1. Introdução
O Tribunal de Contas do Estado do Piauí (TCE-PI) realiza, de forma contínua, a fiscalização dos portais de transparência dos municípios e órgãos jurisdicionados. Esse acompanhamento é essencial para garantir o cumprimento da Lei de Acesso à Informação (Lei nº 12.527/2011) e da Lei Complementar nº 131/2009 (Lei da Transparência).
Recentemente, foi identificado que diversos portais de transparência encontram-se INACESSÍVEIS a partir da rede do TCE-PI. Após análise técnica, constatou-se que a causa principal é a utilização de PORTAS DE REDE NÃO-PADRÃO para disponibilizar esses serviços na internet.
Quando o TCE-PI não consegue acessar o portal de transparência de um município, as informações são consideradas indisponíveis. Isso pode resultar em consequências graves, como a negação de certidões, ressalvas em pareceres e outras sanções administrativas previstas na legislação.
2. O que são Portas de Rede?
Na internet, cada serviço que roda em um servidor precisa de uma “porta” para receber conexões. Pense nas portas como canais de comunicação numerados. Assim como um prédio comercial tem diferentes salas para diferentes serviços, um servidor usa diferentes portas para diferentes aplicações.
As portas padrão da internet são definidas pela IANA (Internet Assigned Numbers Authority) e são universalmente reconhecidas:
- Porta 80 — Tráfego HTTP (web sem criptografia)
- Porta 443 — Tráfego HTTPS (web com criptografia / seguro)
Quando um site utiliza portas diferentes dessas (por exemplo: 8080, 8443, 3000, 5000), ele está usando portas não-padrão. Essa prática, embora funcione para acesso interno, causa problemas de acessibilidade externa.
3. O Problema: Portas Não-Padrão e Firewalls
Organizações como o TCE-PI, bancos, empresas e órgãos públicos utilizam firewalls (sistemas de segurança de rede) que, por boas práticas de segurança da informação, permitem apenas tráfego nas portas padrão (80 e 443). Essa é uma configuração recomendada por normas internacionais de segurança como a ISO 27001 e frameworks como o NIST.
Quando um portal de transparência é disponibilizado em uma porta não-padrão (por exemplo: http://transparencia.municipio.gov.br:8443), o firewall do TCE-PI bloqueia automaticamente essa conexão. Isso não é um problema do Tribunal — é o comportamento padrão e esperado de qualquer rede segura.
O firewall do TCE-PI segue normas de segurança que determinam o bloqueio de portas não-padrão. Alterar essa configuração comprometeria a segurança de toda a rede do Tribunal. Portanto, a adequação deve partir dos servidores que disponibilizam os portais de transparência.
Diagrama: Como ocorre o bloqueio
4. A Solução: Proxy Reverso
A solução para esse problema é simples, gratuita e amplamente utilizada na indústria: configurar um PROXY REVERSO. Um proxy reverso é um servidor intermediário que recebe as requisições externas na porta padrão (80/443) e as redireciona internamente para a porta onde o serviço realmente está rodando.
Com isso, não é necessário alterar a aplicação do portal de transparência. Basta adicionar uma camada de proxy que traduz as portas, permitindo que o site seja acessível de qualquer rede, incluindo a do TCE-PI.
Diagrama: Solução com Proxy Reverso
Ferramentas recomendadas (gratuitas)
- Nginx — O mais popular para proxy reverso. Leve e de alta performance.
- Apache HTTP Server — Amplamente utilizado, com módulo mod_proxy.
- Caddy — Configuração simplificada, com HTTPS automático via Let’s Encrypt.
- Traefik — Ideal para ambientes com Docker e microsserviços.
5. Exemplo Prático de Configuração
Cenário
O portal de transparência está rodando internamente na porta 8443 (HTTPS). Queremos que ele seja acessível externamente pela porta padrão 443.
