1. Objetivo da Política de Segurança da Informação – PSI
Este documento tem por objetivo assegurar que todos os ativos de informação, sejam eles físicos ou lógicos, estejam identificados, classificados, controlados e protegidos contra ameaças e riscos da informação da PGO. A informação, por sua vez, é um ativo que deve ser adequadamente utilizado e protegido. A adoção das políticas e procedimentos visam garantir a segurança da informação e deve ser de prioridade da empresa, reduzindo os riscos de falhas, danos ou prejuízos que possam comprometer a imagem e os objetivos da companhia.
A adoção das políticas e procedimentos visam garantir a segurança da informação e deve ser prioridade da empresa, reduzindo os riscos de falhas, danos ou prejuízos que possam comprometer a imagem e os objetivos da companhia.
2. Escopo da PSI
Este documento é uma declaração formal da empresa sobre seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores, estagiários, bolsistas e demais parceiros. Seus objetivo é estabelecer as diretrizes a serem seguidas no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação.
3. Glossário da Política
- Ativos de Informação: Conjunto de informações, armazenado de modo que possa ser identificado, inventariado e reconhecido como valioso para a empresa.
- Ativos lógicos de informação: Bases de dados, arquivos, documentação de sistemas, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, aplicativos, sistemas de informação.
- Ativos fixos: Equipamentos computacionais (processadores, computadores, computadores portáteis, modems, servidores, etc), equipamentos de comunicação (roteadores, PABX, impressora, secretárias eletrônicas, etc), mídias de armazenamento ópticos e magnéticos (fitas, CDs, discos rígidos, etc.).
- Colaborador: Prestadores de serviços da PGO, bem como qualquer prestador de serviço, estagiário ou terceiro que trabalham alocados dentro de qualquer localidade da empresa.
- Confidencialidade: Somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação.
- Disponibilidade: A informação deve estar disponível para as pessoas autorizadas sempre que necessário.
- Informação: Resultado do processamento, formatação e organização de dados ou registros de um sistema. Também são considerados os dados enviados pelo cliente para tratamento interno. Como regra geral, uma informação é sempre composta por dados, mas um conjunto de dados nem sempre é considerado informação.
- Integridade: Somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações.
- Autenticidade: É a garantia que os usuários em um processo de comunicação, são quem dizem ser.
- Continuidade: É o objetivo da segurança da informação de que o Recurso de TI continuará disponível e operante ao longo do tempo, mesmo que ocorram situações que impactem este recurso.
- Desastre: É uma situação que causa indisponibilidade ou alteração indevida dos Recursos de TI, causada por elementos da natureza ou equipamentos e ambientes construídos pelo homem ou uma ação no ambiente computacional, através de programas ou ações que alteram indevidamente as informações, porém não modificando as características do meio físico onde essas informações estão armazenadas.
- Informação: Resultado do processamento, formatação e organização de dados ou registros de um sistema. Também são considerados os dados enviados pelo cliente para tratamento interno. Como regra geral, uma informação é sempre composta por dados, mas um conjunto de dados nem sempre é considerado informação.
- Integridade: Somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações.
- Sistemas de informação: Todos os sistemas computacionais que são utilizados pela empresa para suportar suas operações.
- Acesso remoto: É a forma de acesso à distância ao ambiente PGO através de um recurso de telecomunicações (infraestrutura de rede pública). Normalmente esse acesso se faz quando o usuário está fora das instalações, como, por exemplo, em casa ou em viagem.
- Ambiente de Produção: É o ambiente computacional onde são executados os programas que possibilitam a realização operacional dos negócios da PGO ou de seus clientes. As informações deste ambiente são reais, válidas, verdadeiras e possuem valor legal quando disponibilizadas para usuários, clientes e órgãos governamentais.
- Antivírus ou Endpoints: Software que identifica, previne, detecta e elimina malwares como vírus, worms e cavalos de tróia, tratando-os conforme o nível da infecção digital. Esse software normalmente é configurado para remover os malwares, mantendo a integridade do sistema e dos acessos.
- Cópia de segurança ou Backup: É a cópia das informações de um determinado Recurso de TI ou informação, que tem por finalidade a possibilidade de recuperação desses dados quando da ocorrência de situações que gerem indisponibilidade das informações originais.
- Criptografia: Técnicas utilizadas para transformar a informação da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da “chave secreta”), o que a torna difícil de ser lida por alguém não autorizado.
