissional nas
mídias sociais.
GOVERNO DE SERGIPE
ACESSO AOS ATIVOS DA INFORMAÇÃO E AMBIENTE DE TRABALHO
1. CONTROLE DE ACESSO
O DETRAN controla o acesso físico e lógico aos seus ambientes, ativos e informações. Desse
modo, o colaborador recebe identidades digitais específicas para cada sistema operado, de
uso individual, intransferível e, sempre que aplicável, de conhecimento exclusivo.
1.1. O colaborador é responsável pelo uso, proteção e sigilo de suas identidades digitais, não
sendo permitido compartilhar, revelar, salvar, replicar, publicar ou fazer uso não autorizado de
suas credenciais, tal qual de terceiros.
1.1.1. O Usuário poderá alterar suas senhas e deverá fazê-lo em seu primeiro acesso em cada
sistema;
1.1.2. O Usuário deverá alterar a suas senhas, de acordo com a política de segurança
estabelecida para cada tipo de acesso (que lhe será disponibilizada quando da criação de
usuário), e sistemas apropriados estão em vigor para recobrá-lo desse dever.
1.1.3.
1.1.3. Alguns sistemas exigirão a autenticação de dois fatores, em virtude da sensibilidade e
confidencialidade dos dados envolvidos.
1.2. Ao definir os direitos de acesso, o DETRAN limitará os acessos dos respectivos

Colaboradores, no mínimo, aos sistemas de sua coordenação.
1.2.1
1.2.1. O DETRAN segrega os sistemas de cada coordenação em sua intranet, mantendo pastas
compartilhadas entre as coordenações que atuem em conjunto para serem utilizadas nos
estritos limites dessa atuação conjunta.
1.2.2
1.2.2. O acesso ao Código Fonte de Programas de Computador ou Programas Privilegiados é
limitado à equipe da AGIN e aos sujeitos por ela expressa e documentadamente autorizados.
GOVERNO DE SERGIPE
1.3. Ao provisionar o acesso do usuário, a AGIN promoverá a criação de identidades visuais

únicas para o usuário, sendo vedada a emissão de login (nome de usuário) redundante para
diferentes usuários.
1.3.1. O provisionamento do acesso será precedido por requisição do coordenador de cada

setor.
1.4
1.4. Quando do desligamento ou realocação de um Colaborador, o responsável pelo seu setor
deverá informar à AGIN para que esta proceda a imediata remoção de seus direitos de acesso.
1.4
1.4.1. Sempre que possível, o responsável pelo setor deverá proceder a comunicação à AGIN
de forma prévia ao desligamento ou realocação.
1.5
1.5. A verificação de usuários realocados e momentaneamente inativos, e a sua devida
informação à AGIN deve ser feita pelo responsável pelo setor, a cada seis meses,
invariavelmente.
1.5. Acaso existam ferramentas automáticas que permitam a identificação de usuários

inoperantes, aqueles inativos por mais de 3 (três) meses serão bloqueados e posteriormente
excluídos após 1 (um) mês.
1.6. O DETRAN disponibiliza o acesso à internet a todos os colaboradores, adotando controles

de perfil de acesso a sites da internet, de acordo com o tipo de usuário e, a depender do caso,
autorização de diretoria.
2. AMBIENTES LÓGICOS
Os sistemas e Recursos de TIC que suportam os processos e as informações do DETRAN

devem ser confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução
de suas atividades profissionais. Para garantir a segurança acima estabelecida, o DETRAN
utiliza os seguintes sistemas de proteção, ativos e atualizados:
GOVERNO DE SERGIPE
2.1. Contra programas maliciosos (malware) e acessos indevidos, como antimalware, antivírus
e firewall, mantendo-os sempre atualizados;
2.2. Contra mensagens eletrônicas indesejadas ou não autorizadas, como Antispam.
3. SEGURANÇA FÍSICA
O DETRAN deve estabelecer perímetros de segurança para proteção de seus ativos,

especialmente aqueles que processam ou armazenam informações/ativos críticos para o
negócio, e implementar controles para identificação e registro de acessos aos seus ambientes.
3.1. Acesso a áreas seguras deve ser controlada pelos proprietários da informação, que
deverão manter registro de entrada e saída.
3.1.1
3.1.1. É vedada a entrada em ambientes que contenham ativos da informação sensíveis com:
• Alimentos e bebidas;
• Líquidos de qualquer natureza, salvo se utilizados para a manutenção dos ativos;
• Dispositivos móveis, câmeras fotográficas, celulares ou mídias removíveis, salvo

quando autorizada pelo Proprietário do ativo de forma expressa e documentada.
3.1.2
3.1.2. Quando não estiverem sendo utilizadas as áreas seguras devem ser trancadas.
3.1.3
3.1.3. O acesso de partes externas a áreas seguras limitar-se-á ao mínimo necessário e será
sempre supervisionado.
3.1.4
3.1.4. Salvo quando expressamente autorizado pelo Proprietário da Informação, não é
permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou de outros
equipamentos de gravação, tais como câmeras em dispositivos móveis.
GOVERNO DE SERGIPE
4. MESA LIMPA E TELA LIMPA
É dever do colaborador manter a sua estação de trabalho segura, sua mesa limpa e a sua tela
protegida.
4.1. Nenhuma informação ou documento que não seja pública deverá se encontrar na mesa
do Colaborador, exceto se este estiver fazendo uso da mesma.
4.2. Os computadores e terminais devem ser mantidos desligados ou protegidos com

mecanismo de travamento de tela e teclados controlados por senha ou mecanismo de
autenticação similar quando não se encontre sendo monitorado ou quando não usados;
4.3. O colaborador deverá evitar fotocopiar ou imprimir documentos que não sejam públicos,
especialmente caso contenham dados pessoais.
4.4. Caso fotocopiem ou imprimam documentos que não sejam públicos, estes deveram ser
removidos imediatamente.
4.5. É vedado que cópias de documentos que não sejam públicos fiquem armazenadas em
impressoras de uso comum.
4.6. É vedado ao colaborador o armazenamento de documentos e dados de propriedade do

DETRAN na área de trabalho de seu computador, bem como em pasta de armazenagem fora
da rede interna do DETRAN.
5. ACESSO REMOTO
Apenas membros da AGIN podem acessar remotamente um Recurso de TIC do Órgão para
manutenção e conserto, salvo se terceiro for expressa e documentadamente autorizado pelo
Coordenador da AGIN.
GOVERNO DE SERGIPE
5.1. Sempre que possível o acesso remoto deverá ser evitado.
5.2. Quando não for possível evitá-lo, o Usuário não deverá distanciar-se de seu equipamento
durante toda a duração do Acesso remoto, sendo sua obrigação monitorá-lo e a sua
conformidade com a presente política e as demais normas aplicáveis.
5.3. Detectando uma violação no decorrer do acesso remoto, o Usuário responsável pelo
ativo, deverá adotar todas as medidas que estejam em seu poder para fazer cessar o acesso e
reportar imediatamente à AGIN e/ou ao CSIPD.
CSIPD
5.4. Somente será permitido o acesso remoto através das ferramentas aprovadas e
homologadas pelo DETRAN, e que permitam ao Usuário responsável pelo ativo, o
monitoramento do atendimento.
6. ÁUDIO, VÍDEOS E IMAGENS
É vedado aos colaboradores, qualquer atividade relacionada a captura de áudio, vídeo ou

imagens dentro das dependências do DETRAN, sem a prévia e formal autorização da
AGECOM,
AGECOM exceto em eventos oficiais do Órgão.
GOVERNO DE SERGIPE
DESENVOLVIMENTO,
DESENVOLVIMENTO, MUDANÇAS E PROPRIEDADE INTELECTUAL
1. DESENVOLVIMENTO E AQUISIÇÃO DE SOFTWARE
Tanto o desenvolvimento interno e externo de softwares como aquisições de mercado devem

garantir o cumprimento dos requisitos de segurança da informação e controles de acesso
previstos nesta PSI e demais Normas Complementares, além de serem realizadas sob a
liderança do Comitê de Segurança das Informações e Proteção de Dados e a orientação da
AGIN.
AGIN
1.1. É vedada a aquisição ou instalação de qualquer software em equipamento pertencente, ou

sob a guarda, do Órgão, sem a prévia análise pela AGIN e aprovação pela Comitê de
Segurança das Informações e Proteção de Dados de sua confiabilidade e segurança.
1.2. É vedada a aquisição ou instalação de software que não forneçam um nível de segurança
adequado aos padrões da presente política e demais políticas e procedimentos adotados pelo
Órgão
1.3. O DETRAN adota medidas técnicas para impedir a instalação não-autorizada de software.
2. GESTÃO DE MUDANÇA
O andamento e o resultado de uma mudança, principalmente nos sistemas e na infraestrutura

tecnológica do Órgão, devem preservar os controles relacionados a disponibilidade, integridade,
sigilo e autenticidade das informações e realizados somente pela AGIN.
AGIN
3. PROPRIEDADE INTELECTUAL
É vedada a utilização de obras intelectuais, softwares, desenhos industriais, marcas, identidade

visual ou qualquer outro sinal distintivo atual ou futuro em qualquer suporte, inclusive na
Internet e mídias sociais, em violação aos direitos de seus legítimos detentores.
GOVERNO DE SERGIPE
3.1. O uso de bens de propriedade intelectual pertencentes, ou sob a guarda, do DETRAN

deverá ser precedido da prévia autorização do Órgão, ou de quem legitimamente detenha os
direitos sobre estes bens intangíveis, e deverá ser vinculada as atividades profissionais.
GOVERNO DE SERGIPE
SALVAGUARDA, ANÁLISE DE PROCESSOS, MONITORAMENTO E AUDITORIA
1. SALVAGUARDA (BACKUP)
O DETRAN mantém um processo de salvaguarda das informações e dos dados necessários

para completa recuperação dos seus sistemas (backup), a fim de atender os requisitos
operacionais e legais, além de garantir a continuidade do negócio em caso de falhas ou
incidentes ou sua recuperação o mais rápido possível.
2. ANÁLISE DOS PROCESSOS E RECURSOS DE TIC
Os Coordenadores/Gerentes devem analisar seus processos e Recursos de TIC, em intervalos

regulares, visando assegurar que estejam devidamente inventariados e com seus gestores
identificados e cientes, assim como suas vulnerabilidades e ameaças de segurança mapeadas.
3. MONITORAMENTO
O DETRAN monitora seus ambientes físicos e lógicos, visando a eficácia dos controles
implantados, a proteção de seu patrimônio, a reputação e a identificação de eventos ou
alertas de incidentes referentes à segurança da informação.
4. AUDITORIA E INSPEÇÃO
O DETRAN pode auditar ou inspecionar os Recursos de TIC que estiverem em suas

dependências ou que interajam com seus ambientes lógicos sempre que considerar
necessário, atendendo aos princípios da proporcionalidade, razoabilidade e privacidade de
seus proprietários ou portadores.
GOVERNO DE SERGIPE
COMITÊ DE PROTEÇÃO DE SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS E

ENCARREGADO DE PROTEÇÃO DE DADOS
1. APRESENTAÇÃO E PROPÓSITO
O CSIPD (“Comitê”) é o órgão responsável pela conformidade do Órgão, às normas de
proteção de dados pessoais e privacidade, internas e externas, a que o DETRAN encontra-se
sujeito. Cabendo-lhe, com o apoio da Alta-Gestão, implementar, dirigir e aprimorar o Sistema
de Gestão em Proteção de Dados (SGPD).
2. AUTORIDADE E PODERES
PODERES
O Comitê é o órgão máximo no DETRAN em proteção de dados e privacidade, encontrando-
se diretamente subordinado a Diretoria Executiva (alta-gestão) do DETRAN. Em razão dessa
posição, lhe são conferidos todos os poderes possíveis para a implementação, manutenção e
monitoramento de matérias atinentes à proteção de dados e privacidade, incluindo, mas não
se limitando a:
• Ser consultado em todas as questões envolvendo proteção de dados e privacidade;
• Monitorar os projetos, internos e externos, desenvolvidos pelo DETRAN para garantir a sua
conformidade com as normas aplicáveis em proteção de dados e privacidade;
• Formular e modificar regras de boas práticas internas;
• Analisar, definir ou recomendar, em conjunto com o Comitê de Qualidade, Segurança, Risco e
padrões mínimos de segurança;
• Pré-Aprovar ou Pré-Rejeitar operações de tratamento de dados pessoais, por meio de parecer
fundamentado;
• Realizar, ou determinar que se realize, uma Avaliação de Impacto em Proteção de Dados/
Relatório de Impacto à Proteção de Dados Pessoais;
• Aprovar o resultado da Avaliação de Impacto em Proteção de Dados/ Relatório de Impacto à
Proteção de Dados Pessoais;
GOVERNO DE SERGIPE
• Apenas ter qualquer de suas decisões afastadas mediante decisão fundamentada da Diretoria
Executiva;
• Avaliar e responder, em nome do DETRAN, requisições de partes interessadas, incluindo
autoridades públicas, titulares de dados pessoais e parceiros econômicos;
• Controlar, investigar e responder violação de dados pessoais;
• Aplicar sanções ou outra medida adequada aos envolvidos em violação de dados pessoais,
separadamente ou em conjunto com outros Comitês porventura existentes.
3. POSIÇÃO NA HIERARQUIA DO DETRAN E GARANTIAS
O Comitê de Segurança da Informação e Proteção de Dados encontra-se diretamente

subordinado à Diretoria Executiva (Alta Gestão), devendo trabalhar, em conjunto com esses
organismos, para garantir o adequado funcionamento do DETRAN.
3.1. É garantida a devida independência técnica aos membros do Comitê de Segurança da

