RELATÓRIO DE APURAÇÃO

Serviço Federal de Processamento de Dados (Serpro)

2021

18 de outubro de 2021
Controladoria-Geral da União (CGU)
Secretaria Federal de Controle Interno (SFC)

RELATÓRIO DE APURAÇÃO
Órgão: Ministério da Economia
Unidade Examinada: Serviço Federal de Processamento de Dados (Serpro)
Município/UF: Brasília/DF
Relatório de Apuração: 932861
Missão
Elevar a credibilidade do Estado por meio da participação social, do controle
interno governamental e do combate à corrupção em defesa da sociedade.

Apuração
O serviço de apuração consiste na execução de procedimentos com a finalidade
de averiguar atos e fatos inquinados de ilegalidade ou de irregularidade
praticados por agentes públicos ou privados, na utilização de recursos públicos
federais.
 POR QUE A CGU REALIZOU ESSE TRABALHO?
QUAL FOI O Este trabalho foi realizado em virtude de demanda
TRABALHO externa relacionada à contratação da empresa PwC, por
REALIZADO meio do Contrato Serpro nº 73.353/2020, de forma a
verificar se o referido Contrato foi adequado no que se
PELA CGU? refere à manutenção do sigilo de dados, informações e
sistemas da RFB custodiados pelo Serpro.
Auditoria de apuração
com o objetivo de atestar QUAIS AS CONCLUSÕES ALCANÇADAS PELA
se o planejamento e a
execução contratual junto CGU? QUAIS AS RECOMENDAÇÕES QUE
à empresa Price DEVERÃO SER ADOTADAS?
Waterhouse Coopers
Tecnologia da Informação
Ltda (PwC), por meio do Considerando os temas abordados, foi possível
Contrato Serpro nº identificar incremento no risco de não alcançar uma
73.353/2020, foram efetividade contratual satisfatória, além de exposição
adequadas no que se de dados e informações sigilosos necessários para a
refere à manutenção do execução conclusiva do objeto contratual, sem
sigilo dos dados, autorização prévia da RFB. Também foram constatadas
informações e sistemas da fragilidades no tratamento dos dados e informações da
Secretaria Especial da RFB custodiados pelo Serpro.
Receita Federal do Brasil Para as situações verificadas, foram feitas
(RFB) custodiados pelo recomendações no sentido de: (i) instituir
Serpro e aos procedimento para normatizar a autorização prévia
procedimentos de conduta dos clientes para acesso a dados e sistemas ao realizar
contratual avençados no licitação de objeto que implique permitir acesso por
Contrato RFB/Copol nº terceiros dos dados e sistemas que tenham
19/2018. prerrogativas contratuais de sigilo; e (ii) avaliar
oportunidades de aperfeiçoamento nos mecanismos
de armazenamento de logs de acesso aos sistemas
custodiados pelo Serpro, com garantia de adoção de
período de descarte mínimo de 1 ano, em especial para
os sistemas da RFB.
LISTA DE SIGLAS E ABREVIATURAS

CGU Controladoria-Geral da União

ME Ministério da Economia
NC Norma Complementar
PwC PricewaterhouseCoopers Tecnologia da Informação Ltda
RFB Secretaria Especial da Receita Federal do Brasil
TCU Tribunal de Contas da União
SUMÁRIO
INTRODUÇÃO 6

RESULTADOS DOS EXAMES 8

1. Incremento do risco de não alcançar uma efetividade contratual satisfatória,

associado à exposição de dados e informações sigilosos 8

2. Fragilidades no tratamento dos dados e informações da RFB custodiados pelo Serpro 15

RECOMENDAÇÕES 19

CONCLUSÃO 20

ANEXOS 21

I – MANIFESTAÇÃO DA UNIDADE EXAMINADA E ANÁLISE DA EQUIPE DE AUDITORIA 21

INTRODUÇÃO
O Serpro é uma empresa pública vinculada ao Ministério da Economia - ME. Foi criada no dia
01/12/1964, pela Lei nº 4.516, regido pela Lei 5.615, de 13/10/1970, com o objetivo de
modernizar e dar agilidade a setores estratégicos da Administração Pública brasileira. Possui
personalidade jurídica de direito privado, patrimônio próprio, autonomia administrativa e
financeira, sendo regida ainda pelas Leis nº 13.303, de 30/06/2016, Lei nº 6.404, de
15/12/1976, bem como pelo Decreto nº 8.945, de 27/12/2016 e demais legislações aplicáveis.
Nesse diapasão, em virtude de demanda externa, este trabalho analisou, sob a ótica de
segurança da informação, o Contrato nº 73.353/2020, celebrado entre o Serviço Federal de
Processamento de Dados (Serpro) e a empresa PricewaterhouseCoopers Tecnologia da
Informação Ltda., cujo objeto consiste na “Avaliação de processos e tecnologia, arquitetura,
ferramentas e segurança da informação dos 10 sistemas selecionados do SERPRO”.
Nesse sentido, o objetivo dos trabalhos de apuração realizados pela equipe de auditoria foi
atestar se o planejamento e a execução da contratação da empresa PwC, por meio do
Contrato Serpro1 nº 73.353/2020, foi adequado no que se refere à manutenção do sigilo dos
dados e informações da RFB custodiados pelo estatal e procedimentos de conduta contratual
avençados no Contrato RFB/Copol nº 19/2018.
Os trabalhos foram realizados no período de 08/02/2021 a 02/07/2021.Nesse sentido, vale
ressaltar que foi encaminhado à estatal Relatório Preliminar de Auditoria, no dia 06/07/2021,
e após as manifestações do Serpro, foi compilada esta versão final do relatório.
Nesse diapasão, destaca-se que a metodologia de análise inicial consistiria em analisar os logs
de acesso aos sistemas da RFB custodiados pelo Serpro. Entretanto, o Serpro informou que
não registrava logs de acesso ao sistema “Informações suprimidas por solicitação do SERPRO, em função
de sigilo, na forma da Lei nº 5.615/1970”, o qual foi inserido na amostra em virtude de ter sido
relatado2 pelo Serpro que este teria sido o único sistema objeto de alguma atividade pela PwC
no período em que o contrato esteve vigente, de 04/02/2021 a 27/02/2021. Dessa forma, os
logs seriam utilizados para certificar que não houve acesso aos dados sigilosos e sistemas pelos
consultores da PwC.
Convém frisar ainda que o Contrato Serpro nº 73.353, de 04/02/2020, foi firmado entre a
empresa PwC e a estatal Serpro no valor de R$12.317.301,14. Já o Contrato RFB/Copol nº
19/2018, foi firmado entre a União, por intermédio da RFB, e o Serpro, com o seguinte objeto
“prestação contínua e ininterrupta, pela CONTRATADA junto a CONTRATANTE, de serviços de
Tecnologia da Informação, relativos a produção de soluções de TI, desenvolvimento e
manutenção de sistemas, modelagem de soluções de TI e suporte e sustentação referentes aos
processos estratégicos da CONTRATANTE”.
Ressalta-se que o Serpro fundamentou a contratação junto a PwC com base no art. 29, inc.
XV, da Lei nº 13.303/2016, “por envolver situação de emergência caracterizada pela urgência
de atendimento de situação que possa ocasionar prejuízo ou comprometer a segurança de
pessoas, obras, serviços, equipamentos e outros bens”. Ato contínuo, motivado por

2
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”.

