INFOCENTER
RESOLUÇÃO Nº 7 DE 29 DE JUNHO DE 2002
Estabelece regras e diretrizes para os sítios na Internet da Administração Pública Federal.
 
 
Biblioteca de Segurança
 
Download
 
Sites
 
   


Leia Capítulo VI

O PRESIDENTE DO COMITÊ EXECUTIVO DO GOVERNO ELETRÔNICO, no uso de suas atribuições, e tendo em vista o disposto nos incisos I, III e IV do art. 3o do Decreto de 18 de outubro de 2000,

RESOLVE:

Art. 1o A estruturação, a elaboração, a manutenção e a administração dos sítios na Internet dos órgãos e entidades da Administração Pública Federal regem-se por esta Resolução.

CAPÍTULO I

DA ESTRUTURA DA INFORMAÇÃO DOS SÍTIOS

Art. 2o Os órgãos ou entidades da Administração Pública Federal, ao adotarem um nome de domínio na Internet, observarão as diretrizes seguintes:

I - somente poderão ser utilizados os domínios de primeiro nível gov.br e mil.br, exceto nos casos de simples redirecionamento do programa de navegação na Internet para o nome de domínio principal;

II - o nome de domínio deverá guardar associação com o nome ou sigla do órgão ou entidade;

III - a maior quantidade possível de conteúdo deverá ser agregada em um mesmo nome de domínio, criando-se, se necessário, uma estrutura de subdomínios;

IV - nomes de domínio alternativos ou de fantasia devem ser usados apenas para divulgação;

V - é vedada a incorporação em subdomínios de sítios independentes, sem vinculação com o órgão ou entidade.

Parágrafo único. O disposto no inciso I não se aplica às unidades de ensino e pesquisa da Administração Pública Federal.

Art. 3o A elaboração de um sítio governamental deverá ser precedida pela:

I - definição clara do propósito e abrangência do sítio;

II - definição do público-alvo do sítio;

III - mensuração do valor que o sítio agregará à Administração Pública Federal;

IV - verificação da existência de sítios com igual propósito.

Art. 4o Os sítios, no âmbito da Administração Pública Federal:

I - usarão obrigatoriamente o idioma português, podendo haver versões em outros idiomas, preferencialmente o espanhol e o inglês;

II - usarão obrigatoriamente diagramação dinamicamente ajustável na produção do leiaute das páginas, sendo que a barra de rolagem horizontal somente se fará visível em configurações de vídeo inferiores a 800 x 600 pontos de tela;

III - conterão, em sua página inicial, informação sobre todo o seu conteúdo;

IV - disponibilizarão seu conteúdo agrupado por assunto, ficando vedado o seu agrupamento segundo a estrutura organizacional do órgão ou entidade;

V - serão estruturados de modo a privilegiar a prestação de serviço ao cidadão;

VI - harmonizarão elementos de função semelhante de modo que sejam apresentados com forma e localização análogas;

VII - disponibilizarão ligação para página com respostas aos questionamentos mais freqüentes dirigidos ao órgão ou entidade;

VIII - alocarão o conteúdo de maior valor para o usuário na parte superior da página;

IX - forçarão a abertura de nova janela sempre que houver ligações para páginas externas ao domínio;

X - disponibilizarão versão alternativa compatível com programas de uso consagrado, quando utilizada tecnologia nova na construção de página;

XI - utilizarão padrões técnicos que não exijam equipamentos de grande performance ou programas pouco difundidos;

XII - adotarão estratégia de navegação que economize toques, propiciando rapidez de acesso e o uso intuitivo dos comandos e opções;

XIII - conterão, caso seja disponibilizado serviço executável em outro domínio, as informações mínimas necessárias para que o serviço seja acessado, processado e consumado.

Art. 5o As páginas dos sítios deverão:

I - ser de fácil legibilidade;

II - apresentar os conteúdos com clareza, simplicidade, objetividade, organicidade, atualidade e veraciade;

III - usar linguagem simples e direta, especialmente nas páginas iniciais;

IV - utilizar imagens apenas quando associadas diretamente com o órgão ou entidade ou, ainda, com o serviço;

V - manter todo o ciclo de transição do serviço dentro do próprio sítio quando ele for disponível por meio de formulários.

