1. Controle de versões
1.1. A NINE O’CLOCK informa que este documento consiste na Política de Segurança da Informação – PSI DA NINE O’CLOCK – que deve ser mantida como uma medida de boas práticas, estabelecendo diretrizes para a proteção de ativos e prevenção de responsabilidades. Destaca-se que a mesma deve ser adotada, cumprida e aplicada em todas as áreas da empresa.
1.2. Esta é a versão 1.00 da PSI DA NINE O’CLOCK, datada de 22 de dezembro de 2020, sendo o responsável pelo controle das modificações a PRIVACIDADE GARANTIDA e aprovada por Camila Jarnallo, diretora da Nine O’Clock.
2. Introdução
2.1. A NINE O’CLOCK tem como missão tornar sonhos realidade. Satisfazer a necessidade dos nossos clientes agregando valor e amor aos serviços prestados sempre com excelência.
2.2. A NINE O’CLOCK entende que a informação corporativa é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos produtos ofertados a seus clientes.
2.3. Dessa forma, a NINE O’CLOCK estabelece que esta versão da PSI pode ser alterada a qualquer momento, uma vez que os pontos apontados para mudanças sejam informados e discutidos com os demais colaboradores da NINE O’CLOCK. Contudo a versão da PSI deve ser revisada a cada ano, considerando a data de sua aprovação.
2.4. A presente Política de Segurança da Informação – PSI está baseada nas recomendações da norma ABNT NBR ISSO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, além de estar de acordo com a Lei Geral de Proteção de Dados (Lei 13709/18) e outras leis vigentes.
2.5. “Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio” (ABNT NBR ISO/IEC 17799:2005).
2.6. Por princípio, a Segurança da Informação deve abranger três propriedades básicas:
2.6.1. Confidencialidade: Propriedade que estabelece que a informação deva estar acessível apenas para pessoas autorizadas;
2.6.2. Integridade: Propriedade que estabelece que a informação esteja correta, confiável, sem a ocorrência de mudanças não autorizadas;
2.6.3. Disponibilidade: Propriedade que estabelece que a informação esteja sempre acessível para uso legítimo de pessoas autorizadas.
3. Objetivo da Política de Segurança da Informação
3.1. “A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados” (ABNT NBR ISO/IEC 17799:2005).
3.2. Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da Nine O’Clock adotar padrões de comportamento seguro, adequados às metas e necessidades da Nine O’Clock;
3.3. A Política de Segurança da Informação tem como objetivo estabelecer normas, diretrizes e procedimentos que assegurem a segurança das informações, ao tempo que não impeçam e/ou dificultem o processo do negócio, mas que garantam:
3.3.1. A confiabilidade das informações através da preservação da confidencialidade, integridade e disponibilidade dos dados da empresa;
3.3.2. O compromisso da empresa com a proteção das informações de sua propriedade e/ou sob sua guarda;
3.3.3. A participação e cumprimento por todos os colaboradores em todo o processo.
4. Alta Direção
4.1. A efetividade da Política de Segurança da Informação depende estritamente do comprometimento da alta direção. É essencial que os responsáveis por liberar recursos, aplicar sanções, criar regras e portarias, apoiem a PSI e demonstrem seu comprometimento para que os colaboradores se sintam motivados a cumpri-la. A ordem expressa e o exemplo de cumprimento das cláusulas da PSI pela alta direção possibilita:
4.1.1. A inexistência de exceções à regra;
4.1.2. Que a PSI seja um ativo estratégico;
4.1.3. Que a PSI componha a legislação interna da Nine O´Clock;
4.1.4. Que a PSI tenha ampla divulgação;
4.1.5. Que a PSI juntamente com as normas e procedimentos que a acompanham, sejam incluídas no processo de contratação de novos funcionários. 4.2. Caso esta premissa não seja cumprida, a Política de Segurança da Informação se tornará apenas um documento obsoleto, existente na teoria e não adotado na prática.
5. Escopo
5.1. Esta política se aplica a todos os usuários da informação da NINE O’CLOCK, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a NINE O’CLOCK, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da NINE O’CLOCK e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura NINE O’CLOCK.
