top of page

PSI – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

São Paulo | Janeiro de 2023

 

1. INTRODUÇÃO


A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas da empresa Exsen, para a proteção dos ativos da informação e a prevenção de responsabilidades legais para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da empresa.
A presente PSI está baseada nas recomendações propostas pelas normas gerais e, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país.

 


2. OBJETIVOS

 

Estabelecer diretrizes que permitam aos colaboradores, clientes, parceiros, menores aprendizes e estagiários da Exsen seguir com padrões de comportamento relacionados à segurança da informação que sejam adequados às necessidades do negócio e da proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.


Preservar as informações da Exsen e à:
 

  • Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;

 

  • Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação a aos ativos correspondentes sempre que necessário.

3. APLICAÇÕES DA PSI

 

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, gestores, clientes, estagiários, diretoria, menor aprendiz, bem como os prestadores de serviços e empresas terceirizadas. Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa serão monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.


É também obrigação de cada colaborador manter-se atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da gerência de sistemas sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

 


4. PRINCÍPIOS DA PSI


Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela Exsen, pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática, comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.


A Exsen, por meio de sua gerência de sistemas, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

5. REQUISITOS DA PSI


Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores da Exsen a fim de que a política seja cumprida dentro e fora da empresa.


Tanto a PSI quanto as normas, deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do comitê de segurança.


Deverá constar em todos os contratos da Exsen o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos da informação disponibilizados pela instituição.


A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade confirmando que foram devidamente orientados quanto a utilização das informações na Empresa.


Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à gerência de sistemas, e caso julgue necessário, deverá encaminhar posteriormente ao comitê de segurança da informação para análise.


Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda, de confidencialidade, integridade e disponibilidade dos ativos da informação.

Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistemas, e justificados, acordados, documentados, implantados e testados durante a fase de execução. Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.


Esta PSI será implementada na Exsen por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação do serviço.


O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.


5.1. Dos colaboradores, estagiários e menores aprendizes em geral.


Será de inteira responsabilidade de cada colaborador todo prejuízo ou dano que vier a sofrer ou causar a Exsen e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.


É obrigatória a presença de cláusula de confidencialidade em todos os contratos de trabalho para que possa ser concedido o acesso do usuário aos ativos de informação disponibilizados pela Exsen.


A princípio todo colaborador recebe treinamento em segurança da informação, no qual é dado a ele o conhecimento necessário para atuação com os dados de nossos parceiros e clientes, bem como identificar caso ocorra algum risco de roubo ou fraude com as informações.

Além da geração de todo este conhecimento, cientificamos aos nossos colaboradores sobre a existência e atuação de uma equipe em segurança da informação (Departamento de TI e RH, em conjunto com o DPO (encarregado de dados) são eles os responsáveis por criar e preservar toda a arquitetura tecnológica da Exsen, visando assim garantir que a Empresa não seja alvo de ataques cibernéticos.


5.1.2. Disponibilização e responsabilidade sobre equipamentos


Todos os equipamentos da Exsen são de uso exclusivo para o alcance dos objetivos da Empresa e disponibilizados de acordo com as necessidades específicas dos usuários para o desempenho de suas atribuições.


5.1.2. Responsabilidade Sobre Equipamentos Recebidos


Os usuários são responsáveis pela segurança dos equipamentos recebidos e devem ser responsabilizados caso haja caracterização de mau uso. Este equipamento recebido não tem permissão para sair do ambiente da Exsen e dependerá de autorização da Gerência de TI para ser utilizado em atividades externas.
 

6. DA ÁREA DE TECNOLOGIA DA INFORMAÇÃO


Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais. Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes. Configurar equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI e pelas Normas de Segurança da Informação complementar.

Os administradores e operadores dos sistemas computacionais podem, pela característica de seus
privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.


Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.


Garantir a segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação. Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências. Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para Exsen.


Implantar controles que gerem registros auditáveis para a retirada e transporte de mídias das informações custodiadas pelo departamento de TI, em ambientes totalmente controlados por ele.


Quando ocorrer movimentação interna dos ativos do departamento de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessária para garantir a segurança requerida pelas áreas de negócio.

Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo da informação a um responsável identificável como pessoa física, sendo que:

 

  • Os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.

  • Os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.

Proteger continuamente todos os ativos da informação da empresa contra códigos maliciosos, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de códigos maliciosos e/ou indesejado.


Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria dos códigos, e a proteção contratual para controle e responsabilização no caso de uso de terceiros.


Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo. Realizar auditorias periódicas, de configurações técnicas e análise de riscos. Responsabilizar- se pelo uso, manuseio, guarda, assinatura de certificados digitais.


Garantir, a forma mais rápida possível, com solicitação formal, o bloqueio do acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem de forma sincronizada com o relógio dos servidores de tempo oficiais do governo brasileiro.


Monitorar o ambiente de TI, gerando indicadores e históricos de:

  • Uso da capacidade instalada da rede e dos equipamentos;

  • Tempo de resposta no acesso à internet e aos sistemas críticos da Exsen;

  • Períodos de indisponibilidade no acesso à internet e aos sistemas críticos da Exsen;

  • Incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);

  • Atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);

 


7. DA ÁREA DE SEGURANÇA DA INFORMAÇÃO


Aplicar as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação.


Introduzir e apoiar iniciativas que visem à segurança dos ativos de informação da Exsen . Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pela Exsen .


Promover a conscientização dos colaboradores em relação à importância da segurança da informação para o negócio da Exsen, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.


Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços. Buscar alinhamento com as diretrizes corporativas da instituição.

 


8. DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE


Para garantir as regras mencionadas nesta PSI são aplicadas as seguintes ferramentas:

 

  • Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio Eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros;

  • Componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;

  • Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;

  • Instalar sistema de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;

  • Comunicar no prazo máximo de 48:00 (quarenta e oito) horas a seus clientes ou interessados caso exista algum vazamento de informação ou ação que possa colocar em risco o cliente ou interessados;

  • Em caso de catástrofe ou algo que precise interromper as atividades na sede onde estamos instalados, a Exsen dispõe de apólice de seguro (contratada pelo porto seguro), valores estes disponíveis para pagamentos de alugueis, reposição de equipamentos, e assim ser dada a devida continuidade aos trabalhos por até 12 (doze) meses.

9. POLÍTICA MESA LIMPA
 

9.1 Introdução
 

A Exsen tem por princípio manter o máximo de sigilo das informações de seus clientes, colaboradores e parceiros de negócios, durante a execução das atividades em que atua, tudo visando seguir com as conformidades legais estabelecidas pela Legislação em vigor.


A informação é um bem que, como qualquer outro bem de importância para o negócio, tem valor para a Exsen e consequentemente necessita ser protegido como tal. A informação, seja qual for a sua forma, meio de armazenamento ou compartilhamento, deverá sempre ser devidamente protegida. Desta forma, a Política de Mesa limpa, refere-se à intenção da Exsen em proteger as informações armazenadas em meios físicos ou eletrônicos, minimizando riscos de acessos não autorizados, perda ou exposição indevida de informações ou qualquer dano às informações, seja durante ou fora do horário do expediente.


9.1.1 Objetivo


O objetivo desta política é estabelecer os requisitos mínimos para manter mesas “limpas”, pelo período em que os colaboradores permanecem em seus postos de atividades, de modo a garantir que, onde houver qualquer informação confidencial, restrita ou sensível, ela esteja devidamente protegida.


9.1.2 Aplicação


Esta política se aplica a todos os colaboradores que possam acessar informações sob a responsabilidade da Exsen.


