Segurança da informação

1. OBJETIVOS

Esta política visa garantir a aplicação de princípios, diretrizes e atribuições que permitam aos colaboradores (funcionários, terceiros e prestadores de serviços) da QUALIS seguirem padrões de comportamento relacionados à Segurança da Informação adequados às necessidades de negócio e de proteção legal da empresa e do titular de dados pessoais.

2. APLICAÇÃO

 Esta política é aplicável a todas as informações sob gestão da QUALIS, que podem existir de muitas maneiras: escrita em papel, armazenada e transmitida pelo correio ou através de meios eletrônicos, exibida em filmes ou falada em conversas formais ou informais. Seja qual for a forma apresentada ou o meio pelo qual a informação seja apresentada ou compartilhada, deverá estar sempre protegida adequadamente.
 As informações de propriedade ou controladas pela QUALIS devem ser utilizadas apenas para uso próprio de propósitos definidos. Os usuários não podem, em qualquer tempo ou sob qualquer propósito, apropriar-se dessas informações para uso deliberado.
 De acordo com a PSI sempre que o usuário encontrar informações, aplicações ou procedimentos críticos sem o tratamento de segurança adequado, deverá informar seu superior imediato para que sejam tomadas providências necessárias.
 Esta política está relacionada com outras normas e procedimentos internos da QUALIS, quais sejam, Termo de Confidencialidade, Cartilha do Colaborador e Política de Privacidade e Proteção de Dados.
 É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou do Comitê de Segurança da Informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações. Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhorias podem ser encaminhadas para o e-mail contato@portalqualis.com.br

3. NORMAS DE SEGURANÇA CIBERNÉTICA

 Para a uniformidade da informação, a PSI será comunicada aos usuários de forma clara e acessível, fortalecendo que a mesma faz parte de um programa de conscientização, educação e treinamento em segurança da informação.
 Esta PSI será implementada na QUALIS por meio de procedimentos específicos, obrigatórios para todos os usuários, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.

3.1 Diretrizes

 Esta norma tem como objetivo estabelecer os procedimentos adequados para a correta utilização das chaves de acesso no ambiente de Tecnologia da Informação da QUALIS e será aplicada a todos os usuários que possuam chave de acesso aos sistemas.
 O acesso às informações e aos ambientes deve ser permitido apenas às pessoas autorizadas pelo proprietário da informação (Qualis), levando em consideração o princípio do menor privilégio, a segregação de funções conflitantes e a classificação da informação.
 A identificação do usuário por senha ou outro meio é pessoal e intransferível, qualificando-o como responsável por todas as atividades desenvolvidas através desta, sendo o único responsável por guardá-la com segurança e sigilo.
 O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
 Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha temporária conforme as orientações apresentadas.
 O uso compartilhado do ID de usuário somente será permitido quando for autorizado pelo Gestor, por razões operacionais ou de negócios, devendo este compartilhamento ser documentado. É proibido o compartilhamento de login para funções de administração de sistemas.
 Os usuários deverão criar senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.
 Para o desbloqueio as senhas devem estar relacionadas a um e-mail corporativo para a sua recuperação, sendo proibido a recuperação de senha com e-mail pessoal do usuário.
 A periodicidade máxima para troca das senhas é 180 (cento e oitenta) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
 Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário mudar de função, for demitido ou solicitar demissão, a área de RH deverá comunicar imediatamente tal fato a área de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares. Será realizada uma revisão anual dos privilégios de acesso a fim de identificar e remover contas não utilizadas e realinhar os direitos e a função de cada usuário.
 Caso o usuário esqueça sua senha, ele deverá requisitar formalmente a troca à área técnica responsável para cadastrar uma nova.

3.2 Testes de Intrusão e Varredura de Vulnerabilidade


 No mínimo uma vez por ano serão realizados testes de intrusão com o objetivo de avaliar a segurança dos sistemas de computador e de rede, garantindo uma melhor proteção dos ativos de informação. Isso permite que a QUALIS solidifique uma estratégia eficiente de defesa em caso de um incidente.
 Ainda, periodicamente (mensal ou trimestral), a QUALIS realizará varreduras nas redes internas e externas e, caso vulnerabilidades sejam identificadas serão tratadas e priorizadas de acordo com seu nível de criticidade.

3.3 Criptografia


 Os controles criptográficos serão usados para assegurar o uso efetivo e adequado da criptografia, com o objetivo de proteger a confidencialidade, integridade/autenticidade e o não repúdio.
 A escolha dos tipos, da qualidade e da força de algoritmos, assim como a definição de que tipo de controle criptográfico é apropriado para cada propósito e processo de negócio, tomará como base, sempre que possível, o resultado do processo de gerenciamento de riscos de segurança da informação.
 Será confeccionada uma tabela relacionando os controles criptográficos, seus parâmetros e sua aplicação na proteção de informações.
 É proibida a implantação de controles criptográficos não homologados pelo Comitê de Segurança da Informação e Privacidade ou utilizá-los de forma distinta aos procedimentos estabelecidos para tal finalidade.

3.4 Rastreabilidade das Informações


 É obrigatória a gravação de logs ou trilhas de auditoria do ambiente computacional, para todas as plataformas, de forma a permitir e identificar: quem realizou o acesso, quando o acesso foi realizado, o que foi acessado e como foi acessado. Estas informações devem ser protegidas contra modificações e acessos não autorizados.
 Recursos tecnológicos como criptografia, concentrador de registros (logs) de rede com análise proativa e procedimentos de pronta-resposta a incidentes cibernéticos (com procedimentos aprovados), são adotados e continuamente geridos por pessoal da Tecnologia da Informação e Segurança da Informação, garantindo a manutenção da segurança cibernética e mantendo os riscos cibernéticos sob controle.

4. NORMAS DE SEGURANÇA LÓGICA

4.1. Internet

 O serviço de Internet é disponibilizado exclusivamente para uso nas atividades profissionais. O acesso às páginas da Internet, por meio dos recursos disponibilizados pela QUALIS, caracteriza um instrumento de trabalho e, assim destina-se e limita-se à execução das atividades pertinentes à função.
 A QUALIS reserva-se o direito de examinar e de monitorar o acesso à Internet disponibilizada, em conformidade com os termos da Lei e de utilizar do conteúdo das trilhas de auditoria, sendo proibido aos usuários:

  • Utilizar os recursos da QUALIS para fazer downloads (mp3, vídeos, programas diversos) de conteúdo que não seja para utilização no trabalho, distribuição de software de qualquer natureza e de dados não legalizados, bem como a distribuição destes;
  • Acessar informações ilegais ou que possam ser consideradas ofensivas, intimidatórias, ameaçadoras ou similares, sendo que o usuário será responsabilizado pelos sites acessados e pelos arquivos copiados para a rede interna da Instituição;
  • Utilizar webmail particular ou mesmo instalar a conta de e-mail particular para utilização no cliente do desktop corporativo durante o horário de expediente (o uso de webmail será permitido fora do horário de expediente, desde que o colaborador não precise de liberações de acesso adicionais para tal uso);
  • Acessar portais ou páginas com conteúdo de caráter obsceno, sexual, pornográfico, erótico, racista, constrangedor, difamatório, discriminatório ou preconceituoso (sexo, raça, etnia, religião, nacionalidade), ilegal, agressivo e abusivo ou de qualquer outra natureza, que atente contra a integridade moral e os bons costumes dos indivíduos ou de grupos da sociedade;
  • Acessar e propagar qualquer tipo de conteúdo malicioso, como vírus, worms, cavalos de tróia ou programas de controle de outros computadores, bem como spam;
  • Acessar a internet através de compartilhamento via dispositivo móvel particular (smartphone, por exemplo);
  • Utilizar a rede para fins comerciais, ilegais ou imorais.

 Caso a área de Tecnologia julgue necessário, poderá efetuar bloqueios de acesso a arquivos, domínios e serviços de Internet que comprometam o uso de banda, a segurança da QUALIS ou o bom andamento dos trabalhos. Com base em relatórios para análise de segurança dos sites acessados pelos usuários, poderá haver restrição a determinados conteúdos/sites sem aviso prévio.

4.2. Acesso Remoto

 Trabalho remoto refere-se a todas as formas de trabalho fora do escritório, incluindo ambientes de trabalho não tradicionais, como aqueles referidos como: “ambientes de telecommuting”, “local de trabalho flexível”, “trabalho remoto” e “trabalho virtual”.
 O trabalho remoto do usuário deverá ser autorizado e fornecido exclusivamente pela área de Tecnologia da Informação. O usuário deve agir com máxima cautela, a fim de evitar que informações da QUALIS sejam acessíveis por estranhos ou pessoas não autorizadas.
 Acesso remoto a sistemas, infraestrutura de suporte ao ambiente de tecnologia ou informações da QUALIS só devem ser realizados em locais seguros. A realização de trabalho remoto em áreas onde a segurança cibernética não possa ser obtida não deve ser realizada.
 Todo acesso remoto a sistemas e ambientes de tecnologia que suportam informações corporativas da QUALIS é precedido, obrigatoriamente, por um processo de autenticação do usuário, a qual deve seguir as regras definidas pela QUALIS, podendo conter 01 (um) ou mais fatores de autenticação, conforme a criticidade do sistema, ativo de tecnologia e/ou informação a ser acessada.
 Quando o acesso remoto for realizado por prestador de serviços, cabe ao colaborador responsável avaliar a criticidade do acesso e solicitar acompanhamento da área de Tecnologia da Informação quando julgar necessário. O acesso remoto por entidade externa somente será autorizado com o fornecimento de todos os dados solicitados pela área de Tecnologia da Informação para uma conexão segura. (Ex. IP externo para conexão).
 O acesso remoto deve ser revogado ao término da relação contratual ou a qualquer tempo, devido ao regresso e/ou substituição do usuário (colaborador ou prestador de serviço).

4.3. Armazenamento e Manuseio de Informações

 É obrigação do usuário segmentar e gravar os documentos sempre na pasta da área correspondente, não podendo armazenar documentos da empresa na pasta pessoal (desktop). Possuem backup somente os documentos salvos na rede, sendo que os documentos salvos no desktop local não entram na política de backup, portanto não tem cópia de segurança.
 Informações particulares podem ser armazenadas em estação de trabalho, porém podem ser excluídas pela área de Tecnologia da Informação a qualquer momento e sem prévio aviso. A empresa não possui qualquer responsabilidade sobre este tipo de informação.
 Colaboradores que utilizam notebooks corporativos são responsáveis pela segurança das informações armazenadas nestes, bem como pela atualização destas informações nos servidores corporativos.
 No caso de término da relação contratual, é responsabilidade da área de Recursos Humanos informar a área de Tecnologia da Informação o desligamento do colaborador antes de informar ao próprio colaborador. Uma vez informado, é responsabilidade da área de Tecnologia da Informação salvar todas as informações corporativas do colaborador (ex. documentos em rede) antes de seu desligamento.

4.4 Compartilhamento de informações

 Estações de trabalho não devem compartilhar informações pela rede, todos os compartilhamentos devem ser feitos através de servidores corporativos.
 Todo compartilhamento deve pertencer a um setor específico e estar sob responsabilidade do Gestor da área.
 O Gestor da área deve informar a área de Tecnologia da Informação qualquer alteração nos direitos de acesso dos compartilhamentos sob sua responsabilidade.
 O Gestor da área deve revisar os direitos de acesso de seus compartilhamentos a cada 12 meses, sob responsabilidade do comitê de segurança da informação.
 Cada colaborador é responsável pelas informações que publica nos compartilhamentos de rede e deve garantir que a informação seja publicada na pasta correta, conforme o propósito de cada informação.
 As informações do compartilhamento público serão periodicamente excluídas pela área de Tecnologia da Informação, sem prévio aviso.
 No compartilhamento público devem ser colocadas apenas informações temporárias e que sejam públicas, ou seja, que podem ser acessadas por todos os colaboradores.

4.5 Dispositivos de armazenamento removível

 O uso de dispositivos de armazenamento removível corporativo deve ser autorizado pelo Gestor da área com justificativa e prazo determinado.
 Dispositivos de armazenamento removível pessoal de colaboradores não podem ser utilizados para fins profissionais.
 A autorização de dispositivos de armazenamento removível deve ser realizada por dispositivo e não por estação de trabalho.
 Não devem ser utilizados dispositivos de armazenamento removível para troca de informações internas na empresa. Para tal deve-se utilizar a rede corporativa.
 Dispositivos de armazenamento removível devem ser transportados de modo seguro, compatível com a criticidade da informação neles contida.

