A companhia Urbanização de Curitiba S.A. (Urbs) deve adotar, nos prazos de seis meses e de um ano, as recomendações em relação aos controles da integridade e segurança das informações do seu Sistema de Bilhetagem Eletrônica (SBE) que foram homologadas pelos conselheiros do Tribunal de Contas do Estado do Paraná (TCE-PR). As recomendações foram apontadas em Relatório de Fiscalização elaborado pela Coordenadoria de Auditorias (CAUD) do tribunal.
A CAUD realizou, entre janeiro e dezembro de 2022, fiscalização na área “gestão da mobilidade urbana no âmbito municipal e gestão financeira do transporte público coletivo”, que fez parte do Plano Anual de Fiscalização (PAF) do TCE-PR para o exercício de 2022.
A unidade de fiscalização avaliou a adequação da gestão financeira do subsídio direcionado à rede integrada de transporte de Curitiba no decorrer do regime emergencial (leis municipais nº 15.627/20 e nº 15.881/21); e do aporte de recursos financeiros em favor dos concessionários para pagamento das prestações relativas ao financiamento para a renovação da frota em conformidade com as disposições do artigo 9º da Lei Municipal nº 15.881/21.
O relatório da CAUD apontou que os controles da integridade e segurança das informações do SBE eram insuficientes para garantir a confiabilidade dos dados armazenados
Recomendações
O Tribunal recomendou que a Urbs, em 12 meses, edite políticas de segurança da informação de acordo com as boas práticas de mercado, a exemplo daquelas descritas nas normas ABNT ISO 27001:2013, entre outras relacionadas ao tema. As políticas devem contemplar, entre outros temas pertinentes, questões relacionadas às operações realizadas sobre bancos de dados em ambientes de produção, pela Urbs ou por suas contratadas; e devem ser aprovadas, publicadas e comunicadas a todos os atores envolvidos com o sistema de bilhetagem eletrônica, como funcionários, assessores, terceiros e empresas contratadas.
Os conselheiros também recomendaram que, em seis meses, a companhia defina diretrizes para a gestão de controles de acesso ao SBE e rastreabilidade de alterações – quem pode ter acesso, registros de alterações nas bases de dados do SBE, com registro da necessidade, do solicitante, de quem efetivou a alteração e do histórico do dado alterado. Essas diretrizes devem ser comunicadas a todas as partes envolvidas na gestão do banco de dados do SBE.
O TCE-PR recomendou, ainda, que, em seis meses, a Urbs apresente plano para implantação de mecanismos de controle no SBE de atividades maliciosas sobre o cartão de transporte, a exemplo daquelas sugeridas pela CAUD, porém, não necessariamente restringindo-se a elas.
Finalmente, a companhia recebeu a recomendação de, em seis meses, apresentar plano para implantação de automação de atividades atualmente realizadas de forma manual sobre os dados do SBE.
Decisão
Em seu voto, o relator do processo, conselheiro Fernando Guimarães, atual presidente do TCE-PR, manifestou-se pela homologação de todas as recomendações feitas pela unidade de fiscalização.
Guimarães afirmou que, em razão do conteúdo do relatório apresentado pela CAUD, é possível constatar que remanescem problemas nos controles da integridade e segurança das informações do SBE da Urbs, pois eles são insuficientes para garantir a confiabilidade dos dados armazenados. Assim, ele considerou que as deficiências constatadas são merecedoras de recomendações por parte do TCE-PR, para que a entidade possa corrigi-las.
Na sessão de plenário virtual nº 2/23 do Tribunal Pleno do TCE-PR, concluída em 16 de fevereiro, os demais membros do órgão colegiado acompanharam, de forma unânime, o voto do relator. A decisão, contra a qual cabe recurso, está expressa no Acórdão nº 199/23 – Tribunal Pleno, disponibilizado em 3 de março, na edição nº 2.932 do Diário Eletrônico do TCE-PR (DETC). Do TCE-PR.