6. Diretrizes
6.1. O objetivo da gestão de Segurança da Informação da Nine O’Clock é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos na instituição.
6.2. É política da Nine O’Clock:
6.2.1. Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da NINE O’CLOCK sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;
6.2.2. Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, onde pertinente, clientes.
6.2.3. Garantir a educação e conscientização sobre as práticas adotadas pela NINE O’CLOCK de segurança da informação para empregados, terceiros contratados e, onde pertinente, clientes.
6.2.4. Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;
6.2.5. Tratar integralmente incidentes de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e , quando necessário, comunicando as autoridades apropriadas;
6.2.6. Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;
6.2.7. Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
7. Comitê Gestor de Segurança de Informação
7.1. Fica constituído o COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Recursos Humanos e Jurídico.
7.2. É responsabilidade do CGSI:
7.2.1. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
7.2.2. Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
7.2.3. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PGSI;
7.2.4. Promover a divulgação da PGSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Nine O’Clock.
8. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais
8.1. O objetivo da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) é zelar pela segurança das informações e comunicações da Nine O´Clock, prevenindo e tratando incidentes de rede, em cumprimento à Política de Segurança da Informação, conforme Resolução nº 1 de 30/06/2010 / MTE - Ministério do Trabalho e Emprego - D.O.U. 02/07/2010
8.2. A atividade principal da ETIR é o tratamento de incidentes de segurança em rede, que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de vulnerabilidades.
8.3. O modelo de implementação a ser utilizado, inicialmente, pela ETIR será o modelo Centralizado. Neste modelo existirá uma ETIR central composta por empregados públicos com dedicação não exclusiva às atividades de tratamento e resposta aos incidentes no ambiente computacional da Nine O´Clock.
8.4. O Gestor de Segurança da Informação será responsável por criar as estratégias, gerenciar as atividades e executar as tarefas, além de ser o responsável;
8.5. A atuação da ETIR se dará por ações reativas e proativas e as suas ações reativas incluem recebimento de notificações de incidentes, orientação no reparo a danos, e análise de sistemas comprometidos buscando causas, danos e responsáveis;
8.6. Sua estrutura organizacional é composta pelo Gestor de Segurança da Informação e será responsável por designar no mínimo 3 (três) integrantes do TI, com a competência de coordenar as atividades de tratamento e resposta a incidentes.
8.7. Para cada integrante será indicado e designado o respectivo substituto. As atividades reativas da ETIR terão prioridade sobre aquelas designadas pelos chefes.
8.8. A participação nas atividades da ETIR não enseja remuneração de qualquer espécie, sendo consideradas serviço público relevante.
8.9. A execução das atividades de tratamento e resposta a incidentes poderá ser apoiada por colaboradores e prestadores de serviço, desde que supervisionadas por pelo menos um membro da ETIR.
8.10. Tem como competências:
8.10.1. Coordenar, executar e acompanhar as atividades de tratamento e resposta a incidentes na rede corporativa da Nine O´Clock;
8.10.2. Coordenar, executar e acompanhar a análise dos sistemas comprometidos buscando, causas, danos e responsáveis;
8.10.3. Coordenar, executar e acompanhar a avaliação, auditoria e testes das condições de segurança da rede corporativa da Nine O´Clock;
8.10.4. Coordenar, executar e acompanhar a análise dos ativos de informação e estruturas constitutivas dos ambientes de tecnologia da informação, presentes na Nine O´Clock;
8.10.5. Desenvolver um Plano de Conscientização em segurança da informação e comunicações afim de que todos os colaboradores da Nine O´Clock tenham ciência do assunto;
8.10.6. Manter em condições adequadas de segurança o acervo de informações relativas aos incidentes da rede corporativa da Nine O´Clock;
8.10.7. Participar da definição e acompanhar os indicadores de incidentes na rede corporativa da Nine O´Clock;
8.10.8. Prestar assessoria técnica na elaboração de políticas, normas, pareceres e na especificação técnica de produtos e equipamentos direcionados à segurança da informação e comunicações;
8.10.9. Participar na proposição de recursos necessários às ações de segurança da informação e comunicações;
8.10.10. Executar outras atividades correlatas que lhe forem demandadas.
8.11. Os Tratamento de Incidentes são subdivididos em:
8.11.1. Serviços Reativos: Tratamento de Incidentes de Segurança em Redes Computacionais; Tratamento de Artefatos Maliciosos; Tratamento de Vulnerabilidades.
8.11.2. Serviços Proativo: Detecção de Intrusão.
8.12. Todo e qualquer servidor deve estar ciente que o tratamento de incidentes visa minimizar os impactos de um incidente nos processos em curso Nine O´Clock, sendo assim voltado à redução e contenção dos efeitos causados por eventos técnicos indesejáveis e seu monitoramento. 8.13. Quaisquer falhas, anomalias, ameaças ou vulnerabilidades observadas devem ser notificadas o mais rápido possível através do e-mail: andres@mepixa.com;
8.14. Cabe a ETIR obter informações quantitativas acerca dos incidentes ocorridos que descrevam: sua natureza, as causas, a data de ocorrência, a sua frequência e os custos resultantes. Tais informações servem como indicadores da eficácia das políticas e da relação custo-benefício dos controles de segurança.
8.15. Após o levantamento dos dados do incidente a ETIR deverá tratá-lo e documentá-lo, visando manter um histórico dos incidentes e ainda uma cultura acerca dos mesmos.
8.16. Os serviços proativos, reativos e de gerenciamento de qualidade prestados pela ETIR serão detalhados e revisados pelo Gestor de Segurança da Informação.
8.17. A ETIR terá autonomia compartilhada, trabalhando em conjunto com outras unidades no processo de tomada de decisão sobre quais medidas devem ser adotadas quanto aos riscos e incidentes identificados.
8.18. Em caso de conflito ou divergência entre a ETIR e a outra unidade envolvida no processo de tomada de decisão, a questão será encaminhada ao Gestor de Segurança da Informação que poderá arbitrar perante o conflito.
9. Da Responsabilidade dos Colaboradores
9.1. Será de inteira responsabilidade dos funcionários, terceirizados e demais colaboradores da Nine O´Clock:
9.1.1. Cumprir fielmente a Política, as Normas e os demais Procedimentos de Segurança da Informação da Nine O´Clock;
9.1.2. Buscar o responsável pela Gestão de Informação e Informática para esclarecimentos de dúvidas referentes à PSI;
9.1.3. Proteger as informações contra acesso, divulgação, modificação ou destruição não autorizados pela Nine O´Clock;
9.1.4. Garantir que equipamentos e recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela Nine O´Clock;
9.1.5. Descarte adequado de documentos de acordo com seu grau de classificação;
9.1.6. Comunicar prontamente à chefia imediata qualquer violação a esta política, suas normas e procedimentos.
10. Da Responsabilidade dos Gestores de Pessoas e/ou Processos
10.1. Em relação à segurança da Informação, cabe aos gestores de pessoas e/ou processos:
10.1.1. Aprovar a Política de Segurança da Informação e suas atualizações;
10.1.2. Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão;
10.1.3. Dar ciência, na fase de contratação e formalização dos contratos individuais de trabalho, à responsabilidade do cumprimento da PSI;
10.1.4. Cumprir e fazer cumprir esta Política, as Normas e os Procedimentos de Segurança da Informação;
10.1.5. Exigir de parceiros, prestadores de serviços e outras entidades externas, a assinatura do termo de confidencialidade referente às informações às quais terão acesso;
10.1.6. Elaborar, com o apoio do Setor de Gestão de Processos e Tecnologia da Informação, os procedimentos de segurança da informação relacionados às suas áreas, fornecendo as informações necessárias e mantendo-os atualizados;
10.1.7. Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de funcionários para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade;
