NORMA DE SERVIÇO Nº 811 15

TEMA: SEGURANÇA DA INFORMAÇÃO ENTRADA EM VIGOR

23 11 15

ASSUNTO: SEGURANÇA NAS COMUNICAÇÕES DATA DA PUBLICAÇÃO

23 11 15

INDÍCE

1. INTRODUÇÃO
2. OBJECTIVO
3. ÂMBITO
4. FUNÇÕES E RESPONSABILIDADES
5. TERMOS E DEFINIÇÕES
6. DIRECTRIZES
6.1. Controlos de Redes
6.2. Segurança dos Serviços de Rede
6.3. Segregação de Redes
6.4. Transferência de Informações
6.5. Acordos para Transferência de Informações
6.6. Mensagens Electrónicas
6.7. Correio Electrónico
6.8. Acordos de Confidencialidade e não Divulgação
7. DOCUMENTOS DE REFERÊNCIA
8. REFERÊNCIA NORMATIVA

MOD. 003 Banco de Poupança e Crédito

 Pág:

DATA:01 23 11 15 NORMA DE SERVIÇO

Nº 811/15

1. INTRODUÇÃO

A presente norma, estabelece os critérios para garantir a operacionalização segura e correcta

dos recursos de processamento da informação do Banco de Poupança e Crédito, S.A.

2. OBJECTIVO

Esta Norma de Serviço, visa divulgar os procedimentos de Segurança das Comunicações, no

escopo do Sistema de Gestão de Segurança da Informação do Banco.

3. ÂMBITO

Esta Norma destina-se a todas às áreas envolvidas no Sistema de Gestão de Segurança da

Informação do Banco.

4. FUNÇÕES E RESPONSABILIDADES

Colaboradores:

 Conhecer e cumprir as determinações estabelecidas nesta Norma visando maior segurança das
informações e activos de informação.

Direcção de Tecnologia da Informação:

 Implementar os requisitos e controlos de Segurança da Informação descritos nesta Norma.

Gabinete de Segurança da Informação:

 Definir e comunicar os requisitos de segurança da informação para as comunicações do Sistema

de Gestão de Segurança da Informação.
 Aprovar desvios e excepções às regras desta norma.

5. TERMOS E DEFINIÇÕES

As definições dos termos e expressões utilizadas neste documento normativo constam da

Norma de Serviço Nº 800/15 de 19 de Outubro de 2015 - Glossário Normativo.

MOD. 003 Banco de Poupança e Crédito

 Pág:

DATA:02 23 11 15 NORMA DE SERVIÇO

Nº 811/15

DIRECTRIZES

6.1. Controlos de Redes

A utilização de recursos de rede do Banco deve ser feita de forma protegida visando
preservar a confidencialidade, a integridade e a disponibilidade dos activos, devendo ser
gerida pela DTI.

A rede deve ser configurada para prover alto desempenho e confiabilidade a fim de
atender as necessidades do negócio, assim como um alto nível de controlo de acesso e
restrições de privilégios.

Todos os mecanismos de gestão remoto das redes, incluindo os sistemas de infraestrutura

de telecomunicações, devem fazer uso de funções de autenticação sendo que o tráfego
que for considerado sigiloso deverá ser criptografado.

Cada dispositivo de rede deve possuir uma identificação lógica padronizada e única dentro
de uma rede ou grupo de trabalho.

O acesso à rede é realizado via processo de login/logon por meio das credenciais de
acesso.

A conta do utilizador na rede é pessoal, intransferível e da responsabilidade do mesmo.

Somente equipamentos autorizados pela DTI podem acessar os recursos de rede.

Devem ser estabelecidos procedimentos de controlo e concessão de acesso à rede aos

visitantes, conforme descrito na Norma de Serviço nº 804/15 de 25 de Outubro de 2015 -
Uso de Dispositivo Móvel e Trabalho Remoto.

Os administradores de rede devem utilizar a sua chave de acesso com privilégios especiais
somente para actividades que necessitem destes privilégios. Actividades que não
necessitem de privilégios especiais devem obrigatoriamente ser realizadas através da chave
de acesso convencional.

Os registos (logs) das actividades de administração de rede devem ser gerados e

03
protegidos.

Na eventualidade de redes de terceiros serem compartilhadas com redes do Banco, as

redes de terceiros devem atender aos mesmos requisitos de segurança estabelecidos, ou
deverão ser segregadas caso não venham a atender tais requisitos.

MOD. 003 Banco de Poupança e Crédito

 Pág:

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

Deve-se implementar um controlo activo das comunicações entre origens e destinos,

através de gateways de segurança (firewalls).

Deve-se implementar controlos de roteamento de rede, através de mecanismos de

verificação de endereço, com o objectivo de isolar redes.

6.2. Segurança dos Serviços de Rede

Deve-se determinar os atributos de segurança necessários para os serviços de rede

oferecidos.

Para garantir a protecção dos serviços disponibilizados contra acessos não autorizados e
dos dados armazenados na rede, os colaboradores devem possuir acesso directo somente
aos serviços que eles estão especificamente autorizados para uso.

Serviços desnecessários à funcionalidade da rede devem ser desabilitados nos dispositivos

activos de rede e telecomunicações.

Os serviços de rede e dispositivos conectados devem ser protegidos através da utilização

de mecanismos que detectem e impeçam acções maliciosas.

Devem ser identificados e incluídos mecanismos de segurança, níveis de serviço e requisitos

de gestão de todos os serviços de rede em qualquer acordo de serviços de rede, tanto para
serviços providos internamente como para terceirizados.

Cabe à Direcção de Tecnologia da Informação com o apoio do Gabinete de Segurança

da Informação, determinar e monitorar regularmente a capacidade do provedor dos
serviços de rede, para gerir os serviços acordados de maneira segura. Deve ser acordado
o direito do Banco auditar o provedor de serviços.

As definições de segurança necessárias para serviços específicos, como características de

segurança, níveis de serviço e requisitos de gestão, devem ser identificadas. É
responsabilidade da Direcção de Tecnologia da Informação garantir que os provedores
dos serviços de rede implementem estas medidas.

6.3. Segregação de Redes

As redes do Banco devem estar segregadas de acordo com a criticidade das informações e
das aplicações existentes. A separação das redes deve ser efectivada através da
configuração de dispositivos, como: firewalls, roteadores e switches, entre outros.

MOD. 003 Banco de Poupança e Crédito

 Pág: 04

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

A segmentação das redes em sub-redes, quando aplicável, deve ser adoptada de forma a
assegurar a confidencialidade das informações entre os segmentos.

A rede corporativa para uso público deve ser tratada como um canal de comunicação
externo e ser segregada da rede corporativa.

O "gateway", por exemplo, um "firewall", deve ser configurado para filtrar o tráfego entre os
domínios e bloquear acessos não autorizados, de acordo com a Norma de Serviço nº
801/15 de 20 de Outubro de 2015 - Controlo de Acesso.

6.4. Transferência de Informações

Devem ser adoptadas as precauções necessárias que impeçam a revelação de informações

do Banco ou dificultem a captação e interceptação, na troca de informações realizadas por
meio lógico, por pessoas não autorizadas.

Devem ser elaborados e estabelecidos procedimentos que abordem:

a) Uso aceitável dos recursos electrónicos de comunicação;

b) Uso de comunicação sem fio ("wireless");
c) Responsabilidades de funcionários, fornecedores e quaisquer outros utilizadores para
não comprometer a organização através de, por exemplo, difamação, assédio, falsa
identidade, retransmissão de "correntes", compras não autorizadas, etc;
d) Retenção e descarte para toda a correspondência de negócios, incluindo mensagens,
de acordo com regulamentações e legislação locais e nacionais relevantes.

Devem ser adoptados, transporte e serviço de correio confiável e estabelecer o contrato de

sigilo e confidencialidade com esse serviço.

A embalagem contendo as mídias transportadas deve ser capaz de proteger o conteúdo

contra danos físicos.

Como forma de evitar a divulgação de informações do BPC, os colaboradores devem:

 Evitar, sempre que possível, efectuar conversações sobre assuntos sigilosos em locais
públicos, em escritórios abertos ou mesmo em reuniões realizadas em sala sem a
devida adopção dos requisitos de segurança;
 Tomar precauções adequadas para não revelar informações sensíveis, evitando ser
escutadas ou interceptadas durante uma ligação telefónica;
 Não deixar mensagens com informações sensíveis em secretárias electrónicas;
 Tomar precauções adequadas ao utilizar serviço de fax, de forma a evitar acesso não

MOD. 003 Banco de Poupança e Crédito

 Pág: 05

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

autorizado às mensagens enviadas/recebidas e a serem enviadas, bem como, envio

de documentos e mensagens para números errados;
 Evitar o armazenamento de dados pessoais, como endereços de correio electrónico
ou informações adicionais particulares, em qualquer "software".

6.5. Acordos para Transferência de Informações

A troca de informações entre o Banco e seus clientes, fornecedores e parceiros de negócio

deve ser acordada formalmente e documentada em um procedimento operacional .

As informações em trânsito devem ser criptografadas para proteger a sua

confidencialidade, integridade e autenticidade.

Os acordos de transferências de informações devem conter, no mínimo, as seguintes

condições:

a) Responsabilidades do gestor pelo controlo e notificação de transmissões, expedições

e recepções;
b) Procedimentos para assegurar a rastreabilidade dos eventos e o não-repúdio;
c) Padrões técnicos mínimos para embalagem e transmissão;
d) Responsabilidades e obrigações na ocorrência de incidentes de segurança da
informação, como perda de dados;
e) Manutenção da custódia enquanto a informação encontra-se em trânsito;
f) Níveis aceitáveis de controlo de acesso.

Um sistema de identificação deve ser utilizado para informações críticas e sensíveis,

garantindo que o significado dos rótulos seja imediatamente entendido e que a informação
esteja devidamente protegida.

Devem ser estabelecidas normas técnicas para a gravação e leitura de informações e

softwares.

6.6. Mensagens Electrónicas

As informações que trafegam em mensagens electrônicas devem ser protegidas.

As informações electrônicas sensíveis devem ser protegidas quando transmitidas na forma

de anexos.

É vedada a retransmissão de mensagens electrônicas, que contenham informações

corporativas e classificadas de acordo com o seu sigilo, para endereços externos.

MOD. 003 Banco de Poupança e Crédito

 Pág:06

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

6.7. Correio Electrónico

O correio electrónico é a principal ferramenta de comunicação e a troca de informações

entre colaboradores deve ser feita preferencialmente por este meio.

O serviço de correio electrônico deve ser utilizado exclusivamente por colaboradores

formalmente autorizados.

A concessão de acessos com privilégios de administração no sistema de correio electrônico

deve se limitar àqueles directamente responsáveis e imprescindíveis pela manutenção desse
serviço.

O colaborador deve possuir um único endereço de correio electrônico. A sua identificação

deve ser pessoal e intransferível, com excepção das identificações de grupos, funções ou
listas que podem ser acessadas por vários colaboradores, mas que devem ter apenas um
responsável atribuído.

Os arquivos anexados às mensagens de correio electrônico devem ser verificados por

software antivírus.

Sempre que necessário, deve-se adoptar técnicas de criptografia para proteger a

confidencialidade e a integridade das mensagens electrônicas, inclusive quando acessadas
externamente à rede do Banco.

O administrador do serviço de correio electrônico deve monitorar e avaliar periodicamente

o volume de armazenamento e de tráfego de mensagens e adoptar medidas adequadas
para assegurar uma operação satisfatória às necessidades de negócio do Banco.

O correio electrônico deve ser usado preferencialmente para assuntos de interesse do

banco, de acordo com suas normas dnº 02/08 de 10 de Março de 2008 – Utilização de
Internet e Correio Electrónico e com a legislação em vigor.

As mensagens recebidas por endereçamento errado não devem ser lidas e devem ser
retornadas imediatamente ao remetente, com prioridade máxima. Em seguida a mensagem
original deve ser apagada.

As transferências electrônicas de dados ou informações críticas, comunicação com

fornecedores, clientes e parceiros de negócios devem ser feitas com prova segura da
identificação dos membros da transacção.

MOD. 003 Banco de Poupança e Crédito

 Pág: 07

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

6.8. Acordos de Confidencialidade e não Divulgação

Acordos de confidencialidade e de não divulgação visam proteger as informações do

Banco e informam os signatários das suas responsabilidades, para proteger, usar e
divulgar a informação de maneira responsável e autorizada.

Os colaboradores devem assinar o Termo de Confidencialidade e Sigilo, de acordo com a

Norma nº 810/15 de 19 de Novembro de 2015 - Segurança em Recursos Humanos.

Os acordos devem conter, minimamente, os seguintes termos:

a) Tempo de duração;
b) As responsabilidades e acções dos signatários para evitar a divulgação não
autorizada da informação;
c) O proprietário da informação;
d) O uso permitido da informação confidencial, e os direitos do signatário para usar a
informação;
e) O direito de auditar e monitorar as actividades que envolvem informações
confidenciais;
f) As acções a serem tomadas aquando do vazamento das informações confidenciais;
g) Acções a serem tomadas após o término do acordo;
h) Acções esperadas a serem tomadas no caso de uma violação deste acordo.

Os acordos devem estar em conformidade com todas as leis e regulamentações aplicáveis

na jurisdição para a qual eles se aplicam.

Cabe à Direcção de Tecnologia da Informação com o apoio do Gabinete de Segurança

da Informação, analisar periodicamente os requisitos contidos nos acordos de
confidencialidade e de não divulgação.

6. DOCUMENTOS DE REFERÊNCIA

Código Título do Documento

Ordem de Serviço Nº323/15 Política de Segurança da Informação
ABNT NBR ISO/IEC Tecnologia da informação — Técnicas de segurança —
27001:2013 Sistemas de Gestão da Segurança da Informação
Norma de Serviço Nº 810/15 Norma de Segurança em Recursos Humanos

MOD. 003 Banco de Poupança e Crédito

 Pág:08

DATA: 23 11 15 NORMA DE SERVIÇO

Nº 811/15

7. REFERÊNCIA NORMATIVA

Código Título do Documento

Norma de Serviço Nº 02/08 - Norma de Utilização da Internet e Correio Electrónico
Norma de Serviço Nº 801/15 - Norma de Controlo de Acesso
Norma de Serviço Nº 804/15 - Norma para Uso de Dispositivo Móvel e Trabalho Remoto

DIRECÇÃO DE ORGANIZAÇÃO
E QUALIDADE

______________________
Osvaldo F. Gomes
Director

MOD. 003 Banco de Poupança e Crédito