ANEXO I

PSI

Políticas de Segurança da Informação

Versão 1.0

Dezembro / 2023

Sumário

1. Introdução

1.1 Área responsável

1.2 Abrangência

1.3 Regulamentação

1.4 Validade

1.5 Divulgação

2. Conceitos e definições
 3. Política de Segurança da
Informação

3.1 Princípios da Política e Segurança da Informação da BB Tecnologia e

Serviços

3.2 Objetivos da política de Segurança da

Informação

3.3 Classificação da Informação

3.4 Direitos de propriedade

3.5 Aplicação da Política de Segurança da Informação

3.6 Atribuições e responsabilidades

3.6.1 Usuários

3.6.2 Área de Tecnologia da Informação

3.7 Requisitos da Política de Segurança da Informação

4. Regras Gerais

5.Gestão dos ativos

5.1 Utilização da estação de trabalho

5.2 Utilização da rede

5.3 Utilização do Correio Eletrônico

5.4 Utilização de dispositivos móveis

5.5 Acesso à Internet

5.6 Acesso aos sistemas informatizados

5.7 Acesso ao datacenter

5.7.1 Backup

6. Monitoramento do ambiente

7. Proteção de dados

8. Considerações Finais (Glossário ou Lista de Abreviaturas e Siglas

9. Referências Bibliográficas
1 - Introdução

A informação é um importante ativo das organizações, sendo necessário

estabelecer normas e procedimentos que visam protegê-la. Com as facilidades
ocasionadas pela massificação do uso de dispositivos de informática como
microcomputadores, smartphones, laptops, tabletes, etc, bem como o advento da
internet e o fácil acesso às informações delas decorrentes, torna-se primordial a
definição de diretrizes que balizam as ações da BB Tecnologia e Serviços visando à
proteção desse ativo, vital para a busca constante do aprimoramento da gestão.

A Política de Segurança da Informação, também referida como PSI, é o

documento que orienta e estabelece as diretrizes corporativas da BB Tecnologia e
Serviços para a proteção dos ativos de informação e a previsão de responsabilidade
legal para todos os usuários. É também o ponto de partida para o gerenciamento de
riscos associados ao conjunto de recursos tecnológicos. Deve, portanto, ser cumprida
e aplicada em todas as áreas da Empresa. A estrutura normativa da Política de
Segurança da Informação da BBTS é composta por um conjunto de documentos com
dois níveis hierárquicos distintos, relacionados a seguir:

Política de Segurança da Informação (PSI) define a estrutura, as diretrizes e as

obrigações referentes à Segurança da Informação e Comunicação (SIC).

Normas Internas, Procedimentos, entre outros documentos estabelecem

direitos e deveres, bem como papéis e responsabilidades baseadas nas diretrizes e
obrigações definidas na PSI.

1.1. Área responsável

Conforme estabelecido na NI 025 – Estrutura Organizacional, a Divisão de

Governança de TI e Segurança da Informação – Digos, vinculada à Gesog/Dites é a
área responsável pela gestão e processos relativos aos princípios de Segurança da
Informação, visando manter o alinhamento da Segurança da Informação com a
estratégia da Companhia e as recomendações dos Órgãos Reguladores,
disseminando a importância e induzindo a melhoria contínua, promovendo a proteção
das informações sensíveis, propondo normas para o processo de gestão da
Segurança da Informação.

1.2. Abrangência

A Política de Segurança da Informação da BBTS aplica-se a todos os usuários,

sejam eles servidores, prestadores de serviços, consultores, temporários, cedidos e
estagiários que estejam a serviço da Instituição, incluindo toda a mão de obra
terceirizada ou disponibilizada mediante contratos, convênios, parcerias ou quaisquer
outras formas de atuação conjunta com outras empresas.

Esta política orienta o comportamento da BB Tecnologia e Serviços. Os

direcionamentos constantes da política foram definidos a partir de orientações do
Controlador, considerando as necessidades específicas e os aspectos legais e
regulamentares a que a BBTS está sujeita.

1.3. Regulamentação

ABNT NBR ISO/IEC 27001 – Sistemas de gestão da segurança da informação

requisitos;
ABNT NBR ISO/IEC 27002 – Código de prática para controles de segurança da
informação;

Norma complementar 03/IN01/DSIC/GSIPR (Gabinete de Segurança Institucional da

Presidência da República) – Diretrizes para elaboração de política de segurança da
informação e comunicações nos órgãos e entidades da administração pública federal.

1.4. Validade

Esta versão inicial da Política de Segurança da Informação entra em vigor a partir da

sua publicação e possui validade indefinida, podendo ser substituída por uma versão
atualizada a qualquer momento.

A Política de Segurança da Informação deve ser revisada no prazo mínimo de 01 ano

ou, extraordinariamente, a qualquer tempo.

1.5. Divulgação

A divulgação da política deve ser clara e ampla para que todos os usuários
tenham acesso e possam compreendê-la.

Todos os funcionários (servidores públicos ou não) que ingressarem na BBTS ,

estagiários, prestadores de serviços, consultores, temporários, terceirizados e
empresas contratadas devem assinar o Termo de Compromisso, Sigilo e
Confidencialidade da Política de Segurança da Informação em vigor na Instituição quer
seja por meios físicos ou digitais

2 – Conceitos e definições

Para compreensão do documento segue pequenos glossários de palavras e

termos utilizados.