- Mídia Removível: É uma forma de armazenamento e transporte de informação que pode ser retirada do seu aparelho de leitura, conferindo portabilidade para os dados que carrega, como exemplo: pen-drive, fita, HD externo, players, CD, DVD, Blu-Ray, cartão de memória, bluetooth e infravermelho.
- Estação de trabalho: Computador/Recurso utilizado na realização de tarefas relativas ao trabalho.
- Incidente de Segurança: Qualquer evento que resulte em perda ou dano aos ativos da Organização, ou qualquer ação que desrespeite as regras de segurança.
- RBAC – Controle de acesso baseado em função, uma forma de gerenciar o acesso de usuários a sistemas, redes ou recursos com base na função que desempenham.
- MFA – é uma tecnologia de segurança que exige que o usuário forneça mais de uma forma de identificação para fazer login em uma conta ou serviço online.
4. Diretrizes da PSI
Este documento é uma declaração formal da empresa sobre seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores, estagiários e terceiros. Seu objetivo é estabelecer as diretrizes a serem seguidas no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação. Seguem abaixo como serão apresentadas as diretrizes da Política da Segurança da Informação da PGO.
4.1. Informações gerais
Todos os sistemas e ambientes de tecnologia bem como documentos físicos utilizados pelos usuários são de propriedade exclusiva da PGO não devendo ser interpretado como de uso pessoal.
Todos os colaboradores e demais parceiros da PGO devem ter ciência que o uso das informações da PGO e de clientes e parceiros devem ser mantidos sob total sigilo e apenas utilizados no dever de seu exercício profissional na PGO.
4.2. Comportamento seguro
A informação está presente no trabalho de todos, independente de qual maneira, meio ou forma. Sendo assim, se faz fundamental a proteção e segurança destas informações através de comportamento seguro e consistente com o objetivo de proteção das informações.
4.3. Abrangência da Política
A divulgação desta política deve ser para todos colaboradores, estagiários e demais parceiros da PGO e de maneira que seu conteúdo possa ser acessado a qualquer momento.
4.4. Papéis e Responsabilidades
Cabe a todos colaboradores e demais parceiros da PGO:
- Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da PGO;
- Manter completo sigilo sobre as informações da PGO que tomar conhecimento,que acessar e também as por mim geradas em razão da minha atividade profissional, sendo vedada:
- Sua divulgação não autorizada para terceiros, independente se no ambiente físico ou eletrônico, inclusive na Internet e nas Mídias Sociais;
- A realização de cópias ou alterações não autorizadas, em decorrência direta ou indireta da execução das minhas atividades.
- Buscar orientação do Comitê de Segurança da Informação em caso de dúvidas relacionadas à segurança da informação;
- Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual;
Comunicar imediatamente aos membros do Comitê de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos.
4.5. Controle de Acesso Físico
As dependências da PGO são protegidas por controles físicos de forma a garantir o acesso somente de pessoas autorizadas ou funcionários da empresa.
5. Critérios de classificação da Informação
A classificação das informações deve ser baseada em seu valor, criticidade e sensibilidade.
5.1 Níveis de Classificação:
- Pública: Informações que podem ser divulgadas sem prejuízo à organização. Exemplo: releases de imprensa, relatórios anuais públicos.
- Interna: Informações de uso interno, que podem ser acessadas por todos os colaboradores, mas não devem ser divulgadas externamente. Exemplo: políticas internas, guias de processos.
- Confidencial: Informações que exigem um nível de proteção mais elevado, acessíveis apenas por colaboradores autorizados. Exemplo: dados de clientes, contratos comerciais.
- Secreta: Informações altamente sensíveis, cuja divulgação pode causar grande prejuízo à organização. Exemplo: segredos comerciais, planos estratégicos.
5.2. Critérios para Definição dos Níveis:
- Impacto: Analisar o impacto da divulgação não autorizada, alteração ou destruição da informação.
- Sensibilidade: Determinar a sensibilidade da informação em termos legais, regulatórios ou de
- Necessidade de Compartilhamento: Identificar o grau de necessidade de compartilhamento interno e externo das informações.
6. Controles de Segurança para Classificação
Cada nível de classificação deve ter controles específicos para assegurar a proteção adequada:
6.1. Informações Públicas
- Não requerem controles de acesso restritos, mas devem ser protegidas contra alterações não
- Backup periódico.
