Esta política visa garantir a aplicação de princípios, diretrizes e atribuições que permitam aos colaboradores (funcionários, terceiros e prestadores de serviços) da QUALIS seguirem padrões de comportamento relacionados à Segurança da Informação adequados às necessidades de negócio e de proteção legal da empresa e do titular de dados pessoais.
Esta política é aplicável a todas as informações sob gestão da QUALIS, que podem existir de muitas maneiras: escrita em papel, armazenada e transmitida pelo correio ou através de meios eletrônicos, exibida em filmes ou falada em conversas formais
ou informais. Seja qual for a forma apresentada ou o meio pelo qual a informação seja apresentada ou compartilhada, deverá estar sempre protegida adequadamente.
As informações de propriedade ou controladas pela QUALIS devem ser utilizadas apenas para uso próprio de propósitos definidos. Os usuários não podem, em qualquer tempo ou sob qualquer propósito, apropriar-se dessas informações
para uso deliberado.
De acordo com a PSI sempre que o usuário encontrar informações, aplicações ou procedimentos críticos sem o tratamento de segurança adequado, deverá informar seu superior imediato para que sejam tomadas providências necessárias.
Esta política está relacionada com outras normas e procedimentos internos da QUALIS, quais sejam, Termo de Confidencialidade, Cartilha do Colaborador e Política de Privacidade e Proteção de Dados.
É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou do Comitê de Segurança da Informação sempre que não estiver
absolutamente seguro quanto à aquisição, uso e/ou descarte de informações. Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhorias podem ser encaminhadas para o e-mail contato@portalqualis.com.br
Para a uniformidade da informação, a PSI será comunicada aos usuários de forma clara e acessível, fortalecendo que a mesma faz parte de um programa de conscientização, educação e treinamento em segurança da informação.
Esta PSI será implementada na QUALIS por meio de procedimentos específicos, obrigatórios para todos os usuários, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação
de serviço.
Esta norma tem como objetivo estabelecer os procedimentos adequados para a correta utilização das chaves de acesso no ambiente de Tecnologia da Informação da QUALIS e será aplicada a todos os usuários que possuam chave de acesso aos sistemas.
O acesso às informações e aos ambientes deve ser permitido apenas às pessoas autorizadas pelo proprietário da informação (Qualis), levando em consideração o princípio do menor privilégio, a segregação de funções
conflitantes e a classificação da informação.
A identificação do usuário por senha ou outro meio é pessoal e intransferível, qualificando-o como responsável por todas as atividades desenvolvidas através desta, sendo o único responsável por guardá-la com segurança
e sigilo.
O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha temporária conforme as orientações apresentadas.
O uso compartilhado do ID de usuário somente será permitido quando for autorizado pelo Gestor, por razões operacionais ou de negócios, devendo este compartilhamento ser documentado. É proibido o compartilhamento
de login para funções de administração de sistemas.
Os usuários deverão criar senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo)
obrigatoriamente.
Para o desbloqueio as senhas devem estar relacionadas a um e-mail corporativo para a sua recuperação, sendo proibido a recuperação de senha com e-mail pessoal do usuário.
A periodicidade máxima para troca das senhas é 180 (cento e oitenta) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário mudar de função, for demitido ou solicitar demissão, a área de RH deverá comunicar imediatamente
tal fato a área de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras
situações similares. Será realizada uma revisão anual dos privilégios de acesso a fim de identificar e remover contas não utilizadas e realinhar os direitos e a função de cada usuário.
Caso o usuário esqueça sua senha, ele deverá requisitar formalmente a troca à área técnica responsável para cadastrar uma nova.
No mínimo uma vez por ano serão realizados testes de intrusão com o objetivo de avaliar a segurança dos sistemas de computador e de rede, garantindo uma melhor proteção dos ativos de informação. Isso permite que
a QUALIS solidifique uma estratégia eficiente de defesa em caso de um incidente.
Ainda, periodicamente (mensal ou trimestral), a QUALIS realizará varreduras nas redes internas e externas e, caso vulnerabilidades sejam identificadas serão tratadas e priorizadas de acordo com seu nível de criticidade.
