Política de Segurança das Comunicações

1. Visão geral
As comunicações eletrônicas, especialmente nos dias de hoje, apresentam à empresa
novos riscos que devem ser enfrentados para salvaguardar os ativos de informações
vitais da organização. Os meios de comunicação abordados nesta política são e-mails,
chats e messengers, VPNs e formas de acesso remoto. Esses meios de comunicação
desempenham papeis essências ao funcionamento da Master TEC. O uso indevido de
comunicações eletrônicas pode representar muitos riscos legais, de privacidade e de
segurança, portanto, é importante que os usuários entendam o uso apropriado de
comunicações eletrônicas.

2. Proposito
Portanto, regras e requisitos são elaborados para minimizar a exposição potencial a
danos que podem resultar do uso não autorizado e ou do mal uso dos recursos da
Master TEC. Os danos incluem a perda de dados sensíveis ou confidenciais da empresa,
propriedade intelectual, danos à imagem pública, danos aos sistemas internos críticos e
multas ou outras responsabilidades financeiras incorridas como resultado dessas
perdas.

3. Escopo
Esta política se aplica a todos os funcionários, contratados, fornecedores e agentes da
Master TEC com um computador ou estação de trabalho de propriedade da Master TEC
ou pessoal usado para se conectar à rede da Master TEC. Esta política se aplica a
conexões internas ou de acesso remoto usadas para trabalhar em nome da Master TEC,
incluindo leitura ou envio de e-mail, uso de chats e messengers, e visualização de
recursos da intranet da web. Esta política cobre toda e qualquer implementação técnica
de acesso remoto usado para conectar-se às redes da Master TEC.

4. Política de e-mail
Os usuários devem estar cientes de que o e-mail em texto não criptografado não é um
meio de comunicação confidencial. A empresa não pode garantir que as comunicações
eletrônicas serão privadas. Os colaboradores devem estar cientes de que as
comunicações eletrônicas podem, dependendo da tecnologia, ser encaminhadas,
interceptadas, impressas e armazenadas por terceiros. Os usuários também devem
estar cientes de que uma vez que um e-mail é transmitido, ele pode ser alterado. A
exclusão de um e-mail de uma estação de trabalho individual não o eliminará dos vários
sistemas pelos quais foi transmitido.
4.1 Todo o uso de e-mail deve ser consistente com as políticas e procedimentos da
Master TEC de conduta ética, segurança, conformidade com as leis aplicáveis e práticas
comerciais adequadas.
4.2 A conta de e-mail da Master TEC deve ser usada principalmente para fins comerciais
da Master TEC; a comunicação pessoal é permitida de forma limitada, mas usos
comerciais não relacionados à Master TEC são proibidos.
4.3 Todos os dados da Master TEC contidos em uma mensagem de e-mail ou anexo
devem ser protegidos de acordo com o Padrão de Proteção de Dados.
4.4 O e-mail deve ser retido apenas se for qualificado como um registro comercial da
Master TEC. O e-mail é um registro comercial da Master TEC se houver um motivo
comercial legítimo e contínuo para preservar as informações contidas no e-mail.
4.5 Os usuários estão proibidos de encaminhar automaticamente o e-mail da Master
TEC para um sistema de e-mail de terceiros (observado em 4.6 abaixo). As mensagens
individuais encaminhadas pelo usuário não devem conter informações confidenciais ou
acima da Master TEC
4.6 Os usuários estão proibidos de usar sistemas de e-mail de terceiros e servidores de
armazenamento, como Google, Yahoo e MSN Hotmail, etc., para conduzir negócios da
Master TEC, para criar ou memorizar quaisquer transações vinculativas, ou para
armazenar ou reter e-mail em nome da Master TEC. Essas comunicações e transações
devem ser conduzidas por meio dos canais apropriados, usando a documentação
aprovada pela Master TEC.
4.7 Usar uma quantidade razoável de recursos da Master TEC. para e-mails pessoais é
aceitável, mas e-mails não relacionados ao trabalho devem ser salvos em uma pasta
separada do e-mail relacionado ao trabalho. O envio de cartas-corrente ou e-mails de
piada de uma conta de e-mail da Master TEC é proibido.
4.8 Os funcionários da Master TEC não devem ter expectativa de privacidade em nada
que armazenem, enviem ou recebam no sistema de e-mail da empresa.
4.9 A Master TEC pode monitorar mensagens sem aviso prévio. A Master TEC não é
obrigada a monitorar mensagens de e-mail.