6.2. Informações Internas
- Controle de acesso baseado em permissões (somente colaboradores).
- Autenticação forte para sistemas que hospedam essas informações.
- Monitoramento de acessos e modificação.
6.3. Informações Confidenciais
- Controle de acesso com base em funções (RBAC).
- Uso de criptografia em repouso e em trânsito.
- Auditoria de
- Políticas de não compartilhamento externo sem aprovação.
6.4. Informações Secretas
- Controle de acesso extremamente restrito (mínimo privilégio).
- Criptografia de ponta a
- Autenticação multifator (MFA).
- Revisões periódicas de
- Descarte seguro das informações.
7. Remoção Segura de Informações
A remoção segura de informações é essencial para garantir que os dados não sejam recuperados indevidamente. Isso inclui:
7.1. Métodos de Descarte
- Sobrescrita de dados: Sobrescrever a mídia de armazenamento com padrões binários (zero ou aleatório) múltiplas vezes para garantir que os dados anteriores não possam ser recuperados.
- Destruição física: Destruir fisicamente a mídia (ex.: fragmentação de discos rígidos, incineração de documentos físicos).
- Desmagnetização: Utilização de um desmagnetizador para remover dados armazenados em mídias magnéticas (HDs).
- Eliminação Criptográfica: Quando os dados estão criptografados, a remoção da chave de criptografia pode inviabilizar a recuperação das informações, mesmo que os dados permaneçam na mídia.
7.2. Prazos para Retenção e Descarte
- Definir prazos para a retenção de diferentes tipos de informações, de acordo com regulamentações aplicáveis e necessidades de negócios.
- Estabelecer procedimentos claros para o descarte seguro, quando o período de retenção
8. Controles Adicionais
Para complementar as medidas de proteção da classificação e remoção de informações, os seguintes controles devem ser adotados:
8.1. Controle de Acesso
- Princípio do menor privilégio: os usuários só devem ter acesso às informações estritamente necessárias para o desempenho de suas funções.
- Revisões periódicas dos acessos
8.2. Criptografia
- Informações classificadas como “Confidenciais” ou “Secretas” devem ser criptografadas tanto em trânsito quanto em repouso.
- Implementação de gestão de chaves segura e com rotação periódica.
8.3. Monitoramento e Auditoria
- Monitoramento contínuo dos acessos e atividades relacionadas às informações
- Auditorias periódicas para verificar conformidade com a política de segurança da informação.
8.4. Treinamento e Conscientização
- Todos os colaboradores devem ser treinados para identificar e proteger as informações de acordo com sua classificação.
- Programas de conscientização contínuos sobre práticas de segurança da informação.
9. Conformidade com Normas e Regulamentações
A política de segurança da informação está sendo alinhada às normas internacionais e legislações aplicáveis, como:
- LGPD (Lei Geral de Proteção de Dados) no
- ISO/IEC 27001: Padrão de sistema de gestão de segurança da informação.
- NIST: Normas e diretrizes de segurança cibernética.
- NBR ISO/IEC 17799:2005 – Código de prática que estabelece diretrizes para a gestão da segurança da informação em organizações;
- ABNT 21:204.01-010 – Código de prática para a gestão da segurança da informação
- Lei 609/98 – Lei do Software
- Lei nº 709, de 14 de agosto de 2018 – LGPD, Lei Geral de Proteção de Dados.
10. Política de Senha
Os acessos aos recursos de Tecnologia da Informação da PGO devem ser controlados e monitorados, sendo que todos os colaboradores e prestadores de serviço devem possuir obrigatoriamente identificação única para todo o tipo de acesso, desde conexões remotas ou locais.
Os colaboradores e terceiros devem estar cientes dos impactos que ações contra esta Política de Segurança da Informação podem causar às informações à PGO.
As senhas são utilizadas por todos os sistemas, estações de trabalho e servidores e são consideradas necessárias como meio de autenticação. A política de senhas recomendada pelos sistemas envolve o uso de senhas fortes e seguras, com uma série de boas práticas a serem seguidas. As senhas devem ser trocadas periodicamente, preferencialmente a cada 60 dias.
Para implementar controles eficientes, pode-se adotar:
- Força mínima de senha: exigir senhas com uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.
- Política de expiração de senhas: definir um período máximo de validade (ex: 60 dias).
