PSIDE
POLÍTICA DA SEGURANÇA DA INFORMAÇÃO E DADOS ELETRÔNICOS
Com as adaptações à Lei Geral de Proteção de Dados – LGPD 13.709/18
A Política de Segurança da Informação, também referida como PSIDE, é o documento que orienta e estabelece as diretrizes corporativas do Ibterapias para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
A presente PSIDE está baseada nas recomendações da norma ABNT NBR ISO/IEC 27002/2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, e está em conformidade com a Lei Geral de Proteção de Dados (LGPD) 13.709-18.
OBJETIVOS
Estabelecer diretrizes que permitam aos colaboradores, terceiros, clientes e fornecedores do Ibterapias seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Preservar as informações do Ibterapias quanto a:
– Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
– Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
– Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
APLICAÇÕES DA PSIDE
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como prestadores de serviço e terceiros, aplicando-se à informação em qualquer meio ou suporte. Esta política dá ciência a cada um de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador se manter atualizado em relação a esta PSIDE e aos procedimentos e normas relacionados, buscando orientação de seu gestor, da Gerência de IT ou do DPO (Data Protection Officer), sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
PRINCÍPIOS DA PSIDE
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pelo Ibterapias pertence à instituição. Exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
O Ibterapias, por meio da Gerência de IT e do DPO, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
REQUISITOS DA PSIDE
Para a uniformidade da informação, a PSIDE deverá ser comunicada a todos os colaboradores e terceiros do Ibterapias para que a política seja cumprida dentro e fora da empresa.
Deverá haver um comitê multidisciplinar responsável pela gestão da segurança de dados e informação, doravante designado como Comitê de Segurança de Dados e Informação.
Tanto a PSIDE quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança de Dados e Informação.
Deverá constar em todos os contratos do Ibterapias o Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para o acesso aos ativos de informação da empresa.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores e terceiros. Todos devem ser orientados sobre os procedimentos de segurança e o uso correto dos ativos, a fim de reduzir riscos. Eles devem assinar um termo de responsabilidade.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à gerência direta, que encaminhará ao Comitê de Segurança da Informação para o dashboard de KPIs e ocorrências.
DAS RESPONSABILIDADES ESPECÍFICAS
1. Dos Colaboradores em Geral e PJ (Pessoas Jurídicas)
Entende-se por colaborador toda e qualquer pessoa física ou jurídica que exerça alguma atividade dentro ou fora da instituição. Será de inteira responsabilidade de cada colaborador qualquer prejuízo ou dano ao Ibterapias e/ou terceiros em decorrência da não obediência às diretrizes e normas aqui referidas.
2. Dos Colaboradores em Regime de Exceção (Temporários)
Devem entender os riscos associados à sua condição especial e cumprir rigorosamente a PSIDE, conforme o aceite contratual concedido pelo Comitê de Segurança da Informação.
3. Dos Gestores de Pessoas e/ou Processos
Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão e exigindo a assinatura do Termo de Compromisso e Ciência sobre a PSIDE.
4. Dos Custodiantes da Informação
4.1. Da Área de Tecnologia da Informação
Testar a eficácia dos controles e configurar os sistemas para atender aos requisitos de segurança estabelecidos pela PSIDE. Segregar funções e garantir segurança em sistemas com acesso público, como CRM e ERP.
4.2. Da Área de Segurança da Informação
Propor metodologias e processos de segurança, promover a conscientização dos colaboradores e apoiar a avaliação de controles específicos para novos sistemas ou serviços.
4.3. Do Comitê de Dados e Segurança da Informação (CDSI)
Deve reunir-se formalmente semestralmente e, em caso de necessidade, para avaliar incidentes e propor investimentos e medidas corretivas de segurança.
5. Monitoramento e Auditoria de Ambiente
Para garantir as regras mencionadas nesta PSIDE, o Ibterapias poderá implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis e outros componentes da rede.
CORREIO ELETRÔNICO
O uso do correio eletrônico do Ibterapias é para fins corporativos. É proibido:
– Enviar mensagens não solicitadas para múltiplos destinatários que não sejam para uso legítimo da empresa.
– Enviar mensagens com conteúdo improprio, ameaçador, pornográfico ou que conflitem com os interesses da empresa.
INTERNET DENTRO DA REDE INTERNA
As regras visam ao uso ético e profissional da internet dentro do Ibterapias.
Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, o Ibterapias, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da empresa, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.
O Ibterapias, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada, e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.
A internet disponibilizada pela empresa aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não infrinja normas de segurança. Como é do interesse do Ibterapias que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.
Somente os colaboradores das áreas de marketing, copyrighting, influencers e vendas podem falar em nome do Ibterapias para os meios de comunicação. Eles poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, lives, e redes sociais (Instagram, Facebook, LinkedIn, Twitter, YouTube, etc.). As áreas administrativas não estão autorizadas a publicar em redes sociais em nome do Ibterapias.
Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, e à Lei Geral de Proteção de Dados (LGPD) à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais. É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.
Os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades do Ibterapias e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela gerência de IT. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela Gerência de IT.
Os colaboradores não poderão em hipótese alguma utilizar os recursos do Ibterapias para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação brasileira. Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores.
Colaboradores com acesso à internet não poderão efetuar upload de qualquer software licenciado ao Ibterapias ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.
Os colaboradores não poderão utilizar os recursos do Ibterapias para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de Troia, spam, assédio, perturbação ou programas de controle de outros computadores. O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não será permitido. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos desde que para fins profissionais. Os serviços de comunicação instantânea (WhatsApp, Google Chat e demais chats corporativos) estão totalmente liberados desde que para uso corporativo.
