PORTARIA N° 00007/2026/SEFAZ
ESTADO DA PARAÍBA
SECRETARIA DE ESTADO DA RECEITA
PORTARIA N° 00007/2026/SEFAZ
PUBLICADA NO DO-e/SEFAZ DE 07.01.2026
REVOGA A PORTARIA Nº 00204/2019/SEFAZ
PUBLICADO NO DOe-SEFAZ EM 28.06.19
Dispõe sobre permissões de acesso a bancos de dados de âmbito corporativo e de natureza majoritariamente transacional, tendo em vista a Política de Segurança da Informação da SEFAZ-PB, e revoga a Portaria nº 00204/2019/SEFAZ, de 27 de junho de 2019.
João Pessoa, 6 de janeiro de 2026.
O SECRETÁRIO DE ESTADO DA FAZENDA, no uso das atribuições que lhe confere o art. 3º, inciso VIII, alíneas “a” e “d” da Lei nº 8.186, de 16 de março de 2007, e os incisos IV e XV do art. 80 do Regulamento Interno da Secretaria de Estado da Fazenda, aprovado pela Portaria nº 00206/2023/SEFAZ, de 29 de dezembro de 2023, e
Considerando a competência da Gerência de Tecnologia da Informação da Secretaria de Estado da Fazenda estipulada pelos incisos III, IV e VI do art. 26 do Regulamento Interno da Secretaria de Estado da Fazenda, aprovado pela Portaria nº 00206/2023/SEFAZ, de 29 de dezembro de 2023, concernente à gestão de ativos de tecnologia, das bases de dados e da segurança da informação;
Considerando a Política de Segurança da Informação da SEFAZ, instituída pela Portaria nº 0227/2014/GSER, de 13 de outubro de 2014;
Considerando o sigilo fiscal, prescrito nos incisos X e XII do art. 5º, bem como no § 1º do art. 145 da Constituição Federal, no art. 198 da Lei nº 5.172, de 25 de outubro de 1966, Código Tributário Nacional (CTN), no § 5º do art. 5º da Lei Complementar nº 105, de 10 de janeiro de 2001, e no inciso III do art. 11 da Lei nº 8.429, de 2 de junho de 1992;
Considerando os dispositivos normativos da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), mais especificamente, o inciso III do art. 5º, o inciso VII do art. 6º, o “caput” e o § 3º do art. 12, o inciso IV do art. 16, o inciso IV do art. 18, o § 1º do art. 26, o inciso I do § 1º do art. 42, o art. 44, e o § 1º do art. 46, bem como as orientações emanadas do seu órgão regulador, a Agência Nacional de Proteção de Dados (ANPD),
R E S O L V E:
Art. 1º As permissões de acesso a bancos de dados de âmbito corporativo e de natureza majoritariamente transacional devem obedecer às disposições contidas nesta Portaria.
Art. 2º Para os fins desta Portaria, considera-se:
I – Transacional (OLTP) é o banco de dados empregado pelas soluções de tecnologia da informação que priorizam as operações rápidas, em tempo real, com foco na localização ou na manutenção de dados atualizados;
II – Analítico (OLAP) é o banco de dados empregado pelas soluções de tecnologia da informação que priorizam tratamento de grandes volumes de dados, análises complexas, dimensionais, ciência de dados, aprendizado de máquina, compreensão ou predição de tendências que apoiam a tomada de decisões;
III – Banco de dados de produção é o banco de dados usado por uma solução corporativa de tecnologia da informação para persistência das informações em tempo real;
IV – Espelho de produção é o banco de dados que contém uma cópia idêntica dos dados e da estrutura do banco de dados de produção, eventualmente, com alguma defasagem temporal;
V – Banco de dados de homologação é o banco cujos dados encontram-se anonimizados, com volumetria semelhante à do banco de produção, e que é usado pelos demandantes e pelas equipes de desenvolvimento para testar funcionalidades de soluções corporativas;
VI – Banco de desenvolvimento é o banco cujos dados encontram-se anonimizados, com volumetria muito inferior à do banco de homologação, e que é utilizado pelas equipes de desenvolvimento para implementar funcionalidades de soluções corporativas; e,
VII – Anonimizado é o dado submetido a processo de transformação que visa impedir ou dificultar a compreensão de quem o acessa quanto à identificação de a quem se refere, reduzindo o risco de reidentificação a um nível considerado aceitável.
