Portaria presidência nº 140 de 22 de abril de 2024.

Determina a implementação do método de autenticação do tipo Múltiplo Fator

de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais

sensíveis.

O Presidente Do Conselho Nacional de Justiça (CNJ), no uso de suas atribuições legais e regimentais, e o contido no processo

SEI nº 10142/2020,

CONSIDERANDO a Resolução CNJ nº 435/2021, que dispõe sobre a política e o sistema nacional de segurança do Poder Judiciário e dá

outras providências, estabelecendo diretrizes para a proteção das informações e da infraestrutura crítica de Tecnologia da Informação e

Comunicação (TIC);

CONSIDERANDO a Resolução CNJ nº 396/2021, que Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSECPJ);

CONSIDERANDO a Resolução CNJ nº 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do

Poder Judiciário (ENTIC-JUD), visando à modernização e à eficiência dos serviços judiciários por meio da tecnologia;

CONSIDERANDO a Resolução CNJ nº 335/2020, que institui política pública para a governança e a gestão de processo judicial eletrônico,

integrando os tribunais do país com a criação da Plataforma Digital do Poder Judiciário Brasileiro – PDPJ-Br e mantendo o sistema PJe como

sistema de Processo Eletrônico prioritário do Conselho Nacional de Justiça;

CONSIDERANDO a Portaria CNJ nº 316/2023 que Disciplina as práticas de gestão de identidade e controle de acesso ao sistema de Controle

de Acessos (SCA) Corporativo do Conselho Nacional de Justiça;

CONSIDERANDO a deliberação da 12ª Reunião do Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ), que

reconheceu a importância de fortalecer as medidas de segurança da informação e de proteger os sistemas judiciários contra ameaças

cibernéticas;

CONSIDERANDO que o Conselho Nacional de Justiça é o Órgão de Gestão Superior (OGS) do Poder Judiciário;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES INICIAIS

Art. 1º Determinar aos órgãos do Poder Judiciário Brasileiro, com exceção do Supremo Tribunal Federal (STF), a implementação de método

de autenticação do tipo Múltiplo Fator de Autenticação (MFA) como requisito funcional para acesso a sistemas judiciais sensíveis.

§ 1º O uso de MFA é obrigatório para usuários internos e externos.

§ 2º A habilitação do MFA é mandatória, não cabendo aos usuários optarem por sua utilização.

§ 3º A implementação do MFA não exclui ou limita a aplicação de outras medidas de segurança ou práticas que contribuam para

o fortalecimento da segurança da informação e proteção de dados, devendo ser associada a uma cadeia de credenciais confiáveis

adequadamente protegidas.

Art. 2º Consideram-se sistemas judiciais sensíveis:

a) sistemas de processo judicial eletrônico;

b) sistemas ou serviços que permitam acesso a dados sensíveis ou confidenciais;

c) sistemas ou serviços que permitam a emissão de mandados de prisão e alvarás de soltura;

d) sistemas ou serviços que permitam a pesquisa de ativos financeiros, sua constrição e movimentação;

e) sistemas de tramitação de processos administrativos;

f) ferramentas de acessos a redes privadas virtuais (VPNs)

g) sistemas ou serviços que permitam acesso remoto ao ambiente interno de rede;

h) sistemas ou serviços de e-mail funcional ou corporativo;

i) quaisquer outros sistemas ou serviços considerados críticos na avaliação interna do Tribunal, incluindo quaisquer sistemas expostos ao

acesso remoto via internet.

§ 1º Sistemas de processo judicial eletrônico e módulos da Plataforma Digital do Poder Judiciário Brasileiro (PDPJ-Br) deverão utilizar o

Serviço de Autenticação Única (Single Sign-On - SSO) disponibilizado na PDPJ-Br.

§ 2º Ficam excluídos da obrigatoriedade de implementação do MFA os serviços públicos cuja utilização não depende de autenticação.

CAPÍTULO II

DA GESTÃO DO MÚLTIPLO FATOR DE AUTENTICAÇÃO

Seção I

Dos Critérios de Seleção

Art. 3º Os Órgãos integrantes do Poder Judiciário brasileiro deverão considerar os seguintes critérios na seleção dos métodos de MFA:

I - Compatibilidade: escolha de métodos de MFA que se integrem de maneira eficiente com a infraestrutura tecnológica existente;

II - Usabilidade: priorização de soluções que ofereçam facilidade de uso para promover ampla adoção pelos usuários; e

III - Segurança: avaliação rigorosa do nível de segurança fornecido por cada método de MFA, visando proteção efetiva contra ameaças

cibernéticas.

Seção II

Mecanismos de Revisão e Atualização do Múltiplo Fator de Autenticação (MFA)

Art. 4º Determinar aos órgãos do Poder Judiciário brasileiro que desenvolvam e implementem mecanismos eficientes de monitoramento para

avaliar, de forma contínua, a eficácia das medidas de MFA adotadas. Este monitoramento deverá incluir a análise de tentativas de acesso, a

taxa de sucesso de autenticações MFA e a detecção de padrões anormais que possam indicar tentativas de violação.

Parágrafo único. Caso o método de MFA implementado seja considerado insuficiente em termos de eficácia, eficiência, segurança ou

usabilidade, o órgão deverá tomar as medidas necessárias para sua revisão ou substituição, podendo incluir a avaliação de novas tecnologias

de autenticação e a implementação de soluções mais robustas e adaptáveis às necessidades atuais e futuras.

Art. 5º Determinar aos órgãos que adotem processo de revisão regular, pelo menos anualmente, para identificar necessidades de

aprimoramento tecnológico ou ajustes nas políticas de MFA. Este processo considerará as evoluções tecnológicas, as novas ameaças

de segurança cibernética e as melhores práticas de segurança recomendadas por entidades nacionais e internacionais de segurança da

informação.

Parágrafo único. Todas as revisões, atualizações e substituições de soluções MFA deverão ser devidamente documentadas, incluindo

justificativa para as mudanças, impactos esperados e orientações para implementação. As atualizações serão comunicadas a todos os

usuários afetados de forma clara e acessível, garantindo a compreensão e a adoção das novas medidas.

Seção III

Capacitação e Compartilhamento

Art. 6º Determinar aos órgãos do Poder Judiciário brasileiro que desenvolvam ações periódicas de capacitação e conscientização de seus

usuários, internos e externos, destinadas a garantir uso seguro e eficaz do MFA.

Parágrafo único. A periodicidade das ações de que trata o caput deste artigo será definida pelo órgão e informado anualmente ao Conselho

Nacional de Justiça.

CAPÍTULO III

DAS DISPOSIÇÕES FINAIS

Art. 7º É responsabilidade do Comitê Gestor de Segurança da Informação do Poder Judiciário realizar o monitoramento da implementação do

múltiplo fator de autenticação nos órgãos do Poder Judiciário, propondo as adaptações necessárias e compartilhando melhores práticas.

Art. 8º Fixar o prazo de 90 (noventa) dias para implementação do múltiplo fator de autenticação (MFA), nos termos desta Portaria.

Art. 9º Esta Portaria entre em vigor na data de sua publicação.

Ministro Luís Roberto Barroso ?

Esse texto não substitui o publicado no Diário Oficial