Informações sobre segurança
O SIAFI apresenta uma série de métodos e procedimentos para disciplinar o acesso e assegurar a manutenção da integridade dos dados e do próprio sistema. Esta proteção se dá tanto contra utilizações indevidas ou desautorizadas como eventuais danos que pudessem ser causados aos dados. Assegura-se portanto a confiabilidade dos dados no sistema, sua responsável utilização e a responsabilização dos gestores e usuários que delas dispõe. A segurança do Sistema tem por base os seguintes princípios e instrumentos:
Senha
Para utilizar o SIAFI, os usuários são habilitados formalmente por meio do cadastramento de uma senha SENHA, quando são especificados os perfis e níveis de acesso de cada usuário. Perfil é o conjunto de determinadas transações atribuídos a cada Operador, para atender às necessidades de execução e consulta ao Sistema. Enquanto o nível de acesso determina o grau de inclusão de dados e a abrangência das consultas feitas pelo usuário no sistema SIAFI. Cabe sempre lembrar que o usuário responde integralmente pelo uso do sistema sob a sua senha e obriga-se a cumprir os requisitos de segurança instituídos pela STN, sujeitando-se ás consequências das sanções penais ou administrativas cabíveis em decorrência do mau uso.
Estas Habilitações são regidas pelos seguintes instrumentos legais:
- Norma de Execução nº 01, de 13 de junho de 2001
- Instrução Normativa nº 03, de 23 de maio de 2001
- Instrução Normativa nº 06, de 31 de outubro de 2007
- Instrução Normativa nº 30, de 05.03.2021
Outra forma de acesso ao Siafi pode ser feita com a utilização de uma conta Gov.br que é uma diretriz da Política Nacional de Segurança de Infraestruturas Críticas e da Estratégia Nacional de Segurança de Infraestruturas Críticas do governo federal.
Para isso, é necessário que:
- a conta seja nível ouro com um MFA – múltiplo fator de autenticação ativado
- acessar utilizando um certificado digital de governo.
O uso de certificado digital e a exigência do MFA-Múltiplo fator de autenticação são requisitos adicionais de segurança que entende-se necessários para o tratamento de um sistema como o SIAFI, com operações que envolvem pagamentos do governo federal.
O Certificado Digital é um documento eletrônico que funciona como uma identidade virtual para pessoas físicas, jurídicas e de sistemas. Ele é utilizado para garantir a autenticidade, integridade e confidencialidade das informações trocadas em ambiente digital. É emitido por uma Autoridade Certificadora (AC), que é uma entidade responsável por verificar a identidade do solicitante do Certificado e garantir que ele é legítimo.
O Siafi está exigindo para os Gestores Financeiros e Ordenadores de Despesas que o login no sistema seja feito com uso de certificado Digital. Serão aceitos os certificados emitidos pela AC Ser pro, AC Defesa, AC PR - Presidência da República, AC RFB – Receita Federal e AC Jus - Justiça.
Para orientações de como ativar o MFA-Múltiplo fator de autenticação na sua conta Gov.br, veja aqui .
Controle de Acesso Condicional por IP
Para aderir a essa forma de acesso deve ser aberto um chamado na ferramenta E-serviços (https://e-servicos.tesouro.gov.br), categoria Universo Siafi, subcategoria Controle de acesso, chamado Incluir/Alterar dados do órgão ou UG para o CAC-Controle de acesso condicional SIAFI. No chamado deve ser anexado ofício seguindo esse modelo, endereçado a Abdsandryk Cunha de Souza, Coordenador Geral da COSIS-Coordenação de Sistemas e Tecnologia da Informação. O ofício deve ser assinado eletronicamente pelo responsável pela unidade.
Ao aderir, é importante comunicar efetivamente a mudança aos seus usuários, uma vez que o órgão poderá garantir esse acesso pela sua rede por diferentes caminhos (acesso presencial, VPN, ambientes virtualizados, etc.). Essa orientação é imprescindível para evitar que os usuários sejam surpreendidos e procurem os canais de atendimento do SIAFI para conhecer um procedimento que será específico do próprio órgão de origem.
Conformidade Contábil
A Conformidade Contábil é a conferência efetuada pelas Unidades Setoriais Contábeis de UG e de Órgão tendo como objetivo assegurar o fiel e tempestivo registro dos dados contábeis registrados pelas UG no SIAFI, relativos aos atos e fatos de sua gestão financeira, orçamentária e patrimonial, de acordo com a documentação.
Conformidade de Operadores
A Conformidade de Operadores ou Circularização de Senhas tem por objetivo automatizar a rotina periódica de confirmação ou desativação de usuário pela própria Unidade Gestora (UG), através de seu operador habilitado a proceder a confirmação. A não execução da Conformidade de Operadores no mês, implica na suspensão dos usuários da UG.
Conformidade de Registro de Gestão
A Conformidade dos Registros de Gestão consiste na certificação dos registros dos atos e fatos de execução orçamentária, financeira e patrimonial incluídos no Sistema Integrado de Administração Financeira do Governo Federal - SIAFI e da existência de documentos hábeis que comprovem as operações.
Identificação das Operações do Usuário
Quando o usuário entra no sistema, automaticamente são registrados o seu CPF, a hora e de qual terminal foi feito o acesso. Esta medida tem o objetivo de monitorar as ações danosas ou fraudulentas executadas utilizando-se o sistema. Da mesma forma, a inclusão ou modificação de dados no sistema também é registrada com a identificação do CPF, a hora e o nome do autor da operação.
Integridade e Fidedignidade dos Dados
Uma vez registrado um documento no sistema, não é permitida a sua alteração. A imutabilidade dos documentos permite que sejam acompanhados todas as modificações nos dados do sistema e para a correção ou anulação de um documento já registrado é necessário que seja incluído um novo documento de forma a retificar o anterior.
Inalterabilidade dos Documentos
Uma vez incluídos os dados de um documento no SIAFI e após sua contabilização, qualquer irregularidade for constatada nesses dados, somente será possível corrigi-la por meio da emissão de um novo documento que efetue o acerto do irregular.
Segurança da Identidade
Para acessar o sistema SIAFI, você precisa de uma identificação única (CPF ou certificado digital) e um método de autenticação. Isso garante que você é realmente quem diz ser.
Para entender melhor, assista ao vídeo abaixo:
Cada método de autenticação usa técnicas e tecnologias diferentes, e todos têm suas vulnerabilidades. Um atacante pode tentar explorar essas falhas para acessar o sistema como se fosse você.
No SIAFI, a autenticação com CPF e senha pode ser alvo de "phishing". Essa técnica engana o usuário com sites falsos que pedem seu CPF e senha. Criminosos usam mensagens de e-mails, SMS e WhatsApp com links falsos para tentar roubar suas informações.
Quer saber como identificar um phishing? Assista ao vídeo abaixo: