PSI – Política de Segurança da Informação

SEÇÃO 1 – INTRODUÇÃO

Para a WS Consulting é de vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia da informação.

Para reduzir os riscos de acesso não autorizado, perda de informações ou danos às informações durante e fora do horário de expediente, a WS Consulting considera a adoção de política voltada para segurança da informação.

A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas referentes a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Em outras palavras, é um manual que determina as medidas mais importantes para certificar a segurança de dados da organização.

Essa política está baseada na norma NBR ISO/IEC 27.002, os riscos correspondentes e os aspectos culturais da organização.

SEÇÃO 2 – OBJETIVO

O objetivo desse documento é definir diretrizes que reduzem os riscos de violações de segurança, fraudes e roubo de informações.

Definir responsabilidades e orientar a conduta dos usuários, visando a continuidade dos negócios através da confidencialidade, da integridade e da disponibilidade das informações da WS Consulting.

A PSI busca tanto prevenir incidentes quanto impedir que erros cometidos no passado se repitam. Por definição, um ativo é tudo aquilo que pode ser transformado em valor para a empresa.

SEÇÃO 3- APLICAÇÃO

Esta PSI aplica-se a todos os usuários, colaboradores ou pessoa custodiante de informações da WS Consulting ou de seus clientes.

SEÇÃO 4 – PRINCÍPIOS

A informação produzida ou recebida como resultado de sua atividade profissional pertence a WS Consulting.
Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual, industrial (Lei nº 9279) e de direitos autorais, (Lei nº 9610).
A segurança da informação depende de pessoas comprometidas, processos gerenciais de controle e sistemas de segurança da informação.

SEÇÃO 5 – USUÁRIOS DE TI:

São reconhecidos como usuários de TI todos os colaboradores, profissionais autônomos, temporários ou terceiros de empresas prestadoras de serviço, que obtiverem a aprovação por escrito do responsável hierárquico e da gestão de liberações da área de TI, para prescrição de senhas de acesso aos recursos computacionais.

SEÇÃO 6 – RESPONSABILIDADES

A WS Consulting entende que o sistema de segurança da informação somente será eficaz com o comprometimento de TODOS!

Dos Usuários

  • Respeitar esta Política de Segurança da Informação
  • Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho;
  • Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
  • Ativar suas senhas de proteção para Correio Eletrônico e Sistema Operacional, sob orientação do Gestor de Liberações da área de TI;
  • Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software correspondentes à sua área de trabalho;
  • Relatar prontamente à área de TI e a seu gestor direto, qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc;
  • Assegurar que as informações e dados de propriedade dos titulares não sejam disponibilizados a terceiros, a não ser com autorização por escrito do seu gestor direto.
  • Relatar para o seu gestor direto, o surgimento da necessidade de um novo software para suas atividades.
  • Responder pelo prejuízo ou dano que vier a provocar a WS Consulting ou terceiros, em decorrência da não obediência as diretrizes e normas aqui referidas.

SEÇÃO 7 – IDENTIFICAÇÃO – LOGIN E SENHA

  • Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro, art. 307 – falsa identidade.
  • Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado.
  • Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 (seis) caracteres alfanuméricos, com variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo). Recomendamos que contenha ao menos um caractere especial.
  • É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
    As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
  • Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros.
  • O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
  • Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica se identificada será alvo de ação disciplinar.

SEÇÃO 8 – RECURSOS COMPUTACIONAIS

  • Os recursos de TI alocados pela WS Consulting aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho.
  • É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria).
  • Todo computador em desuso, deverá ser encaminhado a área de TI para a remoção das informações, descarte ou reuso.

SEÇÃO 9 – TELA LIMPA

  • A partir desta data, o papel de parede e proteção de tela de todos os micros deverá seguir a padronização da WS Consulting.
  • O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostas ao acesso não autorizado.
    Utilizar protetor de tela com senha para acesso.
  • Os computadores deverão ser bloqueados por senha quando não estiverem sendo utilizados. Os colaboradores não devem manter em sua mesa de trabalho/posto de trabalho, sem a sua supervisão, quaisquer arquivos físicos que contenham dados pessoais.

