Política de Segurança da Informação - SCC4

  1. Introdução;

        A Lei Geral de Proteção de Dados (Lei n°. 13.709/2018) tem o propósito de estabelecer padrões à utilização de dados pessoais e dados sensíveis de pessoas físicas, visando evitar abusos.

A SCC4 e demais empresas do Grupo, por atuarem com a gestão de dados de pessoa física, é controladora de dados pessoais sensíveis dos usuários de seus produtos. Além de controlar os dados pessoais de seus colaboradores, por meio dos fluxos do e-social.

Visando adequação à Lei Geral de Proteção de Dados (LGPD), a SCC4 incluiu no seu planejamento estratégico de 2020 a implantação de programa de compliance  de dados.

Além da matriz de riscos de dados e do mapa de dados, essa Política de Segurança da Informação (PSI) tem o propósito de consolidar rotinas que garantam a segurança dos dados sensíveis geridos pela SCC4 e demais empresas do grupo.

  1. Rotinas de Segurança da Informação;

        As rotinas de segurança da informação ora apresentadas são de cumprimento obrigatórios pelos colaboradores da SCC4 e demais empresas o grupo, sob pena de imposição das sanções previstas no item 4 desta PSI.

  1. Entrada nas empresas do grupo;

  1. As chaves de acesso às salas da sede serão disponibilizadas somente aos supervisores de cada equipe.
  2. Tal chave deve ser guardada de maneira segura e não deve ser emprestada nem a terceiros nem a outros colegas;
  3. A perda o extravio da chave deve ser comunicado imediatamente ao encarregado de dados;

  1. Visitas;

  1. Quando o colaborador for receber visitas, mesmo que de familiares, na sede da empresa deve comunicar o encarregado de dados para que registre a presença de terceiro na organização com data e horário de acesso e permanência.

  1. Acesso à Internet;

  1. O acesso à Internet pode ser feito via cabo ou wi-fi;
  2. A senha do wi-fi da SCC4  não deve ser compartilhada com terceiros que não estejam na organização no momento do uso;
  3. Sites com conteúdo questionável (como pornográficos) não devem ser acessados pela rede wi-fi da empresa;
  4. Equipamentos pessoais (como laptops) não devem ser plugados na rede a cabo da organização ;

  1. Senhas;

  1. As senhas de acesso aos softwares e servidores da SCC4  são pessoais e intransferíveis;
  2. As senhas pessoais não devem ser compartilhadas em hipótese alguma;
  1. Alteração de alçada de senhas de acesso e operação (principalmente bancárias) serão abordadas em política própria ;
  1. As senhas devem ser alteradas com periodicidade de pelo menos noventa dias;
  2. As senhas precisam ser fortes, compostas por números, letras e símbolos;
  3. Não se recomenda a utilização de datas ou nomes próprios como senha pessoal;
  4. As senhas não devem ficar anotadas na estação de trabalho, em post its ou blocos de notas;
  5. O processo de cancelamento de login  e senha de usuário pelo desligamento do colaborador ou alteração de departamento será contemplado por política própria .

  1. Estação de Trabalho;

  1. Compreende-se por estação de trabalho o espaço de labor do colaborador onde fica seu computador e demais equipamentos da organização que utiliza para a consecução de suas tarefas;
  2. Para a gestão adequada da estação de trabalho, importante atentar para os cinco sensos:
  1. Senso de utilização: consistente na seleção de quais materiais, equipamentos e ferramentas devem ser considerados importantes e quais devem ser considerados supérfluos;
  2. Senso de organização: determina que todos os itens a serem utilizados de forma comum devem ficar disponíveis em locais determinados, facilitando seu acesso;
  3. Senso de limpeza: visa promover o hábito de limpeza recorrente, com a eliminação dos itens que não são essenciais ao espaço de trabalho;
  4. Senso de padronização: trata-se da promoção de consciência e ação quanto ao fortalecimento de hábitos e processos repetíveis;
  5. Senso de autodisciplina: compromisso com os outros quatro sensos, que dependem de autodisciplina para a sua consecução.
  1. Para garantir a segurança dos dados contidos em cada equipamento, os computadores são programados para bloquear automaticamente a tela quando ficar por cinco minutos sem movimentação;
  2. É vedado:
  1. Fixar na tela do computador, mesa ou divisórias informações confidenciais como senhas de acesso aos sistemas da organização;
  2. Ausentar-se da estação de trabalho sem bloquear o acesso da máquina, trancar gavetas e armários;
  3. Deixar sobre a mesa documentação sigilosa enquanto não estiver na estação de trabalho;
  4. Deixar folhas impressas visíveis na bandeja da impressora sem dar descarte adequado;
  5. Burlar o sistema de bloqueio automático de tela.
  1. Num sentido de promoção da responsabilidade ambiental da organização, além da segurança da informação, recomenda-se que seja evitada a impressão de documentos, sempre que possível.

  1. Utilização da máquina corporativa e periféricos;
  1. O computador fornecido pela organização deve ser utilizado exclusivamente no seu interesse a partir das regras contidas neste item;
  2. É vedada a utilização do computador da empresa para fins pessoais;
  3. É vedada a utilização da impressora da empresa para fins pessoais;
  4. É vedado o armazenamento de arquivos e informações exclusivamente na máquina, devendo, para tanto, ser utilizado o servidor;
  5. É vedada a utilização de periféricos nas máquinas, a exemplo de pendrives , HD externo e celulares;
  6. O antivírus deve ser atualizado com periodicidade mínima de 30 (trinta) dias;
  7. Caso surja alguma dificuldade na atualização do antivírus pode ser solicitado o apoio do encarregado de dados;
  8. É vedada a abertura do computador pelos colaboradores para qualquer tipo de reparo. Havendo problemas técnicos, o encarregado de dados ou a TI devem ser acionados;
  9. É proibida a instalação de softwares ou sistemas nas estações de trabalho pelos usuários finais. Este procedimento só poderá ser realizado pela equipe de TI;
  10. É proibida a instalação de softwares que não possuam licença e/ou não sejam homologados pela equipe de TI;
  11. Não serão permitidos os acessos a softwares peer-to-peer  (a exemplo do Kazaa, BitTorrent, μtorrent  e afins);
  12. É vedado deferir acesso remoto ao equipamento da organização, mesmo para fins de manutenção. As manutenções nos equipamentos da organização devem ser presenciais;
  13. É vedado acessar whatsapp® pessoal no computador corporativo via versão web;
  14. É vedado acessar redes sociais pessoais no computador corporativo.

  1. Utilização de e-mail corporativo;

  1. O e-mail corporativo deve ser utilizado exclusivamente no interesse da organização;
  2. É vedada a utilização do e-mail corporativo para fins pessoais;
  3. É vedado preencher cadastros pessoais utilizando o e-mail corporativo;
  4. É vedado realizar compras na internet usando o e-mail corporativo;
  5. É vedado acessar o e-mail corporativo em máquinas externas a organização ou não homologadas pelo encarregado de dados;
  6. E-mails suspeitos não devem ser abertos, mesmo que tenham sido enviados por destinatários conhecidos;
  7. É proibido abrir arquivos com origens desconhecidas anexados a mensagens eletrônicas;
  8. Os e-mails enviados ou recebidos de endereços externos poderão ser monitorados com o intuito de bloquear spams , malwares  ou outros conteúdos maliciosos que violem a Política de Segurança da Informação;
  9.  É proibido enviar, com endereço eletrônico corporativo, mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções;
  10. O e-mail pessoal não deve ser manuseado nas máquinas da SCC4  de demais empresas do grupo, para que não as deixe expostas a qualquer antígeno que possa chegar pelos e-mails pessoais, como vírus;
  11. É proibido enviar qualquer mensagem por meios eletrônicos que torne a SCC4  vulnerável a ações civis ou criminais;
  12. Deve-se utilizar linguagem formal na comunicação via e-mail corporativo;
  13. Não devem ser aplicadas gírias e emojis em comunicação via e-mail corporativo;
  14. Não será admitida, sob qualquer hipótese, a manutenção ou arquivamento de mensagens de conteúdo ofensivo, discriminatório, pornográfico ou vexatório, sendo a responsabilidade apurada de forma específica em relação ao destinatário da mensagem.
  15. O e-mail corporativo só pode ser utilizado dentro da jornada de trabalho do colaborador autorizado.

  1. Utilização de celular corporativo;

  1. O celular corporativo deve ser utilizado exclusivamente no interesse da organização.
  2. É vedado abrir whatsapp ® pessoal no celular corporativo;
  3. É vedado baixar aplicativos no celular corporativo sem autorização expressa do encarregado de dados;
  4. É vedado emprestar o celular corporativo para pessoas não autorizadas;
  5. É vedado utilizar o número corporativo para cadastros pessoais em sites de compra ou qualquer outra finalidade;

  1. Utilização de whatsapp ® corporativo;

  1. O whatsapp ® corporativo é para uso exclusivo no interesse da SCC4 .
  2. A comunicação pelo whatsapp ® corporativo deve ser feita com linguagem formal, atendendo as demais regras de redação de e-mail corporativo, contidas no item 2.7.
  3. A fotografia do whatsapp ® corporativo não deve ser do colaborador autorizado a operá-lo, mas sim uma imagem padrão de identidade visual da organização.
  4. O whatapp ® corporativo deve ser manejado exclusivamente pelo colaborador autorizado, que não pode solicitar a terceiros que digitem as mensagens para si;
  5. O whatsapp ® corporativo só pode ser utilizado dentro da jornada de trabalho do colaborador autorizado.

  1. Bring your own device  (BYOD);

  1. A sigla BYOD significa bring your own device , traduzida para o português como traga seu próprio equipamento .
  2. A utilização de equipamento pessoal para a gestão de tarefas da organização será possível apenas mediante autorização expressa do encarregado de dados.
  3. O encarregado de dados fará o cadastro e homologação de todos os equipamentos pessoais que forem utilizados no interesse da organização.
  4. A inspeção no equipamento pode ser necessária para confirmar a sua integridade para gerir e/ou armazenar informações da organização.
  5. O equipamento pessoal, para que seja autorizada a sua utilização para fins corporativos, precisa estar em cumprimento às determinações contidas no item 2.6. desta PSI.
  6. O equipamento pessoal em que transitam informações da organização não pode ser utilizado para acessar e-mail pessoal, whatsaap ® pessoal ou qualquer outro programa que coloque em risco a integridade das informações controladas pela SCC4 .

  1. Controle de Acesso aos Servidores Disponibilizados na Nuvem

  1. A SCC4, para oferecer sua plataforma,  contrata serviços de servidores dedicados em data center terceirizado, serviços de servidor privado virtual e serviços de computação em nuvem.
  2. A política de senha de acesso aos servidores e configurações de serviço em nuvem, além de respeitarem o item “2.4 - Senhas”, devem ser armazenadas em  serviço de cofre digital.
  3. Deverá apenas ter acesso ao cofre digital os diretores, o encarregado de dados e o supervisor da equipe de desenvolvimento.
  4. O acesso por SSH aos servidores dedicados e virtuais deverão estar bloqueados para acesso com usuário e senha, devendo somente ser acessados por chave criptografada por método de autenticação de chave pública.
  5. Os servidores dedicados e virtuais devem estar com firewaal habilitado e permitir acesso remoto somente pelo IP fixo da sede SCC4.
  6. Os servidores de banco de dados disponibilizados em  nuvem deverão ter acesso restrito por firewall apenas para os servidores de aplicação que precisam manipular os dados.
  7. Em caso de necessidade de acesso direto ao banco de dados por uma estação de trabalho, esta só poderá ser feita através de uma conexão VPN (Virtual Private Network)  pré configurada e somente acessível pelo ip fixo da sede SCC4.
  8. Em caso de necessidade de efetuar exportação dos dados de produção, para algum servidor de teste interno ou remoto, ou para estação de trabalho, deverá ser requirida a autorização expressa do encarregado de dados. informando o motivo, a exemplo: depuração para correção de bug;  auditoria de comportamento de sistema; entrega de dados por solicitação do cliente.; etc..

  1. Segurança dos Artefatos de Desenvolvimento

  1. Todos os artefatos de desenvolvimento, como linhas de código fonte, bibliotecas, scritps de banco de dados e documentação técnica devem estar protegidos em sistema de controle de versão privado.
  2. Cabe ao supervisor de desenvolvimento controlar o acesso ao código fonte dos projetos aos membros da equipe.
  3. O código fonte só poderá ser acessado por membro contratado da equipe, e após o mesmo ter assinado o acordo de confidencialidade (NDA).
  4. Os pacotes destinados a atualização dos serviços em produção não poderam ser construídos nas estações de trabalho, o supervisor da equipe de desenvolvimento e o encarregado de dados devem alocar e gerenciar servidores para esta tarefa, em um processo de integração contínua (CI).
  5. Os servidores e serviços de produção só poderão receber atualizações de pacotes provenientes do processo de integração contínua (CI).
  1. Documentos físicos;

  1. Pela exposição maior ao extravio, recomenda-se primar pelo arquivamento de informações em formato digital – atendendo-se, neste sentido, todas as recomendações para que se mantenha sua segurança e integridade.
  2. Caso seja necessário arquivar documentos em formato físico, devem ser cumpridas as seguintes rotinas:
  1. O documento não deve ficar exposto, sobre a mesa ou em gavetas não protegidas por chave;
  2. Os documentos devem sempre ser mantidos sob guarda em locais com chave ou fechadura digital;
  3. Cada documento físico terá seu status de fragilidade avaliado pelo encarregado de dados;
  1. Aqueles documentos que forem avaliados como de grau máximo de fragilidade deverão ser guardados em cofre.
  1. Os documentos físicos não devem ser descartados antes de transcorridos cinco anos do seu recebimento.
  2. O descarte anterior ao prazo estabelecido no item 2.11.3. depende de autorização expressa e documentada do titular do dado.

  1. Sanções;

  1. O descumprimento comprovado de qualquer disposição desta política poderá acarretar na imposição de sanção ao colaborador que incorrer no desvio.
  2. O procedimento de apuração será conduzido pelo encarregado de dados, deferido espaço de justificativa da conduta pelo colaborador em suspeita de desvio.
  3. As sanções poderão ser: advertência verbal, advertência por escrito e demissão.
  4. A advertência verbal será aplicada na hipótese de descumprimento cometido por colaborador primário e que não tenha implicado em vazamento de dados sensíveis.
  5. A advertência por escrito será aplicada na hipótese de reincidência de colaborador em conduta que não tenha implicado em vazamento de dados sensíveis.
  6. A demissão poderá ser aplicada na segunda reincidência em conduta que não tenha implicado vazamento de dados.
  7. A demissão será aplicada para o colaborador que incidir em conduta que implique em vazamento de dados ou que torne inviável a entrega de comunicação a contento ao titular de dados ou a Autoridade Nacional de Proteção de Dados.

  1. Atuação do encarregado de dados:

  1. Qualquer evento adverso, confirmado ou sob suspeita, deverá ser informado ao encarregado de dados, tais como:
  1. Evento adverso confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, bem como estruturas físicas e lógicas associadas, que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;
  2. Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
  3. Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente da TI;
  4. Uso ou acesso não autorizado a um sistema;
  5. Compartilhamento de senhas.

  1. Atuação da TI;

  1. A empresa que atua como prestadora de serviços de tecnologia da informação deverá estar ciente e concorde com os termos da PSI.
  2. Cabe apenas a TI a manutenção dos equipamentos da SCC4 , sendo vedado aos colaboradores que contatem pessoa diversa do TI designado pela organização.
  3. É vedado aos colaboradores tentarem prestar suporte aos equipamentos sem supervisão adequada do TI designado.
  4. O TI designado ficará encarregado de monitorar as atualizações de firewall e antivírus.
  5. O TI designado ficará encarregado de proceder aos backups e demais arquivos da documentação e informação controlada pela SCC4 , estando sob fiscalização direta do encarregado de dados.
  6. O cenário ideal à estrutura de segurança da informação é a ausência de intercorrências, mas é essencial a previsão por esta PSI do procedimento a ser conduzido na hipótese de suspeita de ocorrência de qualquer sinistro.
  7. Todos os colaboradores devem notificar imediatamente ao encarregado de dados eventual vazamento ou uso inadequado de informação, para que seja possível o controle de potenciais resultados.
  8. O encarregado de dados contará com o suporte do TI para a resolução de eventuais sinistros ocorridos.
  9. O histórico de sinistros e procedimento a sua resolução serão documentados para evitar episódios futuros, servindo como procedimento padrão de contensão de novos eventos.

  1. Fornecedores e parceiros;

  1. Fornecedores e parceiros deverão estar cientes e comprometidos com esta PSI.
  2. Os contratos firmados com fornecedores e parceiros conterão cláusulas relacionadas às diretrizes de segurança da informação que devem ser conduzidas por eles internamente visando viabilizar a relação jurídica.
  3. A negativa em subscrever termos de ciência e compromisso com a PSI justifica tanto a não celebração de contrato quanto a rescisão.
  4. Justifica-se a rescisão contratual com empresas prestadoras ou parceiras que não estejam se adequando à LGPD.

 

  1. Considerações Finais;

  1. As regras contidas nesta Política de Segurança da Informação são cogentes e obrigam todos os colaboradores da SCC4  e demais empresas do grupo.
  2. Todos os colaboradores tiveram acesso e participaram de treinamento a respeito das rotinas desta Política de Segurança da Informação, não podendo justificar seu descumprimento ao argumento de falta de ciência de seu conteúdo.
  3. A ciência e domínio a respeito das regras de segurança da informação aqui contidas pode ser utilizada como critério de contratação e promoção de colaboradores.
  4. Treinamentos periódicos podem ser realizados visando reforçar as premissas desta PSI, aos qual todos os colaboradores estão obrigados a participar.