9.1.3 Mesa Limpa

 

  • Os usuários têm obrigação de bloquear as estações de trabalho quando se afastarem das mesmas para impedir acesso não autorizado;

  • Guardar agendas e cadernos de anotações, assim como objetos pessoais, em gavetas ou armários trancados;

  • Nunca anotar as senhas em papeis ou ativos de informação. As mesmas devem ser memorizadas;

  • E terminantemente proibido que o colaborador mantenha em sua mesa, papéis, impressos, recados, anotações ou lembretes, durante o expediente de trabalho (política de mesa limpa);

  • O colaborador deverá sempre manter em segurança o seu crachá de identificação;

  • Faz parte da política de mesa limpa não fazer refeições e lanches sobre a mesa;

  • ​É recomendável a leitura de documentos diretamente pela tela do computador, sempre que possível, evitando impressões desnecessárias;

  • Ao final do expediente o colaborador deverá sempre limpar e organizar a sua área de trabalho;

  • As salas devem ser mantidas fechadas sempre que terminar o expediente;

  • Os computadores e laptops devem ser bloqueados (desconectados ou desligados) quando não estiverem sendo utilizados ou supervisionados e no final do dia de trabalho. Dispositivos portáteis como laptops e tablets que permanecem no escritório durante a noite devem ser desligados e guardados em local seguro;

  • Nos ambientes operacionais é permitido a entrada somente da garrafa de água e materiais de treinamento fornecidos pelos clientes quando necessário.

  • É proibido o uso de dispositivos móveis e de meios físicos para extração de informação, tais como: aparelhos celulares, máquinas fotográficas, pen drives, papeis em geral (cadernos, agendas, bloco de notas etc.) e canetas nas estações de trabalho.

  • Externamente ao ambiente operacional são disponibilizados armários individuais para guardar os pertences dos colaboradores que atuam nestes ambientes.

  • E proibido o uso de aparelho celular nas estações de trabalho, o dispositivo deve ficar guardado em armário disposto em área externa pela Empresa.

  • Caberá ao Departamento de RH e a área de Segurança da Informação realizar inspeções periódicas nos ambientes operacionais a fim de constatar a conformidade com as diretrizes acima descritas.

  • Por padrão em ambiente operacional é aplicado em nossos equipamentos o bloqueio de acesso a dispositivos como impressoras, aparelhos de mídias como CD, DVD e pen drive. O uso destes equipamentos quando permitido, somente ao Departamento Administrativo é mediante usuário cadastrado.

  • Quando permitida a impressão, deve-se retirar os documentos assim que os imprimir.

9.1.4 Responsabilidade


É responsabilidade de cada gestor de departamento, área, setor ou unidade da Exsen garantir a aplicação desta norma.


9.1.5 Verificação da Conformidade


É obrigação da equipe de TI, departamento de RH e os gestores de cada departamento da empresa verificar a conformidade com esta política por meio de vários métodos, incluindo, mas não se limitando a, walk-thrus (passo-a-passo) periódicos, logs de auditoria de sistemas e banco de dados, auditorias de TI e feedbacks para o responsável pela política.


Qualquer mudança nesta política deve ser aprovada pelos departamentos de TI, RH e pelo encarregado em Segurança da Informação – DPO.
 

9.1.6 Exceções


Não há exceções a esta política. Qualquer exceção à esta norma deverá ser previamente aprovada pela equipe de TI, RH e pelo encarregado em Segurança da informação – DPO.


9.1.7 Violação


Qualquer violação desta norma pode resultar em ação disciplinar, incluindo a rescisão do contrato de trabalho. A empresa reserva-se o direito de notificar as autoridades responsáveis pela aplicação da lei sobre qualquer atividade ilegal e de cooperar em qualquer investigação de tal atividade. A empresa não considera que a conduta que viole esta norma esteja dentro do curso e âmbito das atividades de um colaborador, parceiro ou prestador de serviço, ou como consequência direta da execução de suas funções. Consequentemente, na medida do permitido por lei, a empresa reserva-se o direito de não defender ou pagar quaisquer danos concedidos aos funcionários, parceiros ou prestadores de serviços que resultem da violação desta norma.

10. CORREIO ELETRÔNICO


O objetivo desta norma é informar aos colaboradores da Exsen quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.


O uso do correio eletrônico da Exsen é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição.


Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da Exsen Atende:

 

  • Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;

  • Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que Não esteja autorizado a utilizar;

  • Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o Exsen serviços e corretora de seguros ltda ou suas unidades vulneráveis a ações civis ou criminais;

  • Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo;

  • De informação;

  • Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a Identidade dos remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

  • Apagar mensagens pertinentes do correio eletrônico quando qualquer uma das unidades do Exsen Atende estiver sujeita a algum tipo de investigação;

  • Produzir, transmitir ou divulgar mensagem que:

✓ Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Exsen Serviços e Corretora de seguros Ltda;
✓ Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
✓ Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl,.reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
✓ Vise obter acesso não autorizado a outro computador, servidor ou rede;
✓ Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
✓ Vise burlar qualquer sistema de segurança;
✓ Vise vigiar secretamente ou assediar outro usuário;
✓ Vise acessar informações confidenciais sem explícita autorização do proprietário;
✓ Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
✓ Inclua imagens criptografadas ou de qualquer forma mascaradas;
✓ Tenha conteúdo considerado impróprio, obsceno ou ilegal;
✓ Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
✓ Contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física, mental e ou outras situações protegidas;
✓ Tenha fins políticos locais ou do país (propaganda política);
✓ Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.


As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte formato:

 

  • Nome do colaborador

  • Gerência ou departamento

  • Nome da empresa

  • Telefone(s)

  • Correio eletrônico

11. INTERNET


Todas as regras atuais da Exsen Atende visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.


Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto a Exsen Atende, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.


Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.


A Exsen Atende, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador ou prestador de serviço, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que, nesses casos a instituição cooperará ativamente com as autoridades competentes.

A internet disponibilizada pela instituição aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nas unidades.


Como é do interesse da Exsen que seus colaboradores estejam bem-informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos e não implique conflitos de interesse com os seus objetivos de negócio.


Somente os colaboradores que estão devidamente autorizados a falar em nome da Exsen para os meios de comunicação poderão manifestar- se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros.


Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.


É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate- papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.


Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de programas ligados diretamente às suas atividades na Exsen e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pelo departamento de TI.

O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela Gerência de Sistemas.


Os colaboradores não poderão em hipótese alguma utilizar os recursos da Exsen para fazer o download (baixa), distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.


O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial.


Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores.


Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software licenciado a Exsen ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.


Os colaboradores não poderão utilizar os recursos da Exsen para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

11.1 REDES SOCIAIS


Funcionários devem ter especial atenção e assegurar que não representam a Empresa em grupos de discussão na Internet, fóruns públicos e redes sociais; salvo com autorização expressa da Diretoria de Operações ou função expressamente atribuída através do cargo em vigência. É vedada aos colaboradores a publicação de informações em qualquer rede social, salvo por área devidamente autorizada pela Empresa. Mesmo as áreas autorizadas devem ter especial atenção ao conteúdo, bem como a classificação da informação a qual para ser divulgada deverá previamente ser classificada como público (rótulo).


A Empresa coíbe automaticamente o acesso a redes sociais, através de sua infraestrutura de TI, para colaboradores que não tenham em sua função de trabalho as necessidades de acesso a redes sociais.


11.2 IDENTIFICAÇÃO


Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a Exsen e/ou terceiros.


O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).


Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.


Todos os dispositivos de identificação utilizados na Exsen, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos devem estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal).


Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.


É proibido o compartilhamento de login para funções de administração de sistemas. O Departamento de Recursos Humanos da Exsen é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores.


A Gerência de TI responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.


Devem ser distintamente identificados os visitantes, estagiários e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.


Os usuários comuns e os que possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 10 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.


É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.


As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.


Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com a Gerência de Sistemas da Exsen. Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).


Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.


A periodicidade máxima para troca das senhas são de 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos também serão exigidas a troca de senhas a cada 45 (quarenta e cinco) dias. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.


Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

 

Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comunicar pessoalmente ao seu gestor para que entre em conato com à área técnica responsável para cadastrar uma nova.

12. COMPUTADORES E RECURSOS TECNOLÓGICOS


Os equipamentos disponíveis aos colaboradores são de propriedade da Exsen cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelos gestores e gerências responsáveis.


É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da Gerência de TI da Exsen, ou de quem este determinar. Os setores ou departamentos que necessitarem fazer testes deverão solicitá-los previamente à Gerência de TI, ficando responsáveis juridicamente e tecnicamente pelas ações realizadas.


Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.


Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável mediante registro de chamado no sistema de suporte.


A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.

Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.


Os colaboradores da Exsen e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da Gerência de TI.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:

 

  • Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso de colaboradores não autorizados. Tais senhas serão definidas pela Gerência de TI da Exsen , que terá acesso a elas para manutenção dos equipamentos;

  • Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador;

  • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico da Gerência de TI da Exsen ou por terceiros devidamente contratados para o serviço;

  • Todos os modems internos ou externos devem ser removidos ou desativados para impedir a invasão/evasão de informações, programas, vírus. Em alguns casos especiais, conforme regra específica, será considerada a possibilidade de uso para planos de contingência mediante a autorização dos gestores das áreas e da área de informática;

  • É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e próximo aos equipamentos.

  • O colaborador deverá manter a configuração do equipamento disponibilizado pela Exsen, seguindo os devidos controles de segurança exigidos; pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações.

  • Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e impressoras quando não estiverem sendo utilizados.

  • Todos os recursos tecnológicos adquiridos pelo Exsen devem ter imediatamente suas senhas padrões (default) alteradas.

  • Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.

Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da Exsen:
 

  • Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.

  • Burlar quaisquer sistemas de segurança.

  • Acessar informações confidenciais sem explícita autorização do proprietário.

  • Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers).

  • Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.

  • Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;

  • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.

  • Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

 

13. DISPOSITIVOS MÓVEIS


A Exsen, proíbe e não autoriza o manuseio de “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou pessoal como: smartphones e pendrives. Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.


A Exsen, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.


O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções a Exsen , mesmo depois de terminado o vínculo contratual mantido com a instituição.


A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.


É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela Exsen, notificar imediatamente seu gestor direto e a Gerência de TI. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).


O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a Exsen e/ou a terceiros.

Equipamentos portáteis, como smartphones, palmtops, pendrives e players de qualquer espécie, quando não fornecidos ao colaborador pela instituição, não serão validados para uso e conexão em sua rede corporativa.

 


14. DATACENTER


Para que se tenha acesso ao Data Center da empresa primeiramente o colaborador ou prestador de serviço terá que passar por um rigoroso controle de acesso.


Primeiramente o acesso a Empresa é feito pela recepção do Edifício. Tanto os colaboradores como os visitantes que adentram a Empresa, tem a necessidade de identificar-se na recepção, pelo qual, são denominados através da amostragem de foto atual e por seus documentos pessoais.


Estes acessos são controlados através de Logs, estes Logs são incluídos nos cartões de acesso cadastrados (crachás), que são vinculados à cada colaborador ou visitante através de seus documentos pessoais (RG e CPF).


Ainda, para o ingresso de visitantes e prestadores de serviço, após passarem por todo o processo de identificação, a recepção entra em contato com a recepcionista da Empresa, identifica o visitante ou prestador e solicita a permissão de acesso.


Todos os ambientes desde a entrada do edifício, recepção e garagem são monitorados por câmeras 24 (vinte e quatro horas), após a saída do elevador o colaborador ou visitante e obrigado a identificar-se na porta da Empresa com o seu crachá adquirido na recepção.


A entrada no Data Center é controlada pelo gerente do Departamento de TI, ele é a única pessoa que detêm das credenciais de acesso, mas mesmo assim, a sua entrada é controlada pelo crachá. Caso exista há necessidade da entrada de algum prestador de serviço é realizada uma requisição de controle de acesso, informando: data, hora e qual o tipo de serviço foi realizado, e o responsável pelo acompanhamento deste prestador.


