Política de privacidade

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

Introdução
A Política de Segurança da Informação (PSI), é o documento que orienta e estabelece as diretrizes corporativas da VILASA para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os colaboradores e usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.

A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27006:2015, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes, inclusive a lei 13.709/2018 LGPD – Lei Geral de Proteção de Dados de 2018.

E para que esta importante ferramenta seja utilizada da melhor forma, com a proteção de que a VILASA necessita, precisamos adotar uma correta postura em relação à sua segurança. Com este objetivo, queremos oficializar a Política de Segurança da Informação da VILASA, um conjunto de princípios de segurança que valorizam e definem o tratamento adequado da informação e dos recursos tecnológicos da corporação.

A implantação da Política de Segurança da Informação coloca à disposição de todos as regras para o desempenho de nossas atividades relacionadas à utilização de recursos computacionais e está disponível na Intranet VILASA.

Diretrizes
A Política de Segurança da Informação objetiva proteger a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

A segurança da informação é aqui caracterizada pela preservação da:

a) Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
b) Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
c) Disponibilidade, a Política de Segurança da Informação deve ser divulgada a todos os funcionários e dispostas de maneira que seu conteúdo possa ser consultado a qualquer momento.

Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não-intencional, acidentes e outras ameaças.

É fundamental para a proteção e salvaguarda das informações que os usuários adotem a ação de Comportamento Seguro e consistente, com o objetivo de proteção das informações, devendo assumir atitudes proativas e engajadas no que diz respeito à proteção das informações.

O usuário, após a assinatura do Termo de Autorização, Responsabilidade e Confidencialidade, terá uma identificação única, pessoal e intransferível que ficará armazenada nos sistemas todas às vezes em que a informação for acessada, modificada ou eliminada.

A administração de segurança será exercida por um comitê (DPO – Data Protection Officer), que cuidará de todos os aspectos referentes à implementação e manutenção dos projetos de segurança da informação. Mas lembre-se: cuidar da Segurança da Informação da VILASA é uma responsabilidade de todos!

O não-cumprimento destas regras é considerado falta grave, sujeitando o infrator a uma ação disciplinar apropriada, podendo, inclusive, motivar demissão por justa causa.

Área de aplicação
A Política de Segurança da Informação deve ser seguida e respeitada em toda a VILASA, por todos os colaboradores e profissionais, pessoas físicas ou representantes de empresas prestadoras de serviço, usuário dos recursos e equipamentos conectados à rede de computadores da empresa ou dos meios convencionais de processamento, comunicação e guarda de informações. Todos deverão assinar o Termo de Autorização, Responsabilidade e Confidencialidade que receberão juntamente com este manual.

Normas Gerais
A conduta adequada à garantia de segurança das informações é norteada por um conjunto de regras que devem ser observadas por todos aqueles que têm acesso às informações da VILASA, sejam eles colaboradores ou prestadores de serviços.

Informações que forem classificadas pelo gestor como confidenciais ou estratégicas deverão ser mantidas em sigilo por aqueles que tiverem direito de acesso e serão armazenadas em rotina de backup, quando necessário.

O Departamento de Tecnologia da Informação (TI) tem um papel fundamental na garantia da segurança da informação e por isso valida e homologa todos os programas, softwares e equipamentos utilizados na VILASA. Não são permitidas cópias de software não-licenciados, alterações de configuração das estações de trabalho ou quaisquer tipos de modificação tecnológica no ambiente informatizado sem prévia autorização da área de TI.

Todos os serviços, softwares, produtos, derivados de rede de dados, treinamento, desenvolvimento e consultoria, relacionados à informática devem ser submetidos à apreciação prévia da área de TI, que deverá providenciar uma análise detalhada da necessidade e aderência ao ambiente operacional da VILASA.

Não é permitida a duplicação, empréstimo, transferência ou retirada de softwares para outros equipamentos, dentro ou fora da empresa. O remanejamento e solicitação de novas estações de trabalho e ramais devem ser previamente solicitados e realizados por um profissional do DIN (Departamento de Informática).

Não é permitido o uso de jogos e protetores de tela (exceto aqueles distribuídos via GPO). A utilização de programas de licença gratuita (freewares), de validade temporária (sharewares) ou fornecidos como demonstração (demos) somente poderão ser instalados em caso de comprovada necessidade para o negócio, de forma legal e suportada por autorização formal do gestor da área demandante e TI, desde que não haja programas ou softwares para a mesma finalidade já adquiridos ou homologados pela empresa.

Proteger os equipamentos sob custódia e desligá-los ao final do expediente é dever de todos os usuários.

Normas de Internet
A internet deve ser utilizada exclusivamente para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa vir a contribuir para o desenvolvimento de atividades relacionadas à empresa. Conforme Lei 12.965/2014, todo acesso à internet é monitorado e arquivado em logs, por usuário.

Correio eletrônico
Observar as regras de conduta é fundamental para a utilização do Correio Eletrônico, já que as mensagens enviadas através da VILASA não são consideradas como informações particulares. Assim sendo, a VILASA tem o direito de monitorar e auditar as mensagens de correio eletrônico, enviadas e/ou recebidas.

Mensagens enviadas a todos os usuários internos deverão sempre estar relacionadas às rotinas de trabalho, conter informações aplicáveis a todos os destinatários relacionados no envio e não deverão conter anexos de tamanho superior a 20 Megabytes. Avaliar se as mensagens enviadas de forma coletiva, devem ser respondidas somente ao remetente.

O envio de mensagens a destinatários externos a VILASA, assim como uso do Webmail, é liberado somente as funções que necessitam dessa funcionalidade.

É terminantemente proibido:

  • Envio de e-mails contendo comentários difamatórios, ofensivos, racistas ou obscenos,
    correntes, piadas, anexos de filmes, executáveis, músicas ou imagens indevidas;
  • Informações sigilosas de propriedade da VILASA e arquivos de projetos (formato .dwg e similares). Caso seja necessário obter autorização a nível de diretoria.
  • Forjar ou tentar forjar mensagens de e-mail, ou disfarçar ou tentar disfarçar sua identidade quando enviando um e-mail;
  • Abrir ou compartilhar anexos não seguros, duvidosos ou desconhecidos;
  • Alterar assinatura, fonte ou fundo padrão das mensagens.

Os arquivos anexados não poderão exceder 20 Mb de tamanho, ou 50 destinatários simultaneamente. É proibido a utilização e envio de mensagens em nome de outros.

Seu e-mail possui uma assinatura padrão, contendo seu nome, função, ramal e endereço de sua unidade, que são gerados automaticamente. Não altere os dados de sua assinatura. Em caso de correções ou ajustes, acione o suporte de TI.

Não altere o fundo padrão das mensagens e evite uso de emoticons e gírias.

Auditoria
A VILASA realiza monitoramento automático de registros de navegação de Internet, dos sistemas aplicativos e dos softwares instalados nas estações de trabalho, respeitando a confidencialidade sobre o conteúdo dos itens auditados, mas dispensando, em razão da divulgação desta Política, toda e qualquer notificação prévia ao emissor ou receptor da comunicação.

Identificação
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a VILASA e/ou terceiros.

O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade). Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.

Todos os dispositivos de identificação utilizados na VILASA, como o número de registro do colaborador, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal). Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

Cabe ao TI efetuar a criação da identidade lógica dos colaboradores na instituição. Devem ser distintamente identificados os visitantes, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.

Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.

É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

Como forma de proteção de senha, sugerimos não fazer parte da formação da senha do usuário:

  • Seu nome e suas iniciais;
  • Sua conta de usuário;
  • Nomes de famílias, de membros de sua família ou de amigos;
  • Nomes próprios, de pessoas ou lugares em geral;
  • Nome de empresa ou departamentos;
  • Nome do sistema operacional ou de sua máquina que está sendo utilizada, entre outros;
  • Números de telefones, cartão de créditos, carteira de identidade ou de outros documentos pessoais;
  • Placas ou marcas de carro, letras ou números repetidos, letras seguidas do teclado e objetos ou locais que podem ser vistos a partir da sua mesa (nome de um livro na estante, nome de uma loja vista da janela e outros).

Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com o suporte de Informática.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação,
a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

A responsabilidade pela guarda e utilização das senhas é do próprio usuário, sendo este responsável pela utilização dos recursos de computadores acessados através de sua senha.

Caso o colaborador esqueça sua senha, ele deverá requisitar uma nova ao suporte de Informática.

Computadores e recursos tecnológicos
Os equipamentos disponíveis aos colaboradores são de propriedade da VILASA, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição. Ao ausentar-se de sua estação de trabalho, bloqueio seu computador (CTRL + ALT + DEL).

É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um profissional da Informática.

Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.

Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável.

A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a
classificação de tal informação e com a real necessidade do destinatário.

O sistema de impressão é corporativo, todos os documentos impressos são vinculados ao usuário. Imprima somente o que for necessário para execução de sua rotina de trabalho, evite desperdícios. Ao imprimir, retire imediatamente o documento impresso. Suprimentos e tonners são fornecidos pelo TI.

Informações finais
De acordo com a Política de Segurança da Informação, sempre que o usuário encontrar informações, aplicações ou procedimentos críticos sem o tratamento de segurança correto, deverá informar seu superior imediato para que sejam tomadas as providências necessárias.
O colaborador deverá informar prontamente sobre qualquer uso ou revelação indevida da informação ou qualquer outra forma que caracterize o descumprimento desta Política.

Se existir quaisquer evidências que você não está aderindo às regras citadas nessa política, a empresa se reserva ao direito de tomar medidas disciplinares, incluindo demissão por justa causa e/ou ação judicial.

Ética
A VILASA incentiva a todos, inclusive quaisquer terceiros, a fiscalizar o cumprimento dos seus
princípios éticos e, dessa forma, denunciar qualquer ação que contenha desvios.