Índice
1.0 Introdução
A EMPRESA E-Brigada Tecnologia em Sistemas Digitais baseada na norma NBR ISO/IEC 27.002 definiu sua Política de Segurança da Informação, conscientizando e definindo as normas e procedimentos necessários para proteger a confidencialidade das informações, continuidade dos negócios e que visem disciplinar o uso da tecnologia da informação.
2.0 Objetivo
Definir responsabilidades e orientar a conduta dos usuários da empresa e contratados, visando a continuidade dos negócios através da confidencialidade, da integridade e da disponibilidade das informações acessadas pela empresa E-BRIGADA.
3.0 Aplicação
Esta Política aplica-se a todos os usuários da empresa e a qualquer colaborador ou pessoa custodiante de informações da E-BRIGADA ou de seus clientes.
4.0 Princípios
O compromissso da E-BRIGADA com o tratamento adequado das informações se baseia nos seguintes princípios:
Autenticidade – todos os esforços serão feitos para que as informações sejam confiáveis e corretas, ou seja, as informações não serão alteradas de forma não autorizada ou indevida;
Confidencialidade – o acesso à informação é permitido somente para pessoas autorizadas e quando ele for de fato necessário;
Disponibilidade – somente pessoas autorizadas têm acesso à informação sempre que necessário;
Integridade – todos os esforços serão feitos para que as informações sejam exatas e completas bem como seu processamento.
A informação produzida ou recebida como resultado de sua atividade profissional pertence à E-BRIGADA.
Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual, industrial (Lei nº 9279) e de direitos autorais, (Lei nº 9610).
A segurança da informação depende de pessoas comprometidas, processos gerenciais de controle e sistemas de segurança da informação.
5.0 Usuários de Informática
São reconhecidos como usuários da infraestrutura de TI todos os colaboradores e empresas prestadoras de serviço que obtiverem a aprovação por escrito do responsável hierárquico e da gestão de liberações da E-BRIGADA, para prescrição de senhas de acesso aos recursos computacionais.
6.0 Responsabilidades
A E-BRIGADA entende que o sistema de segurança da informação somente será eficaz com o comprometimento de TODOS!
Dos Usuários
- Respeitar esta Política de Segurança da Informação
- Responder pela guarda e proteção dos recursos computacionais colocados á sua disposição para o trabalho;
- Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
- Ativar suas senhas de proteção para Correio Eletrônico e Sistema Operacional, sob orientação do Gestor de Liberações da área de TI;
- Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software.
- Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de ameaça, etc;
- Assegurar que as informações e dados de propriedade da E-BRIGADA não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico.
- Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados, conforme artigo 154-A do Código Penal Brasileiro.
- Responder pelo prejuízo ou dano que vier a provocar a E-BRIGADA ou a terceiros, em decorrência da não obediência as diretrizes e normas aqui referidas.
Dos Responsáveis Hierárquicos:
Administrador Geral de Dados
Regis Chrystian da Silva
Área de TI – Desenvolvedores e Analistas (TI)
Antônio Sebastião Bortolini (Gerente de TI)
Anderson André Amann
Leonardo Nadin
William Meier
Administradores da plataforma e suporte de uso
Régis Chrystian da Silva
Viviane Paz Martins
Carisiani Roberta Taborda
Samuel Lisboa
Administrador Geral de Dados
- Apoiar e zelar pelo cumprimento desta PSI, servindo como modelo de conduta para os colaboradores sob a sua gestão.
- Atribuir na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI.
- Autorizar o acesso e definir o perfil do usuário junto ao gestor de liberações da área de TI,
- Autorizar as mudanças no perfil do usuário junto ao gestor de liberações da área de TI,
- Educar os usuários sobre os princípios e procedimentos de Segurança da Informação,
- Notificar imediatamente ao gestor de liberações da área de TI quaisquer vulnerabilidades e ameaças a quebra de segurança;
- Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação;
- Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato ao gestor de liberações da área de TI.
- Obter aprovação técnica do gestor de liberações da área de TI antes de solicitar a compra de hardware, software ou serviços de informática.
- Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
Da Área de TI
- Configurar os sistemas para cumprir os requerimentos desta Política,
- Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
- Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
- Garantir segurança do acesso publico e manter evidências que permitam a rastreabilidade para auditoria ou investigação.
- Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes.
- Administrar, proteger e testar as cópias de segurança dos programas e dados ao negócio da E-BRIGADA.
- Gerenciar o descarte de informações a pedido dos custodiantes.
- Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário.
- Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
- Criar a identidade lógica dos colaboradores na E-BRIGADA.
- Atribuir contas e senhas identificáveis a pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação.
- Proteger todos os ativos de informação da E-BRIGADA contra códigos maliciosos e ou vírus.
- Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção.
- Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da E-BRIGADA.
- Realizar inspeções periódicas de configurações técnicas e análise de riscos.
- Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais.
- Garantir assim que solicitado o bloqueio de acesso de usuários por motivo de desligamento da E-BRIGADA,
- Propor as metodologias sistemas e processos específicos que visem aumentar a segurança da informação,
- Promover a conscientização dos colaboradores em relação a relevância da segurança da informação,
- Apoiar a avaliação e a adequação de controles de segurança da informação para novos sistemas ou serviços.
- Buscar alinhamento com as diretrizes corporativas da E-BRIGADA.
- Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
- Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
- Monitorar o ambiente de TI a capacidade instalada da rede e dos equipamentos, tempo de resposta no acesso a internet e aos sistemas críticos da E-BRIGADA, indisponibilidade aos sistemas críticos, incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);
- Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior), conforme procedimento publicado na matriz de responsabilidade.
- Realizar, a qualquer tempo, inspeção lógica nos servidores em nuvem
Administradores da plataforma e suporte de uso
- Manusear os dados dos clientes exclusivamente para fins de suporte de uso da plataforma, observando os critérios definidos nesta política,
- Reportar ao administrador geral do dados qualquer incidente ocorrido;
- Reportar a Área de TI, bugs falhas e desconformidades verificadas;
7.0 Identificação – Login e Senha
- Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro art. 307 – falsa identidade.
- Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado.
- Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %).
- É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
- As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como próprio nome, familiares, nascimento, endereço, placa de veículo, nome da E-BRIGADA, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
- Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros ou obrigatoriamente a cada 4 meses ou terão seus acessos bloqueados automaticamente.
- O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
- Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica se identificada será alvo de ação disciplinar.
- Os acessos externos à rede de informações da E-BRIGADA fora do expediente de trabalho serão bloqueados atendendo a Lei 12.551, tele trabalho que altera o Art. 6° da CLT, exceto para cargos de confiança.
8.0 Recursos Computacionais
- Os recursos de TI alocados pela E-BRIGADA aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho, sendo proibido o uso dos mesmos com para fins pessoais.
- Aos colaboradores da E-BRIGADA fica proibido o uso de equipamentos de tecnologia, como computadores, tablets, notebooks, netbooks e similares de propriedade particular nas dependências da E-BRIGADA.
- É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria).
- Todo computador em desuso, deverá ser encaminhado à área de TI para a remoção das informações, descarte ou reuso.
9.0 Descarte de Mídias
- Mídias contendo informações referentes a E-BRIGADA, deverão ser destruídas antes de seu descarte.
- Documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao lixo, HD’s deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização.
10. Classificação da Informação
- O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área em Pública, Confidencial, Restrita ou Interna.
Dados pessoais de usuários e clientes. Nível confidencial: São coletados para fins exclusivos de cadastros dos usuários na plataforma e aplicativo, nome, cargo e email. Esses dados são de uso exclusivo para identificação dos usuários e operação da plataforma;
Dados de uso da plataforma. Nível confidencial: São coletados para fins exclusivos de uso da plataforma, imagens de ativos de segurança, descrições e dados destes ativos e dados gerais para monitoramento de eventos. Esses dados são de uso exclusivo dos usuários definidos pelo cliente, para fins atingir o objetivo de uso da plataforma.
11. Antivírus e proteção de ataques
- O E-BRIGADA por intermédio do Gestor de Liberações da área de TI disponibiliza software corporativo de antivírus instalado para todos os usuários.
- O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor;
- A área de TI da E-BRIGADA não recomenda que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona.
- As checagens periódicas do disco rígido, HD, da estação de trabalho esta programada para execução periódica automática conforme definições da área de TI no aplicativo servidor.
12. Armazenamento de Arquivos
- Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da E-BRIGADA.
- É proibida a criação de pastas pessoais nos servidores de rede.
- A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da E-BRIGADA e ser solicitada pelo responsável hierárquico ao gestor de liberações da área de TI.
- O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e do gestor de liberações para o controle do acesso de cada usuário.
- Todos os arquivos que não sejam do interesse da E-BRIGADA deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.
13. Salvaguarda de Arquivos
- Compete ao gestor de continuidade da área TI criar e manter cópias de segurança (backups) apenas dos dados armazenados nos servidores;
- Os usuários devem manter sob sigilo obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos, e outros dados críticos da E-BRIGADA;
14. Utilização da Internet
- O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos causados.
- A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos, relatórios com nomes dos usuários, páginas consultadas, tempo de consulta, e o conteúdo navegado.
15. Email e Mensagens instantâneas
- É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária a lei, a moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros.
- O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas deve ser de caráter exclusivamente profissional.
- Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pela hierarquia da E-BRIGADA.
- A salvaguarda do conteúdo anexo é de responsabilidade exclusiva do usuário, ficando E-BRIGADA isento de tal obrigação.
- É proibido o uso de software de e-mail, mensagens instantâneas e correio interno não homologado pela Gerência de Liberações são de responsabilidade do usuário e podem trazer riscos a segurança da informação além de dificultar o suporte técnico.
- Quaisquer comunicados em massa, propagandas, informativos, imagens, etc., deverão ser previamente aprovados pelo gestor de capacidades da área de TI, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail.
- Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos.
- O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados.
- As mensagens trafegadas sob o domínio da E-BRIGADA poderão ser auditadas, mediante solicitação, conforme definição do TST, Tribunal Superior do Trabalho. Desta forma é proibida a utilização particular.
- Em nenhuma hipótese o E-BRIGADA será responsabilizado perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo.
- O fato do colaborador responder a um e-mail fora do horário de expediente não configurará hora extra. Para que isto ocorra é necessário que o E-BRIGADA tenha exigido na demanda enviada por e-mail, a realização de uma tarefa fora do horário de trabalho.
16. Auditorias e acesso remoto
- Auditorias serão realizadas e relatórios serão gerados periodicamente ou conforme solicitações de acordo com os procedimentos da área de TI.
- O acesso remoto, ou auditoria de dados locais, mediante autorização da diretoria ou do gestor do colaborador, quando realizados no equipamento de uso do colaborador não caracteriza invasão do mesmo, pois o equipamento é de propriedade da E-BRIGADA, e todas as informações contidas no mesmo são de propriedade da E-BRIGADA, uma vez que o usuário é proibido de salvar dados pessoais nos equipamentos de tecnologia da E-BRIGADA.
- A Diretoria da E-BRIGADA poderá solicitar à Gerência de TI, relatórios de auditoria contendo o nome, mensagens trafegadas, acessos a Internet e demais informações do usuário conforme resolução do TST.
17. Dados armazenados no servidor (Cloud da Rapid) e Backups
- Os dados coletados pelos usuários dos clientes no uso da plataforma, são armazenados em banco de dados e storage em nuvem, fornecidos pela empresa Rapid Cloud.
- O acesso direto ao dados armazenados é de exclusividade da equipe de TI em evento considerado situação especial, descrito em procedimento especifico e registrado como.
- Os backups diários são armazenados na nuvem, em servidor diferente do que armazena o banco de dados em uso. Um procedimento especial para restauração, previsto no Manual de Recuperação de Desastre, é instaurado em caso de evento. Teste de recuperação do backup é realizado semestralmente em ambiente Sandbox, para garantir a integridade e recuperação do mesmo.
18. Disposições Finais
- Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da E-BRIGADA. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.
- Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado a E-BRIGADA, entre outros.