10.1.8. Tomar as decisões administrativas referentes aos descumprimentos da PSI.
11. Da Responsabilidade do Setor de Gestão de Processos e Tecnologia da Informação
11.1. Cabe ao Setor de Gestão da Informação e Informática:
11.1.1. Definir as regras para instalação de softwares e hardwares da Nine O´Clock;
11.1.2. Homologar os equipamentos pessoais (smartphones e notebooks) para uso na rede da Nine O´Clock;
11.1.3. Monitorar os acessos às informações e aos ativos de tecnologia (sistemas, bancos de dados, recursos de rede), tendo como referência a Política e as Normas de Segurança da Informação;
11.1.4. Mediante informações do RH, manter registro e controle atualizados de todas as liberações de acesso concedidas, providenciando, sempre que demandado formalmente, a pronta suspensão ou alteração de tais liberações;
11.1.5. Propor as metodologias e processos referentes à segurança da informação, como classificação da informação, avaliação de risco, análise de vulnerabilidades, etc.;
11.1.6. Promover, com o envolvimento do RH, palestras de conscientização dos colaboradores em relação à importância da segurança da informação para o negócio da Nine O´Clock;
11.1.7. Analisar criticamente incidentes de segurança; 11.1.8. Manter comunicação efetiva com o Gestor de Segurança da Informação sobre possíveis ameaças e novas medidas de segurança;
11.1.9. Buscar alinhamento com as diretrizes da organização.
12. Classificação das Informações
12.1. As informações devem ser classificadas e identificadas por rótulos, considerando os seguintes níveis:
12.1.1. Pública;
12.1.2. Interna;
12.1.3. Confidencial;
12.2. As informações de classificação pública são informações explicitamente aprovadas por seu responsável para consulta irrestrita e cuja divulgação externa não compromete o negócio e que, por isso, não necessitam de proteção efetiva ou tratamento específico. São exemplos de informação pública:
12.2.1. As informações disponibilizadas no site para dar publicidade a empresa.
12.3. As informações de classificação interna são informações disponíveis aos colaboradores da Nine O´Clock para a execução de suas tarefas rotineiras, não se destinando, portanto, ao uso do público externo. São exemplos de informações internas:
12.3.1. A Política de Segurança da Informação.
12.4. As informações de classificação confidencial são informações de acesso restrito a um colaborador ou grupo de colaboradores. Sua revelação pode violar a privacidade de indivíduos, violar acordos de confidencialidade, dentre outros. São exemplos de informações confidenciais:
12.4.1. Dados de colaboradores, como seus documentos ou atestados médicos;
12.4.2. Contratos.
13. Uso de Estações de Trabalho
13.1. As estações de trabalho devem permanecer operáveis durante o maior tempo possível para que os colaboradores não tenham suas atividades prejudicadas. Assim, algumas medidas de segurança devem ser tomadas, são elas:
13.1.1. É de responsabilidade do colaborador do equipamento zelar pelo mesmo, mantendo-o em boas condições;
13.1.2. Não é permitido personalizar o equipamento por adesivos, fotos, riscos, raspar e retirar a etiqueta de patrimônio;
13.1.3. É vedada a abertura de computadores para qualquer tipo de reparo pelos colaboradores. Caso seja necessário, o reparo deverá ser feito pela equipe do TI;
13.1.4. As estações de trabalho só estarão acessíveis aos colaboradores através de contas de usuário limitadas;
13.1.5. É proibida a instalação de softwares ou sistemas nas estações de trabalho pelos usuários finais. Este procedimento só poderá ser realizado pela equipe do TI;
13.1.6. É proibida a instalação de softwares que não possuam licença e/ou não sejam homologados pela equipe do TI;
13.1.7. As estações de trabalho devem permanecer bloqueadas (Windows + L) nos períodos de ausência do colaborador;
13.1.8. Os documentos e arquivos relativos à atividade desempenhada pelo colaborador deverão, sempre que possível, serem armazenados em local próprio no servidor da rede, o qual possui rotinas de backup e controle de acesso adequado;
13.1.9. Documentos críticos e/ou confidenciais só podem ser armazenados no servidor da rede, nunca no disco local da máquina;
13.1.10. É proibido o uso de estações de trabalho para:
13.1.10.1. Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
13.1.10.2. Burlar quaisquer sistemas de segurança; 13.1.10.3. Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
13.1.10.4. Cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
13.1.10.5. Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.
13.1.11. O TI não se responsabiliza por prestar manutenção ou instalar softwares em computadores que não sejam os da instituição;
13.1.12. As estações de trabalho possuem códigos internos, os quais permitem que seja identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do funcionário.
