Política de Segurança da Informação
A Política de Segurança da Informação (PSI) é o documento embasado em diretrizes e normas de gestão de segurança da informação e privacidade, que orienta e estabelece as diretrizes corporativas aplicáveis a todos os usuários e setores da Cedro Technologies, a fim de proteger os ativos de informação da organização. Deve, portanto, ser cumprida e aplicada em todas as áreas da empresa.
As diretrizes estabelecidas neste documento descrevem a conduta considerada adequada para a manipulação de ativos de informação da organização. Quaisquer condutas em desacordo com as diretrizes aqui descritas podem ser consideradas incidentes de segurança da informação e privacidade.
A presente Política foi elaborada com base nas melhores práticas e condutas estabelecidas pelas normas internacionais que tratam sobre os sistemas de gestão de segurança da informação e da privacidade de dados, em especial:
- ABNT NBR ISO/IEC 27001/2013 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos.
- ABNT NBR ISO/IEC 27002/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para Controles de Segurança da Informação.
- ABNT NBR ISO/IEC 27701/2020 – Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da
informação – Requisitos e diretrizes.
Esta política deve ser compartilhada em meios digitais para que estejam visíveis para todas as pessoas e empresas envolvidas com a Cedro Technologies, incluindo, mas não se limitando, a colaboradores, prestadores de serviços e clientes.
1. GLOSSÁRIO:
Ativo: tudo aquilo que possui valor para a Cedro Technologies.
Ativo de informação: patrimônio intangível da Cedro Technologies, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de talentos humanos, legal, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas aa Cedro Technologies por parceiros, clientes, prestadores de serviços e terceiros, em formato escrito, verbal ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da Cedro Technologies ou por infraestrutura externa contratada pela organização, além dos documentos ou mídia eletrônica.
Confidencialidade: propriedade dos ativos da informação da Cedro Technologies, de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.
Controle: medida de segurança adotada pela Cedro Technologies para o tratamento de um risco específico.
Disponibilidade: propriedade dos ativos da informação da Cedro Technologies, de serem acessíveis e utilizáveis sob demanda, por partes autorizadas.
Incidente de Segurança da Informação e Privacidade: um evento ou conjunto de eventos indesejados que tem possibilidade significativa de afetar as operações ou ameaçar os dados pessoais e/ou as informações da Cedro Technologies.
Integridade: propriedade dos ativos da informação da Cedro Technologies, de serem exatos e completos.
Risco de segurança da informação: efeito da incerteza sobre os objetivos de segurança da informação da Cedro Technologies.
Segurança da informação: preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da Cedro Technologies.
Usuário da Informação: usuário, de qualquer área da Cedro Technologies ou terceiros alocados na prestação de serviços a esta, indiferentemente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar/manipular qualquer ativo de informação da Cedro Technologies para o desempenho de suas atividades profissionais.
Vulnerabilidade: causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da Cedro Technologies.
2. OBJETIVOS:
Os objetivos consistem em estabelecer diretrizes de orientação aos colaboradores, prestadores de serviços, clientes e demais partes interessadas (stakeholders) da Cedro Technologies relacionadas à segurança da informação, objetivando a proteção das informações baseadas nos requisitos legais, contratuais e de negócio, possibilitando que os colaboradores e clientes da Cedro Technologies sigam padrões de comportamentos relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Ademais, o objetivo também consiste em definir normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos que atinjam esta finalidade. Logo, é necessário preservar as informações da Cedro Technologies quanto à:
- Confidencialidade: garantir que o acesso à informação seja realizado somente por pessoas autorizadas.
- Integridade: garantir que a informação permaneça em seu estado original, protegendo-a de alterações indevidas, intencionais ou acidentais
- Disponibilidade: garantir que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes quando necessário à realização de suas
atividades
- Leis brasileiras: garantir o cumprimento de cada uma das leis brasileiras em sua íntegra em relação a uso de tecnologia, guarda de informações e recursos tecnológicos
3. APLICAÇÕES:
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, temporários ou não, prestadores de serviços, terceirizados e demais partes interessadas, aplicando-se a todas as informações obtidas e tratadas por meio de qualquer forma e/ou ferramenta.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador se atualizar em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência de Sistemas sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
4. PRINCÍPIOS DA PSI:
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade econômica da Cedro Technologies pertence a ela. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
A Cedro Technologies, por meio da Gerência de Sistemas, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas. O registro poderá ocorrer através do sistema de “Chamados Internos e Externos” da Cedro Technologies, documentações contratuais, cadastros internos da Cedro Technologies sobre seus clientes, bem como dos clientes destes, quando aplicável.
5. REQUISITOS:
Para a uniformidade das informações, a presente Política de Segurança da Informação deverá ser comunicada a todos os prestadores de serviços da Cedro Technologies, incluindo as pessoas jurídicas contratadas de forma temporária, a fim de que a política seja cumprida dentro e fora da empresa.
Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação.
Tanto a PSI quanto às normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança.
Constará como anexo em todos os contratos da Cedro Technologies a cláusula de confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela empresa.
Esta política será implementada no Cedro Technologies por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
A responsabilidade em relação à segurança da informação e privacidade deve ser comunicada na fase de contratação dos colaboradores, alocados e prestadores de serviços, sendo os mesmos orientados sobre os procedimentos de segurança constantes neste documento, assim como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles deverão assinar um termo de responsabilidade.
A Cedro Technologies exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, prestadores de serviço, terceiros e parceiros, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
Quaisquer danos ou obrigações suportadas pela Cedro Technologies em razão do uso indevido, negligente ou imprudente deverão ser ressarcidos imediatamente pelo colaborador/prestador de serviço responsável, reservando à Cedro Technologies o direito de regresso.
3. SEGURANÇA DA INFORMAÇÃO – DIRETRIZES DA POLÍTICA
Para uma efetiva garantia da privacidade e segurança da informação é imprescindível a manutenção da confidencialidade das informações. Com esse objetivo, o presente documento desenvolverá as medidas para a conservação da integridade dos dados pessoais, como a implementação de controles voltados para prevenir erros que possam resultar na incapacidade de manter a integridade das informações.
Para além dos controles sugeridos, é de extrema importância que a organização cumpra as obrigações legais buscando sempre manter as melhores práticas em privacidade e segurança estabelecidas em informática, apoiando na implementação de uma gestão sistemática dos riscos nas organizações.
A organização deverá ter foco nos padrões profissionais e éticos possibilitando a operacionalização de sistemas eletrônicos de informação em ambiente adequado e livre de ameaças, de modo que seja facilitada também a interoperabilidade entre os sistemas de diferentes stakeholders.
A organização deverá observar e tratar de maneira eficaz a gestão dos riscos de segurança da informação dentro de um programa de governança, garantido a integridade dos dados pessoais, sendo certo que violações podem levar a diagnósticos errados com diversas possíveis decorrências.
O grau de confidencialidade que a organização deverá observar com relação aos dados pessoais poderá variar de acordo com a natureza da informação revelada, da sua utilização e dos riscos inerentes do tratamento, sendo que a avaliação do risco deverá ser feita sempre de maneira cuidadosa e acertada, de modo que esta revelará o nível de esforço necessário para proteger a confidencialidade, integridade e disponibilidade a ser implementado pela empresa.
1. RESPONSABILIDADES ESPECÍFICAS:
1. Alta Administração:
a. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à Segurança da Informação e Privacidade.
b. Garantir a disponibilidade dos recursos necessários (financeiros, humanos e técnicos) para a efetiva Gestão de Segurança da Informação.
c. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI.
d. Promover a divulgação da PSI, e tomar as ações necessárias para disseminar a cultura de segurança da informação na Cedro Technologies.
2. Usuários da Informação:
a. Responder por todo o prejuízo ou dano que vier a sofrer ou causar a Cedro Technologies e/ou a terceiros/parceiros em decorrência da não obediência às diretrizes estabelecidas.
b. Classificar e manter registros sobre os dados pessoais e informações tratados.
c. Manter-se atualizado em relação à presente Política e aos procedimentos e normas relacionadas.
d. Informar, imediatamente, à área responsável, qualquer falha em dispositivo, serviço ou processo, para que uma ação seja tomada urgentemente.
e. Buscar orientação do responsável interno pela Segurança da Informação e do Encarregado de Proteção de Dados Pessoais (DPO) sempre que não estiver absolutamente seguro quanto à coleta, tratamento ou eliminação de informações e dados pessoais.
3. Colaboradores em Geral:
a. Entende-se por colaborador toda e qualquer pessoa física, contratada CLT, estagiários ou prestadores de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da empresa.
b. Será de inteira responsabilidade de cada colaborador, de forma regressiva, todo prejuízo ou risco de dano que vier a sofrer ou causar a Cedro Technologies e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
4. Colaboradores em Regime de Exceção (Temporários):
a. Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido pelo Comitê de Segurança da Informação.
b. A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.
5. Gestores de Pessoas e/ou Processos:
a. Portar-se como referência de conduta aos demais usuários quanto às medidas de segurança da informação aqui estabelecidas.
b. Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da Cedro Technologies.
c. Antes de conceder acesso às informações da empresa, orientar sobre as políticas estabelecidas neste documento, bem como instruir acerca das responsabilidades de seu cumprimento, exigindo a assinatura do Acordo de Confidencialidade aos novos usuários da informação, colaboradores casuais, prestadores de serviços e parceiros da empresa, que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.
d. Realizar questionamentos sobre possíveis experiências com incidentes de segurança da informação ou privacidade nas entrevistas para contratação de novos prestadores de serviços.
e. Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
6. Custodiantes da Informação:
1. Responsável pela Gestão da Tecnologia da Informação:
a. Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
b. Implementar mecanismos de segurança com base no valor associado aos dados pessoais e ao impacto oriundo da perda desses dados.
c. Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
d. Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes de segurança da informação e privacidade.
e. Configurar as ferramentas e sistemas concedidos aos usuários da informação com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI, em especial a instalação e atualização de antivírus, antimalware e firewalls.
f. Segregar as funções administrativas, operacionais e educacionais a fim de restringir ao máximo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de usuários que possam excluir logs e trilhas de auditoria das suas próprias ações.
g. Garantir segurança especial para sistemas com acesso público, incluindo o ambiente em DataCenter local, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
h. Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.
i. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
j. Administrar, proteger e testar as cópias de segurança (backups) dos processos críticos e relevantes da Cedro Technologies.
k. Atribuir cada conta ou dispositivo de acesso aos sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
- Os usuários (logins) individuais de funcionários são de responsabilidade do próprio funcionário.
