Política de Segurança da Informação

Clique aqui para fazer o download desta Política de Segurança da Informação

1. Objetivo

O objetivo é assegurar a proteção a todas as atividades relacionadas à tecnologia da informação na empresa iFractal. Nela serão estabelecidos padrões de segurança que visam garantir os princípios de segurança da informação:

Integridade: garantir que a informação não sofra nenhum tipo de modificação sem autorização.

Confidencialidade: garantir o acesso à informação somente para pessoas autorizadas.

Disponibilidade: sempre que necessário, garantir o acesso a informações por usuários autorizados.

Outra finalidade é aumentar a consciência dos usuários sobre as suas responsabilidades com a iFractal e alertar sobre a importância do sigilo de informações, além de encorajar o comportamento ético e correto a todos aqueles que utilizam os recursos computacionais da organização.

2. Público alvo

Esta  política destina-se a todos os colaboradores, clientes e  parceiros da empresa iFractal.

Colaboradores são pessoas contratadas, como estagiário, regime CLT e pessoa jurídica que presta serviço interno ou externo para iFractal.

3. Regras

3.1 Regra geral

Os documentos sobre Segurança da Informação devem ficar disponíveis em nossos servidores para acesso dos colaboradores e protegido contra alterações.

Clientes e parceiros da iFractal devem ter acesso a essa política, através do site da empresa.

As Políticas de Segurança de Informação são revisadas anualmente pela área de Processos e Infraestrutura, sendo encaminhado para Diretoria de Tecnologia para aprovação.

3.2 Políticas gerais de Segurança da Informação

Acesso a informações

– A manipulação, divulgação ou uso indevido da informação e dos recursos computacionais da iFractal é expressamente proibida.

Correio eletrônico

– Evitar divulgar nome e email pessoal no atendimento prestado aos clientes, parceiros da iFractal e listas públicas. Dê preferência utilize e-mail corporativo, dados do círculo e papel exercido.

– Para prestar suporte técnico e esclarecer dúvidas de clientes, os colaboradores devem utilizar o email de uso compartilhado.

– A utilização desse serviço para fins pessoais é permitida desde que seja feita com bom senso.

– As mensagens de correio eletrônico sempre deverão incluir uma assinatura com o seguinte formato: nome do colaborador, nome do círculo, telefone e site da empresa, logo da empresa.

Rede

– Nenhum usuário pode monitorar o tráfego da rede ou simular algum dispositivo da rede, sem a devida autorização da Diretoria de Tecnologia.

– A Infraestrutura deve bloquear o acesso a rede de equipamentos que não possuem Mac Address cadastrado no roteador.

– O acesso a rede wifi por visitas deve ser permitido em rede separada da intranet e mediante inserção de senha de acesso.

Ferramentas de trabalho

– Identificar qual sistema operacional fornece os melhores recursos para as aplicações requeridas. Desabilitar as funções e comandos não necessários para a boa execução dos aplicativos. Manter atualizar o sistema operacional e aplicativos.

– Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede indicados pela empresa.

Senhas

– Em caso de tentativas de acesso incorreto, as contas de acesso devem ser bloqueadas e um relatório de ocorrência gerado ao administrador do recurso.

– É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

– As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos, compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

– Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso haja suspeita que terceiros possam ter obtido acesso indevido ao seu login/senha.

– Todas as senhas de acesso às soluções dos clientes devem ser modificadas quando houver a demissão de um colaborador e seu login deve ser bloqueado. O círculo responsável por essas atividades é Infraestrutura.

Concessão de acessos

– É a Diretoria de Tecnologia que concede os acessos aos colaboradores, considerando critérios de privilégio e o papel exercido pelo mesmo.

Reportar riscos

– Os riscos às informações da iFractal devem ser comunicados ao círculo de Infraestrutura, que comunica a Diretoria da iFractal dependendo da gravidade.

Patches de Segurança

A Infraestrutura deve identificar e acompanhar nos sites de desenvolvedores de software a disponibilidade de atualizações de segurança que envolvam risco de vulnerabilidade na rede e servidores da iFractal, conforme documentação Patches de Segurança.

3.3 Tratamento da informação

As informações dos clientes são criptografadas nos sistemas e todas as alterações realizadas pelos usuários são registradas no banco de dados com login, nome, número do IP da pessoa que realizou a modificação.

3.4 Principais controles de segurança da informação

A iFractal adota os seguintes processos para a proteção das informações:

– Para reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos principais sistemas, é importante discutir planos de contingência e a continuidade desses sistemas pelo menos uma vez no ano.

Responsabilidade dos Diretores de Tecnologia e Infraestrutura:

– Os colaboradores utilizam o mesmo login e senha para acesso a solução dos clientes e atendimento das solicitações via email. O controle é realizado baseado no equipamento de trabalho.

– O círculo Projetos na fase de levantamento de escopo de um projeto ou sistema, precisa identificar os requisitos de segurança da informação, incluindo a necessidade de planos de contingência. É importante documentar os requisitos com justificativas e quando implementados realizar testes.

– O acesso aos servidores de produção e homologação é limitado por IP’s específicos e administrado pela Diretoria de Tecnologia e responsável pela Infraestrutura.

– Os servidores devem ser monitorados periodicamente pelos diretores de tecnologia e responsável pela infraestrutura, com uso de ferramentas de monitoria de saúde e contra acesso indevido.

