___________________________________________________________________________
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO – PSI
Institui a Política de Segurança da Informação - PSI do INSTITUTO DE PREVIDÊNCIA DO MUNICÍPIO DE MEDIANEIRA – IPREMED, e dá outras providências.
- INTRODUÇÃO
A Política de Segurança da Informação, ou simplesmente “PSI” é um documento que orienta e estabelece as diretrizes corporativas do Instituto de Previdência do Município de Medianeira - IPREMED para a proteção dos ativos de informação e prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas.
A presente Política de Segurança da Informação está baseada nas recomendações da norma ABNT NBR ISO/IEC 27005:2008, reconhecida mundialmente como um código de prática para a gestão da segurança da informação.
A informação é um ativo de grande valor para o IPREMED, por isso, necessita ser adequadamente protegida.
- OBJETIVOS
Estabelecer e difundir diretrizes e princípios que permitam aos agentes públicos, fornecedores e prestadores de serviços do IPREMED seguirem padrões de comportamento relacionados à segurança da informação com vistas à orientação para uso e proteção adequados das informações produzidas e custodiadas pelo Instituto, preservando sua disponibilidade, integridade, confidencialidade e autenticidade.
- Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
- Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Garantir que os recursos tecnológicos como, por exemplo, computadores, telefones, equipamentos, periféricos, dispositivos de armazenamentos, rede local de computadores, sistemas de gestão, correio eletrônico, internet, serviços relacionados à Tecnologia da Informação - TI entre outros serão utilizados de maneira adequada e segura evitando exposição de informações que possa prejudicar o IPREMED, os agentes públicos, os colaboradores ou terceiros.
Nortear a elaboração de normas e procedimentos específicos de segurança da informação, para preservar os interesses do IPREMED, bem como a colaborar para a implementação de controles e processos para seu atendimento.
- APLICAÇÕES
As diretrizes aqui estabelecidas deverão ser seguidas por todos os agentes públicos, bem como os fornecedores e prestadores de serviço que mantém qualquer relação com as informações do Instituto
Esta política dá ciência a cada agente público, fornecedor e prestador de serviços de que os ambientes, sistemas, computadores e redes poderão ser monitorados e gravados, conforme previsto nas leis brasileiras.
É também obrigação de cada agente público se manter atualizado em relação a esta política e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da área de tecnologia de informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
Toda informação produzida ou recebida pelos agentes públicos como resultado da atividade profissional contratada pelo IPREMED pertence à referida instituição.
As exceções devem ser explícitas e formalizadas em contrato entre as partes. Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos servidores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido dentro dos limites cabíveis, desde que não prejudique o desempenho dos sistemas e serviços.
O IPREMED, por meio da equipe de tecnologia de informação (CPD da Prefeitura ou outro órgão que venha a substituir ou, ainda, algum órgão criado ou autorizado pelo instituto) poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
- DAS RESPONSABILIDADES ESPECÍFICAS
- DOS AGENTES PÚBLICOS E FORNECEDORES EM GERAL
Consideram-se agente público o agente político, o servidor público e todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função exerça alguma atividade dentro ou fora da instituição.
Entende-se por fornecedor toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços ou qualquer outra atividade dentro ou fora da instituição.
Será de inteira responsabilidade de cada agente público ou fornecedor todo prejuízo ou dano que vier sofrer ou causar ao IPREMED e/ou a terceiros, em decorrência da não obediência às diretrizes e normas referidas.
- DOS AGENTES PÚBLICOS EM REGIME DE EXCEÇÃO (TEMPORÁRIOS E ESTAGIÁRIOS):
Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto na Política de Segurança de Informações - PSI.
A concessão de tratamento de dados ou informações o que inclui o mero acesso poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de acesso e/ou tratamento de dados ou informações não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas nesta política.
5.1 DOS GESTORES DE PESSOAS E/OU PROCESSOS:
Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os servidores sob a sua gestão.
Atribuir aos agentes públicos, na fase de contratação, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da Política de Segurança da Informação.
Exigir dos agentes públicos a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do IPREMED.
Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta política.
5.2 DA EQUIPE DO CPD – CENTRO PROCESSAMENTO DE DADOS:
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
Configurar os equipamentos, ferramentas e sistemas disponibilizados aos servidores com todos os controles necessários para cumprir os requisitos de segurança estabelecidos por esta Política de Segurança de Informações.
Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários.
Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para o IPREMED.
Quando ocorrer movimentação interna dos ativos de tecnologia de informação, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas/departamentos.
Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
- os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário;
- os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.
Realizar auditorias periódicas de configurações técnicas e análise de riscos. Garantir, da forma mais rápida possível, através de solicitação formal, o bloqueio de acesso de usuários por incidentes, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos do IPREMED. A necessidade de formalização formal não se aplica a exoneração, aposentadoria, falecimento ou quaisquer outras formas que permita identificar de maneira clara e inequívoca que o agente público não necessita mais de acesso, como, por exemplo, exoneração através de publicação no diário oficial do município
Realizar auditorias periódicas de configurações técnicas e análise de riscos. Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de exoneração de servidor, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos do IPREMED.
Promover a conscientização dos servidores em relação à relevância da segurança da informação para as atividades precípuas do IPREMED.
Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
- DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE
Para garantir a estrita observância às regras mencionadas nesta Política de Segurança da Informação - PSI, o IPREMED poderá:
- implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ? a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
- tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou solicitação dos Diretores;
- realizar, a qualquer tempo, inspeção física nos equipamentos de sua propriedade;
- instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
- CONTROLE DO USO DE E-MAIL:
O objetivo é informar aos servidores do IPREMED quais são as atividades permitidas e proibidas quanto ao uso do e-mail corporativo.
A responsabilidade pela utilização do e-mail do IPREMED recai a todos os seus membros que efetivamente o utilizam, de modo que a averiguação de responsabilidade entre seus membros seja objetiva.
O uso do e-mail do IPREMED é para fins corporativos e relacionados às atividades do quanto à instituição.
A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso, não prejudique o IPREMED e também não cause impacto no tráfego da rede.
É proibido aos servidores o uso do e-mail do IPREMED para:
- enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
- enviar mensagem por e-mail pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
- enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou do IPREMED ou suas unidades vulneráveis a ações civis ou criminais;
- divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa concedida pelo proprietário desse ativo de informação;
- falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições;
- apagar mensagens pertinentes de correio eletrônico quando o IPREMED estiver sujeito a algum tipo de investigação;
- Utilizar o endereço de correio eletrônico corporativo para fins de cadastros pessoais e redes sociais;
- produzir, transmitir ou divulgar mensagem que:
-
- contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses do IPREMED;
-
- contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador etc.;
-
- contenha arquivos com código executável (exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente risco à segurança;
-
- vise obter acesso não autorizado a outro computador, servidor ou rede;
-
- vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
-
- vise burlar qualquer sistema de segurança;
-
- vise vigiar secretamente ou assediar outro usuário;
-
- vise acessar informações confidenciais sem explícita autorização do proprietário;
-
- vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
-
- inclua imagens criptografadas ou de qualquer forma mascaradas;
-
- tenha conteúdo considerado impróprio, obsceno ou ilegal;
-
- seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
-
- contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
-
- tenha fins políticos (propaganda política);
-
- inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
- CONTROLE DO USO DE INTERNET:
Todas as regras atuais do IPREMED visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.
Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, o IPREMED, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.
O IPREMED, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer servidor, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar ações administrativas e penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.
O uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.
Somente os servidores que estão devidamente autorizados a manifestar-se em nome do IPREMED através dos meios de comunicação poderão fazê-lo, seja por e-mail, entrevista on-line, podcast, por documento físico, entre outros.
Apenas os servidores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.
É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos, redes sociais ou qualquer outra tecnologia correlata que venha surgir na internet.
Os servidores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades no IPREMED e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas.
O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela área de tecnologia de informação.
Os servidores não poderão em hipótese alguma utilizar os recursos do IPREMED para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.
Servidores com acesso à internet não poderão efetuar upload de qualquer software licenciado à IPREMED ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.
Os servidores não poderão utilizar os recursos do IPREMED para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.
O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos específicos. Porém, os serviços de comunicação instantânea (SKYPE, WHATSAPP, redes sociais e afins) serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso o gestor ou a área de tecnologia da informação julgue necessário.
Não é permitido acesso a sites de proxy.
- CONTROLE DE ACESSO À INFORMAÇÃO SENSÍVEL DE MEIO FÍSICO:
O objetivo é prevenir o acesso não autorizado às informações sensíveis de meio físico de posse e competência do IPREMED, evitando danos e interferências.
O acesso à área em que são processadas e armazenadas as informações sensíveis de meio físico são controlados e restritos às pessoas autorizadas. O acesso não autorizado não será permitido.
O controle de retirada e/ou consulta das informações será controlado por responsável designado que fará monitoramento por meio de emissão de protocolos. As informações contidas no protocolo contam com no mínimo:
- nome e visto do servidor responsável emissor do protocolo;
- nome e visto do servidor interessado ao acesso da informação sensível de meio físico;
- a data e hora da retirada e/ou consulta da informação sensível de meio físico;
- a data e hora da devolução da informação sensível de meio físico e
- Observações Complementares.
A retirada de informações sensíveis de meio físico sem a devida emissão do protocolo não será autorizada.
Toda a informação sensível de meio físico será conferida no ato da devolução, estando sujeito à emissão de ocorrências em caso de desorganização, desleixo ou ausência de documentos.
São considerados os casos de desorganização e desleixo:
- Desordem na numeração das folhas do processo;
- Rasuras, anotações e amassados;
- Sujeiras de alimentos e bebidas.
Não é permitida a retirada de qualquer folha objeto de complemento ao arquivo de informação.
A possibilidade de fotocópia será permitida somente com a emissão do protocolo, onde deverá ser preenchido no item “Observações Complementares” as folhas que foram objeto da fotocópia.
Não é permitido a retirada de informações sensíveis de meio físico das dependências do IPREMED.
- IDENTIFICAÇÃO:
Os dispositivos de identificação e senhas protegem a identidade do servidor usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante o IPREMED e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307–falsa identidade). Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os servidores.
Todos os dispositivos de identificação utilizados no IPREMED, como o número de registro do colaborador, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma única pessoa física.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal). Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante o IPREMED e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.
É proibido o compartilhamento de login para funções de administração de sistemas.
A área de tecnologia de informação responde pela criação da identidade lógica dos servidores na instituição.
Devem ser distintamente identificados os visitantes, estagiários, empregados e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados).
Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.
Caso o servidor esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
- COMPUTADORES E RECURSOS TECNOLÓGICOS
Os equipamentos disponíveis aos servidores são de propriedade do IPREMED, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes dos procedimentos operacionais fornecidos pelas gerências responsáveis.
É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um servidor da área de tecnologia de informação, ou de quem este determinar.
A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.
Arquivos pessoais e/ou não pertinentes às atividades do IPREMED não deverão ser copiados movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente sem comunicação prévia ao usuário.
Documentos imprescindíveis para as atividades dos servidores da instituição deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
Os servidores do IPREMED e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da área de tecnologia da informação.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:
- Os servidores devem informar qualquer identificação de dispositivo estranho conectado ao seu computador;
- É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado pela área de tecnologia de informação ou por terceiros devidamente contratados para o serviço;
- Todos os modems internos ou externos devem ser removidos ou desativados para impedir a invasão/evasão de informações, programas, vírus. Em alguns casos especiais, conforme regra específica, será considerada a possibilidade de uso para planos de contingência mediante a autorização dos gestores das áreas e da área de informática;
- O servidor deverá manter a configuração do equipamento disponibilizado pelo IPREMED, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações;
- Deverão ser protegidos por senha (bloqueados) todos os terminais de computador quando não estiverem sendo utilizados;
- Todos os recursos tecnológicos adquiridos pelo IPREMED devem ter imediatamente suas senhas padrões (default) alteradas.
Situações em que é proibido o uso de computadores e recursos tecnológicos do IPREMED:
- Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
- Burlar quaisquer sistemas de segurança;
- Acessar informações confidenciais sem explícita autorização do proprietário;
- Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
- Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
- Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
- Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
- Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.
- PRIVACIDADE DA INFORMAÇÃO
Define-se como necessária a proteção da privacidade das informações, aquelas que pertencem aos seus servidores, segurados e/ou beneficiários e que são manipuladas ou armazenadas nos meios às quais o IPREMED detém total controle administrativo, físico, lógico e legal.
As diretivas abaixo refletem os valores institucionais do IPREMED e reafirmam o seu compromisso com a melhoria contínua desse processo:
- As informações são coletadas de forma ética e legal, com o conhecimento dos servidores, segurados e/ou beneficiários, para propósitos específicos e devidamente informados;
- As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;
- As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados;
- As informações somente são fornecidas a terceiros, mediante autorização prévia da Diretoria-Executiva ou para o atendimento de exigência legal ou regulamentar;
- As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais só são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes.
- DISPOSITIVOS MÓVEIS
O IPREMED deseja facilitar a mobilidade e o fluxo de informação entre seus servidores. Por isso, permite que eles usem equipamentos portáteis.
Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido pela área de tecnologia de informação, como: notebooks, smartphones e pendrives.
O objetivo é estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os servidores que utilizem tais equipamentos.
O IPREMED, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
O servidor, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão do exercício de suas funções junto ao IPREMED, mesmo depois de findo o vínculo legal com este mantido.
Todo servidor deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, mediante entrega à área de TI.
O suporte técnico aos dispositivos móveis de propriedade do IPREMED e aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela instituição.
Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação, autorização e sem a condução, auxílio ou presença de um servidor da área de tecnologia de informação.
O servidor deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados pela área de tecnologia de informação.
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante. É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes.
É responsabilidade do servidor, no caso de furto ou roubo de um dispositivo móvel fornecido pelo IPREMED, notificar imediatamente o seu gestor direto e a área de tecnologia de informação, para que possa ser registrado o Boletim de Ocorrência, quando for necessário.
O servidor deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar ao IPREMED e/ou a terceiros.
- DATACENTER
O acesso ao Datacenter somente deverá ser feito por sistema de fonte de autenticação. Por exemplo: tranca, cadeado, fechadura eletrônica, biometria, cartão magnético, entre outros.
Em casos de datacenter em nuvem, a segurança conterá controle de acesso, monitoramento por câmeras, biometria (em ambiente físico) e com sistemas de detecção de bloqueios, antivírus e backups na nuvem (em ambiente virtual).
O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um servidor da área de tecnologia da informação ou de um servidor autorizado.
O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.
Não é permitida a entrada de nenhum alimento, bebida, produto fumígeno ou inflamável.
A temperatura, umidade e ventilação das instalações que abrigam equipamentos de informática e de comunicações, devem estar de acordo com os padrões técnicos especificados pelos fabricantes dos equipamentos.
No caso de perdas de chaves de departamentos ou laboratórios a coordenação responsável deve ser informada imediatamente para que possa providenciar a troca das fechaduras.
- PROCEDIMENTOS DE BACKUP
Todos os backups devem ser automatizados por sistemas de agendamento para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
Os servidores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo, de acordo com as normas da ABNT) e distantes o máximo possível do Datacenter.
Os backup, quando realizados em meio físico, devem ser devidamente identificados, inclusive quando for necessário efetuar alterações de nome, e de preferência em etiquetas não manuscritas, dando uma conotação mais organizada e profissional.
O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do uso recomendado pelo fabricante.
O Tempo de restauração (restore) de backup deve ser observado por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 90 ou 120 dias, de acordo com a criticidade do backup.
Na situação de erro de backup e/ou restore é necessário que ele seja realizado logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema.
Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade.
Os arquivos de backup devem estar disponíveis em servidores externos de arquivo, como segunda fonte.
- VIOLAÇÃO DA POLÍTICA, ADVERTÊNCIA E PUNIÇÕES
Ao detectar uma violação da política, a primeira coisa a fazer é determinar a sua razão, ou seja, verificar se a violação ocorreu por negligência, acidente, erro ou por desconhecimento da política vigente.
Nos termos da Política de Segurança da Informação, o CPD – Centro de Processamento de Dados, procederá ao bloqueio do acesso ou ao cancelamento do usuário, caso seja detectado uso indevido com o intuito de prejudicar o andamento do trabalho ou pôr em risco a imagem da instituição.
É recomendado o treinamento dos usuários em segurança da informação, por meio de cartilhas, com o intuito de divulgar e conscientizar os funcionários e demais colaboradores sobre a política de segurança a ser seguida por todos. O programa de treinamento em segurança deve fazer parte do programa de integração de novos usuários. Os treinamentos de reciclagem devem ser previstos quando necessários.
Caso seja necessário advertir o usuário pelo não cumprimento das normas estabelecidas neste documento, devem ser informados o superior imediato e o departamento de Recursos Humanos para interagir e manterem-se informados da situação.
Conforme previsto no estatuto do servidor e no código de ética do IPREMED, o agente público poderá ser penalizado no caso de irregularidade comprovada.
De acordo com a infração cometida, poderão ser aplicadas as seguintes punições: comunicação de descumprimento, advertência ou suspensão e demissão.
Fica desde já estabelecido que não há progressividade como requisito para a instauração de processo administrativo disciplinar, com o objetivo de aplicar a pena que entender cabível quando tipificada a falta grave.
- DAS DISPOSIÇÕES FINAIS
Assim como a ética, a política de segurança deve ser entendida como parte fundamental da cultura interna do IPREMED. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes.
Sua elaboração e revisão deverão ser precedidos pelo responsável CPD – Centro de Processamento de Dados, sendo posteriormente aprovado por órgão superior competente.
As normas aqui descritas deverão ser atualizadas sempre que se fizer necessário, sendo que estas deverão ser registradas pelo CPD e aprovada por órgão superior competente e divulgadas pelo próprio CPD, dentro da estrutura organizacional do IPREMED considerando-se o tempo hábil para eventuais providências sejam tomadas.
- TERMO DE CIÊNCIA E CONHECIMENTO
TERMO DE CIÊNCIA E CONHECIMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI DO INSTITUTO DE PREVIDÊNCIA DO MUNICÍPIO DE MEDIANEIRA – IPREMED.
Declaro que recebi a Política de Segurança da Informação - PSI do IPREMED, estando ciente de seu conteúdo e da sua importância para o bom exercício funcional do próprio IPREMED.
A assinatura do presente Termo, é manifestação de minha concordância e do meu compromisso em cumpri-lo integralmente.
Medianeira, 15 de Agosto de 2023.
_____________________________
Marta Regiana Ribeiro Fracaro
Diretora Presidente