UNIMED UBERLÂNDIA

Cooperativa Regional de Trabalho Médico Ltda

CNPJ 17.790.718/0001-21
Sociedade Cooperativa
NIRE 31400017321

Política de Segurança da Informação

Aprovada pelo Conselho de Administração
09/06/2021

Política de Segurança e Informação | PÁGINA : 1 | Classificação: Interna

ÍNDICE

OBJETIVO 3

ABRANGÊNCIA 3

CONCEITOS BÁSICOS 3

POSICIONAMENTO 6

ATRIBUIÇÕES E RESPONSABILIDADE 15

REGRAS DE CONSEQUÊNCIA 17

CONFIDENCIALIDADE 18

DOCUMENTOS E REGISTROS RELACIONADOS 18

HISTÓRICO DE VERSÕES 19

Política de Segurança e Informação | PÁGINA : 2 | Classificação: Interna

POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
DATA DA APROVAÇÃO DO CONSELHO DE ADMINISTRAÇÃO: 09/06/2021

1. OBJETIVO
A Política Corporativa de Segurança da Informação (PSI) é a incorporação lógica dos re-
quisitos de negócio da Unimed Uberlândia para segurança e controle. Objetiva estabelecer
instruções e diretrizes para assegurar a integridade, confidencialidade e disponibilidade das
informações e sistemas. Também esclarece as responsabilidades de todos os envolvidos
direta ou indiretamente com as informações da cooperativa, bem como as diretrizes a se-
rem consideradas para preservar e proteger as informações e recursos que processam e/ou
transportam estas informações.

2. ABRANGÊNCIA
Esta política abrange todas as informações, os sistemas e recursos de Tecnologia da
Informação da Unimed Uberlândia incluindo também os cooperados, conselheiros, mem-
bros dos comitês, diretores, colaboradores, estagiários, jovens aprendizes, terceiros, parcei-
ros, prestadores e fornecedores em quaisquer das dependências da Unimed ou locais onde
estes se façam presentes através da utilização, manuseio ou processamento das informa-
ções.
3. CONCEITOS BÁSICOS
I. TI – A Tecnologia da Informação (ou, em inglês, Information Technology — IT) pode ser
definida como o conjunto de todas as atividades e soluções providas por recursos compu-
tacionais que visam permitir a obtenção, o armazenamento, a proteção, o processamento, o
acesso, o gerenciamento e o uso das informações.

II. Backup – é uma cópia de segurança. O termo em inglês é muito utilizado por empre-
sas e pessoas que guardam documentos, imagens, vídeos e outros arquivos no computador
ou na nuvem.

III. Acordo de Confidencialidade NDA’S (Do inglês “Non Disclosure Agreement” (acordo
de não divulgação, em tradução livre)): é o documento formal, juridicamente respaldado,
contendo a descrição de uso permitido da informação, tempo de duração, responsabilidades
e consequências por violação do acordo.

Política de Segurança e Informação | PÁGINA : 3 | Classificação: Interna

 IV. ITIL: é uma sigla em inglês e o seu significado é Information Technology Infrastruc-
ture Library. Em português, sua tradução é Biblioteca de Infraestrutura de Tecnologia da
Informação.

V. COBIT: é a sigla para “Control Objectives for Information and related Technology” e
que, na prática, significa uma estrutura capaz de fornecer governança de TI. Essa estrutura
foi criada pela ISACA (Information Systems Audit and Control Association) e tem como prin-
cipal objetivo gerar valor para a empresa e para os seus processos.

VI. ISACA (Information Systems Audit and Control Association) : ISACA é uma orga-
nização sem fins lucrativos, fundada em 1969, que possui como objetivo liderar, adaptar e
garantir a confiança em ambientes digitais. Para isso oferece conhecimentos como padrões,
certificações, networking e desenvolvimento na carreira de profissionais. Oferece, também
frameworks para a gestão em tecnologia de informação e auditoria de sistemas.

VII. Networking: é um termo que vem do inglês (“net” é rede e “work” é trabalho) e sig-
nifica rede de relacionamentos ou rede de contatos. O que é networking, então: trata-se de
uma rede de pessoas que trocam informações e conhecimentos entre si.

VIII. Frameworks: é possível encontrar diversas definições para Framework, algumas

simples, outras mais elaboradas, mas o ponto comum entre todas é a reusabilidade. Assim,
um Framework tem como principal objetivo resolver problemas recorrentes com uma abor-
dagem genérica, permitindo ao desenvolvedor focar seus esforços na resolução do proble-
ma em si e não reescrever o software.

IX. NIST - CyberSecurity Framework: framework de segurança cibernética NIST, tam-

bém chamado em inglês de NIST Cyber Security Framework, fornece uma estrutura, com
base nos padrões, diretrizes e práticas existentes para organizações do setor privado nos
Estados Unidos, a fim de gerenciar e reduzir, com mais qualidade, o risco de segurança.

