Política de Segurança da Informação do Setransol

I. INTRODUÇÃO

A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz de decidir o sucesso de um empreendimento. Mas esse poder, somado à crescente facilidade de acesso, faz desse "ativo" um alvo de constantes ameaças internas e externas. Diante disso, se faz necessário a gestão da informação, de modo a criar procedimentos capazes de garantir a segurança destes ativos em uso, preservando assim a informação gerada ou mantida.

II. OBJETIVO

Estabelecer diretrizes, princípios e responsabilidades, além de orientar na execução das ações relacionadas ao tratamento das informações e ao uso adequado de ativos e/ou informações pelos Colaboradores, Terceiros, e outras partes interessadas nos negócios das empresas do Setransol.

III. DEFINIÇÕES

  • “Colaboradores” significa todos os acionistas, conselheiros, diretores, administradores, empregados, terceirizados, estagiários e menores aprendizes do Setransol;

  • “Confidencialidade” a informação deve estar disponível e somente ser divulgada a indivíduos, entidades ou processos autorizados;

  • “Conformidade” processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas e com aspectos legais e regulatórios relacionados à administração das empresas, dentro de princípios éticos e de conduta estabelecidos pelo Código de Ética e Conduta do Programa de Integridade do Setransol;

  •  “Disponibilidade” as pessoas autorizadas devem obter acesso à informação e aos ativos correspondentes sempre que necessário;

  • “Setransol.” significa o Sindicato das Empresas de Transporte da Costa do Sol e Região Serrana, inscrito no CNPJ/MF sob o nº 04.393.141/0001-72, que hospeda a instância responsável pela aplicação, pelo monitoramento e pela atualização do Programa de Integridade.

  •  “Incidente de Segurança da Informação” evento decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos aspectos da segurança da informação: confidencialidade, integridade ou disponibilidade;

  • “Informação” é a reunião ou conjunto de dados e conhecimentos resultante do processamento, manipulação e/ou organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (humano ou máquina) que a recebe;

  • “Integridade” salvaguarda da exatidão da informação e dos métodos de processamento;

  • “Programa de Integridade do Setransol” significa o conjunto de mecanismos e procedimentos internos específicos de integridade, auditoria e incentivo à denúncia de irregularidades, e o estabelecimento e a aplicação efetiva de valores, princípios e regras pelo Setransol como medidas anticorrupção pelo Setransol, com o objetivo de prevenir, detectar e sanar desvios, fraudes, irregularidades e atos ilícitos ou lesivos, especialmente contra a Administração Pública, nacional ou estrangeira, conforme previsto na Lei Anticorrupção. Compõem conjuntamente o Programa de Integridade, o Código de Ética e de Conduta e as demais políticas, cartilhas, normas e diretrizes que digam respeito ao cumprimento das leis brasileiras anticorrupção e de combate ao suborno e demais legislações;

  • “Risco de Segurança da Informação” estão associados à violação da confidencialidade e integridade, bem como da disponibilidade das informações do Setransol nos meios físicos e digitais;

  • “Segurança da Informação” é o conjunto de ações e controles que tem como objetivo garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos do Setransol;

  • “Terceiros” significa pessoa, física ou jurídica, com a qual o Setransol celebre contratos ou parcerias comerciais ou com a qual o Setransol esteja negociando um contrato ou parceria comercial, incluindo Prestadores de Serviços, Fornecedores de produtos, consultores de negócios relacionados às vendas que negociem com clientes, realizem pesquisas de mercado ou forneçam qualquer outra assistência ao setor de vendas, Representantes, assessores financeiros, advogados, ou consultores em geral;

  • “Usuário” significa Terceiro ou Colaborador, que utilizará recursos de TI para desempenho de atividades laborais.

IV. APLICABILIDADE DA POLÍTICA

Esse documento aplica-se ao Sindicato das Empresas de Transporte da Costa do Sol e Região Serrana e empresas associadas.