Exemplo com Nginx
server {
listen 443 ssl;
server_name transparencia.municipio.gov.br;
ssl_certificate /etc/ssl/certs/certificado.pem;
ssl_certificate_key /etc/ssl/private/chave.pem;
location / {
proxy_pass https://localhost:8443;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
server {
listen 80;
server_name transparencia.municipio.gov.br;
return 301 https://$host$request_uri;
}
Exemplo com Caddy (mais simples)
transparencia.municipio.gov.br {
reverse_proxy localhost:8443
}
# O Caddy configura HTTPS automaticamente!
Após a configuração, o portal ficará acessível em https://transparencia.municipio.gov.br (porta 443, padrão) sem necessidade de indicar número de porta na URL.
6. Questão de Norma e Adequação
A disponibilização de portais de transparência em portas padrão não é apenas uma recomendação técnica — é uma questão de adequação normativa. Os serviços públicos de transparência devem ser acessíveis a qualquer cidadão e a qualquer órgão de controle, sem barreiras técnicas desnecessárias.
- Lei nº 12.527/2011 (Lei de Acesso à Informação) — Art. 8º: Os órgãos devem promover, independentemente de requerimentos, a divulgação de informações de interesse coletivo, em local de fácil acesso.
- Lei Complementar nº 131/2009 — Determina a disponibilização, em tempo real, de informações sobre a execução orçamentária e financeira.
- Decreto nº 7.724/2012 — Art. 8º: O acesso à informação deve ser assegurado mediante procedimentos objetivos e ágeis, de forma transparente, clara e em linguagem de fácil compreensão.
- Boas práticas de segurança (ISO 27001, NIST) — Recomendam que serviços web utilizem exclusivamente portas padrão para minimizar superfície de ataque.
A responsabilidade de garantir a acessibilidade dos portais de transparência é do próprio município ou órgão que os mantém. Utilizar portas não-padrão cria uma barreira técnica que impede o acesso legítimo por parte de órgãos de controle, empresas, cidadãos e organizações que seguem políticas de segurança adequadas.
7. Consequências da Inacessibilidade
Quando o portal de transparência de um município não está acessível pela rede do TCE-PI, as seguintes consequências podem ocorrer:
- Negação de certidões: O Tribunal pode negar a emissão de certidões de regularidade quando não consegue verificar os dados de transparência.
- Ressalvas em pareceres: Relatórios de auditoria podem conter ressalvas sobre a indisponibilidade das informações.
- Impedimento de transferências voluntárias: Municípios sem certidão de regularidade podem ficar impedidos de receber transferências voluntárias.
- Responsabilização do gestor: O gestor municipal pode ser responsabilizado pela falta de transparência, conforme legislação vigente.
A inacessibilidade do portal de transparência por uso de portas não-padrão é considerada uma falha de configuração do município, e não do TCE-PI. A correção é de responsabilidade da administração municipal e deve ser tratada com urgência para evitar as sanções acima descritas.
8. Resumo das Ações Necessárias
- Verificar em qual porta o portal de transparência está operando.
- Configurar proxy reverso se estiver em porta diferente de 80 (HTTP) ou 443 (HTTPS).
- Instalar Nginx, Apache, Caddy ou outro proxy reverso de sua preferência.
- Redirecionar o tráfego da porta padrão (443) para a porta interna do serviço.
- Testar o acesso ao portal usando apenas o domínio, sem indicar porta na URL.
- Garantir que o certificado SSL/TLS esteja válido e configurado corretamente.
- Monitorar regularmente a disponibilidade do portal.
9. Como Verificar a Porta Atual
Para verificar se o portal de transparência está usando uma porta não-padrão, observe a URL de acesso:
[X] https://transparencia.municipio.gov.br:8443 → Porta 8443 (NÃO-PADRÃO) [X] http://transparencia.municipio.gov.br:8080 → Porta 8080 (NÃO-PADRÃO) [X] http://transparencia.municipio.gov.br:3000 → Porta 3000 (NÃO-PADRÃO) [OK] https://transparencia.municipio.gov.br → Porta 443 (PADRÃO) [OK] http://transparencia.municipio.gov.br → Porta 80 (PADRÃO)
Se a URL contém dois-pontos (:) seguido de um número após o domínio, o portal está em uma porta não-padrão e precisa ser corrigido.