4.6 Backup

 Um dos procedimentos mais básicos da Segurança da Informação é a implantação de uma Política de Backup (cópia de segurança). Uma organização tem que estar preparada para recuperar (restaurar) todos os seus dados de forma íntegra caso um incidente de perda de dados venha a ocorrer. Assim, estabelecemos as seguintes regras:

  • Todo sistema ou informação relevante para a operação dos negócios da QUALIS deve possuir cópia dos seus dados de produção para que, em eventual incidente de indisponibilidade de dados, seja possível recuperar ou minimizar os impactos nas operações da instituição;
  • Todos os backups devem ser automatizados por sistemas de agendamento para que sejam, preferencialmente, executados fora do horário comercial, períodos de pouco ou nenhum acesso de usuários ou processos aos sistemas de informática;
  • As mídias de backup devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas da ABNT) e, preferencialmente, distantes o máximo possível do Datacenter;
  • Toda infraestrutura de suporte aos processos de backup e restauração deve possuir controles de segurança para prevenção contra acessos não autorizados, bem como mecanismos que assegurem seu correto funcionamento;
  • O colaborador não deve fazer backup de informações corporativas por conta própria, a responsabilidade pelo backup é da área de Tecnologia da Informação;
  • Cada colaborador é responsável por garantir que suas informações importantes estejam armazenadas no servidor e incluídas no backup corporativo;
  • Em nenhuma hipótese será feito o backup de informações pessoais/particulares de colaboradores ou mesmo de informações não corporativas.

4.7 Correio Eletrônico

 O Correio Eletrônico é uma ferramenta essencial ao dia a dia, permitindo agilidade na comunicação interna e externa. As mensagens e os documentos eletrônicos estão sujeitos às mesmas leis e normas aplicadas a documentos escritos. O uso não controlado ou inapropriado desta ferramenta pode trazer ameaças reais, tais como responsabilidade criminal, perante autoridades regulatórias, contaminação por vírus, quebra da confidencialidade e Danos a Imagem.
 Assim, como qualquer recurso provido pela QUALIS, o uso dos serviços do correio eletrônico deve ser dedicado às atividades de seu interesse, regido por regras de conduta similares àquelas aplicáveis a outros recursos de informática. O uso adequado deve ser legal, ético, refletir honestidade e demonstrar moderação no consumo dos recursos compartilhados. O uso inapropriado dos serviços de correio eletrônico, em alguns casos, pode causar interrupção das atividades da empresa.
 As mensagens enviadas por meio do e-mail corporativo não são consideradas como informação particular. Assim sendo, a QUALIS reserva para si o direito de monitorar e inspecionar o uso do e-mail disponibilizado, em conformidade com os termos da Lei.
 Poderá ser concedido a um usuário o direito de acessar a caixa postal de outro usuário mediante autorização da pessoa por e-mail, desta forma a Tecnologia liberará este acesso. Este procedimento pode ser realizado pelo usuário proprietário da caixa postal ou pela área de Tecnologia por meio de autorização por escrito do proprietário da caixa postal ou seu superior.
 Os colaboradores demitidos ou afastados terão a caixa postal bloqueada imediatamente e em período específico a mesma será desativada ou excluída completamente para casos de desligamento.
  Não obstante, é expressamente proibido aos colaboradores:

  • Transmitir material que seja considerado ofensivo, discriminatório, calunioso, fraudatório, danoso, ilegal ou que possa violar os padrões de ética e cortesia profissional;
  • Transmitir ou abrir material que contenha pornografia e conteúdo de assédio moral;
  • Retransmitir e-mails atachados com anexos não relacionados ao conteúdo corporativo, os quais podem interromper ou prejudicar o funcionamento dos servidores/equipamentos de outra pessoa ou causar problemas de performance no sistema;
  • Abrir arquivos atachados de origem duvidosa;
  • Divulgar informações consideradas confidenciais ou de propriedade da QUALIS ou de seus clientes, exceto quando aprovadas formalmente pelo Gestor, reenviar a terceiros comunicados recebidos quando expressamente não permitido.