6
representação protocolada pelo Ministério Público junto ao Tribunal de Contas da União, o
Acórdão TCU nº 1919/2020, de 22/7/2020, condicionou a continuidade da contratação a uma
eventual repactuação dos preços. Nesse contexto, o Serpro optou por encerrar a contratação,
conforme publicação no Diário Oficial da União em 16/09/2020.
Ainda, o Serpro relatou que houve um erro na extração de dados no sistema “Informações
suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” em 2019, o qual
foi resolvido internamente e não foi o objetivo da contratação. Entretanto, o erro do
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970 ” em
conjunto com outras constatações levantadas pelo Serpro demonstrou riscos para atividades,
conforme excerto3:
o risco de que os processos, as avaliações de riscos e os procedimentos de
governança de TI de todos os sistemas do SERPRO pudessem carecer de regras,
procedimentos e supervisão da cadeia de conduta capazes de assegurar que novas
falhas no próprio “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma
da Lei nº 5.615/1970” e, principalmente, novas falhas em sistemas com altíssimo grau de
integração e de altíssimo impacto para a administração pública federal não
ocorressem novamente.

Nesse diapasão, apesar de possuir expertise para realizar as atividades, o Serpro consignou
que não dispunha de equipe disponível para realizar as análises em tempo oportuno, bem
como julgou que uma avaliação por terceiros manteria a independência das conclusões.
Assim, com base nos objetivos de auditoria e a partir das análises e testes realizados,
apresentam-se a seguir os resultados encontrados.

3
Prestação se Informações à CGU – Solicitação de Auditoria nº 932861/04, de 01/06/2021
7
RESULTADOS DOS EXAMES
1. Incremento do risco de não alcançar uma efetividade contratual
satisfatória, associado à exposição de dados e informações sigilosos
Para uma melhor visualização e compreensão do achado, ele foi estruturado em 3 seções: (I)
Introdução, (II) Análises e (III) Conclusão.
I) Introdução
O objetivo dos trabalhos de apuração realizados pela equipe de auditoria foi atestar se o
planejamento da contratação da empresa PwC, por meio do Contrato Serpro4 nº 73.353/2020,
foi adequado no que se refere à manutenção do sigilo dos dados e informações da RFB
custodiados pelo Serpro e aos procedimentos de conduta contratual avençados no Contrato
RFB/Copol nº 19/2018.
Consta5 da seção “Obrigações da Contratada” do Contrato RFB/Copol nº 19/2018, firmado
entre a União, por intermédio da Secretaria da Receita Federal do Brasil, e a empresa Serviço
Federal de Processamento de Dados, a obrigação do Serpro de “não divulgar informações,
dados, projetos, serviços e soluções de TI de propriedade da outra parte, nem falar em seu
nome, em nenhum tipo de mídia, sem sua prévia autorização”, conforme item “ab” da cláusula
12.2 do contrato RFB/Copol nº 19/2018. Cabe frisar que a dita “outra parte” caracterizada
como proprietária é a RFB.
Nesse sentido, o Contrato Serpro nº 73.353, de 04/02/2020, firmado entre a empresa
PricewaterhouseCoopers Tecnologia da Informação Ltda e a empresa Serviço Federal de
Processamento de Dados, traz obrigações6 que demonstram que houve uma preocupação em
atender aos compromissos do Art. 3º do objeto social do Serpro, bem como ao item 5.9 da
Política Corporativa de Segurança da Informação SG-018/2019, mediante a solicitação do
consentimento dos proprietários dos dados e informações, porém a requisição deveria
ocorrer no decorrer da execução contratual, conforme excertos a seguir:
12.1 O SERPRO e a CONTRATADA se comprometem a proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural, relativos ao tratamento de dados pessoais,
inclusive nos meios digitais, atuando da seguinte forma:
[...]
a.1) eventualmente, se for o caso, a coleta de dados pessoais indispensáveis à
própria prestação do serviço deverá ser submetida à aprovação prévia e
fundamentada da CONTRATADA, ocasião em que o SERPRO será responsável por
obter o consentimento dos titulares, observadas demais condicionantes da alínea
‘a’ acima; (grifo nosso)

Dessa forma, apesar do consentimento dos proprietários dos dados, no contrato RFB/Copol
nº 19/2018, estar previsto contratualmente, urge remarcar que, conforme descrito, em que a
obtenção do consentimento dos proprietários dos dados seria solicitada ao longo da execução

4
Valor contratual com a PwC de R$12.317.301,14
5
item “ab” da cláusula 12.2 do contrato RFB/Copol nº 19/2018
6
Item 2.4.5 da Cláusula Segunda – Das Especificações do Objeto - e item 12.1, alínea “a.1”, da Cláusula Décima
Segunda – Da Proteção de Dados Pessoais
8
contratual, compromete o objetivo amplo da contratação, da mesma forma que não restou
observada que essa solicitação prévia à RFB, como proprietária dos dados, foi de fato
executada, como será exposto adiante.
Destarte, constam do Projeto Básico Simplificado SUPEC 00115/2020, os seguintes serviços a
serem prestados:
“2.3 Serviços a serem prestados
A proponente deverá realizar a execução de análise e parecer em 4 (quatro)
segmentos:
-Processos e procedimentos adotados no Serpro no desenvolvimento e na
operação;
- Arquitetura da Solução;
- Tecnologias e ferramentas utilizadas nas soluções selecionadas
-Segurança:
Teste de Invasão
O teste deve seguir majoritariamente a metodologia blackbox, com teste
realizado a partir da internet. Para os sistemas e ambientes não publicados
na internet, o teste deve ser realizado a partir das dependências do SERPRO.
E neste caso podem seguir metodologias com maiores graus de
conhecimento, como whitebox.
[...]
Análise de código-fonte (SAST)
Os testes de análise de código devem ser realizados utilizando ferramentas e
processos de mercado, que visem a identificação de vulnerabilidade ou
mesmo falhas lógicas de programação.
[...]
Entrega: Relatório de Análise de Código, descrevendo as vulnerabilidades e
falhas encontradas, melhorias e correções a serem realizadas no ambiente.
Análise de Vulnerabilidade Infraestrutura e Aplicação (DAST)
Os testes devem envolver ferramentas de mercado que identifiquem
vulnerabilidades nos ambientes de infraestrutura, redes, sistema operacional
e aplicação.
[...]
Entrega: Relatório contendo as análises, vulnerabilidades e correções
previstas.
[...]
Avaliação Hardening Servidores e Ativos de Bancos de Dados
Devem ser avaliados todos os processos de configuração e melhores práticas
para os ambientes que sustentam a aplicação. Desde configurações dos
servidores e sistemas operacionais, bem como, dos bancos de dados e
linguagens de programação envolvidos.
[...]
Entrega: Relatório de conformidade de melhores práticas, vulnerabilidades,
falhas de configuração e melhorias a serem realizadas.