SEÇÃO 10 – MESA LIMPA

Informações deixadas sobre as mesas de trabalho são passíveis de serem danificadas ou destruídas em um desastre tipo incêndio, enchente ou explosão, bem como possibilitarão o acesso indevido a dados pessoais ou dados pessoais sensíveis.

Dos Usuários:

  • Ao final do dia, limpar a mesa de trabalho, organizando e guardando devidamente documentos e meios eletrônicos. Documentos contendo quaisquer dados pessoais, informações de negócio da WS Consulting e de clientes, devem estar trancados em gavetas ou armários.
  • Informações sensíveis ou confidenciais, quando impressas, devem ser retiradas da impressora imediatamente.
  • Retirar papéis, anotações e lembretes da sua mesa de trabalho ou tela do computador.
  • Não deixar papéis, livros ou qualquer informação na mesa de trabalho quando não estiver no local.
  • Armazenar informações confidenciais em local apropriado.
  • Garantir que todos os documentos importantes e mídias eletrônicas, em caso de uma evacuação de emergência (como um alarme de incêndio), estejam em locais estrategicamente e de fácil recuperação.
  • Devolver prontamente todos os documentos obtidos de outros departamentos, quando eles não são mais necessários.

SEÇÃO 11 – DESCARTE DE MÍDIAS

  • Mídias contendo informações referentes a WS Consulting deverão ser destruídas antes de seu descarte.
  • CD’s, DVD’s, e documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao lixo, HD’s deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização.

SEÇÃO 12 – ANTIVÍRUS

A WS Consulting por intermédio da área de TI disponibiliza software corporativo de antivírus instalado para todos os usuários.

O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor; A área de TI da WS Consulting proíbe que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona.

As checagens periódicas do disco rígido, HD, da estação de trabalho estão programadas para execução periódica automática conforme definições da área de TI no aplicativo servidor.

Mesmo com a instalação do antivírus, a eventual verificação de qualquer anormalidade nos sistemas utilizados pela WS Consulting deverá ser imediatamente comunicada à área de T.I., para as providências que a empresa julgar necessárias.

SEÇÃO 13 – ARMAZENAMENTO DE ARQUIVOS

Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da WS Consulting.
É proibida a criação de pastas pessoais nos servidores de rede.
A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da WS Consulting e ser solicitada pelo responsável hierárquico a área.
O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e do gestor de liberações para o controle do acesso de cada usuário.
A partir da implantação desta Política, todos os arquivos que não sejam do interesse da WS Consulting deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.

SEÇÃO 14 – SALVAGUARDA DE ARQUIVOS

Compete a área de TI criar e manter cópias de segurança (backups) apenas dos dados armazenados nos servidores de rede;
Os usuários devem manter obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos, e outros dados críticos da WS Consulting, nas pastas departamentais dos servidores de rede;

SEÇÃO 15 – UTILIZAÇÃO DA INTERNET

O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos causados.
A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos, relatórios com nomes dos usuários, páginas consultadas, tempo de consulta, e o conteúdo navegado.

SEÇÃO 16 – SOFTWARES PIRATAS E JOGOS:

  • Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva da WS Consulting, sendo proibidas as cópias integrais, ou mesmo as parciais, bem como a instalação de softwares piratas.
  • Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais além de difamar a imagem da Instituição. Por esta razão, estão terminantemente proibidos.
  • A instalação de softwares não autorizados (Pirataria) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa;
    Jogos estão terminantemente proibidos

