Tribunal Superior Eleitoral
Secretaria de Gestão da Informação e do Conhecimento
Coordenadoria de Jurisprudência e Legislação
Seção de Legislação
RESOLUÇÃO Nº 23.763, DE 9 DE JUNHO DE 2026
Dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral.
O TRIBUNAL SUPERIOR ELEITORAL, no uso de suas atribuições, e
CONSIDERANDO que a Justiça Eleitoral produz, recebe e custodia informações no exercício de suas competências constitucionais, legais e regulamentares, e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com sigilo resguardado;
CONSIDERANDO que as informações e os documentos na Justiça Eleitoral são armazenados e disponibilizados em diferentes suportes, físicos e eletrônicos, portanto, vulneráveis a incidentes, como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;
CONSIDERANDO a necessidade de orientar a condução de ações voltadas à promoção da Segurança da Informação no âmbito da Justiça Eleitoral;
CONSIDERANDO a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022 e NBR ISO/IEC 27005:2023;
CONSIDERANDO a Resolução n. 370/2021 do Conselho Nacional de Justiça, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTICJUD);
CONSIDERANDO a Resolução n. 396/2021 do Conselho Nacional de Justiça, que estabelece a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução n. 23.435/2015/TSE, que regulamenta a aplicação da Lei n. 12.527/2011 (LAI) no âmbito do Tribunal Superior Eleitoral;
CONSIDERANDO a Portaria n. 1.013/2018/TSE, que institui a Política de Preservação Digital da Justiça Eleitoral;
CONSIDERANDO a Resolução n. 23.379/2012/TSE, que dispõe sobre o Programa de Gestão Documental, o Sistema de Arquivos, o Fundo Histórico Arquivístico e o Comitê de Gestão Documental no âmbito da Justiça Eleitoral;
CONSIDERANDO a necessidade de implementar ações para garantir a adequada execução da Lei n. 13.709/2018 (LGPD), no que tange à segurança da informação;
RESOLVE:
Art. 1º Instituir a Política de Segurança da Informação da Justiça Eleitoral (PSI-JE).
CAPÍTULO I
DOS CONCEITOS E DAS DEFINIÇÕES
Art. 2º Para os efeitos desta resolução e de suas regulamentações, aplicar-se-á a norma de termos e definições relativa à PSI-JE.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º Esta PSI alinha-se às estratégias da Justiça Eleitoral e tem como princípios norteadores a garantia da disponibilidade, da integridade, da confidencialidade, da autenticidade e do não repúdio das informações produzidas, recebidas, armazenadas, tratadas ou transmitidas pelos órgãos da Justiça Eleitoral, no exercício de suas atividades e funções.
Art. 4º O uso adequado dos recursos de tecnologia da informação e comunicação visa a garantir a continuidade e a confiabilidade da prestação jurisdicional e de serviços da Justiça Eleitoral.
§ 1º Os recursos de tecnologia da informação e comunicação pertencentes aos órgãos da Justiça Eleitoral e disponíveis aos usuários devem ser utilizados exclusivamente em atividades institucionais.
§ 2º A utilização dos recursos de tecnologia da informação e comunicação é passível de monitoramento e controle por parte da Justiça Eleitoral.
I - O monitoramento observará finalidade institucional, proporcionalidade e critérios de necessidade, com definição de perfis autorizados e registro de acesso aos logs;
II - A retenção e o descarte dos registros de monitoramento observarão as normas de segurança específicas subordinadas a esta PSI, alinhadas à classificação da informação e à tabela de temporalidade;
III - Sempre que o monitoramento envolver dados pessoais, aplicar-se-ão as diretrizes da Política Geral de Privacidade e Proteção de Dados Pessoais.
Art. 5º As informações produzidas por usuários, no exercício de suas atividades e funções, são patrimônio intelectual da Justiça Eleitoral, não cabendo a seus criadores qualquer forma de direito autoral.