14. Utilização das Redes
14.1. O ingresso à rede interna da Nine O´Clock deve ser devidamente controlado para que os riscos de acessos não autorizados e/ou indisponibilidade das informações sejam minimizados. Assim, é preciso que sejam instauradas algumas regras, listadas a seguir:
14.1.1. A Internet cabeada estará disponível apenas para máquinas e equipamentos de propriedade da Nine O´Clock, com a finalidade restrita à realização de atividades inerentes ao desempenho de tarefas laborais dos colaboradores;
14.1.2. A Internet sem fio deverá ser segregada, garantindo o isolamento da rede interna da Nine O´Clock, com o objetivo de fornecer acesso a sistemas e dados internos apenas para os colaboradores desempenharem suas tarefas; poderá ter outras redes com acesso apenas à Internet para disponibilizar a visitantes e usuários que não precisam/podem ter acesso aos dados internos. A definição de qual rede o usuário deverá ingressar ficará a cargo do TI após análise dos requisitos de acesso;
14.1.3. A concessão de acesso à rede sem fio para acesso apenas à Internet se dará através de preenchimento de formulário disponível pelo TI. O usuário deverá preencher o formulário próprio e encaminhá-lo impresso ao SGPTI, devidamente assinado pelo chefe do setor/unidade. Ficam estabelecidos os seguintes períodos de acesso: 1 ano para colaboradores, 6 meses para estagiários e 1 semana para visitantes;
14.1.4. O RH ficará responsável por notificar formalmente o TI sobre desligamentos de colaboradores, para que os acessos dos mesmos sejam revogados;
14.1.5. O TI reserva-se o direito de monitorar e registrar o acesso à Internet como forma de inibir a proliferação de programas maliciosos, garantindo a integridade da rede, sistemas e dados internos;
14.1.6. Os equipamentos, tecnologias e serviços fornecidos para o acesso à Internet são de propriedade da Nine O´Clock, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação, visando assegurar o cumprimento de sua Política de Segurança da Informação;
14.1.7. A Internet disponibilizada pelo TI aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que seja autorizada pelo chefe e não prejudique o andamento dos trabalhos nos setores/unidades;
14.1.8. Apenas colaboradores devidamente autorizados a falar em nome da Nine O´Clock para meios de comunicação e/ou entidades externas poderão manifestar-se, seja por e-mail, entrevista on-line, documento físico, ligação telefônica, etc.;
14.1.9. É proibida a divulgação e/ou o compartilhamento indevido de informações internas e confidenciais em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet com via, de forma deliberada ou inadvertidamente, sob a possibilidade de sofrer penalidades previstas nos procedimentos internos e/ou na forma da lei;
14.1.10. Os colaboradores com acesso à Internet só poderão fazer o download programas necessários às suas atividades Nine O´Clock e deverão providenciar a licença e o registro necessário desses programas, desde que autorizados pelo TI;
14.1.11. O uso, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente são expressamente proibidos. Qualquer software não autorizado será excluído pelo TI;
14.1.12. Os colaboradores não poderão em hipótese alguma utilizar os recursos do TI para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional;
14.1.13. Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.
14.1.14. Documentos digitais de condutas consideradas ilícitas, como por exemplo, apologia ao tráfico de drogas e pedofilia, são expressamente proibidos e não devem ser acessados, expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso;
14.1.15. Os colaboradores não poderão usar os recursos da Nine O´Clock para deliberada ou inadvertidamente propagar qualquer tipo vírus, worms, cavalos de troia, spam, ou programas de controle remoto de outros computadores;
14.1.16. Não serão permitidos os acessos a softwares peer-to-peer (Kazaa, BitTorrent, µtorrent e afins);
14.1.17. Não serão permitidos os acessos a sites de compartilhamento de arquivos, tais como: mega, uploaded, bitshare, depositfiles, etc;
14.1.18. Não serão permitidas tentativas de burlar os controles de acesso à rede, tais como utilização de proxies anônimos e estratégias de bypass de firewall;
14.1.19. Não serão permitidos o uso de aplicativos de reconhecimento de vulnerabilidades, análise de tráfego, ou qualquer outro que possa causar sobrecarga ou prejudicar o bom funcionamento e a segurança da rede interna, salvo os casos em que o objetivo for realizar auditorias de segurança, quando o TI deverá estar devidamente ciente e concedido autorização para tal;
14.1.20. Os arquivos inerentes ao TI, obrigatoriamente, deverão ser armazenados na pasta compartilhada de cada setor, localizada no servidor de arquivos, para a garantia de backup destes documentos. É terminantemente proibido armazenar estes tipos de arquivos em equipamentos pessoais;
14.1.21. Não será permitida a alteração das configurações de rede e inicialização das máquinas bem como modificações que possam trazer algum problema futuro;