X. User Id’s e/ou usuário: são pessoas ou organizações que utilizam um determinado
tipo de serviço e podem ser classificados segundo a área de interesse.

XI. Password: senha.

XII. Screensaver: protetor de telas.

XIII. SGSI : Sistema de Gestão da Segurança da Informação, descrito no item 4.2

XIV. Software: conjunto de componentes lógicos de um computador ou sistema de

processamento de dados; programa, rotina ou conjunto de instruções que controlam o fun-
cionamento de um computador; suporte lógico.

Política de Segurança e Informação | PÁGINA : 4 | Classificação: Interna

 XV. BI: O BI é uma sigla que significa Inteligência de Negócios (Business Intelligence).
Assim, muitos chamam de inteligência empresarial por abranger todos os setores da em-
presa, desde o financeiro, operacional, comercial, até o marketing.

XVI. DW (Data Warehouse): é uma organização de banco de dados para análises e

business intelligence. Surgiu como um conceito acadêmico, criado na década de 1980. Sua
arquitetura e desenho é voltado para processamento e armazenamento de altos volumes de
dados. Um conceito que define um Banco de Dados com capacidade de armazenar e orga-
nizar um grande volume de dados; responsável por criar e organizar relatórios por meio de
históricos, que podem ajudar uma empresa a obter insights e auxílio na tomada de decisões
importantes. Traduzindo diretamente ao português temos “Armazém de Dados”.

XVII. VPN (Virtual Private Network): é uma sigla, em inglês, para “Rede Virtual Privada”
e que, como o nome diz, funciona criando uma rede de comunicações entre computadores e
outros dispositivos que têm acesso restrito a quem tem as credenciais necessárias.

XVIII. Drives em nuvem: serviço de armazenamento em nuvem (Ex. OneDrive da Micro-

soft, Google Drive, Dropbox, Box e iCloud da Apple.)

XIX. Web e-mail pessoal: é um serviço de e-mail baseado em cloud, ou seja, o servidor
disponibiliza as informações em nuvem para que o usuário acesse o conteúdo de qualquer
hardware, lugar do mundo e horário (Ex. Hotmail, Gmail ou Yahoo).

XX. Malwares: o termo malware é proveniente do inglês ”malicious software”. É um

software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com
o intuito de causar algum dano ou roubo de informações (confidenciais ou não).

XXI. Ransomware: é um software malicioso que infecta seu computador e exibe men-
sagens exigindo o pagamento de uma taxa para fazer o sistema voltar a funcionar. Essa clas-
se de malware é um esquema de lucro criminoso, que pode ser instalado por meio de links
enganosos em uma mensagem de e-mail, mensagens instantâneas ou sites.

XXII. Autenticidade: garantia de que a informação provém de fontes seguras e que não
foi alvo de alterações e/ou modificações durante seu processo de transmissão.

XXIII. Confidencialidade: garantia de proteção contra revelação não autorizada.

XXIV. Integridade: garantia da exatidão das informações.

XXV. Disponibilidade: garantia de estar acessível e utilizável quando demandado.

XXVI. Legalidade: garante que as informações foram produzidas respeitando a legisla-

ção vigente.

XXVII. Criptografia: é a ciência ou arte de escrever mensagens em forma cifrada (codifi-

Política de Segurança e Informação | PÁGINA : 5 | Classificação: Interna

cada). É usada, dentre outras finalidades, para: autenticar a identidade de usuários, autenticar
transações bancárias, proteger a integridade de transferências eletrônicas de fundos, prote-
ger o sigilo de comunicações pessoais e comerciais.

4.0. POSICIONAMENTO
Considera-se como Segurança da Informação a preservação de sua autenticidade, con-
fidencialidade, integridade, disponibilidade e legalidade da Unimed Uberlândia.

4.1. GOVERNANÇA DE TECNOLOGIA

Todas as áreas da Unimed Uberlândia devem inteirar-se das melhores práticas de ges-
tão de TI (ITIL, COBIT, NIST) e dar suporte à área de Tecnologia da Informação, com recursos
e informações necessárias ao bom desempenho dos processos de gestão.

A área de TI deve garantir que recursos de hardware e software, para suportar serviços
críticos, tenham características básicas de contingência e redundância, tais como:

• Fontes redundantes de energia, interfaces de rede múltiplas e conectadas em portas

de rede alternativas;

• Processo de cópia de segurança (backup) estruturado, implantado e monitorado;

• Processo de gestão de incidentes e desempenho estruturado, implantado e monito-

rado.

Manter e disponibilizar contingência de recursos críticos para a continuidade do negó-

cio, bem como aqueles necessários à continuidade da gestão de SI na ocorrência de even-
tos adversos. Servidores, equipamentos de rede e segurança críticos ao negócio devem ser
adquiridos e implementados com capacidades próprias de contingência, tais como fontes
redundantes, placas de rede alternativas, memória com correção de erros, processadores
duplos, placas controladoras e sistemas em alta disponibilidade. No caso da contratação de
serviços de infraestrutura de TI em nuvem, os mesmos requisitos são aplicáveis.

A arquitetura de processamento para serviços críticos deve ser analisada e validada

quanto aos requisitos de contingência e continuidade. Garantir que toda documentação dos
sistemas, topologia e inventário, esteja atualizada e divulgada para áreas da Unimed Uber-
lândia.

Política de Segurança e Informação | PÁGINA : 6 | Classificação: Interna

 4.2. SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
(SGSI)

O SGSI é um sistema de gestão corporativo voltado para a Segurança da Informação,

que inclui toda a abordagem organizacional usada para proteger a informação da cooperati-
va e seus critérios de continuidade, integridade e disponibilidade.

O SGSI inclui estratégias, planos, políticas, medidas, controles, e diversos instrumentos

usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar a segurança da informação.

4.3. CONTROLE DE ACESSO LÓGICO E FÍSICO

O acesso às informações e sistemas da Unimed deve ser autorizado de acordo com as
atividades atribuídas ao cargo ou função exercida, designados como usuários PRS SEGINFO
002 - Gestão de Identidade e Acessos. Os privilégios de acesso atribuídos para os usuários
devem ser revistos periodicamente por seus líderes imediatos.

Ficará também a cargo dos líderes imediatos da área a definição de acessos físicos às
áreas consideradas sensíveis ou limitadas da Unimed Uberlândia, devendo as liberações se-
rem autorizadas mediante a justificativa, conforme procedimento interno próprio de aces-
sos físicos (PRS GP 021 Acesso a Empresa e Segurança da Informação).

Todos os vinculados à Unimed, conforme item 2 – abrangência desta Política, devem

possuir uma única identificação de usuário (User ID’s, ou login) e senha(s) (password) rela-
cionada às suas atribuições ou funções em exercício no contrato de trabalho ou de presta-
ção de serviço. Os privilégios e direitos de acesso devem ser atribuídos de acordo com as
atribuições ou funções em exercício no contrato de trabalho ou de prestação de serviço.

A Unimed dispõe de procedimentos pré-estabelecidos para os níveis de acessos que

cada usuário poderá ser incluído, sejam eles físicos ou eletrônicos.

É responsabilidade da TI validar e aplicar mecanismos de autenticação atrelados ao

domínio de rede, bem como delimitar o desenvolvimento e aquisição de sistemas conside-
rando os requisitos mínimos de autenticação definidos nesta política.

Todos os compartilhamentos de rede serão autorizados no ato da execução de cria-

ção de usuário de acordo com o setor de cada usuário, no entanto, se houver necessidade
de que sejam ainda adicionadas outras pastas de arquivos no compartilhamento de rede,
estas deverão ser especificadas na solicitação de acesso. Acesso às pastas não pertinentes
à função e área do colaborador serão passíveis de verificação e autorização prévia pela área
de Segurança da Informação.

Política de Segurança e Informação | PÁGINA : 7 | Classificação: Interna

 É proibido o empréstimo e o compartilhamento de identificação de usuários e senhas
associadas a qualquer tipo acesso às informações, sistemas e equipamentos da Unimed
Uberlândia, sujeito às sanções previstas na Política de Medidas Disciplinares.

Os colaboradores, clientes, fornecedores e terceiros devem escolher senhas fáceis de

serem memorizadas, porém ao mesmo tempo, difíceis de serem descobertas ou quebradas.
É responsabilidade da área de TI garantir configurações no(s) domínio(s) de controle para
assegurar a construção de senhas fortes, aplicação de histórico e expiração automática das
senhas.

Quando o usuário suspeitar de utilização indevida de sua(s) senha(s), deverá alterá-

-la(s) imediatamente e tratar a situação como um incidente de segurança, reportando ao seu
superior imediato, o qual deverá comunicar à área de Segurança da Informação.

As senhas não devem ser armazenadas de forma compreensível (leitura) em código

fonte, scripts, macros e papel para evitar a divulgação e uso indevido destas.

Todas as estações de trabalho da Unimed Uberlândia devem utilizar proteção de tela

(screensaver) previamente homologada pela área de Tecnologia da Informação e com ação
automática de execução da proteção a partir de 10 (dez) minutos de inatividade destas, de-
vendo o usuário digitar o login e senha para acessar novamente seu computador. É respon-
sabilidade da área de Tecnologia da Informação configurar padrões nos diversos domínios
para assegurar a utilização de proteção de tela. É vedado a qualquer usuário a remoção das
configurações de proteção de tela da estação de trabalho.