§ 1º Quando houver produção de software livre ou conteúdo sujeito a licenças abertas ou contratos específicos, aplicar-se-ão as condições ali previstas, respeitada a titularidade institucional.
§ 2º Os contratos e os termos de cessão deverão prever a transferência de direitos necessária ao uso institucional.
CAPÍTULO III
DOS OBJETIVOS E DO ESCOPO
Art. 6º São objetivos da PSI da Justiça Eleitoral:
I - instituir diretrizes estratégicas, responsabilidades e competências, visando à estruturação da segurança da informação;
II - direcionar as ações necessárias à implementação e à manutenção da segurança da informação;
III - definir as ações necessárias para evitar ou mitigar os efeitos de atos, acidentais ou intencionais, internos ou externos, de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;
IV - nortear os trabalhos de conscientização e de capacitação de pessoal em segurança da informação e em proteção de dados pessoais;
V - aumentar o índice de maturidade em segurança da informação;
VI - aumentar o nível de proteção de dados pessoais e de proteção da privacidade;
VII - fomentar a participação em eventos de segurança e a integração de profissionais dos segmentos de segurança da informação e de segurança cibernética, visando incrementar o conhecimento destes sobre as melhores práticas e mantê-los atualizados com as informações relevantes;
VIII - apoiar as ações de implementação e manutenção de Repositório Arquivístico Digital Confiável (RDC-Arq), para a gestão e o tratamento arquivístico de documentos e mídias digitais, com vistas à preservação do acervo arquivístico digital.
Art. 7º Esta PSI se aplica a todos os magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que utilizem ou tenham acesso aos ativos de informação e de processamento no âmbito da Justiça Eleitoral.
Parágrafo único. Esta PSI aplica-se, no que couber, aos eventos realizados pela Justiça Eleitoral.
Art. 8º Os destinatários desta PSI, relacionados no caput do art. 7º, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta Resolução, e têm como deveres:
I - ter pleno conhecimento desta PSI e zelar por seu cumprimento;
II - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;
III - preservar o sigilo da identificação de usuário e de senhas de acessos individuais a sistemas de informação, ou de outros tipos de credenciais de acesso que lhes forem atribuídos;
IV - participar das campanhas de conscientização e dos treinamentos pertinentes aos temas de segurança da informação e de proteção de dados pessoais, conforme planejamento dos tribunais eleitorais;
V - reportar qualquer falha ou incidente de segurança da informação de que tiver conhecimento, utilizando mecanismos próprios disponibilizados pelos tribunais eleitorais;
VI - utilizar os ativos sob sua responsabilidade de forma segura, em observância ao disposto nesta PSI e em eventuais normativos a ela subordinados.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 9º A estrutura normativa referente à segurança da informação será estabelecida e organizada conforme definido a seguir:
I - Nível Estratégico: Política de Segurança da Informação da Justiça Eleitoral, constituída por esta Resolução e pela Estratégia Nacional de Cibersegurança da Justiça Eleitoral, as quais definem as diretrizes fundamentais e os princípios basilares incorporados pela instituição à sua gestão, em alinhamento definido pelo Planejamento Estratégico dos órgãos da Justiça Eleitoral.
§ 1º O aperfeiçoamento da segurança da informação deverá constar como diretriz estratégica a ser seguida durante a elaboração dos planos estratégicos dos tribunais eleitorais.
§ 2º Os normativos previstos no inciso I do caput aplicam-se a toda a Justiça Eleitoral.