São proibidos os acessos a chats de bate-papo para fins não profissionais (BOL, UOL, AOL, etc.); caso seja detectado o uso indevido, uma notificação será emitida ao CDSI, como alerta de segurança de dados.
Atualizações e uso do website do Ibterapias:
– O website do Ibterapias, com o URL Ibterapias, deverá obedecer às políticas de segurança da informação e proteção de dados (LGPD) e solicitar a cada usuário no momento do acesso o aceite de cookies (arquivo de rastreamento e controle de identificação de usuário no momento do acesso, identificando desta forma o IP, localização e demais dados do usuário). Neste caso, o site deverá realizar a pergunta sobre o aceite ou não dos cookies de forma simples e fácil.
– O website do Ibterapias também deverá contar com uma política de privacidade, contendo de forma clara e objetiva as políticas do Ibterapias, e deverá ser de fácil acesso dentro do website.
IDENTIFICAÇÃO
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante o Ibterapias e/ou terceiros. O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Essa norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores. Todos os dispositivos de identificação utilizados no Ibterapias, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos, têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal). Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a empresa e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado. É proibido o compartilhamento de login para funções de administração de sistemas.
O RH e a Administração geral do Ibterapias são os responsáveis pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores. A Gerência de IT responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.
Deverão ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas.
Ao realizar o primeiro acesso ao ambiente de rede local ou na nuvem, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.) compreensíveis por linguagem humana (não criptografados).
Todos os smartphones terão suas saídas para armazenamento em dispositivos externos (PenDrive) bloqueadas para fins de segurança de dados. Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.
O Ibterapias, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança. O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções no Ibterapias, mesmo após o término do vínculo contratual mantido com a instituição.
O backup dos dados armazenados em notebooks deverá ser realizado em servidores na nuvem, diariamente, por meio de webservices determinados pelo gerente de IT do Ibterapias, conforme as políticas de backup estabelecidas pela instituição.
O suporte técnico aos dispositivos móveis de propriedade do Ibterapias e aos seus usuários seguirá o mesmo fluxo de suporte contratado pela instituição. Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel. Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e autorização da área responsável e sem a presença de um técnico da Gerência de Sistemas.
O colaborador deverá abster-se de manter ou utilizar quaisquer programas e/ou aplicativos não autorizados ou instalados pela Gerência de Sistemas do Ibterapias. A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constitui uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador, como sua casa, hotéis, fornecedores e clientes. Em caso de furto ou roubo de um dispositivo móvel fornecido pelo Ibterapias, o colaborador deverá notificar imediatamente seu gestor direto e a Gerência de IT, além de registrar um boletim de ocorrência junto às autoridades policiais.
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, causados ao Ibterapias e/ou a terceiros.
O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios para conectá-los à rede do Ibterapias deverá submeter previamente tais equipamentos ao processo de autorização da Gerência de TI. Smartphones e notebooks que não tenham sido fornecidos pela empresa não serão validados para uso e conexão na rede corporativa.
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) 13.709-18
A Lei Geral de Proteção de Dados (Lei nº 13.709/18) está em vigor desde setembro de 2020, trazendo direitos aos titulares de dados pessoais e deveres aos agentes de tratamento e provedores. A ANPD (Autoridade Nacional de Proteção de Dados) é responsável pela regulamentação e aplicação desta lei.
O Ibterapias guardará todos os dados de clientes, fornecedores, pessoas físicas e jurídicas e condomínios por 5 anos.
1. Processos gerais internos
A empresa adotará processos internos rastreáveis aplicáveis a todas as áreas que impactem diretamente a coleta, uso e manuseio de dados de terceiros. Esses processos deverão ser de uso constante, revistos periodicamente e documentados em fluxo de dados para facilitar o aprendizado e a compreensão de funções e responsabilidades.
1.1 Coleta de dados de clientes, fornecedores e terceiros em geral
A coleta de informações pessoais deverá obedecer aos princípios de finalidade, adequação, necessidade, transparência e auditoria. Em casos de prospecção de clientes, cotações ou solicitação de dados para fins comerciais, será exigida assinatura do TERMO DE COLETA DE DADOS.
1.2 Uso dos dados coletados
O uso dos dados seguirá a MATRIZ DE RESPONSABILIDADES INTERNAS e não poderá ser alterado após a assinatura dos formulários. Dados classificados como confidenciais deverão passar por revisão anual, excluindo-se aqueles sem uso prático, mediante aprovação no TERMO DE DESCARTE DE DADOS.
1.3 Auditoria dos dados
O DPO deverá realizar auditoria anual dos processos internos e emitir relatório sobre a conformidade da empresa. Em caso de não conformidades, será exigida a participação em treinamento interno e nova auditoria três meses após.
1.4 Treinamento
É obrigatória uma revisão anual de treinamento para funcionários determinados pelo Comitê (CDSI). O DPO poderá designar alguém para realizar esses cursos, com base nos seguintes conteúdos:
– ABNT NBR ISO/IEC 27002/2005
– Lei 13.709-18
– Políticas internas do Ibterapias (PSIDE)
– Métodos de didática
– Processos internos de segurança de dados
2. Responsabilidades do DPO (Art. 39 Lei 13.709-18)
O DPO informará e aconselhará a empresa sobre suas obrigações e controlará a conformidade com o PSIDE e outras disposições legais.
3. Plano de Mitigação LGPD
O Ibterapias e o DPO estabelecerão um plano de resposta a incidentes envolvendo dados pessoais, conforme o art. 48 da LGPD e diretriz 6.13 da norma ISO 27701.
DISPOSIÇÕES GERAIS
Este documento entra em vigor na data de sua assinatura e será arquivado com as assinaturas de todos os envolvidos para rastreabilidade e auditoria.
Florianópolis, 4 de Agosto de 2022