POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

1. Objetivo: 
1.1. O objetivo desta Política de Segurança da Informação (“POLÍTICA”), é estabelecer as diretrizes de Segurança da Informação da organização e a atribuição de responsabilidades para promover a confidencialidade, integridade e disponibilidade das suas informações.

2. Abrangência: 
2.1.     Esta POLÍTICA se aplica a todos os colaboradores que acessam as informações armazenadas pela organização, estejam elas armazenadas nas instalações físicas, nos parceiros de negócios ou em dispositivos móveis pessoais e/ou de propriedade da organização, tais como smartphones, notebooks e demais recursos tecnológicos.

3. Definições: 
3.1. Para todos os fins e direitos previstos em relação a essa POLÍTICA, deverão ser aplicados os seguintes sentidos para as definições abaixo transcritas
 
“Ciclo de Vida da Informação” – compreende as fases de criação, coleta, classificação, armazenamento, transmissão, utilização e descarte da Informação.
 
“Colaborador(es)” – qualquer pessoa física ou jurídica que, por relação contratual tácita ou expressa, colabora com a consecução dos objetivos sociais da organização ou que tenha tido ou não acesso franqueado à Informação, independente sua classificação. Nesta categoria de pessoas incluem-se, sem se limitar a estes, os empregados, gestores, sócios, fornecedores e prestadores de serviços da organização.
 
“Gestor da Informação” – o colaborador designado para realizar a gestão da Informação, sendo responsável pela validação, liberação e cancelamento dos acessos à Informação.
 
“Hardening” – é um processo de mapeamento das ameaças cibernéticas, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura.
 
“Informação” – conjunto de conhecimentos e dados relacionados aos negócios da organização, seus clientes, fornecedores, colaboradores e demais stakeholders, incluindo, sem limitação, de natureza comercial, técnica, financeira, pessoal, de marketing ou produto, independente do repositório da informação. A Informação pode ser classificada como Confidencial, de Uso Interno ou Pública.
 
“Repositórios (ou ativos) de Informação” – qualquer recurso físico ou lógico utilizado no armazenamento ou manuseio da Informação. Enquadram-se nesse conceito documentos em papel, arquivos físicos, computadores, servidores, programas de computador, bases de dados, linhas telefônicas, discos, dvd´s, cd´s, disquetes, hard-drives, pen-drives, memória flash, dentre outros.
 
“Usuário” – significa qualquer pessoa autorizada a acessar, ler, responder, inserir, alterar ou eliminar determinada Informação.

4. Atribuição de Responsabilidades: 

  • Colaboradores: (i) compreender e aplicar essa POLÍTICA; e (ii) reportar violações da POLÍTICA.
  • Gestores: (i) orientar suas equipes a fim de garantir o pleno atendimento dessa POLÍTICA; e (ii) orientar os prestadores de serviços contratados das práticas e diretrizes de segurança da informação aplicáveis.
  • Prestadores de Serviço: compreender e atender plenamente à POLÍTICA, de acordo com os termos, contratos e respectivos aditivos assinados com a organização.
  • Alta direção: (i) fornecer o apoio para implementação das ações de segurança da informação; e (ii) revisar anualmente, ou sempre que necessário, a presente POLÍTICA, buscando sua melhoria contínua e providenciando as alterações necessárias.
  • TI/Infraestrutura: (i) trabalhar no suporte técnico, análise e manutenção dessa POLÍTICA e eventuais normas de segurança da Informação; (ii) promover a cultura de segurança da Informação; (iii) propor ações de segurança da informação alinhadas com os objetivos do negócio; e (iv) operacionalizar os processos de segurança da informação contidos nesse documento.
5. Penalidades: 
5.1. O descumprimento ou violação das regras previstas nesta POLÍTICA, poderá resultar na aplicação das sanções conforme descrito abaixo: 
  • Infrações leves: se caracterizam como pequenas irregularidades, desinteresse do funcionário em obedecer às diretrizes da POLÍTICA e atos de má fé que propiciem o aumento de exposição aos riscos, sem a materialização de eventos que causem prejuízos. Os casos identificados serão discutidos pelo gestor com a Alta Direção para avaliação da penalidade aplicável: treinamento de reciclagem, advertência verbal ou advertência por escrito.
  • Infrações moderadas: se caracterizam como irregularidades cometidas, seja intencionais ou não, que levem a materialização de eventos que causem prejuízos internos à organização, porém sem exposição externa ou comprometimento das operações junto a seus clientes. Os casos identificados serão discutidos pelo gestor com a Alta Direção para avaliação da penalidade aplicável: advertência por escrito, ressarcimentos ou suspensão.
  • Infrações graves: prática de qualquer dos fatos a que se refere o art. 482 da CLT, que, quando por sua repetição ou natureza representem séria violação dos deveres e obrigações do empregado, bem como ocasione impactos severos nas operações realizadas na instituição perante seus clientes. Os casos identificados serão discutidos pelo gestor com a Alta Direção para avaliação da penalidade aplicável, que pode culminar com a demissão do infrator.
6. Uso Aceitável de Recursos Tecnológicos: 
6.1. Recursos tecnológicos são disponibilizados aos colaboradores – sejam eles funcionários, estagiários, prestadores de serviço e demais contratados – autorizados de modo a auxiliá-los no desempenho de suas funções e na execução das atividades. Em relação ao uso de recursos tecnológicos disponibilizados, as seguintes atividades são proibidas: 
  • Desabilitar mecanismos de segurança da informação da sua estação de trabalho ou outros equipamentos.
  • Utilizar recursos computacionais ou de informação de acesso restrito, além do nível de autorização concedido.
  • Acesso, posse ou distribuição não autorizados, por via eletrônica ou qualquer outro meio, de informações e/ou dados confidenciais.
  • Intencionalmente comprometer a privacidade e/ou segurança da informação.
  • Uso de recursos disponibilizados para discriminação ou provocação em razão do sexo, raça, cor, religião, nacionalidade, idade, porte de deficiência física, condição de saúde, estado civil ou qualquer outra condição prevista em lei.
  • Promover comunicações ilegais, tais como ameaça de violência, injúria e difamação, pornografia infantil, assédio e tráfico de drogas, conforme definido pela lei.
  • Armazenamento de vídeos, imagens, músicas e/ou jogos de computador que não estão relacionados a Companhia.
  • Utilização dos recursos disponibilizados para negócios particulares.
  • Não são permitidos o "download" e instalação, pelos colaboradores, de programas, aplicativos ou softwares de qualquer natureza vindos da Internet, e-mail ou qualquer outra fonte. Apenas os aplicativos recomendados e homologados oficialmente são permitidos. Os colaboradores poderão solicitar à organização uma autorização expressa para instalação de softwares não homologados, na medida que necessário para o exercício de suas funções, ficando a exclusivo critério dessa, a avaliação a respeito da segurança do software e aprovação ou não de sua instalação. 
6.2. Todo equipamento ou recurso tecnológico é de uso restrito da organização e deve estar em local seguro, com acesso restrito e protegido contra roubo, furto e danos físicos. O nível de segurança deve ser proporcional à importância do bem e das informações nele contidas.
 