II - Nível Tático: Normas Complementares sobre Segurança da Informação, que contemplam obrigações a serem seguidas conforme as diretrizes estabelecidas nesta PSI, as quais deverão ser editadas por todos os tribunais que compõem a Justiça Eleitoral e abarcar, no mínimo, os seguintes temas:
a) Gestão de Ativos;
b) Controle de Acesso Físico e Lógico;
c) Gestão de Riscos de Segurança da Informação;
d) Uso Aceitável de Recursos de TI;
e) Geração e Restauração de Cópias de Segurança (backup);
f) Plano de Continuidade de Serviços Essenciais de TI;
g) Gestão de Incidentes de Segurança da Informação;
h) Gestão de Vulnerabilidades e Padrões de Configuração Segura;
i) Gestão e Monitoramento de Registros de Atividade (logs);
j) Desenvolvimento Seguro de Sistemas;
k) Uso de Recursos Criptográficos;
l) Uso do Trabalho Remoto;
m) Uso Seguro de Serviços de Computação em Nuvem;
n) Uso Seguro de Inteligência Artificial;
o) Gestão de Provedores de Serviços;
p) Inteligência Cibernética (Fontes Abertas).
§ 3º Conforme necessidade e conveniência de cada Tribunal Eleitoral, poderão ser criados normativos a respeito de outros temas.
§ 4º Os normativos deverão considerar as boas práticas em segurança da informação
§ 5º Os normativos de nível tático publicados pelo TSE trarão diretrizes a respeito do respectivo tema.
§ 6º O TSE poderá editar modelos dos normativos previstos no caput.
III - Nível Operacional: Procedimentos de Segurança da Informação que contemplam regras operacionais, roteiros técnicos, fluxos de processos, manuais e guias com informações técnicas que instrumentalizam o disposto nas normas referenciadas no nível tático, conforme o disposto nas diretrizes e nas normas de segurança estabelecidas, permitindo sua utilização nas atividades do órgão.
CAPÍTULO V
DA ESTRATÉGIA NACIONAL DE CIBERSEGURANÇA E DA MATURIDADE EM SEGURANÇA DA INFORMAÇÃO
Art. 10. A Estratégia Nacional deverá estabelecer as diretrizes e os objetivos para a realização de análises de maturidade em segurança da informação na Justiça Eleitoral, inclusive para proteção de dados pessoais, com o propósito de avaliar a eficácia dos controles, dos processos e da estrutura, visando à definição de planos de melhoria contínua.
§ 1º A análise de maturidade será baseada em frameworks reconhecidos, considerando-se a criticidade dos ativos de informação e a natureza dos riscos enfrentados pela Justiça Eleitoral.
§ 2º Os modelos ou os frameworks utilizados como norteadores da análise de maturidade, bem como a periodicidade de avaliação, deverão ser tratados na Estratégia Nacional de Cibersegurança de forma padronizada para toda a Justiça Eleitoral.
CAPÍTULO VI
DA GESTÃO DE RISCOS
Art. 11. Os tribunais eleitorais deverão publicar normativos institucionais de Gestão de Riscos e de Gestão de Riscos de Segurança da Informação, seguindo as boas práticas de mercado.
§ 1º O normativo de Gestão de Riscos de Segurança da Informação deverá estar em conformidade com o normativo institucional de gestão de riscos corporativos, sendo uma especialização deste.
§ 2º Quando o risco envolver tratamento de dados pessoais, a gestão de riscos de segurança da informação deverá ser articulada com a gestão de riscos à proteção de dados pessoais, inclusive para subsidiar relatórios de impacto, quando cabíveis, nos termos da Política Geral de Privacidade e Proteção de Dados Pessoais.
Art. 12. O processo de análise e avaliação de riscos é pressuposto para estabelecer controles adequados ao tratamento dos principais riscos de segurança da informação.
Parágrafo único. Os projetos e as aquisições relacionados à segurança da informação deverão ser priorizados a partir dos riscos levantados por meio das metodologias formais dos tribunais.
