Política Corporativa de Segurança da Nº. Doc./Versão.

-
Página 1/7
Informação
Início da Vigência

1. INTRODUÇÃO

A Política Corporativa de Segurança da Informação está baseada nas recomendações da norma ABNT
NBR ISO/IEC 27002:2013 reconhecida mundialmente como código de práticas para controles de segurança da
informação (atualização da ISO/IEC 27002:2005).

2. APLICAÇÃO

Aplica-se a toda Organização X.

3. RESPONSÁVEIS

Diretores;
Gerente do Departamento de Tecnologia da Informação;
Gerentes, Supervisores, Líderes e todos os demais colaboradores da Organização X.

4. CLASSIFICAÇÃO DA INFORMAÇÃO

As informações devem ser classificadas e identificadas por rótulos, considerando os seguintes níveis:
 Pública: são informações aprovadas pelo seu responsável para consulta irrestrita e cuja sua
divulgação externa não compromete o negócio da organização. Ex: editais, licitações, rotinas.
 Interna: são informações disponíveis para a execução de suas tarefas rotineiras, não se destinando,
portanto ao usuário público externo. Ex: Memorandos, portarias, padrões, políticas e procedimentos.
 Confidencial: são informações de acesso restrito a um colaborador ou a um grupo de colaboradores.
Sua revelação pode violar a privacidade de indivíduos, violar acordos de confidencialidade, dentre
outros. Ex: exames, processos judiciais, dados cadastrais de funcionários.
 Restrita: são informações de acesso restrito a um colaborador ou grupo de colaboradores que
obrigatoriamente contam como destinatários da mesma, em geral, associadas ao interesse estratégico
da organização e restrita a superintendentes, gerentes, supervisores e funcionários cujas funções
queiram conhecê-las. Ex: indicadores estatísticos de processos de negócio, resultados de auditorias
internas.

5. DISPOSIÇÕES

5.1. Proteção da Informação

a. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das
informações da empresa e devem estar atentos às ameaças, bem como fraudes, sabotagem,
roubo de informações e acessos indevidos ao sistema de informação;
b. As informações não podem ser transportadas em qualquer meio físico, sem as devidas
proteções;
c. Assuntos confidenciais são de uso restrito e não devem ser expostos publicamente.

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 2/7
Informação
Início da Vigência

5.1. Aplicativos e Softwares

a. O usuário somente pode utilizar aplicativo homologado pelo Departamento de Tecnologia da

Informação (TI), que seja adquirido, desenvolvido internamente ou de propriedade de terceiros;
b. É expressamente vedada a instalação e o uso de software não licenciado (pirata) nas instalações
da Organização X;
c. Os Termos de licença de aplicativos de uso corporativo devem ser mantidos pelo Departamento
de TI. Não havendo Termo, deve existir documento que comprove a legalidade do aplicativo;
d. Qualquer necessidade de aquisição de aplicativos identificada por um Departamento, deve ser
submetida ao Departamento de TI para homologação e inventário;
e. Todo controle de acessos de todos os aplicativos, seja ele dedicado ou não, passa a ser de
responsabilidade única e exclusiva do Departamento de TI, inclusive criação e extinção de novos
usuários, bem como mudanças de perfil de acessos dos mesmos.
f. Os usuários não podem utilizar, ou mesmo armazenar, jogos, aplicativos de entretenimento,
arquivos com imagens gráficas e filmes não relacionados ao trabalho;
g. Aplicativos de propriedade ou licenciados pela organização X, não podem ser copiados pelos
usuários. Essa disposição não se aplica ao backup regular de aplicações e arquivos;

5.2. Armazenamento e Compartilhamento de Arquivos

a. O usuário possui no servidor de arquivos, uma pasta institucional associada ao seu

