Mudanças no acesso ao Siafi
Mudanças na forma de acesso ao Siafi a partir de julho/2024
Continuando o trabalho de melhorias na segurança do sistema SIAFI, a Secretaria do Tesouro Nacional (STN) definiu um cronograma de implantação de alterações no processo de autenticação (login) no sistema, detalhado a seguir.
Tendo em vista as fragilidades identificadas no acesso a sistemas por meio de CPF e senha simples, serão adotadas evoluções gradativas no sistema para que todos os usuários utilizem mecanismos de acesso mais seguros. Nesse contexto, a autenticação por CPF e senha deixará de existir no SIAFI nos próximos meses.
As mudanças no curto prazo afetam apenas o acesso ao SIAFI Operacional (tela preta) e Siafi Web, mas oportunamente as soluções do Complexo SIAFI adotarão um novo padrão para autenticação e autorização.
O que muda:
Acesso ao SIAFI Web
A autenticação por CPF e senha deixará de existir no SIAFI nos próximos meses, sendo substituída gradativamente por outros mecanismos mais seguros conforme detalhado a seguir. Um desses mecanismos é o certificado digital.
O acesso por certificado digital está associado à verificação em duas etapas do GovBR (2FA GovBR). Caso precise ativar seu 2FA, acesse a orientação no site: Ativar a verificação em duas etapas do GovBR. Em caso de dúvidas, procure a central de atendimento do GovBR.
Acesso ao SIAFI Operacional
O acesso ao SIAFI Operacional, conhecido por sua tela preta, se dará por dentro do SIAFI Web. Ou seja, é preciso efetuar o login no SIAFI Web para acessar o SIAFI Operacional conforme explicado neste vídeo: https://youtu.be/pUNRNAnjnD0?si=mvvI0_TYKaLatGaj.
Acesso ao Tesouro Gerencial, SISGRU e STA
Os sistemas do Complexo SIAFI que atualmente utilizam o mesmo cadastro e senha de acesso do SIAFI também serão alterados para outras formas de autenticação, sendo retirada a possibilidade de login por CPF e senha. O SISGRU e STA deverão ser acessados com certificado digital. O Tesouro Gerencial poderá ser acessado com certificado digital ou com a PassKey (chave de acesso), explicada mais adiante.
CAC - Controle de Acesso Condicional por endereço IP
O CAC é uma funcionalidade que permite restringir, de forma opcional, o acesso dos usuários de determinada Unidade Gestora (UG) somente a partir de origens (IPs) previamente cadastradas. Com isso, o órgão pode garantir que os usuários da UG utilizem o SIAFI somente a partir de sua rede, de forma controlada, bloqueando o acesso por endereços IPs desconhecidos ou suspeitos e evitando acessos não autorizados. Para mais informações, clique aqui.
O acesso a UGs secundárias que aderiram ao CAC deverá ser expressamente autorizado pelo responsável pela UG. A autorização deve ser dada por meio de abertura de chamado no E-serviços (Universo Siafi / Controle de Acesso / Incluir/Alterar dados do órgão ou UG para o CAC-Controle de acesso condicional SIAFI) anexando um Ofício a STN conforme modelo disponível aqui.
Cronograma:
10/07/2024
A partir do dia 10/07/2024, os operadores, ou seja, usuários que possuem perfil de acesso que não seja exclusivamente de consulta, que possuem certificado digital emitido por autoridade certificadora de governo deverão utilizá-lo para acessar o SIAFI e não poderão mais acessar o sistema com CPF e senha, independentemente de sua UG ter aderido ao Controle de Acesso Condicional por IP (CAC).
O acesso por certificado digital está associado à verificação em duas etapas do GovBR (2FA GovBR). Caso precise ativar seu 2FA, acesse a orientação no site: Ativar a verificação em duas etapas do GovBR. Em caso de dúvidas, procure a central de atendimento do GovBR.
Para acessar o SIAFI Operacional utilizando o certificado digital, será necessário realizar o acesso a partir do SIAFI Web, conforme explicado neste vídeo.
Usuários que emitirem certificados digitais nas autoridades certificadoras de governo, a partir dessa data, terão seu acesso por senha igualmente bloqueado. Dessa forma, gradativamente o acesso por senha será restringido, até que todos os usuários possuam mecanismos mais seguros de autenticação.
Figura 1 - Fim do acesso ao SIAFI por CPF e senha para usuários que usam certificado digital emitido por autoridade certificadora de governo.
23/07/2024
A partir do dia 23/07/2024, os operadores, ou seja, usuários que possuem perfil de acesso que não seja exclusivamente de consulta, cuja Unidade Gestora (UG) não tenha adotado o Controle de Acesso Condicional por IP (CAC) só poderão acessar o SIAFI com certificado digital. Os operadores de UG’s que implantaram o CAC também precisarão usar certificados digitais, mas terão mais tempo para emiti-los, em caso de necessidade.
Figura 2 - Fim do acesso ao SIAFI por CPF e senha para usuários que possuem perfil de acesso que não seja exclusivamente de consulta e estão fora do acesso condicional por IP.