CAPÍTULO II

DO CONTROLE E MONITORAMENTO DOS SÍTIOS

Art. 6o Os órgãos e entidades da Administração Pública Federal deverão implementar ferramentas de controle editorial das informações publicadas, observadas as seguintes diretrizes:

I - as ferramentas de publicação a serem adotadas deverão permitir o monitoramento da inclusão e atualização do conteúdo dos sítios e da expiração de validade das informações, quando for o caso;

II - as informações devem ser organizadas, sempre que possível, em bancos de dados administrados por módulo de gestão descentralizado;

III - as informações e serviços deverão ser estruturados de modo a permitir seu manuseio e manutenção independente da participação de técnicos especializados;

IV - a data da informação e a periodicidade de sua atualização devem ser publicadas, quando for o caso.

Art. 7o Os órgãos e entidades da Administração Pública Federal, quanto ao desempenho e controle estatístico dos sítios sob sua responsabilidade, deverão:

I - implementar instrumentos para a medição:

a) do tráfego de usuários no sítio, bem como do uso das opções de serviço colocadas à disposição dos usuários;

b) do índice de atendimento às consultas e solicitações efetuadas pelos usuários;

II - estabelecer procedimentos para a realização de pesquisas on-line sobre a qualidade dos serviços e informações prestadas, bem como da satisfação dos usuários;

III - somente utilizar testemunhas de conexão de caráter permanente (cookies) com a concordância do usuário;

IV - utilizar mecanismo de aferição da disponibilidade das ligações (links) expostas;

V - utilizar página específica com orientações na hipótese de devolução de mensagem de erro para o usuário, vedando-se a utilização da página de erro nativa dos navegadores.

CAPÍTULO III

DA GESTÃO DOS ELEMENTOS INTERATIVOS DOS SÍTIOS

Art. 8o Quanto aos elementos de interação nos sítios de sua responsabilidade, os órgãos e entidades da Administração Pública Federal implementarão:

I - obrigatoriamente, serviço de comunicação direta do usuário com o órgão ou entidade denominado "Fale Conosco", que:

a) contemple a possibilidade de o usuário escrever ao órgão ou entidade por correio eletrônico ou através de formulário apropriado, para quaisquer fins, garantindo-se resposta à solicitação, mesmo que seja a mera informação de seu encaminhamento para outro órgão ou entidade;

b) responda, sempre que possível, às solicitações encaminhadas no prazo de cinco dias úteis, devendo o usuário ser informado quando esse prazo não puder ser observado;

c) oriente o usuário a encaminhar para o endereço eletrônico do serviço "Fale com o Governo" (governo@brasil.gov.br) mensagens que tratem de assuntos relacionados com qualquer outro órgão ou entidade do Governo Federal;

d) contenha serviço de estatística em relação ao conteúdo das mensagens recebidas, tais como problemas, críticas e sugestões;

e) declare na página do sítio o nome da unidade organizacional ou do servidor designado como responsável pelo atendimento das mensagens recebidas;

II - facultativamente, salas de bate-papo ou fóruns, a serem disponibilizados no caso de existir política de acesso e funcionalidade, desde que definidos:

a) os temas de discussão;

b) a presença de moderadores;

c) a possibilidade de trocas de arquivos;

d) os mecanismos de controle do conteúdo distribuído ou trocado;

e) o tempo de duração da sessão, se for o caso;

f) a identificação dos responsáveis pelo serviço.

Parágrafo único. O conteúdo das respostas a serem fornecidas pelo serviço "Fale Conosco" será de responsabilidade das unidades gestoras da informação ou do serviço a que se destinam as mensagens.

CAPÍTULO IV

DO MODELO ORGANIZACIONAL

Art. 9o Os órgãos e entidades da Administração Pública Federal deverão adotar, relativamente aos sítios sob sua responsabilidade, modelo organizacional que:

I - defina claramente as atribuições, na administração dos sítios;

II - estabeleça, na estrutura organizacional, as funções de gestão, provimento de conteúdo e infra-estrutura tecnológica.