- Autenticação multifator (MFA): sempre que possível, ativar MFA para camadas adicionais de proteção.
- Bloqueio após tentativas falhas: definir um número limitado de tentativas de login antes do bloqueio temporário da conta.
Esses critérios aumentam a segurança contra ataques cibernéticos e o uso indevido de credenciais.
11. Trabalho Remoto
Está autorizada a realização do trabalho remoto pelos funcionários e colaboradores da PGO, desde que sejam obedecidas as regras de segurança para garantir que não irão ocorrer incidentes de trabalho decorrentes desta modalidade.
12. Utilização de recursos computacionais
12.1. Estações de trabalho
- Todos os computadores portáteis devem possuir:
- Software antivírus atualizado;
- Correções de segurança (hotfix, service pack) fornecidas pelo fabricante aplicadas;
- Criptografia de disco gerenciada pela infraestrutura de TI (Criptografia de Unidade de Disco BitLocker);
- Os dispositivos não homologados só poderão ter acesso à rede de visitantes;
- Deve ser observado o procedimento para concessão e controle de acesso a visitantes que, durante a permanência em instalações da PGO, necessitem conectar seus dispositivos móveis à internet;
- A concessão de acesso à rede de visitantes deve estar associada à conscientização das regras internas de uso da rede.
12.2. Utilização de equipamentos particulares / terceiros dentro da empresa
Notebooks particulares para serem usados dentro da rede das empresas abrangidas neste documento, precisam ser avaliados pela TI.
Equipamentos de terceiros devem ser levados ao suporte para serem verificadas atualização do antivírus, sistema operacional e pachs de segurança.
É responsabilidade da área contratante encaminhar os terceiros sob sua responsabilidade para esta verificação.
12.3. Dispositivos de armazenamento externo
Entende-se por dispositivo externo de armazenamento todo dispositivo capaz de armazenar informações (dados) para posterior consulta ou uso. Um dispositivo de armazenamento pode guardar informação, processar informação ou ambos. (exemplo: HD externo, pen-drives, celulares com função de disco usb, CDs, DVDs, HDs Virtuais, etc).
É proibida a gravação de informações relacionadas às atividades da PGO em dispositivos externos de armazenamento de dados. Pen-Drives e HD’s Externos, assim como gravação de CD’s são proibidos.
12.4. Instalação de Softwares
Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser solicitado via chamado à Infraestrutura TI, para que o mesmo possa ser homologado e só assim ser disponibilizado para a área requerente.
12.5. Acesso à VPN (Virtual Private Network)
Todos os colaboradores (exceto terceiros), que necessitam acesso à rede PGO para utilizar dados confidenciais ou internos fora de um dos endereços da empresa devem fazê-lo utilizando uma conexão VPN (Virtual Private Network).
O acesso através de um túnel VPN faz com que seja fornecida uma conexão segura e estabelece a proteção da comunicação através da Internet pública.
13. Incidentes da Segurança da Informação
O processo de tratamento de incidentes é tratado por um processo à parte dentro do sistema de gestão de segurança da informação. Nesta política iremos contemplar a questão da identificação e comunicação dos incidentes.
13.1. Identificação e comunicação
A identificação dos incidentes ocorre por monitoração da Infraestrutura de TI dos dispositivos de segurança tecnológica, ou por notificação dos diretores, funcionários ou demais colaboradores da PGO ao time de segurança da informação. Comitê de Segurança da Informação.
14. Aspectos Legais
Todos os colaboradores, estagiários e parceiros da PGO devem assinar um termo de compromisso, no qual se comprometem a seguir as determinações da Política de Segurança da Informação da PGO.
A alta direção da PGO está comprometida com todos os requisitos e determinações legais de forma a garantir a segurança e privacidade de toda a empresa e dos seus dados.
15. Violações da Política de Segurança da Informação e Sanções
Nos casos em que houver violação desta política, sanções administrativas e/ou legais poderão ser adotadas, sem prévio aviso, podendo culminar com o desligamento e eventuais processos, se aplicáveis.
O colaborador ou terceiro infrator poderá ser notificado e a ocorrência da transgressão imediatamente comunicada ao seu gestor imediato, à diretoria correspondente e à Presidência.
16. Canal de ética
- Atendimento telefônico: 51 3017-1257
- E-mail: dpo@pgocupacional.com.br
17. Vigência e validade
A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado.