Grupo Unimed-Rio Cooperativa Política

Aprovação: Mês/Ano Expiração: Mês/Ano Versão: xx

Processo SEGURANÇA DA INFORMAÇÃO Código: XXX-XXX
Título: Política de Acesso à VPN Núm.º: XXX.XXX

1 – OBJETIVO
Este documento tem como objetivo estabelecer as diretrizes e regras para utilização de conexões da rede
virtual privada (VPN) de acesso remoto à rede corporativa do Grupo Unimed-Rio.

2 – CAMPO DE APLICAÇÃO
Esta política aplica-se a todos os colaboradores do Grupo Unimed-Rio, contratados, consultores, temporários e
outros trabalhadores, incluindo todo o pessoal afiliado a terceiros utilizando VPN para acessar a rede do Grupo
Unimed-Rio. E a implementações de VPN que permitem acesso direto entre o Grupo Unimed-Rio e outras
empresas fora do grupo (VPN Site to Site).

3 – REFERÊNCIAS
 Política de Senha;
 Política de Segurança da Informação.
 Código de Ética e Conduta

4 – CONCEITOS
 Rede privada virtual (VPN): tecnologia de criptografia e túnel usada para conectar usuários ou filiais com
segurança em uma rede pública, geralmente a Internet; normalmente, uma VPN será configurada para
permitir que um usuário autorizado obtenha o controle remoto da área de trabalho de seu sistema de
escritório. Na ausência de um sistema controlado pelo usuário na rede da empresa, as permissões serão
configuradas apenas para acesso remoto aos sistemas para os quais o usuário tenha acesso autorizado
previamente.
 Serviço gerenciado pelo usuário: O usuário é responsável por selecionar um provedor de serviços de
Internet (ISP), coordenar a instalação e instalar qualquer software necessário em seu dispositivo de
acesso remoto de propriedade pessoal (computador, laptop, tablet e similares).
 Rede da empresa: refere-se às redes locais e de longa distância interconectadas mantidas e gerenciadas
pelo departamento de TI da empresa.
 VPN Site to Site: Conexão remota entre duas redes corporativas distintas.
 Backdoor: é uma porta de acesso ao sistema, que foi criada a partir de um programa instalado que não
foi autorizado pelo proprietário do sistema e que permite o acesso ao computador por pessoas não
autorizadas. Geralmente é instalado partir de uma falha de segurança, explorada por um malware, que
pode ser um

Página 1 de 5
 Grupo Unimed-Rio Cooperativa Política
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: xx
Processo SEGURANÇA DA INFORMAÇÃO Código: XXX-XXX
Título: Política de Acesso à VPN Núm.º: XXX.XXX

 ISP - Provedor de serviços de Internet. Uma empresa que fornece acesso à internet, geralmente por uma
conexão discada, DSL ou de banda larga. Os ISPs também podem oferecer serviços relacionados, como
contas de e-mail, hospedagem, registro de nome de domínio e até serviços de comunicação de dados e
telefonia.

5 – DIRETRIZES
5.1. Aprovação VPN
Colaboradores aprovados pelos seus gestores e terceiros autorizados (clientes, fornecedores, prestadores de
serviços) são elegíveis a utilizar a VPN, que é um serviço "gerenciado pelo usuário”.

O colaborador é responsável por selecionar um ISP, coordenar a instalação, instalar qualquer software
necessário e pagar as taxas associadas.

As solicitações de acesso à VPN devem ser realizadas através do Portal de Serviços e formalizadas através do
envio de formulário de acesso a VPN. Estas solicitações devem ser autorizadas pelo gestor da área ou superior
do colaborador.

Os perfis de VPN para colaboradores não pertencentes à empresa (clientes, fornecedores, prestadores de serviço)
devem ser aprovados pela área de segurança da informação. Além disso, uma cópia do formulário de solicitação
VPN (incluindo a política VPN e o acordo de confidencialidade) deve ser assinada pela autoridade de aprovação da
empresa designada e arquivada com a área de auditoria do grupo Unimed-Rio. As contas não serão emitidas até
que este processo seja concluído.

5.1.1. Importâncias do acesso à VPN

1. Ao usar a tecnologia VPN com equipamentos pessoais, os usuários devem entender que suas máquinas
são uma extensão da rede da empresa e, como tal, estão sujeitas às mesmas regras e regulamentos que
se aplicam aos equipamentos de propriedade da empresa e suas máquinas devem ser configuradas para
cumprir com todas as políticas de segurança.
2. Todos os computadores pessoais conectados às redes da empresa via VPN devem usar software antivírus
e definições de vírus atualizadas. Além disso, todos os patches de segurança devem ser instalados.