Informação e Proteção de Dados, que não poderão ser sancionados por suas opiniões ou
votos, desde que resguardem pertinência técnica.
3.2. Nenhum dos membros do Comitê de Segurança da Informação e Proteção de Dados poderá,
de qualquer modo, ser sancionado pelo regular exercício de suas funções.
4. ESTRUTURA, COMPOSIÇÃO E MEMBROS
4.1. O Comitê de Segurança da Informação e Proteção de Dados é formado por 08 (oito)

integrantes e é composto da seguinte forma:
4.1.1. Uma mesa diretora, responsável por dirigir as atividades do comitê e as atividades diárias do
DETRAN em proteção de dados, sendo formada por:
GOVERNO DE SERGIPE
• Um Diretor (Encarregado pela Proteção de Dados/Data Protection Officer - DPO), interno ou

externo aos quadros organizacionais, responsável por dirigir e representar o Comitê, pelo
monitoramento e controle da conformidade do DETRAN com as normas aplicáveis e servir de
ponto de contato entre o DETRAN e os titulares de dados pessoais e/ou agentes reguladores
ou fiscalizadores. Ao DPO incumbe o “voto de qualidade” nas hipóteses de empate entre as
deliberações colegiadas.
• Dois consultores, internos ou externos aos quadros organizacionais, representantes da
assessoria jurídica e da Diretoria de Tecnologia e Sistemas, responsáveis por assessorar o
Encarregado de Proteção de Dados em suas tarefas ordinárias e, em caso de ausência,
assumir temporariamente suas atribuições
4.1.2. Um Conselho, responsável pela implementação, monitoramento e aprimoramento do
programa de gestão em proteção de dados e privacidade, pela aplicação de sanções,
respostas a violação de dados pessoais, por monitorar, fiscalizar, aprovar, rejeitar ou modificar
as decisões, propostas, avaliações, relatórios e Pareceres apresentados pela mesa diretora.
• O Conselho será formado pelos membros da Mesa Diretora e por representantes das
respectivas diretorias/coordenações/gerências determinadas.
5. REUNIÕES
5.1. O Comitê se reunirá, ordinariamente, presencialmente ou por meio eletrônico:
5.1.1.Uma vez por mês para monitorar, fiscalizar, aprovar, rejeitar ou
modificar as decisões, propostas, avaliações, relatórios e pareceres
apresentados pela mesa diretora no mês antecedente.
5.1.2. Anualmente, para:
• Avaliar e, sendo o caso, alterar as políticas e procedimentos adotados;
• Definir e alinhar o plano de treinamento periódico em proteção de
dados e privacidade para o exercício seguinte;
GOVERNO DE SERGIPE
• Definir e alinhar o plano de auditoria para o exercício seguinte;
5.1. O Comitê se reunirá, extraordinariamente, presencialmente ou por meio

eletrônico, mediante convocação do DPO, quando necessário para a implementação,
direção, monitoramento e aprimoramento do Sistema de Gestão em Proteção de Dados
(SGPD) e/ou for requerido por política ou procedimento interno.
5.2. As reuniões do Comitê devem ser regularmente registradas, por qualquer meio
que permita a comprovação do conteúdo das suas deliberações.
6. RESPONSABILIDADES
6.1. Caberá ao Comitê implementar, dirigir, monitorar e aprimorar o Sistema de Gestão
em Proteção de Dados e Privacidade, cabendo-lhe, para tanto, dentre outras
responsabilidades:
• Servir de órgão consultor para todo DETRAN, acompanhando, informando e a
aconselhando matérias relativas à privacidade e proteção de dados;
• Monitorar internamente o DETRAN, pontuando e investigando eventuais não-
conformidades com as normas internas e externas que lhe sejam aplicadas;
• Promover orientação e treinamento aos colaboradores da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados pessoais;
• Adotar as medidas necessárias para garantir a adequação dos projetos, internos e
externos, desenvolvidos pelo DETRAN com as normas aplicáveis em proteção de dados
e privacidade;
• Formular e modificar regras de boas práticas internas;
• Avaliar novas operações de tratamento de dados pessoais;
• Realizar a due diligence de parceiros econômicos;
• Comandar, quando necessário, a realização da Avaliação de Impacto em Proteção de
Dados/Relatório de Impacto à Proteção de Dados Pessoais;
GOVERNO DE SERGIPE
• Aprovar o resultado da Avaliação de Impacto em Proteção de Dados/ Relatório de

