Política de Segurança da Informação -
SCC4
-
Introdução;
A Lei Geral de Proteção de Dados (Lei n°. 13.709/2018) tem o propósito de estabelecer padrões à utilização de dados pessoais e dados sensíveis de pessoas físicas, visando evitar abusos.
A SCC4 e demais empresas do Grupo, por atuarem com a gestão de dados de pessoa física, é controladora de dados pessoais sensíveis dos usuários de seus produtos. Além de controlar os dados pessoais de seus colaboradores, por meio dos fluxos do e-social.
Visando adequação à Lei Geral de Proteção de Dados (LGPD), a SCC4 incluiu no seu planejamento estratégico de 2020 a implantação de programa de
compliance
de dados.
Além da matriz de riscos de dados e do mapa de dados, essa Política de Segurança da Informação (PSI) tem o propósito de consolidar rotinas que garantam a segurança dos dados sensíveis geridos pela SCC4 e demais empresas do grupo.
-
Rotinas de Segurança da Informação;
As rotinas de segurança da informação ora apresentadas são de cumprimento obrigatórios pelos colaboradores da SCC4 e demais empresas o grupo, sob pena de imposição das sanções previstas no item 4 desta PSI.
-
Entrada nas empresas do grupo;
-
As chaves de acesso às salas da sede serão disponibilizadas somente aos supervisores de cada equipe.
-
Tal chave deve ser guardada de maneira segura e não deve ser emprestada nem a terceiros nem a outros colegas;
-
A perda o extravio da chave deve ser comunicado imediatamente ao encarregado de dados;
-
Visitas;
-
Quando o colaborador for receber visitas, mesmo que de familiares, na sede da empresa deve comunicar o encarregado de dados para que registre a presença de terceiro na organização com data e horário de acesso e permanência.
-
Acesso à Internet;
-
O acesso à Internet pode ser feito via cabo ou wi-fi;
-
A senha do wi-fi da
SCC4
não deve ser compartilhada com terceiros que não estejam na organização no momento do uso;
-
Sites com conteúdo questionável (como pornográficos) não devem ser acessados pela rede wi-fi da empresa;
-
Equipamentos pessoais (como laptops) não devem ser plugados na rede a cabo da organização
;
-
Senhas;
-
As senhas de acesso aos softwares e servidores da
SCC4
são pessoais e intransferíveis;
-
As senhas pessoais não devem ser compartilhadas em hipótese alguma;
-
Alteração de alçada de senhas de acesso e operação (principalmente bancárias) serão abordadas em
política própria
;
-
As senhas devem ser alteradas com periodicidade de pelo menos noventa dias;
-
As senhas precisam ser fortes, compostas por números, letras e símbolos;
-
Não se recomenda a utilização de datas ou nomes próprios como senha pessoal;
-
As senhas não devem ficar anotadas na estação de trabalho, em post its ou blocos de notas;
-
O processo de cancelamento de
login
e senha de usuário pelo desligamento do colaborador ou alteração de departamento será contemplado por
política própria
.
-
Estação de Trabalho;
-
Compreende-se por estação de trabalho o espaço de labor do colaborador onde fica seu computador e demais equipamentos da organização que utiliza para a consecução de suas tarefas;
-
Para a gestão adequada da estação de trabalho, importante atentar para os cinco sensos:
-
Senso de utilização: consistente na seleção de quais materiais, equipamentos e ferramentas devem ser considerados importantes e quais devem ser considerados supérfluos;
-
Senso de organização: determina que todos os itens a serem utilizados de forma comum devem ficar disponíveis em locais determinados, facilitando seu acesso;
-
Senso de limpeza: visa promover o hábito de limpeza recorrente, com a eliminação dos itens que não são essenciais ao espaço de trabalho;
-
Senso de padronização: trata-se da promoção de consciência e ação quanto ao fortalecimento de hábitos e processos repetíveis;
-
Senso de autodisciplina: compromisso com os outros quatro sensos, que dependem de autodisciplina para a sua consecução.
-
Para garantir a segurança dos dados contidos em cada equipamento, os computadores são programados para bloquear automaticamente a tela quando ficar por cinco minutos sem movimentação;
-
É vedado:
-
Fixar na tela do computador, mesa ou divisórias informações confidenciais como senhas de acesso aos sistemas da organização;
-
Ausentar-se da estação de trabalho sem bloquear o acesso da máquina, trancar gavetas e armários;
-
Deixar sobre a mesa documentação sigilosa enquanto não estiver na estação de trabalho;
-
Deixar folhas impressas visíveis na bandeja da impressora sem dar descarte adequado;
-
Burlar o sistema de bloqueio automático de tela.