Ameaça: Causa potencial de um incidente indesejado, que pode resultar em

dano para um sistema ou para a Instituição

Arquivo de log: registra as atividades de um programa desde o momento em

que é aberto.

Ativo: todo e qualquer bem da BBTS que possui valor econômico, incluindo a
informação, e todo o recurso utilizado para o seu tratamento, tráfego e
armazenamento.

Ativo Crítico e Sensível: todo ativo considerado essencial para a BBTS, cujo
acesso por pessoas não autorizadas ou a falta de acesso por quem é permitido podem
causar danos à instituição.

Autenticidade: Garantia de veracidade da fonte de informações. Por meio da

autenticidade, é possível confirmar a identidade das pessoas ou entidades que
prestam a informação.

Backup Significa cópia de segurança. É o processo de guardar informações

importantes para recuperá-las futuramente no caso de algum problema ou
necessidade.

Cavalo de Tróia (Trojan horse): programa malicioso que cria abertura para
outros programas e invasões indesejadas.
 Código Executável: arquivo interpretado pelo computador como um comando
de execução para determinadas funções.

Código Malicioso: programa que possibilita ações danosas, como vírus, worms,
trojans, spywares, malware, botnet, ransomware, entre outros.

Colaborador Interno: qualquer pessoa que execute atividade profissional e que

possua algum tipo de vínculo de trabalho com a BBTS (Exemplos: servidores públicos,
estagiários, jovem-aprendiz, terceirizados, etc).

Colaborador Externo: qualquer pessoa contratada por empresa terceirizada

que execute alguma atividade profissional nas dependências da BBTS, sem vínculo
direto (Exemplos: consultores e prestadores de serviços).

Confidencialidade: garantia de que o acesso à informação seja obtido somente

por pessoas autorizadas.

Comunicadores Instantâneos: aplicativos que permitem interatividade, troca de

conversas e conteúdos em tempo real. Ex. WhatsApp, Telegram, outros.

Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos,

diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza
administrativa, técnica, de gestão ou legal. O controle também é usado como sinônimo
para proteção ou contramedida.

Correio eletrônico Meio de comunicação baseado no envio e na recepção de

mensagens, via rede de computadores.

Custodiante: quem detém a guarda da informação, mas não é

necessariamente seu proprietário.

Cyberbullying: prática negativa de assédio moral que afeta o psicológico de

outra pessoa por meio de recursos tecnológicos, como publicações na internet e o
envio de fotos e vídeos com mensagens ofensivas pelo celular ou qualquer outro
dispositivo móvel.

Dados Pessoais: informação relacionada a pessoa natural/física identificada ou

identificável.

Dados Pessoais Sensíveis: dado pessoal sobre origem racial, ou étnica,

convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural.

Datacenter Ambiente projetado para concentrar os equipamentos de

processamento e armazenamento de dados de uma empresa.

Disponibilidade: garantia de que os usuários autorizados obtenham, sempre

que necessário, acesso à informação e aos ativos correspondentes.

Dispositivos móveis Quaisquer equipamentos eletrônicos portáteis para

processamento de dados, armazenamento e comunicação, como notebooks, tablets,
smartphones e consoles portáteis.

Download Ato de baixar um arquivo ou documento de outro computador, via

internet.
 Gestor: Agente da Instituição responsável pela definição de critérios de acesso,
classificação, tempo de vida e normas específicas de uso da informação.

Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma
organização ou pessoa. Ela pode estar guardada para o uso restrito ou exposta ao
público para consulta ou aquisição.

Informação Sensível: toda informação sigilosa que, se divulgada, pode resultar

em danos e/ou, prejuízos de qualquer ordem, perda de vantagem, inclusive financeira,
bem como impacto negativo para a BBTS.

Integridade: capacidade de garantir que a informação esteja mantida em seu

estado original, conforme foi concebida, a fim de protegê-la contra alterações
indevidas, intencionais ou acidentais na guarda ou transmissão.

Parceiros: Empresas, órgãos públicos e demais instituições que possuem

contrato com a BBTS com objetivos em comum, unindo esforços em suas
competências e expertises, sem que haja remuneração, mas apenas empenho de
serviços por cada parte.

Peer to Peer: arquitetura de redes de computadores em que cada um dos

pontos funciona como cliente e servidor possibilitando o compartilhamento de
arquivos. Habitualmente são utilizadas para o compartilhamento de vídeos e músicas.

Pirataria digital Prática que envolve cópia ilegal de conteúdo, arquivo ou

software protegido por direitos autorais.

Recursos de Tecnologia da Informação Qualquer sistema, serviço,

infraestrutura de Tecnologia da Informação e/ou instalações físicas direta ou
indiretamente administrados, mantidos ou operados pela empresa.

Risco: Combinação da probabilidade de ocorrência de um evento e de suas

consequências

Segurança da Informação: preservação da confidencialidade, integridade e

disponibilidade da informação.

Serviços de streaming: Forma de distribuir informação multimídia por meio de

redes de computadores, especialmente a internet.

Site: Páginas contendo informações, imagens, fotos, vídeos, sons etc. que
ficam armazenadas em provedores de acesso (computadores denominados
servidores) à internet, para serem acessadas por qualquer pessoa que se conecte à
rede.

Spam: e-mails não solicitados e normalmente enviados para um grande

número de pessoas.

Termo de Compromisso, Sigilo e Confidencialidade: Documento com validade

jurídica, que acorda confidencialidade e não divulgação de informações confidenciais e
atribui responsabilidades ao usuário.

Upload: Envio de arquivo de um computador para outro via internet.

Usuário: todo servidor, funcionário, prestador de serviço, estagiário, clientes e

afins que tenham acesso aos recursos tecnológicos oferecidos pela BBTS.
 Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças.

Vírus: programa malicioso que se propaga e infecta o computador.

Worm: programa semelhante ao vírus, que infecta o sistema, tendo como

característica a auto replicação

3 – Política de Segurança da Informação

3.1. Princípios da Política e Segurança da Informação da BB Tecnologia e

Serviços

* Adotamos acesso restrito e controlado das informações, identificando e

controlando nos sistemas de controle de acesso, cada usuário de forma individual
responsabilizando-o pela segurança das informações, ativos e processos que estejam
sob sua custódia e por todos os atos executados com suas identificações;
* Autorizamos e concedemos aos nossos empregados o acesso e uso
somente das informações necessárias ao desempenho de suas funções e atribuições
ou por determinação legal;
* Estabelecemos a classificação das informações, classificando as
informações quanto à sua confidencialidade, integridade e disponibilidade, aplicando
proteção de forma compatível com sua criticidade para nossas atividades, alcançando
todos os processos, informatizados ou não;
* Preservamos os atributos da informação, tratando as informações geradas,
adquiridas e/ou custodiadas pela BB Tecnologia e Serviços como ativo, garantindo os
atributos de confidencialidade, integridade e disponibilidade em todo o seu ciclo de
vida: produção, manuseio, reprodução, transporte, transmissão, armazenamento e
descarte.
* Asseguramos a confidencialidade das informações com terceiros,
preservando o sigilo das informações nas relações com terceiros onde haja a
necessidade de troca de informações, através de termos de confidencialidade ou
cláusula em contrato que trate desta proteção;
* Estabelecemos programas educacionais de Segurança da Informação,
divulgando e disseminando por meio de programas permanentes de conscientização
para todos os empregados questões sobre segurança da informação, o conteúdo
desta política e demais normas que a apoiam;
* Estabelecemos Gestão de Riscos de Segurança e Continuidade dos
Negócios, identificando e corrigindo as vulnerabilidades, as ameaças, os riscos e os
impactos que envolvem os ativos de informação da BB Tecnologia e Serviços, por
meio da gestão de riscos de segurança e continuidade dos negócios, procedimentos
de teste e de avaliação periódicos, a intervalos regulares;
* Realizamos revisão periódica, verificando no prazo mínimo de 01 ano ou
extraordinariamente, a qualquer tempo, os controles definidos desta política e seus
documentos, verificando a necessidade de adequação pela área de Segurança da
Informação;
* Somos todos responsáveis pela Segurança da Informação, obedecendo ao
princípio de segregação das funções de desenvolvimento de recursos, uso de
recursos, administração da segurança e auditoria, na gestão da informação;
* Realizamos a verificação dos controles, identificando os incidentes que
comprometem a Segurança da Informação, inclusive na rede de comunicação de
dados, registrando e tratando de forma tempestiva.

3.2. Objetivos da política de Segurança da Informação

 Estabelecer diretrizes e normas que permitam aos servidores, prestadores de
serviços, estagiários e afins da BB Tecnologia e Serviços seguir padrões de
comportamento desejáveis e aceitáveis, de acordo com a legalidade e as boas
práticas mundiais, a fim de mitigar riscos técnicos e jurídicos;

· Nortear a definição de procedimentos específicos de Segurança da Informação

e a implementação de controles e processos para o atendimento de seus requisitos;

· Preservar a confidencialidade, a integridade e a disponibilidade das

informações da BBTS;

· Prevenir possíveis incidentes e responsabilidade legal da instituição e de

servidores, prestadores de serviços, estagiários e afins;

· Garantir a normalidade e a continuidade das atividades da BBTS, protegendo

os processos críticos contra falhas ou desastres significativos;

· Atender aos requisitos legais, regulamentares e contratuais pertinentes à

atividade da BBTS;

· Minimizar os riscos de danos, perdas financeiras, participação no mercado,

confiança de clientes e de parceiros ou qualquer outro impacto negativo nas
atividades da BBTS resultante de uma falha de segurança;

· Assegurar o treinamento contínuo e atualizado das políticas e dos

procedimentos de Segurança da Informação, enfatizando as obrigações das pessoas
em relação à respectiva segurança;

· Garantir que todas as responsabilidades da Segurança da Informação sejam

claramente definidas.

3.3 Classificação da Informação

A Política de Segurança da Informação é aplicável a todas as informações sob

gestão da BBTS, incluindo aquelas:

* Armazenadas e transmitidas por meios eletrônicos (correio eletrônico, fax,

mensagem de texto e afins);

*Armazenadas em qualquer tipo de mídia (pendrive, câmeras digitais, DVD, CD e

afins);

* Transmitidas em conversas formais e informais;

* Impressas ou escritas em papel.

3.4. Direitos de propriedade

As informações produzidas ou recebidas pelos usuários, em geral, na sua

atividade profissional são propriedade da BBTS. Quaisquer exceções deverão constar
de contrato formal entre as partes.

O acesso a essas informações não garante direito sobre elas nem confere
autoridade para liberar acesso a outras pessoas.

3.5. Aplicação da Política de Segurança da Informação

 Todas as normas aqui estabelecidas devem ser aplicadas e seguidas por
todos os funcionários, prestadores de serviços, estagiários e afins para a proteção da
informação e para o uso de recursos tecnológicos.