CAPÍTULO VII
DO TREINAMENTO E DA CONSCIENTIZAÇÃO
Art. 13. Os tribunais eleitorais deverão implementar e manter Programa Permanente de Capacitação e Conscientização em Segurança da Informação, Proteção de Dados Pessoais e Cibersegurança, alinhado às diretrizes da Estratégia Nacional de Cibersegurança da Justiça Eleitoral e às boas práticas de mercado, com os seguintes objetivos:
I - promover cultura institucional de segurança, reforçando comportamentos seguros e a correta utilização dos ativos de informação;
II - assegurar que todos os usuários previstos no art. 7º recebam capacitação obrigatória, proporcional às suas atribuições, incluindo trilhas específicas para gestores, equipes técnicas, ocupantes de funções críticas e terceiros;
III - manter conteúdo atualizado, baseado em análise de riscos, incidentes ocorridos, vulnerabilidades identificadas e mudanças tecnológicas relevantes;
IV - realizar ações periódicas de sensibilização, campanhas educativas e exercícios práticos, inclusive relacionados à prevenção de engenharia social e à resposta a incidentes;
V - aferir a efetividade das ações de capacitação por meio de indicadores de desempenho e maturidade, promovendo ajustes contínuos no programa.
Parágrafo único. O Programa Permanente de Capacitação e Conscientização integrará a Estratégia Nacional de Cibersegurança da Justiça Eleitoral e deverá ser revisado periodicamente para garantir sua aderência aos riscos emergentes, à evolução normativa e às demandas do processo eleitoral.
CAPÍTULO VIII
DO USO DE SERVIÇOS E COMPUTAÇÃO EM NUVEM
Art. 14. Os tribunais eleitorais que desejarem utilizar computação em nuvem obrigam-se a editar ato normativo sobre seu uso seguro.
Art. 15. Qualquer solução que faça uso de ambiente computacional em nuvem como parte integrante ou componente principal do seu funcionamento, seja de forma transitória ou definitiva, ainda que não seja diretamente sustentada ou implementada pela unidade de Tecnologia da Informação, deverá ser submetida a esta para avaliação e aprovação, momento em que se realizará análise da viabilidade em relação à segurança, à arquitetura, aos custos, à sustentação e à gestão.
Parágrafo único. A unidade de Tecnologia da Informação poderá, em caso de identificação de riscos altos ou críticos, submeter a avaliação da proposta de utilização da solução em nuvem à Comissão de Segurança da Informação, para deliberação.
CAPÍTULO IX
DO PLANO NACIONAL DE ACOMPANHAMENTO EM CIBERSEGURANÇA
Art. 16. O TSE poderá instituir Plano Nacional de Acompanhamento em Cibersegurança, com a finalidade de monitorar, orientar e apoiar os tribunais regionais eleitorais na implementação de ações estratégicas de segurança da informação e de cibersegurança, podendo abranger, entre outros temas:
I - avaliação contínua dos riscos relacionados a ativos, serviços, processos e sistemas críticos da Justiça Eleitoral, inclusive aqueles vinculados ao processo eleitoral, observando a metodologia padronizada definida pela Estratégia Nacional de Cibersegurança;
II - acompanhamento da execução de planos, projetos e iniciativas de segurança da informação e de cibersegurança dos tribunais regionais eleitorais, em especial aqueles vinculados à proteção de infraestrutura crítica e à continuidade de serviços essenciais;
III - monitoramento dos indicadores de maturidade, de desempenho e de conformidade em segurança da informação, proteção de dados pessoais e continuidade de negócios, com emissão de recomendações, orientações e planos de melhoria;
IV - avaliação da necessidade de recursos e investimentos, apresentando recomendações para o adequado dimensionamento orçamentário e financeiro destinado às ações de segurança da informação e de cibersegurança;
V - apoio à padronização de controles, processos, requisitos técnicos, arquitetura, padrões de configuração segura e modelos de governança, visando à uniformidade, à eficiência e à redução de vulnerabilidades comuns no âmbito da Justiça Eleitoral;
VI - acompanhamento dos planos de continuidade de negócios e de recuperação de desastres, especialmente no que se refere aos serviços essenciais de tecnologia da informação e aos sistemas críticos do processo eleitoral;
VII - elaboração de relatórios consolidados de riscos, vulnerabilidades, incidentes, maturidade e conformidade, com recomendações estratégicas;
VIII - integração com indicadores de incidentes envolvendo dados pessoais, em articulação com o Encarregado de Proteção de Dados e com o CGPD, resguardada a confidencialidade das informações sensíveis.
Parágrafo único. O Plano Nacional de Acompanhamento em Cibersegurança poderá instituir mecanismos de reporte periódico, painéis de governança, grupos de trabalho temáticos e ações coordenadas de prevenção, resposta e recuperação, visando ao fortalecimento da resiliência cibernética da Justiça Eleitoral.
CAPÍTULO X
DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 17. A Estrutura de Gestão da Segurança da Informação compreende o conjunto de instâncias, papéis e responsabilidades instituídos para planejar, coordenar, executar e acompanhar as ações de segurança da informação no âmbito da Justiça Eleitoral, com vistas à proteção dos ativos informacionais, à mitigação de riscos e ao fortalecimento da governança institucional.
§ 1º A Estrutura de Gestão da Segurança da Informação é composta, no mínimo, pelos seguintes elementos:
I - Comissão de Segurança da Informação (CSI), órgão colegiado de caráter deliberativo e consultivo, subordinado à Presidência do Tribunal, responsável por propor, revisar e monitorar a implementação da Política de Segurança da Informação, bem como por disseminar a cultura de segurança e promover a integração entre as unidades envolvidas;
II - Unidade de Segurança da Informação, unidade que atua de forma estratégica, vinculada à alta administração, responsável por planejar, coordenar, monitorar e governar as ações relacionadas à proteção das informações, incluindo políticas, controles, riscos, incidentes, conscientização e conformidade, de forma independente da execução técnica da área de tecnologia da informação;
III - Gestor de Segurança da Informação, titular da unidade de segurança da informação, incumbido de coordenar a execução das ações estratégicas, propor normas e procedimentos, acompanhar indicadores de conformidade e representar o tribunal em matérias de segurança da informação;
IV - Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), responsável por receber, analisar, classificar, tratar e responder a incidentes de segurança, além de manter registros históricos e promover o intercâmbio de informações com equipes congêneres e órgãos de controle;
V - Secretaria de Tecnologia da Informação, encarregada de prover os meios técnicos e operacionais necessários à implementação e à sustentação das ações de segurança da informação, em conformidade com as diretrizes definidas pela Comissão de Segurança da Informação.
§ 2º A Estrutura de Gestão da Segurança da Informação atuará de forma integrada com as unidades de auditoria interna, a corregedoria e o Encarregado de Proteção de Dados Pessoais, bem como com as comissões estratégicas de governança, visando ao alinhamento institucional, à eficiência dos controles e à conformidade com a Política Geral de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral.
§ 3º Os integrantes da CSI e das equipes referidas neste artigo deverão assinar termo de sigilo e observar os princípios da confidencialidade, da integridade, da disponibilidade, da autenticidade e da rastreabilidade das informações tratadas.
Art. 18. A Comissão de Segurança da Informação de que trata o inciso I do § 1º do art. 17 deverá ser constituída no âmbito dos tribunais eleitorais e subordinada à presidência do respectivo tribunal, sendo composta por, no mínimo, representantes da Presidência, da Corregedoria, da Diretoria-Geral, da Secretaria de Tecnologia da Informação e Eleitoral, da unidade responsável pela gestão da informação e documental, da Assessoria de Comunicação Social, ou da unidade que desempenhe essa atividade, do Comitê Geral de Proteção de Dados, por membro da Comissão de Gestão de Riscos, das Unidades de Segurança e Inteligência e da Unidade de Segurança da Informação.
§ 1º Os representantes indicados pelas unidades citadas no caput devem ser preferencialmente servidores da Justiça Eleitoral ou servidores públicos cedidos à Justiça Eleitoral.
§ 2º Os integrantes da Comissão de Segurança da Informação deverão assinar Termo de Sigilo em que se comprometam a não divulgar as informações de que venham a ter ciência em razão de sua participação na citada comissão para terceiros estranhos aos processos e aos procedimentos relativos à segurança da informação.
Art. 19. Caberá especificamente à Comissão de Segurança da Informação do Tribunal Superior Eleitoral:
I - apresentar à alta administração do TSE proposta de revisão da PSI, no máximo a cada quatro anos, em ano não eleitoral, de modo a atualizá-la, em razão de novos requisitos corporativos de segurança, ou a qualquer tempo, caso seja constatado incidente de segurança grave ou haja mudança disruptiva de tecnologias no âmbito da segurança cibernética;
II - avaliar e referendar proposições encaminhadas pelas Comissões de Segurança da Informação dos tribunais regionais eleitorais para melhoria desta PSI;
III - propor modelos de normas, procedimentos, planos e processos, visando auxiliar a operacionalização desta política no âmbito dos tribunais eleitorais;
IV - promover, em âmbito nacional, a divulgação desta PSI e de ações para disseminar a cultura em segurança da informação.
Art. 20. Compete à Comissão de Segurança da Informação de cada tribunal regional eleitoral:
I - propor à Comissão de Segurança da Informação do TSE melhorias a esta PSI;
II - propor e submeter para aprovação normas, procedimentos, planos ou processos, nos termos do art. 9º, visando à operacionalização desta PSI;
III - promover a divulgação desta PSI, de outros normativos e de ações para disseminar a cultura em segurança da informação;
IV - propor estratégias para a implantação desta PSI;
V - propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;
VI - propor recursos necessários à implementação das ações de segurança da informação;
VII - propor a realização de análise de riscos e o mapeamento de vulnerabilidades nos ativos;
VIII - propor a abertura de sindicância para investigar e avaliar danos decorrentes de quebra de segurança da informação;
IX - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), conforme a norma vigente;
X - propor a constituição de grupos de trabalho para tratar de temas sobre segurança da informação;
XI - escalonar à CSI do TSE situações com risco de impacto nacional, risco remanescente crítico/alto, descumprimento reiterado de metas ou incidentes de segurança relevantes, propondo medidas mitigatórias e suporte necessário.
Art. 21. A unidade de segurança da informação de que trata o inciso II do § 1º do art. 17 deverá ser instituída pelos tribunais eleitorais, subordinada diretamente à alta administração do órgão e desvinculada da área de TIC.
§ 1º O titular da estrutura prevista no caput deste artigo será o gestor de segurança da informação do tribunal.
§ 2º A estrutura prevista no caput deste artigo terá as seguintes atribuições:
I - propor a elaboração de diretrizes, normas e procedimentos inerentes à segurança da informação, bem como analisar periodicamente sua efetividade;
II - propor iniciativas para aumentar o nível da segurança da informação;
III - propor o uso de novas tecnologias na área de segurança da informação;
IV - implantar, em conjunto com as demais áreas pertinentes aos temas tratados, normas, procedimentos, planos ou processos elaborados pela Comissão de Segurança da Informação;
V - acompanhar e analisar os processos relacionados ao sistema de segurança da informação;
VI - acompanhar os indicadores de aderência à PSI e à Estratégia Nacional de Cibersegurança;
VII - propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;
VIII - disseminar a cultura em segurança da informação, em conjunto com as demais unidades do tribunal;
IX - assessorar a alta administração do tribunal nos temas relacionados à segurança da informação;
X - representar o tribunal eleitoral nos contatos com entidades externas necessários ao tratamento de incidentes de segurança da informação, à exceção dos casos atribuídos à ETIR;
XI - propor a pauta das reuniões ordinárias da CSI, que devem acontecer obrigatoriamente 1 (uma) vez por trimestre, a título de monitoramento da evolução das ações de segurança, ou a qualquer tempo em caso de necessidade eventual;
XII - fornecer subsídios para inclusão, no Planejamento Estratégico Institucional de todos os tribunais eleitorais, dos temas Segurança Cibernética, Segurança da Informação e Segurança do Processo Eletrônico;
XIII - apoiar a implementação do Plano de Continuidade de Negócios, nos aspectos de segurança da informação;
XIV - avaliar e acompanhar a Gestão de Riscos de Segurança da Informação;
XV - propor mecanismos, controles e ações de melhoria relacionados à proteção de dados pessoais, em alinhamento à LGPD, à Política Geral de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral e às boas práticas de segurança da informação;
XVI - apoiar a implementação e manutenção de RDC-Arq, para cumprimento da Política de Preservação Digital da Justiça Eleitoral.
