PRO-TI-001_rev.03_Segurança_de_Dados.pdf

Transcript

1. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 1 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI Segurança de Dados CONTROLE DE APROVAÇÃO ELABORAÇÃO ANÁLISE CRÍTICA / APROVAÇÃO CLIENTE | FISCALIZAÇÃO Marcel Ferreira (Analista de TI - TI) Debora Montenario (Gerente de Administrativo) N/A (--------------) C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

2. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 2 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI ESTRUTURA 1. Escopo; 2. Objetivo; 3. Aplicação; 4. Responsabilidade; 5. Termos e definições; 6. Detalhamento; 7. Documentos de Referência; 8. Formulários; 9. Controle de Alterações. 1 - ESCOPO Metodologia aplicada pelo setor de Tecnologia da Informação (TI) para proteger os dados contra o acesso não autorizado e a corrupção durante todo o ciclo. A segurança de dados inclui criptografia de dados e práticas de gerenciamento de chaves que protegem dados em todos os aplicativos e plataformas. 2 - OBJETIVO Garantir que todas as medidas tomadas tenham a finalidade de preservar as informações que os usuários compartilham na internet e em outros meios de comunicação utilizados pela Vertical Group. Essas medidas podem ser preventivas ou reativas, visando proteger as informações de roubos, modificações não autorizadas ou acessos maliciosos de terceiros. Além disso tem como propósito definir a utilização aceitável dos dados, das informações sigilosas e intelectuais da empresa e/ou de clientes, segurança dos equipamentos de informática e/ou qualquer Sistema de Informação da Vertical Group. 3 - APLICAÇÃO Este procedimento abrange a todo tipo de informação intelectual, dados, sistemas, serviços computacionais e abrange todos os sistemas e equipamentos de propriedade da Vertical Group, sendo aplicável a todos os usuários de sistemas de dados e serviços computacionais da Vertical Group. 4 - RESPONSABILIDADE 4.1 - SETOR DE SISTEMA DE GESTÃO INTEGRADA (SGI) O setor de SGI é responsável por: • Divulgar este procedimento aos responsáveis por cada processo; C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

3. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 3 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI • Cumprir e fazer cumprir as ações estabelecidas para Controle da Informação Documentada; • Manter informação documentada das tarefas desenvolvidas, onde aplicável; • Padronizar, divulgar e disponibilizar no Intranet para todos os usuários da Vertical Group; • Dar suporte ao gestor responsável para revisar este procedimento sempre que necessário. 4.2 - LIDERANÇA IMEDIATA A Liderança é Responsáveis por: • Manter todas as informações documentadas aplicáveis à suas atividades, devidamente controladas; • Emitir os registros necessários para as atividades que necessitam ser evidenciadas; • Sempre conferir se a informação documentada utilizada está na sua revisão vigente; • Manter a comunicação com a Coordenação de Projetos caso verifique alguma oportunidade de melhoria; • Garantir a consulta e participação dos colaboradores para que possam contribuir para o processo de tomadas de decisão nas medidas de requisição de mudanças que possam melhorar as questões de qualidade, segurança, saúde e meio ambiente. Incentivar a sua equipe a identificar e apresentar medidas preventivas e ações corretivas. 4.3 - SETOR DE TECNOLOGIA DA INFORMAÇÃO O setor de Tecnologia da Informação é Responsável por: • Manter todas as informações documentadas aplicáveis à suas atividades, devidamente controladas; • Garantir a segurança da informação e garantir o não vazamento de Dados de informações sigilosas e intelectuais da empresa; • Disponibilizar contas e logins de acessos para as aplicações solicitadas pela coordenação dos demais setores da organização mediante aprovação gerencial. • Suspender e bloquear contas e logins de acessos sempre que houver desligamento de colaborador, ou mediante solicitação direta da gerência ou diretoria 4.4 - SETOR SUPRIMENTOS O setor de Suprimentos é Responsável por: • Cumprir com as regras estabelecidas neste procedimento; C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

4. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 4 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI • Garantir a emissão do Romaneio no envio de notebook para bordo e manter o controle dos equipamentos disponibilizados em conjunto com o TI • Realizar a logística de envio e de devolução dos equipamentos disponibilizados pelo TI para atendimento aos projetos do Operacional • Reportar sempre ao operacional quaisquer necessidades de alteração no fluxo padrão para que o mesmo informe ao TI. 5 - TERMOS E DEFINIÇÕES Segurança de dados: A Segurança de Informação (dados), está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informações, mas também a dos sistemas em si. Confidencialidade: A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados. Atualmente gerenciamos através da permissão de acesso as pastas no drive e módulos do sistema Alterdata. Integridade: É a garantia de que a informação não é destruída ou corrompida e o sistema tem um desempenho correto. Atualmente mantemos todos os dados em servidor em nuvem, com sincronização local, o que garante sempre uma cópia de segurança individual dos arquivos em caso de perda ou alterações indevidas. Disponibilidade: É a garantia de que os serviços/recursos do sistema estão disponíveis sempre que forem necessários. Mantendo nossas aplicações e arquivos em nuvem, garantimos que estarão sempre disponíveis, independentes de condições físicas de equipamentos locais, podendo ser acessadas através de mais de uma plataforma. 6 - DETALHAMENTO 6.1 - USO E SEGURANÇA DE TI A finalidade deste padrão não é impor restrições contrárias à cultura e confiança da Empresa. Mas, de ações ilegais ou danosas praticadas por qualquer indivíduo, de forma intencional ou inadvertidamente. C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

5. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 5 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI A segurança de dados efetiva é um trabalho de equipe envolvendo a participação e colaboração de todos os funcionários, que usem os sistemas e/ou equipamentos de TI e manipulam informações e/ou sistemas de informações. É de responsabilidade de cada usuário de computador e destes serviços, conhecerem este procedimento e conduzir suas atividades de acordo com a mesma. 6.2 - DIREITOS DOS USUÁRIOS Os colaboradores da Vertical Group, possuem os seguintes direitos: a. Fazer uso legal dos recursos computacionais, equipamentos, materiais e informações colocados à sua disposição; b. Aos colaboradores administrativos, ter conta de correio eletrônico com a extensão do domínio da Empresa; c. Os reportes de falhas e pedidos de suporte são feitos por chamado via sistema Karoo, e-mail, chamada presencial, ou acesso remoto. 6.3 - OBRIGAÇÕES DOS USUÁRIOS Os usuários da rede corporativa têm as seguintes obrigações: a. Responder pelo uso exclusivo de sua conta pessoal de acesso à rede/nuvem e e-mail corporativo; b. Identificar, classificar e enquadrar as informações da rede e e-mail corporativo relacionados às atividades por si desempenhadas; c. Zelar por toda e qualquer informação armazenada na rede e e-mail corporativos contra alteração, distribuição, divulgação, cópia e acessos não autorizados; d. Guardar sigilo das informações confidenciais, mantendo-as em caráter restrito; e. Manter, em caráter confidencial e intransferível, a senha de acesso aos recursos computacionais e de informação da organização; f. Não fazer uso inadequado de informações privilegiadas e/ou para benefício próprio e contra a empresa por ter o acesso a estas informações; g. Não fazer uso das ferramentas da empresa para uso e guarda de informações pessoais e/ou inadequadas as regras da empresa; C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

6. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 6 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI h. Informar imediatamente à Gerência imediata sobre quaisquer falhas ou desvios das regras estabelecidas neste documento, bem como sobre a ocorrência de qualquer violação às mesmas, praticada em atividades relacionadas ao trabalho, dentro ou fora das dependências da Empresa; i. Garantir a guarda e integridade dos equipamentos de TI (computadores, monitores, notebooks, smartphones etc.). j. O TI é responsável por garantir o controle de equipamentos que necessitam sair da nossa base através do formulário 86-Termo de Responsabilidade Guarda e Uso, que é assinado pelo colaborador e anexado a rede até o dia de seu retorno a base). 6.4 - UTILIZAÇÃO DA NUVEM / REDE Se uma senha for esquecida, comprometida ou inutilizada de alguma outra forma, o usuário deve entrar em contato com o setor de TI. Se o colaborador for abordado para fornecer seu nome de usuário, sua senha ou qualquer outra informação pertinente à nuvem e/ou acesso aos sistemas da Empresa, por outra pessoa que não seja a equipe do TI, entre imediatamente em contato com o TI que deve levar o caso para sua gerência imediata, onde é avaliada a necessidade de compartilhar à Diretoria. Os usuários devem armazenar todos os documentos relacionados ao trabalho nos seus respectivos mapeamentos de nuvens/redes de seu setor, não devendo manter arquivos pessoais ou não importantes para sua atividade na nuvem corporativa. 6.5 - UTILIZAÇÃO DO E-MAIL O e-mail destina-se ao uso exclusivamente corporativo, não sendo permitido aos colaboradores nenhum tipo de envio, recebimento, armazenamento e/ou manuseio de conteúdos que caracterizem divulgação, incentivo ou prática de atos ilícitos, pornográficos, qualquer tipo de discriminação ou preconceito relativo à raça, sexo ou credo, distribuição de material que caracterize violação de direitos autorais garantidos por lei, envio intencional de mensagens do tipo “corrente”, “SPAM” ou que contenham vírus eletrônico ou qualquer forma de rotinas de programação de computador prejudiciais ou danosas. A ocorrência de qualquer uma das especificações anteriores de forma intencional ou não deve ser comunicada através da ouvidoria; 6.6 - USO E CRITÉRIOS DAS SENHAS A responsabilidade pela manutenção do sigilo das senhas é exclusiva do colaborador, ao qual não é permitido divulgar as senhas pessoais de acesso à nuvem e e-mail. C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

7. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 7 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI A Vertical Group tem o direito de desativar a conta se necessário, caso seja descoberta mal uso das ferramentas ou haja alguma desconfiança de uma não-conformidade referente à Segurança de Dados e suas políticas descritas aqui, sem o aviso prévio, e o usuário será comunicado posteriormente. 6.7 - SISTEMAS DE BACKUPS A segurança dos dados é realizada por servidor em nuvem, utilizamos o serviço do google drive da plataforma G-suite. Google Workspace Os usuários acessam as pastas sincronizadas do google drive através da aplicação Drive file stream, e obtém acesso apenas a pastas autorizadas pela gerência direta. O Backup é realizado de forma individual, uma vez que o usuário perde ou deleta algum arquivo ele tem sempre disponível uma cópia de segurança pelo drive na nuvem. 6.8 - IDENTIFICAÇÃO E PERMISSÃO Os equipamentos/hardwares são tagueados para controle de patrimônio e disponibilização para usuários. O controle é feito através do formulário 85-Controle de ativos. As permissões dos usuários são dadas, onde estes de acordo com os seus setores são membros usuários de pastas específicas, mediante autorização de sua gerência. O TI ressalta que além das permissões relacionadas a Hardware, temos também permissões atribuídas ao nosso Software Alterdata, implantadas de acordo com o perfil e função de cada usuário. O controle de acessos e sistemas é realizado pelo setor de TI através do formulário 372-FOR-TI Controle de Acessos e Sistemas, conforme liberações aprovadas pelos gestores diretos. 6.9 - SEGURANÇA FÍSICA E AMBIENTAL A segurança física objetiva a proteção física de recursos de TI, hardware e software são instalados e mantidos em locais seguros e protegidos contra acesso não autorizado, interferência e danos, sejam eles internos e/ou em nossos clientes. Nosso software fica em servidor nuvem, e é acessado mediante login e senha. 6.10 - ACESSO REMOTO Para garantir o suporte técnico de PC’s, é utilizado o sistema de acesso remoto AnyDesk, uma ferramenta que permite que um equipamento tenha acesso a uma área de trabalho de outro equipamento à distância. Passo a passo: 1. Clicar no ícone “AnyDesk” na área de trabalho; C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P

8. Sistema de Gestão Integrada Título: Segurança De Dados Código: PRO-TI-001

   Data de Emissão: 03/01/2020 Revisão: 03 Área de Aplicação: Tecnologia da Informação Data de Revisão: 08/11/2023 Folha: 8 de 8 ESTE DOCUMENTO É DE PROPRIEDADE EXCLUSIVA DA EMPRESA VERTICAL GROUP, NENHUMA DISTRIBUIÇÃO OU REPRODUÇÃO PARCIAL OU TOTAL DESTE DOCUMENTO PODE SER REALIZADA SEM A AUTORIZAÇÃO DO SGI 2. Informar o código gerado para o TI 3. Clicar em "aceitar" quando aparecer a janela de acesso remoto na tela 4. Para encerrar uma sessão de compartilhamento clique em "desconectar" na janela de acesso 7 - DOCUMENTOS DE REFERÊNCIA Documentos Código/Item/Revisão Manual do Sistema de Gestão Integrada MSGI-VG-001 Sistemas de Gestão da Qualidade - Requisitos ISO 9001 Sistemas de Gestão Ambiental - Requisitos com Orientações para uso ISO 14001 Sistemas de Gestão de Segurança e Saúde do Trabalho - Requisitos para uso ISO 45001 Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação ISO/IEC NBR 27002 8 - FORMULÁRIOS Identificação Armazenamento Proteção Recuperação Retenção Disposição Local Forma 85-FOR-TI - Controle de Ativos TI Eletrônico Digital Por nome do arquivo Tempo Indeterminado Controle 86-FOR-TI - Termo de Responsabilidade Guarda e Uso TI Físico/Eletr ônico Digital Por nome do arquivo Tempo Indeterminado Guarda 372-FOR-TI - Controle de Acessos e Sistemas TI Eletrônico Digital Por nome do arquivo Tempo Indeterminado Controle 9 - CONTROLE DE ALTERAÇÕES Revisão Data da última revisão Descrição da Revisão Data da última análise crítica Responsável pela aprovação 00 03/01/2020 Emissão Inicial NA Marcel Ferreira 01 14/03/2023 Revisão do item 2 Objetivo NA Debora Monetário 02 04/09/2023 Revisão geral da informação documentada para adequação e atualização das novas práticas; 6.10 - Acesso Remoto NA Debora Monetário 03 08/11/2023 Inclusão do mapeamento de acessos através do formulário 372-FOR-TI Controle de Acessos e Sistemas NA Debora Monetário C Ó PIA C O N TR O LAD A - VER TIC AL G R O U P