- Os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.
l. Proteger continuamente todos os ativos de informação da empresa contra código malicioso e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso ou indesejado.
m. O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.
n. Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
o. Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais.
p. Realizar cópias de segurança (backups) dos dados gerados pelos sistemas internos e mantê-las em local adequado e separado do banco de dados.
q. Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
r. Realizar auditorias periódicas de configurações técnicas e análise de riscos.
s. Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.
t. Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, exigindo o seu cumprimento dentro da empresa.
u. Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
v. Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.
w. Monitorar o ambiente de TI, gerando indicadores e históricos de:
- Uso da capacidade instalada da rede e dos equipamentos.
- Tempo de resposta no acesso à internet e aos sistemas críticos da Cedro Technologies.
- Períodos de indisponibilidade no acesso à internet e aos sistemas críticos da Cedro Technologies.
- Incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante).
- Atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros).
x. Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários, sendo permitido, apenas, quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
y. Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
2. Gestão da Segurança da Informação:
a. O setor de Segurança da Informação deve ser criado com o objetivo de promover a Política de Segurança da Informação mantendo a segurança da Cedro Technologies para que possa garantir suas operações. Para tanto, deve ser o setor ligado diretamente à Presidência da Cedro Technologies e ter responsabilidades de diretoria em se tratando de segurança da informação.
b. Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação. Sendo assim, a Cedro Technologies precisa de um sistema digital de gerenciamento de incidentes instalado e divulgado para todos os seus colaboradores que serão responsáveis por publicarem informações sobre questões de segurança da informação.
c. Criar e apoiar iniciativas que visem à segurança dos ativos de informação da Cedro Technologies, mantendo a cultura de boas práticas de segurança, tendo como intuito o pensamento dos colaboradores voltado a possíveis eventos negativos em se tratando de segurança da informação.
d. Promover a conscientização dos usuários da informação em relação à relevância da segurança da informação e privacidade, para o negócio da Cedro Technologies, mediante campanhas, jornadas, palestras, treinamentos, oficinas e outros meios de divulgação interna.
e. Manter alinhamento com as diretrizes corporativas da organização.
f. Avaliar criticamente incidentes ou quaisquer eventos em se tratando de segurança em conjunto com o Comitê de Segurança da Informação.
g. Criar atualizações e publicar as versões da PSI e Normas de Segurança da Informação, que devem sempre ser aprovadas pelo Comitê de Segurança da Informação.
h. Apoiar diretamente certificações de segurança e adequação a leis brasileiras que tratam sobre assuntos pertinentes para a Cedro Technologies e também aos seus colaboradores, buscando pessoas especialistas ou fornecedores para realizar implantações.
i. Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
j. Criar e sempre repassar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da presidência ou diretoria.
k. Comunicação direta e efetiva com o Comitê de Segurança da Informação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a Cedro Technologies.
l. Manter contato constante com o Encarregado pelo Tratamento de Dados Pessoais da Cedro Technologies, visando manter as comunicações atualizadas, além de treinamentos e campanhas de conscientização constantes na organização.
3. Comitê de Segurança da Informação:
a. Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo pelo período de um ano.
b. A composição deve incluir um colaborador de cada uma das áreas como Presidência, Diretoria, Gerência, Facilitadores de Produto, Líderes técnicos e apoio de Segurança Patrimonial de cada área estratégica da empresa.
c. Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a Cedro Technologies que deve ser registrado em uma plataforma para registro e gerenciamento de incidentes de segurança.
d. O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.
e. Cabe ao CSI:
- Propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos;
- Propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares;
- Avaliar os incidentes de segurança e propor ações corretivas;
- Definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementares.
2. POLÍTICA DE MESA LIMPA E TELA PROTEGIDA:
a. Os computadores e demais dispositivos devem ser mantidos desligados e protegidos por bloqueio de tela quando não estiverem em uso, sendo necessário informar o login (usuário e senha) sempre que voltar a ser utilizado
b. Os equipamentos que ficam sob a responsabilidade da Cedro Technologies devem ser programados para realizar seu bloqueio automático após o período de 5 minutos de inatividade.
c. A área de trabalho do computador (desktop) deve possuir a menor quantidade possível de arquivos salvos.
d. A estação de trabalho não deve conter bilhetes, bloco de notas (post-its), agendas, planilhas e demais recursos utilizados para registrar logins e senhas, dados pessoais e demais informações sensíveis. Tais informações deverão ser armazenadas em local próprio e adequado.
e. Durante as atividades na estação de trabalho, deve ser evitado o consumo de bebidas e alimentos, reduzindo o risco de acidente que possa destruir ou danificar, total ou parcialmente, os ativos. Em caso de consumo, o armazenamento deve ser feito em recipientes seguros e utilizados com zelo para evitar possíveis incidentes.
3. CONTROLES CRIPTOGRÁFICOS:
A Cedro Technologies assegura o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e integridade das informações e dados pessoais, considerando as seguintes diretrizes:
a. Identificar o nível de proteção exigido pelos ativos, empregando avaliação de risco, para definir a força e a qualidade do algoritmo de criptografia requerido, quando necessário.
b. Utilizar criptografia para proteger as informações críticas, principalmente as transportadas através de redes de computadores.
c. Utilizar certificados SSL assinados por autoridades certificadoras confiáveis em sistemas web, prevenindo que as informações acessadas ou transmitidas não sejam interceptadas por pessoas não autorizadas.
d. Utilizar assinaturas digitais ou códigos de autenticação, para validar a autenticidade ou integridade de informações críticas armazenadas ou transmitidas.
e. Os algoritmos criptográficos e o tamanho de chaves devem ser selecionados de acordo com o nível de criticidade das informações e dos sistemas que a suportam, para que não ocorram impactos desnecessários, tanto de falta de segurança, quanto de segurança excessiva.
f. As chaves criptográficas devem ser protegidas contra modificação e perda.
g. As chaves privadas e secretas devem ser protegidas contra uso ou divulgação não autorizada.
h. As chaves devem ser distribuídas de forma segura para os usuários devidamente autorizados.
i. Revogar chaves comprometidas ou àquelas utilizadas por usuários que não possuírem mais autorização para tal utilização.
j. Observar a utilização de ferramentas e meios de comunicação que tenham controles criptográficos na transmissão de arquivos, principalmente os que contenham informações críticas e dados pessoais.
k. Manter registro e auditoria das atividades relacionadas ao gerenciamento das chaves criptográficas.
l. Convém que, quando possível, a organização utilize-se de mídias físicas removíveis e/ou dispositivos que permitam a criptografia, quando do armazenamento de dados pessoais, especialmente em mídias que poderão ser transportadas fora do ambiente físico da organização.
4. PROTEÇÃO CONTRA MALWARE:
A Cedro Technologies assegura que as informações e os recursos de processamento da informação estarão protegidos contra malware na infraestrutura que fica sob a sua responsabilidade, devendo-se considerar que:
a. Haverá prevenção e detecção de acessos não autorizados, por meio da configuração de controles através de firewalls de aplicação.
b. Será realizada a instalação e atualização periódica de software de detecção e remoção de malware para a varredura de computadores e mídias magnéticas.
c. Serão configuradas varreduras automáticas e completas, a serem realizadas regularmente por soluções de antivírus.
5. SEGURANÇA NAS COMUNICAÇÕES:
A Cedro Technologies assegura a proteção das informações, dados pessoais e dos recursos de processamento que as suportam dentro dos meios de comunicação.
A proteção dos meios de comunicação requer que as responsabilidades e procedimentos, mecanismos de monitoramento e detecção de ações que possam afetar a segurança da informação e a restrição de conexão de sistemas à rede interna, sejam monitorados.
6. MONITORAMENTO E AUDITORIA DO AMBIENTE:
Para garantir as regras mencionadas nesta PSI, a Cedro Technologies poderá:
a. Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas será usada para identificar usuários e respectivos acessos efetuados, em registos na íntegra e também em registros manipulado para gerar relatórios.
b. Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência em processo judicial ou administrativo, solicitação do gerente (ou superior) ou por determinação do Comitê de Segurança da Informação.
c. Realizar, a qualquer tempo, inspeção física nas máquinas de uso profissional.
d. Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso por meio de aplicações, leitores radiofrequência, biométricos e magnéticos.
7. CONTROLES DE ACESSO:
a. As definições de direitos de acesso nos módulos de sistemas corporativos são de responsabilidade do gestor ao qual o módulo pertence.
b. As solicitações de direitos de acesso devem, primeiramente, ter um parecer do analista de suporte responsável pela segurança da informação.
c. Sempre que necessário o responsável de setor deverá solicitar ao gestor de Tecnologia da Informação a alteração de direitos de acesso em seus módulos.
d. Cada colaborador somente deve ter acesso aos sistemas corporativos na medida de suas necessidades profissionais.
e. Pelo menos a cada 12 (doze) meses, os direitos de acesso aos sistemas corporativos devem ser revisados pelo responsável de setor.
f. O acesso aos sistemas corporativos deve ser feito através de usuário e senha que identifique o prestador de serviço de maneira única antes de qualquer ação no sistema.
g. Os sistemas corporativos devem fornecer controle de acesso que possibilite a liberação de acessos somente às funções estritamente necessárias a cada prestador de serviço.
8. TRANSFERÊNCIA DE INFORMAÇÃO:
A Cedro Technologies manterá a segurança das informações transferidas, buscando sempre utilizar-se de procedimentos e controles para proteger a transferência de informações, principalmente as que contenham informações críticas e dados pessoais, contra a interceptação, cópia, modificação, desvio e/ou destruição.