Art. 22. A Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR) de que trata o inciso IV do § 1º do art. 17 deverá ser instituída conforme modelo proposto pela CSI e aprovado pelo Diretor-Geral da Secretaria do Tribunal, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, bem como manter registros para formação de séries históricas, como subsídio estatístico, e para fins de auditoria.
§ 1º Caberá à ETIR elaborar o Processo de Tratamento e Resposta a Incidentes Cibernéticos no âmbito do Tribunal Eleitoral.
§ 2º Caso a ETIR não esteja constituída, as atribuições definidas neste artigo caberão à Secretaria de Tecnologia da Informação.
Art. 23. A comunicação de incidentes por parte da ETIR ocorrerá nas seguintes hipóteses:
I - a ocorrência de incidentes cibernéticos ou relacionados à proteção de dados pessoais, classificados como críticos ou elevados, deverá ser imediatamente comunicada ao Encarregado de Dados do respectivo tribunal e à ETIR do TSE;
II - a ocorrência de incidentes cibernéticos, de qualquer nível de severidade, que envolvam outros tribunais eleitorais deverá ser comunicada às ETIRs dos tribunais envolvidos;
III - a ocorrência de incidentes cibernéticos poderá ser comunicada a Centros de Tratamento de Incidentes externos à Justiça Eleitoral sempre que a cooperação for necessária para prover melhor resposta ao incidente.
CAPÍTULO XI
DO PROCESSO DE TRATAMENTO DA INFORMAÇÃO
Art. 24. Os tribunais deverão instituir normativo específico que discipline o ciclo de vida da informação e dos documentos sob sua responsabilidade, estabelecendo princípios, diretrizes e controles de segurança da informação aplicáveis às fases de criação, recepção, classificação, uso, armazenamento, transmissão, compartilhamento, retenção, preservação, eliminação e destinação final dos documentos, em observância ao Programa de Gestão Documental da Justiça Eleitoral (PGD-JE).
§ 1º Os processos e controles previstos deverão contemplar requisitos de confidencialidade, integridade, disponibilidade, autenticidade, preservação da cadeia de custódia, rastreabilidade, minimização, retenção adequada e descarte seguro das informações, com base na criticidade e classificação dos ativos informacionais.
§ 2º Deverão ser previstos mecanismos de segregação de acessos, cadeia de custódia, proteção criptográfica, registro de operações e demais salvaguardas necessárias à prevenção de incidentes e à mitigação de riscos ao processo eleitoral.
§ 3º A falta de proteção criptográfica ou de aderência aos controles de segurança previstos poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pela Comissão de Segurança da Informação, ou quando prevista em normativo específico.
CAPÍTULO XII
DAS COMPETÊNCIAS DAS UNIDADES
Art. 25. Compete à Presidência:
I - patrocinar a aplicação das ações estabelecidas nesta PSI;
II - aprovar normas, procedimentos, planos ou processos que lhe forem submetidos;
III - nomear os membros da Comissão de Segurança da Informação, nos termos do art. 18;
IV - nomear ou delegar ao(à) Diretor(a)-Geral da Secretaria a nomeação dos integrantes da ETIR, indicados pelo(a) Secretário(a) de Tecnologia da Informação.
Art. 26. Compete ao(à) Diretor(a)-Geral da Secretaria do Tribunal:
I - aprovar normas, procedimentos, planos ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;
II - submeter à Presidência as propostas que extrapolem sua alçada decisória;
III - apoiar a aplicação das ações estabelecidas nesta PSI;
IV - viabilizar financeiramente as ações de implantação desta PSI, inclusive a exequibilidade do Plano de Continuidade de Serviços Essenciais de TI, abrangendo manutenção, treinamento e testes periódicos.
Art. 27. Compete à Secretaria de Tecnologia da Informação:
I - apoiar a implementação desta PSI;
II - prover os ativos de processamento necessários ao cumprimento desta PSI;
III - prover os meios para que os níveis de acesso lógico concedidos aos usuários, de acordo com os direitos de acesso definidos pelos gestores dos sistemas de informação, estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;
IV - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;
V - executar as orientações e os procedimentos estabelecidos pela Comissão de Segurança da Informação;
VI - aprovar procedimentos, planos ou processos necessários para a operacionalização das determinações previstas nesta PSI e demais normativos relacionados à segurança da informação;
VII - indicar os integrantes da ETIR.
Art. 28. As demais unidades organizacionais de cada tribunal deverão apoiar, observadas suas atribuições regimentais, as estruturas organizacionais responsáveis pela Gestão da Segurança da Informação, conforme definições constantes no Capítulo X.
CAPÍTULO XIII
DAS DISPOSIÇÕES TRANSITÓRIAS E FINAIS
Art. 29. Os casos omissos serão resolvidos pelas Comissões de Segurança da Informação dos tribunais eleitorais, ouvida a Comissão de Segurança da Informação do TSE.
Art. 30. Os tribunais eleitorais terão até o dia 31 de dezembro de 2027 para se adaptar a esta PSI.
Art. 31. Esta PSI e demais normas deverão ser publicadas na intranet de cada tribunal, caso não afetem a segurança de suas operações.
Parágrafo único. As diretrizes normativas de que trata o caput deste artigo também devem ser divulgadas a todos os citados no art. 7º no momento da sua posse/admissão, além de outras pessoas que se encontrem a serviço ou em visita às unidades da Justiça Eleitoral, autorizadas a utilizar temporariamente os recursos de tecnologia da informação e comunicação da instituição.
Art. 32. O descumprimento desta PSI será objeto de apuração pela unidade competente do tribunal, mediante sindicância ou processo administrativo disciplinar, e pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 33. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo tribunal deverão observar, no que couber, o constante desta PSI, devendo constar o Termo de Ciência da PSI nos contratos em que haja acesso a recursos ou serviços de tecnologia da informação e comunicação.
Parágrafo único. Os profissionais que prestem ou venham a prestar serviços à Justiça Eleitoral por meio dos instrumentos citados no caput, especialmente quando houver acesso a informações, sistemas ou infraestrutura sensíveis, poderão ser submetidos à verificação de antecedentes criminais, funcionais, eleitorais e administrativos nos limites da legislação aplicável, com a finalidade de mitigação de riscos de segurança da informação.
Art. 34. Deverá ser incluído no escopo do Plano Anual de Auditoria o correto cumprimento desta PSI, de seus regulamentos e demais normativos de segurança vigentes, conforme planejamento estabelecido pela Unidade de Auditoria Interna, abrangendo uma ou mais normas, procedimentos, planos ou processos estabelecidos.
Art. 35. Esta PSI e a Política Geral de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral são complementares, devendo ser interpretadas em conjunto, garantindo coerência entre controles de segurança da informação e requisitos de privacidade.
Art. 36. Fica revogada a Resolução n. 23.644/TSE, de 1º de julho de 2021.
Art. 37. Esta Resolução entra em vigor na data de sua publicação.
Brasília, 9 de junho de 2026.
MINISTRO NUNES MARQUES - RELATOR
Este texto não substitui o publicado no DJE-TSE, nº 96, de 15.6.2026, p. 118-129
ENG
ESP