Esta PSI compromete e responsabiliza cada usuário a manter-se atualizado

sobre este documento e as normas relacionadas, buscando orientação do gestor ou
da Gerência de Tecnologia da Informação (GTI) sempre que não estiver
absolutamente seguro quanto à aquisição e/ou ao descarte de informações.

3.6. Atribuições e responsabilidades

3.6.1 Usuários

 Cumprir as normas definidas na Política de Segurança da Informação.

 Reportar, de imediato, à área de Tecnologia da Informação da BBTS, qualquer
incidente de segurança ou, até mesmo, suspeitas iminentes.
 Sugerir medidas que possam elevar o grau de segurança das instalações na
sua área de atuação.
 Estar atentos para que, em cada fase do processo/projeto, os paradigmas
estabelecidos quanto à segurança estejam sendo contemplados.
 Todos os empregados têm a obrigação de cumprir, na íntegra, a Política de
Segurança de informação, servindo como exemplo de conduta em todas as
situações vividas na Instituição, observando as regras estabelecidas

3.6.2 Área de Tecnologia da Informação

 Atuar de forma proativa e preventiva para minimizar os riscos de segurança ou

até mesmo eliminá-los.
 Atuar com os gestores para que sejam participantes de todos os processos que
envolvam geração, armazenamento e fluxo de informação com vistas a garantir
a efetividade dos controles e a criação de procedimentos que propiciem
respostas imediatas e eficazes no caso de quaisquer incidentes.
 Configurar e atualizar os equipamentos e todo software da Instituição de modo
a garantir o padrão de segurança estabelecido.
 Acessar os arquivos dos usuários e seu conteúdo, sempre que haja
necessidade de serviço que justifique essa ação, como auditorias, cópias de
segurança, instalação de programas, manutenção dos sistemas ou outras
atividades que exijam o acesso para sua execução.
 Manter atualizados os dados relativos às necessidades de processamento e
armazenamento dos dados da Instituição, assim como dos recursos para as
conexões externas, não só para garantir a eficácia nos procedimentos internos,
mas também sob a ótica da segurança da informação, de sorte a atender às
demandas de cada setor sob esse aspecto.
 Manter o controle atualizado dos responsáveis pelas contas, acesso aos
sistemas e bases de dados e a quaisquer dispositivos que estejam vinculados
ao tratamento ou acesso à informação.
 Manter atualizados e em constante verificação os dispositivos de hardware e
software que impeçam a contaminação dos equipamentos e sistemas por
programas maliciosos ou indesejados por não serem de uso formalizado pela
Instituição. No caso de uso por terceiros, deverá constar dos contratos
firmados o impedimento de instalação de programas ou rotinas.
 Manter um cronograma de realização de auditorias nos equipamentos e da
rede interna visando manter estabilizadas as configurações estabelecidas e,
também, projetar as possibilidades de risco.
  Manter monitoramento que gere relatórios para a alta Direção sobre o uso dos
equipamentos, o acesso à internet (sites visitados, upload e download de
arquivos, fluxo de e-mails etc.) e a ocorrência de incidentes que possam ter
comprometido a segurança.
 Elaborar propostas de atualização dos sistemas e procedimentos de
segurança, de acordo com a evolução do parque de equipamentos, dos
recursos disponíveis para o processamento e da evolução dos dispositivos de
hardware e software oferecidos pelo mercado.
 Provocar e participar de campanhas de esclarecimento dos usuários quanto à
segurança da informação.
 Fazer que as práticas relacionadas à segurança da informação estejam sempre
em consonância com os objetivos e as diretrizes da Instituição.
 Praticar todos os demais atos necessários ao cumprimento da presente
política.

3.7. Requisitos da Política de Segurança da Informação

A PSI deve ser comunicada a todos os funcionários, prestadores de serviços,

estagiários e afins visando à efetividade e à real cultura de uso ético e legal dos
recursos tecnológicos, bem como à Segurança da Informação.

Sempre que uma parceria ou contratação de empresa terceirizada envolver

acesso a informações e/ou recursos tecnológicos da BBTS, a gerência contratante
deverá informar à GTI.

A PSI e as Normas serão revisadas e atualizadas com periodicidade mínima

de um ano ou sempre que houver um fato novo e relevante, conforme análise e
decisão do Comitê Consultivo.

Todos os contratos da BBTS devem constar o anexo ou a cláusula de

confidencialidade para garantir o acesso aos ativos de informação. Mais informações,
consulte a Norma de Uso de Ativos.

Já o uso de sistemas só é permitido para usuários que formalizarem a ciência

sobre a PSI.

A responsabilidade em relação à Segurança da Informação deve ser atribuída

na fase de contratação, de forma a ser incluída nos contratos e monitorada durante a
sua vigência.

Para funcionários, prestadores de serviços, estagiários e afins, contratados

em período anterior à publicação desta política, e que não tenham assinado os
respectivos documentos, deverá ser entregue um Termo de Ciência e
Responsabilidade da PSI para a respectiva assinatura de forma física ou eletrônica.

Todos os funcionários, prestadores de serviços, estagiários e afins que

tenham acesso a informações da BBTS, devem passar por treinamento e
conscientização sobre os procedimentos de segurança e o uso correto dos ativos
oferecidos pela instituição. A finalidade é minimizar possíveis riscos de segurança,
explicitar as responsabilidades e comunicar os procedimentos para a notificação de
incidentes.

Todos os requisitos de Segurança da Informação e os aspectos legais,

incluindo a necessidade de planos de contingência, devem ser identificados na fase de
levantamento de um projeto ou sistema. Também devem ser justificados, acordados,
documentados, implementados e testados durante a fase de execução.

Serão criados e implementados também controles apropriados e trilhas de

auditoria ou registros de atividades em todos os pontos e sistemas que a BBTS julgar
necessário para reduzir os riscos dos ativos de informação.

Os ambientes de produção e de desenvolvimento tecnológico devem ser

segregados e rigidamente controlados.

Um plano de contingência e continuidade do negócio deverá ser

implementado e testado anualmente. O objetivo é reduzir riscos de perda de
confidencialidade, integridade e disponibilidade dos ativos de informação, por meio da
combinação de ações de prevenção e recuperação.

Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras,

protegidas por um perímetro de segurança definido, com barreiras de segurança
apropriadas aos riscos identificados, além de ter o acesso controlado, registrado e
monitorado.

Todo ativo de informação deve ser protegido de divulgação, modificação, furto

ou roubo por meio da aplicação de controles.

Devem ser estabelecidas e comunicadas normas e responsabilidades pela

propriedade e custódia dos ativos de informação. Bem como ser estabelecidos
procedimentos e responsabilidades específicas para o uso e o gerenciamento dos
ativos de informação oferecidos pela BBTS, quando estiverem fora das instalações da
instituição.

Todas as pessoas devem ser distintamente identificadas. Sejam visitantes,

servidores, estagiários, parceiros, funcionários ou prestadores de serviços. Os dados
coletados e armazenados devem ser segmentados a fim de que sejam aplicados
controles especiais e sejam adequados às legislações pertinentes sobre a proteção de
dados pessoais. Devem, ainda, ser estabelecidas regras para a coleta, o
armazenamento e o tratamento de dados pessoais por meio de norma específica.

O uso de dispositivos móveis, assim como comunicadores instantâneos

devem ser devidamente regrados em normativos próprios, atendendo sempre aos
princípios da privacidade, respeito ao usuário e à necessidade da coleta de
autorização, quando aplicável, devendo ser informado na Política de Privacidade,
informações sobre as condições de tratamento.

Quando razões tecnológicas ou determinações superiores tornarem

impossível a aplicação desta norma, ou ainda o uso apropriado de controles mínimos
adequados à garantia da segurança dos ativos de informação, o responsável e/ou
solicitante deverá documentá-las imediatamente à GTI. Dessa forma será possível
adotar medidas alternativas para minimizar riscos, bem como organizar um plano de
ação para corrigi-los, monitorá-los ou eliminá-los.

Todo incidente que afete a Segurança da Informação deverá ser comunicado

inicialmente à GTI, que, se julgar necessário, deverá encaminhar posteriormente ao
Comitê de Segurança da Informação para análise.
 Toda e qualquer atividade que não estejam tratadas nesta política ou
normativos específicos, devem ser realizados apenas após consulta e autorização do
gestor da área.

O não cumprimento dos requisitos previstos nesta PSI e nas Normas de

Segurança da Informação acarretará violação às regras internas da instituição, e o
usuário estará sujeito a medidas administrativas e legais cabíveis.

4 – Regras Gerais

A Política de Segurança da Informação e as normas que dela resultarem

deverão ser objeto de revisão e atualização periódicas, sempre que algum fato ou
evento relevante o determinem.

 A responsabilidade com relação à segurança da informação deve ser

comunicada na fase de contratação dos empregados, com a entrega de uma
cópia desta Política de Segurança da Informação e assinatura do Termo de
Compromisso, Sigilo e Confidencialidade (Anexo 1). Todos os empregados
devem ser orientados sobre os procedimentos de segurança, bem como o uso
correto dos ativos, a fim de reduzir possíveis riscos.
 Em todos os contratos firmados com pessoas jurídicas e/ou com prestadores
de serviço que tenham acesso aos ativos de Tecnologia da Informação do
BBTS deverá constar o Termo de Compromisso de Sigilo (Anexo 2) como
condição imprescindível para que possa ser concedido esse acesso.
 Somente atividades lícitas, éticas e admitidas pelo BBTS devem ser realizadas
pelos usuários na utilização dos recursos de Tecnologia da Informação. O uso
indevido, negligente ou imprudente desses recursos e serviços será de inteira
responsabilidade do usuário, reservando-se o BBTS ao direito de analisar
dados e evidências para obtenção de provas a serem utilizadas nos processos
investigatórios e na adoção das medidas legais cabíveis.
 Todos os recursos de Tecnologia da Informação utilizados pelos usuários
destinam-se à realização de suas atividades profissionais contratadas. É
permitido o uso pessoal desses recursos desde que não cause qualquer
prejuízo ao desempenho dos sistemas e serviços e que seja autorizado pelo
gestor responsável.
 É necessário manter cautela quanto à exibição de dados em tela, impressora
ou na gravação em meios eletrônicos, a fim de evitar que pessoas não
autorizadas venham a tomar ciência deles.
 Não será permitido revelar, fora do âmbito profissional, fato ou informação de
qualquer natureza de que tenha conhecimento por força de atividades
profissionais ou por fontes secundárias, salvo em decorrência de decisão
competente na esfera legal ou judicial, bem como de autoridade superior.
 No início da elaboração de novo projeto ou sistema deverão ser identificados
os aspectos relativos à segurança da informação que serão justificados,
acordados, documentados, implantados, testados e homologados na fase de
execução do projeto.
 Todos os pontos de acesso às informações corporativas deverão contar com
controles, por exemplo, registro das atividades, que reduzam os riscos de
perda ou acesso indevido tanto nos equipamentos como na internet, no correio
eletrônico e nos sistemas adquiridos ou desenvolvidos internamente.
 Qualquer incidente que possa afetar a segurança da informação deverá ser
comunicado imediatamente à área de Tecnologia da Informação, mesmo que
haja dúvida quanto às consequências.

5 – Gestão dos ativos

 5.1. Utilização da estação de trabalho

Cada estação de trabalho possui códigos internos que permitem sua identificação na
rede. Sendo assim, tudo que for executado na estação de trabalho será de
responsabilidade do usuário do equipamento. Esse tópico visa definir as regras de
utilização da estação de trabalho que abrangem o login, a manutenção de arquivos no
servidor e as tentativas não autorizadas de acesso.

 O usuário deverá desligar sua estação de trabalho no fim do expediente.

 É recomendado encerrar ou bloquear a sessão do sistema ao se ausentar da
estação de trabalho, de modo a prevenir o acesso indevido.
 A senha de acesso à estação de trabalho é de uso pessoal e intransferível, sua
divulgação é vedada sob qualquer hipótese, devendo ser alterada pelo próprio
usuário no primeiro acesso.
 É recomendado fazer manutenção no diretório pessoal, evitando acúmulo de
arquivos desnecessários.
 Não será permitida a instalação de programas, colocação de adesivos e
qualquer outra alteração não prevista e autorizada.
 Não será permitido gravar nas estações de trabalho arquivos MP3, filmes, fotos
e software com direitos autorais ou qualquer outro tipo que possa ser
considerado “pirataria digital”.
 Não será permitida a abertura de recursos tecnológicos para qualquer tipo de
reparo. Caso seja necessário, o reparo deverá ser solicitado à área de
Tecnologia da Informação.

5.2.Utilização da rede

Este tópico visa definir as regras de utilização da rede que abrangem o login,
a manutenção de arquivos no servidor e as tentativas não autorizadas de acesso.

 Manter, em caráter confidencial e intransferível, a senha de acesso à rede

corporativa e de informação da empresa. A responsabilidade pela manutenção
do sigilo das senhas é exclusiva do empregado.
 Material de natureza pornográfica e/ou discriminatória, de qualquer natureza,
além de conteúdo incompatível com a função exercida, não poderá ser
acessado, exposto, armazenado, distribuído, editado ou gravado por meio dos
recursos computacionais da rede.
 Jogos direcionados ao entretenimento não poderão ser acessados, gravados
ou instalados no diretório pessoal do usuário, na estação de trabalho ou em
qualquer outro diretório da rede.
 Não serão permitidas alterações das configurações de rede e inicialização das
máquinas, bem como modificações que possam trazer problemas.

5.3.Utilização do correio eletrônico

O correio eletrônico é instrumento essencial para a comunicação corporativa

e seu uso requer o estabelecimento de regras que garantam a segurança e efetividade
das informações por ele veiculadas. A comunicação pessoal via e-mail corporativo é
permitida desde que essas regras sejam seguidas e que não sobrecarregue o tráfego
na rede ou possa causar quaisquer prejuízos à Instituição ou constrangimento a
terceiros.

Assim sendo, não é permitido aos usuários do correio eletrônico do BBTS

enviar ou acessar e-mails que:
  proporcionem o acesso não autorizado às caixas postais de terceiros. As
tentativas de acesso serão registradas em log, incluindo acessos feitos
indevidamente por administradores de sistemas;
 sejam dirigidos a múltiplos destinatários, o que caracteriza spam, exceto se
relacionadas a uso legítimo da Instituição. No caso do envio de mensagem
para conjunto de destinatários que não necessitem conhecer os que receberam
o e-mail, indicá-los no campo CCO (com cópia oculta), de modo a não divulgar
a relação de endereços para terceiros;
 utilizem endereço não autorizado para o envio de mensagem;
 comprometam judicialmente o remetente ou a Instituição;
 divulguem informações corporativas não autorizadas;
 estejam em desacordo com os interesses de Instituição;
 disseminem programas que representem ameaça, como trojans, “cavalos de
Tróia” e outros vírus,que con- tenham arquivos executáveis (com
extensões: .exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou
qualquer outro que represente risco à segurança;
 permitam acesso não autorizado a outro computador ou à rede que possa
interromper servidores ou rede de computadores;
 permitam burlar quaisquer sistemas de segurança, internos ou externos;
 possibilitem espionar ou assediar usuários ou pessoas externas à Instituição;
 possam causar prejuízos a qualquer pessoa;
 contenham imagens ocultas, criptografadas ou com qualquer camuflagem;
 apresentem conteúdo impróprio, obsceno ou ilegal;
 contenham conteúdo difamatório, degradante, infame, ofensivo, violento,
ameaçador entre outros;
 contenham quaisquer referências que possam ser consideradas
preconceituosas com relação a sexo, raça, religião, incapacidade física, mental
ou outras situações previstas em lei;
 apresentem conteúdo político;
 incluam anexo ou texto na mensagem que seja protegido por direitos autorais
sem a permissão do autor ou seu preposto.
 As mensagens de correio eletrônico deverão sempre conter a assinatura do
remetente com o formato padronizado pela área de Marketing e Comunicação,
a qual deverá ser divulgada a todos os usuários, junto com as instruções para
configurá-la.

5.4. Utilização de dispositivos móveis

Para estabelecer as regras de dispositivos móveis, serão considerados

quanto a seu proprietário:

a) Pertencentes a empresa

 Será de responsabilidade da área de Tecnologia da Informação a configuração

desses equipamentos para que estejam aptos a interagir com os demais
dispositivos fixos pertencentes à rede. Deverão ser seguidos os mesmos
critérios relativos à segurança da informação adotados para os equipamentos
fixos (desktop).
 Cabe ao empregado, usuário do dispositivo móvel, seguir os mesmos padrões
de segurança adotados para os usuários de dispositivos fixos.
 Além dos procedimentos de segurança usuais para todos os equipamentos, o
usuário de equipamento móvel deverá utilizar todos os meios disponíveis no
equipamento destinados à proteção dos dados nele contidos, como senhas de
acesso, travamentos de hardware ou outros recursos.
  No caso de conexão a uma rede externa por motivo de viagem, compete ao
usuário, além da manutenção da configuração original por meio de backup e/ou
de ponto de restauração, o cuidado especial com as redes externas
eventualmente utilizadas, de forma a não expor conteúdo corporativo que viole
a confidencialidade.
 No caso de viagem e acesso à rede externa com perda de configuração, ou
quaisquer outros eventos que proporcionem respostas inesperadas no uso do
equipamento, o usuário deverá, imediatamente após seu retorno à sede do
BBTS, relatar o problema à área de Tecnologia da Informação para que seja
feita a recuperação das configurações originais e/ou o reparo do equipamento.
 No caso de perda, furto ou roubo do equipamento, o usuário deverá comunicar
o fato imediatamente à área de Tecnologia da Informação.
 A manutenção dos equipamentos tecnológicos será realizada sob a tutela da
área de Tecnologia da Informação.
 Os técnicos da área de Tecnologia da Informação poderão realizar, a qualquer
tempo, inspeção para verificar os aspectos relativos à configuração e à
segurança dos equipamentos.
 A manutenção dos arquivos disponíveis no dispositivo móvel é de
responsabilidade do usuário que, com esse fim, deverá manter cópias de
segurança (backup).

a) Pertencentes a usuários e visitantes

Os usuários e visitantes poderão utilizar seus equipamentos portáteis nas

dependências da BBTS, com as seguintes ressalvas:

 O equipamento poderá se conectar à rede WiFi da sede do BBTS, observados

os cuidados quanto à segurança da rede, como possuir antivírus atualizado,
não conter programas maliciosos e não ser utilizado para violar outras
máquinas conectadas à rede;
 A conexão de equipamento particular do usuário à rede do BBTS só será
possível após análise e autorização da área de Tecnologia da Informação,
ressalvados todos os itens de segurança estabelecidos neste documento.

5.5. Acesso à internet

A internet é uma ferramenta de trabalho e deve ser utilizada para esse fim,
não sendo permitido seu uso para fins recreativos durante o horário de trabalho. Este
tópico visa definir as regras de utilização da rede que abrange navegação a sites,
downloads e uploads de arquivos.

 Não será permitida a divulgação de informações confidenciais em grupos de

discussão, listas ou “bate-papo”, sendo possível sofrer as penalidades
previstas na política e nos procedimentos internos e/ou na forma da lei.
 Caso a área de Tecnologia da Informação julgue necessário, haverá bloqueios
de acesso a arquivos ou domínios que comprometam o uso de banda de
internet ou perturbem o bom andamento dos trabalhos.
 Obrigatoriedade da utilização do Internet Explorer ou outro navegador de
internet homologado pela área de Tecnologia da Informação para ser o cliente
de navegação.
 Não será permitida a utilização de softwares de peer-to-peer (P2P), como
eMule, Kazaa, Morpheus e afins, com o objetivo de evitar pirataria digital.
 O acesso a sites com conteúdo pornográfico, jogos de entretenimento, bate-
papo e/ou apostas é bloqueado e as tentativas de acesso serão monitoradas.
  A utilização de serviços de streaming, como rádios online e afins, só será
permitida com a autorização do gerente da área que deverá realizar a
solicitação formal à área de Tecnologia da Informação.
 A internet poderá ser utilizada para atividades não relacionadas com suas
atividades profissionais contratadas durante o horário de almoço ou fora do
expediente, desde que de acordo com as regras de uso definidas nesta Política
de Segurança da Informação.

5.6. Acesso aos sistemas informatizados

Este tópico visa definir as regras de utilização dos sistemas informatizados

que abrangem seu acesso e uso.

 Os sistemas informatizados devem ser acessados somente por necessidade

de serviço ou por determinação expressa de superior hierárquico, realizando as
tarefas e operações em estrita observância aos procedimentos, às normas e
disposições contidas na legislação.
 As senhas de acesso aos sistemas informatizados deverão ser mantidas em
caráter confidencial e intransferível.
 Os usuários serão responsáveis pelos acessos realizados com o login que lhes
forem atribuídos. No caso de empresas terceirizadas, essa responsabilidade
será do gestor da área contratante, isto é, que utiliza os serviços contratados. É
de responsabilidade do usuário cuidar da integridade, confidencialidade e
disponibilidade dos dados, informações e sistemas aos quais têm acesso,
devendo comunicar, por escrito, ao gestor imediato quaisquer indícios ou
possibilidades de irregularidades, de desvios ou de falhas identificadas, sendo
proibida a exploração de falhas ou vulnerabilidades porventura existentes nos
sistemas.
 Não é permitido o acesso aos sistemas com fins escusos ou imotivados.