Página 2 de 5
 Grupo Unimed-Rio Cooperativa Política
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: xx
Processo SEGURANÇA DA INFORMAÇÃO Código: XXX-XXX
Título: Política de Acesso à VPN Núm.º: XXX.XXX

3. Todos os computadores cedidos para o teletrabalho deverão ser usados apenas através da VPN, não é
permitido a instalação de softwares no equipamento e todas as alterações/atualizações que forem
enviadas remotamente deverá ser aplicada de imediato, o equipamento é de uso exclusivo das atividades
profissionais.
4. Os usuários deste serviço são responsáveis pela aquisição e custos associados à aquisição de
conectividade básica com a Internet e quaisquer problemas de serviço associados. Os serviços VPN
funcionam melhor em conexões de banda larga (modem a cabo ou DSL). O uso de serviço de Internet
dial-up não é recomendado para atividades VPN regulares. É fundamental para a segurança do Grupo
Unimed Rio que todo o acesso seja realizado através de serviços de internet conhecido.
5. É responsabilidade do colaborador ou da empresa com privilégios VPN garantir que usuários não
autorizados não tenham acesso às redes da empresa.
6. O acesso VPN é controlado usando autenticação de usuário e senha. A senha deverá estar de acordo com
a política de senha do Grupo Unimed Rio. Cada usuário VPN deverá ter um perfil único, perfis
compartilhados não são permitidos.

5.1.2. Restrições VPN

1. Os serviços VPN da empresa deverão ser usados exclusivamente para fins comerciais e/ou de suporte da
empresa. Todos os usuários estão sujeitos a auditoria de uso da VPN.
2. Quando ativamente conectado à rede da empresa, a VPN forçará todo o tráfego que passe por um túnel
remoto criptografado. Para evitar possíveis "Backdoor" para a rede. Apenas uma conexão de rede é
permitida por sessão VPN.
3. O acesso à rede da empresa para colaborador não pertencentes à empresa será limitado aos recursos aos
quais eles precisam acessar. O acesso aberto para essas contas não será permitido. Além disso, os túneis
VPN feitos para a empresa devem conter restrições de acesso no ponto de terminação remoto do túnel,
pois evita o acesso não autorizado à rede da empresa. Os túneis não devem ser acessíveis a usuários não
autorizados ou pela Internet.
4. Todos os gateways VPN na rede da empresa serão configurados e gerenciados pelo departamento de TI
da empresa. A TI fornecerá aos usuários aprovados o software cliente apropriado.
5. Gateways VPN criados pelo usuário não serão permitidos na rede da empresa.
6. Os usuários VPN podem ser desconectados automaticamente da rede após trinta minutos de
inatividade. O usuário deve então fazer logon novamente para se reconectar à rede. Nenhum método
deve ser adotado para manter a conexão aberta.

Página 3 de 5
 Grupo Unimed-Rio Cooperativa Política
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: xx
Processo SEGURANÇA DA INFORMAÇÃO Código: XXX-XXX
Título: Política de Acesso à VPN Núm.º: XXX.XXX

6 – RESPONSABILIDADES
Do Administrador:
 O administrador da rede é responsável por fornecer acesso VPN aos colaboradores aprovados e
documentar;
Do usuário:
 Os dispositivos pessoais usados por funcionários para acessar remotamente a rede corporativa da
empresa via VPN devem atender aos critérios de segurança mencionados nesta política.
 Todos os colaboradores devem ser responsáveis em manter a segurança, confidencialidade, integridade e
disponibilidade das informações armazenadas na rede corporativa da organização.
Da Área de Segurança da Informação:
 Área de segurança da informação é responsável em garantir que as medidas de precaução adequadas
(tanto técnicas quanto processuais) sejam estabelecidas e mantidas, além de estar envolvida na
identificação de brechas de segurança e no tratamento de incidentes que podem resultar na perda de
informações protegidas (confidenciais e proprietárias).

7 – ANEXOS
Não se aplica

8 – APROVAÇÕES
Elaborado por:
• Área de Compliance, Riscos e Auditoria – Januária Lopes

Verificado por:
• Área de Compliance, Riscos e Auditoria – Januária Lopes
 Gerência Corporativa de Operações – João Gomes

Aprovado por:
 Superintendência Geral – Mário Salomão
 Diretoria Administrativa – Kátia Bello
 Diretoria Médica – Denise Durão

Página 4 de 5
 Grupo Unimed-Rio Cooperativa Política
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: xx
Processo SEGURANÇA DA INFORMAÇÃO Código: XXX-XXX
Título: Política de Acesso à VPN Núm.º: XXX.XXX

9 – CONTROLE DE ALTERAÇÕES
Descrição da Última Revisão Revisão
Emissão Inicial. 00

Página 5 de 5