SEÇÃO 17 – EMAIL E MENSAGENS INSTANTÂNEAS

  • É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária a lei, a moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros.
  • O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas deve ser de caráter exclusivamente profissional.
  • A salvaguarda dos e-mails e conteúdo anexo é de responsabilidade exclusiva do usuário, ficando a WS Consulting isento de tal obrigação.
  • O uso de software de e-mail, mensagens instantâneas e correio interno não homologado pela área de TI, são de responsabilidade do usuário e podem trazer riscos à segurança da informação além de dificultar o suporte técnico.
  • Quaisquer comunicados em massa, propagandas, informativos, imagens, etc., deverão ser previamente aprovados pela área de TI, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail.
  • Mensagens recebidas de origem desconhecida deverão ser pré-visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos.
  • O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados.
  • As mensagens trafegadas sob o domínio da WS Consulting poderão ser auditadas, mediante solicitação, conforme definição do TST – Tribunal Superior do Trabalho. Desta forma, é proibida a utilização para finalidades particulares.
  • A veiculação de mensagens que contenham dados pessoais e/ou dados pessoais sensíveis deverão se limitar ao estritamente necessário e à finalidade legal.
  • Em nenhuma hipótese a WS Consulting será responsabilizado perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo.

SEÇÃO 18 – AUDITORIAS

Auditorias serão realizadas e relatórios serão gerados periodicamente.
A Diretoria da WS Consulting poderá solicitar a área de TI, relatórios de auditoria contendo o nome, mensagens trafegadas, acessos a Internet e demais informações do usuário conforme determinação do TST.

SEÇÃO 19 – SANÇÕES PELO DESCUMPRIMENTO DESTA POLÍTICA

A WS Consulting ao gerir seus dados, pretende garantir a integridade ao acesso, o controle e a transmissão correta de suas informação e recursos. O descumprimento ou inobservância de qualquer regra prevista nesse instrumento e em suas normas complementares constituem falta grave, às quais a WS Consulting responderá com a aplicação de todas as medidas administrativas, cíveis e judiciais cabíveis.

Toda tentativa de alteração das definições de segurança, sem a devida autorização para tal, será considerada ilícita e os riscos relacionados serão informados ao respectivo gestor.

O uso de qualquer recurso em inobservância das normas vigentes ou para prática de atividades ilícitas poderá acarretar ações administrativas e penalidades decorrentes de processos administrativo, civil e criminal, em que a WS Consulting cooperará ativamente com as autoridades competentes.

Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a WS Consulting e/ou terceiros. Portanto, o usuário vinculado a tais dispositivos identificadores será responsável pelo seu uso correto perante A WS CONSULTING e às autoridades competentes.

O uso dos dispositivos e/ou senhas de identificação de outra pessoa viola as regras de segurança e poderá resultar na aplicação de medidas administrativas, cíveis e judiciais cabíveis.

O descumprimento de todas as regras e diretrizes impostas nesta política, poderá ocasionar ao usuário a aplicação das penalidades abaixo previstas, além de outras punições cíveis ou criminais cabíveis, inclusive perdas e danos:

1) Advertência simples;

2) Advertência com suspensão não remunerada;

3) Demissão.

As sanções acima estabelecidas não representam uma ordem a ser seguida, sendo que a Diretoria da WS Consulting, a seu exclusivo critério, adotará a que julgar mais adequada.

Ademais, se o descumprimento das regras e diretrizes impostas nesta política acarretar qualquer prejuízo a terceiros cuja reparação venha a ser exigida do grupo WS Consulting, serão tomadas as medidas necessárias, em direito de regresso, para reparação dos danos causados.

SEÇÃO 20 – DISPOSIÇÕES FINAIS

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da WS Consulting. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e as boas práticas regidos pela instituição.
Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado aa WS Consulting, entre outros.
Para a solução de controvérsias decorrentes do presente instrumento será aplicado integralmente o Direito brasileiro.

SEÇÃO 21 – VIGÊNCIA E ALTERAÇÕES

Esta política entra em vigor na data de sua publicação no site da WS Consulting (https://www.wsconsulting.com.br/).

A WS Consulting reserva-se o direito de alterar todas as políticas estabelecidas, para adaptá-las a alterações legislativas, normas relativas à utilização de novas tecnologias, ou ainda, sempre que julgar necessário.