– O ambiente de produção é controlado pelos círculo de infraestrutura, que analisa as solicitações de mudanças que precisam ser aplicadas nas soluções.

– Para conscientizar os colaboradores quanto os Princípios de Segurança da Informação, a iFractal promove anualmente ou quando necessário, apresentações, reuniões sobre o tema visando a capacitação e conscientização de Segurança de Informação, além de disponibilizar a documentação aos colaboradores.

– Projetos e inovações advindas da área de negócios e tecnologia, devem estar alinhadas com a política e arquitetura de Segurança da iFractal. Toda nova mudança precisa ser comunicado a todos os círculos da empresa.

– É responsabilidade do administrador a execução de backups periódicos, dos dados armazenados no(s) servidor(es) de arquivos, sendo que o mesmo deve ser realizado no mínimo semanalmente.

– Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a iFractal, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.

– Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

– A internet pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos.

A iFractal não possui processos de segurança física do ambiente, pois toda a infraestrutura de Data Center é terceirizada.

3.5 Propriedade intelectual

Os bens e serviços da tecnologia da informação utilizados pela iFractal são de sua propriedade ou custodiados de seus clientes.

Para preservar os direitos de propriedade, todos os bens e serviços de tecnologia da informação adquiridos, desenvolvidos, disponibilizados ou mantidos pela iFractal deverão ser protegidos através de cláusulas contratuais, termos de responsabilidade e/ou outra forma legal de proteção, bem como registros de patentes, quando necessário.

Não é permitido a entrada de equipamentos, nem a retirada de qualquer bem da empresa, sem antes a devida autorização dada pela gerência do setor responsável.

Como todos os bens e serviços oferecidos são de propriedade da iFractal, os usuários devem manter o zelo por esses bens e serviços, além de respeitar e seguir as normas propostas na Política de Segurança.

Os bens e serviços são da iFractal, os usuários não poderão usufruir desses bens ou serviços para benefício próprio, ou de outrem senão para a empresa.

3.6 Declaração de responsabilidade

Os colaboradores devem assinar o Termo de responsabilidade, comprometendo-se a agir de acordo com as Políticas de Segurança da Informação.  Um outro documento assinado pelos colaboradores é o Termo de responsabilidade pela Guarda de Uso do Equipamento de trabalho. Os laptops são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido, desde que não prejudique o desempenho dos sistemas e serviços.

Os parceiros da iFractal devem aderir formalmente ao Contrato de revenda autorizada, que possui cláusula de confidencialidade dos recursos sistêmicos e informações da iFractal ou de seus clientes.

3.7 Responsabilidades

As políticas de segurança de informação são definidas, discutidas e supervisionadas pela Diretoria de Tecnologia e responsável pela Infraestrutura da iFractal.

É responsabilidade do colaborador , todo prejuízo ou dano que vier a causar para iFractal, em decorrência da desobediência da Política de Segurança da Informação.

Infraestrutura

– Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança da informação.

– Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.

– Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para iFractal.

– Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelo círculo de Relacionamento.

– Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.

– Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.

– Propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos.

– Avaliar os incidentes de segurança e propor ações corretivas.

Diretoria de tecnologia

Definir as medidas cabíveis nos casos de descumprimento desta política.

Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave.

3.7 Penalidades

Da falta grave cometida:

Para efeito de política de segurança considera-se uma falta grave:

– Repassar qualquer informação de exclusividade da organização iFractal para terceiros ou quaisquer pessoas que não as precisem.

– Facilitar meios de outras pessoas conseguirem essas informações ou mesmo ajudá-las.

– Manipulação de quaisquer tipos de documentos eletrônicos, meios magnéticos ou mesmo o próprio desvio de informações, para um uso próprio ou de terceiros.

– Participar de quaisquer tipos de ataques a sistemas de informação. Não importando o grau de funcionalidade do ataque.

– Obter indevidamente acessos a recursos de qualquer natureza, que não seja de responsabilidade do indivíduo.

– Instalação de qualquer software ou hardware que não seja de conhecimento e consentimento do círculo Infraestrutura, ou mesmo que facilite acesso a informações da empresa iFractal.

É proibido aos colaboradores o uso do correio eletrônico da iFractal:

Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

Produzir, transmitir ou divulgar mensagem que:

  • Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
  • Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
  • Visa obter acesso não autorizado a outro computador, servidor ou rede;
  • Visa burlar qualquer sistema de segurança;
  • Visa vigiar secretamente ou assediar outro usuário;
  • Visa acessar informações confidenciais sem explícita autorização do proprietário;
  • Visa acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
  • Inclua imagens criptografadas ou de qualquer forma mascaradas;
  • Tenha conteúdo considerado impróprio, obsceno ou ilegal;
  • Realizar envio de dados de clientes importados do sistema.

O não cumprimento dos requisitos previstos neste documento acarretará em violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.

Parceiros e revendas

Na ocorrência de qualquer dos eventos acima, a iFractal® estará autorizada a descredenciar imediatamente a REVENDA e a comunicar ao Poder Público de competência, devendo avisar à REVENDA sobre as medidas tomadas, através de mensagem de correio eletrônico dirigida aos endereços indicados PELA REVENDA, para que tome as providências que julgar pertinentes, de cunho legal ou judicial.