Os controles criptográficos serão usados para assegurar o uso efetivo e adequado da criptografia, com o objetivo de proteger a confidencialidade, integridade/autenticidade e o não repúdio.
A escolha dos tipos, da qualidade e da força de algoritmos, assim como a definição de que tipo de controle criptográfico é apropriado para cada propósito e processo de negócio, tomará como base, sempre que possível,
o resultado do processo de gerenciamento de riscos de segurança da informação.
Será confeccionada uma tabela relacionando os controles criptográficos, seus parâmetros e sua aplicação na proteção de informações.
É proibida a implantação de controles criptográficos não homologados pelo Comitê de Segurança da Informação e Privacidade ou utilizá-los de forma distinta aos procedimentos estabelecidos para tal finalidade.
É obrigatória a gravação de logs ou trilhas de auditoria do ambiente computacional, para todas as plataformas, de forma a permitir e identificar: quem realizou o acesso, quando o acesso foi realizado, o que foi acessado
e como foi acessado. Estas informações devem ser protegidas contra modificações e acessos não autorizados.
Recursos tecnológicos como criptografia, concentrador de registros (logs) de rede com análise proativa e procedimentos de pronta-resposta a incidentes cibernéticos (com procedimentos aprovados), são adotados e continuamente
geridos por pessoal da Tecnologia da Informação e Segurança da Informação, garantindo a manutenção da segurança cibernética e mantendo os riscos cibernéticos sob controle.
O serviço de Internet é disponibilizado exclusivamente para uso nas atividades profissionais. O acesso às páginas da Internet, por meio dos recursos disponibilizados pela QUALIS, caracteriza um instrumento de trabalho e, assim destina-se e limita-se
à execução das atividades pertinentes à função.
A QUALIS reserva-se o direito de examinar e de monitorar o acesso à Internet disponibilizada, em conformidade com os termos da Lei e de utilizar do conteúdo das trilhas de auditoria, sendo proibido aos usuários:
Caso a área de Tecnologia julgue necessário, poderá efetuar bloqueios de acesso a arquivos, domínios e serviços de Internet que comprometam o uso de banda, a segurança da QUALIS ou o bom andamento dos trabalhos. Com base em relatórios para análise de segurança dos sites acessados pelos usuários, poderá haver restrição a determinados conteúdos/sites sem aviso prévio.
Trabalho remoto refere-se a todas as formas de trabalho fora do escritório, incluindo ambientes de trabalho não tradicionais, como aqueles referidos como: “ambientes de telecommuting”, “local de trabalho flexível”, “trabalho remoto” e “trabalho
virtual”.
O trabalho remoto do usuário deverá ser autorizado e fornecido exclusivamente pela área de Tecnologia da Informação. O usuário deve agir com máxima cautela, a fim de evitar que informações da QUALIS sejam acessíveis
por estranhos ou pessoas não autorizadas.
Acesso remoto a sistemas, infraestrutura de suporte ao ambiente de tecnologia ou informações da QUALIS só devem ser realizados em locais seguros. A realização de trabalho remoto em áreas onde a segurança cibernética
não possa ser obtida não deve ser realizada.
Todo acesso remoto a sistemas e ambientes de tecnologia que suportam informações corporativas da QUALIS é precedido, obrigatoriamente, por um processo de autenticação do usuário, a qual deve seguir as regras definidas
pela QUALIS, podendo conter 01 (um) ou mais fatores de autenticação, conforme a criticidade do sistema, ativo de tecnologia e/ou informação a ser acessada.
Quando o acesso remoto for realizado por prestador de serviços, cabe ao colaborador responsável avaliar a criticidade do acesso e solicitar acompanhamento da área de Tecnologia da Informação quando julgar necessário.
O acesso remoto por entidade externa somente será autorizado com o fornecimento de todos os dados solicitados pela área de Tecnologia da Informação para uma conexão segura. (Ex. IP externo para conexão).