5.7. Acesso ao Datacenter

Essa dependência é de acesso restrito às pessoas autorizadas pela área de

Tecnologia da Informação e o acesso será realizado via registro do crachá no sistema
de segurança de acesso.

 O acesso a essa dependência deverá ser registrado em arquivo de log, que

será auditado periodicamente.
 A entrada de terceiros, como prestadores de serviço e visitantes, deve ser
previamente autorizada pela área de Tecnologia da Informação, e só poderá
ocorrer com acompanhamento de pessoa autorizada. Tal acesso deverá ser
registrado constando nome da pessoa, razão do acesso, data e hora.
 Quaisquer eventuais atividades internas no Datacenter que venham a gerar
resíduos descartáveis deverão ser previamente informadas à área de
Tecnologia da Informação, visando garantir a ausência de lixo e o bom fun-
cionamento dos equipamentos ali dispostos.
 Não é permitida a entrada de alimentos ou substâncias inflamáveis no
Datacenter.
 A instalação, retirada ou realocação de equipamento no Datacenter deverá ser
registrada constando data, hora, dados do equipamento e razão de alteração
(entrada, saída, realocação etc.).

5.7.1. Backup
  Os backups dos servidores do Datacenter são de responsabilidade da área de
Tecnologia da Informação e deverão ser agendados para que sejam realizados
em horário de menor acesso possível a esses equipamentos.
 As mídias de armazenamento dos backups deverão ser objeto de controle
constante de sua integridade e prazos de validade e serão guardadas, de
acordo com as normas para tal (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2005), em local afastado do Datacenter de modo a garantir a
integridade e possibilidade de eventual recuperação dos dados.
 Deverá ser contratado serviço especializado em armazenamento externo para
as mídias de backup histórico, distante das instalações do Datacenter.
 Os backups deverão ser objeto de testes periódicos com a simulação de
restauração dos dados em ambiente-teste e, caso sejam detectados quaisquer
defeitos, deverão ser imediatamente identificados e solucionados. As mídias
defeituosas e irrecuperáveis deverão ser descartadas após registro desse fato
para futuras referências.

6 – Monitoramento de ambiente

A área de Tecnologia da Informação e Comunicação dispõe de recursos que

poderão registrar e controlar a utilização dos sistemas e serviços disponibilizados,
incluindo os acessos via internet, visando garantir a disponibilidade e segurança das
informações institucionais.

Para garantir as regras estabelecidas nesta Política de Segurança da

Informação, o setor de tic poderá manter os sistemas de monitoramento que atuem
sobre todos os equipamentos e redes disponibilizados na Instituição com vistas ao
atendimento de eventual exigência judicial ou de solicitação da alta direção.

7 – Proteção de Dados Pessoais

Em atendimento e respeito à Lei Geral de Proteção de Dados Pessoais, a BB

Tecnologia e Serviços deverá garantir a disponibilidade, integridade e
confidencialidade dos dados pessoais, em todo seu ciclo de vida, sendo esta categoria
de dados tratados de forma permanente como dados confidenciais.

Todo tratamento de dados pessoais deverá estar atrelado a uma finalidade

específica, informada ao titular e devidamente atrelada a uma ou mais bases legais
previstas nos artigos 7º e 11º da Lei Geral de Proteção de Dados Pessoais, atentando-
se aos princípios da necessidade, adequação, necessidade, livre acesso, qualidade
dos dados, transparência, segurança, prevenção, não discriminação e prestação de
contas.

A BBTS deverá elaborar um plano de resposta à violação de dados pessoais,

elaborar o Relatório de Impacto sempre que necessário, utilizar processo de
anonimização e pseudo minimização sempre que necessário, fazer registro das
operações de tratamento de dados pessoais, utilizar protocolos de criptografia na
transmissão e armazenamento de dados pessoais, bem como implementar um
sistema de gestão de dados pessoais.

8 – Considerações Finais

Este documento deverá ser amplamente divulgado a todos os usuários.

 É importante que todos estejam cientes de que os ambientes, sistemas,
computadores e redes da empresa poderão ser monitorados e gravados, conforme
previsto nas leis brasileiras.

Todos os usuários devem ter ciência do compromisso assumido não só

quanto à segurança da informação enquanto estiverem ligados à Instituição, mas
também quanto ao sigilo dessas informações caso venham a se desligar da BB
Tecnologia e Serviços.

Em caso de dúvida quanto ao uso e/ou descarte de informações, deverá ser

obtida a orientação necessária na área de Tecnologia da Informação e Comunicação.

As infrações a esta PSI e às Normas de Segurança da Informação serão

passíveis de processo disciplinar, podendo resultar de mera advertência até demissão
por justa causa.

A qualquer tempo, e em qualquer um dos casos previstos, prevalecendo o

descumprimento das regras expostas, a GTI poderá bloquear temporariamente o
acesso do usuário e comunicar os motivos ao profissional e ao gestor da área.

O uso de qualquer recurso da BBTS para atividades ilegais é motivo de

demissão por justa causa e a instituição vai cooperar ativamente com as autoridades.

Assim como a ética, a segurança deve ser entendida como parte fundamental
da cultura interna da BB Tecnologia e Serviços.

9 – Referências

É documento norteador Política de Segurança do BBts

https://bbts.com.br/files/documentos_publicos/politicas/bkp20_seguranca_informacao_
pol600.pdf