Deve-se, ao fim de sua jornada desligar a sua estação de trabalho.As áreas de acesso
físico serão classificadas e adequadas conforme procedimento próprio, ficando a cargo do
líder imediato a sua fiscalização diária, podendo a área de Segurança da Informação realizar
auditorias sempre que julgar necessário. Todos os vinculados a Unimed, conforme item 2
– abrangência desta Política, que identificarem o acesso indevido às áreas sensíveis ou de
risco deverão imediatamente tratar a situação como um incidente de segurança reportando
ao líder imediato da área o qual deverá comunicar a área de Segurança da Informação.

Os colaboradores da Unimed Uberlândia devem evitar o uso de mecanismos e softwa-

re para salvar automaticamente senhas de acesso a sistemas e sites Web, salvo se devida-
mente homologados e aprovados pela área de Segurança da Informação.

Os acessos à base produtiva devem ser restritos à equipe de sustentação do ambiente.

Caso sejam necessárias informações mais detalhadas do que as disponibilizadas pelos sis-
temas, deve ser gerada uma demanda para a equipe de BI realizar a extração via DW (Data
Warehouse) e em casos de exceções, o solicitante deve abrir chamado para a área de Gestão
de Acessos, informando o tipo de acesso (consulta ou escrita), o tempo de intervenção, e
necessidade. Esta solicitação é submetida à aprovação da área de Segurança da Informação,

Política de Segurança e Informação | PÁGINA : 8 | Classificação: Interna

que posteriormente encaminha a solicitação para processamento dos Administradores de
Banco de Dados.

4.4. CRIPTOGRAFIA
As comunicações e transferências de informações entre a Unimed Uberlândia, clientes,
instituições financeiras, parceiros e fornecedores estratégicos devem ser realizadas através
de redes privadas (VPN) utilizando-se de esquemas criptográficos previamente avaliados e
aprovados pela área de Tecnologia da Informação.

As bases de dados contendo senhas devem estar criptografadas e com o respectivo

controle adequado das chaves de criptografia. A responsabilidade pela gestão das ferra-
mentas de criptografia, chaves e códigos fonte é da área de Tecnologia da Informação.

4.5. CÓPIAS DE SEGURANÇA E CONTINGÊNCIA

Todas as informações críticas de negócio da Unimed devem possuir cópia de seguran-
ça (backup) realizada de acordo com planejamento associado à criticidade da informação
para o negócio.

É responsabilidade da área de Tecnologia da Informação providenciar os recursos fí-

sicos e lógicos para armazenamento e restauração das cópias de segurança. Também deve
assegurar que cópias estejam presentes em locais físicos diferentes do local de origem da
informação e devidamente acondicionadas.

É responsabilidade do proprietário da informação definir os requisitos mínimos de sal-

vaguarda da informação, tais como periodicidade da cópia. O tempo de retenção da infor-
mação apenas será definido pelo proprietário nos casos em que não sejam relacionados na
matriz de temporalidade de guarda.

As cópias de segurança devem ser verificadas sistemicamente para assegurar o pro-

cesso de restauração. É responsabilidade da área de Tecnologia da Informação prover os
recursos necessários e realizar a restauração das cópias de segurança regularmente.

O processo de restauração das informações críticas armazenadas em cópias de segu-

rança é responsabilidade exclusiva da área de Tecnologia da Informação. A restauração da
informação deverá ser solicitada formalmente a esta área pelo proprietário da informação.

Política de Segurança e Informação | PÁGINA : 9 | Classificação: Interna

 4.6. DESENVOLVIMENTO DE SOFTWARE
O processo de desenvolvimento e aquisição de novos sistemas deve considerar as
melhores práticas de segurança da informação. Estas práticas devem ser atualizadas, dis-
cutidas e disseminadas na Unimed Uberlândia. É responsabilidade da área de Tecnologia da
Informação garantir a disseminação e aplicação de melhores práticas para desenvolvimento
seguro.

Sem acordo, ou direitos autorais previamente expressos de outra forma, qualquer pro-
grama, sistema e/ou documentação gerada ou provida por colaboradores, consultores ou
contratados, em benefício da Unimed, será de propriedade dela. Os líderes imediatos são
responsáveis por assegurar esta propriedade através de assinatura de Acordo de Confiden-
cialidade (NDAs), cláusulas contratuais e outros instrumentos que tratem desta garantia.

Aquisição e implantação de novos sistemas devem considerar a verificação de requi-

sitos mínimos de segurança da informação e seguir o procedimento de segurança desde a
concepção. A definição destes requisitos e a atualização do procedimento é de responsabi-
lidade da área de Segurança da Informação, a verificação do emprego e uso adequado destes
requisitos é da área de Tecnologia da Informação.

A Política de Segurança da Informação deve fazer parte como anexo de qualquer con-
trato envolvendo a aquisição e uso de novos sistemas. O fornecedor proponente deverá
atender as condições estabelecidas neste documento para garantir a integridade, disponi-
bilidade e confidencialidade das informações.

É mandatória a comprovação de melhores práticas de desenvolvimento seguro, rea-

lização de análise de vulnerabilidades e mapa de riscos de Segurança da Informação, para
as soluções e sistemas a serem adquiridos ou desenvolvidos externamente. Os sistemas
devem apresentar recursos para controle de acesso lógico segregado e robusto, logs de
acessos, bem como capacidade para a execução e verificação de trilhas de auditoria. É res-
ponsabilidade do Encarregado de Dados em conjunto com a área de Tecnologia da Informa-
ção classificar os fornecedores e apresentar à Diretoria Executiva a matriz de decisão técnica
com aspectos, requisitos de Segurança da Informação e classificação de risco para ele.

4.7. GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E

CONTINUIDADE
A área Tecnologia da Informação é responsável pela gestão de Incidentes de Seguran-
ça da Informação, pelo gerenciamento e manutenção de seus registros, bem como aplicar
melhores práticas para contenção e resolução de causa raiz.

É responsabilidade da área de Tecnologia da Informação gerenciar os riscos relaciona-

Política de Segurança e Informação | PÁGINA : 10 | Classificação: Interna

dos à Segurança da Informação, comunicar possíveis alterações no cenário e impactos ime-
diatos, bem como apresentá-los trimestralmente à Diretoria Executiva, Comissão de Gestão
de Privacidade e Segurança da Informação e manter registros das decisões aplicadas.

Os riscos identificados com impacto alto ou extremo devem ser apresentados ao En-
carregado de Dados e ao Conselho de Administração da Unimed Uberlândia assim que iden-
tificados. A realização de análise de vulnerabilidades e testes de invasão periódicos deve ser
prática de responsabilidade da área de Tecnologia da Informação, informada e acompanhada
pela área de Auditoria Interna e o Encarregado de Dados e/ou área de Privacidade de Dados.

É responsabilidade da área de Tecnologia da Informação manter e gerenciar um pro-

grama de gestão de vulnerabilidades de acordo com as melhores práticas de mercado e
alinhado a gestão de risco de Segurança da Informação da Unimed Uberlândia.

4.8. CONFORMIDADE
A conformidade com requisitos legais e contratuais é responsabilidade de todos os
colaboradores da Unimed Uberlândia. Os líderes imediatos devem identificar e observar a
legislação aplicável à Unimed Uberlândia, garantindo a adequação contratual e observância
das diretrizes de Segurança da Informação desta Política.

A aderência e o cumprimento desta Política está diretamente associada aos requisitos

da Resolução Normativa da ANS no 452 de 2020 de 09 de março de 2020, em especial ao
Anexo I – Seção 1.5 Política de Segurança e Privacidade das Informações.

Os requisitos da Lei Geral de Proteção de Dados (LGPD) no 13.709 de 2018 e a Política

de Proteção de Dados devem ser observados por todos os colaboradores visando preservar
a privacidade do Titular dos Dados pessoais. Em nenhum caso, o colaborador poderá vender
ou transferir informações da Unimed Uberlândia ou de responsabilidade desta a terceiros,
ou fornecer acesso a elas sem a autorização formal e prévia. A confidencialidade e sigilo de
dados pessoais devem ser observados, preservados e garantidos por todos os colaborado-
res, cooperados, prestadores e terceiros da Unimed Uberlândia. A área de Tecnologia da In-
formação é responsável por propiciar mecanismos de proteção condizentes com a criticida-
de da informação e requerer estes aspectos de provedores de serviços e sistemas. Suspeitas
de violação de dados pessoais devem ser comunicadas ao superior imediato, Encarregado
de Dados e/ou através de envio de e-mail para privacidade@unimeduberlandia.coop.br.

Relações contratuais com diretrizes de Segurança da Informação inferiores às contidas

nesta Política devem ser evitadas e caso não haja opção, devem ser analisadas quanto ao
risco seguindo a Política de Gestão de Riscos vigente.

As invenções ou outras propriedades industriais, criações autorais, informações confi-

Política de Segurança e Informação | PÁGINA : 11 | Classificação: Interna

denciais e propriedades intelectuais tais como: software, aplicativos e informações desen-
volvidos ou tratados pelo colaborador, durante e oriundos da relação empregatícia, são de
direito exclusivo da Unimed Uberlândia, que poderá registrá-los nos órgãos competentes
e utilizá-los ou cedê-los sem qualquer restrição ou remuneração adicional ao colaborador.
Tais direitos permanecem inalterados mesmo após término do vínculo empregatício.

A contratação de serviços de terceiros para tratamento de informações da Unimed

Uberlândia que caracterizem processamento e armazenamento em nuvem, deve considerar
os requisitos de adequação a legislação e regulação vigentes.

4.9. DIRETRIZES ESPECÍFICAS

As recomendações descritas abaixo derivam da Cartilha de Segurança para internet.
Este documento contém recomendações e dicas sobre como o usuário de internet deve se
comportar para aumentar a sua segurança e se proteger de possíveis ameaças.

A produção desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil (CERT.br), que é um dos serviços prestados para a comu-
nidade Internet do Brasil pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o
braço executivo do Comitê Gestor da Internet no Brasil (CGI.br).

4.9.1. USO DE E-MAIL

O correio eletrônico é um recurso de comunicação institucional da Unimed Uberlândia
e as regras de acesso e utilização do e-mail devem atender a todas as orientações desta PSI,
além das demais diretrizes da Política de Proteção de Dados.

Portanto fica proibido o uso de compartilhamento de informações da Unimed com

e-mail pessoal, e é vetado o acesso à web e-mail pessoal de dentro da rede da Unimed.

4.9.2. USO DE INTERNET

A Internet é uma ferramenta de trabalho para o desenvolvimento de atividades, pro-
cessos, pesquisas, tecnologias e competências. A Unimed Uberlândia mantém regras de
utilização e bloqueio de acesso a determinados sites, caixas de e-mail, conteúdos, anexos,
emitentes, destinatários, assinaturas, notas, limites de tráfego e armazenamentos. A Uni-
med Uberlândia não autoriza a utilização dos meios de comunicação da Cooperativa para
divulgar mensagens com conteúdo ilegal, pornográfico, com qualquer sentido discrimina-
tório, de cunho religioso, político-partidário, ideológico ou em desacordo com os princípios
éticos e morais da Unimed Uberlândia.

Política de Segurança e Informação | PÁGINA : 12 | Classificação: Interna

 O acesso à rede mundial de computadores (internet), no ambiente de trabalho, deve
ser unicamente para o desempenhar as atribuições e atividades diárias no interesse da or-
ganização.

4.9.3. USO DAS REDES SOCIAIS
A utilização de perfis institucionais mantidos em redes sociais com o objetivo de pres-
tar atendimento e serviços, divulgando ou compartilhando informações da Unimed Uber-
lândia, com autorização previamente constituída pelas áreas de gestão, deve ser regida pelo
Código de Conduta e deve estar em consonância tanto com esta PSI quanto com os objeti-
vos estratégicos da instituição.

A Unimed Uberlândia não permite a divulgação de imagens da cooperativa, de suas

instalações e de colaboradores identificados com crachás e/ou uniformizados, bem como
o compartilhamento de informações restritas, pessoais ou sensíveis em sites pessoais, re-
des sociais, aplicativos ou qualquer meio de comunicação sem o consentimento da Unimed
Uberlândia. Não é autorizada a exposição de imagem dos nossos clientes, a não ser que
seja necessário e aprovado por escrito pela pessoa e pela Unimed Uberlândia. Também não
é permitida a divulgação de informações inverídicas de qualquer natureza em qualquer meio
de comunicação.

Ao cadastrar no perfil das redes sociais, que é um colaborador da Unimed Uberlândia,

o profissional não deve realizar qualquer ação que impacte a marca ou contrarie os valores
da Cooperativa.

4.9.4. USO DE COMPUTAÇÃO EM NUVEM

O uso de recursos de computação em nuvem, para suprir demandas de transferência
e armazenamento de documentos, processamento de dados, aplicações, sistemas e demais
tecnologias da informação, deve ser regido por normas específicas, atendendo a determi-
nações desta PSI, e a Política de Proteção de Dados, com vista a garantir a disponibilidade,
integridade, confidencialidade e autenticidade das informações armazenadas na nuvem.

A Unimed disponibiliza para os colaboradores um espaço em nuvem para armazena-

mento de arquivos relacionados ás atividades realizadas dentro da Unimed. Sendo assim
fica proibido o acesso a drives em nuvens particulares.

4.9.5. USO DE DISPOSITIVOS MÓVEIS

As diretrizes gerais de uso de dispositivos móveis para acesso às informações, sis-
temas, aplicações e e-mail da Unimed Uberlândia devem considerar, prioritariamente, os

Política de Segurança e Informação | PÁGINA : 13 | Classificação: Interna

requisitos legais e a estrutura da instituição, atendendo a esta Política de Segurança da
Informação e a Política de Proteção de Dados, e devem ser regidas por normas específicas
“PRS SEGINFO 004 – Norma BYOD (Bring Your Own Device) Dispositivos Pessoais Móveis”,
a qual contempla as recomendações sobre o uso desses dispositivos.

4.9.6. USO DE ANTIVIRUS

Toda estação de trabalho e servidor deve possuir antivírus (software) instalado e atua-
lizado automaticamente. É responsabilidade da área de Tecnologia da Informação assegurar
o processo de controle de malware na Unimed.

É responsabilidade do colaborador comunicar à área de Tecnologia da Informação

comportamentos associados a malwares e ransomware em suas estações de trabalho.

O uso de dispositivos do tipo “mídia removível” (pen drives, discos externos e smar-
tphones) é expressamente proibido e as exceções devem ser autorizadas formalmente.

Os controles de segurança da informação devem ser empregados pela área de Tecno-

logia da Informação coibindo o uso não autorizado, garantindo o bloqueio de malwares, e
utilização de dispositivos removíveis.

4.9.7. PASTA DE REDE

Informações relacionadas ao negócio da Unimed Uberlândia não devem estar arma-
zenadas em estações de trabalho e equipamentos móveis, tais como laptops, celulares e
tablets, devem ser armazenadas em diretórios de rede para que o processo de cópia de
segurança seja assegurado. É responsabilidade dos colaboradores garantir que estas infor-
mações estejam em diretórios de rede.

4.9.8. AUDITORIA, SANÇÕES E PUNIÇÕES

A Unimed Uberlândia reserva o direito para si de monitorar e manter registros de todos
os tipos de acesso aos seus sistemas, redes e informações. Incluindo-se o uso particular
(pessoal) através destes recursos, quando da existência de informações e/ou evidências de
atos ilícitos ou conduta inadequada. Estes registros também podem ser utilizados para
análises estatísticas visando a boa prestação de serviços e para verificação em casos rela-
cionados a incidentes de segurança.

Auditorias internas e investigações podem ser executadas sem aviso prévio, para a ve-
rificação do atendimento das considerações que compõe e suportam esta política.

Ações disciplinares resultantes da violação dos requisitos e diretrizes de Segurança da

Política de Segurança e Informação | PÁGINA : 14 | Classificação: Interna

Informação serão tratadas conforme Política de Compliance e a Política de Medidas Disci-
plinares, bem como o Regimento Interno da Comissão de Gestão de Privacidade e Seguran-
ça da Informação, Política de Privacidade e Política de Proteção de dados, após realização
de parecer elaborado pela Comissão de Gestão de Privacidade e Segurança da Informação.

4.9.9. DÚVIDAS, SUGESTÕES E EXCEÇÕES

Dúvidas, sugestões e relatos de incidentes devem ser enviados para o endereço segu-
ranca@unimeduberlandia.coop.br.

Exceções a esta Política devem ser apresentadas a gerência imediata do colaborador,

a qual deverá submetê-las às áreas de Governança, Gestão de Riscos e Controles Internos,
e Compliance, onde serão discutidas e avaliadas. Caso necessário, a exceção será submetida
para apreciação do Comitê de Gestão de Privacidade e Segurança da Informação e/ou a alta
direção da Unimed Uberlândia.

Todas as exceções devem ser devidamente registradas e documentadas de forma a

propiciar a evolução futura desta política.

5. ATRIBUIÇÕES E RESPONSABILIDADE

ATRIBUIÇÃO RESPONSÁVEL
• Aprovar esta Política;

• Atualizar esta política em decorrência de alterações le-

gais, normativas ou estatutárias, tendo-se por derrogada qual-
quer disposição nela descrita que resultar incompatível com
alterações futuras do Estatuto Social da Cooperativa ou de nor-
ma legal, sendo no mínimo obrigatório a revisão a cada três (03)
Conselho de Administração
anos;

• Zelar pela aplicação efetiva das melhores práticas em

Segurança da Informação;

• Garantir que medidas corretivas sejam tomadas quando

desconformidades forem identificadas.

