POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
SUMÁRIO
1. INTRODUÇÃO2
2. OBJETIVO2
3. ABRANGÊNCIA2
4. COMPOSIÇÃO3
5. ACESSO AO DOCUMENTO3
6. DEFINIÇÕES3
7. DIRETRIZES7
8. CONTROLES ORGANIZACIONAIS8
8.1 Controle e Direitos de Acessos8
8.2 Transferência de Informações9
8.3 Inteligência de Ameaças9
8.4 Segurança da Informação no Gerenciamento de Projetos10
8.5 Gestão de Ativos10
8.6 Gestão de Incidentes de Segurança da Informação12
8.7 Direitos de propriedade intelectual14
8.8 Classificação e Tratamentos de Informações15
9. CONTROLE DE PESSOAS15
9.1 Informação documentada15
10. CONTROLES FÍSICOS16
11. CONTROLES TECNOLÓGICOS18
11.1 Configuração e Manuseio Seguros de Dispositivos Endpoint do Usuário18
11.2 Direitos de Acessos Privilegiados18
11.3 Segurança de Redes18
11.4 Backup19
11.5 Criptografia e Gerenciamento de Chaves20
11.6 Gestão de Vulnerabilidades Técnicas21
11.7 Desenvolvimento Seguro21
11.8 Logs de Atividades e Monitoramento22
11.9 Conscientização22
11.10 Plano de Continuidade de negócios23
11.11 Mesa limpa e Tela limpa23
12. RESPONSABILIDADES25
13. SANÇÕES27
14. AUDITORIA27
15. DISPOSIÇÕES GERAIS28
16. DIVULGAÇÃO28
17. VIGÊNCIA29
18. REFERÊNCIAS29
19. HISTÓRICO DE REVISÃO30
1 – INTRODUÇÃO
Esta Política tem como finalidade estabelecer os conceitos e diretrizes de segurança da informação, visando a proteger as informações e todos os ativos de informação, em meio físico e digital, da DPOnet.
A Política de Segurança da Informação (“PSI”) deve adotar critérios técnicos e administrativos aptos a proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, ou qualquer forma de tratamento inadequado, conforme previsão do art. 46 da Lei no 13.709/2018 (LGPD).
2 – OBJETIVO
Esta PSI é um documento estratégico, que estabelece os conceitos e diretrizes para promover a utilização segura dos ativos de informação de todos os colaboradores da DPOnet – que deve implementar soluções de natureza multidisciplinar, com observância do descrito na ISO 27001, preservando a confidencialidade, a integridade e a disponibilidade das informações para resolução de incidentes e deliberação de procedimentos a serem adotados para a tomada de decisão.
3 – ABRANGÊNCIA
Esta política se aplica a todos os Diretores, Gestores, Clientes, Parceiros, Colaboradores e demais partes interessadas que se relacionem com o DPOnet, em todas suas áreas de atendimento.
4 – COMPOSIÇÃO
A estrutura da PSI é composta por um conjunto de documentos hierarquicamente descritos a seguir, na ordem de importância e de prevalência:
5 – ACESSO AO DOCUMENTO
A presente Política e demais documentos a ela associados estarão disponíveis na plataforma de gestão de documentos e ativos para os colaboradores, e para os parceiros, clientes e demais partes interessadas estará disponível na plataforma e no site da DPOnet.
6 – DEFINIÇÕES
6.1 Ativos/Recursos
Além da própria informação, o ativo está incluído em qualquer elemento, seja ele humano, tecnológico, software, com valor financeiro e de repercussão direta para o funcionamento no dia a dia da DPOnet.
6.2 Auditoria em Segurança da Informação
Processo de avaliação da situação atual dos controles de segurança da informação implementados.
6.3 Autenticidade
Consiste na certeza absoluta da veracidade e originalidade de algo. A autenticidade é necessária por uma questão de segurança, para garantir que informações, por exemplo, sejam transmitidas para pessoas ou entidades que não devem ter acesso a estes dados. Já a autenticidade de documentos é usada para garantir que estes são legítimos. Por outro lado, também ajuda a diminuir a aplicação de fraudes e golpes contra terceiros.
6.4 BYOD (Bring Your Own Device)
Conceito de infraestrutura em TI que consiste na utilização dos aparelhos dos próprios funcionários para desempenhar as atividades empresariais.
