INSTRUÇÃO NORMATIVA Nº 30, DE 22 DE SETEMBRO DE 2025.

O Presidente do Tribunal Regional Eleitoral do Tocantins, no uso das atribuições que lhe são conferidas pelo art. 20, inciso XV, do Regimento Interno do Tribunal Regional Eleitoral do Tocantins, RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Ficam instituídas as regras e os procedimentos para o uso de recursos criptográficos no âmbito da Justiça Eleitoral do Tocantins.

Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021.

Art. 4° O uso de recursos criptográficos visa proteger a confidencialidade, a integridade e a autenticidade dos dados transmitidos pelas redes de computadores, assim como dos dados em repouso, armazenados em servidores, microcomputadores, dispositivos móveis e bancos de dados.

CAPÍTULO III

DA CRIPTOGRAFIA DOS DADOS EM TRÂNSITO

Art. 5º É obrigatório o uso de protocolo seguro, como HTTPS, em todos os sistemas e portais web, independentemente de serem acessados pela rede interna ou pela Internet.

Art. 6º Toda comunicação cliente/servidor onde trafeguem dados pessoais ou logins e senhas, deve utilizar protocolos de comunicação segura.

CAPÍTULO IV

DA CRIPTOGRAFIA DOS DADOS ARMAZENADOS

Art. 7º Os dados pessoais sensíveis armazenados em servidores e bancos de dados devem adotar técnicas de criptografia ou anonimização, visando diminuir o risco em caso de vazamento de dados.

Art. 8º As cópias de segurança (backups) que contenham dados pessoais sensíveis devem adotar técnicas de criptografia, visando diminuir o risco em caso de vazamento de dados.

Art. 9º Os computadores, notebooks e dispositivos móveis, de propriedade da Justiça Eleitoral, utilizados em trabalho remoto, devem ter seus discos rígidos protegidos por criptografia, visando diminuir o risco de vazamento de dados em caso de furto.

CAPÍTULO V

DA ASSINATURA DIGITAL

Art. 10 A STI deverá distribuir e gerenciar certificados para assinatura digital, sejam do tipo A1 (arquivo digital com senha) ou A3 (token), de acordo com as necessidades do usuário interno e com os procedimentos técnicos adotados.

Art. 11 Os certificados digitais poderão ser utilizados como segundo fator de autenticação (2FA) em computadores ou sistemas, de acordo com a sua criticidade e disponibilidade da tecnologia.

CAPÍTULO VI

DA AUTORIDADE CERTIFICADORA

Art. 12 O TRE-TO poderá manter Infraestrutura de Chaves Públicas (ICP) própria para uso em sistemas e computadores de uso interno, sendo permitido o modelo de AC (autoridade certificadora) auto assinada.

Art. 13 Os certificados digitais instalados em servidores e sistemas Web com acesso pela Internet deverão utilizar certificados digitais fornecidos por AC (autoridade certificadora) comercial, visando a compatibilidade com os computadores e dispositivos móveis dos usuários externos.

CAPÍTULO VII

DAS RESPONSABILIDADES

Art. 14 Cabe à STI, por meio de suas áreas técnicas:

I - Implementar o nível adequado de criptografia nos sistemas e dispositivos.

II - Adquirir e gerenciar os certificados digitais para usuários.

III - Implementar e manter Infraestrutura de chaves públicas interna.

IV - Adquirir e gerenciar os certificados digitais para servidores e aplicações.

V - Informar à Comissão Permanente de Segurança da Informação eventuais não-conformidades.

Art. 15 Cabe ao usuário:

I - Zelar pela segurança do certificado digital recebido, não compartilhando o seu uso e a sua senha com terceiros.

II - Assinar termo de compromisso no ato do recebimento de certificado digital.

III - Informar imediatamente à STI em caso de extravio ou comprometimento do certificado digital para adoção das providências de revogação.

IV - O usuário deve estar ciente de que a assinatura ou login feitos por meio de certificado digital são irretratáveis, não podendo este alegar que não efetuou a ação.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 16 No caso de algum equipamento, aplicação, aplicativo, sistema ou banco de dados não permitir a adoção de protocolos seguros, a informação deverá constar em documento de análise de riscos de segurança da informação, sendo imediatamente submetido para apreciação da Comissão Permanente de Segurança da Informação.

Art. 17 A STI elaborará, em até 90 dias, os procedimentos operacionais para aplicação desta norma, que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 18 Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19 Esta norma complementar deve ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação.

Art. 20 A STI deverá informar ao Gestor de Segurança da Informação, no prazo de 90 dias, quais ativos de informação que não puderam se adequar a esta norma.

Art. 21 Os casos omissos serão resolvidos pela Comissão Permanente de Segurança da Informação.

Art. 22 Esta Instrução Normativa entra em vigor na data de sua publicação.

Palmas, 22 de setembro de 2025

Desembargador Adolfo Amaro Mendes
Presidente