1. Correio Eletrônico:
a. O uso do correio eletrônico de domínio da Cedro Technologies é para fins exclusivamente corporativos e relacionados às atividades do usuário dentro da empresa. A utilização desse serviço para fins pessoais é permitida, desde que feita com bom senso, não prejudique a Cedro Technologies e não cause impacto no tráfego da rede.
b. As mensagens de correio eletrônico incluirão assinatura do usuário contendo: logo da Cedro Technologies, nome do colaborador, gerência ou departamento, correio eletrônico, telefone se existir, logo em verde das redes sociais Instagram, Facebook e LinkedIn, Mensagem: “O uso desta informação está submetida à sigilo profissional. Este e-mail é confidencial, para uso exclusivo e específico do destinatário. Se você não é o receptor pretendido, fica notificado que não está autorizado a usar, divulgar ou encaminhar esta mensagem”.
c. É proibido aos colaboradores o uso do correio eletrônico da Cedro Technologies para:
- Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas ao interesse legítimo da Cedro Technologies.
- Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar.
- Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a Cedro Technologies ou suas unidades vulneráveis a ações civis ou criminais.
- Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação.
- Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas.
- Apagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades da Cedro Technologies estiver sujeita a algum tipo de investigação.
d. É proibido aos colaboradores o uso do correio eletrônico da Cedro Technologies para produzir, transmitir ou divulgar mensagem que:
- Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Cedro Technologies.
- Contenha ameaças eletrônicas como, por exemplo, spam, mail bombing ou vírus de computador.
- Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança.
- Vise obter acesso não autorizado a outro computador, servidor ou rede.
- Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
- Vise burlar qualquer sistema de segurança.
- Vise vigiar secretamente ou assediar outro usuário.
- Vise acessar informações confidenciais sem a explícita autorização do proprietário.
- Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa.
- Inclua imagens criptografadas ou de qualquer forma mascaradas.
- Contenha anexo(s) superior(es) a 10 MB para envio (interno e internet) e 10 MB para recebimento (internet).
- Tenha conteúdo considerado impróprio, obsceno ou ilegal.
- Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico, entre outros.
- Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico, entre outros.
- Contenha perseguição preconceituosa baseada em sexo, raça, orientação sexual, incapacidade física ou mental ou outras situações protegidas.
- Tenha fins políticos com âmbito local ou nacional (propaganda política).
- Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
- Contenha perseguição preconceituosa baseada em sexo, raça, orientação sexual, incapacidade física ou mental ou outras situações protegidas.
- Tenha fins políticos com âmbito local ou nacional (propaganda política).
- Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
2. Internet:
a. Todas as regras atuais da Cedro Technologies visam basicamente o desenvolvimento de um comportamento ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da empresa com a internet oferece um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.
b. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a Cedro Technologies, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.
c. Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da empresa, que pode analisar, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio, porta ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privados da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.
d. A Cedro Technologies, ao monitorar a rede interna, pretende garantir a integridade dos dados e aplicações. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem a devida autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor.
e. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a empresa irá cooperar ativamente com as autoridades competentes.
f. Apenas os colaboradores autorizados pela empresa poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.
g. Como é do interesse da Cedro Technologies que seus colaboradores estejam bem informados, o uso de sites de notícias, vídeos, músicas ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.
h. Somente os colaboradores que estão devidamente autorizados a falar em nome da Cedro Technologies para os meios de comunicação poderão manifestar-se, seja por email, entrevista on-line, podcast, seja por documento físico, entre outros.
i. É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo, chat, comunicadores instantâneos, rede social ou qualquer outra tecnologia correlata que venha surgir na internet.
j. Os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades no Cedro Technologies e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela Diretoria e Gerência.
k. É proibido o uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente. Qualquer software não autorizado baixado será excluído pela Infraestrutura cabendo registro e comunicação do incidente ao Comitê de Segurança da Informação pela plataforma digital.
l. Os colaboradores não poderão utilizar os recursos da Cedro Technologies para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação brasileira.
m. O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante solicitação e aprovação da área técnica responsável, o uso de jogos será passível de concessão, em regime de exceção, quando eles tiverem natureza intrínseca às atividades de cursos relacionados ao desenvolvimento de jogos.
n. Os colaboradores não poderão utilizar os recursos da Cedro Technologies para propagar qualquer tipo de vírus, worm, malware, cavalo de troia, spam, assédio, perturbação ou aplicações/programas/scripts de controle de outros computadores.
o. O acesso a softwares peer-to-peer não são permitidos. Já os serviços de streaming (rádios online, canais de broadcast e afins) serão permitidos a grupos específicos. Porém, os serviços de comunicação instantânea, vídeo conferência e chamada de voz serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso o gestor requisite formalmente à Gerência de Sistemas.
p. Não é permitido acesso a sites de proxy fora da rede da Cedro Technologies para burlar as regras de segurança do firewall permitindo a navegação em qualquer site da internet, extranet, intranet, Deep Web.
q. Em relação a Deep Web, só será aceito acesso em ambiente de clientes previamente autorizados pelo Gestor e que deve fazer parte dos projetos não podendo assim conter qualquer tipo de informação ilegal.
r. Qualquer conteúdo que esteja na Dark Web é taxativamente proibido. O colaborador que fizer uso deste ambiente terá automaticamente seu contrato de trabalho rescindido na Cedro Technologies. Este evento deve ser registrado digitalmente no sistema de gestão de incidentes da Cedro Technologies.
s. Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores.
t. Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software licenciado à Cedro Technologies ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados, devendo também obedecer a legislação na íntegra da Lei Federal 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
u. A internet disponibilizada pela empresa aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nas unidades.
