Escolar Documentos
Profissional Documentos
Cultura Documentos
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Luiz Borrego
Diretor de TI
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
......................................................................................................... 3
.......................................................................................................... 3
.............................................................................. 3
.................................................................. 5
................................................................................................... 5
.................................................................... 6
........................................................................................................ 6
.................................... 7
............................................................. 7
.................................................................................................... 8
.................................................................................... 9
..................................................................................................... 10
....................................................................................................... 32
............................................................................................ 33
..................................................................................... 33
..................................................................................................... 33
................................................................................... 33
......................................................................................................... 34
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
A Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre
o tratamento de dados pessoais, inclusive por meios digitais, por pessoa natural ou por
pessoa jurídica. É uma legislação que estabelece direitos aos titulares de dados pessoais e
obrigações aos agentes de tratamento com o objetivo de proteger direitos fundamentais
de liberdade e de privacidade.
Técnica utilizada por criminosos virtuais, o qual é utilizada páginas falsas e/ou
e-mails para enganar o usuário a realizar uma ação, podendo ser, clicar em um link
malicioso, realizar algum download e/ou compartilhar informações com o criminoso.
✓ Assegurar que todos os terceiros, fornecedores e/ou parceiros que possuem contas
GOL, tenham seus acessos revisados e/ou revogados no desligamento/ encerramento
de contrato.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
✓ Todos os Visitantes devem ter ciência do manual de conduta dos visitantes para
adentrar nas plantas da GOL.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
✓ Os ativos devem ser protegidos de acordo com sua sensibilidade, valor e criticidade.
Todas as medidas viáveis de Segurança da Informação devem ser aplicadas
independentemente dos meios em que a informação seja armazenada, processada ou
transmitida. Toda informação colocada à disposição dos colaboradores deve
classificada e deve ser utilizada apenas para as finalidades de trabalho para a Gol.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Cuide do seu crachá e nunca o deixe exposto em locais públicos. Em caso de esquecimento,
perda ou extravio, comunique imediatamente a Segurança Patrimonial.
Além disso, deve ser instituído de modo obrigatório o uso de identificação visual para
visitantes, clientes, fornecedores e prestadores de serviço.
O controle de entrada física para colaboradores e visitantes deve ser realizado por meio de
monitoramento de câmeras, equipamentos de controle de acesso e portões de entrada com
sistema de catracas onde possível.
A solicitação para liberação de acesso de visitantes só pode ser realizada pela diretoria,
gerência ou responsáveis pelos departamentos.
O colaborador deverá zelar pelas suas credenciais e acessos, trocando a senha de acordo
com o documento regulatório e
quando houver a suspeita que a senha possa ter sido comprometida.
Caso o usuário necessite de auxílio para alterar a senha, a equipe de TI deve ser acionada
por meio da ferramenta ITSM. Não é permitido o uso e cadastro de usuário genérico ou
padrão para acesso à internet, a rede e a sistemas.
As senhas são efetivas apenas quando usadas corretamente e sua escolha e uso requerem
alguns cuidados como:
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
A internet deve ser utilizada pelos seus respectivos usuários para fins corporativos,
enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa
vir a contribuir para o desenvolvimento de atividades relacionadas à empresa. Todas as
ações ou transações efetuadas na Internet são de inteira responsabilidade do detentor do
acesso.
A cada colaborador será destinado um endereço de e-mail, cujo acesso é feito por
identificação e autenticação de senha de usuário e em alguns casos outro método adicional
como por exemplo múltiplo fator de autenticação. Este endereço de e-mail é pessoal e
intransferível, sendo o titular da conta responsável por toda mensagem enviada pelo seu
endereço de e-mail eletrônico.
As mensagens de correio eletrônico devem ser escritas em linguagem profissional que não
comprometa a imagem da GOL e que não vá de encontro à legislação vigente e nem aos
princípios éticos da organização.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
O usuário pode enviar mensagens relativas ao negócio da GOL para destinatários internos
ou para pessoas/organização em endereços externos, desde que tenha permissão para tal
ação.
O envio de mensagens eletrônicas para um destinatário, com cópias para vários, deve ser
avaliado criteriosamente sobre o prisma da necessidade de todos receberem a referida
mensagem. Isso vale para quando se responde a uma mensagem, pois cópias
desnecessárias sobrecarregam os recursos do ambiente computacional.
