Para uma boa utilização dos recursos de TI é necessária uma política de uso dos equipamentos e das regras adotadas pela RCZ para que todos tenham pleno conhecimento do funcionamento.

Para a implementação de controles de segurança faz-se necessária a criação de um processo de gestão da segurança da informação. Este processo deve considerar o incentivo à definição de políticas de segurança, cujos escopos devem englobar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo-benefício e programas de conscientização e treinamento.

Com a perspectiva de proteger os direitos dos Colaboradores e da RCZ, e também proteger os recursos de TI, este documento define os direitos e obrigações dos Colaboradores, apresenta os riscos envolvidos no uso de recursos de TI e recomenda regras para o uso apropriado.

É de suma importância que cada Colaborador esteja ciente de como deve utilizar os recursos de TI, sempre em respeito às regras definidas neste documento, a fim de garantir que a segurança dos dados será preservada.

Este documento será enviado para todos por e-mail e sempre que um novo Colaborador for contratado. Pode ser fornecido individualmente para cada Colaborador, mediante solicitação.

O Departamento de TI permanece à disposição dos Colaboradores para fornecer-lhes qualquer explicação sobre a utilização dos recursos de TI e informá-los sobre qualquer evolução técnica. Cada Colaborador deve manter-se informado das técnicas referentes à segurança e aos avanços técnicos e tecnológicos.

Sempre que existir qualquer alteração na política de segurança da informação, o Departamento de TI comunicará a todos sobre as novas diretrizes.

A RCZ está empenhada em implementar a política de segurança da informação, a fim de garantir a melhor segurança possível dos recursos de TI disponibilizados aos Colaboradores.

Qualquer uso dos recursos de TI da RCZ implica que o Colaborador concorda em respeitar estritamente as regras, tal como apresentado neste documento. O uso de recursos de TI da RCZ está sujeito à autorização. Quaisquer direitos de acesso concedidos são estritamente pessoais e não podem ser transferidos para outra pessoa ainda que temporariamente, sem autorização do titular, exceto em casos específicos.

Como parte do dever de todo Colaborador, é obrigatório manter sigilo das informações de sua competência e/ou conhecimento, estejam elas armazenadas em qualquer meio, seja ele físico ou digital, conforme acordado nas relações de trabalho e políticas e manuais internos, comprometendo-se neste aspecto (manter sigilo) sobre toda e qualquer informação que venham a conhecer em função de suas atividades dentro da RCZ.

Todos os Colaboradores devem ter ciência que:

a) Deverão participar de treinamentos (quando houver) a respeito dos procedimentos de segurança da informação e do uso correto das informações, instalações, desde a coleta, uso, guarda, processamento, transmissão, recepção, dentre outras operações de tratamento de dados, até o descarte;
b) Devem informar imediatamente seu superior imediato e/ou o Departamento de TI quando informações ou aplicações críticas forem encontradas sem o tratamento de segurança correto;
c) O departamento de TI deve ser comunicado imediatamente quando for encontrada alguma infração às normas citadas e devem avaliar a situação e tomar as medidas cabíveis em conjunto com a gestão do Colaborador responsável pela infração;
d) Precisam manter sigilo sobre qualquer informação que ainda não seja do conhecimento do mercado, e que todos os Colaboradores são responsáveis por manter esse sigilo.

Os Colaboradores devem manter qualquer documento com informações críticas ou com dados pessoais de terceiros em lugar seguro.

É de obrigação de cada Colaborador manter a mesa limpa e deixar sob a mesa apenas o que realmente deve usar durante o dia, assim é possível ter um controle maior sobre os papéis sobre a mesa.

Qualquer mudança de local, mesa ou posição deve passar pelo departamento de TI para que este faça as devidas mudanças dos computadores a fim de não perder dados e não danificar equipamentos.

No uso das salas de reuniões, alguém deve se responsabilizar por verificar se ao final de uma reunião a sala está limpa e sem nenhum documento que comprometa a RCZ.

Deve-se ter muito cuidado ao imprimir uma folha com dados pessoais, a qual deve ser imediatamente recolhida por quem a imprimir, de modo que não fiquem vulneráveis ao acesso de terceiros. Antes de imprimir, deve-se verificar a sua real necessidade, sempre com o intuito de economizar com as impressões, ajudar a natureza e diminuir o risco de deixar alguma folha solta com informações importantes pela RCZ.

Todo Colaborador visitado é responsável pelo acompanhamento e acesso do seu visitante dentro das instalações da RCZ.

Os recursos de TI são os meios disponibilizados para cada Colaborador a fim de
cumprir as atividades que lhe são confiadas. Esses equipamentos devem ser
utilizados apenas para uso profissional, ou seja, para evitar que a RCZ esteja sujeita
a problemas como ataques cibernéticos ou algo parecido. O Departamento de TI
permitirá somente a instalação de softwares homologados conforme o documento
ITS-ITSERVICES-AN-Software_Homologados e deve garantir a segurança desses
equipamentos. Contas de e-mail particulares ou arquivos pessoais não devem estar
nesses equipamentos.

A utilização pessoal de recursos de TI poderá ser concedida em casos especiais e
com o aceite da diretoria responsável. E deve ser observado que qualquer problema
ocorrido em decorrência dessa permissão cabe ao Colaborador a responsabilidade.

A RCZ não tem obrigação pelos backups dos dados particulares e, em caso de
arquivos maliciosos, o antivírus da RCZ deve remover imediatamente sem dar ao
Colaborador a possibilidade de recuperar esse arquivo.

Todos os recursos de TI, juntamente com todos os arquivos criados pelo Colaborador legitimamente, são de propriedade exclusiva da RCZ.

