POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

Histórico das revisões

Rev. nº Data Descrição
00 (zero) 21/10/2021 Emissão inicial.

Sumário

1. OBJETIVO........................................................................................................................................... 1
2. CAMPO DE APLICAÇÃO....................................................................................................................... 1
3. REFERÊNCIAS...................................................................................................................................... 1
4. ESCLARECIMENTOS / DEFINIÇÕES....................................................................................................... 1
5. RESPONSABILIDADES.......................................................................................................................... 2
6. DESCRIÇÃO......................................................................................................................................... 3
7. REGISTROS......................................................................................................................................... 4
8. ANEXOS..............................................................................................................................................6

1. OBJETIVO

Esta Política visa definir um padrão mínimo de controle, que garanta que pessoas não autorizadas
tenham seus acessos negados, evitando atividades indevidas e acesso a informações que não sejam
públicas, estabelecer atribuições e rotinas de controle para concessão e cancelamento de acesso,
minimizando os riscos nas criações e manutenções das credenciais de autenticação.

2. CAMPO DE APLICAÇÃO

A Política de Controle de Acesso do xxxxxxxx aplica-se a todos os colaboradores, alta direção,

terceiros, prestadores de serviço, parceiros e visitantes, independentemente do nível hierárquico ou
período do vínculo de trabalho. Considera-se que todos direta ou indiretamente utilizam ou suportam os
sistemas, infraestrutura ou informações do xxxxxxxxxx Todos os esses colaboradores serão tratados
nesta política como usuários.

3. REFERÊNCIAS

 PL019 - Política de Segurança da Informação – xxxxxxxxx;

 Norma ABNT NBR ISO/IEC 27002:2013;
 Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais.

4. ESCLARECIMENTOS / DEFINIÇÕES

Elaboração: Análise: Aprovação:

1/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

 Acesso: Ato de ingressar, transitar, conhecer ou consultar a informação, seja local, ou

remotamente, bem como a possibilidade de usar os ativos de informação de um órgão ou
entidade.

 Área Segura: São salas trancadas ou um conjunto de salas dentro de um perímetro físico de
segurança, que podem ser trancadas e que disponham de arquivos/móveis trancáveis ou
cofres. A localização de uma área segura deve levar em conta os riscos e vulnerabilidades e
devem contemplar os regulamentos e normas relevantes de saúde e segurança e considerar
eventuais ameaças à segurança causadas por instalações vizinhas, como infiltrações,
vazamento de água proveniente de outra área etc.

 Ativos de Informação: Os meios de armazenamento, transmissão e processamento da

informação; os equipamentos necessários a isso; os sistemas utilizados para tal; os locais onde
se encontram esses meios, e também os recursos humanos que a eles têm acesso.

 Bloqueio de Acesso: Processo que tem por finalidade suspender temporariamente ou

permanentemente o acesso.

 Contas de Serviço: Contas de acesso à rede coorporativa de computadores necessária a um

procedimento automático (aplicação, script etc.) sem qualquer intervenção humana no seu uso.

 Credenciamento de Acesso: Processo pelo qual o usuário recebe credenciais que

concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de
identificação e definição de perfil de acesso em função de autorização prévia.

 Credenciais ou Contas de Acesso: Identificações concedidas por autoridade competente

após o processo de credenciamento de acesso, que permitam habilitar determinada pessoa,
sistema ou organização ao acesso. A credencial pode ser física, como crachá, cartão,
credencial biométrica ou lógica como identificação de usuário e senha.

 CTIC: Coordenação de Tecnologia da Informação e comunicação.

 Equipamentos: Instrumentos necessários para determinada função.

 Exclusão de Direito de Acesso: Processo que tem por finalidade suspender definitivamente o
acesso.

 Exclusão de Conta de Acesso: Processo que tem por finalidade o cancelamento do código de
identificação e do perfil de acesso.

 Gestão de Riscos de Segurança da Informação e Comunicações: Conjunto de processos

que permite identificar e implementar as medidas de proteção necessárias para minimizar ou
eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os
custos operacionais e financeiros envolvidos.

 Identificação do Usuário ou Nome do Usuário: Forma pela qual o usuário é conhecido no

ambiente de Tecnologia da Informação do xxxxxx. O usuário recebe as permissões de
utilização dos recursos computacionais em função de sua Identificação, que deve ser validada
com o uso de uma Senha.

 Perfil de Acesso: Conjunto de atributos de cada usuário, definidos previamente como

necessários para credencial de acesso.

Elaboração: Análise: Aprovação:

2/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

 Perímetro de Segurança: Áreas que podem ser compostas por diferentes dimensões,
equipamentos e tipos de controle de acesso físico para as instalações ou áreas críticas. Podem
ser delimitadas por paredes, portas de entrada controladas por cartão ou balcão de recepção
com recepcionista, etc.

 Usuário: Todos os colaboradores, alta direção, terceiros, prestadores de serviço, parceiros e

visitantes ou qualquer outro indivíduo que tenha acesso, de forma autorizada, direta ou
indiretamente aos sistemas, infraestrutura ou informações do xxxxxxxxx.

5. RESPONSABILIDADES

COORDENAÇÕES
GERENCIAS E
GMTIC / CTIC

GESTÃO DE
PESSOAS
Atribuições

Definir, implementar e gerenciar um sistema de

controle de acesso para todos os ativos de
informação do xxxxxxx
Estabelecer procedimentos que garantam a
segurança da informação para o acesso aos
sistemas
Prover a segurança da informação quando da
utilização de programas utilitários que sejam
capazes de sobrepor os controles dos sistemas
e aplicações.
Autorizar a concessão e o controle de acesso
administrativo a ativos/sistemas de informação
sob sua responsabilidade;
Realizar a revisão periódica de autorizações de
acesso e credenciais de acesso a
ativos/sistemas de informação sob sua
responsabilidade.
Reportar em tempo hábil o desligamento de
empregados da xxxxxxxxxx a equipe de
tecnologia da informação para que contas de
acesso possam ser revogadas
Apoiar a gestão de identidades enviando
relatórios periódicos sobre colaboradores
desligados ou que mudaram de posição no
xxxxxxxxxx
Apoiar a revisão periódica da validade de
credenciais de acesso a ativos/sistemas de
informação fornecendo informações sobre os
empregados.

Elaboração: Análise: Aprovação:

3/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

Zelar pela integridade e confidencialidade de

suas credenciais de acesso aos recursos
computacionais do xxxxxxxxx(identificação de
usuário e senha);
Zelar e contribuir para um efetivo controle de
acesso aos recursos computacionais do
xxxxxxxxxx, de forma a prevenir o acesso não
autorizado aos ativos informacionais e evitar o
comprometimento ou furto da informação e dos
recursos de processamento da informação;
Zelar pela segurança da informação ao utilizar
computação móvel e demais recursos de
trabalho remoto.
Autorizar o acesso às informações sob sua
gestão somente para o pessoal baseado
estritamente nas necessidades de
conhecimento.
Realizar uma análise crítica dos direitos de
acesso dos usuários, autorizando ou não o
acesso;
Comunicar as exigências de segurança da
informação e comunicações do ativo de
informação a todos os custodiantes e usuários;

6. DESCRIÇÃO

6.1 Diretrizes para Acesso Lógico

6.1.1 Acesso Lógico de Usuário

a) Deve ser estabelecido um processo e controle de concessão, alteração e cancelamento de

acesso para os colaboradores em todo e qualquer ambiente.

b) Os gestores das áreas são responsáveis por assegurar que as credenciais de acesso dos
respectivos colaboradores sejam disponibilizadas e utilizadas em conformidade com as
necessidades funcionais do trabalho, por meio de formulário específico de solicitação de
acesso e abertura de chamado junto a Central de Chamados OTRS.

c) Toda concessão de acesso aos sistemas de informações deve ser controlada por um método
que envolva identificação, autenticação e autorização.

d) Os usuários devem cadastrar e utilizar suas respectivas senhas de acesso aos sistemas de
informações em conformidade com a Política de Uso de Senhas.

e) Ao serem disponibilizadas as credenciais de acesso com os respectivos logins e senhas, o

colaborador passa a ser usuário do ambiente tecnológico do xxxxxxxxx.

f) O Acesso Lógico dos Usuários ao ambiente tecnológico do xxxxxxx, deve ser feito mediante a
utilização de Contas de Acesso;

Elaboração: Análise: Aprovação:

4/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

g) O usuário terá uma única credencial de acesso em cada ambiente que seja necessário o
credenciamento. Esta credencial será válida pelo período de vínculo ativo de trabalho com o
xxxxxxx e não deve ser reaproveitada para outros usuários, mesmo após o término da
necessidade de uso inicial.

h) As atividades realizadas por meio de determinada credencial de acesso são de

responsabilidade do respectivo usuário.

i) É proibido aos Usuários compartilharem suas credenciais de acesso, bem como realizarem
qualquer ação utilizando a credencial de Acesso individual ou de grupo para a qual não tenham
sido autorizados.

j) Não é permitida a criação nem utilização de contas genéricas (exemplo: temp, quest, usuario,
teste).

k) O gestor de área ou superior deve abrir um chamado junto a Central de Chamados OTRS para
solicitar o bloqueio das credenciais de acesso dos respectivos usuários afastados ou
desligados.

l) Nos casos em que o usuário afastado é um colaborador terceirizado, o gestor responsável pelo
contrato do terceirizado deve abrir um chamado junto à Central de Chamados OTRS para
solicitar o bloqueio do respectivo acesso do usuário.

m) Área de Tecnologia da Informação fará o bloqueio automático das credenciais de acesso dos
usuários que não realizaram acesso por mais de 90 dias.

n) Todas as pessoas que acessam fisicamente as instalações, mas que não possuem vínculo de
trabalho com o xxxxxxxxx, são considerados visitantes. Neste caso, elas terão acesso lógico a
um ambiente tecnológico do xxxxxxxxxx separado, controlado e monitorado, quer seja em meio
móvel (wi-fi) ou fixo.

o) Os registros de atividades com a respectiva identificação dos responsáveis pela requisição,

aprovação, concessão, comprovação e revogação de Acesso devem ser armazenados para
fins de análise de segurança da informação e auditoria.

6.1.2 Gerenciamento de Privilégio

a) As credenciais de acesso privilegiado, que correspondem ao acesso a atividades de

administrador de sistemas ou ativos físicos do ambiente tecnológico, devem ser atribuídas,
conforme aprovação do gestor de área ou superior ao colaborador, com base na sua respectiva
função e na necessidade de conhecimento da Informação para as atividades do trabalho.

b) O compartilhamento do uso de credenciais de acesso privilegiado deve ser individual e restrito.

Contudo, quando essas credenciais precisarem ser compartilhadas por questões técnicas,
estas devem ser apenas para equipe habilitada, autorizadas pelo gestor da área de Tecnologia
da Informação ou superior e registradas para fins de auditoria.

c) As credenciais de acesso privilegiado devem ser necessariamente trocadas quando houver

desligamento ou substituição de qualquer membro da equipe.

d) Todos os usuários que utilizam credenciais de acesso privilegiadas para execução de

atividades específicas para este fim devem também possuir credenciais não privilegiadas para

Elaboração: Análise: Aprovação:

5/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

atividades do dia a dia. De maneira que a utilização de credenciais de acesso privilegiado só

ocorra quando for estritamente necessário.

6.1.3 Revisão dos Direitos de Acesso

a) Os direitos de acesso devem ser revisados periodicamente pela área de Tecnologia da

Informação do xxxxxx, conforme processo determinado, e validados pelos respectivos gestores
de área ou superiores.

b) As requisições geradas devem ser prontamente atendidas e documentadas pela Área de

Tecnologia da Informação do xxxxxxxxxx

c) Mensalmente, o Departamento de Pessoas do xxxxxxxxx, deverá encaminhar à CTIC uma

relação dos colaboradores afastados e dos estagiários desligados há mais de 90 dias, para que
sejam efetuados os respectivos bloqueios de acesso.

6.1.4 Gerenciamento de contas de Serviço

a) As Contas de Serviço devem ter individualmente um responsável pela sua manutenção, bem
como pela alteração de sua senha. O responsável não deve utilizar a Conta do Serviço para
outros fins que não seja para o qual foi criado, conforme sua definição.

b) Sistemas e dispositivos devem ser configurados, quando tecnicamente possível, de modo a

prevenir Acesso remoto por meio de Contas de Serviço.

c) Contas de Acesso privilegiado que não se enquadram em Contas de Serviço terão suas
senhas expiradas em observância ao mesmo processo adotado para contas de Acesso não
privilegiado.

6.2 . Diretrizes para Acesso Físico

6.2.1 Acesso Físico de Usuário

a) Os controles de Acesso físico visam restringir o Acesso a equipamentos, documentos e

suprimentos do ambiente tecnológico do xxxxxxxx e a proteção dos recursos computacionais,
permitindo-lhes acesso apenas de pessoas autorizadas.

b) Os recursos computacionais críticos do xxxxxxxxx devem ser mantidos em ambientes

reservados, monitorados e com acesso físico controlado, permitido apenas para pessoas
autorizadas.

c) Periodicamente a CTIC deve revisar os acessos aos ambientes tecnológicos reservados,

restringindo o acesso apenas a pessoas autorizadas.

Elaboração: Análise: Aprovação:

6/7
 POLÍTICA

Código Título Revisão

PL-020 Política de Controle de Acessos 00

7. REGISTROS

7.1 Arquivos de configurações de sistemas operacionais instalados em servidor.

7.2 Arquivos de log da ferramenta de backup e restauração.

7.3 As informações e configurações de banco de dados.

7.4 Conteúdo de repositórios de dados associados a sistemas.

7.5 Arquivos institucionais de usuários (documentos e e-mails)

7.6 Quaisquer outros arquivos não descritos neste, mas que a perda de suas informações gere prejuízo
ao xxxxxxx.

8. ANEXOS

Não se aplica

Elaboração: Análise: Aprovação:

7/7