Sobre a Política de Segurança da Informação (PSI)
A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas do Acol Consultoria & Sistemas para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país.
Com a intenção de aumentar a segurança da infraestrutura tecnológica direcionada ao uso corporativo, foi desenvolvida visando a orientação para a utilização dos ativos de tecnologia da informação disponibilizados.
Objetivos
Estabelecer diretrizes que permitam aos colaboradores e clientes da Acol Consultoria & Sistemas seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Preservar as informações da Acol Consultoria & Sistemas quanto à:
- Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
- Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Aplicações da PSI
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da DTS sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
Princípios da PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela Acol Consultoria & Sistemas pertence à referida instituição. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
A Acol Consultoria & Sistemas, por meio da DTS, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
Requisitos da PSI
Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores da Acol Consultoria & Sistemas a fim de que a política seja cumprida dentro e fora da empresa. Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada.
Deverá constar em todos os contratos da Acol Consultoria & Sistemas o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela instituição.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos.
Eles devem assinar um termo de responsabilidade.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à DTS e ela, se julgar necessário, deverá encaminhar posteriormente para análise.
Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas desenvolvidos pela Acol Consultoria & Sistemas ou por terceiros.
Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
A Acol Consultoria & Sistemas exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
Esta PSI será implementada na Acol Consultoria & Sistemas por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.
Das Responsabilidades Específicas
1 – Dos Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.
Respeitar esta Política de Segurança da Informação.
Respeitar a Política de Privacidade e Proteção de Dados Pessoais da Acol Consultoria & Sistemas, de forma a garantir a segurança e inviolabilidade dos dados pessoais.
Respeitar todas as normas da LGPD.
Responder pelo descumprimento dos procedimentos de tratamento de Dados Pessoais.
Responder pela guarda e proteção dos recursos computacionais colocados a sua disposição para o trabalho;
Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
Ativar suas senhas de proteção e autenticação em 2 fatores para acesso ao ambiente da Acol Consultoria & Sistemas, sob a orientação da DTS.
Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software.
Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc.
Responder pelo prejuízo ou dano que vier a provocar a Acol Consultoria & Sistemas ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
2 – Dos Colaboradores em Regime de Exceção (Temporários)
Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no item “1 – Dos Colaboradores em Geral”.
A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas.
3 – Dos gestores de Pessoas e/ou Processos
Apoiar e zelar pelo cumprimento desta Política, servindo como modelo de conduta para os colaboradores sob a sua gestão Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da Acol
Consultoria & Sistemas.
Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do Acol Consultoria & Sistemas.
Antes de conceder acesso às informações da instituição, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.
Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
Atribuir, na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da Política.
Autorizar o acesso e definir o perfil do usuário junto à DTS.
Autorizar as mudanças no perfil do usuário junto à DTS.
4 – Da Divisão de Desenvolvimento e Suporte
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.
Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.
Realizar auditorias periódicas de configurações técnicas e análise de riscos.
Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção Garantir que não sejam utilizados acessos genéricos as aplicações de produção, sempre optar por usuários nominais.
5 – Divisão de Tecnologia e Suporte
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
- Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
- os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.
- os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.
- Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de
- código malicioso e/ou indesejado.
- Monitorar o ambiente de TI, gerando indicadores e históricos de:
- uso da capacidade instalada da rede e dos equipamentos;
- tempo de resposta no acesso à internet e aos sistemas críticos da Acol Consultoria &Sistemas.
- períodos de indisponibilidade no acesso à internet e aos sistemas críticos da Acol Consultoria & Sistemas.
- incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante)
- atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet
(por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros)
Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida
restritiva para fins de salvaguardar os ativos da empresa.
Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.
6 – Gerência de Cibersegurança
A Gerência de Cibersegurança será responsável pela gestão do uso de tecnologias necessárias ao bom andamento dos negócios da Acol Consultoria & Sistemas e de ações preventivas. Também oficializar uma equipe de Segurança da Informação para o planejamento e execução de ações preventivas para o tratamento de incidentes, a fim de garantir um nível maior de segurança.
Cabe à Gerência de Cibersegurança:
Apresentar as atualizações da PSI e das Normas de Segurança da Informação para aprovação e posterior publicação.
Propor as metodologias e processos específicos para a Segurança da Informação, como a avaliação de risco.
Propor e apoiar iniciativas que visem à segurança dos ativos de informação da Acol Consultoria & Sistemas.
Promover a conscientização dos funcionários, prestadores de serviços, estagiários e afins quanto à relevância da Segurança da Informação para as atividades da Acol Consultoria & Sistemas por meio de campanhas, palestras, treinamentos, entre outros meios.
Apoiar a avaliação e a adequação dos controles específicos da Segurança da Informação para novos sistemas ou serviços.
Desenvolver normas e regras específicas conforme à Lei de Proteção de Dados Pessoais.
Promover adequação dos recursos técnicos e de infraestrutura necessários para atender à Lei de Proteção de Dados Pessoais.
Indicar o encarregado pela Proteção de Dados Pessoais.
Propor investimentos relacionados à Segurança da Informação com o objetivo de maximizar a redução de riscos.
Avaliar os incidentes de segurança e propor ações corretivas.
Deliberar sobre questões relacionadas à Proteção de Dados Pessoais.
Proteção de Dados Pessoais
A Acol Consultoria & Sistemas em atendimento e respeito à Lei Geral de Proteção de Dados Pessoais deverá garantir a disponibilidade, integridade e confidencialidade dos dados pessoais, em todo seu ciclo de vida, sendo esta categoria de dados tratados de forma permanente como dados confidenciais.
Todo tratamento de dados pessoais deverá estar atrelado a uma finalidade específica, informada ao titular e devidamente atrelada a uma ou mais bases legais previstas nos artigos 7º e 11º da Lei Geral de Proteção de Dados Pessoais, atentando-se aos princípios da necessidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e prestação de contas.
O detalhamento dos requisitos e regras para tratamento de dados pessoais serão disponibilizados em norma específica, sendo necessário que todos os colaboradores e prestadores de serviços tomem ciência e sejam sensibilizados sobre o tema e a respectiva norma.
Toda e qualquer alteração ou criação de sistemas, serviços ou produtos que envolvam tratamento de dados pessoais deverão aplicar o “Privacy by Design / Privacidade desde a concepção”.
Além dos princípios mencionados a Acol Consultoria & Sistemas deverá elaborar um plano de resposta à violação de dados pessoais, elaborar o Relatório de Impacto sempre que necessário, utilizar processo de anonimização e pseudonimização sempre que necessário, fazer registro das operações de tratamento de dados pessoais, utilizar protocolos de criptografia na transmissão e armazenamento de dados pessoais
Identificação – Login e Senha
Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro art. 307 – falsa identidade. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado. Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %).
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados. As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como o próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “123456”, entre outras.
Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros ou obrigatoriamente a cada 4 meses ou terão seus acessos bloqueados automaticamente. O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários. Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica, se identificada, será alvo de ação disciplinar.
Recursos Computacionais
Os recursos de TI alocados pela Acol Consultoria & Sistemas aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho, sendo proibido o uso dos mesmos para fins pessoais. Aos colaboradores da Acol Consultoria & Sistemas fica proibido o uso de equipamentos de tecnologia, como computadores, tablets, notebooks, netbooks e similares de propriedade particular nas dependências da empresa. É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria). Todo computador em desuso, deverá ser encaminhado a DTS para a remoção das informações, descarte ou reuso.
Antivírus
A Acol Consultoria & Sistemas, por intermédio da Divisão de Tecnologia e Suporte, disponibiliza software corporativo de antivírus instalado para todos os usuários.
O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor.
A DTS da Acol Consultoria & Sistemas, não recomenda que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona. As checagens periódicas do disco rígido, do HD e da estação de trabalho estão programadas para execução periódica automática conforme definições da DTS no aplicativo servidor.
Armazenamento de Arquivos
Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da Acol Consultoria & Sistemas.
É proibida a criação de pastas e arquivos pessoais nos servidores de rede.
A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da Acol Consultoria & Sistemas e ser solicitada pelo responsável hierárquico à DTS.
O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e da DTS para o controle do acesso de cada usuário.
Todos os arquivos que não sejam do interesse da Acol Consultoria & Sistemas deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.
O armazenamento de arquivos nos servidores de rede ou nas estações de trabalho dos usuários da Acol Consultoria & Sistemas deve observar as normas da LGPD e as orientações desta Política.
Softwares Piratas
Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva da Acol Consultoria & Sistemas, sendo proibidas as cópias integrais, ou mesmo as parciais,
bem como a instalação de softwares piratas.
Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais além de denegrir a imagem da Instituição. Por esta razão, estão terminantemente proibidos.
A instalação de softwares não autorizados (“Pirataria”) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa.
E-mail e Mensagens Instantâneas
É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária à lei, à moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros. O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas devem ser de caráter exclusivamente profissional. Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pela hierarquia da Acol Consultoria & Sistemas. A salvaguarda do conteúdo anexo é de responsabilidade exclusiva do usuário, ficando a Acol Consultoria & Sistemas isenta de tal obrigação.
É proibido o uso de software de e-mail e mensagens instantâneas não homologados pela DTS. O uso dos mesmos é de responsabilidade do usuário e podem trazer riscos a segurança da informação além de dificultar o suporte técnico. Quaisquer comunicados em massa, propagandas, informativos, imagens, etc. deverão ser previamente aprovados pela DTS, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail. Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos. O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados.
As mensagens trafegadas sob o domínio da Acol Consultoria & Sistemas poderão ser auditadas, mediante solicitação, conforme definição do Tribunal Superior do Trabalho (TST). Desta forma, é proibida a utilização particular. Em nenhuma hipótese a Acol Consultoria & Sistemas será responsabilizada perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo. O fato de o colaborador responder a um e-mail fora do horário de expediente não configurará hora extra. Para que isto ocorra, é necessário que a Acol Consultoria & Sistemas tenha exigido, na solicitação formalmente enviada por e-mail, a realização de uma tarefa fora do horário de trabalho.
Casos Omissos
Antes de efetuar ações que possam apresentar risco potencial para as informações e sistemas da Acol Consultoria & Sistemas, o usuário deve consultar a presente Política e a Política de Privacidade e Proteção de Dados Pessoais, a fim de certificar-se de que a atividade é lícita e segura. Os casos não previstos, dúvidas sobre segurança da informação ou quanto ao uso do software deverão ser encaminhados para a DTS.
As situações especiais e/ou pedidos de exceção a esta Política deverão ser avaliados pela Diretoria para deliberação, sob pena de infração das normas e aplicação das penalidades previstas no Item “Conformidade”.
Conformidade
O usuário deve estar ciente e seguir as recomendações desta Política, interpretando a classificação atribuída às informações e Dados, e assegurando que recebam tratamento adequado. O mau uso dos recursos de tecnologia caracteriza um incidente de segurança da informação e pode resultar na aplicação de sanções legais e/ou administrativas, conforme a gravidade e impacto do incidente para a Acol Consultoria & Sistemas. As violações às disposições estabelecidas na presente Política, devidamente apuradas, poderão implicar:
• Na aplicação das sanções previstas na legislação trabalhista;
• Na aplicação das sanções previstas na LGPD;
• Na aplicação das sanções previstas em contrato aos prestadores de serviço e estagiários;
• Na aplicação dos procedimentos legais cabíveis.