Política de Segurança e Informação | PÁGINA : 15 | Classificação: Interna

 • Criação das políticas, normas e procedimentos de Segu-
rança da Informação;
Tecnologia da informação -
• Garantir que recursos de hardware e software, para su-
Segurança da informação
portar serviços críticos;

• Divulgar a importância de sigilo de senhas, bem como o

cuidado com seu uso;

• Analisar casos de violação da segurança da informação,

tomando providências imediatas;

• Prover a divulgação da política de segurança da informa-

ção, bem como das normas e procedimentos vinculados a esta
política;

• Estabelecer procedimentos e realizar a gestão dos sis-

temas de controle de acesso da empresa, incluindo processos
de concessão, manutenção, revisão e suspensão de acessos aos
usuários, conforme a PRS SEGINFO 002 - Gestão de Identidade
e Acessos;

• Realizar trabalhos de análise de vulnerabilidade, com o

intuito de aferir o nível de segurança dos sistemas de informa-
ção e dos demais ambientes em que circulam as informações da
Unimed Uberlândia;

• Analisar e mitigar os riscos relacionados à segurança;

• Requisitar informações das demais áreas, com o intuito

de verificar o cumprimento da política e das Normas da seguran-
ça da informação;

• Estabelecer mecanismos de registro e controle de não-

-conformidade a esta política de e às normas de Segurança da
Informação, reportando-os ao Compliance;

Política de Segurança e Informação | PÁGINA : 16 | Classificação: Interna

 • Avaliar os incidentes de segurança e mitigar os riscos en-
contrados;

• Avaliar os riscos previamente à contratação de terceiros

para tratamento de informações da Unimed Uberlândia
Gestão de Riscos e Controles
Internos

• Realizar análise crítica e independente do processo de

gestão de Segurança da Informação. Deve ser realizada pelo me-
nos uma vez ao ano através da contratação de auditoria espe-
cializada. A área de Auditoria Interna é responsável pela garantia
de isenção neste processo, devendo acompanhar e zelar pela
Auditoria Interna
execução das correções de acordo com o risco para o negócio.
A alta direção da Unimed Uberlândia é responsável por garantir
recursos orçamentários, técnicos e humanos para a área de Au-
ditoria Interna.

• Todas as informações trocadas ou armazenadas nos re-

cursos de informação da Unimed Uberlândia, independentemen-
te de conteúdo, são de propriedade única e exclusiva da Unimed
Cooperados, conselheiros, mem-
Uberlândia. Os usuários devem utilizar os recursos disponibiliza-
bros dos comitês, diretores, colaborado-
dos pela empresa para a condução dos negócios dela;
res, estagiários, jovens aprendizes, tercei-

• Cumprir as diretrizes constantes desta Política e das de- ros, parceiros, prestadores e fornecedores.
mais diretrizes de Segurança da Informação;

6.0 REGRAS DE CONSEQUÊNCIA
As consequências em caso de descumprimento destas diretrizes serão tratadas em
conformidade com o Estatuto Social, Regimento Interno, Código de Conduta e Política de
Medidas Disciplinares. Em caso de infração às políticas corporativas, o caso deverá ser re-
portado ao Canal de Conduta, o qual será apurado.

Política de Segurança e Informação | PÁGINA : 17 | Classificação: Interna

 7.0 CONFIDENCIALIDADE
Este normativo pertence à Unimed Uberlândia. É proibida a reprodução no todo ou
em parte, bem como a divulgação e/ou disponibilização a quaisquer outras pessoas e / ou
empresas, sob qualquer motivo, salvo casos analisados e aprovados pelo Conselho de Ad-
ministração.

8.0 DOCUMENTOS E REGISTROS RELACIONADOS

• ABNT NBR ISO/IEC 27001 –tecnologia da informação –técnicas de segurança –siste-
ma de gestão de segurança da informação -requisitos.

• ABNT NBR ISO /IEC 31001 –gestão de riscos –técnicas para o processo de avaliação
de riscos.

• ABNTNBR ISO /IEC 27002 –tecnologia da informação –técnicas de segurança –código

de prática para a gestão da segurança da informação.

• ABNT NBR ISO /IEC 27005 –tecnologia da informação –técnicas de segurança –ges-
tão de riscos de segurança da informação.

• ABNT NBR 15999-1:2007 -gestão da continuidade de negócios –parte 1: código de

prática.

• Resolução Normativa da ANS no 452/2020 de 09 de março de 2020, em especial ao

Anexo I – Seção 1.5 Política de Segurança e Privacidade das Informações.

• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados.

• Política de Proteção de Dados Unimed Uberlândia.

• Lei nº 12.965, de 23 de abril de 2014.Estabelece princípios, garantias, direitos e deve-

res para o uso da Internet no Brasil.

• Cobit–control objectives for information and related technology - https://www.isaca.

org/resources/cobit.

• ITIL - Information Technology Infrastructure Library - https://www.axelos.com/best-

-practice-solutions/itil/what-is-itil.

• NIST Cybersecurity Framework https://www.nist.gov/cyberframework

Política de Segurança e Informação | PÁGINA : 18 | Classificação: Interna

 9.0 HISTÓRICO DE VERSÕES

REVISÃO DATA DESCRIÇÃO

N/A N/A N/A

Política de Segurança e Informação | PÁGINA : 19 | Classificação: Interna