9
 Avaliação de segurança do ambiente operacional
A avaliação deve considerar as camadas de rede, processamento e
armazenamento envolvidas na produção do sistema, abrangendo no mínimo
os seguintes pontos:
[...]
- Documentação do sistema e ambiente;
- Controle de acesso lógico ao sistema; (grifo nosso)

Dessa forma, dada a natureza dos serviços acima elencados, haveria necessidade de
solicitação preliminar à RFB, proprietária dos dados. Assim, caso ocorresse uma eventual
recusa por parte da RFB, far-se-ia necessária uma análise sobre a exequibilidade do rol de
serviços avençados contratualmente, para avaliar se o atingimento do objetivo proposto ainda
poderia ser atingido, qual seja:
2.1. Contextualização
Em novembro/2019 ocorreu falha na transmissão dos registros referente à extração
e gestão de informações críticas de dados estatísticos das exportações brasileiras no
sistema produzido pelo SERPRO, que foi amplamente divulgado na mídia. Foram
adotadas providências internas, mas, diante do risco Brasil de ter suas estatísticas e
números colocados em "xeque”, pretende-se ter uma dupla verificação do incidente,
da sua extensão, dos danos já observados e outros eventualmente não conhecidos
neste momento.
O ocorrido, cuja causa pode remeter a questões processuais, de arquitetura,
mecanismos de governança, processo de desenvolvimento, falhas humanas, e até
mesmo eventuais ações dolosas, entre diversas outras possibilidades; pode ter
origens potenciais causadoras de outros tipos de incidentes que, de forma
semelhante, afetem a administração pública e o país como um todo.
Assim, é preciso agir de forma rápida e assertiva para entender a fundo quais são os
fatores que levaram, ou que poderiam ter levado, a este incidente e, principalmente,
evitar futuras ocorrências correlatas. (grifo nosso)

Nesse diapasão, os grifos nas passagens transcritas anteriormente (arquitetura, processo de

desenvolvimento e tecnologias e ferramentas) já indicavam causas que poderiam levar à
necessidade de acesso e conhecimento de informações sigilosas de sistemas da Receita
Federal, dado que, por exemplo, o processo de desenvolvimento poderia levar a acesso aos
códigos fontes dos sistemas envolvidos e protegidos pela cláusula contratual citada
anteriormente.
Em detalhamento, a partir da análise da Proposta Técnica da PwC7, parte integrante do
Contrato Serpro 73.353/2020 e que descreve detalhadamente as análises de integridade a
serem realizadas nos 10 sistemas selecionados pelo Serpro, realizou-se uma análise de
exequibilidade de cada serviço proposto no Projeto Básico Simplificado SUPEC nº 00115/2020,
considerando a eventual necessidade de solicitação prévia de acesso por terceiros aos dados
e sistemas da RFB custodiados pelo Serpro.
Os serviços foram: (1) processos e procedimentos adotados no Serpro no desenvolvimento e
na operação, (2) arquitetura da Solução (3) tecnologias e ferramentas utilizadas nas soluções
selecionadas, (4) testes de invasão, (5) análise de código-fonte (SAST), (6) análise de

7
Proposta Técnica intitulada “Avaliação de processos de tecnologia, arquitetura, ferramentas e segurança da
informação dos sistemas do SERPRO”
10
Vulnerabilidade Infraestrutura e Aplicação (DAST), (7) avaliação Hardening Servidores e Ativos
de Bancos de Dados e (8) avaliação de segurança do ambiente operacional. Para atendimento
desses serviços, foram concebidas as propostas comercial e técnica em momentos distintos
do processo de contratação.
A proposta técnica da PwC, de 28/01/2020, foi estruturada em abordagens técnicas divididas
cada uma em 3 sprints8, com exceção da Mobilização e Planejamento com 1 sprint9, quais
sejam: (1) Mobilização e Planejamento, (2) Processos e Governança; (3) Arquitetura e
Tecnologia; (4) Segurança da Informação; (5) Testes de Invasão Interno; (6) Análise de
Vulnerabilidades Interna, DAST e Hardening; (7) SAST - Análise Estática; e (8) Controle de
Acesso Lógico.
A proposta comercial da PwC, de 29/01/2020, está dividida em: (1) Planejamento, (2)
Processos e Procedimentos, (3) Cyber - Processos e Procedimentos (ISF) + Segurança
Cibernética (CIS Top 20 ) + Arquitetura e Tecnologia, (4) Arquitetura e Tecnologia, (5)
Vulnerabilidade Interna + DAST + Hardening SO- DB e PENTEST INTERNO, (6) Revisão de acesso
lógico, (7) SAST - Baixa (Setup da tecnologia ), (8) SAST - Baixa, (9) SAST - Alta - Natural e COBOL
(Setup da tecnologia ), e (10) SAST - Alta - Natural e COBOL.
II) Análises
Seguem as análises de exequibilidade em função dos serviços contratados:
a) Testes de invasão
Iniciando a análise de exequibilidade, observa-se que os testes de invasão seriam realizados
na modalidade graybox, o qual inclui o acesso à documentação detalhada e ao algoritmo dos
sistemas analisados e, eventualmente, às regras de negócio dos clientes. Ainda, seriam
utilizadas ferramentas de mercado, tais como a Burp Suite Professional e Microfocus
WebInspect, as quais permitem a gravação10 e manipulação dos dados interceptados ao
utilizar a função scanner. Desta forma, os testes não poderiam ser realizados sem o aval prévio
da RFB, pois essa modalidade pode contemplar o acesso aos códigos dos sistemas alvo.
b) Análise de código-fonte (SAST)
A análise de código-fonte (SAST) não poderia ser feita sem a autorização da RFB, haja vista
expor dados sigilosos da RFB embarcados no código fonte, tais como dados pessoais ou regras
de negócio, conforme relação apontada no item 12.3 do Contrato Serpro 73.353/2020:
12.3 O eventual acesso, pela CONTRATADA, as bases de dados que contenham ou
possam conter dados pessoais ou segredos de negócio implicara para a
CONTRATADA e para seus prepostos - devida e formalmente instruídos nesse sentido

8
representa um ciclo de trabalho e é um time-boxed de geralmente um mês, onde algum valor é acrescentado
a um produto em desenvolvimento. Ou seja, ao final dela, o produto precisa ter algum incremento que gere valor
e que satisfaça a meta
9
“Para a entrega das metodologias dispostas previamente, a PwC utilizará uma abordagem inspirada no mindset
ágil, com entregas através de sprint e que apresenta um conjunto de benefícios que irão acelerar os entregáveis
do projeto. A inclusão dos conceitos e métodos ágeis carregam a intenção de ampliar e acelerar as maneiras
tradicionais de entrega buscando os resultados de forma mais rápida, entregando iterativamente os resultados
para os clientes e para o negócio.” (Proposta Técnica PwC)
10
inclusive a carga útil (payload) do pacote de dados
11
 — o mais absoluto dever de sigilo. No curso do presente contrato e pelo prazo de
até 10 anos contados de seu termo final.

Um exemplo explícito seria o conjunto de Informações suprimidas por solicitação do SERPRO, em função
de sigilo, na forma da Lei nº 5.615/1970, as quais estão ocultas no código fonte do sistema e
constituem segredos de negócio.
c) Análise de vulnerabilidade infraestrutura e aplicação (DAST)
A análise de Vulnerabilidade de Infraestrutura e Aplicação (DAST), conforme nomenclatura
utilizada no Projeto Básico Simplificado SUPEC nº 00115/2020, a qual é mais conhecida como
Dynamic Application SecurityTesting, a princípio, não implicaria em acesso ao código fonte,
tratando-se de um teste de blackbox, em que podem ser detectadas vulnerabilidades
executando ataques utilizando um programa que se comunica com uma aplicação web através
de web front-end. Destaca-se que seriam utilizadas ferramentas de mercado, tais como a Burp
Suite Professional e Microfocus WebInspect, as quais permitem a gravação e manipulação dos
dados interceptados ao utilizar a função scanner. No entanto, constam como premissas da
abordagem técnica:
• Os testes seriam realizados a partir da rede interna do Serpro em São Paulo - SP e
Brasília-DF;
• Recebimento do diagrama de rede para a definição da estratégia de execução dos
testes;
• Recebimento das credenciais de acesso aos sistemas operacionais para execução dos
testes autenticados;
• Conectividade disponível com os sistemas alvos; e
• Relação de endereços IP dos sistemas alvos;
Nesse raciocínio, não há menção de fornecimento de credenciais de acesso aos 10 sistemas
escopo da avaliação. Como não há menção explícita na proposta técnica da PwC de qual
modalidade de testes serão realizados, foi considerado que os testes DAST seriam blackbox.
Apesar da coleta de dados em caso de vulnerabilidades poder ser realizada por qualquer outro
invasor nos sistemas cujo acesso se dá via internet, a PwC teria adicionalmente acesso a dados
de sistemas confinados na rede Serpro e de acesso interno, tal como a aplicação Informações
suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970 . Desta forma, os
testes não poderiam ser realizados em sua totalidade sem o aval prévio da RFB, havendo os
riscos de (i) que os consultores tivessem acesso visual a dados de cunho pessoal trafegados
na rede ou dentro do servidor e (ii) julgamento inapropriado pelos empregados do Serpro no
que se refere ao nível de confidencialidade das informações disponibilizadas, o que reforça a
necessidade de compartilhar a responsabilidade e decisão com os proprietários dos dados.
d) Avaliação de hardening servidores e ativos de bancos de dados
A avaliação Hardening Servidores e Ativos de Bancos de Dados visava buscar serviços,
configurações padrão, portas lógicas e outras configurações desnecessárias para as
aplicações. A análise é feita nos sistemas que hospedarão a aplicação. Cabe apontar que o

12
escopo de análise da PwC visava propor recomendações para as camadas de aplicação11,
sistema operacional, rede e banco de dados dos sistemas escopo. Para a abordagem técnica
estava previsto o uso da solução Microfocus WebInspect e outras, as quais permitem a
gravação e manipulação dos dados interceptados ao utilizar a função scanner, inclusive do
próprio sistema suportado pelo(s) servidore(s). Constam ainda, como premissas da
abordagem técnica, os mesmos itens elencados no item c).
Desta forma, os testes não poderiam ser realizados sem o aval prévio da RFB, havendo os
seguintes riscos: (i) consultores acessando dados de cunho pessoal trafegados e (ii)
julgamento inapropriado pelos empregados do Serpro no que se refere ao nível de
confidencialidade das informações disponibilizadas à PwC, o que reforça a necessidade de
compartilhar a responsabilidade e decisão com os proprietários dos dados.
e) As avaliações de (1) Segurança do Ambiente Operacional, de (2) Processos e
Procedimentos Adotados no Serpro no Desenvolvimento e na Operação, da (3)
Arquitetura da Solução e das (4) Tecnologias e Ferramentas Utilizadas nas Soluções
As avaliações de (1) Segurança do Ambiente Operacional, de (2) Processos e Procedimentos
Adotados no Serpro no Desenvolvimento e na Operação, da (3) Arquitetura da Solução e das
(4) Tecnologias e Ferramentas Utilizadas nas Soluções Selecionadas seriam realizadas pela
PwC nas abordagens técnicas: (1) Processos e Governança (dividida em 3 sprints); (2)
Arquitetura e Tecnologia (dividida em 3 sprints); (4) Segurança da Informação (dividida em 3
sprints); e (5) Controle de Acesso Lógico (dividida em 3 sprints).
A abordagem técnica Processos e Governança utilizaria basicamente informações coletadas
em entrevistas com responsáveis das áreas de desenvolvimento e sustentação, pesquisas
eletrônicas, os planos e processos de continuidade operacional e informações sobre os
mecanismos de governança de TI. Dessa forma, conclui-se que não constam do rol de dados
utilizados informações que possam comprometer a exposição de dados sigilosos da RFB, não
sendo necessário portanto, autorização da mencionada secretaria para acesso
A abordagem técnica Arquitetura e Tecnologia utilizaria informações coletadas por entrevistas
e workshops (oficinas) com stakeholders (partes interessadas) para entendimento da situação
atual e desejo futuro. As informações coletadas conterão o baseline das aplicações
(componentes), integrações e informações (inventários), visando avaliar a saúde tecnológica,
resiliência e grau de maturidade da arquitetura TI. Com isso, conclui-se que não constam do
rol de dados utilizados informações que possam comprometer a exposição de dados sigilosos
da RFB, não sendo necessário portanto, autorização da mencionada secretaria para acesso.
A abordagem técnica Segurança da Informação utilizaria informações coletadas por
entrevistas e documentação existente referente às políticas, normas, padrões e demais
procedimentos relacionados à segurança da informação e aos riscos. Os objetivos seriam