Cada Colaborador deve garantir a segurança individual dos recursos de TI que lhe foram concedidos. Para isso, devem ser respeitadas as seguintes regras:

a) Não alterar os parâmetros do sistema;

b) Não abrir os equipamentos, pois isso pode fazer com que a RCZ perca a garantia do equipamento;

c) Não adicionar ou utilizar softwares piratas ou softwares baixados da internet sem o consentimento do Departamento de TI;

d) Não instalar equipamentos que podem ser utilizados para estabelecer conexões de acesso livre à Internet;

e) Certificar-se de que computadores e redes externas (como a Internet) não colocam em risco a segurança dos recursos de TI;

f) Nunca deixar o computador com a sessão aberta e desbloqueado;

g) Informar ao Departamento de TI sobre qualquer anomalia operacional ou qualquer problema não resolvido;

h) Ao se ausentar da estação de trabalho, bloquear a tela utilizando a combinação de teclas CTRL+ALT+DEL ou Tecla Windows+L;

A opção de proteção automática de tela protegida por senha, após o tempo máximo de 10 (dez) minutos sem uso, será habilitada automaticamente em todos os equipamentos ou sistemas da RCZ, desde que permitam este recurso. Essa ação não invalida as responsabilidades presentes nos itens acima, sobre a necessidade de manter o computador bloqueado quando não estiver em uso ou o Colaborador se ausentar da sua mesa, as quais são prioritárias em relação ao bloqueio automático.

Direitos de acesso e senhas são fornecidos assim que o Colaborador assume sua função, de acordo com as tarefas delegadas. Os direitos de acesso podem ser limitados ou livremente removidos pela RCZ, sendo que o Colaborador será informado da alteração. Os direitos de acesso de um Colaborador são removidos assim que ele deixa a RCZ.  

Cada Colaborador receberá seus acessos individualmente e assim eles devem  permanecer. Os acessos e senhas são exclusivamente pessoais para o Colaborador  e não devem ser compartilhados, pois isso pode pôr em risco a segurança da RCZ.  Por ser possível rastrear quem acessou e de onde acessou isso pode gerar ao  Colaborador uma advertência dependendo da situação. E por ser de  responsabilidade do Colaborador os cuidados com esses acessos e senhas é  essencial que, ao notar qualquer atividade suspeita em seus acessos, comunique  imediatamente o Departamento de TI. 

Qualquer alteração de cargo ou novo Colaborador deve ser comunicado ao  Departamento de TI para que a mesma possa providenciar os acessos ou a  alteração dos mesmos. 

As senhas não devem ser impressas e escritas, muito menos identificadas ou  registradas próximas ao computador e às estações de trabalho. Devem ser  mantidas, se necessário, e de maneira não rotineira, em uma área segura de  acesso exclusiva do colaborador. 

Para garantir a segurança de todos, a senha deve ser “forte” e deve-se respeitar as  seguintes características: 

a) Mínimo de 8 (oito) caracteres;

b) Não envolver elementos presentes no username/login;

c) Escolher 4 (quatro) tipos de caracteres (letras minúsculas, letras maiúsculas, números e símbolos);

d) Não reutilizar as últimas 10 (dez) senhas;

e) Não utilizar datas de aniversário;

f) Não derivar de uma palavra do dicionário.

É de responsabilidade do Colaborador os cuidados com a manutenção de  segurança e sigilo da senha, evitando sua utilização indevida. As senhas são  sigilosas, individuais e intransferíveis, não devendo ser divulgadas em nenhuma  hipótese. 

As contas com privilégios administrativos das bases de dados serão concedidas  apenas para o Departamento de TI, com assinatura do “Termo de Responsabilidade  de Acesso e Concessão de Acesso ao Banco de Dados da RCZ”. A reinicialização  (reset) de senha (de uma base de dados) deve ser solicitada ao Departamento de  TI, por meio de chamado técnico e mediante análise e aprovação do gestor imediato  do solicitante. 

É proibido que o Colaborador realize qualquer uma das operações abaixo:

a) Utilizar em um equipamento pessoal softwares adquiridos pela RCZ sem autorização da mesma;

b) Fornecer a terceiros os programas de software que a RCZ tenha adquirido licença;

c) Instalar programas de jogos em um dispositivo móvel, computador ou servidor pertencente à RCZ;

d) Utilizar os recursos de backup da RCZ para arquivos privados ou pessoais (fotos, filmes etc.);

e) Utilizar programas de software que a RCZ não tenha adquirido a licença ou utilizar cópias ilegais;

f) Baixar e/ou instalar qualquer software da internet ou qualquer outro serviço on-line nos computadores ou servidores;

g) Utilizar softwares para os quais o colaborador possui uma licença pessoal nos equipamentos pertencentes à RCZ;

h) Utilizar softwares de “shareware” após o vencimento do período experimental, salvo se a RCZ prolongar esse período;

i) Instalar ou utilizar qualquer software de criptografia em computadores pertencentes à RCZ, salvo se houver autorização prévia por escrito do Departamento de TI;

j) Adquirir software sem avaliação prévia e autorização expressa do Departamento de TI;

k) Instalar aplicativo nas estações de trabalho sem a homologação da RCZ por meio do Departamento de TI, seja ele comercial, freeware ou shareware;

l) Utilizar software não adquirido oficialmente pela RCZ bem como cópias não licenciadas, autorizadas e homologadas pelo Departamento de TI.

m) Utilizar equipamentos pessoais sem a autorização do gestor.

Todos os programas existentes nas estações de trabalho devem ser homologados pelo Departamento de TI sob o ponto de vista técnico/operacional, controlados para efeito de inventário e disponibilidade. Exceções devem ser comunicadas ao Departamento de TI para tomada das providências necessárias a fim de garantir a utilização do recurso dentro do nível de segurança definido pela RCZ.

Todas as instalações devem ser monitoradas e o Departamento de TI poderá fazer uma auditoria nos equipamentos para verificar eventual software ou aplicação instalados de forma ilegal. Se assim constar, haverá remoção automática e o Colaborador será advertido.  

Para prevenir a invasão e propagação de vírus, não devem ser utilizadas unidades removíveis (pendrives, gavetas USB ou qualquer outro tipo de mídia removível) sem antes haver uma varredura por antivírus;

Quaisquer documentos ou programas que um Colaborador receber por meio magnético ou óptico, ou baixado da internet, deve obrigatoriamente ser analisado para detectar possíveis vírus e outros programas destrutivos. Essa análise deve ser realizada utilizando softwares de antivírus fornecidos pela RCZ.

Somente softwares de antivírus aprovados devem ser utilizados para prevenir contra vírus. Além disso, os Colaboradores devem alertar o Departamento de TI caso apareça alguma mensagem do antivírus em seu computador ou dispositivo.

É proibido instalar e/ou desabilitar seu antivírus, a menos que você receba autorização prévia e expressa do Departamento de TI.

Caso o antivírus apresente algum alerta, o Departamento de TI deve ser informado imediatamente para tomar as devidas providências.  

O e-mail deve ser utilizado exclusivamente para troca de mensagens que atendam às funções operacionais da RCZ.

Todo conteúdo confidencial e sigiloso veiculado por e-mail poderá utilizar técnicas de criptografia ou qualquer outra disponibilizada pela RCZ para este fim visando proteger sua confidencialidade e integridade.

Se houver desconfiança de algum e-mail, o Colaborador não deve abri-lo e deve acionar o Departamento de TI para validação, pois existem e-mails conhecidos como phishing que são e-mails falsos utilizados apenas para capturar e/ou roubar as informações do computador.

Utilize o e-mail somente enquanto estiver trabalhando. O Colaborador deve estar ciente de que, embora execute função ou trabalho externo, sem horário fixo, deve garantir seu horário de descanso e lazer, não trabalhando ou enviando e-mails em horários noturnos, finais de semana ou feriados, exceto quando solicitado por seu gestor.

É de responsabilidade do Colaborador cuidar da integridade, confidencialidade e disponibilidade das informações contidas em seu e-mail, devendo comunicar por escrito ao superior imediato quaisquer indícios ou possibilidades de irregularidades. Por esse motivo, e-mails somente devem ser acessados de equipamentos da RCZ nos quais já existem medidas de segurança para evitar o roubo de informações.

As informações contidas em sua caixa de e-mail são da RCZ, o que não lhe dá o direito de compartilhar as informações contidas nele com outras pessoas de fora da RCZ, a não ser para tratativas profissionais (relacionadas ao trabalho em execução).

O Colaborador deve alterar sua senha sempre que obrigatório ou que tenha suspeita de descoberta por terceiros, não usando combinações simples que possam ser facilmente descobertas. Deve, ainda, respeitar as normas de segurança e restrições de sistema impostas pelos sistemas de segurança implantados na RCZ.

A configuração dos e-mails segue alguns parâmetros de segurança:

a) Acesso às caixas de e-mail da RCZ é autenticado e relacionado a um Colaborador;

b) Os e-mails trocados entre a RCZ e terceiros usam criptografia para segurança da informação e dos envolvidos;

c) Envio ou recebimento de e-mails de ou para caixas de e-mails ou sistemas de mensagens da RCZ só podem ser realizados para fins profissionais, podendo ser auditados e preservados pelo período de um ano;

d) As caixas de e-mails estão sujeitas ao registro de eventos.

Qualquer e-mail que passa por meio da caixa de e-mails disponibilizados para colaboradores é considerado de natureza profissional.

Excepcionalmente, o Colaborador tem o direito de usar e-mails disponibilizados pela RCZ para fins privados, desde que autorizado pelo gestor.

Cada colaborador deve ter cuidado para não usar mensagens eletrônicas de forma abusiva e desproporcional.  

a) Envio de mensagens sem identificar a origem ou utilizando-se de conta de e-mail de outras pessoas;

b) Envio de mensagens com conteúdo difamatório, ofensivo, discriminatório, homofóbico ou afins, que importune ou cause constrangimento às pessoas;

c) Envio de mensagens com vírus arquivos do tipo “Cavalo de Tróia” e mensagens não solicitadas, como “spam”, “junk mails” e correntes;

Atenção: e-mails internos da RCZ são seguros. No entanto, e-mails que passam pela internet podem, a qualquer momento, ser interceptados, exibidos, salvos e utilizados para fins não autorizados por terceiros.  

A Internet é um recurso de TI fornecido pela RCZ com o objetivo de aumentar a  produtividade dos processos de trabalho, devendo seu uso ser exclusivo para  atividades da RCZ. É proibido a consulta e/ou veiculação de imagens ou  informações que não estejam relacionadas para o fim profissional. 

A liberação de acesso é feita pelo Departamento de TI e é auditada para fins de  controle. Os acessos serão fornecidos de acordo com cada departamento e em  caso de solicitação de liberação de novos acessos é necessário abrir um chamado  para que o Departamento de TI analise a solicitação. 

O acesso à Internet para algumas operações rotineiras, como acesso a sites de  bancos, será permitido. Todo acesso é auditado e o abuso desses acessos será  reportado para o gestor do Colaborador. 

É vedado o uso ou reprodução de qualquer material da Internet, incluindo softwares,  gráficos, áudio, vídeo e similares que a RCZ não tenha propriedade intelectual e/ou  licença, sem que haja prévia e formal aprovação dos proprietários dos direitos. 

É vedada a utilização do acesso à Internet para participação em campanhas  cívico-sociais, adesão a programas de ajuda mútua (pirâmides, correntes etc.),  aquisição de qualquer tipo de bem ou serviço de uso particular e outras atividades  similares. 

O Colaborador violará as regras da RCZ se utilizar os recursos de TI para visualizar,  enviar informações sobre, ou consultar sites cujo conteúdo vai contra a ordem  pública ou aos bons costumes, particularmente os sites com conteúdo que é  xenófobo, homofóbico, racista, revisionista ou pedófilo.   

A rede WIFI da RCZ é dividida da seguinte forma:

a) Rede Visitantes (RCZ Guest): rede isolada da rede corporativa permitindo apenas acesso à internet e a e-mails de forma controlada e limitada;

b) Rede Corporativa (RCZ Corporate): rede com acesso aos arquivos e recursos da rede para que os Colaboradores possam executar suas atividades do dia a dia (jamais deve ser atribuída para um visitante);

c) Rede Mobile (RCZ Mobile): rede para que os Colaboradores possam conectar seus celulares sem afetar a rede corporativa, ficando isolada da rede corporativa para não infectar ou permitir acesso indevido;

O acesso para visitantes é realizado por meio de voucher e a liberação perdurará apenas por algumas horas, garantindo a conexão somente por tempo limitado.  

É de responsabilidade de todos os Colaboradores:

1. a) O uso correto dos recursos de TI disponibilizados pela RCZ;
2. b) O uso correto dos recursos de TI disponibilizados de forma dedicada, cabendo ao Colaborador beneficiado zelar pelos aspectos de manutenção, proteção física, controle de acesso lógico e uso adequado para as finalidades a que foi designado;
3. c) No caso de furto ou roubo de um recurso de TI disponibilizado de forma dedicada ao Colaborador pela RCZ, notificar imediatamente o gestor e o Departamento de TI, além de acionar as autoridades policiais por meio de boletim de ocorrência (B.O.), no prazo máximo de 4 (quatro) dias corridos contados do incidente.

Em casos de danos/avarias decorrentes do mau uso do equipamento sob responsabilidade do Colaborador, o Departamento de TI o enviará ao fornecedor homologado para fins de orçamento e manutenção, sendo o valor descontado conforme descrito no Termo de Responsabilidade assinado em sua entrega.

O Departamento de TI é responsável pelo inventário dos equipamentos, aplicativos e softwares da RCZ, assim como por auditorias regulares para avaliar a utilização.

Toda contratação de sistemas, serviços e/ou tecnologia deverá ser analisada pelo Departamento de TI, o qual deverá fazer uma avaliação levando em consideração requisitos de segurança, desempenho, benefícios, etc., bem como a sua capacidade técnica.

Os equipamentos portáteis e/ou aqueles utilizados em home office ou externamente deverão ter um cuidado adicional, de forma que preservem a informação neles contida;

O Departamento de TI poderá inspecionar toda e qualquer informação (como por exemplo: e-mails, arquivos, diretórios etc.) que transite ou esteja armazenada na sua rede ou ainda em qualquer dispositivo pertencente à RCZ ou por esta autorizado a ser utilizado para fins profissionais por qualquer Colaborador;

Acesso e uso da rede, e-mails e sistemas serão bloqueados durante o período de afastamento do Colaborador (férias e licenças) e seus e-mail serão direcionados a pessoa indicada ao departamento de Recursos Humanos que irá solicitar a aplicação através de chamado técnico enviado o Departamento de TI;

Exceção: Cargos de confiança não terão seu acesso bloqueado. Por decisão individual seus e-mails poderão ser direcionados à pessoa indicada ao departamento de Recursos Humanos que solicitará a aplicação através de chamado técnico enviado ao Departamento de TI.  

O Colaborador deve informar imediatamente ao Departamento de TI qualquer tentativa de violação da sua estação de trabalho ou arquivos, informações ou dados, para que se possa investigar quem é responsável por quaisquer incidentes que possam ocorrer.

Em casos de roubo de computador, celular ou arquivos de backup, ou violação de quaisquer recursos de TI disponibilizados ao Colaborador, o Departamento de TI deve ser imediatamente informado.

O Colaborador deve responder, em todas as instâncias, pelas consequências das ações ou omissões de sua responsabilidade que possam pôr em risco ou comprometer a exclusividade de sua senha ou das transações a que tenha acesso.  

A RCZ proporcionará aos Colaboradores treinamentos e/ou atividades de conscientização (mínimo de 4 por ano) sobre ameaças de segurança cibernética e melhores práticas individuais, os quais podem ser realizados por qualquer meio apropriado (mensagens, intranet, telas, exercícios etc.), em conformidade com as políticas ou padrões de comunicação internos da RCZ.

Além disso, os Colaboradores devem, regularmente (pelo menos uma vez por ano), consultar e validar os termos de uso dos sistemas de informação sujeitos a esse documento.  

Como responsável pelos recursos de TI utilizados pela RCZ, o Departamento de TI deve tomar alguns cuidados a mais quando o assunto é segurança. Por esse motivo este tópico é dedicado especialmente à equipe de TI para tomada das melhores decisões baseadas em conhecimento.  

Todo e qualquer sistema criado ou adquirido deve ser baseado em perfil de acesso, ou seja, deve atribuir acessos específicos para cada perfil, garantindo assim a segurança dos sistemas. Sistemas legados que não possuem perfil de acesso devem ser trocados ou deve ser implementada a função de perfil de acesso.

Antes de instalar uma ferramenta é importante mapear todos os acessos e documentá-los, sendo que esses registros devem ser avaliados e autorizados pelos gestores de cada área responsável.

A implementação de sistemas e ferramentas deve ser sempre a mais restrita possível, garantindo maior segurança e concedendo liberações somente quando realmente necessário. Essas liberações devem ser atribuídas ao perfil de acesso, e não ao Colaborador, para manter a rastreabilidade dos acessos.

A customização de senhas é obrigatória e deve seguir pelo menos as seguintes características:

1. a) Definição de tempo para bloqueio ou expiração de contas e/ou senhas;
2. b) Definição do número máximo de tentativas de acesso incorretas consecutivas com bloqueio de contas e/ou senhas.
3. c) Senha com no mínimo de 8 (oito) caracteres;
4. d) Senha com pelo menos 4 (quatro) tipos de caracteres (letras minúsculas, letras maiúsculas, números e símbolos);

O número máximo de tentativas de autenticação sem sucesso nos sistemas (logon) é de 3 (três) vezes, sendo que, ultrapassado esse número, a conta do usuário permanecerá bloqueada e a liberação será efetuada apenas por solicitação formal do seu gestor.

As senhas de acesso terão uma validade de 42 (quarenta e dois) dias, quando deve ser requisitada automaticamente a sua troca para o usuário. O usuário não poderá reutilizar as suas últimas 10 (dez) senhas.

Os usuários deverão ter acesso concedido apenas por meio de perfil, sendo que nenhum usuário poderá ter mais de um perfil de acesso.

A autorização para utilização de cada função, tela ou módulo do sistema e/ou aplicativo deverá ser realizada por usuário, e deverá ser solicitada ao Departamento de TI por meio de chamado, mediante aprovação do gestor do Colaborador envolvido.

Em rotinas que necessitam de ações de um único usuário (ex. aprovações financeiras), o sistema deve permitir delegação de função de maneira a não comprometer as atividades em caso de sua ausência, solicitada ao Departamento de TI por meio de um chamado e com aprovação pelo gestor da área envolvida.

Os sistemas e aplicativos devem permitir o bloqueio de acesso de forma automática, ou manual, quando da ausência temporária do usuário por motivo de férias, licença ou por motivos de força maior.

Todo acesso a sistemas/aplicativos deverá ser realizado por meio de identificação de usuário individualmente e de autenticação por senha.

Os desenvolvedores e testadores devem ter acesso apenas às fontes necessárias à execução do seu trabalho. Além disso, devem ser autenticados lógica e fisicamente ao acessar os ambientes de desenvolvimento e homologação. Não é permitido, mesmo nesses ambientes, acesso não identificado ou com conta genérica.

 As contas com privilégios administrativos das bases de dados serão concedidas apenas para ao Departamento de TI, com assinatura do ITS-ITSERVICES-PO-Termo_de_Acesso_e_Concessao_ao_banco_de_dados_em_ Cloud ou ITS-ITSERVICES-PO-Termo_de_Acesso_e_Concessao_ao_banco_de_dados.

Quando da criação de um usuário, o Departamento de TI criará uma senha expirada (com obrigatoriedade de troca no primeiro acesso), a qual será enviada diretamente ao usuário por meio de chamado, preferencialmente.

Os sistemas desenvolvidos ou adquiridos não devem utilizar contas administrativas ou privilegiadas (ex. root, administradores, sys, etc.) de sistemas operacionais, servidores web ou banco de dados.

Os sistemas e as redes devem estar programados para desconectar o usuário por tempo de inatividade superior a 15 (quinze) minutos.

Os sistemas ou os aplicativos que necessitam estar conectados diretamente à internet (ex. portais web) deverão estar segregados física e/ou logicamente da rede corporativa (ex. por meio de firewall ou uma DMZ), com proteção por mecanismo de detecção e prevenção de intrusos, em rede própria ou terceirizada.

A extração da base de dados (ex. toda a base de consumidores, toda a base de participantes, toda a base de funcionários, todas as transações realizadas etc.) deve ser efetuada pelo Departamento de TI e com autorização formal do Comitê Encarregado, com o objetivo de evitar incidentes de vazamento de dados.

Após entrar em produção, sempre que possível a senha do banco deve ser dividida entre o Departamento de TI e o fornecedor que prestará o suporte.

Todos os sistemas desenvolvidos ou adquiridos pela RCZ devem conter registros de auditoria (logs). Estes registros devem ser gravados com data/hora de ocorrência, endereço IP, hostname (endereço da estação de trabalho), conta utilizada e registro, minimamente, dos seguintes eventos:

1. a) Falhas de acesso nos sistemas;
2. b) Acessos e alterações em dados confidenciais utilizados pelos sistemas;
3. c) Criação e a remoção de usuários;
4. d) Atribuição e remoção de direitos e acessos do usuário.

Todos os sistemas deverão ter interface amigável para consulta dos logs ou possuir capacidade de encaminhar estes logs para um servidor de logs da RCZ.

Todos os logs devem ser protegidos, cabendo o acesso e a possível deleção dos dados apenas a usuários com perfis específicos e restritos.

Os registros devem ser desenvolvidos e configurados de forma a evitar a exaustão da trilha de auditoria (ex. por meio de log rotation).

 Além dos sistemas, todos os servidores, switches, firewall, access points devem fornecer log a fim de montar um rastreamento dos dados do ambiente.

Mídias removíveis devem ter seus logs armazenados também para garantir a segurança na cópia de arquivos da rede.

Os logs devem ser mantidos por períodos mínimos determinados pelos gestores, devendo considerar os aspectos legais e regulatórios envolvidos, bem como as necessidades de negócio. Recomenda-se, nos casos omissos, o armazenamento dos logs por um período não inferior a 5 anos.  

Os ambientes de desenvolvimento, homologação e produção devem ser física e logicamente isolados, a fim de:   

a) Reduzir o acesso físico de pessoas externas aos ambientes;

b) Reduzir o acesso dos desenvolvedores ao ambiente de produção;

c) Garantir a qualidade das funções de segurança do sistema gerado.

O Datacenter ficará fechado e será permitida apenas a entrada dos Colaboradores integrantes do Departamento de TI. Os racks também devem ficar fechados para garantir que, havendo visita de Colaboradores ou terceiros ao Datacenter, não haverá acesso físico aos servidores. A visita ao Datacenter só será possível acompanhada por Colaborador autorizado do Departamento de TI.  

Caso necessário armazenamento de senhas de sistemas ou aplicativos em arquivos de sistema operacional, estes arquivos não deverão ser logicamente alocados em diretórios de servidores web, ou FTP, e seu acesso deve ser restrito para acesso apenas pela aplicação.

Não deverá existir portas lógicas ou meios alternativos (ex. backdoors, maintenance hooks) de acesso aos sistemas desenvolvidos ou adquiridos.