14.1.22. Haverá geração de relatórios de sites e downloads acessados por usuário.
15. Uso de Equipamentos Particulares e Dispositivos Móveis
15.1. O objetivo da Nine O´Clock é maximizar a agilidade e eficiência da realização das tarefas dos colaboradores, contando com todos os recursos de equipamentos disponíveis, mas não pode deixar de considerar os requisitos de Segurança da Informação, por isso estabelece algumas regras para o uso de equipamentos de propriedade particular e de dispositivos móveis.
15.2. Caracteriza-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, seja de propriedade da Nine O´Clock ou particular com prévia aprovação e permissão pelo TI e chefe imediato, como: notebooks, smartphones e pendrives. 15.3. Todas as regras do tópico “Estações de Trabalho” se enquadram nesta seção, adicionalmente a:
15.3.1. Fica autorizado o uso de notebooks e dispositivos móveis para acesso à rede interna da Nine O´Clock mediante autorização do chefe imediato via memorando e prévio cadastro e liberação do TI;
15.3.2. O uso de notebooks e dispositivos móveis para fins de acesso à rede de Internet da Nine O´Clock será realizado mediante cadastro de usuário através do endereço IP; e autorização do chefe imediato (Ver item 12 – Utilização da Rede);
15.3.3. O TI deverá verificar as configurações de rede, do aplicativo de antivírus e demais aplicativos instalados para que o acesso à rede interna seja concedido. Aplicativos peer to peer, farejadores de tráfego, softwares que possam gerar carga excessiva na rede, que não estejam de acordo com a legislação vigente ou que possam trazer prejuízos à infraestrutura ou à imagem da Nine O´Clock não serão permitidos. Caso o equipamento não obedeça aos requisitos mínimos de segurança, o acesso não será concedido;
15.3.4. O TI tem o direito de, periodicamente, auditar os equipamentos utilizados Nine O´Clock, visando proteger suas informações bem como garantir que aplicativos ilegais não estejam sendo usados Nine O´Clock;
15.3.5. É de responsabilidade do proprietário a instalação do Sistema Operacional que será utilizado, bem como dos aplicativos a serem utilizados no notebook, salvo exceções de aplicativos específicos autorizados pelo TI;
15.3.6. É de responsabilidade do proprietário usar somente aplicativos legalizados em seu notebook;
15.3.7. Não podem ser executados nos notebooks aplicativos de característica maliciosa, que visam comprometer o funcionamento da rede, acesso a informações sem a devida permissão ou informações confidenciais;
15.3.8. É proibido o armazenamento de informações que não sejam de uso pessoal do proprietário do notebook. Todos os arquivos que pertençam à Nine O´Clock não podem ser armazenados no disco rígido do notebook ou em dispositivos de armazenamento móvel (ex: pendrive), sem a autorização da área responsável pelos dados. Estes arquivos devem sempre ser armazenados no servidor de compartilhamento destinado para tal;
15.3.9. Mesmo nos computadores portáteis fornecidos pela Nine O´Clock, é proibido o armazenamento de informações confidenciais e confidenciais restritas no disco rígido do equipamento, exceto se houver a autorização da área responsável pelos dados. Estes arquivos devem sempre ser armazenados no servidor de compartilhamento destinado para tal;
15.3.10. É proibida a inclusão de smartphones na rede corporativa da Nine O´Clock. Estes equipamentos deverão ter seu acesso restrito à rede de Internet. Deverá ter uma rede separada para o tráfego de informações.
16. E-mails e Outros Mensageiros
16.1. O e-mail é uma das principais formas de comunicação. No entanto, é, também, uma das principais vias de disseminação de malwares, por isso, surge a necessidade de normatização da utilização deste recurso. O mesmo vale para outros mensageiros em canais oficiais da Nine O’Clock, como mensagens pelo Whatsapp, Facebook, Instagram e outros aplicativos.
16.1.1. O e-mail corporativo é destinado a fins profissionais, relacionados às atividades dos colaboradores;
16.1.2. Os e-mails enviados ou recebidos de endereços externos poderão ser monitorados com o intuito de bloquear spams, malwares ou outros conteúdos maliciosos que violem a Política de Segurança da Informação;
16.1.3. É proibido enviar, com e-mail corporativo e de outros canais oficiais da Nine O’Clock mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções;
16.1.4. É proibido abrir arquivos com origens desconhecidas anexados a mensagens eletrônicas;
16.1.5. É proibido enviar qualquer mensagem por meios eletrônicos que torne a Nine O´Clock vulnerável a ações civis ou criminais;
16.1.6. É proibido falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários;
16.1.7. Produzir, transmitir ou divulgar mensagem que:
16.1.7.1. Contenha ameaças eletrônicas, como: spam, phishing, mail bombing, malwares;
16.1.7.2. Contenha arquivos com código executável (.exe, .cmd, .pif, .js, .hta, .src, cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
16.1.7.3. Vise obter acesso não autorizado a outro computador, servidor ou rede;
16.1.7.4. Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
16.1.7.5. Vise burlar qualquer sistema de segurança;
16.1.7.6. Vise vigiar secretamente ou assediar outro usuário;
16.1.7.7. Vise acessar informações confidenciais sem explícita autorização do proprietário;
16.1.7.8. Tenha conteúdo considerado impróprio, obsceno ou ilegal;
16.1.7.9. Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
16.1.7.10. Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
16.1.8. O uso de e-mails pessoais é aceitável, dentro da rede interna da Nine O’Clock se usado com moderação, em caso de necessidade e quando:
16.1.8.1. Não contrariar as normas aqui estabelecidas;
16.1.8.2. Não interferir, negativamente, nas atividades profissionais individuais ou na de outros colaboradores;
16.1.8.3. Não interferir, negativamente, na Nine O´Clock e/ou na sua imagem.
17. Política de Senhas
17.1. A senha é a forma mais convencional de identificação e acesso do usuário, é um recurso pessoal e intransferível que protege a identidade do colaborador, evitando que uma pessoa se faça passar por outra. O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
17.2. Assim, com o objetivo de orientar a criação de senhas seguras, estabelecem-se as seguintes regras:
17.2.1. A senha é de total responsabilidade do colaborador, sendo expressamente proibida sua divulgação ou empréstimo, devendo a mesma ser imediatamente alterada no caso de suspeita de sua divulgação;
17.2.2. A senha inicial só será fornecida ao próprio colaborador, pessoalmente. Não poderão ser fornecidas por telefone, comunicador instantâneo ou qualquer outra forma que não assegure a identidade do colaborador;
17.2.3. É proibido o compartilhamento de login para funções de administração de sistemas;
17.2.4. As senhas não devem ser anotadas e deixadas próximo ao computador (debaixo do teclado, colada no monitor, etc.);
17.2.5. As senhas deverão seguir os seguintes pré-requisitos:
17.2.5.1. Tamanho mínimo de oito caracteres;
17.2.5.2. Existência de caracteres pertencentes a, pelo menos, três dos seguintes grupos: letras maiúsculas, letras minúsculas, números e caracteres especiais;
17.2.5.3. Não devem ser baseadas em informações pessoais de fácil dedução (aniversário, nome do cônjuge, etc).
17.3. O acesso do usuário deverá ser imediatamente cancelado nas seguintes situações:
17.3.1. Desligamento do colaborador;
17.3.2. Mudança de função do colaborador;
17.3.3. Quando, por qualquer razão, cessar a necessidade de acesso do usuário ao sistema ou informação. 17.3.4. Para os cancelamentos acima mencionados, o RH ficará responsável por informar prontamente o TI acerca dos desligamentos e mudança de função dos colaboradores.
