Legislação

- Sem prejuízo da exigência de características adicionais no âmbito de cada ente federativo e do que dispuser o órgão central de contabilidade da União, são requisitos tecnológicos do padrão mínimo de qualidade do Siafic:

I - permitir o armazenamento, a integração, a importação e a exportação de dados, observados o formato, a periodicidade e o sistema estabelecidos pelo órgão central de contabilidade da União, nos termos do disposto no § 2º do art. 48 da Lei Complementar 101/2000; [[Lei Complementar 101/2000, art. 48.]]

II - ter mecanismos que garantam a integridade, a confiabilidade, a auditabilidade e a disponibilidade da informação registrada e exportada; e

III - conter, no documento contábil que gerou o registro, a identificação do sistema e do seu desenvolvedor.

- O Siafic atenderá, preferencialmente, à arquitetura dos Padrões de Interoperabilidade de Governo Eletrônico - ePING, que define o conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da tecnologia de informação e comunicação no Governo federal, e estabelece as condições de interação entre os Poderes e esferas de Governo e com a sociedade em geral.

- O Siafic deverá ter mecanismos de controle de acesso de usuários baseados, no mínimo, na segregação das funções de execução orçamentária e financeira, de controle e de consulta, e não será permitido que uma unidade gestora ou executora tenha acesso aos dados de outra, com exceção de determinados níveis de acesso específicos definidos nas políticas de acesso dos usuários.

§ 1º - O acesso ao Siafic para registro e consulta dos documentos apenas será permitido após o cadastramento e a habilitação de cada usuário, por meio do número de inscrição no CPF ou por certificado digital, com a geração de código de identificação próprio e intransferível, vedada a criação de usuários genéricos sem a identificação por CPF.

§ 2º - São requisitos para o cadastramento de usuário no Siafic:

I - autorização expressa da chefia imediata ou de servidor hierarquicamente superior; e

II - assinatura do termo de responsabilidade pelo uso adequado do Siafic.

§ 3º - O Siafic adotará um dos seguintes mecanismos de autenticação de usuários:

I - código CPF e senha; ou

II - certificado digital com código CPF.

§ 4º - Na hipótese de utilização do mecanismo de que trata inciso I do § 3º, o Siafic deverá manter controle das senhas e da concessão e da revogação de acesso.

§ 5º - Os documentos referentes ao cadastramento e à habilitação de cada usuário deverão ser mantidos em boa guarda e conservação em arquivo eletrônico centralizado, que permita a consulta por órgãos de controle interno e externo e por outros usuários.

- O registro das operações de inclusão, exclusão ou alteração de dados efetuadas pelos usuários será mantido no Siafic e conterá, no mínimo:

I - o código CPF do usuário;

II - a operação realizada; e

III - a data e a hora da operação.

Parágrafo único - Para fins de controle, a consulta aos registros das operações a que se refere o caput estará disponível com acesso restrito a usuários autorizados.

- Na hipótese de ser disponibilizada a realização de operações de inclusão, de exclusão ou de alteração de dados no Siafic por meio da internet, deverá ser garantida autenticidade através de conexão segura.

- A base de dados do Siafic deverá ter mecanismos de proteção contra acesso direto não autorizado.

§ 1º - O acesso direto à base de dados será restrito aos administradores responsáveis pela manutenção do Siafic, identificados pelos respectivos números de inscrição no CPF no próprio sistema ou em cadastro eletrônico mantido em boa guarda e conservação e será condicionado à assinatura de termo de responsabilidade armazenado eletronicamente.

§ 2º - Na hipótese de acesso de que trata o § 1º, fica vedada a manipulação da base de dados e o Siafic registrará cada operação realizada em histórico gerado pelo banco de dados (logs).

§ 3º - Fica vedado aos administradores de que trata o § 1º, que ficarão sujeitos à responsabilização individual, na forma da lei:

I - divulgar informações armazenadas na base de dados do Siafic com finalidade diversa do cumprimento dos requisitos previstos neste Decreto; e

II - alterar dados, exceto para sanar incorreções decorrentes de erros ou de mal funcionamento do sistema, mediante expressa autorização do órgão responsável pelo gerenciamento do Siafic.

- Deverá ser realizada cópia de segurança da base de dados do Siafic que permita a sua recuperação em caso de incidente ou de falha, preferencialmente com periodicidade diária, sem prejuízo de outros procedimentos de segurança da informação.