Política de Segurança da Informação

Objetivo

Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade das informações necessárias para a realização dos negócios da Sibratel.

Abrangência

Aplica-se a todos os administradores, funcionários, estagiários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações que pertençam a SIBRATEL ou a SEUS CLIENTES.

Todo e qualquer usuário de recursos computacionais da empresa tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.

Conceitos - A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:

Confidencialidade - Garante que a informação seja acessível somente pelas pessoas autorizadas, pelo período necessário.

Disponibilidade - Garante que a informação esteja disponível para as pessoas autorizadas sempre que se faça necessário.

Integridade - Garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida.

Definições

Informação - Resultado do processamento e organização de dados (eletrônicos ou físicos) ou registros de um sistema.

Ativos de informação - Conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a empresa.

Sistema de informação - De maneira geral, são sistemas computacionais utilizados pela empresa para suportar suas operações.

Segregação de funções - Consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário, estagiário ou prestador de serviço detenha poderes e atribuições em desacordo com este princípio.

DPO ou Encarregado de Dados - Pessoa identificada pela Sibratel com o objetivo de avaliar a estratégia e diretrizes de segurança da informação seguidas pela empresa, zelar pelos dados e atender as solicitações dos titulares.

Classificação da informação - Toda informação produzida no desenvolvimento das atividades da empresa deve ser classificada de acordo com os níveis de confidencialidade abaixo: 

Pública - É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral.

Por exemplo: informações disponíveis na página da Internet da empresa

Interna - É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.

Confidencial - Por exemplo: propostas comerciais, faturas, documentos internos.

É toda informação que pode ser acessada por usuários da organização e por parceiros da organização especificamente autorizados. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro

Restrita - É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização.

Por exemplo: dados da folha de pagamento são de acesso restrito apenas ao setor de RH.

Responsabilidades

De forma geral, cabe a todos os administradores, funcionários, estagiários e prestadores de serviços:

  • Cumprir fielmente a Política de Segurança da Informação da SIBRATEL;
  • Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela empresa;
  • Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela empresa;
  • Cumprir as leis e as normas que regulamentam a propriedade intelectual;
  • Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões em blogs e redes sociais;
  • Não compartilhar informações confidenciais de qualquer tipo;
  • Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos. 
É dever de todos dentro da SIBRATEL

Considerar a informação como sendo um ativo da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a SIBRATEL e deve sempre ser tratada profissionalmente.

 É de responsabilidade do Gerente/Supervisor/Responsável de cada área classificar a informação (relatórios, documentos, modelos, procedimentos, planilhas) gerada por sua área de acordo com o nível de confidencialidade estabelecido neste documento, para que os colaboradores possam tratar de forma adequada a informação.

 São boas práticas
  • Bloquear o acesso ao computador sempre que sair da sua mesa de trabalho, mesmo que por alguns minutos;
  • Manter mesas organizadas e documentos com informações confidenciais trancados, quando não os estiver utilizando;

DPO - Encarregado

Missão

Ser o gestor do processo de segurança e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade. Atender solicitações dos titulares e proteger seus dados.

 Identificação

Responsável: Paulo Roberto Regazzini
E-mail: dpo@sibratel.com.br

Diretrizes Gerais

Dados pessoais dos funcionários

A SIBRATEL se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais de funcionários serão considerados confidenciais.

 Os dados pessoais de funcionários sob a responsabilidade da SIBRATEL não serão usados para fins diferentes daqueles para os quais foram coletados.

 Dados pessoais de funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio ou por obrigação legal, e desde que tais terceiros mantenham a confidencialidade dos referidos dados. 

Programas ilegais

É terminantemente proibido o uso de programas ilegais (software pirata) na SIBRATEL. Os usuários não podem, em hipótese alguma, instalar este tipo de programa nos equipamentos da empresa.

Periodicamente, a SIBRATEL fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.

Concessão e revogação de acessos

Quando houver necessidade de concessão ou revogação de acesso aos sistemas, repositórios de arquivos de trabalho e/ou equipamentos de informática da SIBRATEL, o setor solicitante comunicará esta necessidade ao DPO, que entrará em contato com o fornecedor ou responsável técnico.

