Política de Segurança da Informação e Proteção de Dados
1. OBJETIVO
Estabelecer os conceitos e diretrizes de segurança da informação, com a finalidade de proteger bens e serviços de tecnologia da informação adquiridos, desenvolvidos, disponibilizados ou mantidos pela G&P, visando preservar a sua integridade, confiabilidade, disponibilidade e acessibilidade da G&P e de seus clientes.
Posiciona-se como documento estratégico, com vistas a promover o uso seguro dos ativos de informação da G&P devendo ser cumprida por todos os colaboradores, estagiários e terceiros da G&P.
2. ABRANGÊNCIA
Aplica-se a todos os usuários, clientes, fornecedores e visitantes que tenham ou venham a ter contato através de acesso local ou remoto a quaisquer bens e serviços de tecnologia da informação adquiridos, desenvolvidos, disponibilizados ou mantidos pela G&P. Inclui também todas as atividades de tratamento de dados pessoais realizadas por ou em nome da G&P, abrangendo coleta, armazenamento, uso, compartilhamento e descarte de dados.
3. POLÍTICA E PILARES DA SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS
3.1. Política
A G&P está comprometida com a observância da legislação em vigor aplicável. Para a condução de suas atividades empresariais é necessário o estabelecimento de uma Política de Segurança da Informação e Proteção de dados estruturada e clara que possibilite aderência e conformidade.
Além disso, é fundamental estabelecer diretrizes claras de proteção de dados pessoais para garantir a privacidade dos indivíduos e o cumprimento da LGPD.
3.2. Pilares
Segurança da informação e proteção de dados são esforços contínuos para a proteção dos ativos de informação, auxiliando a G&P a cumprir sua missão. Portanto, visa atingir os seguintes objetivos:
- Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;
- Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
- Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.
Quanto à privacidade de dados, buscamos atender aos 3 pilares previstos na Lei Geral de Proteção de Dados (LGPD) – processos, pessoas e tecnologia-, que servem como alicerces sobre os quais toda a legislação é construída.
4. RESPONSABILIDADES
4.1. Da área de TI
A área de TI deve demonstrar o compromisso com a Segurança de Informação através de atividades que contribuam com o cumprimento desta política:
- Configuração dos equipamentos e sistemas para cumprir o estabelecido nesta política;
- Monitoração do ambiente de TI e capacidade da rede e dos equipamentos;
- Limitação e controle de acesso ao Data Center;
- Planejamento, implantação, fornecimento e monitoração da capacidade de armazenagem, processamento e transmissão necessárias a fim de garantir a segurança do negócio;
- Criação e gerenciamento de identidade lógica dos colaboradores da G&P;
- Proteção de todos os ativos de informação da empresa contra ameaças;
- Garantir proteção a vulnerabilidades/fragilidades em processos de mudança;
- Definição de regras para a instalação software e hardware;
- Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais;
- Garantir bloqueio de acesso de usuários que foram desligados, após notificação pelas áreas responsáveis e gestores sobre devidos desligamentos;
- Instalação de sistemas de proteção para garantia da segurança das informações e dos perímetros de acesso;
- Implantação de sistemas de monitoramento nas estações de trabalho: servidores, correio eletrônico; conexão com a internet; mobile e outros dispositivos de rede.
- Implementar e manter sistemas e procedimentos que assegurem a proteção dos dados pessoais tratados pela G&P, conforme exigido pela LGPD;
- Garantir que todos os processos de tratamento de dados pessoais sejam devidamente documentados e auditáveis;
- Desenvolver e aplicar mecanismos para a anonimização e pseudonimização de dados pessoais, quando aplicável, para aumentar a segurança e privacidade dos dados.
4.2. Dos Usuários
É missão e responsabilidade de cada correspondente, seja por meio de seu colaborador, estagiário, aprendiz, prestador de serviços, parceiro ou visitante, observar e seguir as políticas, padrões, procedimentos e orientações estabelecidas para o cumprimento da presente Política de Segurança da Informação. É imprescindível que cada pessoa compreenda o papel da Segurança da Informação em suas atividades diárias, bem como:
- Cumprir e fazer cumprir a política, as normas e os procedimentos de segurança da informação da G&P;
- Somente acessar os recursos sob sua responsabilidade;
- Usuários são responsáveis individualmente pelos recursos usados por eles;
- Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões em blogs e redes sociais;
- Comunicar imediatamente à área responsável sobre:
- Descumprimento ou violação desta política e/ou normas ou procedimentos (todos os públicos):
- E-mail: canalcompliance@gpnet.com.br
- Website: Canal de Denúncias;
- Reportar quaisquer incidentes de Segurança da Informação:
- Portal Interno de suporte: https://suporte.gpnet.com.br/ (colaboradores);
- E-mail si@gpnet.com.br (todos os públicos).
5. PROCEDIMENTOS
- Todos os colaboradores, estagiários, aprendizes e colaboradores terceirizados devem ter ciência de que o uso das informações e dos sistemas de informação podem ser monitorados, sem aviso prévio, e que os registros assim obtidos podem servir de evidência para a aplicação de medidas disciplinares;
- Não informar em cadastros ou listas públicas nomes completos ou e-mails pessoais ou personalizados com dados pessoais. Dê preferência aos dados do departamento ou função;
- Nenhum usuário pode monitorar o tráfego da rede ou simular algum dispositivo da rede, sem a devida autorização da gerência de informática. A violação dessa determinação é considerada falta grave;
- Todos os colaboradores, estagiários, aprendizes e colaboradores terceirizados devem possuir uma identificação única (física e lógica), pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações;
- As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da G&P, não podendo ser interpretado como de uso pessoal;
- As informações de clientes devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes de Segurança da Informação da G&P e estabelecidas nas leis vigentes;
- As informações de clientes devem ser utilizadas somente para os fins para os quais foram autorizados;
- A G&P mantém um compromisso com o cliente em adotar técnicas e meios de segurança mais adequados e disponíveis em relação à segurança dos dados trafegados, processados e/ou armazenados no Data Center da G&P;
- Somente profissionais autorizados devem possuir acesso as informações da G&P e de seus clientes;
- Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de uma pessoa ou equipe;
- Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades;
- As responsabilidades no que tange a garantia dos pilares da segurança da informação supracitados devem ser amplamente divulgados nos canais de comunicação da G&P público ou interno fazendo valer firmemente a aplicação das diretrizes aqui descritas;
- A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.
5.1. Quanto ao uso dos recursos de TI
O envolvimento do usuário é importante no processo da segurança dos recursos de TI, pois é na adequada utilização destes recursos, como instrumento de trabalho, que se inicia a formação de uma sólida cultura de segurança da informação.
Recomenda-se as seguintes práticas:
- Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras, números e símbolos, evitando o uso de nomes, sobrenomes, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com o usuário ou palavras constantes em dicionários;
- Alterar periodicamente suas senhas;
- Utilizar criptografia sempre que enviar ou receber dados com informações sensíveis;
- Certificar a procedência do site e a utilização de conexões seguras (criptografadas) ao realizar transações via web, em caso de dúvida consultar sempre um profissional da área de TIC;
- Verificar se o certificado do site ao qual se deseja acessar, esta integro e corresponde realmente aquele site, observando ainda, se o certificado está dentro do prazo de validade;
- Certificar que o endereço apresentado no navegador corresponde ao site que realmente se quer acessar, antes de realizar qualquer ação ou transação;
- Digitar no navegador o endereço desejado e não utilizar links como recurso para acessar um outro endereço destino;
- Não abrir arquivos ou executar programas anexados a e-mails, sem antes verificá-los com um antivírus;
- Não utilizar o formato executável em arquivos compactados de procedência desconhecida, pois estes tipos são propícios à propagação de vírus;
- Apenas os equipamentos e softwares disponibilizados e/ou homologados pelo departamento de TIC podem ser instalados e conectados à rede da G&P.
5.2. Quanto ao uso de senhas
- Manter a confidencialidade, memorizar e não registrar a senha em lugar algum, ou seja, não informar a outro e não anotar em papel;
- Selecionar senhas de qualidade, que sejam de difícil adivinhação;
- Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;
- Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ “logado” com a sua identificação;
- Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del);
- Informações confidenciais como senhas e/ou qualquer informação a qual o profissional/prestador possua em seu poder durante exercício das suas atividades devem sempre ser mantidas de forma secreta, sendo terminantemente proibido seu compartilhamento.
5.3. Mesa limpa
- Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos, eletrônicos ou não.
- Documentos não devem ser abandonados após a sua cópia, impressão ou utilização. Senhas de autenticação não devem ser escritas em papeis ou etiquetas, coladas ou deixadas na mesa, monitores ou gavetas. Essas diretrizes devem ser seguidas dentro ou fora do ambiente da G&P.
- Vistorias serão realizadas conforme Política de Mesa Limpa e Tela Limpa e para colaboradores alocados em clientes e fornecedores, será reforçado com comunicação e workshops.
Para assegurar a proteção adequada às informações da G&P, deve existir um método de classificação e rotulagem da informação de acordo com o grau de confidencialidade e criticidade para os negócios da G&P:
- A classificação deve seguir os seguintes rótulos: Restrita, Confidencial, Interna ou Pública, considerando assim, as necessidades relacionadas ao negócio;
- Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da G&P em todo o seu ciclo de vida, que compreende: geração, manuseio, armazenamento, transporte e descarte;
- Todos os usuários são responsáveis pela classificação das informações sob sua utilização, assim como por zelar pela manutenção de sua confidencialidade, integridade e disponibilidade. Em caso de vazamento de dados ou informações sob responsabilidade da G&P, deverá ser comunicado à G&P através dos canais:
- Sistema de Suporte Interno (apenas colaboradores):
- Externos (alocados, clientes, parceiros, prestadores de serviços e demais stakeholders)
- E-mail: si@gpnet.com.br
5.5. Gestão e controle de acessos e identidade
Os acessos lógicos dos colaboradores, estagiários, aprendizes e colaboradores terceirizados devem ser controlados de forma que somente às informações necessárias ao desempenho de suas atividades estejam disponíveis, mediante aprovação formal, seja por e-mail ou abertura de chamado seguido de aprovações dos respectivos responsáveis em anexo para o departamento de infraestrutura. Os acessos físicos as dependências da G&P e filiais devem seguir o mesmo procedimento.