3. Chamadas de Vídeo, Áudio e Mensagens Instantâneas:
Para adequação à sistema de chamada de vídeos, áudio e mensagens instantâneas na Cedro Technologies, devemos obedecer aos seguintes requisitos:
a. Utilizar sempre os aplicativos homologados e licenciados pela Cedro Technologies. Atualmente apenas o Microsoft Teams e o aplicativo disponibilizado pela Cedro Technologies.
b. Aplicativos não homologados, devem ser utilizados apenas para contatos com terceiros ou clientes. Para uso interno deve-se manter o uso exclusivo do Microsoft Teams.
c. O uso dos aplicativos é de exclusividade dos interesses da Cedro Technologies e de nenhuma forma deve ser utilizado para fins pessoais.
d. Não é permitido o compartilhamento de senhas por este aplicativo, somente pelo sistema de chamados JIRA ou por e-mail, mas a senha deve ser modificada no primeiro acesso ou bloqueada em 2 horas.
4. Computadores e Recursos Tecnológicos:
a. Os equipamentos disponíveis aos colaboradores são de propriedade da Cedro Technologies, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da empresa, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.
b. É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da Gerência de Sistemas da Cedro Technologies ou de quem este determinar.
c. As gerências que necessitarem fazer testes deverão solicitá-los previamente à Gerência de Sistemas e/ou à Gerência de Materiais e Serviços, ficando responsáveis jurídica e tecnicamente pelas ações realizadas.
d. Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação e depois de sua disponibilização pelo fabricante ou fornecedor.
e. Os sistemas e computadores devem ter versões do software antivírus instalados, ativados e atualizados permanentemente.
f. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável mediante registro de chamado no JIRA.
g. A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.
h. Arquivos pessoais e/ou não pertinentes ao negócio da Cedro Technologies (fotos, músicas, vídeos, etc) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário.
i. Documentos imprescindíveis para as atividades dos colaboradores da empresa deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
j. Os colaboradores da Cedro Technologies e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da Gerência de Sistemas.
k. No uso dos computadores, equipamentos e recursos de informática de propriedade da empresa, deve-se atender às seguintes regras:
- Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso de colaboradores não autorizados. Tais senhas serão definidas pela Gerência de Sistemas da Cedro Technologies, que terá acesso a elas para manutenção dos equipamentos.
- É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico da Gerência de Sistemas da Cedro Technologies ou por terceiros devidamente contratados para o serviço.
- Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador.
- Todos os modems internos ou externos devem ser removidos ou desativados para impedir a invasão/evasão de informações, programas, vírus. Em alguns casos especiais, conforme regra específica, será considerada a possibilidade de uso para planos de contingência mediante a autorização dos gestores das áreas e da área de informática.
- O colaborador deverá manter a configuração do equipamento disponibilizado pela Cedro Technologies, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da empresa, assumindo a responsabilidade como custodiante de informações.
- É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e próximo aos equipamentos.
- Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e impressoras quando não estiverem sendo utilizados.
- Todos os recursos tecnológicos adquiridos pela Cedro Technologies devem ter imediatamente suas senhas padrões (default) alteradas.
- Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos usuários da informação, datas e horários de acesso.
l. É proibido o uso de recursos tecnológicos da Cedro Technologies para:
- Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.
- Burlar quaisquer sistemas de segurança.
- Acessar informações confidenciais sem a explícita autorização do proprietário.
- Acessar indevidamente informações que possam causar prejuízos a qualquer pessoa.
- Vigiar secretamente alguém por dispositivos eletrônicos ou softwares como, por exemplo, através de analisadores de pacotes (sniffers).
- Interromper um serviço, servidor ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
- Cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular.
- Hospedar pornografia, material racista ou preconceituoso, ou qualquer outro tipo que seja considerado ilegal ou indevido.
- Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.
5. Dispositivos Móveis:
A Cedro Technologies deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que eles usem equipamentos portáteis.
Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.
a. Por dispositivo móvel entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da empresa, ou aprovado e permitido por sua Gerência de Sistemas, como: notebooks, smartphones e pendrives.
b. A Cedro Technologies, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
c. O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na Cedro Technologies, mesmo depois de terminado o vínculo contratual mantido com a empresa.
d. Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados do seu dispositivo móvel, ou seja, não os carregar juntos.
e. O suporte técnico aos dispositivos móveis de propriedade da Cedro Technologies e aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela empresa.
f. Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da Gerência de Sistemas.
g. Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.
h. O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da Gerência de Sistemas da Cedro Technologies.
i. A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela empresa constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
j. É permitido o uso de rede banda larga de locais conhecidos pelo usuário, a exemplo de sua casa, hotéis, fornecedores e clientes, sendo proibido o acesso a redes wi-fi públicas.
k. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela Cedro Technologies, notificar imediatamente seu gestor direto e a Gerência de Sistemas. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).
l. O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracteriza a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar à Cedro Technologies e/ou a terceiros.
m. O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da Cedro Technologies deverá submeter previamente tais equipamentos ao processo de autorização da Gerência de Sistemas.
n. Equipamentos portáteis, como smart phones, palmtops, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela empresa, não serão validados para uso e conexão em sua rede corporativa.
9. DATACENTER:
a. O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação.
Por exemplo: biometria, cartão magnético entre outros.
b. Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser registrado (usuário, data e hora) mediante software próprio.
c. Deverá ser executada semanalmente uma auditoria nos acessos ao Datacenter por meio do relatório do sistema de registro.
d. O usuário “administrador” do sistema de autenticação forte ficará de posse e administração do coordenador de infraestrutura, de acordo com o Procedimento de Controle de Contas Administrativas.
e. A lista de funções com direito de acesso ao Datacenter deverá ser constantemente atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao Datacenter, e salvo no diretório de rede.
f. Nas localidades em que não existam colaboradores da área de tecnologia da informação, pessoas de outros departamentos deverão ser cadastradas no sistema de acesso para que possam exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de backup, suporte em eventuais problemas, e assim por diante.
g. O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado, que deverá preencher a solicitação de acesso prevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade.
h. O acesso ao Datacenter, por meio de chave, apenas poderá ocorrer em situações de emergência, quando a segurança física do Datacenter for comprometida, como por incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver funcionando.
i. Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração de liberação de acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter.
j. Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de posse do coordenador responsável pelo Datacenter e a outra, de posse do coordenador de infraestrutura.
k. O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente deve ser limpo por um colaborador de limpeza com a supervisão direta da equipe de infraestrutura nível 1 e/ou nível 2.
l. Não é permitida a entrada de qualquer tipo de produto fumígeno ou inflamável conforme a legislação em vigor e vistoria do corpo de bombeiros.
m. A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal deste instrumento pelo responsável do Datacenter, de acordo com os termos do Procedimento de Controle e Transferência de Equipamentos.
n. No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados, de acordo com o processo definido no Procedimento de Controle de Acesso ao Datacenter.
10. BACKUP:
a. Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
b. Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
c. As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres cortafogo segundo as normas da ABNT) e distantes o máximo possível do Datacenter.
d. As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, de preferência, com etiquetas não manuscritas, melhorando o padrão da organização e profissional.
e. O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.
f. É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial.
g. Mídias que apresentam erros e que não podem mais ser usadas, devem ser picadas, quebradas/destruídas de uma forma irreparável.
h. É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de backup para limpeza mantendo a longevidade das unidades.
i. As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 5 até 50 quilômetros de cada Datacenter.
j. Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios da Cedro Technologies, devem seguir as determinações fiscais e legais existentes no país.
k. Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema.
l. Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do Procedimento de Controle de Backup e Restore. Posteriormente, deve-se registrar como incidente para o CSI por meio do sistema digital de gerenciamento de incidentes.
m. Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente pelos responsáveis nos termos do Procedimento de Controle de Mídias de Backup.
n. Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 90 ou 120 dias.
o. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos.
p. Para formalizar o controle de execução de backups e restores, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e Restore.
q. Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por motivos de força maior, não puderem operacionalizar. Contudo, o custodiante não poderá se eximir da responsabilidade do processo.
11. IDENTIFICAÇÃO:
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a Cedro Technologies e/ou terceiros.
a. Todos os dispositivos de identificação utilizados na Cedro Technologies, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.
b. Visitantes, clientes, terceiros devem ser identificados na recepção somente por documentos originais com validade pela legislação brasileira. Seu acesso deve ser restrito ao setor específico da Cedro Technologies, portar um crachá provisório carregando-o em um local adequado e visível para que todos possam ver que é uma visitante na Cedro Technologies.
c. Visitantes, clientes, terceiros que não portarem o crachá devem ser devidamente encaminhados por qualquer colaborador da Cedro Technologies.
d. O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a empresa e a legislação (cível e criminal).
e. Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
f. O uso dos sistemas deve ser permitidos somente através de login e senha ou outro meio de identificação pessoal e intransferível.
g. O Departamento de Talentos Humanos da Cedro Technologies é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores.
h. A Gerência de Sistemas responde pela criação da identidade lógica dos colaboradores na empresa, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.
i. Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
j. O uso dos dispositivos e senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
k. É proibido o compartilhamento de login com outras pessoas em qualquer hipótese, especialmente nas funções relacionadas à administração de sistemas.
l. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a Cedro Technologies e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.
m. Os acessos devem ser registrados, contendo, no mínimo, informações de data, hora,
usuário e recurso acessado.
n. Os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários, em especial nos casos de desligamento do prestador de serviço, cabendo ao responsável pela Tecnologia da Informação tomar essa providência.
o. As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (word, excel, etc.) ou físicos (post-it, agenda, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais como, nome próprio, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e não devem ser constituídas de combinações óbvias de teclado como, “abcdefgh”, “87654321” entre outras, atendendo, ainda, aos seguintes requisitos:
- Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixabaixa (maiúsculo e minúsculo) sempre que possível.
- Os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo 10 (dez) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação de caixa-alta e caixabaixa (maiúsculo e minúsculo) obrigatoriamente.
p. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados, podendo, ainda, utilizar-se de aplicações de gerenciamento de criptografia de senhas, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
q. Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com a Gerência de Sistemas da Cedro Technologies. Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).
r. Os usuários podem alterar a própria senha a qualquer tempo, devendo tomar tal providência imediatamente em caso de suspeita de que terceiros tiveram acesso indevido ao seu login/senha.
s. A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para a empresa e os logins com privilégios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
t. Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
u. Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Talentos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.