O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.


A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse instrumento pelo Gerente de TI.


No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados, de acordo com o processo definido no Procedimento de Controle de Acesso ao Datacenter.

 


15. BACKUP E RESTAURAÇÃO

 

15.1 Objetivo
 

Regulamentar a política de backup das informações eletrônicas no âmbito da Exsen, com o objetivo de estabelecer diretrizes para o processo de cópia e armazenamento dos dados sob a guarda da equipe de TI, visando garantir a segurança, integridade e disponibilidade, em conformidade com a Política de Segurança da Informação.

15.2 Aplicação


Este procedimento aplica-se para a manutenção e continuidade dos negócios da Exsen e seus clientes. Para tanto, é fundamental estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de perdas por erro humano, ataques externos, catástrofes naturais ou outras ameaças. No sentido de assegurar a proteção dos dados eletrônicos da Exsen e seus clientes, o presente documento apresenta a política de backup e restauração, onde se estabelece o modo e a periodicidade de cópia dos dados armazenados pelos sistemas computacionais.


15.3 Referência Normativa


a) Norma ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação – Requisitos.
b) Norma ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação;
c) Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais;
d) Framework Information Technology Infrastructure Library – ITIL, v. 4, conjunto de boas práticas a serem aplicadas na infraestrutura, operação e gerenciamento de serviços de TI;


15.4 Aréas envolvidas

  • Gerência Tecnologia da Informação

  • Gerência de Planejamento e Control Desk

  • Area de Segurança da Informação

  • Diretoria

A Gerência Técnologia da Informação será o Administrador de Backup, ficando responsável por políticas e procedimentos relativos aos serviços de backup e restauração, bem como de guardar as Mídias móveis e assegurar o cumprimento das normas aplicáveis. São atribuições do Administrador de Backup:

 

I – Propor modificações visando o aperfeiçoamento da política de backup;
II – Criar e manter as tarefas de backup;
III – configurar a ferramenta de backup e os clientes;
IV – Criar e manter Mídias;
V – Testar o backup e a restauração;
VI – Criar notificações e relatórios;
VII – verificar periodicamente os relatórios gerados pela ferramenta de backup;
VIII – restaurar os backups em caso de necessidade;
IX – Gerenciar mensagens e logs diários dos backups, fazendo o tratamento dos erros de forma que o procedimento de backup tenha sequência e os erros na sua execução sejam eliminados;
X – Fazer manutenções periódicas dos dispositivos de backup;
XI – Fazer o carregamento das mídias necessárias para os backups programados;
XII – comunicar ao Administrador do Recurso os erros e ocorrências nos backups;
XIII – fazer o armazenamento das mídias de backup em cofre apropriado.

15.4 Definições


BACKUP OU CÓPIA DE SEGURANÇA - Conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada;


CUSTODIANTE DA INFORMAÇÃO - Qualquer indivíduo ou parceiro homologado pela Exsen que de forma direta ou indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de Segurança da Informação comunicadas pelo proprietário da informação;


ELIMINAÇÃO - Exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;


MÍDIA - Mecanismos em que dados podem ser armazenados. Além da forma e da tecnologia utilizada para a comunicação - inclui discos ópticos, magnéticos, CDs, fitas e papel, entre outros. Um recurso multimídia combina sons, imagens e vídeos;


INFRAESTRUTURA CRÍTICA – instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança;


Recovery Point Objective (RPO): ponto no tempo em que os dados dos serviços de TI devem ser recuperados após uma situação de parada ou perda, correspondendo ao prazo máximo em que se admite perder dados no caso de um incidente;

 

Recovery Time Objective (RTO): tempo estimado para restaurar os dados e tornar os serviços de TI novamente operacionais, correspondendo ao prazo máximo em que se admite manter os serviços de TI inoperantes até a restauração de seus dados, após um incidente;


15.5 Procedimentos de Backup


Criação e operação dos backups deverão obedecer às seguintes orientações:

I – Criação de backups:


a) o backup deverá ser programado para execução automática em horários de menor utilização dos sistemas; b) o backup, preferencialmente, deverá ser realizado através da rede de backup com Vlans individualizada.