-
Num sentido de promoção da responsabilidade ambiental da organização, além da segurança da informação, recomenda-se que seja evitada a impressão de documentos, sempre que possível.
-
Utilização da máquina corporativa e periféricos;
-
O computador fornecido pela organização deve ser utilizado exclusivamente no seu interesse a partir das regras contidas neste item;
-
É vedada a utilização do computador da empresa para fins pessoais;
-
É vedada a utilização da impressora da empresa para fins pessoais;
-
É vedado o armazenamento de arquivos e informações exclusivamente na máquina, devendo, para tanto, ser utilizado o servidor;
-
É vedada a utilização de periféricos nas máquinas, a exemplo de
pendrives
, HD externo e celulares;
-
O antivírus deve ser atualizado com periodicidade mínima de 30 (trinta) dias;
-
Caso surja alguma dificuldade na atualização do antivírus pode ser solicitado o apoio do encarregado de dados;
-
É vedada a abertura do computador pelos colaboradores para qualquer tipo de reparo. Havendo problemas técnicos, o encarregado de dados ou a TI devem ser acionados;
-
É proibida a instalação de softwares ou sistemas nas estações de trabalho pelos usuários finais. Este procedimento só poderá ser realizado pela equipe de TI;
-
É proibida a instalação de softwares que não possuam licença e/ou não sejam homologados pela equipe de TI;
-
Não serão permitidos os acessos a softwares
peer-to-peer
(a exemplo do
Kazaa, BitTorrent, μtorrent
e afins);
-
É vedado deferir acesso remoto ao equipamento da organização, mesmo para fins de manutenção. As manutenções nos equipamentos da organização devem ser presenciais;
-
É vedado acessar whatsapp® pessoal no computador corporativo via versão web;
-
É vedado acessar redes sociais pessoais no computador corporativo.
-
Utilização de e-mail corporativo;
-
O e-mail corporativo deve ser utilizado exclusivamente no interesse da organização;
-
É vedada a utilização do e-mail corporativo para fins pessoais;
-
É vedado preencher cadastros pessoais utilizando o e-mail corporativo;
-
É vedado realizar compras na internet usando o e-mail corporativo;
-
É vedado acessar o e-mail corporativo em máquinas externas a organização ou não homologadas pelo encarregado de dados;
-
E-mails suspeitos não devem ser abertos, mesmo que tenham sido enviados por destinatários conhecidos;
-
É proibido abrir arquivos com origens desconhecidas anexados a mensagens eletrônicas;
-
Os e-mails enviados ou recebidos de endereços externos poderão ser monitorados com o intuito de bloquear
spams
,
malwares
ou outros conteúdos maliciosos que violem a Política de Segurança da Informação;
-
É proibido enviar, com endereço eletrônico corporativo, mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções;
-
O e-mail pessoal não deve ser manuseado nas máquinas da
SCC4
de demais empresas do grupo, para que não as deixe expostas a qualquer antígeno que possa chegar pelos e-mails pessoais, como vírus;
-
É proibido enviar qualquer mensagem por meios eletrônicos que torne a
SCC4
vulnerável a ações civis ou criminais;
-
Deve-se utilizar linguagem formal na comunicação via e-mail corporativo;
-
Não devem ser aplicadas gírias e emojis em comunicação via e-mail corporativo;
-
Não será admitida, sob qualquer hipótese, a manutenção ou arquivamento de mensagens de conteúdo ofensivo, discriminatório, pornográfico ou vexatório, sendo a responsabilidade apurada de forma específica em relação ao destinatário da mensagem.
-
O e-mail corporativo só pode ser utilizado dentro da jornada de trabalho do colaborador autorizado.
-
Utilização de celular corporativo;
-
O celular corporativo deve ser utilizado exclusivamente no interesse da organização.
-
É vedado abrir
whatsapp
® pessoal no celular corporativo;
-
É vedado baixar aplicativos no celular corporativo sem autorização expressa do encarregado de dados;
-
É vedado emprestar o celular corporativo para pessoas não autorizadas;
-
É vedado utilizar o número corporativo para cadastros pessoais em sites de compra ou qualquer outra finalidade;
-
Utilização de
whatsapp
® corporativo;
-
O
whatsapp
® corporativo é para uso exclusivo no interesse da
SCC4
.
