Política de Segurança da Informação

 

Documento de Diretrizes e Normas Administrativas

 

1.INTRODUÇÃO

 

Com a preocupação de mantermos a segurança nas atividades, apresentamos neste documento um conjunto de instruções e procedimentos para normalizar e melhorar a visão e atuação em segurança.

 

  • A empresa e a Política de Segurança

 

As regras aqui estabelecidas serão observadas em todos os seus detalhes por todos os colaboradores, parceiros, clientes e prestadores de serviços. Desta forma, quando divulgado e entregue a cópia deste documento, todos os que receberem se comprometem a respeitar todos os tópicos abordados e está ciente da repercussão de tais regras no seu dia a dia.

 

  • O não cumprimento da Política de Segurança

 

O não cumprimento das políticas aqui detalhadas acarretará em sanções administrativas em primeiro momento, podendo na reincidência ou conforme a gravidade do ato contrário à esta política acarretar o desligamento daquele que infringiu regras aqui dispostas.

 

2.OBJETIVOS

 

Esta Política de Segurança tem como objetivo estabelecer diretrizes que permitam aos colaboradores, parceiros, clientes e prestadores de serviços a seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

 

Ainda, servirá esta Política de Segurança para nortear a definição de normas e procedimentos

específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.

 

Por fim, temos ainda como objetivo preservar as informações quanto à:

 

  • Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
  • Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas

autorizadas.

  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

 

 

3.DAS RESPONSABILIDADES ESPECÍFICAS


3.1. Dos colaboradores em geral

 

Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.

 

Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar a GARBARI IMPORTS e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

3.2. Dos colaboradores em regime de exceção (temporários)

 

Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido de Política de Segurança da Informação.

A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.

3.3. Dos gestores de pessoas e/ou processos

 

Devem ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.

 

Também devem atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento desta PSI.

 

Exigirão dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da GARBARI IMPORTS.

Antes de conceder acesso às informações da instituição, estes deverão exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.

 

Por fim, deverão adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.

 

 

4.DOS CUSTODIANTES DA INFORMAÇÃO


4.1. Da área de tecnologia da informação (TI)

 

São deveres da área de Tecnologia da Informação e seus prepostos:

 

  1. a) Configurar as ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI;
  2. b) Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
  3. c) Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes;
  4. d) Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que: os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.
  5. e) Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
  • 2. Da área de segurança da informação
  • É responsabilidade da área de Segurança da Informação:

 

  1. a) Publicar e promover as versões da PSI e as Normas de Segurança da Informação estabelecidas.
  2. b) Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o ambiente de negócio, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
  3. c) Analisar criticamente incidentes em conjunto com os dirigentes.

5.USO DE CORREIO ELETRÔNICO

 

O uso do correio eletrônico é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição. A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso, não prejudique a empresa e também não cause impacto no tráfego da rede.

  • Contudo, os usuários não poderão ter expectativa de privacidade com relação as mensagens e anexos na utilização do correio eletrônico, restando claro neste documento que todos os dados poderão ser gerenciados e monitorados.

 

Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da GARBARI IMPORTS:

  • Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas auso legítimo da instituição;
  • Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
  • Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a GARBARI IMPORTS vulnerável a ações civis ou criminais;
  • Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
  • Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
  • Produzir, transmitir ou divulgar mensagem que:
  1. Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da GARBARI IMPORTS;
  2. Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
  3. Vise obter acesso não autorizado a outro computador, servidor ou rede;
  4. Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
  5. Vise burlar qualquer sistema de segurança;
  6. Vise acessar informações confidenciais sem explícita autorização do proprietário;
  7. Inclua imagens criptografadas ou de qualquer forma mascaradas;
  8. Tenha conteúdo considerado impróprio, obsceno ou ilegal;

6.USO DE INTERNET

 

Todas as regras atuais visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet.

 

É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.

Os colaboradores não poderão em hipótese alguma utilizar os recursos da empresa para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.

7.DO USO DE DISPOSITIVOS PESSOAIS (BYOD)

 

O proprietário do equipamento será o único responsável pela manutenção e atualização das licenças dos softwares instalados no seu dispositivo. Todas as licenças dos softwares utilizados nos dispositivos BYOD deverão ser originais e adquiridas pelo usuário para não haver implicações legais em se tratando de pirataria de software. O usuário responderá por qualquer incidente ou processo sobre o uso de software não licenciado em seu dispositivo.

 

É responsabilidade do proprietário, a guarda e manutenção adequada do dispositivo de seus equipamentos quando utilizados para a execução das atividades da GARBARI IMPORTS.

 

A GARBARI IMPORTS não se responsabiliza por acessos indevidos ao dispositivo ou danos de hardware e/ou software que possam ocorrer neste quando usado no contexto da instituição. A responsabilidade de proteção física e lógica do dispositivo BYOD é exclusiva do proprietário.

 

Em caso de perda, roubo ou furto do dispositivo utilizado, deverá ser informado imediatamente, onde serão tomadas as medidas cabíveis se tratando de segurança e assim, evitar o uso indevido por terceiros dentro do ambiente da GARBARI IMPORTS, do dispositivo extraviado.

 

É responsabilidade exclusiva do proprietário do dispositivo a segurança dos dados no mesmo para não haver o vazamento de informações ou perda de dados. O proprietário deverá manter todos os meios de segurança, em especial a utilização de software de Firewall e Antivírus. Ainda, recomenda-se a utilização de criptografia nos dados do dispositivo e backup frequente dos dados.

  • Qualquer utilização de dispositivos BYOD estará sujeita às regras previstas nesta Política de Segurança de Informação.

No caso de finalização das atividades do proprietário, este se responsabilizará pela exclusão total dos dados armazenados em seu equipamento, que será auditado para a comprovação de que tais dados foram saneados e totalmente excluídos.

 

8.IDENTIFICAÇÃO

 

Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a GARBARI IMPORTS e/ou terceiros.

 

Desta forma, o uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

 

Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.

 

Todos os dispositivos de identificação utilizados, como o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

 

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal).

 

Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

 

Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.

 

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.
Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de estes e outras situações similares.

9.DOS COMPUTADORES E RECURSOS TECNOLOGICOS

 

Os equipamentos disponíveis aos colaboradores são de propriedade da GARBARI IMPORTS, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.

 

No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:

 

  • Todos os computadores de uso individual deverão ter senha de acesso para restringir o acesso de colaboradores não autorizados.
  • Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador.
  • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por terceiros devidamente contratados para o serviço.
  • Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e impressoras quando não estiverem sendo utilizados.

10.SERVIDOR DE ARQUIVOS E BACKUP

 

A empresa disponibiliza uma área específica para armazenamento seguro de dados e informações relativas ao negócio da empresa no Microsoft 365 SharePoint Online for Business com criptografia dos dados, com o perfil de acesso conforme a função exercida pelo usuário. Somente informações referentes as atividades profissionais do usuário deverão ser armazenadas nesta área.

A restrição de acesso é feita a nível de pastas e subpastas e são invioláveis. Qualquer tentativa de acesso a uma pasta ou arquivo armazenado em outras áreas que não sejam de interesse profissional do usuário é passível de medidas disciplinares.

 

As informações armazenadas no servidor de arquivo possuem serviços de contingência para garantir a integridade e disponibilidade das informações pelo prazo decadencial.

 

Esta política de segurança da informação não autoriza ao usuário armazenar informações de domino da GARBARI IMPORTS em locais ou dispositivos particulares.

 

Todos os dados armazenados no servidor estão protegidos contra perda ou exclusão, indo para lixeira e nos permitindo sua recuperação no prazo de 93 dias.

Além do servidor de armazenamento da Microsoft 365 SharePoint Online, os Documentos e operações são registrados e gravados no sistema CONEXOS com logs para rastreabilidade das operações e com Backup diários conforme Artigo 19.4 do Termo de considerações gerais e uso do sistema CONEXOS.

 

11.ARQUIVO FISICO


            É importante reservar um espaço, com acesso controlado a pessoas autorizadas da organização para uso somente com a finalidade de armazenamento de arquivos físicos.

Os documentos devem estar organizados em gaveteiros devidamente organizados pelo prazo decadencial.

 

Os Documentos físicos devem ser digitalizados e armazenados na respectiva pasta de cada processo.

 

12.DAS DISPOSIÇÕES FINAIS

 

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da GARBARI IMPORTS. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.

 

 Termo de Compromisso e ciência da Política de Segurança da Informação – Download

 

 

Estamos online!