A Política de segurança da Informação e Proteção de Dados do GRUPO I CAN, aplica-se a todos os empregados, prestadores de serviços (autônomos), fornecedores, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da Companhia, ou acesso a informações pertencentes ao GRUPO I CAN.
Todo e qualquer usuário de recursos computadorizados da Companhia tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática, seja nas instalações do GRUPO I CAN, em serviço externo, ou no trabalho em home office.
A violação desta política de segurança é qualquer ato que:
- Exponha a Companhia a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados /ou de informações ou ainda da perda de equipamento.
- Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos.
- Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.
Objetivo da Política de Segurança da Informação:
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio do GRUPO I CAN.
Buscamos a ISO 27001 e os critérios de excelência da FPNQ como referencial.
É Dever de todos dentro do GRUPO I CAN:
Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para o GRUPO I CAN e deve sempre ser tratada profissionalmente.
01 – CLASSIFICAÇÃO DA INFORMAÇÃO
É de responsabilidade cada área utilizar os critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a tabela abaixo:
1 – Pública
2 – Interna
3 – Confidencial
4 – Restrita
Conceitos:
Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral.
Informação Interna: É toda informação que só pode ser acessada por empregados da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.
Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro.
Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização.
Todo Gerente/Supervisor deve orientar sua equipe a não circular informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas.
02 – DADOS PESSOAIS DE EMPREGADOS
O GRUPO I CAN se compromete em não acumular ou manter intencionalmente Dados Pessoais de Empregados além daqueles relevantes na condução do seu negócio.
Todos os Dados Pessoais de Empregados serão considerados dados confidenciais. Dados Pessoais de Empregados sob a responsabilidade do GRUPO I CAN não serão usados para fins diferentes daqueles para os quais foram coletados.
Dados Pessoais de Empregados não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de endereços eletrônicos (e-mails) usados pelos empregados do GRUPO I CAN.
03 – PROGRAMAS ILEGAIS
É terminantemente proibido o uso de programas ilegais (PIRATAS) no GRUPO I CAN. Os usuários não podem, em hipótese alguma, instalar este tipo de “software” (programa) nos equipamentos da Companhia.
Periodicamente, o Setor de Informática fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.
04 – PERMISSÕES E SENHAS
Quando da necessidade de cadastramento de um novo usuário para utilização da “rede”, sistemas ou equipamentos de informática da Companhia, o setor de origem do novo usuário deverá comunicar esta necessidade ao setor de Informática, por meio de memorando ou e-mail, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. A Informática fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada a cada 45 (quarenta e cinco) dias.
Por segurança, a Informática recomenda que as senhas tenham sempre um mínimo de 8 (oito) caracteres alfanuméricos.
Todos os usuários responsáveis pela aprovação eletrônica de documentos (exemplo: pedidos de compra, solicitações e etc) deverão comunicar ao Setor de Informática qual será o seu substituto quando de sua ausência do GRUPO I CAN, para que as permissões possam ser alteradas (delegação de poderes).
Os perfis de acesso ao banco de dados estão definidos no 08 e quanto ao uso de e-mail no item 13.
05 – COMPARTILHAMENTO DE PASTAS E DADOS
É de obrigação dos usuários rever periodicamente todos os compartilhamentos existentes em suas estações de trabalho e garantir que dados considerados confidenciais e/ou restritos não estejam disponíveis a acessos indevidos.
06 – CÓPIA DE SEGURANÇA (BACKUP) DO SISTEMA INTEGRADO E SERVIDORES DE REDE
Cópias de segurança do sistema integrado (Plataforma Cansystem) e servidores de rede são de responsabilidade da Informática e deverão ser feitas diariamente.
Os dados da Plataforma Cansystem estão armazenados em servidor contratado que também realiza mensalmente backup dos dados.
07 – PROPRIEDADE INTELECTUAL
É de propriedade do GRUPO I CAN, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer empregado durante o curso de seu vínculo empregatício ou da prestação de serviços como autônomo para o GRUPO I CAN.
08 – USO DO AMBIENTE WEB ( Internet)
O acesso à Internet será autorizado para os usuários que necessitarem da mesma para o desempenho das suas atividades profissionais no GRUPO I CAN. Sites que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados.
O uso da Internet será monitorado pelo Setor de Informática, inclusive através de “logs” (arquivos gerados no servidor) que informam qual usuário está conectado, o tempo que usou a Internet e qual página acessou.
A definição dos empregados que terão permissão para uso (navegação) da Internet é atribuição da Direção da Companhia, com base em recomendação do Supervisor de Informática.
Não é permitido instalar programas provenientes da Internet nos microcomputadores do GRUPO I CAN, sem expressa anuência do setor de Informática, exceto os programas oferecidos por órgãos públicos federais, estaduais e/ou municipais.
Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros.
Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites:
De estações de rádio;
De conteúdo pornográfico ou relacionados a sexo;
Que defendam atividades ilegais;
Que menosprezem, depreciem ou incitem o preconceito a determinadas classes;
Que promovam a participação em salas de discussão de assuntos não relacionados aos negócios do GRUPO I CAN;
Que promovam discussão pública sobre os negócios da A GRUPO I CAN, a menos que autorizado pela Diretoria;
Que possibilitem a distribuição de informações de nível “Confidencial”.
Que permitam a transferência (downloads) de arquivos e/ou programas ilegais.
Em contrato com os empregados ou prestadores de serviço autônomo ficará previsto a questão de uso de internet que não seja concedida pelo Grupo I CAN.
09 – USO DO CORREIO ELETRÔNICO – (“e-mail”)
O correio eletrônico fornecido pelo GRUPO I CAN é um instrumento de comunicação interna e externa para a realização do negócio do GRUPO I CAN.
As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem do GRUPO I CAN, não podem ser contrárias à legislação vigente e nem aos princípios éticos do GRUPO I CAN.
O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.
É terminantemente proibido o envio de mensagens que:
Contenham declarações difamatórias e linguagem ofensiva;
Possam trazer prejuízos a outras pessoas;
Sejam hostis e inúteis;
Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
Possam prejudicar a imagem da organização;
Possam prejudicar a imagem de outras empresas;
Sejam incoerentes com as políticas do GRUPO I CAN.
Para incluir um novo usuário no correio eletrônico, a respectiva Gerência deverá fazer um pedido formal ao Setor de Informática, que providenciará a inclusão do mesmo.
A utilização do “e-mail” deve ser criteriosa, evitando que o sistema fique congestionado.
Em caso de congestionamento no Sistema de correio eletrônico o Setor de Informática fará auditorias no servidor de correio e/ou nas estações de trabalho dos usuários, visando identificar o motivo que ocasionou o mesmo.
Não será permitido o uso de e-mail gratuitos (liberados em alguns sites da web), nos computadores do GRUPO I CAN.
O Setor de Informática poderá, visando evitar a entrada de vírus no GRUPO I CAN , bloquear o recebimento de e-mails provenientes de sites gratuitos.
O Setor de Informática é responsável pelo desempenho do fornecedor de e-mail corporativo.
10 – NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS E/OU EQUIPAMENTOS
O Setor de Informática é responsável pela aplicação da Política do GRUPO I CAN em relação a definição de compra e substituição de “software” e “hardware”, e-mail corporativo, e-mail marketing, empresas de armazenamento de dados.
Qualquer necessidade de novos programas (“softwares”) ou de novos equipamentos de informática (hardware), etc deverá ser encaminhada proposta para a Diretoria do Grupo I CAN PELO responsável pelo Setor de Informática.
Não é permitido a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários.
11 – USO DE COMPUTADORES PESSOAIS (LAP TOP) DE PROPIEDADE DO GRUPO I CAN
Os usuários que tiverem direito ao uso de computadores pessoais (laptop ou notebook), ou qualquer outro equipamento computacional, de propriedade do GRUPO I CAN, devem estar cientes de que:
Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a
realização de atividades profissionais.
A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário.
É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo.
O usuário não deve alterar a configuração do equipamento recebido.
Alguns cuidados que devem ser observados:
Fora do trabalho:
Mantenha o equipamento sempre com você;
Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
Quando transportar o equipamento em automóvel utilize sempre o porta malas ou lugar não visível;
Atenção ao transportar o equipamento na rua.
Em caso de furto
Registre a ocorrência em uma delegacia de polícia;
Comunique ao seu superior imediato e ao Setor de Informática;
Envie uma cópia da ocorrência para o Setor de Informática.
O pacote Office Profissional foi adquirido pelo Grupo I CAN e instalado nos notebooks. Esses equipamentos são considerados um ativo (bem patrimonial).
Ao receber o equipamento o empregado ou prestador de serviço autônomo deve assinar um Termo de Custódia.
12 – RESPONSABILIDADES DOS GERENTES/SUPERVISORES
Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus empregados aos sistemas e informações da Companhia, cabendo a eles verificarem se os mesmos estão acessando exatamente as rotinas compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.
O Setor de Informática fará auditorias periódicas do acesso dos usuários às informações, verificando:
Que tipo de informação o usuário pode acessar;
Quem está autorizado a acessar determinada rotina e/ou informação;
Quem acessou determinada rotina e informação;
Quem autorizou o usuário a ter permissão de acesso à determinada rotina ou informação;
Que informação ou rotina determinado usuário acessou;
Quem tentou acessar qualquer rotina ou informação sem estar autorizado.
13 – SISTEMA DE TELECOMUNICAÇÕES
O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos do GRUPO I CAN, assim como, o uso de eventuais ramais virtuais instalados nos computadores, é responsabilidade do setor de Informática, de acordo com as definições da Diretoria do GRUPO I CAN.
O fornecimento de aparelho celular e de chips será mediante aprovação da Diretoria.
Ao receber o equipamento ou chip o empregado ou prestador de serviço autônomo deve assinar um Termo de Custódia.
Ao final de cada mês, para controle, serão enviados relatórios informando a cada gerência quanto foi gasto por cada ramal ou por chip.
14 – USO DE ANTI-VÍRUS
Todo arquivo em mídia proveniente de entidade externa do GRUPO I CAN deve ser verificado por programa antivírus.
Todo arquivo recebido / obtido através do ambiente Internet deve ser verificado por programa antivírus. Todas as estações de trabalho devem ter um antivírus instalado. A atualização do antivírus será automática, agendada pelo setor de Informática, via rede.
O usuário não pode em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.
15 – PENALIDADES
O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.