Os perfis de acesso exclusivamente de consulta atualmente configurados no SIAFI são:
Perfis de consulta |
AUDITOR, BT, CONEXEC, EXTRATOR, SRF, TCU, TESCONGER, TESCUSTO, TESPAGEF, COMUNICA, CONFOP |
18/11/2024
A partir do dia 18/11/2024, o SIAFI deixará de ter a opção de login por CPF e senha. Não será possível o acesso por CPF e senha para nenhum usuário a partir desta data. Desta forma, o acesso ao Siafi Operacional passará a ser efetuado exclusivamente a partir do Siafi Web.
Os operadores, ou seja, usuários que possuem perfil de acesso que não seja exclusivamente de consulta, só acessarão o SIAFI por meio de certificado digital emitido por autoridade certificadora de governo a partir de 18/11/2024, independentemente de a sua UG ter aderido ao Controle de Acesso Condicional por IP (CAC).
Já os usuários que possuem apenas perfis de consulta ao SIAFI deverão utilizar um novo mecanismo de autenticação, a PassKey (chave de acesso). Todas as informações relativas à habilitação e utilização do novo mecanismo de acesso serão comunicadas oportunamente. Portanto, usuários que usam o SIAFI apenas para realizar consultas não precisarão utilizar certificado digital para acessar o sistema.
Passkey
Passkey é uma nova forma de autenticação que está sendo adotada por diversas empresas para substituir as tradicionais senhas. Em vez de lembrar e digitar combinações complexas de letras, números e símbolos, as Passkeys utilizam chaves criptográficas únicas armazenadas em seus dispositivos (como smartphones, tablets e computadores) para verificar sua identidade. As passkeys representam um avanço significativo na segurança online, oferecendo uma alternativa mais segura e conveniente às senhas tradicionais. Ao eliminar a necessidade de lembrar e digitar senhas complexas, as passkeys ajudam a reduzir o risco de ataques cibernéticos e a tornar a experiência do usuário mais agradável.
O vídeo de orientação sobre o processo de criação das Passkeys está disponível nesse link.
Resumo das mudanças:
Fim do acesso por CPF/senha: em 10/07 para operadores do SIAFI que possuem certificado digital; em 23/07 para usuários de UGs que não aderiram ao Controle de Acesso Condicional por IP (CAC); e em 18/11 para usuários de UGs que aderiram ao CAC e para usuários com perfil exclusivamente de consulta:
Figura 3 - Fim do acesso por CPF e senha para usuários que já possuem outros controles de segurança.
Acesso aos sistemas SENHA e SENHA-REDE
Como o acesso ao ambiente do Operacional somente se dará a partir do Siafiweb, você deve primeiramente fazer o login pelo Siafiweb, para então acessar o Siafi Operacional e, uma vez no Siafi Operacional, usar o comando Sistema para acessar o sistema Senha. O acesso ao SENHA-REDE não terá alteração.
Apesar de não precisar usar a senha do SENHA-REDE, os usuários precisarão ainda ser cadastrados no SENHA-REDE para acessar o Siafi.
As respostas às principais dúvidas relacionadas a esse tema podem ser encontradas em https://www.gov.br/tesouronacional/pt-br/siafi/atendimento/perguntas-frequentes.
Acesso ao SIAFI pelo mecanismo de UG secundária
Para UGs que implantaram o Controle de Acesso Condicional por IP (CAC) e que são acessadas por usuários de outras UGs por UG secundária, será necessário formalizar a autorização para esse acesso. Para isso, deverá ser aberto chamado na ferramenta E-serviços, anexando um ofício informando expressamente quais UGs poderão acessar a UG que aderiu ao CAC.
Segue o modelo do ofício: ofício.
Histórico de melhorias de segurança
Em março de 2024, foi disponibilizada no sistema a opção de login pela conta Gov.br que possua os requisitos de conta ouro, utilizando certificado digital, MFA-Múltiplo fator de autenticação habilitado e por meio de certificados digitais emitidos exclusivamente por algumas Autoridades Certificadoras (AC) de governo.
Outro mecanismo de segurança adotado foi o Controle de Acesso Condicional (CAC) por endereço IP. Essa funcionalidade permite restringir, de forma opcional, o acesso dos usuários de determinada Unidade Gestora (UG) somente a partir de origens (IP’s) previamente cadastradas. Com isso, o órgão pode garantir que os usuários da UG utilizem o SIAFI somente a partir de sua rede, de forma controlada, bloqueando o acesso por endereços IP’s desconhecidos ou suspeitos e evitando acessos não autorizados. As orientações para os órgãos ou UG’s que desejem aderir estão no endereço: https://www.gov.br/tesouronacional/pt-br/siafi/acesso-condicional-siafi-por-ip.
Por fim, informamos que o acesso ao Siafi Operacional passará a ser efetuado exclusivamente a partir do Siafi Web. O vídeo disponível em https://www.gov.br/tesouronacional/pt-br/siafi/como-acessar/ambientes-e-instrucoes-de-acesso orienta como fazer esse acesso.