Colaboradores ou Terceiros, que observarem quaisquer desvios às diretrizes deste documento, poderão relatar o fato diretamente à Ouvidoria do Setransol, pessoalmente, por meio do e-mail setransol@mar.com.br, que funcionarão de 2ª a 6ª feira no horário comercial, podendo ou não se identificar.

V. RESPONSABILIDADES

  1. TI Corporativo

As responsabilidades da área TI Corporativo ante às diretrizes desta Política são:

  • Prover ampla divulgação da Política e das Normas de Segurança da Informação para administradores, funcionários, estagiários e prestadores de serviços;

  • Promover ações de conscientização sobre segurança da informação para os Colaboradores do Setransol, pelo menos duas vezes ao ano;

  • Propor ações de melhoria da segurança da informação;

  • Estabelecer normas e procedimentos relacionados à instrumentação da segurança da informação, dispondo sobre a propriedade e o uso da informação, a gestão de acessos e identidades e os incidentes de segurança da informação.

    1. Colaboradores e Terceiros

As responsabilidades de Colaboradores e Terceiros ante às diretrizes desta Política são:

  • Cumprir as diretrizes de Segurança da Informação;

  • Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados;

  • Assegurar que os recursos tecnológicos, as informações e os sistemas a sua disposição sejam utilizados apenas para as finalidades de negócio;

  • Não discutir, citar ou compartilhar assuntos confidenciais em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo comentários e opiniões em blogs e redes sociais;

  • Não compartilhar informações confidenciais de qualquer tipo;

  • Comunicar imediatamente à Segurança da Informação qualquer descumprimento ou violação desta política e/ou de suas normas e procedimentos.

 

  1. Suprimentos

Assegurar que contratos com as empresas prestadoras de serviços que possuem acesso às informações, aos sistemas e/ou ao ambiente do Setransol contenham cláusulas que assegurem o cumprimento desta Política de Segurança da Informação, bem como penalidades no caso de descumprimento.

VI. DESENVOLVIMENTO

  1. Monitoramento, propriedade e classificação da informação

As informações produzidas pelos Colaboradores e Terceiros (em formato físico ou digital) são de propriedade exclusiva do Setransol, bem como as informações a ela disponibilizadas, de maneira autorizada, devendo ser utilizadas exclusivamente para o atendimento das finalidades consentidas.

Os equipamentos, meios de comunicação e sistemas do Setransol estão sujeitos a monitoramento, sendo certo que eventuais informações de cunho pessoal tratadas por esses meios ou fornecidas ao Setransol serão abrangidas por referido controle. O monitoramento aqui previsto é de conhecimento de todos os Colaboradores e Terceiros.

As informações e os sistemas de informação, diretórios de rede e bancos de dados são classificados como estritamente confidenciais, e devem ser atribuídas a proprietários, formalmente designados como responsáveis pela autorização de acesso às informações sob a sua responsabilidade.

As informações, seja no período de geração, acesso, guarda, uso, reprodução, transferência e destruição devem ser tratadas em conformidade com cada etapa do ciclo. São exemplos de informações confidenciais:

  • Informação relacionada a pessoa natural identificada ou identificável, como CPF, RG, Título de Eleitor, Carteira de Trabalho, Certificado de Reservista, Carteira de Habilitação, Passaporte, Salário, Função;

  • Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

  • Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações utilizadas na autenticação de identidades. Estas informações são também pessoais e intransferíveis;

  • Ideias, negócios, métodos, informações financeiras, plano de marketing, orçamento, relação ou informações de clientes, segredos comerciais, direitos de propriedade intelectual, conhecimentos técnicos, tecnologia ou conhecimentos confidenciais do Setransol ou de seus clientes, ou informações relacionadas aos negócios ou assuntos do Setransol, ou as matérias relacionadas aos produtos ou serviços comercializados pelo Setransol, que o Empregado tenha em seu poder, ou que lhe sejam transmitidos ou comunicados de alguma forma.

    1. Acessos e identidades

Os acessos às informações e aos ambientes tecnológicos do Setransol devem ser controlados de acordo com sua classificação, tendo em visto o que está descrito no Código de Ética e de Conduta do Setransol, revisados periodicamente, e qualquer usuário, Colaborador ou Terceiro, deve ter acesso somente ao necessário para a realização do seu trabalho, de acordo com dados informados pela área de RH e o gestor imediato do Usuário.

  1. Autenticação e Senha

O Usuário é responsável por todos os atos executados com seu identificador (login / senha), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia. Os Usuários devem:

  • Manter a confidencialidade, memorizar e não registrar a senha em lugar algum. Ou seja, não contá-la a ninguém e não anotá-la em papel;

  • Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;

  • Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ "logado" com a sua identificação;

  • Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del).

  • Alterar senhas temporárias no primeiro acesso ao sistema ou estação de trabalho;

  • Na elaboração de senha a estações de trabalho e sistemas, o Usuário deve considerar o seguinte:

    • Pelo menos uma letra minúscula;

    • Conter pelo menos uma letra maiúscula;

    • Conter números (0 a 9);

    • Conter símbolos incluindo: ! @ # $ % ^ & * - _ + = [ ] { } | \ : ‘ , . ? / ` ~ “ < > ( ) ;

    • Tamanho mínimo de 6 caracteres;

    • Mandatório alterar a senha a cada 180 dias, para Usuário que não seja administrador de rotinas ou sistemas de TI;

    • Mandatório alterar a senha a cada 90 dias, para Usuário que exerça função de administrador, suporte ou desenvolvedor de rotinas ou sistemas de TI.

  • O Usuário deve evitar senhas compostas de elementos facilmente identificáveis por possíveis invasores, como por exemplo:

    • Usar partes do nome do Colaborador ou Terceiro;

    • Identificador do usuário (ID), mesmo que os caracteres estejam embaralhados;

    • Nome de membros de sua família ou de amigos íntimos;

    • Nomes de pessoas ou lugares em geral;

    • Nome do sistema operacional ou da máquina que está sendo utilizada;

    • Nomes próprios;

    • Datas;

    • Números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais;

    • Placas ou marcas de carro;

    • Palavras que constam de dicionários em qualquer idioma;

    • Letras ou números repetidos;

    • Letras seguidas do teclado do computador (ASDFG, YUIOP, QWERTY);

    • Objetos ou locais que podem ser vistos a partir da mesa do usuário (nome de um livro na estante, nome de uma loja vista pela janela);

    • Qualquer senha com menos de 6 caracteres.

 

  1. Equipamentos particulares/privados

Equipamentos particulares/privados, como computadores ou qualquer dispositivo móvel ou portátil que possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar informações relacionadas com o negócio, nem devem ser conectados às redes do Setransol.

  1. Utilização de software

Nos equipamentos mantidos e cedidos pela área de TI, bem como aqueles conectados à rede corporativa do Setransol, somente serão permitidos softwares homologados pela área de TI, com contratos firmados e válidos, assim como foro em território brasileiro, regido pela legislação brasileira aplicável.

VII. ATUALIZAÇÕES DA POLÍTICA

Observadas as suas respectivas atribuições, a área de TI Corporativo será responsável pela implementação, observância, difusão, fiscalização do cumprimento e atualização deste documento. Periodicamente, a Política de Segurança da Informação do Setransol será avaliada, para que sejam feitos os ajustes necessários para sua boa e efetiva aplicação e a Política será revisada a cada 02 (dois) anos ou em período inferior, sempre que se fizer necessário.

VIII. NORMAS DE REFERÊNCIAS

  • Código de Conduta Ética

  • Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001 – Tecnologia da informação. Técnicas de segurança. Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

  • Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 – Tecnologia da informação. Técnicas de segurança. Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.

  • Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27003 – Tecnologia da informação. Técnicas de segurança. Diretrizes para implantação de um sistema de gestão de segurança da informação. Rio de Janeiro: ABNT, 2013.

  • Boas práticas em segurança da informação / Tribunal de Contas da União. – 4. ed. – Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012.