Art. 3º O acesso aos bancos de dados de produção é vedado a todos, exceto aos usuários que se enquadrem nas categorias explicitamente discriminadas nos incisos deste artigo:
I – Administradores de Bancos de Dados (DBAs) da própria SEFAZ, da CODATA, ou de empresa prestadora de serviço contratada por meio de licitação própria, com dedicação exclusiva, alocados numa das subgerências da GTI que respondem pela administração dos bancos de dados;
II – Administradores de Dados (ADs) da própria SEFAZ, da CODATA, ou de uma empresa prestadora de serviço contratada por meio de licitação própria, com dedicação exclusiva, alocados numa das subgerências da GTI que respondem pela governança de dados;
III – Subgerentes da GTI que respondem pela administração de bancos de dados ou pela governança dos dados;
IV – Usuários representativos dos sistemas corporativos, desenvolvidos em consonância com os padrões institucionais de arquitetura de software e certificados pela subgerência de arquitetura da GTI; e,
V – Usuários representativos dos aplicativos de backup, restore, replicação em instância redundante, administração, extração periódica controlada ou monitoramento contínuo.
Art. 4º O acesso aos bancos de dados de espelho de produção é facultado aos usuários que se enquadrem nas categorias discriminadas no artigo anterior, bem como a:
I – Cientistas de Dados (DSs) da própria SEFAZ, da CODATA, ou de empresa prestadora de serviço contratada por meio de licitação própria, com dedicação exclusiva, alocados em gerência executiva da SEFAZ, gerência de planejamento da SEFAZ, assessoria técnica de inteligência fiscal, gerência operacional de planejamento da GEFTE ou subgerência da GTI; e,
II – Auditores fiscais tributários da SEFAZ em função comissionada em gerência executiva da SEFAZ, gerência de planejamento da SEFAZ, assessoria técnica de inteligência fiscal ou gerência operacional de planejamento da GEFTE.
§ 1º A solicitação de concessão de permissão de acesso a banco de espelho de produção para determinado usuário deve ser encaminhada ao e-mail da subgerência de operações da GTI, Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo., com cópia para o Gerente da GTI e o Corregedor Fiscal da SEFAZ.
§ 2º A solicitação citada no parágrafo anterior é de competência exclusiva do titular de gerência executiva da SEFAZ, gerência de planejamento da SEFAZ, assessoria técnica de inteligência fiscal, gerência operacional de planejamento da GEFTE ou subgerência da GTI, devendo ser denegada de imediato pela subgerência de operações da GTI caso não seja proveniente de um dos setores citados anteriormente.
§ 3º A solicitação de concessão de permissão de acesso deve especificar:
I – Banco de dados de espelho de produção;
II – Usuário;
III – Sistema ou pessoa a que o usuário se refere;
IV – Departamento de alocação do profissional (quando se referir a pessoa);
V – Tipo de permissão de acesso (leitura, escrita, administração de estrutura);
VI – Finalidade do acesso; e,
VII – Prazo para revogação do acesso (quando a pretensão for temporária).
§ 4º Caso o usuário seja exonerado da função comissionada ou deixe o departamento de onde partiu a solicitação de concessão de permissão de acesso, compete ao seu superior hierárquico imediato comunicar a ocorrência à subgerência de operações da GTI, diante do que ela irá providenciar a pronta revogação da permissão de acesso.
§ 5º O usuário cuja ação provocar indisponibilidade ou lentidão em banco de espelho de produção se sujeita à sanção de suspensão temporária de acesso ou, quando reincidente, revogação de acesso.
Art. 5º O acesso aos bancos de dados de homologação e de desenvolvimento é facultado aos usuários que se enquadrem nas condições discriminadas nos dois artigos anteriores, bem como a:
I - Desenvolvedores (DEVs) da própria SEFAZ, da CODATA, de instituição de ensino com quem a SEFAZ mantém convênio ou termo de execução descentralizada, ou de empresa prestadora de serviço contratada por meio de licitação própria; e,
II - Servidores da SEFAZ ou da CODATA alocados em departamento interno da SEFAZ.
§ 1º A solicitação de concessão de permissão de acesso a banco de desenvolvimento ou banco de homologação para um determinado usuário deve ser encaminhada ao e-mail da subgerência de operações da GTI, Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo..
§ 2º A solicitação citada no parágrafo anterior é de competência do superior hierárquico imediato do usuário.
§ 3º A solicitação de concessão de permissão de acesso deve especificar:
I – Banco de dados de homologação ou de desenvolvimento;
II – Usuário;
III – Sistema ou pessoa a que o usuário se refere;
IV – Departamento de alocação do profissional (quando se referir a pessoa);
V – Tipo de permissão de acesso (leitura, escrita, administração de estrutura);
VI – Finalidade do acesso; e,
VII – Prazo para revogação do acesso (quando a pretensão for temporária).
