GGIR NOR28 Norma de Gestao de Acessos A Rede e Sistemas

Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

Classificação da informação: Uso interno Aprovação: Luiz Henrique de Souza Lobo
ÍNDICE
1. OBJETIVO ................................................................................................................................ 2
2. APLICABILIDADE .................................................................................................................... 2
3. CONCEITOS ............................................................................................................................. 2
4. RESPONSABILIDADES ............................................................................................................. 3
4.1SEGURANÇA CIBERNÉTICA ................................................................................................ 3
4.2TI – INFRAESTRUTURA ...................................................................................................... 3
4.3RH – RECURSOS HUMANOS ............................................................................................... 3
4.4GESTORES .......................................................................................................................... 4
5. ESCOPO DO PROCESSO E PRINCIPAIS ATIVIDADES .............................................................. 4
5.1ACESSO A INFORMAÇÃO .................................................................................................... 4
5.2CRIAÇÃO, ALTERAÇÃO E BLOQUEIO DE ACESSO ............................................................... 6
5.2.1FLUXO – CONTRATAÇÃO – CRIAÇÃO DE LOGIN DE ACESSO A REDE....................... 7
5.2.2FLUXO – ALTERAÇÃO DE ACESSO ............................................................................ 8
5.2.3FLUXO – REVOGAÇÃO DE ACESSOS ......................................................................... 9
5.3REGRAS DE SENHA ............................................................................................................. 9
5.4CONTROLE DE ACESSO PADRÃO ...................................................................................... 10
5.5MECANISMOS DE CONTROLE DE ACESSO ........................................................................ 11
5.6ACESSOS DE TERCEIROS ................................................................................................. 11
5.7REVISÃO PERIÓDICA DE ACESSOS .................................................................................. 12
5.8ACESSO PRIVILEGIADO ................................................................................................... 12
6. DOCUMENTOS INTERNOS RELACIONADOS .......................................................................... 14
7. REVISÃO ................................................................................................................................ 14
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 1 de 14
Sistemas

1. OBJETIVO
Fornecer orientações para a implementação de controles técnicos apropriados para proteger o acesso
aos ativos de tecnologia da informação e as informações neles contidas.
2. APLICABILIDADE
Esta política aplica-se a todos os "Usuários" que tenham um requisito legítimo para acessar sistemas
de informações de propriedade ou controlados pela empresa em suporte às suas operações de
negócios.
Esta política abrange o ciclo de vida dos controles de acesso lógico do usuário, desde o registro inicial
(contratação), alteração de cargo ou função, cancelamento de registro e revogação do acesso
(demissão). Os controles de acesso se aplicam igualmente a fornecedores terceirizados que prestam
serviços em nome de nossas operações de negócios.
3. CONCEITOS
A identificação e autenticação apropriada dos usuários é essencial para proteger a confidencialidade,

integridade e disponibilidade em redes, sistemas e dados. A aplicação dos controles de acesso
reduzirá o risco potencial de violações de segurança e o risco de modificação de dados inadequado.
Negar o acesso não autorizado aos sistemas e aplicativos para "leitura", "escrita", "modificação" ou
"exclusão" da informação, ajuda a proteger a confidencialidade das informações, mantendo a sua
integridade.
Lidamos com quantidades de informações confidenciais relacionadas a clientes, equipes e operações
comerciais próprias. Esta informação pode ser acessada de várias maneiras; tanto eletronicamente
como em formato impresso.
Usuários: são todos os funcionários (permanentes ou temporários), e quaisquer outras pessoas

contratadas para trabalhar nas dependências do Grupo Confidence / Travelex e/ou em relação aos
nossos negócios (incluindo quaisquer pessoas contratadas como consultor, trabalhador ou agente),
seja por meio de terceiros ou diretamente.
Sistema Normativo
Este documento:
Página 2 de 14
Sistemas

4. RESPONSABILIDADES
4.1 SEGURANÇA CIBERNÉTICA
 Criação, alteração e desativação das contas de acesso à rede e sistemas:
o A equipe de Segurança Cibernética somente poderá desativar a conta de acesso de um

funcionário do Grupo Confidence / Travelex, após confirmação da demissão pelo RH ou
através da solicitação formal do gestor mediato ou imediato do funcionário;
o Para a criação de contas de prestadores de serviços (terceiros), a solicitação deverá partir

do gestor responsável pelo projeto onde estará alocado o prestador de serviço.
 Estabelecer processos para controle de segurança em sistemas e rede;
 Promover a revisão periódica de acessos a rede e sistemas;
 Realizar a manutenção da Matriz de acesso baseado em cargo e perfis de acessos.
4.2 TI – INFRAESTRUTURA
 Apoiar os processos de controle de segurança;
 Comunicar qualquer detecção de violação de política de segurança;
 Bloquear os usuários na saída de férias ou licença de acordo com a solicitação do RH;
 Desbloquear os usuários no retorno de férias ou licença de acordo com a solicitação do RH.
4.3 RH – RECURSOS HUMANOS
 Comunicar via Service Desk, criação, alteração e revogação de acessos de funcionários;
 Solicitar via Service Desk o Bloqueio de usuários na saída de férias ou licença do funcionário;
Sistema Normativo
Este documento:
Página 3 de 14
Sistemas

 Solicitar via Service Desk o desbloqueio de usuários no retorno de férias ou licença do

funcionário;
 Aprovar exceções quanto a bloqueio e desbloqueio de acessos de usuários de férias ou

licenças.
4.4 GESTORES
 Revisar periodicamente os acessos referente a sua equipe;
Comunicar a Segurança Cibernética quanto ao desligamento de um terceiro prestador de

serviço para bloqueio de acessos;
 Comunicar qualquer detecção de violação de política de segurança.
5. ESCOPO DO PROCESSO E PRINCIPAIS ATIVIDADES
As solicitações de acesso aos sistemas de informações corporativas e dados neles contidos, serão
devidamente autorizados e sujeitos a controles de identificação e autenticação que devem ser
concluídos antes que o acesso seja permitido.
O acesso a todos os sistemas e aplicativos devem ser negados por padrão, a menos que uma
solicitação de acesso específica, válida e autorizada tenha sido processada. O acesso é concedido
através da aplicação adequada dos princípios de privilégio mínimo e de "Necessidade de
Conhecimento" e "Necessidade de Ter" em relação ao cargo e funções de um indivíduo.
5.1 ACESSO A INFORMAÇÃO
a) Os controles de acesso e os requisitos de segurança devem ser contemplados para usuários

internos, fornecedores e clientes antes de conceder acesso à informação ou aos ativos de
informações;
b) Cada sistema de negócios e / ou aplicativo executado por ou em nome da empresa devem ter
um Proprietário de Negócios (System Owner, quando aplicável) e Administrador do Sistema
Sistema Normativo
Este documento:
Página 4 de 14
Sistemas

nomeado responsável por gerenciar e controlar o acesso ao sistema, aplicativo e as

informações associadas nele contidas;
c) Os direitos de acesso devem ser controlados (sempre que possível ou aplicável) para restringir
as permissões de um usuário de acordo com as necessidades e função do negócio, ou seja,
ler, escrever, excluir, executar, imprimir, etc;
d) A equipe que desenvolve e mantém o software não pode fazer alterações no código do
programa ou promover novas versões de programas ou submeter scripts no ambiente de
produção sem a aprovação do processo de GEMUD. Os desenvolvedores não devem ter acesso
irrestrito aos sistemas de produção;
e) O acesso aos sistemas de informação exige que um banner de notificação de segurança seja
exibido na tela até que o usuário tome ações explícitas para efetuar o logon e acessar o
sistema - essa notificação os lembrará de suas responsabilidades individuais para salvaguardar
a segurança e integridade dos sistemas e informações que estão usando;
f) As configurações do sistema para controles de acesso devem ser configuradas para "negar
tudo", a menos que controles de autorização específicos sejam implementados para permitir
acesso;
g) Durante o processo de autenticação, as informações de resposta devem ser ocultadas para

evitar que sejam usadas para possível exploração ou uso por pessoas não autorizadas. Isso
inclui impedir que o ID do usuário anterior seja exibido;
h) O acesso aos ativos de informações corporativas deve ser controlado por meio de um
procedimento formal de registro e cancelamento de registro para conceder e revogar o acesso
com base nas necessidades de negócios e nos requisitos de segurança, garantindo que:
a. Cada "Usuário" é identificado por uma identidade única (ID do Usuário), permitindo que
eles sejam vinculados e responsáveis pelas ações executadas com esse ID de Usuário;
b. Todas as tentativas de autenticação, sejam bem-sucedidas ou não, devem ser registradas

no sistema de rede. Os registros de acesso devem ser revisados regularmente para
identificar tentativas repetidas de acesso não autorizado que possam constituir um ataque
coordenado ao sistema;
c. Os direitos de acesso de "Usuário" devem ser revisados mensalmente para confirmar

positivamente que estão alinhados aos requisitos de negócios.
Sistema Normativo
Este documento:
Página 5 de 14
Sistemas

i) É expressamente proibido o uso de contas genéricas, departamentais e qualquer outro método

de autenticação que compartilhe senhas.
5.2 CRIAÇÃO, ALTERAÇÃO E BLOQUEIO DE ACESSO
a) Os gestores devem autorizar a criação ou a modificação do acesso de "Usuário" com base

em um requisito específico de trabalho e especificação de trabalho;
b) O acesso ao sistema deve ser submetido à aprovação do gestor responsável e do owner do

sistema identificado, não é permitido aprovar acesso a si mesmo, a não ser em caso de
solicitação formalizada do próprio owner do sistema;
c) "Usuários" devem estar cientes de suas responsabilidades pela proteção de informações e

reconhecer esse requisito - de acordo com a Política de Uso Aceitável;
d) A identidade de todos os "Usuários" deve ser verificada e confirmada antes que os controles
de acesso do usuário sejam definidos / redefinidos e / ou desbloqueados;
e) O acesso é concedido somente após a obtenção da autorização;
f) Todas as senhas de novas contas devem ser comunicadas a um novo usuário por meio de
seu gestor imediato, e sua conta deve ser configurada para exigir uma nova senha no
primeiro acesso;
g) Direitos de acesso, para usuários que incluem pessoal terceirizado externo, devem ser
controlados e revisados com o gestor responsável pelo contrato, os acessos devem ser
revogados após a mudança ou saída do emprego da empresa ou deixar de exigir a
necessidade de acesso a um sistema, aplicativo ou dados específicos;
h) Quando um usuário "Transfere" para outro departamento / função dentro da empresa, o

gestor imediato receptor deve autorizar quaisquer novos requisitos de acesso e uso de ativos
corporativos. Onde os requisitos de acesso práticos e possíveis pertinentes à função "antiga"
sejam revogados, isso é uma responsabilidade do antigo gestor imediato;
i) As contas que não são mais necessárias porque o indivíduo saiu, mudou de função ou não
tem mais necessidade, devem ser revogadas após a notificação;
j) O monitoramento e o gerenciamento de contas de usuários do Active Directory devem ser

feitos mensalmente;
Sistema Normativo
Este documento:
Página 6 de 14
Sistemas

k) Os funcionários que estão de férias e licenças por mais de 5 dias devem ter seus acessos a
rede bloqueado durante o período de ausência. Exceções devem ser autorizadas pelo RH.
5.2.1 FLUXO – CONTRATAÇÃO – CRIAÇÃO DE LOGIN DE ACESSO A REDE
Sistema Normativo
Este documento:
Página 7 de 14
Sistemas

5.2.2 FLUXO – ALTERAÇÃO DE ACESSO
Sistema Normativo
Este documento:
Página 8 de 14
Sistemas

5.2.3 FLUXO – REVOGAÇÃO DE ACESSOS
5.3 REGRAS DE SENHA
a) As senhas usadas para acessar os ativos de informações devem estar de acordo com a
política da empresa e os requisitos de negócios relacionados à composição, duração,
expiração e confidencialidade da senha;
b) A senha é pessoal e intransferível, devendo ser mantida em sigilo. O usuário é

responsabilizado pelo uso indevido da senha;
c) O sistema de gerenciamento de senha deve certificar-se de que as senhas:
o São fáceis de lembrar, mas difíceis de adivinhar. Os usuários nunca devem anotar suas
senhas ou divulgá-las;
o Tenha pelo menos oito caracteres. Senhas nulas (by-pass) são expressamente
proibidas;
Sistema Normativo
Este documento:
Página 9 de 14
Sistemas

o Contenha no mínimo uma combinação de letras (maiúsculas e minúsculas), um

caractere numérico e um caractere especial (símbolo);
o Deve ser alterada no primeiro uso e, no máximo, a cada 60 dias a partir de então;
o Só poderá ser alterada após a autenticação bem-sucedida pelo proprietário da conta;
o Não será o mesmo que pelo menos os dez últimos anteriormente utilizados;
o Não são exibidos em texto não criptografado ao serem inseridos;
o São armazenados separadamente dos dados principais do sistema de aplicativos;
o São armazenados apenas de forma criptografada;
o Não são registrados em trilhas de auditoria;
o As contas serão bloqueadas após um máximo de cinco tentativas de logon inválidas;
o As contas privilegiadas devem ter suas senhas alteradas imediatamente após o uso;
o As senhas de qualquer sistema do Grupo Confidence / Travelex nunca devem ser

incluídas nas comunicações por e-mail, juntamente com detalhes do próprio sistema.
As senhas podem ser enviadas por e-mail se os detalhes do sistema forem
comunicados de alguma outra forma (por exemplo, verbalmente, SMS, etc.) ou vice-
versa.
d) Deve-se evitar a composição de senhas com sequências numéricas (123...) e/ou alfabéticas
(abc...), além de senhas de fácil dedução (nome da máquina, nome do usuário, data de
nascimento, etc.).
5.4 CONTROLE DE ACESSO PADRÃO
a) Os controles de acesso a sistemas, aplicativos ou programas utilitários configurados e

aplicados por fornecedores ou administradores de sistema devem ser alterados de suas
configurações padrão ou as contas desativadas antes que os sistemas ou aplicativos se
tornem operacionais em um ambiente de produção;
Sistema Normativo
Este documento:
Página 10 de 14
Sistemas

b) O uso de qualquer controle de acesso padrão deve ser restrito, rigidamente controlado,
monitorado.
5.5 MECANISMOS DE CONTROLE DE ACESSO
a) O acesso remoto e alguns acessos privilegiados exigirão o uso de mecanismos adicionais de

controle de acesso para facilitar a identificação de pessoas responsáveis autorizadas. Tais
mecanismos podem incluir, mas não estão limitados a utilização de múltiplo fator de
autenticação;
b) Os usuários não podem compartilhar tais mecanismos com nenhuma outra pessoa e não
devem deixar o mecanismo de controle de acesso desacompanhado onde possa ser obtido
ou usado por pessoas não autorizadas;
c) Os mecanismos de controle de acesso devem ser devolvidos e revogados quando não forem
mais necessários para uso, o que pode ser um resultado do indivíduo:
o Deixando o emprego da empresa;
o Mudança de cargo e funcionalidade;
o Não mais requerendo acesso a um sistema específico.
5.6 ACESSOS DE TERCEIROS
a) As contas usadas pelos fornecedores para manutenção remota só devem ser ativadas
durante o período de tempo necessário e depois desativadas;
b) O gestor (Grupo Confidence / Travelex) responsável pelo contrato do terceiro deve avisar
tempestivamente quanto a saída do terceiro para que os acessos sejam prontamente
revogados;
c) As contas de terceiros devem ser revisadas mensalmente pelo gestor responsável, que
deverá confirmar se a conta de acesso será mantida ou não;
d) O período máximo que uma conta de prestador de serviço permanecerá ativa, será de 90
(noventa) dias, exceto se um prazo maior for informado no momento da solicitação da
criação da conta (não excedendo a 6 meses).
Sistema Normativo
Este documento:
Página 11 de 14
Sistemas

5.7 REVISÃO PERIÓDICA DE ACESSOS
a) A Matriz de Acessos deve ser revista pelo System Owner da informação (com a assistência
de Segurança Cibernética);
b) Os usuários devem ter seus acessos revisados pelo gestor imediato de forma periódica;
c) Os direitos de acesso associados a Privilégios Especiais / Administração do Sistema devem

ser revisados trimestralmente para garantir que permaneçam adequados às necessidades
do negócio;
d) Revisões para identificar contas inativas com mais de 30 dias devem ser conduzidas, para
verificar se elas são necessárias para uso posterior; se não, eles devem ser revogados;
e) Comparações e verificações devem ser feitas pelo menos trimestralmente em função da

alteração do quadro de funcionários e mudanças internas de funços/cargos, ou
desligamentos, com o intuito de confirmar que ajustes apropriados e revogações de seus
direitos de acesso aos seus perfis de conta / acesso foram tratados. Quaisquer anomalias
devem ser investigadas e ações corretivas deverão ser tomadas quando apropriado.
5.8 ACESSO PRIVILEGIADO
a) Atenção especial deve ser dada, quando apropriado, para controlar a alocação de direitos
de acesso privilegiado, o que permite que os administradores de sistemas ou
desenvolvedores sobreponham-se aos controles do sistema;
b) Todo o acesso a privilégios de alto nível (por exemplo, Administrador de Domínio nos
sistemas operacionais Windows, raiz no Unix / Linux) deve ser controlado e o acesso às
senhas dessas contas será monitorado;
c) É proibido que um mesmo indivíduo autorize e conceda seu próprio acesso a contas
privilegiadas de alto nível;
d) O acesso a contas administrativas somente será fornecido a um número mínimo de pessoas

e será revisado trimestralmente;
Sistema Normativo
Este documento:
Página 12 de 14
Sistemas

e) As contas privilegiadas devem ser atribuídas a um ID de usuário diferente daquele usado

para uso comercial normal e, mantidas num registro de utilização de usuários privilegiados;
f) O acesso remoto a sistemas corporativos com a finalidade de manter sistemas e

infraestrutura de tecnologia da informação, deve incorporar um mecanismo de autenticação
de dois fatores;
g) O acesso remoto por terceiros a qualquer sistema corporativo, deve incorporar um

mecanismo de autenticação de dois fatores;
h) Os usuários com privilégios especiais não estão autorizados a usar seu acesso administrativo
para configurar novas contas de usuário ou alterar contas existentes, fora dos processos
documentados formais para criação e modificação de conta;
i) Todas as criações, alterações, inclusões ou exclusões em qualquer conta com Privilégios

Administrativos ou Raiz devem ser registradas formalmente. O registro estará disponível para
consulta;
j) O uso de adivinhação de senhas ou sistemas de quebra de senha só é permitido em casos

excepcionais em que as senhas de conta não podem ser alteradas ou recuperadas por
qualquer outro método. Somente membros do Departamento de Segurança Cibernética do
Grupo Confidence / Travelex estão autorizados a usar essas ferramentas. O uso de tais
ferramentas por qualquer outro membro da equipe é estritamente proibido;
k) Deve-se atribuir o menor privilégio possível a uma conta, que deve permitir apenas a
realização das tarefas pertinentes as atividades de rotina do usuário;
l) Os usuários não poderão ter contas com perfil de administrador, nem contas do domínio
com privilégio de administrador local da estação;
m) É proibido (a):
o A utilização de “contas de serviço” com privilégio de administrador para acesso remoto,

as estações de trabalho e servidores da empresa, sem prévia autorização ou definição
da necessidade;
o Conter na formação login algo que identifique como sendo conta de administrador
(Exemplos: Admin, Adm, Administrador, Administrator, pradmin, etc.);
o Excluir os logs de acesso registrados no verificador de eventos do Sistema Operacional;

Sistema Normativo
Este documento:
Página 13 de 14
Sistemas

o Desativar, pautar ou desligar qualquer recurso de monitoração de segurança, exceto

com autorização formal da área de Segurança Cibernética;
o Acessar as máquinas de outros usuários sem a prévia autorização do próprio usuário;
o Visualizar, excluir ou mover arquivos de rede que não sejam de sua propriedade,
exceto com a autorização do proprietário;
o Permitir ou limitar acessos de usuários ou grupos de segurança em pastas ou diretórios

da rede, sem a prévia autorização do proprietário da pasta ou diretório.
6. DOCUMENTOS INTERNOS RELACIONADOS
Política Corporativa de Segurança Cibernética
7. REVISÃO
As revisões e atualizações desta Norma deverão ocorrer anualmente, ou de acordo com as revisões
de processos e adequações para atendimento legal ou regulatório.
Histórico de Revisões
Versão Data Descrição das alterações
01 09/07/2019 Elaboração do documento
Sistema Normativo
Este documento:
Página 14 de 14

GGIR NOR28 Norma de Gestao de Acessos A Rede e Sistemas

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

GGIR NOR28 Norma de Gestao de Acessos A Rede e Sistemas

Enviado por

Direitos autorais:

Formatos disponíveis

Norma de Gestão de Acessos a Rede e

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

A identificação e autenticação apropriada dos usuários é essencial para proteger a confidencialidade,

Usuários: são todos os funcionários (permanentes ou temporários), e quaisquer outras pessoas

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

4.1 SEGURANÇA CIBERNÉTICA

 Criação, alteração e desativação das contas de acesso à rede e sistemas:

o A equipe de Segurança Cibernética somente poderá desativar a conta de acesso de um

o Para a criação de contas de prestadores de serviços (terceiros), a solicitação deverá partir

 Estabelecer processos para controle de segurança em sistemas e rede;

 Promover a revisão periódica de acessos a rede e sistemas;

 Realizar a manutenção da Matriz de acesso baseado em cargo e perfis de acessos.

 Apoiar os processos de controle de segurança;

 Comunicar qualquer detecção de violação de política de segurança;

 Bloquear os usuários na saída de férias ou licença de acordo com a solicitação do RH;

 Desbloquear os usuários no retorno de férias ou licença de acordo com a solicitação do RH.

4.3 RH – RECURSOS HUMANOS

 Comunicar via Service Desk, criação, alteração e revogação de acessos de funcionários;

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

 Solicitar via Service Desk o desbloqueio de usuários no retorno de férias ou licença do

 Aprovar exceções quanto a bloqueio e desbloqueio de acessos de usuários de férias ou

 Revisar periodicamente os acessos referente a sua equipe;

Comunicar a Segurança Cibernética quanto ao desligamento de um terceiro prestador de

 Comunicar qualquer detecção de violação de política de segurança.

5. ESCOPO DO PROCESSO E PRINCIPAIS ATIVIDADES

5.1 ACESSO A INFORMAÇÃO

a) Os controles de acesso e os requisitos de segurança devem ser contemplados para usuários

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

nomeado responsável por gerenciar e controlar o acesso ao sistema, aplicativo e as

g) Durante o processo de autenticação, as informações de resposta devem ser ocultadas para

b. Todas as tentativas de autenticação, sejam bem-sucedidas ou não, devem ser registradas

c. Os direitos de acesso de "Usuário" devem ser revisados mensalmente para confirmar

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

i) É expressamente proibido o uso de contas genéricas, departamentais e qualquer outro método

5.2 CRIAÇÃO, ALTERAÇÃO E BLOQUEIO DE ACESSO

a) Os gestores devem autorizar a criação ou a modificação do acesso de "Usuário" com base

b) O acesso ao sistema deve ser submetido à aprovação do gestor responsável e do owner do

c) "Usuários" devem estar cientes de suas responsabilidades pela proteção de informações e

e) O acesso é concedido somente após a obtenção da autorização;

h) Quando um usuário "Transfere" para outro departamento / função dentro da empresa, o

j) O monitoramento e o gerenciamento de contas de usuários do Active Directory devem ser

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

5.2.1 FLUXO – CONTRATAÇÃO – CRIAÇÃO DE LOGIN DE ACESSO A REDE

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

5.2.2 FLUXO – ALTERAÇÃO DE ACESSO

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

5.2.3 FLUXO – REVOGAÇÃO DE ACESSOS

5.3 REGRAS DE SENHA

b) A senha é pessoal e intransferível, devendo ser mantida em sigilo. O usuário é

c) O sistema de gerenciamento de senha deve certificar-se de que as senhas:

Data de criação: 09/07/2019 Data de revisão/ atualização: 09/07/2019

o Contenha no mínimo uma combinação de letras (maiúsculas e minúsculas), um

o Só poderá ser alterada após a autenticação bem-sucedida pelo proprietário da conta;

o Não são exibidos em texto não criptografado ao serem inseridos;

o São armazenados separadamente dos dados principais do sistema de aplicativos;

o São armazenados apenas de forma criptografada;

o Não são registrados em trilhas de auditoria;

o As contas serão bloqueadas após um máximo de cinco tentativas de logon inválidas;

o As senhas de qualquer sistema do Grupo Confidence / Travelex nunca devem ser

5.4 CONTROLE DE ACESSO PADRÃO

a) Os controles de acesso a sistemas, aplicativos ou programas utilitários configurados e