-
A comunicação pelo
whatsapp
® corporativo deve ser feita com linguagem formal, atendendo as demais regras de redação de e-mail corporativo, contidas no item 2.7.
-
A fotografia do
whatsapp
® corporativo não deve ser do colaborador autorizado a operá-lo, mas sim uma imagem padrão de identidade visual da organização.
-
O
whatapp
® corporativo deve ser manejado exclusivamente pelo colaborador autorizado, que não pode solicitar a terceiros que digitem as mensagens para si;
-
O
whatsapp
® corporativo só pode ser utilizado dentro da jornada de trabalho do colaborador autorizado.
-
Bring your own device
(BYOD);
-
A sigla BYOD significa
bring your own device
, traduzida para o português como
traga seu próprio equipamento
.
-
A utilização de equipamento pessoal para a gestão de tarefas da organização será possível apenas mediante autorização expressa do encarregado de dados.
-
O encarregado de dados fará o cadastro e homologação de todos os equipamentos pessoais que forem utilizados no interesse da organização.
-
A inspeção no equipamento pode ser necessária para confirmar a sua integridade para gerir e/ou armazenar informações da organização.
-
O equipamento pessoal, para que seja autorizada a sua utilização para fins corporativos, precisa estar em cumprimento às determinações contidas no item 2.6. desta PSI.
-
O equipamento pessoal em que transitam informações da organização não pode ser utilizado para acessar e-mail pessoal,
whatsaap
® pessoal ou qualquer outro programa que coloque em risco a integridade das informações controladas pela
SCC4
.
-
Controle de Acesso aos Servidores Disponibilizados na Nuvem
-
A SCC4, para oferecer sua plataforma, contrata serviços de servidores dedicados em data center terceirizado, serviços de servidor privado virtual e serviços de computação em nuvem.
-
A política de senha de acesso aos servidores e configurações de serviço em nuvem, além de respeitarem o item “2.4 - Senhas”, devem ser armazenadas em serviço de cofre digital.
-
Deverá apenas ter acesso ao cofre digital os diretores, o encarregado de dados e o supervisor da equipe de desenvolvimento.
-
O acesso por SSH aos servidores dedicados e virtuais deverão estar bloqueados para acesso com usuário e senha, devendo somente ser acessados por chave criptografada por método de autenticação de chave pública.
-
Os servidores dedicados e virtuais devem estar com firewaal habilitado e permitir acesso remoto somente pelo IP fixo da sede SCC4.
-
Os servidores de banco de dados disponibilizados em nuvem deverão ter acesso restrito por firewall apenas para os servidores de aplicação que precisam manipular os dados.
-
Em caso de necessidade de acesso direto ao banco de dados por uma estação de trabalho, esta só poderá ser feita através de uma conexão VPN (Virtual Private Network) pré configurada e somente acessível pelo ip fixo da sede SCC4.
-
Em caso de necessidade de efetuar exportação dos dados de produção, para algum servidor de teste interno ou remoto, ou para estação de trabalho, deverá ser requirida a autorização expressa do encarregado de dados. informando o motivo, a exemplo: depuração para correção de bug; auditoria de comportamento de sistema; entrega de dados por solicitação do cliente.; etc..
-
Segurança dos Artefatos de Desenvolvimento
-
Todos os artefatos de desenvolvimento, como linhas de código fonte, bibliotecas, scritps de banco de dados e documentação técnica devem estar protegidos em sistema de controle de versão privado.
-
Cabe ao supervisor de desenvolvimento controlar o acesso ao código fonte dos projetos aos membros da equipe.
-
O código fonte só poderá ser acessado por membro contratado da equipe, e após o mesmo ter assinado o acordo de confidencialidade (NDA).
-
Os pacotes destinados a atualização dos serviços em produção não poderam ser construídos nas estações de trabalho, o supervisor da equipe de desenvolvimento e o encarregado de dados devem alocar e gerenciar servidores para esta tarefa, em um processo de integração contínua (CI).
-
Os servidores e serviços de produção só poderão receber atualizações de pacotes provenientes do processo de integração contínua (CI).
-
Documentos físicos;
-
Pela exposição maior ao extravio, recomenda-se primar pelo arquivamento de informações em formato digital – atendendo-se, neste sentido, todas as recomendações para que se mantenha sua segurança e integridade.
-
Caso seja necessário arquivar documentos em formato físico, devem ser cumpridas as seguintes rotinas:
-
O documento não deve ficar exposto, sobre a mesa ou em gavetas não protegidas por chave;
-
Os documentos devem sempre ser mantidos sob guarda em locais com chave ou fechadura digital;
-
Cada documento físico terá seu status de fragilidade avaliado pelo encarregado de dados;
-
Aqueles documentos que forem avaliados como de grau máximo de fragilidade deverão ser guardados em cofre.
-
Os documentos físicos não devem ser descartados antes de transcorridos cinco anos do seu recebimento.
-
O descarte anterior ao prazo estabelecido no item 2.11.3. depende de autorização expressa e documentada do titular do dado.
-
Sanções;
-
O descumprimento comprovado de qualquer disposição desta política poderá acarretar na imposição de sanção ao colaborador que incorrer no desvio.
-
O procedimento de apuração será conduzido pelo encarregado de dados, deferido espaço de justificativa da conduta pelo colaborador em suspeita de desvio.
-
As sanções poderão ser: advertência verbal, advertência por escrito e demissão.
-
A advertência verbal será aplicada na hipótese de descumprimento cometido por colaborador primário e que não tenha implicado em vazamento de dados sensíveis.
-
A advertência por escrito será aplicada na hipótese de reincidência de colaborador em conduta que não tenha implicado em vazamento de dados sensíveis.
-
A demissão poderá ser aplicada na segunda reincidência em conduta que não tenha implicado vazamento de dados.
-
A demissão será aplicada para o colaborador que incidir em conduta que implique em vazamento de dados ou que torne inviável a entrega de comunicação a contento ao titular de dados ou a Autoridade Nacional de Proteção de Dados.
-
Atuação do encarregado de dados:
-
Qualquer evento adverso, confirmado ou sob suspeita, deverá ser informado ao encarregado de dados, tais como:
-
Evento adverso confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, bem como estruturas físicas e lógicas associadas, que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;
-
Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
-
Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente da TI;
-
Uso ou acesso não autorizado a um sistema;
-
Compartilhamento de senhas.
-
Atuação da TI;
-
A empresa que atua como prestadora de serviços de tecnologia da informação deverá estar ciente e concorde com os termos da PSI.
-
Cabe apenas a TI a manutenção dos equipamentos da
SCC4
, sendo vedado aos colaboradores que contatem pessoa diversa do TI designado pela organização.
-
É vedado aos colaboradores tentarem prestar suporte aos equipamentos sem supervisão adequada do TI designado.
-
O TI designado ficará encarregado de monitorar as atualizações de firewall e antivírus.
-
O TI designado ficará encarregado de proceder aos backups e demais arquivos da documentação e informação controlada pela
SCC4
, estando sob fiscalização direta do encarregado de dados.
-
O cenário ideal à estrutura de segurança da informação é a ausência de intercorrências, mas é essencial a previsão por esta PSI do procedimento a ser conduzido na hipótese de suspeita de ocorrência de qualquer sinistro.
-
Todos os colaboradores devem notificar imediatamente ao encarregado de dados eventual vazamento ou uso inadequado de informação, para que seja possível o controle de potenciais resultados.
-
O encarregado de dados contará com o suporte do TI para a resolução de eventuais sinistros ocorridos.
-
O histórico de sinistros e procedimento a sua resolução serão documentados para evitar episódios futuros, servindo como procedimento padrão de contensão de novos eventos.
-
Fornecedores e parceiros;
-
Fornecedores e parceiros deverão estar cientes e comprometidos com esta PSI.
-
Os contratos firmados com fornecedores e parceiros conterão cláusulas relacionadas às diretrizes de segurança da informação que devem ser conduzidas por eles internamente visando viabilizar a relação jurídica.
-
A negativa em subscrever termos de ciência e compromisso com a PSI justifica tanto a não celebração de contrato quanto a rescisão.
-
Justifica-se a rescisão contratual com empresas prestadoras ou parceiras que não estejam se adequando à LGPD.
-
Considerações Finais;
-
As regras contidas nesta Política de Segurança da Informação são cogentes e obrigam todos os colaboradores da
SCC4
e demais empresas do grupo.
-
Todos os colaboradores tiveram acesso e participaram de treinamento a respeito das rotinas desta Política de Segurança da Informação, não podendo justificar seu descumprimento ao argumento de falta de ciência de seu conteúdo.
-
A ciência e domínio a respeito das regras de segurança da informação aqui contidas pode ser utilizada como critério de contratação e promoção de colaboradores.
-
Treinamentos periódicos podem ser realizados visando reforçar as premissas desta PSI, aos qual todos os colaboradores estão obrigados a participar.