Impacto à Proteção de Dados Pessoais;
• Definir um plano de auditoria interna e/ou externa;
• Responder, em nome do DETRAN, requisições de partes interessadas, incluindo
autoridades públicas, titulares de dados pessoais e parceiros econômicos;
• Controlar, investigar e responder à violação de dados pessoais;
GOVERNO DE SERGIPE
RESPONSABILIDADES
1. DIRETORIA EXECUTIVA
1.1. Analisar, aprovar e declarar formalmente o seu comprometimento com esta PSI;
PSI
1.2. Aprovar os investimentos em segurança da informação no Órgão, considerando a

viabilidade e os impactos de sua aplicação à qualidade dos processos de negócio;
1.3. Analisar e aprovar, ou não, as exceções de forma excepcional a essa PSI.

PSI
1.4. Analisar criticamente os resultados desta Política de forma anual.
1.5.
1.5. Fazer cumprir esta PSI e demais documentos complementares por todos os
colaboradores do Órgão;
2. AGIN
2.1
2.1. Identificar e avaliar os riscos relacionados à segurança da informação e propor melhorias
e recursos necessários às ações de segurança da informação;
2.2
2.2. Realizar e acompanhar estudos de tecnologias, com o apoio do Comitê de Segurança da
Informação e Proteção de Dados,
Dados quanto a possíveis impactos na segurança da informação;
2.3
2.3. Auxiliar o CSIPD a elaborar e manter atualizado os documentos que compõem o Comitê.
2.4
2.4. Propor, junto com o CSIPD, normas e procedimentos internos relativos à segurança da
informação no Órgão;
2.6. Realizar a gestão, manutenção e administração dos Recursos de TIC de propriedade ou

sob a responsabilidade do Órgão;
GOVERNO DE SERGIPE
2.7. Garantir que todos os Recursos de TIC utilizados no DETRAN atendam as recomendações
de seus fabricantes ou desenvolvedores;
2.8. Definir, analisar e priorizar ações necessárias, balanceando custo e benefício;
2.9. Realizar o registro e o monitoramento dos acessos aos ambientes lógicos do Órgão;
2.10. Disponibilizar e realizar a gestão das identidades digitais de acesso ao ambiente lógico
do Órgão;
2.11. Auxiliar o CSIPD na análise dos incidentes de segurança da informação reportados;
2.12. Avaliar se os requisitos de segurança da informação estão presentes antes da aquisição,

manutenção ou desenvolvimento de softwares;
2.13. Garantir andamento e o resultado de mudanças preservem os controles relacionados à

disponibilidade, integridade, confidencialidade, autenticidade, privacidade e legalidade das
informações, sobretudo nos sistemas e na infraestrutura tecnológica do Órgão;
2.14. Garantir a rápida recuperação em situações de contingência de seus sistemas e

processos que envolvam os Recursos de TIC do DETRAN;
2.15. Elaborar e/ou manter procedimentos de salvaguarda das informações e dos dados
necessários para recuperação dos sistemas do Órgão;
2.16. Assegurar que os procedimentos de Gestão da Continuidade do Negócio sejam

executados em conformidade com os requisitos de segurança da informação;
2.17. Acompanhar e garantir a manutenção periódica nos equipamentos e ativos de TI

pertencentes ou sob a guarda do Órgão.
2.18 Custodiar e colher assinatura dos “Termos de Ciência e Responsabilidade” para uso de
GOVERNO DE SERGIPE
ativos, dispositivos e novos usuários de sistema, na admissão de novos colaboradores.
3. PROCURADORIA JURÍDICA
3.1. Participar, apoiar e orientar, de acordo com os aspectos jurídicos, os processos de

contratação e as exigências legislativas relacionadas à segurança da informação;
3.2. Validar as minutas que devem atender aos controles de segurança da informação
aplicáveis aos contratos.
4. GEREH
4.1. Realizar campanhas de capacitação e divulgação da segurança da informação;
4.2. Estipular controles de segurança especificamente relacionados aos processos de

contratação, encerramento e modificação das atividades dos colaboradores;
4.3. Garantir a publicidade e disponibilidade dos documentos que compõe o SGSI no Órgão.
4.4. Disponibilizar os normativos do Órgão aos colaboradores.
4.5. Na ocasião do desligamento/exoneração do colaborador, instruí-lo a respeito dos seus

deveres remanescentes em matéria de segurança da informação e proteção de dados
pessoais.
5. AGECOM
5.1. Autorizar ou não, o uso das marcas, identidade visual e qualquer outro sinal distintivo
atual ou futuro do DETRAN;
5.2. Autorizar ou não, a gravação de áudio, vídeo ou foto das dependências do Órgão.
GOVERNO DE SERGIPE
6. PROPRIETÁRIO DA INFORMAÇÃO
6.1
6.1. Identificar violações ou qualquer ação duvidosa praticada por outros colaboradores no
uso da informação do DETRAN e comunicar ao CSIPD e ao Coordenador do colaborador.
6.2
6.2. Fiscalizar se os ativos dos quais são proprietários estão sendo utilizados em conformidade
com a presente Política e reportar ao CGSIPD e ao seu superior imediato a existência de
violações.
7. RESPONSÁVEIS PELOS SETORES
7.1. Autorizar ou não, a revelação de qualquer informação de propriedade ou sob a

responsabilidade do Órgão;
7.2. Garantir e gerenciar o cumprimento desta PSI e demais documentos complementares

pelos seus subordinados;
7.3. Identificar e medir as vulnerabilidades e ameaças nos processos e atividades de sua

responsabilidade, as quais devem ser tratadas diligentemente de modo a reduzir os impactos
ao negócio;
7.3. Autorizar, ou não, a utilização de Recursos de TIC ou dispositivos móveis particulares por
seus subordinados para execução de qualquer atividade profissional no Órgão;
7.4. Garantir que os ativos de propriedade ou sob a responsabilidade do DETRAN sejam

utilizados com cuidado e de acordo com as orientações do fabricante e do Órgão;
7.5. Sugerir a aplicação das sanções de violação desta PSI e documentos complementares;
7.6. Identificar incidentes de segurança da informação ou qualquer ação duvidosa praticada por
seus subordinados, comunicando o CSIPD imediatamente.
GOVERNO DE SERGIPE
7.7.
7.7 Atuar enquanto Proprietários da Informação, salvo se delegar essa posição para um dos
colaboradores sob a sua supervisão, de forma expressa e documentada.
8. COLABORADORES
COLABORADORES
8.1. Estar ciente e manter-se atualizado com esta PSI e demais documentos complementares;
8.2. Conhecer e assinar os “Termos de Ciência e Responsabilidade” cabíveis;
8.3. Utilizar os ativos de propriedade do DETRAN ou sob sua responsabilidade de acordo com
as orientações do fabricante, do desenvolvedor e do Órgão, com cuidado e zelo;
8.4. Utilizar os ativos e informações do DETRAN somente para fins profissionais, de forma
ética e legal, respeitando os direitos e as permissões de uso concedidas;
8.5. Preservar a integridade, a disponibilidade, a confidencialidade, autenticidade, a legalidade

e, quando aplicável, a privacidade das informações acessadas ou manipuladas, não as
utilizando, enviando, transmitindo ou compartilhando indevidamente, em qualquer local ou
mídia, inclusive na Internet;
8.6. Não revelar qualquer informação de propriedade ou sob a responsabilidade do DETRAN

sem a prévia e formal autorização;
8.7. Utilizar as marcas e outros sinais distintivos, patentes, desenhos industriais, softwares e
demais direitos de propriedade intelectual de titularidade do DETRAN somente para
finalidades profissionais e autorizadas pelo Órgão, de acordo com a atividade e função
exercida;
8.8. Zelar pela segurança da sua identidade digital, não compartilhando, divulgando ou
transferindo a terceiros;
8.9. Responder por toda e qualquer atividade realizada nos Recursos de TIC do DETRAN,
GOVERNO DE SERGIPE
mediante o uso de sua identidade digital;
8.10. Cumprir a legislação nacional vigente e demais instrumentos regulamentares

relacionados às atividades profissionais;
8.11. Reportar formalmente ao seu Coordenador quaisquer eventos relativos à violação ou

possibilidade de violação de segurança ou atividades suspeitas.
9. USUÁRIOS EXTERNOS
9.1. Estar ciente, dar ciência a seus subordinados e manter-se atualizado com esta PSI e
demais documentos complementares;
9.2. Conhecer e assinar os “Termos de Ciência e Responsabilidade”;
9.3. Utilizar as bases de dados e informações do DETRAN somente para fins profissionais,
de forma ética e legal, respeitando os direitos e as permissões de uso concedidas;
9.4. Preservar a integridade, a disponibilidade, a confidencialidade, autenticidade, a

legalidade e, quando aplicável, a privacidade das informações acessadas ou manipuladas, não
as utilizando, enviando, transmitindo ou compartilhando indevidamente, em qualquer local ou
mídia, inclusive na Internet;
9.5. Não revelar qualquer informação de propriedade ou sob a responsabilidade do

DETRAN sem a prévia e formal autorização;
9.6. Zelar pela segurança da sua identidade digital, não compartilhando, divulgando ou
transferindo a terceiros;
9.7. Responder por toda e qualquer atividade efetuadas nos Recursos de TIC do DETRAN
realizada mediante o uso de sua identidade digital;
GOVERNO DE SERGIPE
9.8. Cumprir a legislação nacional vigente e demais instrumentos regulamentares

relacionados às atividades profissionais;
9.9. Reportar formalmente ao DETRAN quaisquer eventos relativos à violação ou

possibilidade de violação de segurança ou atividades suspeitas.
GESTÃO DE RISCO, CONTINUIDADE DE NEGÓCIOS,

NEGÓCIOS, REVISÕES, ALTERAÇÕES E EXCEÇÕE
EXCEÇÕES
1. GESTÃO DE RISCO:
RISCO: O Comitê de Segurança da Informação e Proteção de Dados deve
identificar e avaliar os riscos relacionados à segurança da informação e adotar as melhores
práticas para o seu gerenciamento.
2. CONTINUIDADE DO NEGÓCIO:
NEGÓCIO: Os procedimentos de gestão de Continuidade do Negócio
devem ser executados em conformidade com os requisitos de segurança da informação do
Órgão.
3. INVESTIMENTOS: Os investimentos em segurança da informação no DETRAN devem ser

estudados e deliberados pelo Comitê de Segurança da Informação e Proteção de Dados junto
à DIRETORIA EXECUTIVA, alinhado com as coordenações, considerando a viabilidade dos
investimentos (custo x benefício) e os impactos de sua aplicação à qualidade dos processos de
negócio.
4. REVISÃO E ATUALIZAÇÃO: O DETRAN deve possuir e manter um programa de revisão e

atualização desta PSI e das Normas Complementares sempre que se fizer necessário, desde
que não exceda o período máximo de 12 (dozes) meses, visando à garantia que todos os
requisitos de segurança técnicos e legais implementados estejam sendo cumpridos e
atualizados.
5. ALTERAÇÕES: As alterações desta PSI e das Normas Complementares devem ser
GOVERNO DE SERGIPE
devidamente comunicadas aos colaboradores.
6. EXCEÇÕES: As exceções a esta PSI devem ser temporárias e aprovadas previamente pela
DIRETORIA EXECUTIVA para produzirem efeito.
6.1. Os pedidos de exceção devem ser encaminhados por escrito à DIRETORIA EXECUTIVA e,
se julgado pertinente, será remetido ao Comitê para parecer e, em seguida, novamente à
DIRETORIA para análise de viabilidade.
6.2. As exceções podem ser revogadas a qualquer tempo por mera liberalidade da
DIRETORIA EXECUTIVA, devendo os setores relacionados serem informados imediatamente da
denegação para providências, sob pena de responsabilização de quem se omitiu de eventuais
prejuízos sofridos pelo Órgão, seus clientes ou terceiros.
6. DÚVIDAS: Qualquer dúvida relativa a esta PSI deve ser encaminhada ao DPO por meio do
endereço eletrônico: encarregados.dados@detran.se.gov.br.
7. DISPOSIÇÕES FINAIS
7.1. Na medida em que for cabível os deveres previstos neste instrumento não se encerram
com o termino da Relação entre o aderente e o Órgão.
7.2. O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no
idioma português, em conjunto com as Normas e Procedimentos aplicáveis pelo Órgão.
7.3
7.3. Esta PSI bem como as demais Normas e Procedimentos do DETRAN encontram-se
disponíveis na Intranet ou, em caso de indisponibilidade, podem ser solicitadas para o DPO.
DPO
7.4
7.4. Esta PSI entra em vigor 60 (sessenta) dias após a sua publicação.

Política de Segurança da Informação do DETRAN de Sergipe

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Política de Segurança da Informação do DETRAN de Sergipe

Enviado por

Direitos autorais:

Formatos disponíveis

GOVERNO DE SERGIPE

SECRETARIA DE ESTADO DA SEGURANÇA PÚBLICA

O DETRAN reconhece a importância e necessidade da adoção de boas práticas de Segurança

Aracaju – SE, 2 de setembro de 2022

poderes para a tomada de determinadas decisões.

Ameaça Causa potencial de um incidente indesejado, que pode resultar em

Aplicativos de Comunicação Conjunto de código e instruções compiladas, executados ou

interpretados por um Recurso de Tecnologia da Informação e

Comunicação, armazenados em um dispositivo ou na nuvem, que são

Área Segura Espaço físico no qual se encontrem localizados ativos da informação

sensíveis, como provedores e arquivos físicos

o DETRAN e precisa ser adequadamente protegido.

perceptível, a exemplo, mas não se limitando à dados, reputação,

Autenticidade Garantia de que a informação é procedente e fidedigna, sendo capaz

de gerar evidências não repudiáveis da identificação de quem a criou,

Backup Salvaguarda de informações, realizada por meio de reprodução e/ou

capacidade de recuperação em caso de incidente ou necessidade de

Colaborador Categoria que engloba todos os empregados, estagiários,

aprendizes, representantes ou qualquer outro indivíduo ou

profissional, direta ou indiretamente, com o DETRAN, incluindo atuais,

Comitê de Segurança da Órgão responsável por implementar, dirigir e aprimorar o Sistema

Informação e Proteção de Integrado de Gestão em Segurança da Informação e Proteção de

Controlador Agente responsável pela tomada de decisões essenciais, quanto à

finalidade e os meios de tratamento de dados pessoais.

Decisões automatizadas Decisões tomadas por sistemas de inteligência artificial.

parte de sua liberdade tolhida em decorrência, em regra, de uma

relação de subordinação e/ou dependência para com a outra.

portabilidade, com capacidade de registro, armazenamento ou

Dispositivos Removíveis de Dispositivos capazes de armazenar informações que pode ser

como CD, DVD, HD Externo e pen drive.

em dispositivo, computador, nuvem, ou qualquer outro meio, dados

confidencialidade, integridade, a disponibilidade e a privacidade da

Homologação Processo de avaliação e aprovação técnica de Recursos de Tecnologia

Identidade Digital É a identificação do colaborador em ambientes lógicos, sendo

certificado digital, token e biometria.

Incidente de Segurança da Ocorrência identificada de um estado de sistema, dados, informações,

da Informação ou Normas Complementares, falha de controles ou

segurança da informação, isto é, tenha impactos não-previstos ou

não desejados na confidencialidade, integridade, disponibilidade e,

Informação Conjunto de dados que, processados ou não, podem ser utilizados

Integridade Garantia de que as informações estejam íntegras durante o seu ciclo

Legalidade Garantia de que todas as informações sejam criadas e gerenciadas de

acordo com as disposições do Ordenamento Jurídico em vigor.

Serviço/Executores de fornecedores, operadores e representantes contratados;

Proprietário da informação Colaborador responsável pela criação/recebimento, classificação,

informação. Também é incumbido da gestão de validação, liberação

e cancelamento dos acessos à informação destes. Em regra, será o

Recursos de Tecnologia da Hardware, software, serviços de conexão e comunicação ou de

Informação e Comunicação infraestrutura física necessários para criação, registro,

Relatório de Impacto à Documento a ser confeccionado para operações de tratamento que

Responsável pelo tratamento

Repositórios Digitais Plataformas de armazenamento na Internet, a exemplo de Google

(Cyberlockers) Drive, OneDrive, Dropbox, iCloud, Box, SugarSync, Slideshare e

Risco Combinação da probabilidade da concretização de uma ameaça e

seus potenciais impactos.

Segurança da Informação Preservação da confidencialidade, integridade, disponibilidade,

continuidade dos negócios, minimizar os danos aos negócios,

maximizar o retorno dos investimentos e de novas oportunidades de

Sites/Websites Denominação comum para as páginas de internet.

Dados Pessoais nacional, independente do meio em que ocorra.

Tratamento Qualquer operação feita com dados pessoais.

normativos do DETRAN e sejam frustrados por erro durante o