Politicas de senhas

Recomendamos que as senhas tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.

Recomendamos que as senhas também sejam ser trocadas pelos usuários a cada 6 meses, não devendo se repetir as senhas definidas nos últimos 12 meses.

 Sempre que um usuário é desligado da organização, todas as suas senhas e acessos deverão ser revogados no mesmo dia. O DPO deverá ser informado e entrará em contato com o fornecedor ou responsável técnico.

Arquivos de trabalho

Os arquivos de trabalho, considerados dados essenciais ao desenvolvimento do negócio, são mantidos nos servidores de arquivos da SIBRATEL em sistema que permite o controle de acesso restrito por usuário/setor.

São exemplos de arquivos de trabalho:

  • Planilha de faturamento;
  • Notas fiscais;
  • Propostas comerciais;
  • Relatórios de análise técnica;
  • Planilhas com dados técnicos, fiscais, contábeis ou pessoais;
  • Contratos.
  • Documentos pessoais (atestados médicos, relatórios, cpf, carteira de trabalho, etc.)

Arquivos individuais

São considerados arquivos individuais aqueles criados, copiados ou desenvolvidos pelos usuários, que não sejam parte integrante do produto entregável pelo seu trabalho, seja ele interno ou para clientes. Alguns exemplos são: rascunhos ou lembretes, memórias de cálculo, mensagens, diagramas ou textos gerais. A cópia de segurança destes arquivos é de responsabilidade dos próprios usuários, devendo ser armazenadas no servidor em sua área específica.

 Não é permitido aos usuários o uso ou armazenamento dos tipos de arquivos abaixo relacionados em suas estações de trabalho:

  • Programas não licenciados ou não homologados para uso na SIBRATEL;
  • Músicas, filmes, séries, programas de TV;
  • Vídeos não relacionados à atividade profissional;
  • Conteúdo pornográfico ou relacionado a sexo. 

Compartilhamento de pastas e dados

O compartilhamento de pastas e arquivos de trabalho cujo conteúdo seja classificado como sendo de informação CONFIDENCIAL ou RESTRITA é proibido através os seguintes :

  • Google Talk, WhatsApp, Viber ou qualquer outro comunicador de mensagens instantâneas;
  • Compartilhamento de pastas do Windows;
  • Bluetooth;
  • Cópia via pen drive ou qualquer outro dispositivo removível;
  • Google Drive, Dropbox, iCloud, OneDrive ou qualquer outro drive virtual;

Havendo necessidade de se realizar o compartilhamento de dados entre usuários (internos e/ou externos), deve-se utilizar área no servidor definida para essa finalidade e o material deve ser apagado assim que transferido para o destino.

Cópias de segurança, recuperação e integridade dos sistemas e de seus bancos de dados

Cópias de segurança dos sistemas, repositórios de arquivos de trabalho, bancos de dados e configurações dos equipamentos e servidores de rede são de responsabilidade exclusiva da empresa e dos fornecedores/colaboradores identificados para essa função. 

Uso da internet

O uso da Internet será realizado para fins de execução das tarefas da empresa. 

Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros.

Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites:

  • De jogos on-line;
  • De conteúdo pornográfico ou relacionados a sexo;
  • Que defendam atividades ilegais;
  • Que menosprezem, depreciem ou incitem o preconceito a determinadas classes;
  • Que promovam a participação em salas de discussão de assuntos relacionados aos negócios da SIBRATEL, que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados.

Não será permitido o uso de e-mail gratuitos (Yahoo!, Hotmail, etc.) para acesso a contas pessoais, nos computadores da SIBRATEL. 

Necessidades de novos sistemas, aplicativos e/ou equipamentos

A SIBRATEL é responsável pela definição de compra, substituição e instalação de todo e qualquer “software” e “hardware”.

Qualquer necessidade de novo “software” ou “hardware” deverá ser discutida com os responsáveis da SIBRATEL. Não é permitida a compra ou o desenvolvimento de “softwares” diretamente pelos usuários. 

Uso de equipamentos de propriedade da empresa

Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade da SIBRATEL devem estar cientes de que:

  • Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais;
  • A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário;
  • É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo;
  • O usuário não deve alterar a configuração do equipamento recebido;
  • O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado. 
Celulares:
É PROIBIDO:
  • Instalar aplicativos pessoais, tais como: bancos, serviços pessoais (CPFL, SANASA, etc...);
  • Compartilhar mensagens ou conteúdo impróprio entre colegas de trabalho;
  • Registrar e/ou compartilhar por texto, áudio, vídeo ou foto, quaisquer informações empresariais ou confidenciais;
  • Usar o celular enquanto estiver dirigindo ou operando quaisquer ferramentas, instrumentos ou sistemas que exijam concentração para evitar erros e acidentes;
  • Usar o celular para gravar conversas sem que todos os envolvidos na conversa tenham autorizado previamente a gravação;
  • Usar o celular para atividades que infrinjam quaisquer leis ou normativas aplicáveis à pessoa física ou à empresa;
É PERMITIDO:
Desde que não se enquadre nas proibições citadas anteriormente, é permitido:
  • Usar o celular para receber telefonemas particulares em caráter de urgência, a qualquer horário, desde que isso não se manifeste como prática diária ou rotineira.
  • Usar o celular para auxiliar algum integrante da equipe ou que o uso seja feito com propósito profissional e de interesse da empresa.
  • Registrar contatos utilizados ou que fazem referência ao trabalho executado.
  • Instalar apenas aplicativos confiáveis e utilizados no trabalho a ser executado.Instalar apenas aplicativos confiáveis e utilizados no trabalho a ser executado.
É RECOMENDADO:
  • Ouvir áudios preferencialmente com fones de ouvido, afim de evitar vazamento de informações.
  • Extremo cuidado ao enviar mensagens de áudio, afim de evitar divulgação de informações restritas.
  • Registrar contatos utilizados ou que fazem referência ao trabalho executado.
  • Instalar apenas aplicativos confiáveis e utilizados no trabalho a ser executado.
Fora do trabalho:
  • Mantenha o equipamento sempre com você;
  • Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
  • Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível;
  • Atenção ao transportar o equipamento na rua. 
Em caso de furto:
  • Registre a ocorrência em uma delegacia de polícia;
  • Comunique o fato o mais rápido possível ao seu superior imediato e ao DPO;
  • Envie uma cópia do boletim de ocorrência para a empresa.

Responsabilidade da empresa

A SIBRATEL é responsável pelas definições dos direitos de acesso de seus subordinados aos sistemas e informações da empresa, cabendo a ela verificarem se os mesmos estão acessando exatamente os sistemas e as áreas de dados compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.

 A SIBRATEL poderá realizar a qualquer tempo e a sua conveniência auditorias do acesso dos usuários às informações, verificando:

  • Que tipo de informação o usuário pode acessar;
  • Quem está autorizado a acessar determinado sistema e/ou informação;
  • Quem acessou determinada sistema e informação;
  • Quem autorizou o usuário a ter permissão de acesso à determinado sistema ou informação;
  • Que informação ou sistema determinado usuário acessou;
  • Quem tentou acessar qualquer sistema ou informação sem estar autorizado. 

Sistema de telecomunicações

O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos da SIBRATEL, assim como, o uso de eventuais ramais virtuais instalados nos computadores, é responsabilidade da SIBRATEL, de acordo com as definições da administração da empresa. 

Uso de antivírus

Todo arquivo obtido através da Internet ou recebido de entidade externa a SIBRATEL deve ser verificado por programa antivírus.

Todas as estações de trabalho possuem software antivírus instalado. A sua atualização será automática, agendada pelo responsável técnico.

O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho. 

Violação da política de segurança

É qualquer ato que:

  • Exponha a empresa a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados ou de informações ou ainda da perda de equipamento;
  • Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos;
  • Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.

Penalidades

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.

Vigência

O disposto no presente documento entrará em vigor na data de publicação do comunicado que o anunciar.

Atendimento ao titular

DPO RESPONSÁVEL: PAULO ROBERTO REGAZZINI

dpo@sibratel.com.br