§ 4º Caso o usuário deixe o departamento, empresa prestadora de serviço ou instituição de ensino de onde partiu a solicitação de concessão de permissão de acesso, compete ao seu superior hierárquico imediato comunicar a ocorrência à subgerência de operações da GTI, diante do que ela irá providenciar a pronta revogação da permissão de acesso.
Art. 6º As permissões de acesso que contrariarem as disposições desta Portaria devem ser revogadas pela subgerência de operações da GTI em até 10 (dez) dias úteis a contar da data de início de sua vigência.
Art. 7º As permissões de acesso aos bancos de dados de produção e aos bancos espelhos de produção devem ser consolidadas pela subgerência de operações da GTI num único documento de controle, o qual deve ser protocolado e tramitado ao Gerente da GTI e ao Corregedor Fiscal da SEFAZ em até 10 (dez) dias úteis a contar da data de início da vigência desta Portaria.
§ 1º O documento de controle citado no “caput” deste artigo deve identificar, pelo menos:
I – Banco de dados;
II – Tipo de banco de dados (produção ou espelho de produção);
III – Finalidade do banco de dados;
IV – Usuário;
V – Sistema ou pessoa a que o usuário se refere;
VI – Departamento de alocação do profissional (quando se referir a pessoa);
VII – Tipo de permissão de acesso (leitura, escrita, administração de estrutura);
VIII – Finalidade do acesso;
IX – Data de concessão da permissão de acesso (quando disponível); e,
X – Data de revogação da permissão de acesso (quando disponível).
§ 2º O documento de controle citado no “caput” deste artigo deve ser disponibilizado pela subgerência de operações da GTI no portal interno da GTI e mantido por ela atualizado a cada mês, acessível, pelo menos, à estrutura hierárquica da GTI e aos servidores efetivos da Corregedoria Fiscal da SEFAZ.
Art. 8º Qualquer pessoa tem legitimidade para denunciar à subgerência de segurança da GTI e/ou à Corregedoria Fiscal da SEFAZ a concessão de permissão de acesso a um banco de dados corporativo transacional feita em condições que afrontem as disposições contidas nesta Portaria.
§ 1º Toda denúncia deve ser investigada pelo departamento que a receba, resultando em parecer conclusivo.
§ 2º Caso confirmada a procedência da denúncia, o profissional que concedeu permissão de acesso em condições indevidas sofrerá do Gerente da GTI como consequência:
I – Se subgerente da GTI, exoneração da função comissionada, não podendo assumir uma nova função comissionada na GTI por, pelo menos, 12 (doze) meses;
II – Se servidor da SEFAZ ou da CODATA, afastamento do quadro da GTI, permanecendo impossibilitado seu retorno à GTI por, pelo menos, 12 (doze) meses; ou,
III – Se profissional de empresa prestadora de serviço, desligamento do contrato.
Art. 9º Cabe à subgerência de arquitetura da GTI a responsabilidade pela anonimização dos dados dos bancos de homologação e de desenvolvimento.
Parágrafo único. O acesso aos bancos de homologação e de desenvolvimento permanece impedido enquanto não for concluído o processamento da anonimização dos seus dados.
Art. 10. Compete à subgerência de arquitetura da GTI o atendimento às demandas feitas, por meio de aplicação própria (Redmine e/ou GLPI), pelos departamentos internos da SEFAZ, considerando condições de conveniência e de oportunidade, como legitimidade do demandante, responsabilidade quanto ao sigilo fiscal, e melhor dia e horário para a sua execução.
§ 1º Levantamentos devem ser realizados junto aos bancos de espelho de produção, não junto aos bancos de produção, salvo em caso de impossibilidade absoluta.
§ 2º Alterações somente serão realizadas em banco de dados de produção se autorizadas por escrito pelo Gerente da GTI e pelo gerente executivo responsável pela informação.
Art. 11. As situações excepcionais serão tratadas pelo Gerente da GTI em conjunto com o Secretário Executivo da Receita da SEFAZ ou com o Secretário de Estado da Fazenda.
Art. 12. Fica revogada a Portaria nº 00204/2019/SEFAZ, de 27 de junho de 2019.
Art. 13. Esta Portaria entra em vigor na data de sua publicação.
MARIALVO LAUREANO DOS SANTOS FILHO
Secretário de Estado da Fazenda
Matrícula Nº 171.798-7