Parágrafo único. A função de gestão se caracteriza pela coordenação das atividades relacionadas à elaboração das páginas dos sítios e pelo planejamento e desenvolvimento de produtos e serviços ao usuário.

Art. 10. Cabe à unidade responsável pela função de gestão de cada órgão ou entidade:

I - aprovar a estrutura e o padrão das páginas componentes dos sítios do órgão ou entidade;

II - planejar e monitorar o desenvolvimento de serviços e a oferta de informação pelo sítio;

III - articular-se com outras unidades do órgão ou entidade, objetivando a padronização das estruturas das informações e das interfaces gráficas que serão veiculadas;

IV - definir o processo e o fluxo formal de alimentação e atualização de informações nas páginas dos sítios;

V - avaliar o material produzido por outras unidades do órgão ou entidade;

VI - publicar os conteúdos gerados pelas outras unidades do órgão ou entidade;

VII - manter equipe de gestão para acompanhamento e monitoramento da execução de serviços contratados.

Art. 11. As unidades do órgão ou entidade da Administração Pública Federal responsáveis pelos produtos, serviços ou informações exercerão a função de provimento do conteúdo, cabendo-lhes:

I - propor a criação de páginas e a implementação de melhorias, no âmbito de suas atribuições, orientando-se pelos padrões definidos pela unidade gestora de que trata o art. 10, a quem deverá submeter o material produzido;

II - promover a atualização e a manutenção da consistência e da integridade das informações por elas providas.

Art. 12. Cabe à unidade responsável pela função de infra-estrutura tecnológica de cada órgão ou entidade:

I - desenvolver e manter os recursos de infra-estrutura tecnológica (hardware, software e telecomunicações) necessários para disponibilização dos serviços e informações no sítio;

II - desenvolver e manter as páginas e os aplicativos para implementação ou adaptação dos serviços para o meio eletrônico;

III - elaborar a programação visual e a arquitetura da informação das páginas (webdesign);

IV - capacitar outras unidades do órgão ou entidade para elaboração e manutenção das páginas de sua responsabilidade;

V - realizar prospecção de novas tecnologias;

VI - implementar e manter mecanismos de segurança e de monitoramento de acesso;

VII - elaborar plano de capacitação e atualização técnica para as equipes envolvidas na administração dos sítios.

CAPÍTULO V

DA IDENTIDADE VISUAL DOS SÍTIOS

Art. 13. Cabe à Secretaria de Comunicação de Governo da Presidência da República a definição da identidade visual dos sítios dos órgãos e entidades da Administração Pública Federal.

Parágrafo único. Para os efeitos desta Resolução, considera-se identidade visual o conjunto de marcas, símbolos e ícones utilizados para caracterização dos sítios do Governo Federal.

CAPÍTULO VI

DA SEGURANÇA DOS SÍTIOS

Art. 14. A segurança dos sítios dos órgãos e entidades da Aministração Pública Federal observará o disposto neste Capítulo e, sem prejuízo do Decreto no 3.505, 13 de junho de 2000.

Art. 15. Os serviços Web devem ser providos por equipamentos dedicados com acessos físico e lógico controlados.

Art. 16. As infra-estruturas computacionais e de rede dedicadas à prestação dos serviços Web devem estar isoladas da rede interna do proprietário do sítio.

Art. 17. As páginas Web deverão ser providas e atualizadas de modo a não comprometer a segurança das redes internas do proprietário do sítio.

Art. 18. O servidor Web deverá ser configurado de modo seguro tanto no que se refere à segurança física, quanto aos sistemas operacionais e aplicativos instalados.

Art. 19. A segurança do sítio deve ser permanentemente atualizada de modo a resistir aos ataques que exploram vulnerabilidades para as quais já existam correções.

Art. 20. Deverão ser implementados mecanismos de registro de eventos e acessos ao sítio e ao seu ambiente de funcionamento.

Art. 21. Os relatórios produzidos pelos mecanismos citados no art. 20 deverão ser armazenados de modo seguro por período compatível com o caráter da informação.

Art. 22. Quando da ocorrência de ataques bem sucedidos, dever-se-á preservar a maior quantidade possível de evidências digitais relevantes.

Art. 23. Os registros de eventos e acessos deverão ser monitorados regular e freqüentemente, objetivando a identificação de falhas relevantes.

Art. 24. Para o ambiente do sítio deverão ser utilizados mecanismos de sincronização automática de tempo por meio das fontes oficiais de tempo.

Art. 25. O ambiente da rede do sítio do órgão ou entidade deve contar com planos de contingência implementados e atualizados, visando ao pronto restabelecimento do ambiente e dos serviços, assim como o não comprometimento da imagem da Administração Pública Federal;

Art. 26. Os planos de contingência deverão ser periodicamente testados para que seja verificada a sua eficácia ou necessidade de adequação.

Art. 27. Devem ser estabelecidas diretrizes em cada órgão ou entidade que orientem a realização de cópias de segurança periódica das informações críticas dos ambientes dos sítios governamentais.

Art. 28. Deve existir pelo menos um responsável técnico para atuar como contato no que se refere à segurança do ambiente do sítio.

Parágrafo único. O responsável técnico somente poderá ser servidor público em efetivo exercício no órgão ou entidade.

Art. 29. Deverão ser estabelecidas rotinas de programas:

I - de treinamento e atualização específicos aos responsáveis técnicos pela segurança do ambiente do sítio;

II - de conscientização de todos os envolvidos.

Art. 30. Sempre que necessário, os servidores Web deverão ser configurados para usar tecnologias de autenticação e criptografia, visando a garantir a integridade, o sigilo e a autenticidade das informações.

Art. 31. O responsável técnico deverá certificar-se de que entende todas as funcionalidades de qualquer programa externo a ser utilizado e suas possíveis vulnerabilidades.

Art. 32. Devem ser adotados conceitos e procedimentos de auditoria interna que permitam análise do ambiente computacional.

Art. 33. Toda a documentação técnica referente aos componentes e configurações do ambiente do sítio deverá ser conservada para eventuais verificações.

Art. 34. Todos os documentos normativos elaborados e implementados pelo órgão ou entidade, que versem sobre o ambiente do sítio, deverão ser mantidos atualizados e em condições de sofrer auditorias.

Art. 35. É vedada a utilização de provedores externos para prestar serviços considerados sigilosos, bem como aqueles que possam expor a privacidade dos usuários.

Art. 36. Caso os serviços Web estejam sendo prestados por provedores externos, compete ao órgão ou entidade contratante estabelecer cláusulas no contrato de prestação de serviço que estipulem a observância às normas sobre segurança de sítios aplicáveis à Administração Pública Federal.

§ 1o Os provedores externos de que trata o caput deverão submeter, por força do contrato, seu ambiente à periódica auditoria do órgão ou entidade contratante.

§ 2o Na auditoria de que trata o § 1o, incluem-se todas as partes do ambiente do contratado que possam afetar a segurança do sítio.

Art. 37. O serviço de certificação dos sítios dos órgãos ou entidades somente poderá ser feito por Autoridades Certificadoras integrantes da ICP-Brasil, observado o disposto no Decreto no 3.996, de 31 de outubro de 2001.

Art. 38. Os órgãos e entidades deverão adotar medidas necessárias para preservar a segurança dos sítios sob sua responsabilidade, inclusive se hospedados por provedores externos, devendo estipular de forma clara as responsabilidades da unidade que gerencia o sítio.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 39. Os órgãos e entidades da Administração Pública Federal deverão, até o final de 2002, adaptar todos seus sítios na Internet ao disposto nesta Resolução.

Parágrafo único. Cabe à Secretaria-Executiva do Comitê Executivo do Governo Eletrônico fornecer as orientações necessárias ao fiel cumprimento das normas de que trata o caput.

Art. 40. Esta Resolução entra em vigor na data de sua publicação.

PEDRO PARENTE