Urbs deve aprimorar segurança do Sistema de Bilhetagem Eletrônica de Curitiba
Municipal
A companhia Urbanização de Curitiba S.A. (Urbs) deve adotar, nos prazos de seis meses e de um ano, as recomendações em relação aos controles da integridade e segurança das informações do seu Sistema de Bilhetagem Eletrônica (SBE) que foram homologadas pelos conselheiros do Tribunal de Contas do Estado do Paraná (TCE-PR). Detalhadas abaixo, elas foram apontadas em Relatório de Fiscalização elaborado pela Coordenadoria de Auditorias (CAUD) do TCE-PR.
A CAUD realizou, entre janeiro e dezembro de 2022, fiscalização na área "gestão da mobilidade urbana no âmbito municipal e gestão financeira do transporte público coletivo", que fez parte do Plano Anual de Fiscalização (PAF) do TCE-PR para o exercício de 2022.
A unidade de fiscalização avaliou a adequação da gestão financeira do subsídio direcionado à rede integrada de transporte de Curitiba no decorrer do regime emergencial (leis municipais nº 15.627/20 e nº 15.881/21); e do aporte de recursos financeiros em favor dos concessionários para pagamento das prestações relativas ao financiamento para a renovação da frota em conformidade com as disposições do artigo 9º da Lei Municipal nº 15.881/21.
O relatório da CAUD apontou que os controles da integridade e segurança das informações do SBE eram insuficientes para garantir a confiabilidade dos dados armazenados
Recomendações
O Tribunal recomendou que a Urbs, em 12 meses, edite políticas de segurança da informação de acordo com as boas práticas de mercado, a exemplo daquelas descritas nas normas ABNT ISO 27001:2013, entre outras relacionadas ao tema. As políticas devem contemplar, entre outros temas pertinentes, questões relacionadas às operações realizadas sobre bancos de dados em ambientes de produção, pela Urbs ou por suas contratadas; e devem ser aprovadas, publicadas e comunicadas a todos os atores envolvidos com o sistema de bilhetagem eletrônica, como funcionários, assessores, terceiros e empresas contratadas.
Os conselheiros também recomendaram que, em seis meses, a companhia defina diretrizes para a gestão de controles de acesso ao SBE e rastreabilidade de alterações - quem pode ter acesso, registros de alterações nas bases de dados do SBE, com registro da necessidade, do solicitante, de quem efetivou a alteração e do histórico do dado alterado. Essas diretrizes devem ser comunicadas a todas as partes envolvidas na gestão do banco de dados do SBE.
O TCE-PR recomendou, ainda, que, em seis meses, a Urbs apresente plano para implantação de mecanismos de controle no SBE de atividades maliciosas sobre o cartão de transporte, a exemplo daquelas sugeridas pela CAUD, porém, não necessariamente restringindo-se a elas.
Finalmente, a companhia recebeu a recomendação de, em seis meses, apresentar plano para implantação de automação de atividades atualmente realizadas de forma manual sobre os dados do SBE.
Decisão
Em seu voto, o relator do processo, conselheiro Fernando Guimarães, atual presidente do TCE-PR, manifestou-se pela homologação de todas as recomendações feitas pela unidade de fiscalização.
Guimarães afirmou que, em razão do conteúdo do relatório apresentado pela CAUD, é possível constatar que remanescem problemas nos controles da integridade e segurança das informações do SBE da Urbs, pois eles são insuficientes para garantir a confiabilidade dos dados armazenados. Assim, ele considerou que as deficiências constatadas são merecedoras de recomendações por parte do TCE-PR, para que a entidade possa corrigi-las.
Na sessão de plenário virtual nº 2/23 do Tribunal Pleno do TCE-PR, concluída em 16 de fevereiro, os demais membros do órgão colegiado acompanharam, de forma unânime, o voto do relator. A decisão, contra a qual cabe recurso, está expressa no Acórdão nº 199/23 - Tribunal Pleno, disponibilizado em 3 de março, na edição nº 2.932 do Diário Eletrônico do TCE-PR (DETC).
Homologação de Recomendações
A partir da vigência da Resolução nº 73/19 do TCE-PR, todos os procedimentos resultantes de trabalhos fiscalizatórios realizados pelo Tribunal têm como ponto de partida a elaboração, pela unidade técnica responsável, de um Relatório de Fiscalização. Caso o relatório apresente apenas sugestões de medidas para sanar impropriedades encontradas na gestão da entidade pública em questão, é instaurado processo de Homologação de Recomendações.
A novidade tem como objetivo dar maior rapidez à implementação dessas iniciativas, indicadas apenas nos casos em que não são encontradas irregularidades de maior gravidade, que demandem a emissão de determinações ou a aplicação de sanções - situações ainda contempladas pelos processos de Tomada de Contas Extraordinária.
Serviço
Processo nº:
|
656062/21
|
Acórdão nº:
|
199/23 - Tribunal Pleno
|
Assunto:
|
Homologação de Recomendações
|
Entidade:
|
Urbanização de Curitiba S.A.
|
Relator:
|
Conselheiro Fernando Augusto Mello Guimarães
|
Autor: Diretoria de Comunicação Social
Fonte: TCE/PR