 A QUALIS se reserva o direito de preservar seus equipamentos e recursos computacionais através da recusa do recebimento de mensagens cujos conteúdos não expressam o interesse ou que possam colocar em risco o funcionamento dos sistemas. As caixas postais do correio eletrônico, incluindo as informações contidas em seus arquivos, são propriedade da QUALIS, reservando-se ao mesmo, portanto, o direito de monitorar e gravar toda a atividade quando considerar necessário. O uso da caixa postal de correio eletrônico e dos demais recursos de informática indica o consentimento do usuário a essa monitoração e, quando necessário, à divulgação da QUALIS às autoridades competentes de quaisquer evidências que possam constituir crime, delito ou violação às atividades.

4.8 Software de Mensagens Instantâneas

 Somente poderão ser utilizados softwares de mensagens instantâneas devidamente homologados pela Diretoria.
 Somente poderão ter acesso a contatos externos de mensagens instantâneas os colaboradores formalmente autorizados pelo Gestor da área a qual o colaborador pertence.

5. DA RELAÇÃO COM TERCEIROS

 Todos os contratos fechados com terceiros deverão ser aderentes às leis, normas e procedimentos definidos por órgãos reguladores e autorreguladores que regem a empresa QUALIS.
 Dessa forma, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais e segurança da informação, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com as legislações pertinentes, bem como cláusula de confidencialidade em relação as informações e dados pessoais compartilhados.
 Todos os terceiros devem assinar o termo de aceitação desta Política, da Política de Privacidade e Proteção de Dados e do Plano de Resposta a Incidentes de Segurança, submetendo as atividades contratadas no âmbito da relação com a QUALIS também a essas normativas.

6. NOTIFICAÇÕES E INCIDENTES

 Todos os colaboradores devem notificar incidentes da Política de Segurança da Informação quando observados.
 As notificações devem ser feitas através do e-mail contato@portalqualis.com.br ou pelo sistema de chamados da QUALIS.
 Os incidentes serão encaminhados para os respectivos responsáveis de segurança lógica e/ou física para análise inicial e levantamento de evidências.
 Os incidentes cuja relevância seja identificada devem ser encaminhados para o Comitê de Segurança da Informação e/ou Comitê de Incidentes.

7. MEDIDAS DISCIPLINARES

 As medidas disciplinares a serem aplicadas em caso de responsabilidade por um incidente de segurança e proteção de dados serão discutidas e deliberadas pelo Comitê de Segurança da Informação e Privacidade. A aplicação de medidas disciplinares será de responsabilidade do Gestor/superior imediato do colaborador, juntamente à dois membros do Comitê de Segurança da Informação e Privacidade.
 Em caso de se apurar a responsabilidade do colaborador na ocorrência de um incidente de segurança e violação de dados pessoais poderão ser aplicadas as seguintes medidas disciplinares:

  • Reforço de conscientização no tema de segurança e proteção de dados;
  • Advertência não registrada (verbal);
  • Advertência registrada ou escrita;
  • Suspensão de direito de acesso ou recurso;
  • Desligamento com ou sem justa causa;
  • Processos cíveis e\ou criminais;
  • Outras medidas disciplinares definidas pelo RH em conjunto com o Jurídico.

8. AUDITORIAS

 Serão realizadas auditorias periódicas para verificação do grau de cumprimento desta Política. São consideradas razões legítimas, porém não limitadas:

  • Identificar e diagnosticar problemas de hardware e software;
  • Prevenir o uso incorreto do sistema;
  • Investigar conduta imprópria ou ilegal, atividade antiética ou inadequada;
  • Assegurar conformidade com os direitos de propriedade, licença e obrigações contratuais; e
  • Proteger os interesses empresariais da QUALIS.

9. TREINAMENTOS

 Os destinatários desta política se comprometem a participar dos treinamentos, workshops e capacitações propostos pelo Comitê de Segurança da Informação e Privacidade para a ampliação da cultura de proteção de dados pessoais na empresa. Todos os colaboradores passarão por avaliações específicas e pontuais, que visem identificar falhas entre conhecimento e procedimentos operacionais praticados pelas áreas de negócio, que possam afetar as práticas de Segurança da Informação.