18. Trabalho Remoto
18.1. Na hipótese de trabalho remoto, ou seja, fora das dependências físicas da Nine O´Clock, os colaboradores deverão observar integralmente os termos e regras da presente PSI, notadamente quanto às responsabilidades, penalidades e violação aos termos da mesma.
18.2. Os colaboradores que trabalham em regime de trabalho remoto estão cientes de que: 18.2.1. O acesso remoto ao sistema da Nine O´Clock somente será liberado mediante VPN e/ou acesso as serviços na nuvem, sempre com usuário e senha dedicado;
18.2.2. Em caso de posterior rescisão do vínculo empregatício, mudança de função ou setor, suspensão das atividades funcionais, entre outras situações, deverá o colaborador solicitar o cancelamento do acesso remoto;
18.2.3. O computador e/ou notebook que será(ão) utilizado(s) para acesso remoto deverá estar técnica a fisicamente seguro, por meio da instalação e atualização de antivírus e/ou outras soluções de segurança, bem como, de manter o sistema operacional atualizado.
19. Segurança no Ambiente de TI
19.1. Considerando a possibilidade de uma estrutura física interna do Data Center, os servidores que armazenam sistemas da Nine O´Clock deverão estar em uma área restrita, sendo o acesso permitido somente as pessoas credenciadas.
19.2. Todos os sistemas ou equipamentos classificados como críticos devem ser mantidos em áreas seguras do Data Center;
19.3. A entrada aos Data Centers têm acesso devidamente controlado e monitorado;
19.4. As permissões de acesso físico às áreas restritas do Data Center devem ser mensalmente revisadas;
19.5. As áreas do Data Center devem ser protegidas com barreiras de segurança ou mecanismos de acesso, de forma a impedir o acesso não autorizado;
19.6. A porta do Data Center deve permanecer fechada, com mecanismo de autenticação individual quando possível.
19.7. O acesso às dependências dos Data Centers com quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só pode ser feito a partir de autorização da equipe de Segurança e mediante supervisão.
19.8. O acesso ao Datacenter sem as devidas identificações só poderá ocorrer em situações de emergência, quando a segurança física do Datacenter for comprometida, como por incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação não estiver funcionando.
19.9. Caso haja necessidade do acesso não emergencial, o requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração de liberação de acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter.
19.10. O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.
19.11. Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável.
19.12. A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a mesma deve ser autorizada pelo Subcomitê Gestor de Segurança da Informação.
19.13. Na política de segurança da Informação estabelecida pela Nine O´Clock, define-se que os analistas de TI, mediante ciência do Comitê Gestor de Segurança da Informação, devem ser os únicos a terem permissão para ler/editar as informações, obedecendo às atribuições de sua área de atuação.
19.14. O objetivo da segurança lógica no Data Center é proteger os ativos de informações, sistemas ou programas de acesso indevidos e não autorizados;
19.15. Somente os colaboradores credenciados e autorizados pelo Comitê Gestor de Segurança da Informação podem ter acesso aos dados armazenados;
19.16. Os logs dos ativos de rede devem ser monitorados constantemente a fim de evitar acessos indevidos.
20. Violação das Políticas e Penalidades
20.1. No caso de não cumprimento das normas estabelecidas nesta Política de Segurança, o funcionário ou colaborador poderá sofrer as seguintes penalidades:
20.1.1. Advertência verbal: O colaborador será comunicado verbalmente que está infringindo as normas da Política de Segurança da Informação da Nine O´Clock e será recomendado à leitura desta Norma;
20.1.2. Advertência formal: A primeira notificação será enviada ao colaborador informando o descumprimento da norma, com a indicação precisa da violação cometida. A segunda notificação será encaminhada para a chefia imediata do infrator.
21. Considerações Finais
21.1. As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação deverão ser encaminhadas ao Gestor de Segurança da Informação para avaliação e decisão.
21.2. Esta PSI entra em vigor a partir da data de publicação e pode ser alterada a qualquer tempo, por decisão da diretoria, mediante o surgimento de fatos relevantes que apareçam ou não tenham sido contemplados neste documento.
São Paulo, 22 de dezembro de 2020.