O acesso remoto deve ser revogado ao término da relação contratual ou a qualquer tempo, devido ao regresso e/ou substituição do usuário (colaborador ou prestador de serviço).
É obrigação do usuário segmentar e gravar os documentos sempre na pasta da área correspondente, não podendo armazenar documentos da empresa na pasta pessoal (desktop). Possuem backup somente os documentos salvos na rede, sendo que os documentos
salvos no desktop local não entram na política de backup, portanto não tem cópia de segurança.
Informações particulares podem ser armazenadas em estação de trabalho, porém podem ser excluídas pela área de Tecnologia da Informação a qualquer momento e sem prévio aviso. A empresa não possui qualquer responsabilidade
sobre este tipo de informação.
Colaboradores que utilizam notebooks corporativos são responsáveis pela segurança das informações armazenadas nestes, bem como pela atualização destas informações nos servidores corporativos.
No caso de término da relação contratual, é responsabilidade da área de Recursos Humanos informar a área de Tecnologia da Informação o desligamento do colaborador antes de informar ao próprio colaborador. Uma vez
informado, é responsabilidade da área de Tecnologia da Informação salvar todas as informações corporativas do colaborador (ex. documentos em rede) antes de seu desligamento.
Estações de trabalho não devem compartilhar informações pela rede, todos os compartilhamentos devem ser feitos através de servidores corporativos.
Todo compartilhamento deve pertencer a um setor específico e estar sob responsabilidade do Gestor da área.
O Gestor da área deve informar a área de Tecnologia da Informação qualquer alteração nos direitos de acesso dos compartilhamentos sob sua responsabilidade.
O Gestor da área deve revisar os direitos de acesso de seus compartilhamentos a cada 12 meses, sob responsabilidade do comitê de segurança da informação.
Cada colaborador é responsável pelas informações que publica nos compartilhamentos de rede e deve garantir que a informação seja publicada na pasta correta, conforme o propósito de cada informação.
As informações do compartilhamento público serão periodicamente excluídas pela área de Tecnologia da Informação, sem prévio aviso.
No compartilhamento público devem ser colocadas apenas informações temporárias e que sejam públicas, ou seja, que podem ser acessadas por todos os colaboradores.
O uso de dispositivos de armazenamento removível corporativo deve ser autorizado pelo Gestor da área com justificativa e prazo determinado.
Dispositivos de armazenamento removível pessoal de colaboradores não podem ser utilizados para fins profissionais.
A autorização de dispositivos de armazenamento removível deve ser realizada por dispositivo e não por estação de trabalho.
Não devem ser utilizados dispositivos de armazenamento removível para troca de informações internas na empresa. Para tal deve-se utilizar a rede corporativa.
Dispositivos de armazenamento removível devem ser transportados de modo seguro, compatível com a criticidade da informação neles contida.
Um dos procedimentos mais básicos da Segurança da Informação é a implantação de uma Política de Backup (cópia de segurança). Uma organização tem que estar preparada para recuperar (restaurar) todos os seus dados de forma íntegra caso um incidente de perda de dados venha a ocorrer. Assim, estabelecemos as seguintes regras:
O Correio Eletrônico é uma ferramenta essencial ao dia a dia, permitindo agilidade na comunicação interna e externa. As mensagens e os documentos eletrônicos estão sujeitos às mesmas leis e normas aplicadas a documentos escritos. O uso não controlado
ou inapropriado desta ferramenta pode trazer ameaças reais, tais como responsabilidade criminal, perante autoridades regulatórias, contaminação por vírus, quebra da confidencialidade e Danos a Imagem.
Assim, como qualquer recurso provido pela QUALIS, o uso dos serviços do correio eletrônico deve ser dedicado às atividades de seu interesse, regido por regras de conduta similares àquelas aplicáveis a outros recursos
de informática. O uso adequado deve ser legal, ético, refletir honestidade e demonstrar moderação no consumo dos recursos compartilhados. O uso inapropriado dos serviços de correio eletrônico, em alguns casos, pode causar interrupção
das atividades da empresa.
As mensagens enviadas por meio do e-mail corporativo não são consideradas como informação particular. Assim sendo, a QUALIS reserva para si o direito de monitorar e inspecionar o uso do e-mail disponibilizado, em
conformidade com os termos da Lei.
Poderá ser concedido a um usuário o direito de acessar a caixa postal de outro usuário mediante autorização da pessoa por e-mail, desta forma a Tecnologia liberará este acesso. Este procedimento pode ser realizado
pelo usuário proprietário da caixa postal ou pela área de Tecnologia por meio de autorização por escrito do proprietário da caixa postal ou seu superior.
Os colaboradores demitidos ou afastados terão a caixa postal bloqueada imediatamente e em período específico a mesma será desativada ou excluída completamente para casos de desligamento.
Não obstante, é expressamente proibido aos colaboradores:
A QUALIS se reserva o direito de preservar seus equipamentos e recursos computacionais através da recusa do recebimento de mensagens cujos conteúdos não expressam o interesse ou que possam colocar em risco o funcionamento dos sistemas. As caixas postais do correio eletrônico, incluindo as informações contidas em seus arquivos, são propriedade da QUALIS, reservando-se ao mesmo, portanto, o direito de monitorar e gravar toda a atividade quando considerar necessário. O uso da caixa postal de correio eletrônico e dos demais recursos de informática indica o consentimento do usuário a essa monitoração e, quando necessário, à divulgação da QUALIS às autoridades competentes de quaisquer evidências que possam constituir crime, delito ou violação às atividades.
Somente poderão ser utilizados softwares de mensagens instantâneas devidamente homologados pela Diretoria.
Somente poderão ter acesso a contatos externos de mensagens instantâneas os colaboradores formalmente autorizados pelo Gestor da área a qual o colaborador pertence.
Todos os contratos fechados com terceiros deverão ser aderentes às leis, normas e procedimentos definidos por órgãos reguladores e autorreguladores que regem a empresa QUALIS.
Dessa forma, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais e segurança da informação, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso
dos terceiros com as legislações pertinentes, bem como cláusula de confidencialidade em relação as informações e dados pessoais compartilhados.
Todos os terceiros devem assinar o termo de aceitação desta Política, da Política de Privacidade e Proteção de Dados e do Plano de Resposta a Incidentes de Segurança, submetendo as atividades contratadas no âmbito da relação
com a QUALIS também a essas normativas.
Todos os colaboradores devem notificar incidentes da Política de Segurança da Informação quando observados.
As notificações devem ser feitas através do e-mail contato@portalqualis.com.br ou pelo sistema de chamados da QUALIS.
Os incidentes serão encaminhados para os respectivos responsáveis de segurança lógica e/ou física para análise inicial e levantamento de evidências.
Os incidentes cuja relevância seja identificada devem ser encaminhados para o Comitê de Segurança da Informação e/ou Comitê de Incidentes.
As medidas disciplinares a serem aplicadas em caso de responsabilidade por um incidente de segurança e proteção de dados serão discutidas e deliberadas pelo Comitê de Segurança da Informação e Privacidade. A aplicação de medidas disciplinares será
de responsabilidade do Gestor/superior imediato do colaborador, juntamente à dois membros do Comitê de Segurança da Informação e Privacidade.
Em caso de se apurar a responsabilidade do colaborador na ocorrência de um incidente de segurança e violação de dados pessoais poderão ser aplicadas as seguintes medidas disciplinares:
Serão realizadas auditorias periódicas para verificação do grau de cumprimento desta Política. São consideradas razões legítimas, porém não limitadas:
Os destinatários desta política se comprometem a participar dos treinamentos, workshops e capacitações propostos pelo Comitê de Segurança da Informação e Privacidade para a ampliação da cultura de proteção de dados pessoais na empresa. Todos os colaboradores passarão por avaliações específicas e pontuais, que visem identificar falhas entre conhecimento e procedimentos operacionais praticados pelas áreas de negócio, que possam afetar as práticas de Segurança da Informação.