6.3. Todos os colaboradores e prestadores de serviço são responsáveis pela guarda, zelo e bom uso dos recursos tecnológicos disponibilizados para o desempenho de suas atividades.

7. Uso aceitável da Internet (navegação): 
7.1. A Internet deve ser utilizada para a realização das atividades profissionais, porém o uso para fins pessoais é permitido desde que não cause impactos na operação da rede corporativa, nas atividades da área e prazos de projetos. Em relação à navegação na Internet, deverão ser adotadas as seguintes práticas: 
  • Todo colaborador com acesso à Internet pode ser responsabilizado por brechas que intencionalmente afetem a segurança ou confidencialidade das informações.
  • Não é permitido o acesso a sites de conteúdo pornográfico e ilegal.
  • Não é permitido o envio, recebimento e obtenção de arquivos de uso pessoal, ofensivo e ilegal assim como seu armazenamento nos recursos tecnológicos disponibilizados tais como diretórios de rede e e-mail.
8. Uso aceitável do E-mail Corporativo:
 
8.1. A comunicação do e-mail corporativo é considerada de controle da organização e pode ser monitorada através de ferramentas. Em relação ao uso do e-mail corporativo, deverão ser adotadas as seguintes práticas:
 
  • Não é permitido o envio de arquivos anexados que, a critério da organização, constituam ameaça de propagação de vírus.
  • É proibido o envio de mensagens pelo sistema de correio eletrônico, entre quaisquer usuários ou mesmo externamente, que (i) possam trazer ao equipamento ou rede, códigos maliciosos, vírus ou quaisquer outros elementos que possam afetas o desempenho da rede e dos sistemas; (ii) contenham conteúdo ofensivo ou ilegal; (iii) contenham material protegido por leis de propriedade intelectual; (iv) contenham músicas, vídeos, ou animações que não sejam de interesse específico do trabalho, bem como SPAM; e (v) contenham “correntes”, “boatos”, piadas, anedotas e assemelhados.
  • Não é permitido compartilhar documentos sem autorização.
  • O endereço de e-mail fornecido não deve ser utilizado para cadastro em sites de compras, relacionamento pessoal, blogs, ou qualquer outra página da internet que não esteja relacionada com as atividades profissionais.
  • É proibido forjar ou tentar forjar mensagens de e-mail, ou disfarçar ou tentar disfarçar sua identidade quando enviar uma mensagem via e-mail.
  • É proibido utilizar e-mails de outros funcionários e enviar mensagens com intuito de assumir sua identidade.
  • Deve ser evitada a abertura de mensagens de origem desconhecida, contendo anexos ou conteúdo duvidoso ou que tenham links para sites desconhecidos e solicitem o download de arquivos ou dados pessoais. Mensagens que possuam tais características devem ser excluídas imediatamente.
9. Uso Aceitável das Redes Sociais: 
9.1. As redes sociais podem ser acessadas desde que o acesso seja moderado e não impacte nos prazos de projetos e nas atividades profissionais. Recomenda-se que o acesso seja realizado no intervalo do almoço ou antes/após o horário comercial. Em relação ao uso das redes sociais, deverão ser adotadas as seguintes práticas:
  • É proibido divulgar informações em comunidades virtuais e redes sociais em nome da organização, portanto, não se deve (i) divulgar informações sobre novas tecnologias, serviços e sistemas; (ii) conceder opinião pessoal em resposta a publicações na internet relacionadas à organização; (iii) assumir a identidade de outros colaboradores para expressas opiniões em seu nome; (iv) divulgar informações sobre a rotina profissional, atividades e projetos em andamento; (v) emitir opiniões em nome da Companhia; e (vi) publicar um documento interno.
  • Em caso de necessidade de publicação ou divulgação de informações ao público, devem ser utilizados os canais corporativos nas redes sociais através dos representantes nomeados para este fim.
10. Local de Trabalho: 
10.1. As estações de trabalho (desktop ou notebook) devem ser desligadas após o final do expediente ou durante um período de afastamento superior a 1 (um) dia com exceção de equipe de operação que, devido a características de suas atividades profissionais, deve bloquear a estação de trabalho durante a ausência.
 