O usuário deve ter absoluta certeza de que o nome indicado como destinatário é aquele a
quem deseja enviar a mensagem. Quando for enviar para vários usuários com certa
frequência, deve utilizar a opção de grupo de endereços, evitando erros de endereçamento.
Os colaboradores não devem executar ou abrir arquivos anexos ao e-mail enviado por
remetente desconhecido ou suspeito que possa expor a rede da GOL a risco de segurança
ou ocasionar perda de dados. Caso recebam e-mails desse tipo ou não tenham certeza
sobre a procedência de uma mensagem, os colaboradores devem consultar previamente o
Departamento de Segurança Cibernética da GOL através do e-mail csirt@voegol.com.br ou
gr-segurancadainformacao@voegol.com.br.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
O uso das redes sociais por meio dos Recursos de TI para fins pessoais é expressamente
proibido. Assim, somente nos casos:
Os colaboradores não devem publicar em redes sociais imagens internas da GOL, qualquer
marca nominativa, mista ou qualquer signo distintivo da GOL, quaisquer informações ou
qualquer outro assunto que seja do interesse da GOL, cuja divulgação possa causar
prejuízos ou colocar em risco sua imagem ou reputação.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
O uso do telefone disponibilizado pela GOL deve ter uso para fins profissionais.
As ligações telefônicas poderão ser monitoradas e acessadas pela GOL, conforme previsto
no item 6.3 abaixo.
A liberação de acesso remoto à rede GOL será concedida mediante autorização do Gestor
imediato do colaborador e observando as diretivas de acesso definidas pela área de
Segurança Cibernética.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Estes aplicativos são serviços ao consumidor que não possuem recursos integrados
necessários para trabalhar com segurança. Para atingir este objetivo a GOL reforça a
utilização da ferramenta Microsoft Teams e Work Chat (Workplace), que integra todas as
pessoas, conteúdo e ferramentas para que nossas equipes possam ter maior envolvimento,
segurança e eficácia.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
✓ Anotações, recados e lembretes não devem ser deixados à mostra sobre a mesa ou
colados em paredes, divisórias, murais ou monitor do computador.
✓ Não imprimir documentos apenas para lê-los. Leia-os nas telas dos ativos de
informações, preferencialmente.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
✓ Não deixar o local de trabalho aberto sem que haja um colaborador que trabalhe no
local presente.
✓ A ferramenta oficial utilizada para a reuniões virtuais deve ser a Microsoft Teams.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Todos os colaboradores que possuem contas, recebem acesso a um e-mail corporativo que
será utilizado para comunicação interna e externa a serviço da GOL.
Toda conta de usuário dentro ambiente da GOL está inclusa em uma unidade
organizacional (Organizational Unit) que possui regras de acesso e direitos departamentais
aos volumes compartilhados na rede, que por sua vez estão dentro das regras de acesso e
direitos gerais do domínio da empresa.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
A topologia de redes deve estar sempre atualizada e disponível para a área de Segurança
Cibernética. A documentação da rede, especificamente no que se refere à segurança, é
importante para um gerenciamento de rede eficiente e bem-sucedido. Além disso, o
processo de documentação regular da rede garante que a equipe de TI da GOL tenha um
sólido entendimento da arquitetura da rede a qualquer momento.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Todos os sistemas devem ser submetidos a testes de segurança antes de sua implantação,
quando houver alterações significativas ou por demanda.
Não devem ser utilizadas outras fontes de imagem padrão exceto a aprovada pela A
Diretoria de Tecnologia da Informação.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de
responsabilidade do funcionário.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Cada área/usuário tem acesso a pelo menos uma pasta no servidor e/ou serviço de nuvem
de arquivos (Sharepoint). Todos os documentos relacionados ao negócio devem ser
armazenados nestas pastas. Além disso, cada usuário tem uma pasta individualizada para
uso profissional no servidor e/ou serviço de nuvem de arquivos.
✓ Período de retenção.
Todo sistema deve possuir Controle de Acesso de modo a assegurar o uso apenas
por usuário autorizado, e os sistemas críticos devem permitir o registro de trilhas de
auditoria, que possibilite o rastreamento e monitoramento das atividades executadas, com
ressalvas para os sistemas legados onde deve ser aplicado um plano de mitigação, a fim
de garantir o controle sistêmico.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
É expressamente proibido utilizar softwares ilegais e/ou não homologados pela Diretoria
de Tecnologia da Informação, em nenhuma hipótese deve-se instalar este tipo de
software nos equipamentos da GOL. Todos os softwares homologados e licenciados
devem ser instalados pela Diretoria de Tecnologia da Informação com a possibilidade de
remoção do mesmo a instalação do mesmo não tenha ocorrido pela Diretoria.
