INSTRUÇÃO NORMATIVA TRE-RS P N. 129/2025

Dispõe sobre as regras e os procedimentos para o Desenvolvimento Seguro de Software no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.

O EXCELENTÍSSIMO DESEMBARGADOR MARIO CRESPO BRUM, PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso das suas atribuições legais e regimentais,

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);¿

CONSIDERANDO a Resolução TSE n. 23.644/2021, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TRE-RS n. 370/2021, que adota, no âmbito deste Tribunal, a Política de Segurança da Informação da Justiça Eleitoral, instituída pela Resolução TSE n. 23.644/2021;

CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8,

RESOLVE:

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Art. 1º Instituir as regras e procedimentos para o Desenvolvimento Seguro de Software, como norma integrante da Política de Segurança da Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

Art. 2º Para os efeitos da Política de Segurança da Informação do Tribunal Superior Eleitoral e das normas a ela subordinadas, aplicam-se os termos e definições conceituados na Portaria DG/TSE n. 444/2021.

CAPÍTULO II
DAS DIRETRIZES DO DESENVOLVIMENTO SEGURO DE SOFTWARE

Art. 3° As seguintes diretrizes devem ser observadas para garantir a segurança no processo de desenvolvimento:

I – treinamento contínuo dos desenvolvedores;

II – uso de bibliotecas confiáveis;

III – realização de testes de invasão, sempre que possível;

IV - observância ao princípio de privilégio mínimo;

V - observância ao princípio de mediação completa, que trata de nunca confiar nas entradas checando-se privilégios a cada acesso aos objetos.

CAPÍTULO III
DA GESTÃO DE RISCOS E VULNERABILIDADES

Art. 4° Deverá ser implementado modelo de gestão de ameaças que contemple o registro e acompanhamento dos riscos de segurança, seus efeitos e impactos.

Parágrafo único. O registro de ameaças deverá contemplar pelo menos as seguintes categorias:

I – falsificação: capacidade do agente se passar por outra pessoa, processo ou sistema;

II – adulteração: capacidade do agente alterar informação sem autorização;

III – repúdio: capacidade do agente evitar sua responsabilização por uma ação;

IV – divulgação de informação: capacidade do agente obter acesso à informação sem autorização;

V – negação de serviço: capacidade do agente causar interferência ou mau funcionamento de um sistema ou serviço;

VI – elevação de privilégio: capacidade do agente obter nível de acesso não autorizado sobre um sistema ou processo.

Art. 5° O desenvolvimento ou implantação seguros de software devem executar o processo de análise de vulnerabilidades.

CAPÍTULO IV
DO INVENTÁRIO DE SOFTWARES

Art. 6° Os softwares desenvolvidos internamente e por terceiros deverão ter gestores técnicos definidos quando da sua utilização.

Parágrafo único. Os gestores técnicos dos softwares são responsáveis por:

I – manter os softwares atualizados;

II – manter atualizado o inventário de softwares em uso, inclusive quanto aos componentes de terceiros;

III - avaliar os riscos de segurança e propor ações corretivas;

IV - promover atualizações críticas de alto risco no menor tempo possível.

CAPÍTULO V
DO USO DE COMPONENTES

Art. 7° O uso de componentes de software de terceiros deverá atender aos seguintes requisitos:

I - uso de componentes atualizados;

II - aquisição de fontes confiáveis;

III - verificação de que suas distribuições estejam em desenvolvimento ou com manutenção ativa, e que tenham um histórico de correção de vulnerabilidades divulgado.¿

Parágrafo único. Sendo indispensável o uso de componentes de terceiros que não atendam aos requisitos previstos no caput, os riscos de sua utilização devem constar da análise de riscos prévia à disponibilização do software, prevista em norma de gestão de riscos de segurança da informação vigente.

Art. 8° Antes do seu uso, os componentes deverão passar por análise de vulnerabilidades, por meio de consulta em bancos de dados de vulnerabilidades disponíveis na internet, como o National Vulnerability Database, divulgado pelo National Institute of Standards and Technology (NIST), do governo dos Estados Unidos da América.

CAPÍTULO VI
DA INFRAESTRUTURA

Art. 9º O processo de desenvolvimento seguro de software deverá seguir a norma complementar de configuração segura vigente para componentes de infraestrutura de aplicações.

Art. 10. Os ambientes de sistemas de produção e não produção deverão ser especificados e mantidos separados.

Art. 11. O repositório de informações e códigos-fonte deverá ser segregado, com políticas rígidas de acesso, que permitam o rastreamento de ações realizadas.

CAPÍTULO VII
DA CAPACITAÇÃO DE DESENVOLVEDORES

Art. 12. O Plano de Capacitação de Tecnologia da Informação e Comunicação (TIC) do TRE-RS deverá prever treinamentos para a equipe de desenvolvedores, que contemplem princípios gerais de segurança, práticas padrão de segurança de aplicações e proteção de dados pessoais.

CAPÍTULO VIII
DA PROTEÇÃO DE DADOS PESSOAIS

Art. 13. Os softwares que realizem tratamento de dados pessoais deverão seguir os requisitos da Lei n. 13.709/2018 - Lei Geral de Proteção de Dados (LGPD).

Art. 14. O processo de desenvolvimento seguro de software deverá estar alinhado com os seguintes padrões:¿

I -¿privacy by design:¿assegura que a proteção de dados pessoais deverá ser estabelecida desde a concepção do software ou componente, compreendendo todo o ciclo de vida, onde a equipe deverá realizar uma abordagem proativa na proteção de dados pessoais;

II –¿privacy by default: o software deverá resguardar a exposição de dados pessoais, salvaguardando a privacidade e sendo o mais restritivo possível, tanto na exposição ou visualização de dados pessoais,¿quanto na coleta.

Art. 15. A correção das vulnerabilidades que contenham dados pessoais terá prioridade sobre as demais.

CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS

Art. 16. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvido o Comitê de Segurança da Informação e Proteção de Dados Pessoais.

Art. 17. A Secretaria de Tecnologia da Informação deverá elaborar, em até 120 dias, plano de ação visando à implementação dos procedimentos operacionais necessários à aplicação desta norma.¿

Art. 18. Qualquer descumprimento desta norma deverá ser imediatamente registrado pelo Gestor de Segurança da Informação e comunicado às instâncias superiores, para adoção das providências cabíveis.¿

Art. 19. Esta Instrução Normativa entra em vigor na data de sua publicação.

DESEMBARGADOR MARIO CRESPO BRUM
PRESIDENTE.

  

(Publicação: DJE, n. 122, p. 5, 07.07.2025)