II – Operação de backups:


a) O backup deverá ser monitorado pelo Gestor de TI;
b) Para todos os backups realizados, deve ser gerado um extrato automatizado pela própria ferramenta de backup. Tal extrato deverá ser enviado por e-mail para o Administrador de Backup; c) para os backups que apresentarem falhas, o Gestor de TI deverá criar uma entrada na Ferramenta de gestão de TI citando os clientes de backup e se houve ação corretiva adotada. Competirá ao Administrador de Backup tratar falhas remanescentes.
d) Os backups deverão ser realizados preferencialmente como disposto a seguir:

 

I – Os backups diários serão executados de segunda à sexta-feira, entre 22h e 6h do dia posterior, em modo incremental;


II – Os backups semanais serão executados nos finais de semana, iniciando aos sábados as 17:h, em modo incremental. Não haverá execução de backup semanal quando coincidir com o backup mensal ou semestral;

III – os backups mensais serão executados no primeiro sábado do mês, em modo incremental. Não haverá execução de backup mensal quando coincidir com o backup semestral;


IV – Os backups semestrais serão executados no primeiro sábado dos meses de janeiro e julho, em modo completo.


V – Em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, o Administrador de Backup deverá adotar as providências necessárias para promover a salvaguarda das informações através de outro mecanismo, como por exemplo: nova execução do backup em horário comercial ou cópia dos dados para outro servidor.


15.6 Procedimentos de restauração

 

A recuperação de backups deverá obedecer às seguintes orientações:


I – A solicitação de recuperação de objetos deverá sempre partir do responsável pelo recurso, através de chamado técnico, utilizando a ferramenta de controle de atendimentos.


II – O chamado técnico deve conter, ao menos, o nome e setor do usuário, o(s) objeto(s) a ser(em) recuperado(s), localização em que se encontra(m), a data da versão que deseja recuperar, local alternativo para o armazenamento do(s) objeto(s) recuperado(s), se for o caso, e a justificativa para recuperação.


III – este chamado será encaminhado ao Administrador de Backup, que após a conclusão da tarefa, realizará o fechamento do chamado indicando a restauração do(s) objeto(s).


IV – A restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup

15.7 Teste de confiança


Os backups mensais e semestrais deverão ser testados quanto à integridade e recuperabilidade dos objetos, de maneira amostra, no prazo máximo de uma semana após a sua execução. Os testes de restauração dos backups devem ser realizados, por amostragem quinzenalmente], em equipamentos servidores diferentes dos equipamentos que atendem os ambientes de produção, observados os recursos humanos de TI e tecnologias disponíveis, a fim de verificar backups bem-sucedidos. Verificar se foi atendido os níveis de serviço pactuados, tais como os Recovery Time Objective – RTOs.


Os registros deverão conter, no mínimo, o tipo de sistema/serviço que teve o seu restabelecimento testado, a data da realização do teste, o tempo gasto para o retorno do backup e se o procedimento foi concluído com sucesso. Quaisquer exceções a esta política serão totalmente documentadas e aprovadas pela diretoria da Exsen.


15.8 Recuperação de desastre


As cópias do tipo Recuperação de Desastres serão feitas com base na replicação das mídias do backup semestral e serão armazenadas em poder da diretoria ou cofre sinalizado e que esteja, preferencialmente, localizado em local remoto. A geração das mídias de Recuperação de Desastres ocorrerá após a realização do teste do backup semestral e terá retenção de um semestre.


Quaisquer procedimentos programados nos equipamentos “servidores” e que impliquem riscos ao seu funcionamento ou em quaisquer dispositivos de armazenamento da Exsen, somente deverão ser executados após a realização do backup dos seus dados.

16. DESCARTE DE INFORMAÇÕES, MIDIAS E EQUIPAMENTOS


O descarte de um documento físico e a exclusão de equipamentos ou mídias digitais da rede da Empresa que contenham informações protegidas deverá seguir as seguintes regras para o descarte:


16.1 Objetivo


Esta política fornece diretrizes para a remoção e descarte apropriados de todo hardware, mídias e HD usados pela empresa e dos dados neles contidos. Abrange cenários em que estes equipamentos são desativados, reciclados ou destruídos.


16.2. Aplicabilidade


Esta norma se aplica:


• À todas as unidades, áreas, setores e departamentos da empresa.
• A toda a gerência de TI, administradoresde sistemas responsáveis pela manutenção de sistemas, softwares,aplicativos, programas, dispositivos e equipamentos de TI gerenciados pela empresa.
• A toda a diretoria, colaboradores, gestores, estagiários, prestadores de serviços, parceiros, fornecedores que acessam as dependências da empresa.
• A qualquer dispositivo usado na empresa seja de propriedade da empresa ou alugado pela empresa.


16.3. Norma


16.3.1 Responsabilidade pela remoção ou descarte dos equipamentos

A remoção, descontinuidade, desativação, descarte ou destruição dos equipamentos (seja devido
à obsolescência, falha ou outro motivo) será de responsabilidade exclusiva do departamento de TI, que trabalhará com os gestores responsáveis por dar continuidade ao processo


16.3.2 Suporte físico

Os documentos que possuírem Informações Públicas poderão ser descartados no lixo comum; já aqueles que possuírem Informações Internas e Confidenciais devem ser destruídos manualmente ou, preferencialmente, por um aparelho fragmentador antes do descarte e HD usados pela empresa e dos dados neles contidos. Abrange cenários em que estes equipamentos são desativados, reciclados ou destruídos.


16.3.3 Eliminação Segura dos equipamentos


O departamento de TI deve ser consultado para garantir que as medidas apropriadas estão sendo adotadas durante o processo de remoção/destruição segura dos equipamentos para proteger a empresa e seus dados.


Os discos CD-R ou DVD-R para maior segurança são destruídos e destinados as Empresas de Coleta de lixo eletrônico.


Discos rígidos (HD), unidades USB e cartões de armazenamento, tem o mesmo destino para maior segurança são destruídos e encaminhados para Empresas de Coleta de lixo eletrônico. Tal processo visa garantir que dados da empresa, inclusive os confidencias não sejam recuperados.


Os equipamentos como: monitores, teclados e mouses quando sem qualidade de uso também serão destinados para as Empresas de Coleta de lixo eletrônico.

16.3.4 Notificação de pessoal relacionado


Os departamentos de compra e financeiro são informados pela gerência do departamento de TI sobre a desativação, remoção ou descarte do hardware e outros equipamentos de TI para garantir que licenças, contratos de suporte, acordos de manutenção ou outras despesas contínuas relacionadas ao hardware e aos demais equipamentos sejam encerrados.


16.3.5 Responsabilidade


É responsabilidade do departamento de TI e de cada gestor de departamento, área, setor ou unidade da empresa garantir a aplicação desta norma.


A equipe de TI, o departamento de RH e os gestores de cada departamento, área, setor ou unidade da empresa velicará a conformidade com esta política por meio de vários métodos como: logs de auditoria de sistemas e banco de dados, auditorias de TI e feedbacks para o responsável pela política.

Qualquer mudança nesta política deve ser aprovada pelo departamento de TI em conjunto com o responsável pela segurança da informação e proteção dos ados (DPO) na empresa


17. DAS DISPOSIÇÕES FINAIS


Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Exsen Atende, ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.


Responsável pela elaboração do documento:
Karen Mey – Jurídico/DPO

Responsáveis pela revisão do documento:
Jorge Luiz de Oliveira Júnior – Gerente de TI
Coordenadora de Recursos Humanos – Priscila Mariana de Lima

bottom of page