6.5 CGPSI
Comitê Gestor de Privacidade de Dados e Segurança da Informação.
6.6 Confidencialidade
Princípio de segurança da informação pelo qual se garante que o acesso à informação seja obtido somente por pessoas autorizadas.
6.7 Criticidade
Grau de importância da informação para a continuidade dos negócios e processos da DPOnet.
6.8 Dado Pessoal
Qualquer dado que possa permitir identificar uma pessoa.
6.9 Disponibilidade
Princípio de segurança da informação pelo qual se estabelece que os ativos/recursos estarão disponíveis sempre que necessário.
6.10 Incidente de Segurança da Informação
Um incidente de segurança é um evento de segurança ou um conjunto deles, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação da Política de Segurança da Informação (PSI).
6.11 Informação
A informação é um ativo/recurso tão importante quanto qualquer outro, podendo ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos mostrada em filmes ou falada em conversas.
6.12 Integridade
Princípio de segurança da informação por meio do qual é garantido que a informação não será alterada sem a devida autorização.
6.13 Gestão de Mudanças (GMUD)
A GMUD é o processo de solicitação, determinação da viabilidade, planejamento, implementação e avaliação de mudanças em um sistema. Tem dois objetivos principais: dar suporte ao processo de mudança organizacional e permitir um acompanhamento das alterações. As operações empresariais e os ecossistemas de TI estão se tornando mais complexos, com mais dependências e mudanças frequentes.
6.14 Usuário
Quaisquer pessoas que utilizem de forma autorizada ativos/recursos da DPOnet.
6.15 LGPD
Lei Geral de Proteção de Dados Pessoais – Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.
6.16 Norma
Documento que contém regras a serem seguidas.
6.17 Online
(Estar disponível ao vivo): no contexto da Internet significa estar disponível para acesso imediato, em tempo real.
6.18 Procedimento Operacional Padrão (POP)
Documento que formaliza a descrição das atividades envolvidas no fluxo do processo de trabalho da DPOnet, relacionando-os com os responsáveis, os recursos utilizados e a identificação dos dados de “quem”, “o quê” e “quando” são realizadas em cada etapa das operações.
6.19 Recursos Tecnológicos
Todo e qualquer recurso que possibilita o acesso, processamento, armazenamento e/ou transmissão de informações; como sistemas de informação, servidores físicos ou em Nuvem, estações de trabalho, computadores portáteis (notebooks), impressoras, dispositivos portáteis como Tablets, celulares e IOT’s, link de internet, Wi-Fi, servidores de rede e equipamentos de conectividade.
6.20 Risco
Combinação da probabilidade de ocorrência de um evento e de suas consequências.
6.21 SI
Segurança da Informação.
6.22 TIC
Tecnologia da Informação e Comunicação.
6.23 TI
Tecnologia da Informação.
6.24 Plataforma de gestão de documentos e ativos
Plataforma de Gestão utilizada na DPOnet.
7 – DIRETRIZES
A DPOnet é comprometida com a observância dos regulamentos em vigor aplicáveis, bem como com o seu Código de Conduta e Ética. Para a condução de suas atividades administrativas, sociais, treinamentos, é necessário o estabelecimento de uma Política de Segurança da Informação estruturada e clara, que possibilite aderência e conformidade a partir da implementação de uma série de controles, que podem ser: tecnológicos, físicos ou administrativos.
8 – CONTROLES ORGANIZACIONAIS
8.1 Controle e Direitos de Acessos
A DPOnet utiliza a plataforma Google Workspace para controlar informações (e-mail, documentos, entre outros), a plataforma de gestão de documentos e ativos para registrar os ativos físicos e a plataforma Mycena para controlar logins/senhas de acessos das aplicações/softwares.
Estas adotam as seguintes regras de acesso físico e lógico às informações e a outros ativos associados:
-
A determinação de quais entidades possuem acesso às informações e outros ativos está registrada nas plataformas citadas.
-
A organização deve considerar requisitos de negócios, risco da informação, legislação pertinente e conflitos de interesses para controlar seu acesso.
-
As plataformas citadas devem ser atualizadas quando houver a inserção ou retirada de uma entidade na organização.
-
O conteúdo das plataformas citadas deve ser revisado com periodicidade mínima anualmente com a finalidade de revisar os acessos a quais as entidades possuem direitos e ajustando conforme necessidade.