10.2. Caso o colaborador se afaste da sua mesa de trabalho deve guardar em lugar seguro as informações confidenciais.
 
10.3. Se o usuário se afastar da estação de trabalho (desktop ou notebook) por qualquer período de tempo, a menos que desligue a mesma, deve bloquear a tela (“Bloquear Computador”) ou “Efetuar LogOff”.
 
10.4 Os documentos confidenciais devem ser guardados em armários ou gavetas trancadas.

11. Descarte de Mídia: 
11.1 A guarda, circulação e descarte de informações, nas suas diversas mídias, devem ser realizados através de procedimentos e técnicas de proteção, de acordo com o nível de criticidade da informação.
 
11.2 Todos os equipamentos que detenham mídias de armazenamento de dados devem ser examinados antes do descarte para assegurar a segurança, privacidade e proteção dos dados que carregam.
 
11.3 Todas as mídias consideradas inservíveis ou destinadas a descarte deverão ser examinadas, destruídas fisicamente ou, ainda, deverão ter suas informações apagadas ou desconfiguradas por meio de técnicas que tornem as informações originais irrecuperáveis.

12. Acesso Físico: 
12.1. O acesso de visitantes a qualquer ambiente da organização deve ser autorizado previamente e registrado formalmente. A permanência de pessoas estranhas nos ambientes deve ser acompanhada. Todas as instalações devem ser consideradas espaços restritos, devendo ter o acesso físico controlado e registrado.
 
12.2. Os equipamentos de TI devem ser instalados em local com condições ambientais e de segurança adequadas, inclusive com mecanismos de proteção contra fogo e infiltrações de água.
 
12.3. O acesso aos equipamentos deve ser restrito a pessoas responsáveis por sua administração e operação, e somente para o desempenho das suas atividades.
 
12.4. Caso algum equipamento necessite ser transferido para outras localidades físicas como prestadores de serviço e manutenção, a situação deve acompanhada por profissionais especialmente designados pela organização.

13. Demais Condições de Segurança da Informação: 
13.1. É vedada a conexão de equipamentos de terceiros na rede corporativa, sem a devida autorização da Alta Direção, inclusive aqueles de propriedade de colaboradores.
 
13.2. A integridade das informações deve ser protegida por meio de uso de criptografia no trânsito (VPN) e armazenamento (criptografia de disco e bases de dados).
 
13.3. Os usuários e senhas são pessoais e intransferíveis. Os colaboradores devem zelar pela proteção dos seus dados de acesso, sendo vedada a divulgação de senhas à terceiros, e a sua disposição em locais não protegidos, como mesas e monitores. Os usuários são responsáveis por ações que sejam executadas através de seu login pessoal, exceto se confirmado uso não autorizado por outro colaborador ou qualquer outra pessoa com acesso ao login. A organização deve executar, manter e controlar procedimento de criação de senha para os colaboradores, baseados em critério considerados seguros pelo mercado.
 
13.4. Os dispositivos móveis (como por exemplo: notebook e celulares) que armazenam informações confidenciais e/ou estratégicas devem ser protegidos adequadamente para prevenção de acesso indevido por pessoas não autorizadas incluindo: 
  • Utilização de aplicativo de antivírus com atualização automática.
  • Habilitação de senha de acesso no dispositivo.
  • Habilitação de login com usuário e senha na inicialização e bloqueio após período de inatividade.
  • Habilitação da função de criptografia da informação se a opção estiver disponível no equipamento. 
13.5. Os registros (logs) dos sistemas devem ser armazenados e analisados periodicamente de forma a permitir identificar ações realizadas em casos de incidentes, fraudes, fiscalizações e auditorias.