-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

1.	Informações do documento
Este documento contém uma descrição do CSIRT Sefaz-SP de acordo com a RFC 2350.

1.1.	Data da última atualização
22 de Janeiro de 2026

1.2.	Lista de distribuição para notificações
Não há lista de distribuição para notificações de novas versões deste documento.

1.3.	Local onde este documento pode ser encontrado 
A versão atual deste documento pode ser acessada em https://fazendaspgovbr.sharepoint.com/sites/CSIRT/rfc-2350/pt
  
Para fins de validação, uma versão ASCII assinada pelo GPG deste documento está localizada em https://fazendaspgovbr.sharepoint.com/sites/CSIRT/rfc-2350/pt/rfc2350_doc/rfc2350-csirtsefaz-sp.txt
 A chave usada para assinar é a chave CSIRT Sefaz-SP listada em 2.8.
2.	Informações de contato

2.1.	  Nome da Equipe
CSIRT – Centro de Tratamento e Resposta a Incidentes de Segurança

2.2.	 Endereço
CSIRT Sefaz-SP 
DTIC – 4º andar
Av. Rangel Pestana, 300 - São Paulo / SP | 01017-911

2.3.	Fuso Horário:
América/São Paulo (GMT-0300).

2.4.	Número de telefone:
CSIRT: Não se aplica

2.5.	Número de fax
Não se aplica

2.6.	Outros meios de comunicação
Não se aplica

2.7.	Endereço de e-mail
As notificações sobre incidentes de segurança devem ser enviadas para <csirt@fazenda.sp.gov.br>

2.8.	Chaves públicas e informações sobre criptografia
O CSIRT Sefaz-SP possui uma chave PGP, cujo KeyID é 13EO1603568DE28B e cuja impressão digital é 4C19D48B0E876B4D92F660F513E81603568DE28B que pode ser encontrada em 
https://fazendaspgovbr.sharepoint.com/sites/CSIRT/rfc-2350/pt/rfc2350_doc/rfc2350-csirtsefaz-sp.txt 
para uso em comunicação, quando necessário.

2.9.	Membros do time
Informações sobre os membros do CSIRT não estão publicamente disponíveis

2.10.	Informações adicionais
A operação padrão do CSIRT Sefaz-SP é de segunda-feira a sexta-feira, das 07:00 às 19:00, UTC-3, em casos excepcionais, poderá operar em período fora do expediente normal.

3.	Carta de Apresentação

3.1.	Declaração de Missão
Coordenar os esforços de prevenção, tratamento e resposta aos incidentes de segurança, na gestão de vulnerabilidades no âmbito da SEFAZ com objetivo de elevar a consciência situacional e o nível de segurança como um todo apoiado em frameworks, métricas e indicadores

3.2.	Público-alvo (Grupo Constituinte)
O público-alvo do CSIRT é a Secretaria da Fazenda e Planejamento do Estado de São Paulo;

O escopo é atuar na gestão de vulnerabilidades e nos eventos, alertas e incidentes de segurança que interfiram no seu público-alvo

3.3.	Filiação
Nos termos das Resoluções: SFP-31-2021 e SFP-03-2025 o DTIC-Departamento de Tecnologia da Informação e Comunicação tem por responsabilidade: Gerenciar os incidentes de segurança da informação, desenvolvendo capacidades para sua detecção, tratamento e prevenção.

3.4.	Autoridade
A autoridade do CSIRT provém das atribuições definidas e aprovadas em processos de gestão de incidentes da segurança da informação e gestão de vulnerabilidades, além de produzir recomendações e orientações técnicas de segurança da informação sobre o seu público-alvo.

4.	Política

4.1.	Triagem de incidentes e nível de suporte
A equipe segue o modelo organizacional misto, sendo composta por uma equipe dedicada (CSIRT) responsável pelas tratativas de respostas de incidente de segurança e gestão de vulnerabilidades, e outra (SOC) responsável pela monitoração, triagem, tratamento inicial e encaminhamento de notificações, além desses por membros distribuídos dentre as demais equipes do DTIC que serão responsáveis por apoiar a equipe dedicada no tratamento de incidentes de segurança da informação dentro de suas respectivas áreas de especialização. O CSIRT possui um esquema de classificação de 
incidentes contendo uma lista de categorias para associar a um incidente de segurança ou ameaça resultado de um SLA de atendimento.

4.2.	Cooperação, interação e divulgação de informações
Todas as informações são restritas e de uso interno por padrão, mas podem ser reclassificadas utilizando a metodologia de acordo com a classificação baseada no Traffic Light Protocol (TLP 2.0), de acordo com as marcações CLEAR, GREEN, AMBER, AMBER+STRICT ou RED.
Orientações sobre o uso do protocolo encontram-se disponíveis em https://www.cert.br/tlp/ e  https://www.first.org/tlp/.

O CSIRT Sefaz atua no apoio a comunidade reportando eventos que são detectados nas rotinas de monitoramento e acompanhamento da equipe SOC 24x7, como exemplo, a verificado de sites com defacements ativos do domínio sp.gov.br notificando outros pares como o CSIRT Prodesp.

O CSIRT Sefaz faz parte do esforço do Cert.br de manter um conjunto de honeypots na internet com o intuito de coletar dados de atividade suspeito e alimentar métricas que possam colaborar com ações de prevenção e delinear tendências dos ataques vigentes.

4.3.	Comunicação
Para comunicação normal que não contenha informações sensíveis, o CSIRT usa métodos convencionais como e-mail não criptografado. Consulte as seções 2.7 e 2.8 para informações sensíveis.

4.3.1.	Política de Mídia Pública
A comunicação de um incidente de segurança grave com repercussão na mídia pública de ocorrer de forma coordenada e autorizada através de um porta-voz ou canal apropriado.
Nesse sentido, hoje na Sefaz, a ASCOM (imprensa@fazenda.sp.gov.br) é a área responsável para interagir diretamente com a imprensa, a qual deverá ser acionada em situações excepcionais por membros da Governança e/ou Gabinete do DTIC.
5. Serviços
 
5.1.	Resposta a incidentes
5.1.1.	Descrição do nível de serviço
O escopo de serviço abrange a resposta a incidentes de segurança, inteligência cibernética e monitoramento proativo para detectar ameaças emergentes, orientação especializada, gestão de vulnerabilidades, apoio na conscientização, coordenação da resposta e colaboração com outros CSIRTs.
	
O CSIRT se compromete a responder todos os e-mails recebido em até 2 dias úteis e atender o SLA dos incidentes de segurança sempre que possível dentro acordado no processo de incidente de segurança.

5.1.2.	Resposta aos Incidentes de Segurança: 
Detectar e coordenar o tratamento e mitigação de incidentes de Segurança da Informação.

5.1.3.	Procedimentos de Resposta a Incidentes: 
Estabelecendo procedimentos claros para atuação em caso de eventos cibernéticos.

5.1.4.	Monitoramento Continuo: 
Implementando soluções de monitoramento contínuo para detecção precoce de ameaças e incidentes.
5.2.	Gestão de Vulnerabilidades
5.2.1.	Análise de Vulnerabilidades: 
Identificação de fragilidades em sistemas, aplicações e infraestrutura de rede, utilizando ferramentas e metodologias adequadas
Análise do potencial impacto das vulnerabilidades identificadas, considerando a probabilidade de ocorrência e o possível dano aos ativos.

5.2.2.	Recomendações de Cibersegurança: 
Sugestões de medidas para mitigar riscos e corrigir vulnerabilidades.

5.2.3.	Análise de Superfície de Ataque:
Mapeamento dos pontos de entrada e vetores de ataque potenciais, incluindo Endpoints, aplicações, usuários e infraestrutura de rede.

5.3.	Gestão de Eventos de Segurança
5.3.1.	Administração de ferramentas do SOC (SIEM/SOAR):
Elaboração e implementação de estudos de caso para correlacionamento de eventos;
Implementação de automatização em ferramentas do SOC

5.3.2.	Análise de Logs: 
Coleta e exame dos registros de segurança para identificar eventos suspeitos e investigar incidentes.

5.4.	Atividades proativas
5.4.1.	Ações de Prevenção:
Implementação de honeypots, hardening de sistemas, execução de pentests, simulação de phishing e análise de inteligência de ameaças.

5.4.2.	Apoio na Conscientização: 
Apoio na elaboração de palestras, documentação e textos para conscientização interna.

6.	Formulários de relatórios de incidentes
As notificações devem ser encaminhadas por e-mail: csirt@fazenda.sp.gov.br.

7.	Isenção de responsabilidade
Embora todas as precauções sejam tomadas na identificação de incidentes, no compartilhamento de informações e nas notificações, o CSIRT não assume a responsabilidade por erros, omissões ou danos resultantes do uso inadequado de informações fornecidas.

-----BEGIN PGP MESSAGE-----
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=4P0U
-----END PGP MESSAGE-----