12. PROTEÇÃO DE DADOS PESSOAIS:
a. Os usuários da informação e parceiros da Cedro Technologies deverão observar o disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
b. A Cedro Technologies se compromete a tratar os dados pessoais relacionados ao seu objeto social, observando a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
c. A organização cumpre as diretrizes estabelecidas na Política de Privacidade, informando aos titulares de dados sobre as finalidades e as bases legais de tratamento de dados pessoais.
13. RESPONSABILIZAÇÃO:
As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem a advertência e a rescisão do contrato de prestação de serviço.
a. A aplicação de sanções e punições será realizada conforme a análise do Gestor, em conjunto com o Encarregado de Dados e Diretor da área de Produtos e Tecnologia da Informação, devendo-se considerar a gravidade da infração e o efeito alcançado.
b. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em danos a Cedro Technologies, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos acima.
c. O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da empresa e sujeitará o usuário às medidas administrativas e legais cabíveis.
14. TRATAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO:
A Cedro Technologies realiza a gestão dos incidentes de segurança da informação e privacidade, incluindo a comunicação sobre vulnerabilidades e eventos de segurança da informação, conforme segue:
a. Estabelecendo responsabilidades e procedimentos para tratamento de incidentes, como forma de garantir respostas rápidas e efetivas, bem como definindo canais de comunicação de incidentes de segurança da informação, de modo que as partes interessadas possam notificar sobre os eventos detectados.
b. Implementando ferramentas de monitoramento de sistemas, capazes de emitir alertas de vulnerabilidades e indisponibilidade dos serviços e sistemas.
c. Todos os usuários são responsáveis por notificar qualquer evento de segurança da informação, assim que esses eventos forem detectados ou o mais breve possível.
d. Planejando e implantando planos de contingência, como resposta aos incidentes, para manter a continuidade do negócio em um nível aceitável.
e. Cumprindo as diretrizes estabelecidas na Política de Gestão de Incidentes de Segurança da Informação e Privacidade.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente às Equipes técnicas e Gerência, e estes, se julgarem necessário, deverão encaminhar ao Comitê de Segurança da Informação para análise, especialmente no caso de incidentes envolvendo dados pessoais, para que sejam tomadas todas as providências cabíveis para mitigação das consequências e reparação dos danos causados.
Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados, no mínimo, anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implementados e testados durante a fase de execução.
15. DISPOSIÇÕES FINAIS:
As operações, serviços prestados pelos colaboradores para atender os clientes, devem ser executados com profissionalismo e ética na Cedro Technologies. Sendo assim, é entendido que, qualquer incidente deve ser avaliado pelo Comitê de Segurança da Informação para julgar os fatos, tomar providências cabíveis do fato e registrar em lições aprendidas disponibilizando para todos os colaboradores como proceder.
O usuário assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação ou dado pessoal, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na Cedro Technologies, mesmo depois de terminada a relação contratual de prestação de serviços.
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Cedro Technologies. A Cedro Technologies, por meio do responsável interno pela Segurança da Informação e do Encarregado de Proteção de Dados Pessoais (DPO), poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
16. DOCUMENTOS RELACIONADOS:
Para efeitos de conformidade, análise de risco, auditoria, registro de incidentes e aplicação de medidas disciplinares, esta Política de Segurança da Informação relaciona-se aos seguintes documentos organizacionais:
- Política de Privacidade.
- Política de Gestão de Incidentes de Segurança da Informação e Privacidade.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a empresa julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela Cedro Technologies ou por terceiros.
17. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO):
A Cedro Technologies, em observância ao art. 41 da LGPD, nomeou como Encarregado pelo Tratamento de Dados:
- DPO: GEP SOLUÇÕES EM COMPLIANCE – Representado por Maurício Rotta
- e-mail: protecaodedados@cedrotech.com
18. LEGISLAÇÃO APLICÁVEL E FORO:
Esta Política será interpretada de acordo com as leis, normas e regulamentos do Brasil, no idioma português, especialmente de acordo com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados). Quaisquer conflitos serão dirimidos em território nacional e conforme a legislação brasileira aplicável e vigente à época.
Fica eleito o Foro Central da Comarca de Uberlândia – Estado de Minas Gerais, como competente para dirimir quaisquer conflitos oriundos do presente instrumento, sobrepondose a qualquer outro, por mais privilegiado que seja ou venha a ser.
19. ATUALIZAÇÕES E REVISÕES NA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO:
Esta Política de Segurança da Informação será revisada e atualizada, periodicamente, sempre que houver necessidade, fator e/ou evento que motive alterações, conforme análise e deliberação por parte da Cedro Technologies.
| Versão |
Data de Publicação |
Responsável |
| 1.0 |
09/02/2022 |
GEP Soluções em Compliance |
| 2.0 |
20/10/2022 |
GEP Soluções em Compliance |
| 3.0 |
16/12/2022 |
Cedro Sistemas e Tecnologia S/A |