5. Política de uso da Internet

5.1 Uso permitido
O uso da Internet é concedido com o único propósito de apoiar as atividades necessárias
ao desempenho de funções de trabalho. Todos os usuários devem seguir os princípios
corporativos em relação ao uso de recursos e exercer bom senso ao usar a Internet.
Dúvidas podem ser encaminhadas ao Departamento de TI.
O uso aceitável da Internet para realizar funções de trabalho pode incluir:
• Comunicação entre funcionários e não funcionários para fins comerciais;
• Realizar ou receber suporte técnico de TI, baixando atualizações e patches de
software;
• Revisão de possíveis sites de fornecedores para informações sobre produtos;
• Consultar informações regulamentares ou técnicas.
• Fazer pesquisas
5.2 Uso Pessoal
O uso de recursos de informática da empresa para acessar a Internet para fins pessoais,
sem a aprovação do gerente do usuário e do departamento de TI, pode ser considerado
causa para ação disciplinar que pode incluir até a demissão.
Todos os usuários da Internet devem estar cientes de que a rede da empresa cria um
log de auditoria que reflete a solicitação de serviço, tanto os endereços de entrada
quanto de saída, e é revisado periodicamente.
5.3 Uso Proibido
A aquisição, armazenamento e disseminação de dados ilegais, pornográficos ou que
retratam raça, sexo ou credo são especificamente proibidos.
A empresa também proíbe a conduta de uma empresa comercial, atividade política,
envolvimento em qualquer forma de coleta de inteligência em nossas instalações,
envolvimento em atividades fraudulentas ou disseminação consciente de materiais
falsos ou difamatórios. Outras atividades estritamente proibidas incluem, mas não estão
limitadas a:
• Acessar informações da empresa que não estão dentro do escopo de seu trabalho.
Isso inclui a leitura não autorizada de informações da conta do cliente, acesso não
autorizado a informações de arquivos pessoais e acesso a informações que não são
necessárias para a execução adequada das funções de trabalho.
• Uso indevido, divulgação sem a devida autorização ou alteração das informações do
cliente ou pessoal. Isso inclui fazer alterações não autorizadas em um arquivo pessoal
ou compartilhar dados eletrônicos de clientes ou pessoais com pessoal não autorizado.
• Indicação deliberada ou hiper-links de sites da Web da empresa para outros sites da
Internet / WWW cujo conteúdo pode ser inconsistente com ou violar os objetivos ou
políticas da empresa.
• Qualquer conduta que constitua ou incentive uma ofensa criminal, leve à
responsabilidade civil ou de outra forma viole quaisquer regulamentos e leis nacionais
ou internacionais.
• Uso, transmissão, duplicação ou recebimento voluntário de material que infrinja os
direitos autorais, marcas registradas, segredos comerciais ou direitos de patente de
qualquer pessoa ou organização. Suponha que todos os materiais na Internet sejam
protegidos por direitos autorais e/ou patenteados, a menos que avisos específicos
indiquem o contrário.
• Transmissão de qualquer informação proprietária, confidencial ou de outra forma
sensível sem os controles apropriados.
• Criação, publicação, transmissão ou recebimento voluntário de qualquer material
ilegal, ofensivo, calunioso, ameaçador, de assédio, incluindo, mas não se limitando a,
comentários baseados em raça, nacionalidade, sexo, orientação sexual, idade,
deficiência, religião ou convicções políticas.
5.4 Licença de Software
A empresa apoia fortemente a adesão estrita aos contratos de licença dos fornecedores
de software. Quando no trabalho, ou quando os recursos de computação ou rede da
empresa são empregados, a cópia do software de uma maneira não consistente com a
licença do fornecedor é estritamente proibida. Questões relacionadas a cópias legais ou
ilegais devem ser encaminhadas ao Departamento de TI para revisão ou para solicitar
uma decisão do Departamento Jurídico antes de qualquer cópia ser feita.
Da mesma forma, a reprodução de materiais disponíveis na Internet deve ser feita
apenas com a permissão por escrito do autor ou proprietário do documento. A menos
que a permissão do(s) proprietário(s) dos direitos autorais seja obtida primeiro, fazer
cópias de material de revistas, jornais, boletins, outras publicações e documentos online
é proibido, a menos que seja razoável e habitual. Essa noção de "uso justo" está de
acordo com as leis internacionais de direitos autorais.

