POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO
1. INTRODUÇÃO
Este documento define as diretrizes que nortearão as normas e padrões que tratam da proteção das informações da T.info – Tecnologia da Informação Ltda, abrangendo sua geração, utilização, armazenamento, distribuição, confidencialidade, disponibilidade e integridade, com base na legislação vigente, órgãos reguladores, autorreguladores e nas boas práticas de segurança da informação.
2. TRATAMENTO DA INFORMAÇÃO
A informação persistente nos sistemas da T.info, mesmo que pertencente a clientes, colaboradores ou fornecedores, deve ser protegida contra o acesso de pessoas não autorizadas.
2.1 ACESSO
O acesso, geração, utilização, classificação, modificação, distribuição, transferência, armazenamento e eliminação da informação devem ser feitas de acordo com as necessidades da empresa, sendo que estes processos devem estar devidamente documentados. As informações armazenadas em suas dependências e em seus equipamentos, bem como em arquivos físicos e eletrônicos, geradas ou recebidas com utilização de seus recursos humanos e materiais devem ser usadas somente por recursos autorizados para garantir o compartilhamento seguro quando for necessário.
2.2 ARMAZENAMENTO
A informação deve ser armazenada, pelo tempo determinado pela instituição, legislação ou regulação vigente, o que for maior, e recuperável quando necessário. O local de armazenamento das informações deve ser apropriado e protegido contra sinistros e acessos de pessoas não autorizadas. A T.info manterá um CSI – Comitê de Segurança da Informação, o qual terá a atribuição de nomear um gestor das informações, a quem cabe propor as regras de acesso às referidas informações, e administrá-las operacionalmente. Devem ser definidas regras claras para proteção da informação contra perda, alteração, acesso por pessoas não autorizadas, bem como definidos os usuários da T.info e dos stakeholders dos sistemas, os direitos que cada um tem para acessá-las e os procedimentos para protegê-las do acesso por pessoas não-autorizadas, independentemente da forma como estiver disponível.
Toda informação:
- Deve ser utilizada apenas para fins profissionais, de interesse exclusivo da empresa;
- Deve possuir pelo menos uma cópia reserva ou outro procedimento eficiente para pronta recuperação em caso de perda;
- Não deve ser acessada, divulgada ou disponibilizada, sob qualquer pretexto, sem a devida autorização do
É proibida a transmissão a terceiros, por qualquer meio, bem como sua divulgação, reprodução, cópia, utilização ou exploração de conhecimentos, dados e informações de propriedade das Instituições, utilizáveis nas atividades delas, sem a prévia e expressa autorização do CSI.
2.3 TRATAMENTO
A pessoa que receber indevidamente uma informação deve procurar imediatamente o remetente e alertá-lo sobre o equívoco. As informações disponíveis na Internet somente deverão ser acessadas para fins de execução das atividades de interesse exclusivo da empresa. Toda informação em papel, mídia removível ou qualquer outro meio de armazenamento deve ser destruída após o uso, ou guardada de forma a não estar disponível para pessoas não autorizadas. Os gestores devem determinar as regras de acesso e distribuição das informações, considerando os seguintes itens:
- Riscos inerentes às informações;
- Acesso por pessoas não autorizadas;
- Alteração, utilização, classificação, modificação, distribuição, transferência armazenamento ou eliminação indevida; e – Indisponibilidade.
2.4 CONSEQUENCIAS MAPEADAS
As seguintes possíveis consequências foram mapeadas em decorrência de falhas de segurança da informação:
- Fraudes: Possibilidades de lesarem empresas (clientes, fornecedores etc.);
- Problemas legais: Possibilidades de gerar prejuízos, multas, penalidades ou embaraços às Instituições e a outras pessoas físicas ou jurídicas;
- Perda de negócio: Possibilidade de não realizar receitas previstas ou gerar perdas nos negócios implantados ou em fase de implantação;
- Prejuízo de imagem: Possibilidades de prejudicar a imagem da info ou de seus colaboradores;
- Problemas de recuperação: Possibilidades de gerar custos de recuperação de informações perdidas ou danificadas.
3. RESPONSABILIDADE DAS PESSOAS
Nossos colaboradores possuem responsabilidade direta com o uso e o tratamento dos recursos de tecnologia inclusive com as informações, sendo que é obrigatório a assinatura de um termo de reponsabilidade por todos os colaboradores.
4. ACEITE DOS CLIENTES
Quando for o caso, os clientes usuários das soluções da T.info, devem fazer o aceite das condições de uso antes de terem o acesso aos sistemas liberados.
5. SEGURANÇA DE COMPUTADORES, REDES E SISTEMAS APLICATIVOS
Todo sistema aplicativo define um conjunto de operações aplicáveis às informações sob seu domínio. Tipicamente estas operações são: consulta, inclusão, alteração, exclusão etc. Um perfil de acesso define que operações podem ser executadas por certa classe de usuários, usando um determinado tipo de informação. As regras de acesso às informações de um sistema aplicativo devem incluir a definição dos perfis, alçadas e classe de usuários, bem como os processos operacionais a serem utilizados para sua administração e controle.
Os acessos aos serviços e dados devem ser controlados com base nos requisitos de cada negócio, devem estar claramente definidos e documentados e todos os sistemas aplicativos devem estar direcionados para a implementação e manutenção desses controles. Cada gestor da informação é responsável por definir e manter atualizados os perfis de acesso aos seus aplicativos visando o acesso mínimo necessário para a execução das atividades bem como evitar conflitos de interesse.
As informações devem ser analisadas pelos respectivos gestores da informação, de forma a permitir que sejam definidas as regras de acesso, através de perfis e alçadas. Os sistemas aplicativos devem possuir recursos que possibilitem a administração dos acessos, através dos perfis e alçadas definidos pelos respectivos gestores da informação.
Administração do acesso de usuários
Devem existir procedimentos formais que contemplem todas as atividades ligadas à administração de acessos, desde a criação de um usuário novo, passando pela administração de privilégios e senhas e incluindo a desativação de usuários.
Controle de acesso a computadores e redes:
Deve ser assegurado que usuários de computadores, conectados ou não a uma rede, não comprometam a segurança de qualquer sistema ou produto. O acesso a serviços computacionais deve ocorrer sempre através de um procedimento seguro, pelo qual o usuário conecta-se a um determinado sistema ou rede, que deve ser planejado para minimizar as oportunidades de acessos não autorizados. Os ambientes de produção, homologação e desenvolvimento devem estar segregados entre si, de forma a impedir acessos indevidos.
Normas para controle de acesso
Um sistema efetivo de controle de acesso deve ser utilizado para autenticar os usuários. As principais características desse controle são:
- O acesso a computadores e redes deve ser protegido por senha;
- As senhas poderão ser alteradas pelos usuários em qualquer ambiente;
- Os sistemas devem ser programados para nunca exibir a senha na tela;
- A senha é de uso exclusivo, pessoal e intransferível, sendo o compartilhamento proibido em quaisquer circunstâncias;
- As senhas não devem ser triviais e previsíveis e os tipos de caracteres utilizados para a formação da senha devem ser:
- Letras maiúsculas;
- Letras minúsculas;
- Números;
- Sinais ou símbolos especiais símbolos especiais (Exemplo: @ # $ % & * – + = “ ´ ` ^ ~ { } [ ] / | \ ?)
- As senhas deverão ter um tamanho mínimo de 08 (oito) caracteres, sendo obrigatória a utilização de no mínimo três dos quatro tipos de caracteres acima definidos, sendo mandatário o uso de no mínimo um sinal ou símbolo especial;
- Os sistemas devem prever um prazo para a expiração de senhas de no máximo 30 (trinta) dias;
- Caso algum sistema defina uma senha inicial, deverá obrigar o usuário a alterá-la no primeiro acesso;
- As senhas trocadas ou expiradas devem ser cadastradas para efeito de bloqueio de reutilização;
- Os arquivos de senhas devem ser criptografados e gravados separadamente dos arquivos de dados, em ambiente de acesso restrito;
- Após um máximo de cinco tentativas consecutivas sem sucesso, os acessos devem ser bloqueados até que seja solicitado o desbloqueio do usuário;
- Uma vez aprovada, a senha deve garantir acesso exclusivo do usuário na estação de trabalho. Portanto, um mesmo usuário não deverá utilizar simultaneamente mais de uma estação de trabalho.
Monitoramento de uso e acesso
Todos os sistemas aplicativos deverão:
- Detectar tentativas de acesso não autorizado;
- Registrar eventos de entrada no sistema (login);
- Sempre que houver riscos que afetem o negócio devem ser gravadas trilhas de auditoria para futuras investigações, registrando os dados dos acessos, tais como: identificação do usuário, localidade, identificação do terminal ou estação de rede, data e hora do acesso, identificação do aplicativo acessado e transações executadas;
- Emitir relatórios gerenciais de acessos (por usuário, módulo do aplicativo e funções).
Processo de desenvolvimento de sistemas
Os sistemas desenvolvidos pela T.info deverão observar e seguir as boas práticas de mercado sobre desenvolvimento seguro a fim de mitigar riscos e vulnerabilidades comumente exploradas nos sistemas. Deve ser realizada a adequação de processos ao sistema de qualidade MPS-BR nível g, no qual a T.info possui certificação.
6. SISTEMAS DISPONIBILIZADOS EM INTERNET
A T.info disponibiliza sistemas em modo de plataforma acessada via internet, sendo que para isso:
- Utiliza a plataforma de nuvem computacional da MICROSOFT, denominada AZURE;
- Todos os acessos são disponibilizados via protocolo seguro “https”, de Transferência de Hipertexto Seguro. Esse protocolo é uma junção entre o HTTP com o SSL (Secure Sockets Layers, ou, na nossa língua, Protocolo de Camadas de Entradas e Saídas Seguras);
- Para cada sistema, de acordo com as necessidades, são disponibilizadas camadas de segurança da própria MICROSOFT, e sempre o banco de dados utilizado nas aplicações é do tipo PAS Platform as a Service (Plataforma como Serviço), com controle de acesso via IP específico;
- Os bancos de dados, por projeto, possuem segurança de criptografia nas informações sensíveis;
- São disponibilizados planos de backup, restore e redundâncias de servidores e de bancos de dados utilizando os recursos da estrutura de nuvem da MICROSOFT AZURE.
7. RECUPERAÇÃO DE DADOS
Todo e qualquer meio de armazenamento assim como os procedimentos de recuperação devem ser regularmente testados, garantindo sua efetividade. A periodicidade deve ao menos ser uma por ano, a ser determinada pelo CSI. Devem ser mantidas evidências do sucesso dos testes feitos.
8. PIRATARIA
A quantidade de licenças de softwares utilizados pela T.info não pode ser inferior à quantidade de softwares instalados, mesmo que para fins de testes ou treinamentos, a não ser que esta situação esteja coberta contratualmente. Não é permitido duplicar software de propriedade da T.info a não ser com a finalidade de cópia de segurança e mesmo assim, somente por pessoas autorizadas. Uma licença de uso de software da T.info só pode ser instalada em computadores da T.info.
Não é permitido executar ou instalar qualquer software (inclusive software livre e de domínio público), telas de “screen saver”, “papéis de parede” etc., que não estejam autorizados pelo CSI. Todo software de demonstração deve vir acompanhado de uma autorização formal da empresa proprietária, indicando onde pode ser instalado e por quanto tempo. A utilização de software do tipo “shareware” só deve ser feita após a obtenção do registro junto ao autor. É proibida a utilização e reprodução não autorizada de manuais, livros, revistas, periódicos protegidos por direitos autorais.
9. UTILIZAÇÃO DE HARDWARE E DE SOFTWARE
Todos os equipamentos portáteis (notebooks, laptops, netbooks, ultrabooks, tablets e smartphones) que tenham capacidade de armazenamento de dados, devem seguir os princípios de segurança contidos nessa política. Quando estes equipamentos contiverem informações que não possam ser de conhecimento público, os dados devem ser criptografados ou ter seu acesso protegido por senha.
10. USO DA INTERNET
A Internet abrange vários aspectos e serviços (websites de serviços governamentais, prestadores de serviço e outros) que devem ser disponibilizados de forma restrita ou controlados conforme as necessidades de negócio. A restrição a websites não relativos aos negócios da organização deve ser implementada, garantindo o uso efetivo da rede de Internet. O acesso à Internet deve ser limitado em relação ao acesso aos websites que possam denegrir a imagem da organização (por exemplo: pornografia, pedofilia, racismo etc.) e que não têm relação com os objetivos de negócio da organização (webmail, jogos etc.). Deve também comunicar o endereço eletrônico desses websites ao CSI, o qual deverá realizar seu imediato bloqueio. O acesso à Internet deve ser feito através de “Servidores de Acesso” protegidos por sistemas de Firewall. Quando for necessário o acesso utilizando uma segunda conexão através de modem ou rede wi-fi, a configuração da máquina deve garantir o isolamento da rede normal de serviço da empresa, evitando assim que uma contaminação seja propagada. Os requisitos de segurança destas máquinas em particular devem ser respeitados (antivírus e firewall local).
11. ACESSO AO CORREIO ELETRÔNICO
A T.info disponibiliza aos seus colaboradores a tecnologia necessária a fim de facilitar a comunicação interna, comunicação com clientes, fornecedores e outros grupos que tenham relação comercial. É de responsabilidade do usuário a utilização da tecnologia de forma adequada, prudente, e de modo compatível com as leis e princípios aplicáveis aos negócios. As mensagens de correio eletrônico devem ser rastreadas, a fim de permitir o monitoramento para identificar o uso indevido da tecnologia.
12. PLANO DE CONTINUIDADE DO NEGÓCIO
Um plano de continuidade do negócio deve garantir a recuperação dos processos críticos da T.info quando da indisponibilidade do ambiente ou de quaisquer recursos que impossibilitem o desenvolvimento ou as operações das áreas de negócio. É de responsabilidade de cada área envolvida no desenvolvimento dos negócios, elaborar, testar e implantar seus planos de contingência. Sendo que o plano deve ser revisado e atualizado anualmente. A definição de processos críticos da T.info obrigatoriamente, deve obedecer a critérios emanados pelos responsáveis por cada área.
Pontos a serem observados no plano de continuidade do negócio
- As funções críticas devem ser identificadas e definidas;
- Traçar uma estratégia para recuperação de cada função crítica;
- Priorizar as funções críticas para ordenar sua recuperação;
- Identificar as atividades necessárias para recuperar cada função;
- Quantificar os recursos humanos e técnicos necessários ao cumprimento do plano;
- Documentar os processos críticos;
- Identificar os responsáveis pela recuperação de cada processo ou função;
- Ações para restabelecer a operação normal;
- Identificar os recursos de backup (infraestrutura, hardware, software, sistemas aplicativos e telecomunicações).
Revisões periódicas do plano de continuidade do negócio
O plano de continuidade do negócio deverá sofrer revisões anuais a fim de identificar pontos que estiverem em desacordo com a situação atual. Deverão ser observados os pontos abaixo:
- Troca de fornecedores ou contratados;
- Alteração de endereços, números de telefones ou canais de acesso ao suporte;
- Mudanças nas prioridades de recuperação;
- Interdependência entre sistemas e aplicativos;
- Mudanças nas funções e nos processos críticos de negócio;
- Mudanças nas práticas operacionais;
- Atualização da relação de colaboradores críticos.
13. PLANO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO
Um plano de conscientização da segurança da informação deve ser elaborado e executado para atingir o objetivo de garantir que a segurança da informação não seja apenas conhecida, mas compreendida por todos os colaboradores e colaboradores, conscientizando-os sobre melhores práticas, requisitos mínimos, riscos e responsabilidades existentes e quais medidas devem ser adotadas quando houver incidentes de segurança de forma a atingir uma melhor utilização e proteção à informação.
As diretrizes básicas são:
- Elaboração de um processo de treinamento continuado contemplando todos os níveis funcionais da info;
- Divulgação de diversos materiais e alertas referente a Segurança da Informação para colaboradores, colaboradores e clientes;
- Criação de procedimentos de aferição do nível de conhecimento dos usuários em geral;
- Organização de eventos que tenham o intuito de fortalecer a conscientização sobre diversos aspectos de segurança em geral;
- Revisão periódica do plano, adequando as ações às novas necessidades, evitando torná-lo repetitivo.
14. RELACIONAMENTO COM OS CLIENTES
Os seguintes canais eletrônicos de relacionamento devem garantir a comunicação com os clientes da T.info:
- Telefone;
- E-mail;
- WhatsApp corporativo com validação do número de telefone que originou a comunicação e confirmação de informações de conhecimento pessoal do cliente.
Na utilização de mensagens de e-mail, a privacidade da informação deve ser preservada e deve-se utilizar certificados que garantam a integridade da mensagem ou senhas em arquivos que devem ser transmitidas ao cliente por outro meio de comunicação.
15. LEI GERAL DE PROTEÇÃO DE DADOS – LGPD
Deve ser garantida a conformidade com com a legislação sobre privacidade e proteção de dados vigente, em particular a Lei Federal n. 13.709/2018 (“LGPD”), sendo que deve ser observado o tratamento de dados pessoais, desde a coleta, tratamento, armazenamento e eliminação, assegurando que o tratamento dos dados pessoais seja realizado de acordo com as finalidades específicas e consentidas pelos titulares, nos termos da legislação vigente e da Lei nº 13.709/2018 (“LGPD”). As informações sensíveis não deve ser cedidas ou compartilhadas a qualquer título observando sua privacidade e proteção, tratando os dados pessoais coletados para fins lícitos e expressamente previstos em lei, empregando as melhores práticas e medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de qualquer forma de tratamento inadequado ou ilícito. Um eventual incidente ou suspeita de qualquer uso indevido, ilegal ou inadequado de Dados Pessoais e Dados confidenciais , de situações de acesso uso ou aquisição de Dados confidenciais e Dados Pessoais por pessoa não autorizada ou de qualquer forma de comprometimento de Dados confidenciais ou Dados Pessoais será avisado em até 48 ( quarenta e oito horas) as partes envolvidas.