11
É a camada mais próxima do usuário, na qual é a encarregada quando o cliente acessa o e-mail,
páginas WEB, mensagens instantâneas, Login remoto, videoclipes, videoconferência, etc. A arquitetura de
aplicação permite que o utilizador acesse essas funções.
A camada de aplicação pode ser vista de maneira diferente dependendo do modelo utilizado, seja o OSI ou o
TCP/IP. De acordo com o modelo OSI as funções de rede são distribuídas em 7 camadas, quais sejam: aplicação,
apresentação, sessão, transporte, rede, enlace e física. Já o modelo TCP/IP agrupa em 4 camadas, quais sejam:
aplicação, transporte, Internet, e interface com a rede. A camada de aplicação do modelo TCP/IP engloba as
camadas de aplicação, apresentação e sessão do modelo OSI. (conforme os modelos do site Teleco.com.br)
13
levantar a arquitetura de segurança da rede e aplicações e avaliar a documentação levantada
referente à segurança da informação. Seriam coletados informações e entendimento dos
softwares envolvidos. Constam como entregáveis para as 3 sprints: (1) Matriz de situação
atual referente à segurança da informação e riscos com base nos frameworks ISF Security
Radar e CIS Top 20, (2) Relação de possíveis melhorias identificadas, (3) Nível de maturidade
atual referente ao tema Segurança da Informação para cada sistema escopo, (4) Apresentação
dos modelos “to be”, (5) Relatório técnico e Executivo, com Recomendações de ações a
empreender, à luz do framework ISF; (6) Relatório técnico e Executivo, com recomendações
de ações a empreender, à luz do framework CIS TOP 20 (7.1); e (7) Apresentação executiva
dos resultados. Manuais das aplicações, sistemas e softwares não constam da relação de
informações a serem obtidas com a sprint Coleta de Dados (sprint 1). Assim, não constam do
rol de dados utilizados informações que possam comprometer a exposição de dados sigilosos
da RFB, não sendo necessário portanto, autorização da mencionada Secretaria para acesso.
Por sua vez, a abordagem técnica Controle de Acesso Lógico utilizaria a relação de usuários de
cada sistema e respectivos perfis de acesso, relação de opções sistêmicas disponíveis em cada
aplicação, políticas, normas e procedimentos de gestão de acesso e logs de utilização das
transações e/ou opções sistêmicas (extraídos pelo Serpro). As análises seriam conduzidas
apenas no ambiente produtivo, excluindo os ambientes de homologação e desenvolvimento.
Nesse sentido, a relação de opções sistêmicas de controle de acesso lógico das aplicações não
necessariamente estariam em apartado das demais informações e manuais das aplicações da
RFB, e, sendo assim, este item que compõe a análise de segurança do sistema operacional não
poderia ser realizado sem o aval prévio da RFB, sobretudo, ainda, pelos riscos de (i) vazamento
de regras de negócio embarcadas nos manuais e documentações das aplicações e sistemas a
serem disponibilizados à PwC e (ii) julgamento inapropriado pelos empregados do Serpro no
que se refere ao nível de confidencialidade das informações disponibilizadas, o que reforça a
necessidade de compartilhar a responsabilidade e decisão com os proprietários dos dados.
III) Conclusão
Por fim, conclui-se que as abordagens técnicas (1) Teste de invasão, (2) Análise de código-
fonte (SAST), (3) Análise de Vulnerabilidade Infraestrutura e Aplicação (DAST), (4) avaliação
Hardening Servidores e Ativos de Bancos de Dados e (5) Controle de Acesso Lógico não seriam
passíveis de serem realizadas sem comprometer a exposição de dados sigilosos da RFB,
conforme consta na cláusula contratual citada anteriormente. Ainda, foram identificados os
riscos de (i) julgamento inapropriado pelos empregados do Serpro no que se refere ao nível
de confidencialidade das informações disponibilizadas à PwC, o que reforça a necessidade de
compartilhar a responsabilidade e decisão com os proprietários dos dados e (ii) vazamento de
regras de negócio embarcadas nos manuais e documentações e código fonte das aplicações e
sistemas a serem disponibilizados à PwC.
Ainda, conclui-se que seriam passíveis de ser executas as abordagens técnicas (1) Processos e
Governança e (2) Arquitetura e Tecnologia, da mesma forma poderia ser executada
parcialmente a avaliação de segurança do ambiente operacional, a qual é composta pelas
abordagens técnicas, (3) Segurança da Informação e (4) Controle de Acesso Lógico. Porém, a
avaliação de segurança do Controle de Acesso Lógico não é passível de ser executada nos
termos propostos, sem autorização da RFB, pelos riscos já apontados.
Destarte, urge citar o item 81 do Acórdão TCU nº 1919/2020 – Plenário, de 22 /07/2020, onde
foi consignada a seguinte conclusão, corroborando a conclusão deste achado:
14
 81. Nesse sentido, embora a empresa contratada tenha feito a ressalva que não fazia
parte do escopo da proposta nenhum tipo de acesso direto aos sistemas e seus
componentes, em princípio, não teria como realizar teste de invasão, análise de
vulnerabilidade, análise de código e controle de acesso lógico sem acesso ao código
fonte dos sistemas e servidores de aplicação onde estão hospedados esses sistemas
(peça 7, p. 27-44). Independente do grau de cuidado e sigilo que o Serpro e a
contratada tenham estabelecido, entende-se que as respectivas organizações
proprietárias dos sistemas deveriam ter autorizado qualquer tipo de acesso por
terceiros.
Assim, finaliza-se com o posicionamento de que houve exposição aos riscos por parte do
Serpro de não alcançar uma efetividade contratual satisfatória e de exposição de dados
sigilosos necessários para a execução conclusiva do objeto contratual ao contratar consultoria
da PwC sem autorização da RFB.
Finalizando, é importante ressaltar ainda a justificativa prestada pela estatal que
fundamentou a contratação a contratação em análise “situação de emergência caracterizada
pela urgência de atendimento de situação que possa ocasionar prejuízo ou comprometer a
segurança de pessoas, obras, serviços, equipamentos e outros bens”. Nesse sentido, embora
a situação emergencial não justifique a ausência de autorização da RFB abordada neste
achado, ela atenua a situação, em virtude do risco citado pela empresa.
de que os processos, as avaliações de riscos e os procedimentos de governança de
TI de todos os sistemas do SERPRO pudessem carecer de regras, procedimentos e
supervisão da cadeia de conduta capazes de assegurar que novas falhas no próprio
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”
e, principalmente, novas falhas em sistemas com altíssimo grau de integração e de
altíssimo impacto para a administração pública federal não ocorressem novamente

2. Fragilidades no tratamento dos dados e informações da RFB

custodiados pelo Serpro
O objetivo dos trabalhos de apuração realizados pela equipe de auditoria foi atestar se a
execução e o monitoramento da contratação da empresa PricewaterhouseCoopers
Tecnologia da Informação Ltda, por meio do Contrato Serpro12 nº 73.353/2020 foi adequado
no que se refere à manutenção do sigilo dos dados da RFB custodiados pelo Serpro e
procedimentos de conduta contratual avençados no Contrato RFB/Copol nº 19/2018.
Nesse sentido, os acessos dos consultores da PwC às dependências do Serpro, seja pré-
contratuais ou para a realização e execução do objeto contratual, se estenderam de janeiro a
fevereiro de 2020, nas seguintes datas13: 14/01/2020, 29/01/2020, 03/02/2020, 04/02/2020,
05/02/2020, 06/02/2020, 11/02/2020, 12/02/2020, 13/02/2020, 14/02/2020, 17/02/2020,
18/02/2020, 19/02/2020, 20/02/2020, 21/02/2020 e 27/02/2020.
Dessa forma, os testes de auditoria da CGU seriam iniciados com a análise dos logs de acessos
aos sistemas objeto da consultoria. Destaca-se que apenas o sistema “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” teria potencial para ter sido

12
Valor contratual com a PwC de R$12.317.301,14
13
Conforme Documento “PRESTAÇÃO DE INFORMAÇÕES AO TCU - OFÍCIO N. 25413/2020-TCU/SEPROC, de
27/05/2020”, constante do arquivo “Solicitação e resposta ao TCU_pedido reunião_25.02.21.pdf”, em resposta
à Solicitação de Auditoria 932861/02
15
objeto de alguma análise da PwC, conforme manifestação do Serpro e manifestação14 do TCU
baseada no cronograma de execução contratual. Assim, para a realização dos referidos testes,
foram solicitados os logs de acesso ao sistema “Informações suprimidas por solicitação do SERPRO, em
função de sigilo, na forma da Lei nº 5.615/1970” nas datas em que houve acesso presencial dos
consultores da PwC, além dos logs de acesso por VPN para meses de janeiro, fevereiro e março
de 2020.
Frisa-se que o Serpro informou15 por meio do “Informações suprimidas por solicitação do SERPRO, em
função de sigilo, na forma da Lei nº 5.615/1970”, que o sistema “Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” não gera logs de acesso. Também não
foram disponibilizados logs para os “Informações suprimidas por solicitação do SERPRO, em função de
sigilo, na forma da Lei nº 5.615/1970” 16 nem a relação de “Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” dos funcionários da PwC. Destaca-se que
o Serpro se ateve a registrar que “Os empregados da PwC não tiveram nenhum tipo de acesso
remoto ao ambiente do Serpro por meio de VPN”. Adicionalmente, apresentou que “O acesso
às máquinas virtuais disponibilizadas para análise do código dos sistemas era possível apenas
dentro das instalações do Serpro, por meio de rede confinada, usando entreposto e estação de
trabalho do Serpro”.
Com isso, conforme relatado pelo Serpro, o sistema “Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” não gera log de seus acessos. O Serpro
utilizou esta justificativa para não disponibilizar nenhum log em resposta à Solicitação de
Auditoria “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970”. Como o sistema é acessado pelos outros sistemas, que o utilizam para atualizar os
valores devidos, o Serpro deveria ter encaminhado o log dos demais sistemas que utilizam o
sistema “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970”.

Dessa forma, a disponibilização dos logs ao sistema “Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”, sistema que foi objeto de análise da PwC
dentro do escopo de 10 sistemas elencados dentro do objeto do contrato nº 73.353/2020, era
fundamental para embasar o posicionamento de que a PwC não teve acesso aos sistemas da
RFB sem a devida autorização prévia. Destarte, os logs foram solicitados para as datas em que
houve acesso presencial às dependências do Serpro, além de solicitar os logs de “Informações
suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” para os meses de
janeiro, fevereiro e março de 2020. Contudo, essa verificação restou prejudicada pela
inexistência dos citados logs.
Destaca-se que, conforme Norma Serpro SG 028 - Gestão De Logs - e Lei nº 12.965, de
23/04/2014 – Marco Civil da Internet - os logs devem ser guardados pelo prazo mínimo de 1
(um) ano. Seguem excertos dos normativos:
a) Norma Serpro SG 028 - Gestão de Logs:
[...]

14
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”.
15 “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”
16
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”.
16
 4.4.3.2 O prazo de guarda de LOG de sistemas e de infraestrutura do SERPRO será de
no mínimo um ano, contado a partir da data de geração do respectivo exercício civil,
em conformidade com a Lei nº 12.965/2014 Marco Civil da Internet.

b) Lei nº 12.965- Marco Civil da Internet-, de 23/04/2014:

[...]
Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema
autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em
ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do
regulamento.

Ainda, os logs dos acessos aos demais 9 sistemas, que se comunicam e utilizam as bibliotecas
do sistema “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970”, não foram fornecidos em resposta às indagações da Solicitação de Auditoria
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”, de
maneira a suprir a ausência dos logs do sistema “Informações suprimidas por solicitação do SERPRO,
em função de sigilo, na forma da Lei nº 5.615/1970”. O Serpro relatou17 que os sistemas da RFB utilizam
a “solução “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970” que, acoplada a soluções desenvolvidas no SERPRO, promove registros de leitura e
escrita de dados em eventos elencados pelo cliente”, porém o sistema “Informações suprimidas
por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” não está interligado.

Nesse diapasão, a estatal apontou que as informações trafegadas no sistema “Informações

suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” não necessitam
de sigilo, o que contradiz com o fato do sistema constar da análise de segurança da informação
dos sistemas Serpro que seria realizada pela PwC.
Ainda, cabe mencionar que o simples acesso aos sistemas que interagem com o sistema
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” já
disponibiliza os dados custodiados pelo Serpro, mesmo que, eventualmente, o trigger18 e a
carga útil das mensagens enviadas ao sistema “Informações suprimidas por solicitação do SERPRO, em
função de sigilo, na forma da Lei nº 5.615/1970” não permitissem identificar e referenciar o CPF/CNPJ
analisado. Adicionalmente, no Contrato19 RFB/Copol 19/2018 não é feita a discriminação de
quais informações são passíveis de livre acesso por terceiros.
Nesse sentido, conforme NC nº 16 /IN01/DSIC/GSIPR, de 20/11/2012, que estabelece as
Diretrizes para o Desenvolvimento e Obtenção de Software Seguro nos Órgãos e Entidades da
Administração Pública Federal, direta e indireta, o desenvolvimento de um software seguro
deve-se pautar, dentre outros, pela implementação de controles de segurança necessários
para proteger os ativos de informação e pelo uso de controles de acesso durante a fase de
desenvolvimento. A norma traz as seguintes definições para:
4.2 Para os efeitos desta Norma Complementar são estabelecidos ainda, os seguintes
conceitos e definições:
[...]

17
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”
18
Mensagem acionadora de um evento ou de uma consulta dentro de um sistema informatizado; gatilho
19
Consta das obrigações da Contratada, itens “c”, “d” e “e” da cláusula 12.2 do contrato RFB/Copol 19/2018, as
obrigações de assegurar, zelas e adotar normas e procedimentos que garantam o sigilo e segurança dos dados,
informações e sistemas relacionados ao objeto contrato
17
 e) Controles de Segurança: medidas adotadas para evitar ou diminuir o risco de um
ataque. Exemplos de controles de segurança são: a criptografia, as funções de
"hash", a validação de entrada, o balanceamento de carga, as trilhas de auditoria, o
controle de acesso, a expiração de sessão, os "backups", etc.
[...]
h) Requisitos de segurança: conjunto de necessidades de segurança que o software
deve atender, sendo tais necessidades influenciadas fortemente pela política de
segurança da organização, compreendendo aspectos funcionais e não funcionais. Os
aspectos funcionais descrevem comportamentos que viabilizam a criação ou a
manutenção da segurança e, geralmente, podem ser testados diretamente. Na
maioria dos casos, remetem a mecanismos de segurança como, por exemplo,
controle de acesso baseado em papéis de usuários (administradores, usuários
comuns, etc.), autenticação com o uso de credenciais (usuário e senha, certificados
digitais, etc.), dentre outros. Os aspectos não funcionais descrevem procedimentos
necessários para que o software permaneça executando suas funções
adequadamente mesmo quando sob uso indevido. São exemplos de requisitos não
funcionais, dentre outros, a validação das entradas de dados e o registro de logs
de auditoria com informações suficientes para análise forense; (grifo nosso)

Com isso, o sistema “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da
Lei nº 5.615/1970” deveria contar com controle de acesso pelo menos de usuários
administradores, tanto em ambiente de produção quanto de desenvolvimento, conforme
itens 4.2-h, 5-f e 5-g da NC nº 16 /IN01/DSIC/GSIPR, de 20/11/2012, e como se segue na NC
citada:
5 DIRETRIZES PARA O PROCESSO DE DESENVOLVIMENTO DE SOFTWARE SEGURO
Para o processo de desenvolvimento de software seguro nos órgãos e entidades da
Administração Pública Federal, direta e indireta recomenda-se:
[...]
c) definir os requisitos de segurança logo no início de qualquer projeto de
desenvolvimento de software;
[...]
f) considerar o controle de acesso durante a etapa de desenvolvimento;
- orienta-se que esse controle seja feito por meio de componentes isolados.
g) implementar os controles de segurança por múltiplas camadas, de acordo com a
criticidade das informações tratadas pelo software;
- a utilização dos controles em múltiplas camadas dificulta a exploração de
vulnerabilidades. (grifo nosso)

Assim conclui-se que a utilização de controle de acesso pelo menos por administradores
dificultaria a exploração de eventuais vulnerabilidades do sistema “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”, as quais seriam objeto de
busca e investigação pela PwC ao avaliar o sistema, da mesma forma que o registro em logs
dos acessos, por usuários que acessam as bibliotecas do sistema “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” por meio de outros sistemas,
permitiria análises forenses e de auditoria mais assertivas e conclusivas em função da
rastreabilidade dos acessos e ações realizadas nos sistemas custodiados pelo Serpro. Essa
condição incrementaria o tratamento do risco de segurança da informação nos sistemas do
Serpro relacionados à RFB, contribuindo com o ganho que se pretendia, conforme a motivação
da contratação em análise.
18
RECOMENDAÇÕES
1 – Instituir procedimento para normatizar a autorização prévia dos clientes proprietários dos
sistemas para acesso a dados, a informações e os sistemas custodiados ao realizar licitação de
objeto que implique permitir acesso a terceiros a sistemas que tenham prerrogativas
contratuais de sigilo.
Achado n° 1
2 Avaliar oportunidades de aperfeiçoamento nos mecanismos de armazenamento de logs de
acesso aos sistemas custodiados pelo Serpro, com garantia de adoção de período de descarte
mínimo de 1 ano, em especial para os sistemas da RFB.
Achado n° 2

19
CONCLUSÃO
Este trabalho de auditoria apresenta como achados: (i) o incremento do risco de não alcançar
uma efetividade contratual satisfatória, associado à exposição de dados e informações
sigilosos e (ii) fragilidades no tratamento dos dados e informações da RFB custodiados pelo
Serpro.
Quanto ao planejamento da contratação, constatou-se que não houve solicitação prévia à RFB
para realização de 5 abordagens técnicas que envolviam exposição de dados e informações
sigilosos. Consequentemente, identificou-se que alguns riscos não foram devidamente
considerados ao delimitar o objeto e escopo de atuação da consultoria contratada, ou seja: (i)
risco de julgamento inapropriado pelos empregados do Serpro no que se refere ao nível de
confidencialidade das informações disponibilizadas à PwC, o que reforça a necessidade de
compartilhar a responsabilidade e decisão com os proprietários dos dados e (ii) risco de
vazamento de regras de negócio embarcadas nos manuais e documentações e código fonte
das aplicações e sistemas a serem disponibilizados à PwC.
No âmbito das análises de execução contratual, houve limitações no que se refere à ausência
de logs de acesso, que prejudicaram os testes de auditoria para atesto de que não houve
violação de sigilo dos dados da RFB custodiados pelo Serpro. De fato, foi constatado que o
único sistema objeto de execução contratual pela PwC, em virtude a ação da representação
protocolada pelo Ministério Público junto ao Tribunal de Contas da União, que fez com que a
estatal interrompesse a contratação, não possui controle de acesso por log, ou seja, o sistema
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” da
RFB.
Nessa seara, conclui-se que a utilização de controle de acesso pelo menos por administradores
mitigaria a exploração de eventuais vulnerabilidades do sistema “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”, as quais seriam objeto de
busca e investigação pela PwC ao avaliar o sistema, da mesma forma que o registro em logs
dos acessos, por usuários que acessam as bibliotecas do sistema “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” por meio de outros sistemas,
permitiria análises forenses e de auditoria mais assertivas e conclusivas em função da
rastreabilidade dos acessos e ações realizadas nos sistemas custodiados pelo Serpro. Essa
condição incrementaria o tratamento do risco de segurança da informação nos sistemas da
RFB custodiados pelo Serpro, contribuindo com o incremento da segurança da informação,
objetivo da contratação em análise.

20
ANEXOS
I – MANIFESTAÇÃO DA UNIDADE EXAMINADA E ANÁLISE DA EQUIPE
DE AUDITORIA
ACHADO N° 1
MANIFESTAÇÃO DA UNIDADE EXAMINADA
Por meio do Ofício DP - 011352/2021, de 19 de julho de 2021, o Serpro apresentou a seguinte
manifestação:
“[...]
Recomendações: 1 – Instituir procedimento para normatizar a autorização prévia dos clientes
proprietários dos sistemas para acesso a dados, a informações e os sistemas custodiados ao
realizar licitação de objeto que implique permitir acesso a terceiros a sistemas que tenham
prerrogativas contratuais de sigilo.
Achado n° 1
Resposta:
A DIRCL elaborará uma proposta de normativo, especificamente para atender a
recomendação em questão, de forma complementar aos normativos já existentes na empresa
e previsões contratuais ora vigentes. Tal proposta passará pelo rito processual e será
submetida à apreciação e aprovação da Diretoria Colegiada do Serpro.”
ANÁLISE DA EQUIPE DE AUDITORIA
A CGU considerou pertinente a manifestação da estatal e, dessa forma, esta recomendação
será mantida para acompanhamento da implementação pelo Serpro da solução proposta.
ACHADO N° 2
MANIFESTAÇÃO DA UNIDADE EXAMINADA
Por meio do Ofício DP - 011352/2021, de 19 de julho de 2021, o Serpro apresentou a seguinte
manifestação:
“[...]
2 – Avaliar a implementação de mecanismos de armazenamento de logs de acesso aos
sistemas custodiados e de propriedade do Serpro, com período de descarte mínimo de 1 ano.
Achado n° 2
Resposta: Conforme reunião realizada em 14/07/2021, o Serpro entende que a recomendação
deve ser delimitada aos sistemas da RFB, pelo fato desta auditoria ter como escopo os
sistemas deste órgão. Assim, considerando as razões adiantes dispostas, sugerimos a seguinte
revisão no texto da recomendação:
Avaliar oportunidades de aperfeiçoamento nos mecanismos de armazenamento de logs de
acesso aos sistemas custodiados pelo SERPRO, com garantia de adoção de período de descarte
mínimo de 1 ano, em especial para os sistemas da RFB.
Visão Geral
21
O requisito de log é de extrema importância para atendimento das boas práticas de segurança,
qualidade e compliance. Essa atividade de geração de logs é executada nas diversas camadas
da construção e sustentação de soluções digitais pelo SERPRO conforme suas boas práticas de
desenvolvimento, operações e segurança. Assim, as logs são geradas e mantidas desde as
camadas e ativos de infraestrutura, nas camadas de segurança da arquitetura da solução e nas
ações internas do ciclo de vida (DevSecOps) do desenvolvimento.
Arquitetura
O desenvolvimento de soluções do SERPRO utiliza boas práticas arquiteturais que resguardam
a segurança de acesso e a rastreabilidade do uso das funcionalidades das aplicações. Desde
soluções de controle de acesso e perfis de acesso, gerenciamento de tokens de acesso e
geração de histórico de auditoria de acesso a funcionalidades e atualização de dados.
De acordo com a necessidade de governança de cada cliente, as logs de históricos de acesso
e atualização podem ser definidas dentro de cada funcionalidade da aplicação ou como uma
aplicação específica para esse objetivo. No caso da Receita Federal (RFB), por exemplo, o
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”
assume esse papel para todas as funcionalidades da Receita.
Ações de melhoria voltadas à gestão e aos mecanismos de armazenamento de logs:
(a) “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”

“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma das Leis nº 5.615/1970 e
13.303/2016”

(b) Revisão do normativo interno

O normativo tem como objetivo estabelecer orientações e critérios para a gestão de LOGs nos
segmentos de sistemas e infraestrutura no ambiente de TI do SERPRO, visando apoiar as
atividades de segurança, de tratamento de incidentes, de forense computacional, de
auditoria, de conformidade, de monitoração, de ajustes operacionais e de solução de
problemas. Está em fase de revisão, como parte do processo de melhoria contínua dos
normativos e ajustes pertinentes à LGPD.
*Descrição resumida do eLEL
No que tange ao LOG de manipulação de dados de produção dos sistemas da RFB, entendemos
que inicialmente não cabem ações de melhoria uma vez que existe um processo bem
estabelecido, definido pelo cliente, de geração de LOG e guarda dos mesmos, através do
sistema “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970”. Como se trata de LOG do acesso a dados dos sistemas, a nível de aplicação,
observamos que o controle via de regra não é utilizado por sistemas que porventura não
envolvam manipulação de banco de dados.
“Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma das Leis nº 5.615/1970 e
13.303/2016”, que estabelece o uso nos sistemas informatizados da RFB. As regras de gravação
de LOGs são definidas pela RFB. A consulta dos dados do “Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” estão disponíveis em um “Informações
suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”, e também é
22
definida pela “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
13.303/2016”. Esta consulta é realizada exclusivamente pela RFB (“Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”).

Nos LOGs são armazenados um Registro de Sessão, com os dados do “Informações suprimidas por
solicitação do SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970” e um registro de evento, para
cada transação executada pelo usuário naquele login. Os registros de eventos são compostos
por campos que especificam o evento executado pelo usuário e por detalhamentos que
contém “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da Lei nº
5.615/1970”, conforme definido na “Informações suprimidas por solicitação do SERPRO, em função de sigilo,
na forma da Lei nº 13.303/2016”.

Todos os ambientes do “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma
da Lei nº 5.615/1970” são de alta disponibilidade pois precisam estar funcionais para as equipes
de desenvolvimento e para a homologação dos sistemas integrados. Ele possui um mecanismo
de enfileiramento, onde garante que não haja perda de informações. O tempo de guarda dos
LOGs, definido pela “Informações suprimidas por solicitação do SERPRO, em função de sigilo, na forma da
Lei nº 13.303/2016”, é de até 8 anos. Atualmente, o “Informações suprimidas por solicitação do SERPRO,
em função de sigilo, na forma da Lei nº 5.615/1970” é utilizado por “Informações suprimidas por solicitação
do SERPRO, em função de sigilo, na forma da Lei nº 13.303/2016” (“Informações suprimidas por solicitação do
SERPRO, em função de sigilo, na forma da Lei nº 5.615/1970”).

Por oportuno e, conforme discutido na reunião realizada em 14/07/2021, sugerimos retirar a

menção ao risco (iii): “risco de que o acesso aos sistemas operacionais permitisse o acesso
pelos consultores da PwC aos dados das aplicações hospedadas mediante a exploração de
alguma brecha deixada nas configurações”, uma vez que o risco (ii): “risco de vazamento de
regras de negócio embarcadas nos manuais e documentações e código fonte das aplicações e
sistemas a serem disponibilizados à PwC”, já contempla a ideia de eventual vazamento.
ANÁLISE DA EQUIPE DE AUDITORIA
As sugestões em relação à recomendação número 2 foram acatadas, em virtude da
manifestação da estatal acerca das melhorias voltadas à gestão e aos mecanismos de
armazenamento de logs apresentadas a esta equipe de auditoria.
Em relação ao risco de que o acesso aos sistemas operacionais permitisse o acesso pelos
consultores da PwC aos dados das aplicações hospedadas mediante a exploração de alguma
brecha deixada nas configurações, a manifestação do Serpro foi considerada pertinente e,
dessa forma, foi retirada a menção ao risco citado.

23