6. Política de acesso remoto

É responsabilidade dos funcionários, contratados, fornecedores e agentes da Master
TEC com privilégios de acesso remoto à rede corporativa da Master TEC garantir que
sua conexão de acesso remoto receba a mesma consideração que a conexão do
usuário no local da Master TEC
O acesso geral à Internet por meio da rede da Master TEC é estritamente limitado a
funcionários, contratados, fornecedores e agentes da Master TEC (doravante
denominados “Usuários autorizados”). Ao acessar a rede da Master TEC de um
computador pessoal, os Usuários Autorizados são responsáveis por impedir o acesso a
quaisquer recursos ou dados do computador da Master TEC por Usuários não
Autorizados. É proibida a realização de atividades ilegais por meio da rede da Master
TEC por qualquer usuário (autorizado ou não). O Usuário Autorizado assume a
responsabilidade e as consequências do uso indevido do acesso do Usuário Autorizado.
Para obter informações adicionais sobre as opções de conexão de acesso remoto da
Master TEC, incluindo como obter um login de acesso remoto, software antivírus
gratuito, solução de problemas etc., vá para o site de Serviços de Acesso Remoto:
www.MasterTEC.com.br/Services/Remote_Acces_Help (url fictício).
6.1 Requisitos
6.1.1 O acesso remoto seguro deve ser estritamente controlado com criptografia (ou
seja, redes privadas virtuais (VPNs)) e senhas fortes. Para obter mais informações,
consulte a Política de Criptografia Aceitável e a Política de Senha.
6.1.2 Os Usuários Autorizados deverão proteger seu login e senha, inclusive de seus
familiares.
6.1.3 Ao usar um computador de propriedade da Master TEC para se conectar
remotamente à rede corporativa da Master TEC, os Usuários Autorizados devem
garantir que o host remoto não esteja conectado a qualquer outra rede ao mesmo
tempo, com exceção da rede pessoal redes que estão sob seu controle total ou sob o
controle total de um Usuário Autorizado ou Terceiro.
6.1.4 O uso de recursos externos para conduzir os negócios da Master TEC deve ser
aprovado com antecedência pela Segurança da Informação e pelo gerente da unidade
de negócios apropriado.
6.1.5 Todos os hosts conectados às redes internas da Master TEC por meio de
tecnologias de acesso remoto devem usar o software antivírus mais atualizado,
incluindo computadores pessoais.
6.1.6 O equipamento pessoal usado para se conectar às redes da Master TEC deve
atender aos requisitos de equipamento de propriedade da Master TEC para acesso
remoto, conforme declarado nos Padrões de configuração de hardware e software
para acesso remoto às redes da Master TEC.

7. Política de Senhas
7.1 Todas as senhas de nível de usuário e de sistema devem estar em conformidade
com essas diretrizes:

• A senha deve ter pelo menos 10 caracteres.

• Ela não deve conter nenhuma das suas informações pessoais - especificamente,
seu nome real, nome de usuário ou nome da sua empresa.
• Deve ser muito diferente de suas senhas usadas anteriormente.
• Não deve conter nenhuma palavra escrita por inteiro.
• Uma senha forte deve conter diferentes tipos de caracteres, incluindo letras
maiúsculas, letras minúsculas, números e caracteres especiais.
Ter uma senha como "eCMy!hOquaj^of)}uM}rI>Ap[Ek}E*qib(Tyb” é muito seguro.
Contém quase todos os elementos de uma senha forte. Mas quantos os usuários se
lembrarão de uma senha como esta? Em vez disso, os usuários podem relacionar suas
senhas a coisas que possam lembrar facilmente, como um esporte ou hobby favorito.
Por exemplo, “Gosto de jogar basquete” pode ser “Eu,G0sTo-dE.B@$k3t”. Isso é
seguro e pode ser facilmente lembrado pelos usuários.
Contudo, para permitir que os usuários mantenham várias senhas, recomendamos
enfaticamente o uso de um software de "gerenciador de senhas" autorizado e
fornecido pela organização. Sempre que possível, habilite também o uso de
autenticação multifator.
7.2 Os usuários devem usar uma senha separada e exclusiva para cada uma de suas
contas relacionadas ao trabalho. Os usuários não podem usar nenhuma senha
relacionada ao trabalho para suas contas pessoais.
7.3 Contas de usuário que têm privilégios de nível de sistema concedidos por meio de
associações de grupo ou programas como o sudo devem ter uma senha única de todas
as outras contas detidas por esse usuário para acessar privilégios de nível de sistema.
Além disso, é altamente recomendável que alguma forma de autenticação multifator
seja usada para quaisquer contas privilegiadas

8. Política de Criptografia Aceitável

O objetivo desta política é fornecer orientações que limitem o uso de criptografia aos
algoritmos que receberam análise pública substancial e tiveram sua eficácia
comprovada.
8.1 Requisitos de Algoritmo
8.1.1 O uso do Advanced Encryption Standard (AES) é fortemente recomendado para
criptografia simétrica.
8.1.2 O uso dos algoritmos RSA e Elliptic Curve Cryptography (ECC) é fortemente
recomendado para criptografia assimétrica.
8.1.3 O uso dos algoritmos RSA com o tamanho de chave mínimo de 2048 e LDWM
com SHA256 são fortemente recomendados para assinatura digital.
8.3 Troca de Chaves e Autenticação
8.3.1 As trocas de chaves devem usar um dos seguintes protocolos criptográficos:
DiffieHellman, IKE ou curva elíptica Diffie-Hellman (ECDH).
8.3.2 Os pontos finais devem ser autenticados antes da troca ou derivação das chaves
de sessão.
8.3.3 As chaves públicas usadas para estabelecer confiança devem ser autenticadas
antes do uso. Os exemplos de autenticação incluem a transmissão por meio de
mensagem assinada criptograficamente ou verificação manual do hash da chave
pública.
8.3.4 Todos os servidores usados para autenticação devem ter instalado um certificado
válido assinado por um provedor confiável conhecido.
8.3.5 Todos os servidores e aplicativos que usam SSL ou TLS devem ter os certificados
assinados por um provedor conhecido e confiável.
8.4 Geração de Chave
8.4.1 As chaves criptográficas devem ser geradas e armazenadas de uma maneira
segura que evite perda, roubo ou comprometimento.
8.4.2 A geração de chaves deve ser propagada a partir de um gerador de números
aleatórios padrão da indústria (RNG)

9. Conformidade com a política

9.1 Medição de Conformidade
A equipe de Segurança da Informação verificará a conformidade com esta política por
meio de vários métodos, incluindo, mas não se limitando a, guias periódicos,
monitoramento de vídeo, relatórios de ferramentas de negócios, auditorias internas e
externas e feedback para o proprietário da política.
9.2 Exceções
Qualquer exceção à política deve ser previamente aprovada pela Equipe de Segurança
da Informação.
9.3 Não Conformidade
Um funcionário que tenha violado esta política pode estar sujeito a ações disciplinares,
que podem incluir demissão.

Além disso, a empresa pode, a seu critério, buscar soluções legais para os danos
incorridos como resultado de qualquer violação. A empresa também pode ser obrigada
por lei a relatar certas atividades ilegais às autoridades competentes. Antes de o acesso
à Internet através da rede da empresa ser aprovado, o potencial usuário da Internet
deve ler esta Política de Comunicação e assinar um formulário de reconhecimento.