Departamento. Arquivos relacionados ao seu trabalho devem obrigatoriamente ser armazenados
nessa pasta do servidor de arquivos, de forma a garantir backup regular destes conteúdos;
b. O usuário não poderá criar ou remover arquivos nos discos dos servidores, fora da área
especificamente alocadas para ele no Departamento;
c. Materiais não relacionados às atividades da instituição não poderão ser gravados,
compartilhados, distribuídos, nem utilizar, de qualquer forma os recursos computacionais da
instituição;
d. Não é permitido o armazenamento de arquivos de músicas, vídeos que não sejam de atividades
de trabalho, conteúdo pornográfico, profano, obsceno, fraudulento, difamatório e racialmente
ofensivo. Todo e qualquer material citado acima que for encontrado na rede ou localmente na
estação do usuário, será excluído imediatamente sem previa autorização, e as medidas
disciplinares aplicadas, conforme o documento X;
e. Não será permitida a utilização de dispositivos de armazenamento móvel (pen drive ou HD
externo) nas estações de trabalho sem o devido registro do chamado pelo gestor da área
solicitante e posterior liberação do Departamento de TI;
f. Não é permitido o compartilhamento de pastas nos computadores de colaboradores. Os dados
que necessitam de compartilhamento devem ser alocados nos servidores apropriados, atentando
as permissões de acesso.

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 3/7
Informação
Início da Vigência

5.3. Correio Eletrônico (E-mail)

a. A troca de mensagens entre usuários, via correio eletrônico deve estar relacionada a assuntos de
interesse da organização;
b. É vedada a utilização do correio eletrônico para envio de correntes, piadas, arquivos contendo
imagens e figuras não relacionadas a Organização X, bem como sua utilização com propósitos
comerciais, religiosos, políticos ou outros quaisquer não relacionados aos interesses e negócios
da organização;
c. É proibido enviar, transmitir, manusear ou disseminar informações sigilosas, segredos de negócio
ou qualquer outra informação confidencial da Organização X;
d. É proibido acessar a caixa postal de outro usuário sem a sua autorização, exceto em casos de
auditoria e investigação de procedência, pelas Assessorias e Departamentos competentes;
e. É responsabilidade do usuário o acompanhamento diário e leitura dos e-mails em sua caixa
postal, bem como exclusão periódica de mensagens não utilizadas;
f. Mensagens eletrônicas suspeitas recebidas por exemplo link de acesso, anexos ou qualquer
outro tipo de arquivo, devem ser excluídos ou em caso de dúvida consultar o Departamento de TI
antes de realizar qualquer ação;
g. Para evitar extrapolação do limite máximo de seu espaço em disco, bem como o acúmulo de
arquivos desnecessários no servidor, comprometendo dessa forma o desempenho do correio, o
usuário deve proceder a limpeza em suas pastas de itens não usados ou antigos, caso não seja
efetuada a limpeza o usuário ficará impossibilitado de enviar e receber novas mensagens;
h. Somente os usuários autorizados pelos respectivos gestores das áreas poderão enviar
mensagens via correio eletrônico para fora da organização;
i. Somente os usuários autorizados pelos respectivos gestores das áreas poderão acessar o
correio eletrônico após o horário de expediente.

5.4. Estação de Trabalho

a. O usuário não pode apagar arquivos do sistema operacional, de programas e aplicativos

instalados em sua estação de trabalho;
b. O usuário deve zelar pela conservação dos equipamentos de informática sob sua
responsabilidade;
c. O usuário não pode instalar ou remover programas em sua estação de trabalho sem a devida
autorização e orientação do Departamento de TI;
d. O usuário não pode efetuar qualquer alteração na configuração de hardware (peças) dos
equipamentos de informática;
e. Ao deixar a sua estação de trabalho, o usuário deve bloquear o acesso a sua máquina (windows
+ L) para evitar que sua estação de trabalho esteja em risco;
f. O usuário não deve deixar anotações com informações sensíveis ou qualquer outro dado em
arquivos físicos em cima da sua mesa de trabalho;

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 4/7
Informação
Início da Vigência

a. Nenhuma informação confidencial deve ser deixada à vista, seja em papel, mídias (CD, pen
drive, HD externo), dispositivos, eletrônicos ou qualquer outro meio que seja de fácil acesso;
b. Nunca escrever senhas em lembretes, cadernetas ou qualquer outro meio que seja de fácil
acesso e possa violar a confidencialidade da informação.