Todo sistema desenvolvido e adquirido pela RCZ deve preferencialmente conter mecanismos de backup e restauração dos dados processados, além de possuir capacidade de tolerância a falhas e retorno à operação. Em casos omissos, fica o Departamento de TI responsável pela elaboração de política de backup e restore dos bancos de dados e/ou arquivos dos sistemas instalados.

O Departamento de TI é responsável pelo encaminhamento de erro ao fornecedor do sistema, pelo recebimento da correção e de sua aplicação em ambiente de validação para serem realizados testes pelo usuário reclamante e, se aprovado, por meio de chamado, deverá ser solicitada a instalação da correção no ambiente de produção.   

O desenvolvimento terceirizado de sistema deve ser realizado em conformidade com os controles definidos nesta política de segurança da informação, e deve ser monitorado constantemente por meio da implementação de procedimentos específicos, tais como:

a) Inclusão de termos de uso sobre licenças, propriedade de código-fonte, direitos de propriedade intelectual e confidencialidade de informações nos contratos e acordos de nível de entrega dos serviços de terceiros;

b) Inclusão de política de privacidade e proteção de dados, especialmente dados pessoais;

c) Certificação da qualidade, através de certificações ou cursos referentes ao trabalho a ser executado;

d) Definição de sanções ou ações específicas para a eventualidade de falha por parte dos prestadores de serviço;

e) Garantia de direitos de acesso para auditoria da qualidade e exatidão do trabalho executado;

f) Definição de requisitos contratuais de qualidade e de segurança do código.

As mudanças ou atualizações no ambiente de produção (ex. atualização de sistema operacional, aplicação de patches etc.), quando solicitadas pelos colaboradores, devem ser revisadas previamente e testadas em ambiente de homologação, especialmente quanto aos impactos nos sistemas e aplicativos, evitando sua indisponibilidade ou falhas que possam comprometer a segurança das informações.

A aprovação das mudanças em ambiente de produção deverá ser realizada apenas após homologação e, ainda com base no resultado destes procedimentos, devendo ser formal e documentada.

A modificação em pacotes de software (adquiridos de fornecedores) deverá ser realizada apenas quando imprescindível, sendo realizadas de acordo com as seguintes condições: 

a) Deverão ser avaliados e documentados pelo Departamento de TI os riscos de comprometimento dos controles embutidos e da integridade dos processos, sendo requerida, quando existentes, a sua aceitação pela gestão responsável;

b) Deverá ser obtida autorização do fornecedor antes de implementar qualquer modificação no pacote;

c) Deverá ser averiguada, prioritariamente, a possibilidade de obter a modificação necessária diretamente do fornecedor, como atualização padrão do programa;

d) Deverá ser avaliado o impacto de se tornar responsável pela manutenção do software como resultado da modificação;

e) Deverá ser mantida uma cópia da versão original do software, como garantia de fallback (retorno à instalação anterior, antes da aplicação da nova versão);

f) Deverão ser testadas e documentadas todas as modificações, de forma que possam ser replicadas, se necessário, em futuras atualizações de software.

O acesso à Internet é controlado por categorias e definido por perfis individualmente acordados com o gestor imediato. De forma padrão, os acessos classificados nas categorias abaixo são proibidos:

1) Violence/Hate/Racism
2) Intimate Apparel/Swimsuit
3) Nudism
4) Pornography
5) Weapons
6) Adult/Mature Content
7) Cult/Occult
8) Drugs/Illegal Drugs
9) Illegal Skills/Questionable Skills
10) Sex Education
11) Gambling
12) Alcohol/Tobacco
13) Chat/Instant Messaging (IM)
14) Arts/Entertainment
15) Business and Economy
16) Abortion/Advocacy Groups
17) Education
18) Cultural Institutions
19) Online banking
20) Online Brokerage and Trading
21) Games

22) Government
23) Military
24) Political/Advocacy Groups
25) Health
26) Information Tecnology/Computers
27) Hacking/Proxy Avoidance Systems
28) Search Engines and Portals
29) E-mail
30) Web Communications
31) Job Search
32) News and Media
33) Personals and Dating
34) Usenet News Group
35) Reference
36) Religion
37) Shopping
38) Internet Auctions
39) Real Estate
40) Society and Lifestyle
41) Restaurants and Dining
42) Sports/Recreation
43) Travel
44) Vehicles
45) Humor/Jokes
46) Multimedia
47) Freeware/Software Downloads
48) Pay to Surf Sites
49) Kid Friendly
50) Advertisement
51) Web Hosting
52) Other
53) Internet Watch Foundation CAIC
54) Social Networking
55) Malware
56) Radicalization and Extremism

Para liberação de acesso via Internet a locais classificados nas categorias acima, deve ser solicitada formalmente ao Departamento de TI, via sistema de chamados técnicos, mediante análise e aprovação do Departamento de TI e do gestor imediato do Colaborador solicitante.

A concessão de acesso externo a recursos de TI da RCZ deve ser evitada e limitada à necessidade premente para execução das atividades profissionais.

O acesso remoto será concedido única e exclusivamente para as finalidades e funções que o exijam, observando-se os procedimentos formais de solicitação, alteração, monitoramento e exclusão de acessos, bem como as restrições definidas neste e nos demais requerimentos de segurança da RCZ.

As conexões de acesso remoto deverão seguir as mesmas considerações das conexões efetuadas internamente.

O acesso poderá ser liberado desde que formalmente justificado por interesses da RCZ, conforme abaixo:

a) Para Colaboradores que acessam os sistemas e recursos de TI remotamente para desempenho de suas funções, deve-se solicitar formalmente ao Departamento de TI, via chamado técnico, o qual aprovará ou não a solicitação mediante análise e aprovação conjunta com gestor imediato do colaborador solicitante;

b) Para empresas parceiras e/ou fornecedores que necessitam compartilhar informações de negócios ou conectar remotamente no ambiente da RCZ, deve-se solicitar formalmente ao Departamento de TI, via chamado e/ou e-mail (neste caso deverá ser aberto chamado pelo próprio Departamento de TI para registro), o qual aprovará ou não a solicitação mediante análise e aprovação conjunta com gestor imediato do colaborador solicitante;

Os acessos autorizados devem ser feitos obrigatoriamente por meio de uma conexão segura utilizando uma ferramenta de Gerenciamento de Acesso Privilegiado (PAM).  

Acesso físico aos ambientes e instalações da RCZ, nos quais são obrigatórios controles de acesso, somente será possível por meio do uso de mecanismo de controle de acesso como crachás e/ou biometria.

É de responsabilidade do Departamento de TI:

a) Manter o antivírus atualizado em todas as estações e servidores;

b) Analisar os relatórios de vírus na rede e tomar ações corretivas e/ou treinamentos;
c) Sempre que possível, não deixar o colaborador tomar ações no antivírus;
d) Acionar ferramentas para atuar automaticamente na eliminação de riscos de infecção e danos.

O serviço de backup é essencial para eventual restauração de arquivos e, em alguns casos, até para a restauração de todo o ambiente. Cabe ao Departamento de TI manter o backup periódico e constante, bem como realizar testes de restauração para evitar surpresas quando necessário.  

As rotinas de backup devem seguir no mínimo as seguintes recomendações:

a) Backup Completo (mensal): no primeiro final de semana de cada mês com retenção de 1 ano;
b) Backup Incremental (diário): diariamente de segunda a segunda com retenção de 30 dias;
c) Backup Completo (anual): na primeira semana de janeiro e deve ter uma retenção de 5 anos.

* O Servidor de E-mails fica em nuvem e já possui um backup de 30 dias caso algum e-mail seja deletado

** O Servidor de arquivos fica em nuvem e já possui um backup de 30 dias caso algum arquivo seja deletado

Deve-se restaurar mensalmente arquivos para testes e documentação, e a cada 6 (seis) meses deve-se restaurar ambiente em paralelo para validação do backup.

A fim de garantir que as regras e normas estabelecidas neste documento serão respeitadas, serão efetuadas auditorias sobre o uso de recursos de TI, inclusive, mas não somente:

a) Uma auditoria pós-incidente em casos de mau funcionamento de sistemas;

b) Uma auditoria de conformidade para verificar se os recursos de TI estão sendo utilizados de forma adequada pelos Colaboradores em relação à autorização que lhes foi concedida para os seus respectivos cargos.

As auditorias serão realizadas para garantir o bom funcionamento dos sistemas, bem como proteger os dados pessoais dos colaboradores, fornecedores, terceiros e outros.

Somente o Diretor Executivo da RCZ e/ou Comitê Encarregado estão autorizados a solicitar uma auditoria. As auditorias serão implementadas sob a responsabilidade do Departamento de TI e do departamento jurídico da RCZ.

Em caso de identificação de incidente de segurança, o Departamento de TI deve ser imediatamente acionado para colocar em prática o Plano de Resposta abaixo:

 1) Acionar os departamentos jurídico, de relações públicas e de recursos humanos para atuação conjunta sobre o incidente de segurança;  

2) Antes de tomar qualquer ação, analisar e buscar entender de qual base vazaram os dados (para isso é necessário manter em dia o mapeamento de dados e informações dos ambientes de responsabilidade da RCZ);  

3) Criar um plano de ação para descobrir a origem do vazamento;  

4) Caso o vazamento tenha sido em massa, paralisar os sistemas;  

5) Colocar os dispositivos afetados off-line (sem conectividade), mas não os desligar e nem realizar alterações (o objetivo é interromper qualquer atividade em andamento e limitar a comunicação dos sistemas afetados, mas sem cometer nenhuma ação que possa apagar pistas ou contaminar evidências);

 6) Fazer dump de memória de todos os equipamentos envolvidos, além de capturar todos os logs;  

7) Alterar as senhas (a alteração de senhas ou credenciais de bloqueio é uma tática comum na preparação para investigar uma violação de dados, pois ajuda a garantir a cessação do referido vazamento);  

8) Aplicar os passos acima em todas as contas envolvidas, confirmadas ou suspeitas;  

9) Colocar o ambiente off-line e determinar o impacto;  

10) Iniciar a investigação para descobrir quais dados foram acessados, quais sistemas foram comprometidos e quais contas podem ter sido utilizadas;  

11) Registrar as alterações de senhas, bem como as informações obtidas após a paralisação dos sistemas;

12) Reunir todas as informações e evidências possíveis (para determinar se houve um incidente de segurança ou vazamento de dados, é fundamental entender exatamente como quando e onde se deu o potencial incidente, pois há casos de invasão cibernética e falhas de segurança oriundas dos próprios Colaboradores1);  

13) Detectar e avaliar os dados objeto do incidente (é imprescindível entender que tipos de dados foram comprometidos, pois assim será possível avaliar precisamente o incidente e suas consequências;  

14) Após detecção e avaliação dos dados, avaliar a real dimensão do problema e da sua gravidade;  

15) Determinar as medidas a serem tomadas pela RCZ em decorrência do incidente, inclusive medidas de proteção e mitigação de riscos para evitar reincidência;  

16) Planejar o próximo passo, como: mudanças de senhas, atualização de softwares, alteração de regras de firewall da rede, separação de sub-redes, execução de verificações antimalware, reforço dos registros e alertas e algumas outras etapas técnicas;  

17) Implementar o planejamento acima;  

18) Comunicar os detalhes do incidente aos Colaboradores (não são apenas com as etapas técnicas que a RCZ deve se preocupar; há também o processo de comunicação e notificação, em que todos ficam cientes do que ocorreu, como aconteceu a violação, quais dados foram vazados e o que deve e será feito);  

19) Comunicar o incidente às pessoas externas envolvidas, mediante notificação sobre o vazamento de dados, especialmente os titulares, quando se tratar de dados pessoais);

20) Tomar as medidas possíveis de proteção da reputação da RCZ, a qual deve ser preservada;  

21) Agir com transparência, sempre que possível, manter as informações atualizadas e estar de prontidão para quaisquer dúvidas de titulares, vítimas e envolvidos;  

22) Em se tratando de dados pessoais, e caso confirmado o incidente, comunicar à Autoridade Nacional de Proteção de Dados (ANPD);  

23) Divulgar informações sobre o ocorrido e preparar a equipe envolvida para fornecer respostas (é importante, por exemplo, a depender da extensão do incidente, um diretor ou representante legal fazer anúncio público na forma de uma coletiva de imprensa, e-mails ou anúncios de mídia social);  

24) Adotar outras medidas para redução dos danos à imagem e à reputação da RCZ, além de demonstrar que o problema está sendo assumido e que há comprometimento com a sua resolução;  

25) Descrever o que a RCZ fez para remediar a violação, o que ela pretende fazer no futuro e quais etapas (se houver) devem ser tomadas pelos titulares dos dados para se proteger, como alterar senhas, entrar em contato com empresas de cartão de crédito ou emitir alertas, dentre outras medidas pertinentes;  

26) Se possível, criar uma linha direita para tratar das preocupações dos titulares dos dados em relação à violação ou incidente, para que se possa responder às perguntas e fornecer orientações de forma organizada e centralizada;

27) Fortalecer a prevenção, planejar e executar medidas para que o incidente não venha a acontecer novamente;

28) Identificar as lacunas e os pontos de melhoria em que devem ser fortalecidos para segurança e conformidade;

29) Concentrar esforços para ajudar a reduzir os riscos, melhorar os mecanismos de correção das vulnerabilidades exploradas, considerar outros elementos que possam aprimorar a segurança e aplicar conforme o necessário.  1 Em casos mais graves, um Colaborador pode inadvertidamente abrir um e-mail contendo phishing e, por falta de atenção e/ou conscientização, clicar em um link malicioso que resulte em roubo e/ou vazamento de dados.   

O Marco Civil da Internet é a Lei nº 12.965 de 23 de abril de 2014 que regula o uso da internet no Brasil estabelecendo diretrizes, princípios, garantias, direitos e deveres para este uso.

Está em vigor no Brasil a Lei nº 13.709/2018, denominada de Lei Geral de Proteção de Dados Pessoais (LGPD), que visa proteger dados de pessoas naturais. Por isso, são necessários cuidados quando tratamos dados pessoais, que inclusive podem ser de natureza sensível. Algumas condutas são esperadas dos Colaboradores:

a) Se você não precisa de algum tipo de dado específico, não peça e não receba;

b) Somos responsáveis pelos dados que nos são fornecidos;

c) Evite imprimir dados pessoais, só faça se for realmente importante;

d) Dissemine a nossa cultura de privacidade e proteção de dados pessoais.

Cada Colaborador é responsável pelos dados que processa e deve, pessoalmente, ou com a ajuda do Departamento de TI, garantir sua segurança.

A ABNT NBR ISO/IEC 27001:2013 é uma norma que fornece os requisitos e diretrizes para o estabelecimento, implementação, manutenção e melhora contínua de um Sistema de Gestão de Segurança da Informação.

A ABNT NBR ISO/IEC 27701:2019 é uma norma que fornece os requisitos e diretrizes para o estabelecimento, implementação, manutenção e melhora contínua de um Sistema de Gestão de Privacidade da Informação na forma de uma extensão das ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.

Colaborador: um “Colaborador” é considerado qualquer pessoa, qualquer que seja seu status (diretor, funcionário, trabalhador temporário, trainee, estagiário, funcionário terceirizado etc.) que cria, consulta, utiliza e implementa recursos de TI.

Parceiros: Consultores, parceiros e funcionários de empresas prestadoras de serviços, os quais também deverão assinar um acordo atestando que respeitam as regras de utilização definidas neste documento.

Recursos de TI: são definidos como recursos que incluem sistemas de informática (principalmente programas, dados e servidores), equipamentos de informática (principalmente computadores e softwares) a meios de comunicação (sistemas de mensagens, acesso à internet, Intranet, telefones fixos e celulares etc.) disponíveis a qualquer colaborador da RCZ.

Departamento de TI: departamento/área da empresa ou serviço de uma empresa que se responsabiliza por todos os equipamentos (estações de Trabalho, servidores, equipamentos de rede, armazenagem de dados, backup e sistemas de impressão etc.) e softwares de sistemas de informação, assim como a manutenção de serviços de telecomunicações. Na RCZ, o Departamento de TI é a área de ITSERVICES.

Informação Confidencial: refere-se a toda informação não-pública, qualquer que seja sua natureza, envolvendo a RCZ e/ou um de seus Colaboradores ou seus representantes legais, como informações técnicas, financeiras, estratégicas, comerciais, jurídicas ou “pessoais”, etc.

LGPD (Lei Geral de Proteção de Dados Pessoais): Lei referente ao tratamento de dados pessoais.

ANPD (Autoridade Nacional de Proteção de Dados): órgão responsável por controlar a LGPD no Brasil.

Backup: serviço ou estrutura responsável por armazenar cópias de segurança do ambiente de TI.

Mídias Removíveis: qualquer equipamento que possa transferir ou capturar dados e que possa se conectar a um computador ou laptop, como por exemplo um Pendrive.

Comitê Encarregado (Encarregado de dados ou DPO): chamamos de encarregado de dados ou Data Protection Officer (DPO) o profissional que, dentro de uma empresa, é encarregado por cuidar das questões referentes à proteção dos dados pessoais da RCZ e de seus clientes.

Dump: é um processo de salvar todas as informações contidas na memória do computador, isso permite uma análise de tudo o que estava ocorrendo no computador.