Para usuários que não devam possuir acesso ao ambiente da companhia (sejam eles lógicos ou físicos), os gestores de área/projeto devem comunicar a revogação de acessos.
5.6. Gestão de riscos, objetivos e incidentes da segurança da informação
Os riscos devem ser identificados por meio de um processo estabelecido para Avaliação dos Riscos de Segurança da Informação que tenham impacto no negócio e/ou suas estratégias, alinhados com o contexto do negócio de forma a preservar e proteger adequadamente a G&P e seus clientes.
Os incidentes de Segurança da Informação devem ser analisados, tratados, registrados, monitorados e reportados à área de infraestrutura. Para minimizar vulnerabilidades e riscos associados à segurança da informação, deve-se, periodicamente, realizar verificação e atualização das ferramentas voltadas à gestão de vulnerabilidades, tais como: antivírus, firewall, servidores biométricos de senhas, bem como revisão frequentes nas ferramentas de acessos à rede (AD) e e-mails. Essas ações são voltadas a minimizar acessos indevidos, regras desatualizadas e possíveis vulnerabilidades à segurança da informação. Os riscos serão monitorados pela área de Compliance e comunicados à Alta Gestão, conforme reports programados.
5.7. Política de logs
- Para todo e qualquer serviço instalado no(s) servidor(es), deverá ser gerado um log para análise de sua utilização;
- É responsabilidade do Administrador a análise/avaliação dos arquivos de log gerados pelos servidores da Instituição;
- Os servidores e endpoints devem estar sincronizados com servidores NTP de responsabilidade da G&P;
- O administrador deverá tomar as medidas cabíveis como resposta quanto aos eventos e incidentes identificados nos logs e reportar às áreas responsáveis.
5.8. Política de Privacidade de Dados Pessoais
A política de privacidade informa como a G&P protege e mantém a confidencialidade e integridade de dados pessoais que trata e controla, em conformidade com as leis e regulamentações vigentes, bem como os direitos dos titulares em relação ao tratamento de seus dados pessoais.
Esta política aplica-se às atividades de tratamento de dados pessoais dos clientes, potenciais clientes, candidatos às vagas de emprego, funcionários, visitantes de nossos escritórios, de nossos sites e aplicativos. Demais informações e alterações podem ser consultadas no documento Política de Privacidade de Dados Pessoais ou através do site da G&P em https://www.gpnet.com.br/politica-de-privacidade.
6. TREINAMENTO E CONSCIENTIZAÇÃO
A G&P realiza treinamentos de forma regular e periódica de conscientização em Segurança da Informação e Proteção de Dados, com ações de diferentes formatos e abrangendo diferentes públicos por meios de seus canais de comunicação interno ou externo, presencial ou online, conforme descrito no Programa de Segurança da Informação e Proteção de Dados.
7. PENALIDADES
O não cumprimento – parcial ou integral – da Política de Segurança da Informação poderá acarretar ações disciplinares que poderá aplicar as seguintes penalidades:
- Advertência Verbal;
- Advertência Escrita;
- Suspensão;
- Demissão;
- Rescisão de Contratos (para terceiros/fornecedores).
A ação poderá ser identificada por qualquer colaborador ou prestador de serviços atuando em nome da G&P, e comunicada à equipe de TIC, responsável pela segurança de informação. As não conformidades poderão ser analisadas pelo gestor do colaborador/terceiro que cometeu a penalidade – em conjunto com Comitê de Conduta e demais áreas de interesse, quando for aplicável – e as ações disciplinares poderão ser aplicadas de acordo com as sanções descritas no Código de Conduta.
Prestadores de quanto à segurança, privacidade, confidencialidade ou integridade das contrato e meios judiciais cabíveis.
8. ALTERAÇÃO E DIVULGAÇÃO
A Política de Segurança da Informação deverá ser alterada, no mínimo, anualmente – podendo sofrer alterações de acordo com políticas e procedimentos internos. Após alteração, o documento deverá ser disponibilizado aos usuários que acessam o ambiente da G&P Projetos e Sistemas, sejam eles colaboradores, prestadores de serviços, clientes ou parceiros.
Quando de sua alteração, deverá ser publicada a todas as partes interessadas, podendo ser divulgadas na íntegra (para colaboradores) ou parcial, através de comunicados, de acordo com o público-alvo (cliente e/ou prestadores de serviços), com as partes relevantes ao público em questão.
Quando da revisão da Política de Segurança da Informação, a área de TIC deverá garantir que os documentos complementares também sejam revisados e, se necessário, alterados.
Controle: POL-TIC002 – Política da Segurança da Informação e Proteção de Dados