Deve haver segregação dos ambientes de testes e produção com o objetivo de reduzir os
riscos de acesso ou mudanças não autorizadas.
Para novos sistemas e/ou atualizações de versões devem ser estabelecidos procedimentos
de testes antes da implantação em produção.
Deve haver a segregação de funções para reduzir oportunidades não autorizadas ou não
intencionais de mudanças ou má utilização dos ativos da GOL.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
A Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A GOL por meio de sua diretoria, entende a importância do tema para a empresa e investe
no aprimoramento contínuo dos critérios estabelecidos em Segurança da Informação,
visando garantir a confidencialidade, integridade e disponibilidade das informações.
A empresa possui uma equipe interna dedicada na gestão e melhoria dos controles
estabelecidos em Segurança da Informação e conta com consultorias para garantir a
conformidade com as boas práticas de mercado e auxiliarem em diagnósticos, cenários de
melhorias e/ou correções.
Para maiores diretrizes sobre a proteção dos dados e como a Companhia utiliza os dados
pessoais, pode ser encontrada na política de privacidade GOL, disponível no website da
companhia.
Informação pública é
considerada todo material
que possa ser divulgado
As informações poderão
ao público externo, não
ser disponibilizadas
prejudicando a
para o público após
Público Público organização.
aprovação da área
responsável pela
Tornar a informação
informação.
pública não pode
prejudicar a organização
de qualquer forma.
É considerada informação
de uso interno toda
As informações são
informação, cujo
disponibilizadas a todos
conhecimento e uso são
Uso interno Uso interno os colaboradores GOL
de uso exclusivo ao
e/ ou pessoas
ambiente interno e que
interessadas.
atenda aos propósitos da
GOL.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
avaliação e gestor da
aprovação do informação.
gestor da equipe
ou área gestora
da informação.
Poderá ser
Poderá ser copiada para fins
copiada para fins de conhecimento
Poderá ser Poderá ser copiada
de conhecimento interno mediante
copiada sem para fins de
interno de uma avaliação e
restrições conhecimento interno.
determinada aprovação do
equipe ou área. gestor da
informação.
a) Enviar a a) Enviar a
informação em informação em
um arquivo um arquivo anexo,
a) Enviar a informação
anexo, protegido protegido com
em um arquivo anexo,
com senha e, senha e, sempre
protegido com senha
sempre que que possível
e, sempre que possível
possível zipado. zipado.
zipado.
b) Enviar a senha b) Enviar a senha
Sem Restrições b) Enviar a senha em
em seguida por em seguida por
seguida por outro
outro meio de outro meio de
meio de comunicação
comunicação. comunicação.
c) Utilizar c) Utilizar
certificação certificação
digital, quando digital, quando
aplicável. aplicável.
a) Sem restrições.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Para garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço
cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade
e a autenticidade dos dados armazenados, processados ou transmitidos, requer-se que
toda aquisição de sistema/ aplicação tenha o envolvimento da área de Segurança
Cibernética. Isto deverá assegurar que requisitos de segurança foram abordados em todo
o ciclo de vida do sistema/ aplicação.
Esta Política tem validade de 02 anos a partir da data de publicação ou sempre que for
necessário para:
Sujeito às leis aplicáveis e de acordo com a presente Política, todas as informações, e-mails,
acessos realizados na internet, telefonemas, documentos e quaisquer outras informações
e/ou dados enviados, recebidos ou mantidos pelos colaboradores por meio dos recursos
de TI da GOL poderão ser monitorados e acessados pela GOL a qualquer momento.
A GOL reserva-se no direito de não conceder qualquer tipo de privacidade na utilização dos
Recursos de TI da GOL, seja tal uso para fins profissionais ou pessoais.
O material obtido por meio do monitoramento pode ser divulgado ao pessoal interno da
GOL, prestadores de serviço da GOL e/ou entidades governamentais, para fins de prova em
processos judiciais e/ou administrativos ou de outra forma conforme exigido por lei, ou
seja, de interesse da GOL.
Nos casos em que houver violação desta Política, sanções e penalidades administrativas
e/ou legais serão aplicadas.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738
Uso interno