-
O processo de provisionamento e revogação de direito de acesso é realizado por meio de abertura de ticket.
No procedimento Ciclo de vida de desenvolvimento seguro, no tópico de Acessos, está detalhado sobre os direitos de acessos aos ambientes e áreas do sistema.
8.2 Transferência de Informações
A DPOnet possui as seguintes regras para realizar transferência de informações dentro da organização e entre a organização e outras partes:
-
Quando possível a informação deve ser transferida utilizando recursos de criptografia;
-
Os serviços de transferências considerados confiáveis são:
-
Gerenciador de e-mail: Google Workspace;
-
Plataformas de comunicação:Discord, Google Chat e Whatsapp Business deverá ser utilizado somente para envio de mensagens sem anexos, como por exemplo: planilha, documentos, arquivos, contratos, propostas, printscreen, formulários.
-
Plataforma de armazenamento e transferência: Google Drive;
-
Mídia de transferência física: logística com remessa rastreável;
-
Informação física: logística com remessa rastreável.
-
-
Diretrizes de retenção e descarte para todos os registros de negócios: plataforma de gestão de documentos e ativos e DPONET (para dados pessoais);
-
Acordos de transferências específicos com partes externas: registrados via contrato ou informação documentada equivalente;
-
Seguir quaisquer requisitos legais, estatutários, regulamentares e contratuais relevantes nas transferências de informações.
As informações relacionadas a ameaças à segurança da informação são acompanhadas através de participação de grupos de alto nível sobre inteligência de ameaças e o tratamento inteligente é realizado por meio do: Antivirus Kaspersky Security Cloud: Endpoint Detection and Response – Fornece análise de causa-raiz, recursos de visualização e ações de resposta automatizadas para ameaças evasivas e desconhecidas.
O processo de desenvolvimento da DPOnet segue os requisitos e medidas de Segurança da Informação descritas no procedimento POP-DEV-002 Ciclo de vida e desenvolvimento seguro, registrado na plataforma de gestão de documentos e ativos.
Os ativos associados com informação e com os recursos de processamento da informação são identificados por meio da plataforma de gestão de documentos e ativos, incluindo o inventário destes ativos.
Ativo é qualquer elemento que tenha valor para a organização e que precise de proteção:
-
Hardware: computadores desktops, notebooks, servidores, impressoras, celulares, cartões de memória;
-
Software: licenciado e free;
-
VM (Máquina Virtual);
-
Informação: mídias eletrônicas como banco de dados, arquivos em PDF, Google Docs, Google Sheets, e outros formatos, além de papéis e outras formas;
-
Infraestrutura: Internet, eletricidade, ar-condicionado.
-
Serviços de terceiros: Plataformas SaaS de apoio ao negócio, registrado na plataforma de gestão de documentos e ativos.
-
Senhas: Plataforma Mycena Desk Center Security.
Os colaboradores e partes externas que usam ou têm acesso aos ativos da organização são conscientes dos requisitos de segurança da informação dos ativos da organização, presentes nesta política.
Eles são responsáveis pelo uso de qualquer recurso de processamento da informação e tal uso é realizado sob sua responsabilidade.
-
comportamentos esperados e inaceitáveis dos colaboradores do ponto de vista de segurança da informação:
-
Proibida a utilização da internet para uso pessoal;
-
Proibida a utilização de redes sociais pessoais, exceto para projetos relacionados ao Marketing;
-
-
uso permitido e proibido de informações e outros ativos associados.
-
Proibida a utilização de informação de negócio para uso pessoal;
-
Proibida a transferências de informações de negócios por canais não homologados pela organização;
-
-
atividades de monitoramento que estão sendo realizadas pela organização:
-
Software de monitoramento de acessos: acessos por VPN são monitorados pelo Firewall, Google Workspace e Mycena(para monitoramento de usabilidade);
-
Todos os colaboradores e partes externas devem devolver todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.
A devolução dos ativos é registrada por meio do termo de devolução disponibilizado pelo RH, no ato da rescisão contratual. Como exceção, os colaboradores ou parceiros que não residam na cidade de Marília-SP terão um prazo de 10 dias para a devolução dos ativos que estejam em sua posse, através de logística com remessa rastreável e segura, com a nota fiscal de compra, que deverá ser solicitada ao RH;
Os colaboradores e partes externas que usam os sistemas e serviços de informação da organização, devem registrar e notificar quaisquer fragilidades de segurança da informação, suspeita ou observada, nos sistemas ou serviços por meio de e-mail, telefone, ticket ou no Registro de Incidente de Segurança da Informação. A notificação é recebida pela equipe de Segurança da Informação e posteriormente segue para avaliação.
Os eventos de segurança da informação são avaliados e é decidido se eles são classificados como incidentes de segurança da informação. Se classificado como incidente é realizado a abertura de ação corretiva / ação preventiva (PMC) na plataforma de gestão de documentos e ativos.
Os incidentes de segurança da informação são reportados para pessoas relevantes da organização, ou ainda, partes externas.
Convém que a notificação, quando possível, inclua os seguintes itens:
-
contenção, se as consequências do incidente podem se espalhar, dos sistemas afetados pelo incidente;
-
coleta de evidências o mais rápido possível após a ocorrência;
-
escalonamento, conforme necessário, incluindo atividades de gestão de crises e possivelmente invocação de planos de continuidade de negócios;
-
garantia de que todas as atividades de resposta envolvidas sejam devidamente registradas para análise posterior;
-
comunicação da existência do incidente de segurança da informação ou quaisquer detalhes relevantes deles a todas as partes interessadas internas e externas relevantes seguindo o princípio da necessidade de conhecer;
-
coordenação com partes internas e externas, como autoridades, grupos de interesse externo e fóruns, fornecedores e clientes para melhorar a eficácia da resposta e ajudar a minimizar as consequências para outras organizações;
-
uma vez que o incidente foi tratado com sucesso, formalmente fechá-lo e registrá-lo;
-
análise forense de segurança da informação, conforme necessário;
-
análise pós-incidente para identificar a causa-raiz. Assegurar que seja documentada e comunicada de acordo com os procedimentos definidos;
-
identificação e gestão de vulnerabilidades e fragilidades de segurança da informação, incluindo aquelas relacionadas com os controles que causaram, contribuíram ou falharam em prevenir o incidente.
A DPOnet usa o conhecimento adquirido com incidentes de segurança da informação para fortalecer e melhorar os controles, identificando incidentes recorrentes ou graves e suas causas para atualizar o processo de avaliação de risco de segurança da informação e determinar e implementar controles adicionais necessários para reduzir a probabilidade ou as consequências de futuros incidentes semelhantes.
-
a cadeia de custódia;
-
a segurança da evidência;
-
a segurança das pessoas;
-
papéis e responsabilidades das pessoas envolvidas;
-
competência do pessoal;
-
documentação;
-
resumo do incidente.
-
os registros estão completos e não foram adulterados de forma alguma.
-
as cópias de evidências eletrônicas são provavelmente idênticas aos originais.
-
qualquer sistema de informação a partir do qual as evidências foram coletadas estava operando corretamente no momento em que a evidência foi registrada.
A coleta de evidências deve considerar:
A DPOnet possui planejamento para manter a segurança da informação em um nível apropriado durante a disrupção, sendo realizado por meio do Plano de Continuidade de Negócio.
A prontidão de TIC é realizada no Plano de Continuidade de Negócio por meio do BIA (Business Impact Analysis).
A organização implementa os seguintes procedimentos para proteger os direitos de propriedade intelectual:
-
adquirir software somente por meio de fontes conhecidas e confiáveis, para assegurar que os direitos autorais não sejam violados;
-
manter registros apropriados de ativos e identificar todos os ativos com requisitos de proteção de direitos de propriedade intelectual;
-
manter provas e evidências de propriedade de licenças, manuais etc.;
-
assegurar que qualquer número máximo de usuários ou recursos (por exemplo, CPU) permitidos dentro da licença não seja excedido;
-
realizar análises críticas para assegurar que apenas softwares autorizados e produtos licenciados sejam instalados;
-
manter o compliance dos termos e condições de software e informações obtidas de redes públicas e fontes externas;
-
não duplicar, converter para outro formato ou extrair de gravações comerciais (vídeo, áudio) outro além do permitido pela lei de direitos autorais e as licenças aplicáveis;
-
não copiar, total ou parcialmente, normas (por exemplo, normas internacionais ISO/IEC), livros, artigos, relatórios ou outros documentos, além do permitido pela lei de direitos autorais e as licenças aplicáveis.
A informação recebe um nível adequado de proteção, de acordo com a sua importância para a organização. A responsabilidade de classificação é do proprietário do ativo. Os níveis de classificação são:
-
Público: quando sua divulgação não causa nenhum dano;
-
Uso Interno: quando a divulgação causa constrangimento ou inconveniência operacional;
-
Confidencial: quando a divulgação tem um sério impacto sobre os objetivos estratégicos de longo prazo, ou coloca a sobrevivência da organização em risco.
A classificação e o rótulo do ativo são registrados na plataforma de gestão de documentos e ativos.
Os procedimentos de operação são documentados e disponibilizados a todos os usuários que necessitem deles, por meio da lista mestra de documentos e registros na plataforma de gestão de documentos e ativos.
9 – CONTROLE DE PESSOAS
9.1 Informação documentada
A informação documentada relacionada a controle de pessoas está formalizada por meio da plataforma de gestão de documentos e ativos:
-
Política de Compliance;
-
Procedimento de Onboarding de Colaboradores;
-
Política de Departamento Pessoal;
-
Política de Benefícios;
-
Política de Remunerações;
-
Política de Reembolsos de Despesas;
10 – CONTROLES FÍSICOS
10.1 Segurança Física e o Ambiente
Os perímetros de segurança onde há manipulação de informações são definidos e usados para proteger tanto as áreas que contenham informação e outros ativos associados.
-
Portaria entrada e saída com senha;
-
Câmera de monitoramento externo;
-
Alarme;
-
Portas protegidas contra acesso não autorizado;
-
Janelas protegidas contra acesso não autorizado;
-
Barreiras.
Para evitar acesso físico não autorizado, a DPOnet dispõe de:
-
Fechaduras;
-
Registro de entrada e saída para visitantes;
-
Registro de entrada e saída para colaboradores;
-
Visitantes devem ser supervisionados, a menos que uma exceção documentada seja concedida.
As áreas seguras são protegidas por controles de entradas por meio de:
-
Edifício discreto para evitar a identificação de presença de atividades de tratamento de informação;
-
Não divulgar ramais internos e mapas online;
Os escritórios, salas e instalações são protegidas por meio de:
-
Vídeo monitoramento;
-
Alarme de intrusos;
-
Detectores de movimento;
-
Detectores sonoros;
-
Sensores infravermelho;
Para detectar e impedir o acesso físico não autorizado o monitoramento inclui:
-
Programa de Gerenciamento de Riscos (PGR);
-
Auto de Vistoria do Corpo de Bombeiros (AVCB);
-
Proteção de sobrecarga elétrica (para-raio).
São projetadas e aplicadas proteção física contra desastres naturais, ameaças físicas intencionais ou não intencionais por meio de proteções prevista:
As salas da direção são consideradas áreas seguras, não sendo monitoradas por câmeras e não é permitido a utilização de dispositivos de gravação de áudio e imagem por pessoas externas.
11 – CONTROLES TECNOLÓGICOS
11.1 Configuração e Manuseio Seguros de Dispositivos Endpoint do Usuário
Todos os ativos utilizados pela organização, quando aplicáveis, possuem controles de endpoints. Os endpoints são controlados por meio de: firewall, antivírus, antimalware e vault.
11.2 Direitos de Acessos Privilegiados
Os equipamentos da DPOnet possuem dois perfis:
O Perfil Administrador tem direitos de acesso privilegiados para instalação de software e ajustes no sistema da DPOnet, sendo aplicável para os processos.
O Perfil Colaborador é destinado ao uso pelos colaboradores e é configurado para restringir a capacidade de efetuar alterações no equipamento e nos sistemas da DPOnet.
O Controle de acesso é realizado por meio da plataforma de Gestão.
11.3 Segurança de Redes
A rede da DPONET é gerenciada e controlada para proteger as informações nos sistemas e aplicações. Os controles são implementados para garantir a segurança da informação nestas redes, e a proteção dos serviços a elas conectadas, de acesso não autorizado, considerados os seguintes pontos:
-
as responsabilidades e procedimentos sobre o gerenciamento de equipamentos de rede são apenas da equipe de Tecnologia da DPONET ou terceiros autorizados;
-
são aplicados mecanismos apropriados de registro e monitoração para habilitar a gravação e detecção de ações que possam afetar, ou ser relevante para a segurança da informação;
-
os sistemas sobre as redes são autenticados;
-
a conexão de sistemas à rede é restrita, em alguns casos controlados pelo Firewall;
-
o Firewall Appliance permite a criação de regras de restrição de conexões de entrada e saída, filtros de aplicativos e conteúdo;
-
a rede WI-FI está inserida na Proteção do Firewall e possui segregação e limitação de acessos. Para conexão com a nuvem computacional é utilizada uma VPN disponibilizada apenas a colaboradores que tem a necessidade de atuar na aplicação como time de desenvolvimento e produto do DPONET;
-
a segregação de redes temos apenas rede sem fio na sede, que está segregada em uma rede corporativa e outra de visitante/hotspot.
11.4 Backup
As cópias de segurança das informações, softwares e das imagens do sistema, são efetuadas e testadas regularmente. As seguintes diretrizes são adotadas:
-
registros completos e exatos das cópias de segurança;
-
a abrangência e a frequência da geração das cópias de segurança refletem os requisitos de negócio da DPONET, além dos requisitos de segurança da informação envolvidos e a criticidade da informação para a continuidade da operação da DPONET;
-
os backups são regularmente testados para garantir que eles são confiáveis no caso do uso emergencial;
-
em situações onde a confidencialidade é importante, convém que cópias de segurança sejam protegidas através de criptografia.
11.5 Criptografia e Gerenciamento de Chaves
O uso de criptografia na DPONET deve ser atrelado às seguintes diretrizes:
-
a abordagem do gerenciamento de chaves, incluindo métodos para lidar com a proteção das chaves criptográficas e a recuperação de informações cifradas, no caso de chaves perdidas, comprometidas ou danificadas;
-
o impacto do uso de informações cifradas em controles que dependem da inspeção de conteúdos, antes de cifrar uma informação deve-se passar por um processo de detecção de códigos maliciosos.
Na DPONET os controles criptográficos podem ser usados para alcançar diferentes objetivos de segurança, como por exemplo:
-
confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
-
integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
-
não-repúdio: usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação, implicando no uso de certificados digitais preferencialmente no padrão ICP/Brasil;
-
autenticação: usando técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos.
O cenário da DPOnet que são protegidos por criptografia, utilizando protocolos reconhecidos como padrão:
-
Criptografia no ambiente de rede interna;
-
VPN para conexão a nuvem computacional;
-
E-mail corporativo;
-
Aplicação DPONET: Certificado digital.
11.6 Gestão de Vulnerabilidades Técnicas
As informações sobre vulnerabilidades técnicas dos sistemas de informação em uso, são obtidas em tempo hábil, com a exposição da DPONET a estas vulnerabilidades avaliadas e tomadas as medidas apropriadas para lidar com os riscos associados por meio de varredura de vulnerabilidades automatizadas.
11.7 Desenvolvimento Seguro
As regras para o desenvolvimento de sistemas e software são estabelecidas e aplicadas aos desenvolvimentos realizados dentro da DPONET, e registrado na plataforma de gestão de documentos e ativos com o nome POP-DEV-002 Ciclo de Vida Desenvolvimento Seguro, abordando os aspectos considerados:
-
segurança do ambiente de desenvolvimento;
-
orientações sobre a segurança no ciclo de vida do desenvolvimento do software:
-
segurança na metodologia de desenvolvimento do software;
-
diretrizes de códigos seguros para cada linguagem de programação usada.
-
-
requisitos de segurança na fase do projeto;
-
pontos de verificação de segurança no cronograma do projeto;
-
repositórios seguros;
-
acesso ao código fonte registrado na plataforma de gestão de documentos e ativos;
-
segurança no controle de versões;
-
conhecimentos de segurança de aplicações;
-
capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidades;
-
separação dos ambientes de desenvolvimento, teste e produção;
-
testes de segurança em desenvolvimento, aceitação e informações de teste;
11.8 Logs de Atividades e Monitoramento
Os eventos são monitorados:
-
Nuvem computacional: Monitoramento de disponibilidade da aplicação e ambientes da plataforma DPONET em nuvem por meio do serviço Uptime robot;
-
A aplicação DPONET tem como registro de atividades, os logs de alteração de registro, logs de acesso e de eventos;
-
Logs registrados com maiores detalhes pelo Firewall, rede Wi-Fi e Switch;
-
Anti-malware Kaspersky: Registro de ameaças em arquivos, e-mails e na web;
-
Firewall Appliance: monitoramento do tráfego de entrada e saída da rede da sede.
A aplicação DPONET é monitorada continuamente para detectar cenários de indisponibilidade e expiração de certificados digitais.
11.9 Conscientização
O Comitê Gestor de Privacidade e de Segurança da Informação da DPOnet, dentro de suas responsabilidades, deverá promover a todos os colaboradores e vinculados à DPOnet que utilizam ativos de informação, a conscientização a respeito dos procedimentos de segurança da informação de forma periódica, por meio de eventos, treinamentos, palestras, campanhas, workshops e demais medidas educativas.
11.10 Plano de Continuidade de negócios
A gestão da continuidade do negócio deve estar incorporada aos processos e a estrutura organizacional da DPOnet junto com o Responsável de TI, a elaboração, aprovação e implementação dos planos que garantam o fluxo de informações necessárias à continuidade das atividades críticas e o retorno à situação de normalidade.
11.11 Mesa limpa e Tela limpa
A política de mesa limpa e tela limpa se refere a práticas relacionadas a assegurar que informações sensíveis, tanto em formato digital quanto físico, e ativos (e.g., notebooks, celulares, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo ou ao final do dia.
Visando a redução dos riscos de acesso não autorizado a informações, perda ou danos a informações, devem ser adotadas pelos colaboradores da DPOnet, a política que visa a inexistência de papéis e outras mídias sobre as mesas e a inexistência de informações disponíveis por muito tempo em telas de computador, durante e após o horário normal de trabalho. Desta forma, em conformidade com a ISO 27002:
-
Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa desnecessariamente, devem ser armazenados em armários ou gavetas trancados, quando não estiverem em uso, especialmente fora do horário de expediente.
-
Deve acionar o bloqueio de tela quando afastar-se do ambiente de trabalho, independente do período ausente.
-
Guardar agendas e cadernos de anotações numa gaveta trancada.
-
Nunca anote senhas em papéis, as senhas devem ser memorizadas ou armazenadas em locais seguros.
-
Anotações, recados e lembretes não devem ser deixados à mostra sobre a mesa ou colados em paredes, divisórias, murais, ou no monitor do computador e na tela do notebook.
-
Evite a impressão de documentos sensíveis de maneira desnecessária, caso o documento for apenas para leitura, leia-o na tela do dispositivo.
-
Documentos impressos devem ser removidos imediatamente da impressora após a impressão.
-
Destrua completamente os documentos impressos que contenham informações sensíveis caso for jogá-los fora, de maneira que a leitura não seja possível.
-
Ao final do expediente, ou no caso de ausência prolongada do local de trabalho, limpar a mesa de trabalho, guardar os documentos, trancar as gavetas e armários, e desligar o computador.
12 – RESPONSABILIDADES
Em regra, cabe a todos os Diretores, Colaboradores, Usuários, Clientes, Parceiros, Fornecedores, e demais partes interessadas da DPOnet:
-
Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da DPOnet;
-
Realizar os treinamentos obrigatórios disponibilizados pela DPOnet;
-
Proteger as informações contra acessos, modificações, destruição ou divulgação não autorizada pela DPOnet;
-
Assegurar que os recursos tecnológicos, as informações e sistemas a sua disposição sejam utilizados apenas para as finalidades aprovadas pela DPOnet;
-
Comunicar imediatamente à área de Segurança da Informação sobre qualquer descumprimento ou violação desta Política e/ou Normas ou Procedimentos, pelo e-mail: si@dponet.com.br respectivamente, bem como reportar àqueles quaisquer incidentes de Segurança da Informação.
-
Aprovar esta Política de Segurança da Informação.
-
Monitorar os recursos e os ambientes sob a sua responsabilidade, com o objetivo de garantir a proteção contra as possíveis ameaças e o uso inadequado, assim como mantê-los em dia com as suas atualizações e com as mudanças na legislação e/ou nos requisitos do negócio.
-
Elaboração e revisão de Políticas, Procedimentos Operacionais (POPs) e manuais;
-
Gerenciar os controles e as ferramentas de Segurança da Informação, assim como tratar os incidentes, problemas, mudanças e quaisquer requisições e/ou reportes relacionados à Segurança da Informação;
-
Promover junto ao Comitê Gestor de Privacidade de Dados e Segurança da Informação a conscientização e cultura em Segurança da Informação.
-
Assessorar na implementação das ações de segurança da informação e comunicações na DPOnet;
-
Constituir grupos de trabalho para tratar temas e propor soluções específicas sobre segurança da informação e comunicações;
-
Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações, em conformidade com a PSI e regulamentos existentes sobre o tema.
-
O Comitê Gestor de Privacidade de Dados e Segurança da Informação (CGPSI) é constituído por meio de um representante de cada área existente da DPOnet.
-
Disseminar a cultura em Segurança da Informação por meio do exemplo, verificando o cumprimento dos controles, bem como orientando os colaboradores e estagiários sob sua gestão;
-
Definir os privilégios de acesso dos colaboradores e estagiários sob sua gestão de acordo com as atividades que desempenham.
-
Tomar conhecimento e cumprir as diretrizes desta PSI.
Diretoria
Área de Tecnologia da Informação
Área de Segurança da Informação
Comitê Gestor de Privacidade de Dados e Segurança da Informação
Gestores
Terceiros e fornecedores
13 – SANÇÕES
Nos casos em que houver o descumprimento ou violação de um ou mais itens da PSI ou de suas Normas, procedimentos ou atividades pertinentes à Segurança da Informação os infratores estarão sujeitos a sindicâncias e processos administrativos, bem como as penalidades previstas na legislação e regulamentos internos aplicáveis.
14 – AUDITORIA
Deve ser realizada, com periodicidade mínima anual, a verificação da conformidade das práticas de SI da DPOnet desta PSI e procedimentos complementares, bem como com a legislação específica de SIC.
A área de Tecnologia da Informação deve identificar a necessidade de geração de logs e seu nível de detalhamento nos sistemas e ambientes sob sua responsabilidade, bem como a periodicidade de realização de auditoria dos logs gerados.
A verificação de conformidade poderá combinar ampla variedade de técnicas, tais como análise de documentos, análise de registros (logs), análise de código-fonte, entrevistas e testes de invasão.
A verificação da conformidade será realizada de forma planejada, mediante calendário de ações proposto pelo Comitê Gestor de Privacidade de Dados e Segurança da Informação (CGPSI).
Os resultados de cada ação verificada nos ambientes da DPOnet serão documentados em relatório de avaliação de conformidade, o qual será encaminhado aos Gestores das áreas, para ciência e tomada das ações cabíveis.
15 – DISPOSIÇÕES GERAIS
Os integrantes do CGPSI (Comitê Gestor de Privacidade de Dados e Segurança da Informação) são responsáveis por conhecer e entender toda a documentação orientadora aplicável a eles. Da mesma forma, os Diretores e Gestores de cada área da DPOnet são responsáveis por garantir que todos os seus colaboradores entendam e sigam as documentações orientadoras aplicáveis da DPOnet.
A Política de Segurança da Informação, Normas, Procedimentos e Termos complementares enunciados no item 9 fazem parte do presente documento, com o intuito de mantê-lo operacional, aplicável e auditável, tendo em vista a característica dinâmica da Segurança da Informação.
Os colaboradores que apresentem dúvidas ou preocupações com relação a esta Política, os termos ou as obrigações deste documento, devem entrar em contato com a área de Segurança da Informação ou Comitê Gestor de Privacidade de Dados e Segurança da Informação.
16 – DIVULGAÇÃO
A PSI e suas atualizações, bem como as normas complementares, devem ser divulgadas a todos os colaboradores que habitualmente trabalham na DPOnet ou com a DPOnet. A disponibilização será por meio de envio de comunicação pelo canal de comunicação geral, contendo o link para acesso desta PSI, permanentemente disponibilizada em pasta geral compartilhada com o e-mail corporativo de todos os colaboradores.
17 – VIGÊNCIA
Esta política de Segurança da Informação entra em vigor na data da aprovação.
Integrante(s) envolvido(s): Diretores, Comitê Gestor de Privacidade de Dados e Segurança da Informação da DPOnet.
18 – REFERÊNCIAS
-
NBR/ISO/IEC 27000:2018 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos;
-
ABNT NBR ISO/IEC 27001:2022 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos;
-
ABNT NBR ISO/IEC 27701:2019 Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;
-
Lei nº 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro;
-
Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação (LAI);
-
Lei nº 12.965, de 23 de abril de 2014, Marco Civil da Internet (MCI);