5.5. Equipamentos de Informática

a. Equipamentos de informática só devem ser adquiridos mediante ao documento X e respectivo

estudo de investimento, homologação e/ou parecer técnico do Departamento de TI. Este
procedimento visa fazer adequações em casos que possam causar impacto ao ambiente
tecnológico.
b. Solicitação de novos equipamentos de informática, após a aprovação pelo gestor da área e
também pelo Departamento de TI tem o prazo de até 40 dias para serem instalados e
configurados;
c. Os processos de aquisição que não forem submetidos ao Departamento de TI devem ser
anulados e considerados como sem validade, inclusive estarão sem qualquer suporte do
Departamento de TI;
d. Equipamentos de propriedade de terceiros estão obrigatoriamente sujeitos a procedimentos de
segurança específicos, relativos ao controle de vírus e ao controle de acesso lógico à rede
corporativa;
e. Somente podem ser conectados à rede corporativa equipamentos configurados e homologados
pelo Departamento de TI;
f. A movimentação, configuração, reinicialização ou desligamento de equipamentos de informática
somente pode ser feita pelo Departamento de TI ou por terceiros devidamente autorizados,
mediante previa solicitação e abertura de chamado;
g. Todos os equipamentos de informática de propriedade da Organização X devem ser
inventariados pelo Departamento de TI;
h. Está proibida a utilização de equipamentos particulares na rede da Organização X.

5.6. Acesso Externo

a. O acesso remoto à rede corporativa da Organização X será provido mediante solicitação à Área
de Segurança e Infraestrutura via sistema de chamados informando horário de início e término e
também os motivos. Mediante somente a aprovação do Departamento de Recursos Humanos
será realizada a liberação conforme documento PSI0068 Gestão de Pessoas;
b. O acesso remoto à rede corporativa da Organização X deverá ser realizado através de VPN
(Rede Virtual Privada), sendo expressamente proibido o acesso remoto por qualquer outra
ferramenta;
c. As credencias de acessos remoto do usuário são de uso exclusivo e intransferível;
d. O usuário deve fechar a sessão de trabalho após conclusão das atividades evitando a exposição
de informações a pessoas não autorizadas;

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 5/7
Informação
Início da Vigência

a. Acessos remotos serão auditados pelo Departamento de TI;

b. É proibido o acesso remoto as estações de trabalho sem a devida autorização do departamento
de TI.
5.7. Internet – Utilização

a. A liberação do acesso à internet será concedida somente mediante autorização expressa do

gestor imediato da área, onde o usuário exerce suas atividades, sendo este corresponsável pela
utilização do serviço;
b. O usuário não poderá utilizar recursos da empresa para fazer downloads e ou distribuir software
não legalizados;
c. O usuário que necessitar do download de programas relacionados a suas atividades na empresa,
deve solicitar o serviço correspondente ao Departamento de TI;
d. A Organização X reserva-se o direito de gerar relatórios demonstrativos dos sites visitados pelos
usuários e de bloquear acesso àqueles cujos conteúdos não seja compatível com as atividades
de trabalho;
e. O usuário não poderá acessar sites que contenham conteúdo pornográfico, profano, obsceno,
fraudulento, difamatório, racialmente ofensivo, websites de bate-papo, jogos, sites de
relacionamento, redes sociais, dentre outros que não sejam para uso exclusivo das atividades de
trabalho;
f. O usuário não poderá utilizar softwares e ou websites, com o intuito de burlar o sistema de
controle de acesso à Internet para acessar conteúdos não autorizados;
g. É importante ressaltar que, mesmo que um determinado website não esteja bloqueado, não
significa que este possa ser acessado pelos usuários. Observar-se-ão todos os preceitos desta
política, desde a proibição de acesso a websites indevidos, contrários a lei e a moral dos bons
costumes, ao uso da Internet para assuntos que não são pertinentes às rotinas de trabalho;
h. Caso haja necessidade de acesso a algum website que esteja bloqueado e este seja relacionado
a assuntos de trabalho, o usuário poderá recorrer ao seu gestor imediato para que este tome
ciência, e solicite liberação de acesso no Departamento de TI.

5.8. Rede WIRELESS - Corporativa

a. Apenas equipamentos com código de patrimônio da Organização X, após observados os itens

5.7 (a) e 5.7 (c), serão inseridos na rede wireless CORPORATIVA da Organização X.
b. É expressamente proibido que clientes ou fornecedores realize a conexão de dispositivos em
redes corporativas da organização;

5.9. Rede WIRELESS – Visitantes

a. O acesso a rede wireless VISITANTES estará disponível para funcionários e visitantes,

lembrando que o usuário será monitorado e deve seguir as regras de utilização da organização X.

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 6/7
Informação
Início da Vigência

5.1. Login e Senha

a. As senhas dos usuários são pessoais e intransferíveis, pois asseguram que apenas ele,
devidamente identificado, utilize e mantenha de acordo com a necessidade, os acessos aos
sistemas;
b. O usuário não deve escolher senhas óbvias, baseadas em nomes próprios, datas de
aniversários, siglas conhecidas, nome da organização, data de nascimento e etc.;
c. A senha de acesso a estação de trabalho deverá ser alterada a cada seis meses por medidas de
segurança. A senha deve conter no mínimo seis caracteres com letra maiúscula, números e com
no mínimo um caractere especial;
d. Estagiários e terceiros devem ter suas chaves de acesso bloqueadas, de acordo com a data de
expiração do contrato de trabalho firmado;
e. Colaboradores devem ter seus acessos lógicos bloqueados e inativados imediatamente após
saída da empresa conforme documento PSI0068 Gestão de Pessoas;
f. Cadastro de novos usuários, inativação de acessos, mudança de função devem ser registrados
em chamado pelo Departamento de RH conforme fluxo descrito no documento PSI0068 Gestão
de Pessoas.

5.2. Dispositivos móveis

g. É expressamente proibido a utilização de dispositivos móveis para atividades particulares ou que

não são de interesses da organização;
h. O acesso à rede corporativa através de dispositivos móveis apenas pode ser realizado mediante
ao registro de chamado pelo gestor da área com justificativa plausível. É de responsabilidade do
Departamento de TI a liberação do acesso.

6. COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS

a. Para garantir a adequada utilização dos recursos de processamento de informações, fica criado Comitê
de Privacidade e Proteção de Dados, composta por membros de áreas de interesse e que serão
nomeados internamente, que ficará autorizada a aplicar penalidades, previstas no PSI0068 Gestão de
Pessoas, aos que violarem a legislação em vigor e as dispostas nesta política;
b. Sempre que julgar necessário para a preservação da integridade dos recursos computacionais, dos
serviços aos usuários ou dos dados, a Gerência de Tecnologia poderá suspender temporariamente
qualquer conta, seja ou não o responsável pela conta suspeita de alguma violação;
c. As penalidades a serem aplicadas por infração à presente política são redução ou eliminação,
temporárias ou permanentes, dos acessos aos recursos computacionais.

Aprovado por:
 Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 7/7
Informação
Início da Vigência

7. SANÇÕES

a. A violação à política, às normas ou aos procedimentos de Segurança da Informação da Organização X

são consideradas faltas graves, podendo serem aplicadas penalidades previstas em Lei e as medidas
disciplinares previstas no documento X.

8. DISPOSIÇÕES FINAIS

a. Os membros do Comitê de Privacidade e Proteção de Dados podem sugerir a inclusão de novos

tópicos e ou revisão dos já existentes neste documento, mas toda e qualquer alteração que for
realizada será avaliada e aprovada pelos citados como responsáveis, no sistema de documentos X. A
responsabilidade de atualizar periodicamente este documento é da área da Tecnologia de Informação
(TI).

9. DOCUMENTOS RELACIONADOS

Documento X.
Documento Y.
Documento Z.

Aprovado por: