TIC-POL-001 - Política de Uso Da Tecnologia e Segurança Da Informação.v12

POLÍTICA DE USO DE TECNOLOGIA E SEGURANÇA DA
INFORMAÇÃO / POLÍTICA DE USO DE TECNOLOGIA Y

SEGURIDAD DE LA INFORMACIÓN / INFORMATION
TECHNOLOGY USE AND SECURITY POLICY
UNIDADE/UNIDAD: HOLDING E DATA CENTER /

HOLDING Y DATA CENTER / HOLDING AND
DATA CENTER
LOCAL/LUGAR: TODAS AS LOCALIDADES /
TODAS LAS LOCALIDADES / ALL LOCATIONS
odatacolocation.com
TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

Sumário
1. OBJETIVO ................................................................................................................................................................ 5
2. odatacolocation.com
ALCANCE ................................................................................................................................................................. 5
3. REFERÊNCIAS PARA ELABORAÇÃO DESTE DOCUMENTO...................................................................... 5
4. DEFINIÇÕES ............................................................................................................................................................ 5
5. RESPONSABILIDADES E AUTORIDADES ....................................................................................................... 6
6. DESCRIÇÃO ............................................................................................................................................................ 8
6.1 Regras de Uso da tecnologia e Segurança da Informação ................................................................................ 8
6.1.1 Armazenamento de Informação Corporativa ............................................................................................. 8
6.1.2 Mídias externas .............................................................................................................................................. 9
6.1.3 Descartes de Ativos ....................................................................................................................................... 9
6.1.4 Dispositivos ..................................................................................................................................................... 9
6.1.5 Impressão de Documentos........................................................................................................................... 9
6.1.6 Mesa Limpa .................................................................................................................................................... 9
6.1.7 Uso de Crachá de Identificação e Chaves................................................................................................. 9
6.1.8 Redes Sociais ............................................................................................................................................... 10
6.1.9 Senhas........................................................................................................................................................... 10
6.1.10 Uso de E-mails, Comunicação Instantânea e Via WEB ...................................................................... 10
6.1.11 E-mails pessoais ........................................................................................................................................ 11
6.1.12 Auditoria ...................................................................................................................................................... 12
6.1.13 Utilização da Internet................................................................................................................................. 12
6.1.14 Trabalho Remoto ....................................................................................................................................... 13
6.1.15 Meios de Entrada e Saída ........................................................................................................................ 14
6.1.16. Controle de Acesso Lógico de Colaboradores e Terceiros .............................................................. 15
6.2 Confidencialidade .................................................................................................................................................... 16
6.3 Canal de Comunicação .......................................................................................................................................... 16
6.4 Termo de Compromisso ......................................................................................................................................... 17
odatacolocation.com

Contenido
1. OBJETIVO .............................................................................................................................................................. 18
2. ALCANCE ............................................................................................................................................................... 18
3. REFERENCIAS PARA LA ELABORACION DEL PRESENTE DOCUMENTO ........................................... 18
4. DEFINICIONES ...................................................................................................................................................... 18
5. RESPONSABILIDADES Y AUTORIDADES ..................................................................................................... 19
6. DESCRIPCIÓN ...................................................................................................................................................... 21
6.1. Reglamento de uso de la seguridad de la tecnología y la información ........................................................ 21
6.1.1. Almacenamiento de Información Empresarial ................................................................................... 21
6.1.2. Medios externos ..................................................................................................................................... 22
6.1.3. Baja de Activos ....................................................................................................................................... 22
6.1.4. Dispositivos ............................................................................................................................................. 22
6.1.5. Impresión de documentos .................................................................................................................... 22
6.1.6. Escritorio físico limpio............................................................................................................................ 22
6.1.7. Uso de tarjeta de acceso y carné ........................................................................................................ 23
6.1.8. Redes Sociales ...................................................................................................................................... 23
6.1.9. Contraseñas............................................................................................................................................ 23
6.1.10. El uso de correo electrónico, la comunicación instantánea y desde la web............................. 24
6.1.11. Los correos electrónicos personales .............................................................................................. 25
6.1.12. Auditoría .............................................................................................................................................. 25
6.1.13. El uso de Internet ............................................................................................................................... 25
6.1.14. Escritorio remoto ................................................................................................................................ 26
6.1.15. Medios de Entrada y Salida ............................................................................................................. 27
6.1.16. Control de Acceso Lógico de Colaboradores y Terceros ............................................................ 29
6.2. Confidencialidad ................................................................................................................................................. 30
6.3. Canal de Comunicación .................................................................................................................................... 30
6.4. Declaración de Compromiso ............................................................................................................................ 31
odatacolocation.com

Summary
1. OBJECTVE ............................................................................................................................................................. 32
2. SCOPE .................................................................................................................................................................... 32
3. REFERENCES FOR THE PREPARATION OF THIS DOCUMENT .............................................................. 32
4. DEFINITIONS ......................................................................................................................................................... 32
5. RESPONSIBILITIES AND AUTHORITIES ........................................................................................................ 33
6. DESCRIPTION ....................................................................................................................................................... 34
6.1. Regulations for the use of information and technology security .................................................................... 34
6.1.1. Business Information Storage .............................................................................................................. 35
6.1.2. External means ...................................................................................................................................... 35
6.1.3. Asset retirement ..................................................................................................................................... 35
6.1.4. Devices .................................................................................................................................................... 35
6.1.5. Document printing .................................................................................................................................. 36
6.1.6. Clean physical desktop. ........................................................................................................................ 36
6.1.7. Use of access card and ID card........................................................................................................... 36
6.1.8. Social Networking .................................................................................................................................. 37
6.1.9. Passwords ............................................................................................................................................... 37
6.1.10. Use of e-mail, instant and web-based communication. ............................................................... 37
6.1.11. Personal e-mails ................................................................................................................................ 38
6.1.12. Audit ..................................................................................................................................................... 39
6.1.13. Use of the Internet ............................................................................................................................. 39
6.1.14. Remote desktop ................................................................................................................................. 40
6.1.15. Input and Output Media..................................................................................................................... 41
6.1.16. Logical Access Control of Collaborators and Third Parties ......................................................... 42
6.2. Confidentiality ..................................................................................................................................................... 43
6.3. Communication channel ................................................................................................................................... 44
6.4. Declaration of Commitment .............................................................................................................................. 44
odatacolocation.com

1. OBJETIVO
Definir premissas, diretrizes e regras para o uso dos equipamentos fornecidos pela ODATA ao
Colaborador para o exercício de suas funções, bem como estabelecer o comportamento exigido no uso
do ambiente de TI e o tratamento dos dados, de forma a assegurar o correto nível de segurança.
2. ALCANCE
Se aplica a:
▪ A todos os Colaboradores da ODATA.
3. REFERÊNCIAS PARA ELABORAÇÃO DESTE DOCUMENTO
▪ ISO 9001
▪ ISO/IEC 20000-1
▪ ISO/IEC 27001
▪ ISO 14001
▪ ISO 45001
4. DEFINIÇÕES
▪ Empresa ou ODATA: É a organização para qual se aplica esta respectiva Política;

▪ Colaborador: Indivíduo contratado direta ou indiretamente (terceiros) pela ODATA para realizar
trabalhos e excluindo-se quaisquer fornecedores e clientes;
▪ Alta Administração: Equipe formada pelo CEO, CFO, CTO, Diretor de Operações, Diretor
Jurídico, Diretor de Expansão LATAM, Diretor de Novos Negócios, Diretor de Finanças e
Administração, Diretor de Engenharia e Implantação, Diretor de EHS e ESG, Diretor de Vendas e
Country Managers LATAM.
▪ Equipe de TI: Equipe formada pelas áreas de Tecnologia da Informação Coorporativa (TIC) e
Tecnologia da Informação Data Center (TID);
▪ Servidores: Computadores dedicados à serviços para a missão da empresa;
odatacolocation.com

▪ Dispositivos: Computadores (notebooks, tablets e desktops), Celulares, Pen-drives, dispositivos
de armazenamento externo, tais como discos SSD e Rígidos, Cartões de Memória, Relógios e
Acessórios que contenham informação digital;
▪ Meios de Entrada e Saída: Rede Física (cabos) e Wireless, Bluetooth, Portas USB, Comunicação
Celular e Periféricos;
▪ Software Homologado: Software de uso autorizado nos dispositivos;
▪ Software de Produção: Software voltado a missão da empresa, como por exemplo, de controles
de Data Center, Redes e Segurança Física;
▪ Software Não-Homologado: Software cujo uso não foi autorizado para uso na empresa;
▪ Nuvem Pública de Uso Pessoal: usada para documentos particulares, como por exemplo
Google Drive, Box, Onedrive, entre outros;
▪ Nuvem Pública Empresarial: Utilizada e licenciada pela empresa, como por exemplo, Office 365,
One Drive for Business, Intune, etc;
▪ Conta: identificada com o nome do colaborador e usada para acesso ao ambiente da empresa;
▪ Drive de Rede: Diretório compartilhado na rede local;
▪ PST: Arquivo de dados do Outlook, armazenados no disco local do usuário.

▪ EAM: Ferramenta de gestão de serviços de TI
5. RESPONSABILIDADES E AUTORIDADES
Equipe de TI: definir, monitorar e controlar os recursos de TI, seus dispositivos, softwares e equipe
de colaboradores gerenciando o atendimento das necessidades internas e dos clientes, o que inclui
segurança, eficiência, eficácia e gestão da capacidade.
São exemplos de atividades sob sua responsabilidade:
▪ Identificar os desvios praticados e adotar as medidas corretivas aplicáveis;
▪ Revisar o acesso de colaboradores desligados ou colaboradores que alteraram de
funções, aos dispositivos e softwares da empresa;
▪ Zelar, em nível físico e lógico, pelos ativos de informação e de processamento, e propor
revisões à Administração da ODATA sobre esta política quando necessário;
▪ Ter postura exemplar em relação à segurança da informação, servindo como modelo de
conduta para os colaboradores;
odatacolocation.com

Recursos Humanos:
▪ Solicitar aos novos colaboradores a assinatura do Termo de Compromisso sobre a Política
de Uso da Tecnologia e Segurança da Informação, onde o colaborador assume o dever
de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e
confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do
ODATA, antes de conceder acesso às informações da empresa;
▪ Comunicar formalmente às unidades que efetuam a concessão de acessos e permissões

a usuários: TIC (TI Corporativo), TID (TI Data Center), Administrativo e Segurança Física
Data Center sobre quaisquer inclusões, modificações e desativações.
Jurídico:
▪ Exigir a assinatura do Acordo de Confidencialidade dos prestadores de serviços eventuais
e contínuos;
▪ Adaptar os contratos e acordos de confidencialidade para atender a esta Política, bem
como aos termos legais.
Alta Direção:
▪ Aprovar esta Política e quando necessário demandar e aprovar suas revisões. Garantir
que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger as
informações.
Colaboradores:
▪ Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como
zelar e proteger os respectivos recursos de processamento de informações;
▪ Cumprir as determinações desta Política, sob pena de incorrer nas sanções disciplinares
e legais cabíveis;
▪ Utilizar recursos e sistemas de informações somente para os fins profissionais;
▪ Responder, por todo e qualquer acesso, aos recursos bem como pelos efeitos desses
acessos efetivados;
▪ Comunicar a equipe (incidentessgi@odata.com.br) e/ou ao Gestor imediato o
conhecimento de qualquer irregularidade ou desvio.
odatacolocation.com

6. DESCRIÇÃO
6.1 Regras de Uso da tecnologia e Segurança da Informação
A fim de que seus Colaboradores possam desempenhar suas funções da melhor forma possível, a
ODATA disponibiliza os endereços de e-mail, aparelhos celulares, computadores, sistema de rede para
arquivo de documentos e acesso à Internet.
Espera-se que o uso dessas ferramentas se limite às atividades profissionais. No entanto,

excepcionalmente, é permitida a utilização para fins pessoais desde que de forma razoável.
O controle da informação transmitida através dessas ferramentas é essencial para o desempenho de

nossas atividades. Algumas regras específicas sobre a segurança da informação requerem atenção
especial, pois visam não só a proteção das informações confidenciais de clientes e da Empresa, como o
cumprimento da lei sobre utilização de e-mails e prática de crimes. Os sistemas de e-mail e outros
dispositivos de comunicação fornecidos pela ODATA são de propriedade, única e exclusiva, da ODATA,
ainda que o Colaborador tenha senha pessoal de acesso, o que não caracteriza nenhum direito de
propriedade sobre eles.
O uso de e-mail e Internet devem seguir as políticas e os valores da ODATA. Desta forma, são proibidas:
▪ Mensagens que violam esta Política ou o Código de Conduta da ODATA, com relação à oferta e
convites à participação de atividades ilegais, como apostas ou o uso e venda de substâncias
controladas;
▪ Declarações que, se feitas em quaisquer outros fóruns, violariam qualquer matéria desta Política
e demais regras porventura existentes;
▪ Divulgação de qualquer imagem ou mensagem imprópria, com conteúdo de pornografia, pedofilia
ou qualquer tema relacionado.
A ODATA reserva-se no direito de monitorar, analisar, revisar e suspender o acesso à Internet e ao e-
mail, se julgar apropriado, e observados as leis e os regulamentos aplicáveis.
6.1.1 Armazenamento de Informação Corporativa
Toda a informação deve ser gravada no repositório corporativo (SharePoint), sendo proibida a gravação
na área de trabalho local do computador. Somente serão aceitas gravações locais nas áreas
sincronizadas do SharePoint e OneDrive for Business em dispositivos criptografados, se o dispositivo
local não disponibilizar de criptografia a gravação local poderá ser liberada após análise da Equipe de TI.
O backup das informações é realizado conforme ao TIC-PRO-010 - Procedimento de Backup
odatacolocation.com

6.1.2 Mídias externas
A ODATA não faz uso de mídias externas para backup de informações.
6.1.3 Descartes de Ativos
O ativo que será descartado deverá ser enviado para Área de TIC, eles irão recomendar o backup do
ativo e em seguida realizar a destruição internamente ou por terceiros de maneira documentada.
6.1.4 Dispositivos
Somente uma conta por colaborador da ODATA deverá ser utilizada para todos os dispositivos que forem
dedicados ao seu uso profissional.
O colaborador está obrigado a zelar pela guarda e conservação dos dispositivos a este entregues,
devendo utilizá-lo estritamente de acordo com as regras por esta Política determinadas. Em caso de furto,
roubo, perda, dano ou conhecimento de uso por terceiros não autorizados, deverá o colaborador,
comunicar a Equipe de TI imediatamente e tomar todas as ações necessárias junto às autoridades, se
aplicável, nesta ordem de importância.
Todos os dispositivos serão preferencialmente criptografados.
A ODATA proíbe a conexão de dispositivos pessoais nas dependências dos seus escritórios e Data
Center, independente de criptografia, a sua Rede ou Nuvem, que não estejam devidamente cadastrados.
É proibida a utilização da rede de visitantes (guest) por dispositivos corporativos.
6.1.5 Impressão de Documentos
A impressão de documentos deve respeitar de forma sustentável o patrimônio da ODATA. Imprima

somente o que for necessário, evitando desperdícios. Os documentos impressos devem ser recolhidos
imediatamente após a impressão, evitando exposição da informação.
6.1.6 Mesa Limpa
Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa

desnecessariamente, devem ser armazenados em armários ou gavetas trancadas, quando não estiverem
em uso, especialmente fora do horário do expediente.
Anotações, informações, recados e lembretes que exponham informações sensíveis não devem ser
deixados a mostra sobre a mesa ou colados em paredes, divisórias ou monitor do computador e quadros
brancos.
6.1.7 Uso de Crachá de Identificação e Chaves
A utilização do crachá é desejável no escritório (Holding), porém, é obrigatório no Data Center.
odatacolocation.com

O colaborador deverá portar o crachá em local de fácil identificação.
Nunca deixar crachá de identificação ou chave em qualquer lugar, especialmente fora do ambiente da
empresa. Mantenha-os junto a você sempre que possível.
Nunca emprestar o crachá ou dar carona.
Notificar o pessoal da Área Administrativa/Segurança em caso de extravio, furto ou roubo. Neste caso
abrir um incidente de segurança através do e-mail (incidentessgi@odata.com.br).
6.1.8 Redes Sociais
Da mesma forma que a adotada para contas de e-mail pessoal, as plataformas de redes sociais (ex.:
Facebook, Twitter, Linkedin) somente devem ser utilizadas pelos integrantes da ODATA para fins
pessoais, sendo proibido o uso de tais contas para conduzir qualquer atividade relacionada à ODATA.
As redes sociais acima mencionadas poderão ser utilizadas para fins de divulgação de material elaborado
pela ODATA para este fim específico e mediante sua solicitação prévia. O Colaborador deve lembrar-se
de que as atitudes de marketing são estudadas e criadas com um propósito específico, devendo observar
os comandos da área competente.
Somente integrantes autorizados podem emitir qualquer opinião ou fazer comentários em mídias sociais
com relação à ODATA e suas atividades.
6.1.9 Senhas
A ODATA utiliza sistema de segurança de TI que controla a expiração e a complexidade das senhas de
cada colaborador, exigindo atualizações periódicas. O recomendável é mínimo 8 caracteres, usando
maiúsculas, minúsculas e pelo menos um digito especial (@, #, $, %, etc). E para as ferramentas que o
permitam deve habilitar-se o doble fator de autenticação (Senha + código enviado ao E-mail ou Senha +
Código enviado ao Celular.
Sua senha não deve ser jamais revelada a ninguém (nem mesmo para a Equipe de TI).
Não recomendamos o uso de recursos fornecidos por softwares que permitem o armazenamento de
senhas.
Caso identifique alguma mensagem suspeita solicitando a troca da sua senha, seja por e-mail, seja pela
tela do seu computador, verifique com a Equipe de TI a veracidade da solicitação antes de realizar os
procedimentos de troca.
6.1.10 Uso de E-mails, Comunicação Instantânea e Via WEB
Nosso ambiente de TI encontra-se protegido contra vírus e códigos maliciosos, porém, algumas atitudes
do usuário são necessárias para contribuir com a segurança da informação:
▪ Não abra em hipótese alguma anexos com as extensões “.bat”, “.exe”, “.src”, “.lnk”, “msi” e “.com”;
odatacolocation.com

▪ Não utilize contas pessoais para comunicar-se com clientes ou para transmitir qualquer tipo de
informação, confidencial ou não. Qualquer assunto profissional deverá, necessariamente, ser
tratado através de contas de e-mail da ODATA;
▪ Ao trocar mensagens ou informações com clientes e parceiros, o conteúdo das mensagens e
informações poderá ser considerado posição oficial da ODATA, portanto, aja com seriedade e
profissionalismo;
▪ Não envie mensagens internas ou externas que possam prejudicar a imagem da ODATA, como
piadas, material de caráter sexual, imagens, vídeos (com extensões .mpeg, .avi ou outras),
músicas (com extensões .mp3, .wav ou outras), jogos, mensagens ou textos de conteúdo
religioso, criminoso, político ou que possa ser interpretado como ofensivo;
▪ Ao receber e-mails com links, verifique se o mesmo corresponde ao endereço que aparece na
tela. Para tanto, posicione o ponteiro do mouse sobre o link (não clique). Se o endereço exibido
não for o mencionado, não acesse o link;
▪ Desconfie de todos os e-mails com assuntos estranhos, ou seja, alheios a rotina da Empresa e ao
seu cotidiano em especial;
▪ Não crie nem passe adiante correntes nas quais o receptor é induzido a enviar mensagens para
outros sem que haja necessidade profissional;
▪ Não leia, acesse nem divulgue e-mails de outros colaboradores, clientes e prestadores de serviço
sem a devida autorização;
▪ Ao ausentar-se da sua mesa de trabalho ou suspender o uso, sempre bloquear o dispositivo para
evitar quaisquer riscos (Ctrl +Alt +Del, ou tecla Windows + L, ou outro meio no seu dispositivo);
▪ Evite, ao máximo, utilizar o e-mail da empresa para assuntos pessoais, estando ciente de que
estes e-mails podem ser acessados pela Empresa, uma vez que estão em sua Rede;
▪ Mantenha todos os seus e-mails na caixa postal da empresa e em hipótese alguma faça o
download para a sua máquina (para PST ou similares), pois isto inviabiliza o backup e o acesso
por dispositivos móveis.
6.1.11 E-mails pessoais
As contas pessoais de e-mail baseadas na Internet (ex.: Gmail, Hotmail, Yahoo, Aol) somente devem ser
utilizadas pelos colaboradores para fins pessoais, sendo proibido o uso de tais contas para conduzir
qualquer atividade relacionada à Instituição.
É proibido abrir concomitantemente a conta pessoal e a conta corporativa no computador corporativo.
odatacolocation.com

6.1.12 Auditoria
Seguindo a Norma ISO/IEC 27001 (A.12.7.1) as auditorias de verificação dos sistemas críticos (conforme
descrito no TIC-PRO-004 - Análise de acesso lógico) dos sistemas críticos (conforme descrito no TIC-
PRO-004 - Análise de acesso lógico) serão realizadas no intervalo de 12 meses pela Área de TIC.
Os resultados da auditoria serão analisados, os desvios apontados serão tratados através de incidente
de segurança onde necessário.
6.1.13 Utilização da Internet
Ao utilizar a conexão de internet da ODATA é proibido:
▪ Acessar sites com conteúdo pornográfico, jogos, bate-papo, apostas, vídeos (ex.: You Tube) e de
relacionamento (ex.: Facebook, Twitter);
▪ Usar softwares P2P (de compartilhamento);
▪ Acessar sites de FTP (File Transfer Protocol) sem autorização da equipe de TI
(ti.odata@odata.com.br);
▪ Utilizar o Dropbox sem autorização da equipe de TI (ti.odata@odata.com.br);
▪ O uso de IM (Instant Messengers), que não seja o oficial da empresa (Skype for Business);
▪ Fazer download ou upload de softwares ou dados não legalizados ou que não estejam no
procedimento TIC-PRO-005 - Controle de Software, com exceção das Equipes de Tecnologia
para os casos que isto seja estritamente necessário, mediante abertura do chamado na
ferramenta EAM;
▪ Usar serviços de streaming como rádios on-line, you tube, netflix, etc, fora do propósito de
negócios;
▪ Utilizar informações classificadas como confidenciais ou internas em sites pessoais, blogs ou
qualquer outro meio de publicação na Internet;
▪ Navegar na Internet em sites não confiáveis (como os de pornografia, “hackeismo”, dinheiro fácil,
etc.);
▪ Fazer download de arquivos não relacionados ao trabalho.
Somente é permitida a navegação convencional. Casos específicos que exijam outros protocolos devem
ser solicitados para a equipe de TI e estarão sujeitos à autorização do supervisor imediato.
Os funcionários com acesso à Internet podem baixar somente programas diretamente relacionados às
atividades da ODATA, e devem providenciar o que for necessário para obtenção de licença e registro
desses programas, lembrando que software livre ou gratuito deve ser licenciado para uso comercial.
odatacolocation.com

A ODATA pode visualizar os sites acessados, e caso julgue necessário poderá bloquear o acesso a
arquivos/domínios que comprometam o uso de banda ou perturbem o bom andamento dos trabalhos.
A ODATA monitora todos os acessos à Internet e todos os softwares instalados nos seus dispositivos.
Portanto, utilize sua infraestrutura de acesso com bom senso e moderação, segundo as diretrizes desta
Política.
▪ É proibido armazenar, compartilhar ou comunicar arquivos e dados da ODATA, seus

fornecedores, parceiros e clientes, sejam estes confidenciais ou não, em Nuvem Pública de Uso
Pessoal (Google Drive, OneDrive, DOCS, Dropbox, entre outros), sem autorização da equipe de
TI (ti.odata@odata.com.br);
▪ É vedada todas as áreas a instalação de softwares sem solicitação, análise e autorização formal
da equipe de TI (ti.odata@odata.com.br);
A ODATA utiliza-se de Nuvem Pública Empresarial, como por exemplo o Office 365 Business ou
Enterprise, o Skype for Business, o OneDrive for Business, o Intune, e o Azure, além de sua nuvem
privativa, que atendem os critérios de segurança e controle de informação exigidos pela empresa.
6.1.14 Trabalho Remoto
A estrutura de TI da ODATA, com o uso das ferramentas do Office 365 e Azure, permite o trabalho remoto,
exigindo apenas uma conexão com a Internet, sem nenhum requisito adicional.
Em alguns casos é necessário acesso remoto a outras estruturas, tipicamente nas seguintes situações:
▪ Equipamentos em geral: roteadores, switches ou qualquer outro tipo de aparelho, que precisem
ser acessados por uma equipe externa de manutenção ou por uma equipe de plantão em
emergências;
▪ Servidores ou máquinas virtuais, que podem ser acessados por desenvolvedores ou analistas
externos, para manutenção ou implementação de sistemas;
▪ Acesso à sistemas restritos ao ambiente da ODATA por usuários externos. Exemplo:
colaboradores ODATA acessando os sistemas instalados no data center.
Tais equipamentos, por segurança, utilizam endereços privados, que não podem ser acessados pela
Internet. Para garantir o acesso externo seguro a tais ambientes foi montada uma estrutura de VPN dentro
do Datacenter, terminada em um par de Firewalls.
Para acessar tais ambientes, os usuários devem fechar uma VPN instalando um software de segurança
(Client-to-Lan), em seus computadores/dispositivos remotos.
Para ter acesso a estas estruturas, é necessário que o usuário solicitante envie um e-mail a equipe de TI
(ti.odata@odata.com.br) para acesso a VPN com aprovação do seu gestor e do gestor dos equipamentos
que serão acessados. A equipe de TI irá abrir um chamado na ferramenta EAM.
odatacolocation.com

6.1.15 Meios de Entrada e Saída
Este tópico visa definir as normas de utilização da rede que englobam desde o login, manutenção de
arquivos no servidor e sistemas na Nuvem Pública Empresarial, e tentativas não autorizadas de acesso.
É proibido acessar a rede local ou na Nuvem Pública Empresarial da ODATA para:
▪ Tentar acesso não autorizado aos servidores e serviços de TI;

▪ Colocar em prova a segurança da rede;
▪ Tentar fraudar autenticação de usuários;
▪ Interferir nas atividades de outros usuários, alterando arquivos que não sejam de sua propriedade;
▪ Expor, armazenar, distribuir, editar ou gravar material de natureza pornográfica e/ou racista
através do uso dos recursos da empresa;
▪ Configurar contas de e-mail particulares.
É proibido acessar drives de rede de outras áreas sem autorização.
É permitido a utilização das portas USB para uso de pen drive e HD externo desde de que com
autorização formal por parte da equipe de TI (ti.odata@odata.com.br) e do Diretor da Área. A cada 1
ano a Área de TI deverá abrir um chamado na ferramenta EAM para revisão dos privilégios de uso
de mídia removível, em seguida deverá enviar via e-mail a cada Diretoria a relação de pessoas
autorizadas a utilizar mídia removível para que seja realizada a avaliação do privilégio podendo ser
mantido ou revogado. As Diretorias deverão registrar sua decisão para Área de TI
(ti.odata@odata.com.br).
Com base nas respostas recebidas, a Área de TI deverá comunicar o colaborador no caso da
revogação do privilégio. A Área de TI deverá anexar as evidências e encerrar o chamado.
As mídias contendo informações são protegidas contra acesso não autorizado, uso impróprio ou
corrupção, durante seu transporte. No HD do notebook ou desktop não é permitido salvar
informações, somente no repositório corporativo, o que diminui o risco de perda de informações.
Quando for necessário transportar pen drive e HD externo, estes devem ser acondicionados dentro
de bolsas ou mochilas, e preferencialmente longe do alcance visual de terceiros.
O compartilhamento de arquivos das áreas deve ser feito sempre através do Sharepoint.
O compartilhamento de arquivos entre colaboradores deve ser feito sempre através do OneDrive for
Business.
O compartilhamento de arquivos entre a ODATA e externos deve ser feito sempre através do
OneDrive for Business, sempre que possível.
odatacolocation.com

Computadores particulares ou de visitantes não devem ser plugados nos pontos de rede ou wireless
sem que haja a emissão de senha para visitantes.
É proibido armazenar na rede arquivos de música, vídeos e fotos que não sejam de propriedade da
empresa. Arquivos desse tipo serão apagados sem aviso prévio.
Qualquer ato executado com seu nome de usuário e senha será de sua inteira
responsabilidade, por isso, tome todas as precauções para que essas informações
permaneçam secretas.
A ODATA proíbe a exclusão de quaisquer informações, documentos, dados em geral de sua rede
para que seja liberado maior espaço no dispositivo de rede.
Esta atividade faz parte do gerenciamento do Ambiente de TI pela Equipe de TI. O usuário não tem
ingerência nesta área da ODATA.
Caso tenha qualquer problema com quaisquer de seus dispositivos corporativos, a Equipe de TI estará
a sua disposição.
6.1.16. Controle de Acesso Lógico de Colaboradores e Terceiros
As solicitações devem seguir a tabela abaixo com a respectiva justificativa.
a) Sistemas Corporativos – Inclusão, Alteração e Revogação de acesso.
Holding Para quem solicitar? Quem pode solicitar? Quem aprova?
Colaboradores TI_ODATA Colaborador/Gestor Gestor

ti.odata@odata.com.br
EAM
Terceiros TI_ODATA Colaborador/Gestor do Gestor

ti.odata@odata.com.br contrato
EAM
b) Sistemas Locais - Inclusão, Alteração e Revogação de acesso.
odatacolocation.com

No Data Center Para quem solicitar? Quem pode solicitar? Quem aprova?
Colaboradores Gestor Local Colaborador/Gestor Gestor
Terceiros Gestor Local Colaborador/Gestor do Gestor

contrato
6.2 Confidencialidade
O Colaborador deve observar as regras definidas pelo Código de Conduta e Anticorrupção da ODATA
para fins de comportamento a ser adotado no tratamento das informações confidenciais de
propriedade da ODATA, seus clientes, fornecedores ou parceiros eletrônica e digitalmente.
As informações confidenciais devem ser replicadas dentro do estritamente necessário para o fim a
que elas se destinam, de forma a zelar pelo seu sigilo e segurança da divulgação no mesmo grau de
rigidez com que zelaria se suas fossem.
O Colaborador está proibido a:

▪ Enviar informação confidencial através de e-mail particular;
▪ Disponibilizar informação confidencial em drive público da rede;
▪ Copiar informações confidenciais em dispositivos particulares.
Deve-se sempre atentar-se ao acordado contratualmente entre ODATA e fornecedor, parceiro ou

cliente. O Departamento Jurídico estará sempre à sua disposição para lhe orientar em caso de
dúvidas sobre questões de comportamento e tratamento de informações confidenciais.
O descumprimento desse dever pode causar ao Colaborador a aplicação das medidas disciplinares
cabíveis.
Documentos sigilosos impressos deverão ser destruídos imediatamente após a sua utilização, através
da trituradora disponibilizada pela ODATA aos seus funcionários, para resguardar a todos de qualquer
vazamento de informação involuntário.
6.3 Canal de Comunicação
A aplicação desta Política e a resolução de questões a ela relativas serão realizadas pela
Administração da ODATA, atualmente composta pelos seguintes membros: O Diretor Executivo, o
odatacolocation.com

Diretor Financeiro, o Diretor de Operações e o Diretor Comercial. Quaisquer dúvidas,
questionamentos, comunicações, ou situações específicas enfrentadas pelo Colaborador relativos ao
cumprimento desta Política ou violações a ela deverão ser endereçadas a qualquer um dos membros
da Administração ou, se você preferir, sua comunicação pode ser endereçada aos seguinte e-mails:
ti.odata@odata.com.br e sgi@odata.com.br;
Qualquer Colaborador que venha a tomar conhecimento de condutas que possam ser caracterizadas
como uma violação ao disposto nesta Política deverá comunicar a ocorrência imediatamente à
ODATA, por meio de um dos canais acima indicados. Tenha certeza de que a ODATA se certificará
de que não haja qualquer retaliação ao Colaborador que se utilizar destes canais, e o reporte será
tratado de forma anônima e confidencial pela Empresa.
6.4 Termo de Compromisso
Confirmo que recebi, li cuidadosamente e entendi a Política de Uso Tecnologia e Segurança da

Informação da ODATA e tenho conhecimento de que os princípios e condutas descritos nela deverão
ser seguidos por todos os Colaboradores.
Divulgarei uma violação, ou potencial violação a presente Política para a Administração ou pelo Canal
de Comunicação para este fim, conforme estabelecido no presente.
Nome do Colaborador (letra de forma): _________________________________________
Cargo: _________________________________________
Assinatura: _________________________________________
Data: _____/_____/______
odatacolocation.com

1. OBJETIVO
Definir permisos, directrices y normas para el uso de equipos suministrados por Odata al empleado para
el ejercicio de sus funciones y prever el comportamiento requerido en el uso del entorno de TI y de
procesamiento de datos, para asegurar el nivel correcto de seguridad.
2. ALCANCE
Se aplica a:
▪ Todos los empleados de Odata.
3. REFERENCIAS PARA LA ELABORACION DEL PRESENTE DOCUMENTO
▪ ISO 9001
▪ ISO / IEC 20000-1
▪ ISO / IEC 27001
▪ ISO 14001
▪ ISO 45001
4. DEFINICIONES
▪ Empresa ODATA: Es la organización a la que se aplica esta respectiva política.

▪ Colaborador: Persona que realiza trabajos para Odata, sus proveedores o clientes, ya sea
contratado directa o indirectamente.
▪ Alta Dirección: Equipo formado por el CEO, CFO, CTO, Director de Operaciones, Director de
Jurídico, Director de Expansión LATAM, Director de Nuevos Negocios, Director Financiero y
Administrativo, Director de Ingeniería e Implementación, Director de EHS y ESG, Director de
Ventas y Country Managers LATAM.
▪ El personal de TI: Equipo de las áreas de tecnología de información corporativa (TIC) y
Tecnología de la Información del Data Center (TID).
▪ Servidores: Computadoras dedicadas a los servicios para la misión de la empresa.
▪ Dispositivos: Computadoras (portátiles, tabletas y ordenadores de mesa), teléfono, memorias
USB, dispositivos de almacenamiento externos, como SSD y discos duros, tarjetas de memoria,
relojes y accesorios con información digital.
odatacolocation.com

▪ Medios de entrada y salida: Red física (cable) y Wi-Fi, Bluetooth, puertos USB, comunicación
celular y periféricos.
▪ Software Homologado: Software de uso de los dispositivos autorizados.
▪ Software de producción: Software enfocado misión de la empresa, tales como controles de
Centro de Datos, Redes y Seguridad Física.
▪ El software no aprobado: Software cuyo uso no está autorizado para su uso en la empresa.
▪ Almacenamiento en la nube personal: utilizado para los documentos privados, tales como
Google Drive, Box, onedrive, entre otros.
▪ Enterprise Public Cloud: Utilizado y con licencia de la empresa, como Office 365, una unidad de
negocios, Intune, etc.
▪ Cuenta: Se utiliza para el acceso al entorno empresarial y se identifica con el nombre del
colaborador.
▪ Driver de red: directorio en la red local compartida.
▪ PST: archivo de datos de Outlook, almacenado en el disco local del usuario.
▪ EAM: Herramienta de gestión de servicios de TI de ODATA.
5. RESPONSABILIDADES Y AUTORIDADES
El personal de TI: definir, supervisar y controlar los recursos de TI, sus dispositivos, software y equipo
de empleados que gestionan la atención de las necesidades internas y de clientes, incluyendo la
seguridad, la eficiencia, la eficacia y capacidad de gestión.
Los ejemplos de las actividades bajo su responsabilidad:
▪ Identificar las desviaciones practicadas y tomar las medidas correctivas aplicables;
▪ Revisar el acceso de los empleados o colaboradores desconectados que cambiaron los
roles, dispositivos y software de la empresa.
▪ Asegurar, a nivel físico y lógico, la información y los activos de procesamiento, y proponer
revisiones a la Administración ODATA sobre esta política cuando sea necesario.
▪ Tener una posición ejemplar con respecto a la seguridad de la información, que sirve como
modelo de conducta para los empleados.
Recursos Humanos:
odatacolocation.com

▪ Solicitar a los nuevos colaboradores que firmen el Término de Compromiso sobre la
Política de Uso de Tecnología de la Información y Seguridad, donde el empleado asume
el deber de cumplir con los estándares establecidos, así como el compromiso de mantener
la confidencialidad, incluso cuando esté desconectado, en todos los activos de información
ODATA, antes de otorgar acceso a la información de la compañía.
▪ Comunicarse formalmente a las unidades que otorgan el acceso y los permisos a los
usuarios: TIC (Corporate IT), TID (Ti de Data Center), Centro de datos de seguridad física
y administrativa sobre cualquier adición, modificación y desactivación.
Jurídico:
▪ Requerir la firma del Acuerdo de Confidencialidad de los proveedores de servicios
ocasionales y continuos.
▪ Adaptar los contratos y acuerdos de confidencialidad para cumplir con esta Política y los
términos legales.
Alta Dirección:
▪ Aprobar esta política y cuando sea necesario para exigir y aprobar sus revisiones.
▪ Asegurar que el personal bajo su supervisión entienda y cumpla con la obligación de

proteger la información.
Colaboradores:
▪ Preservar la integridad y mantener la información confidencial que utilizan, así como
garantizar y proteger sus recursos de procesamiento de información.
▪ Cumplir con las disposiciones de esta política, bajo pena de las sanciones disciplinarias y
legales.
▪ Utilizar los recursos y sistemas de información únicamente con fines profesionales.
▪ Responder por todos los accesos a los recursos, así como los efectos de estos accesos
contratados.
▪ Informar cualquier irregularidad o desviación a de las políticas de seguridad de la
información al equipo (incidentessgi@odata.com.br).
odatacolocation.com

6. DESCRIPCIÓN
6.1. Reglamento de uso de la seguridad de la tecnología y la información
Con el fin de desempeñar sus funciones de la mejor manera posible, Odata proporciona a sus
colaboradores cuenta de correo electrónico, teléfono móvil, ordenador, sistemas de redes y acceso a
Internet.
Se espera que el uso de estas herramientas se limita a actividades profesionales. Sin embargo, en casos
excepcionales, se permite su uso con fines personales, siempre que sea de manera razonable.
El control de la información transmitida a través de estas herramientas es esencial para el desempeño de

nuestras actividades. Algunas reglas específicas sobre seguridad de la información requieren una
atención especial porque apuntan no solo a proteger la información confidencial de los clientes y la
Compañía, sino también el cumplimiento de la ley sobre el uso de correos electrónicos y la práctica de
delitos. Los sistemas de correo electrónico y otros dispositivos de comunicación proporcionados por
ODATA son propiedad única y exclusiva de ODATA, aunque el Colaborador tiene una contraseña de
acceso personal, que no caracteriza ningún derecho de propiedad de estos.
El uso del correo electrónico y de internet debe seguir las políticas y valores de Odata. Por lo tanto, se
les prohíbe:
▪ Los mensajes que violen esta política, o el Código de Conducta para Odata, con respecto a la
oferta y la invitación a participar en actividades ilegales, como el juego o el uso y la venta de
sustancias controladas.
▪ Las declaraciones que se hacen en otros foros violan cualquier asunto de esta Política y pueden
existir otras normas.
▪ La divulgación de las imágenes o mensajes inapropiados con contenido pornográfico, pedofilia o
cualquier tema relacionado.
Odata se reserva el derecho de supervisar, analizar, revisar y suspender el acceso a Internet y correo
electrónico, si se considera apropiado, y con sujeción a las leyes y reglamentos aplicables.
6.1.1. Almacenamiento de Información Empresarial
Toda la información debe ser registrada en el repositorio corporativo (SharePoint y está prohibida la
escritura en el escritorio local de la computadora). Solo se aceptarán escrituras locales en las áreas
odatacolocation.com

sincronizadas de SharePoint y OneDrive for Business en dispositivos cifrados, si el dispositivo local no
proporciona cifrado, la grabación local puede publicarse después del análisis por parte del equipo de TI
La información se respalda de acuerdo con el TIC-PRO-010 - Procedimiento de Backup
6.1.2. Medios externos
ODATA no utiliza un soporte externo para obtener información de copia de seguridad.
6.1.3. Baja de Activos
Los activos para desechar deben ser enviados al área de Ingeniería, quien realizará la copia de seguridad
del activo, y luego lo enviará a destrucción interna o por un tercero de manera documentada.
6.1.4. Dispositivos
Solo se utilizará una cuenta por colaborador de ODATA para todos los dispositivos que estén dedicados
a su uso profesional.
El Colaborador está obligado a vigilar y mantener los dispositivos entregados, y debe usarlos
estrictamente de acuerdo con las reglas establecidas por esta Política. En caso de robo, pérdida, daño o
conocimiento de su uso por terceros no autorizados, el empleado informará al Equipo de TI
inmediatamente y tomará todas las medidas necesarias a las autoridades, si corresponde, en este orden
de importancia.
Todos los dispositivos serán preferiblemente encriptados.
ODATA prohíbe la conexión de dispositivos personales en oficinas y centros de datos, sin importar el
cifrado, su red o nube, que no están registrados correctamente.
Está prohibido utilizar la red de invitados para dispositivos corporativos.
6.1.5. Impresión de documentos
La impresión de documentos debe respetar el patrimonio de ODATA de forma sostenible. Imprima solo
cuando sea necesario, evitando desperdicios. Los documentos impresos deben recogerse
inmediatamente después de la impresión, evitando la exposición de la información.
6.1.6. Escritorio físico limpio.
Los documentos en papel y medios electrónicos no deben dejarse innecesariamente en el escritorio, sino
que deben guardarse en gabinetes o cajones cerrados con llave cuando no estén en uso, especialmente
durante las horas de oficina.
odatacolocation.com

Las anotaciones, la información, los mensajes y los recordatorios que exponen información confidencial
no deben dejarse en la mesa ni pegados en paredes, particiones o monitores de computadora y pizarras.
6.1.7. Uso de tarjeta de acceso y carné
El uso del carné es deseable en la oficina (Holding), pero se requiere en el Data Center.
El empleado debe llevar el carné en un lugar fácilmente identificable.
Nunca deje la identificación o la tarjeta de identificación en ningún lugar, especialmente fuera del entorno
de la empresa. Mantenlos contigo cuando sea posible
Nunca preste el carné o tarjeta de acceso.
Notificar al personal administrativo / de seguridad en caso de pérdida o robo y abra un incidente de

seguridad por correo electrónico (incidentessgi@odata.com.br).
6.1.8. Redes Sociales
Al igual que con las cuentas de correo electrónico personales, las plataformas de redes sociales (por
ejemplo, Facebook, Twitter, LinkedIn) solo deben ser utilizadas por miembros de ODATA para fines
personales, y está prohibido usar dichas cuentas para realizar cualquier actividad relacionada con
ODATA.
Las redes sociales mencionadas anteriormente pueden utilizarse con el fin de difundir el material
desarrollado por ODATA para este propósito específico y previa solicitud. El Colaborador debe recordar
que las actitudes de marketing se estudian y crean para un propósito específico, y deben observar los
comandos del área competente.
Solamente los usuarios autorizados pueden emitir cualquier opinión o comentario en las redes sociales
con respecto a la Odata y sus actividades.
6.1.9. Contraseñas
ODATA utiliza un sistema de seguridad de TI que controla la caducidad y la complejidad de las

contraseñas de cada empleado, que requieren actualizaciones periódicas. Se recomienda un mínimo de
8 caracteres, utilizando mayúsculas, minúsculas y al menos un dígito especial (@, #, $, %, etc). Y para
las herramientas que lo permitan se debe habilitar doble factor autenticación (Contraseña + código
enviado al E-mail o Contraseña + Código enviado al Celular.
Su contraseña no debe ser revelada a nadie (ni siquiera al personal de TI).
odatacolocation.com

No se recomienda el uso de los recursos que permiten el almacenamiento de contraseñas.
Si identifica un mensaje sospechoso que solicita el intercambio de su contraseña, ya sea por correo
electrónico o a través de la pantalla de su computadora, verifique con el Equipo de TI la veracidad de la
solicitud antes de realizar los procedimientos de intercambio.
6.1.10. El uso de correo electrónico, la comunicación instantánea y desde la web
Nuestro entorno de TI está protegido contra virus y código malicioso, sin embargo, se requieren algunas
acciones de los usuarios a contribuir a la seguridad de la información:
▪ No abra archivos adjuntos de ninguna manera con la extensión ".bat", ".exe", ".src", ".lnk", 'MSI' y
".com";
▪ No utilice cuentas personales para comunicarse con los clientes o transmitir cualquier información
confidencial o no. Cualquier asunto profesional necesariamente deben ser tratadas por cuentas
de correo electrónico de Odata.
▪ Al intercambiar mensajes o información con clientes y socios, el contenido de los mensajes y la
información puede considerarse una posición oficial de ODATA, así que actúe con seriedad y
profesionalidad.
▪ No enviar mensajes internos o externos que puedan dañar la imagen de Odata como chistes,
material de orientación sexual, imágenes, videos (con extensiones .mpeg, .avi u otros), música
(con extensiones .mp3, .wav o de otro tipo) juegos, mensajes y contenido religioso de textos,
penal, políticas o que pueda ser interpretado como ofensivo.
▪ Cuando recibe mensajes de correo electrónico con enlaces, asegúrese de que coincide con la
dirección que aparece en la pantalla. Para ello, coloque el puntero del ratón sobre el enlace (no
haga clic). Si la dirección que se muestra no es conocida, no acceda al enlace.
▪ Desconfíe de todos los correos electrónicos con asuntos extraños, es decir, que no estén
relacionados con la rutina de la Compañía y su vida cotidiana en particular
▪ No cree ni transmita corrientes en las que se induzca al receptor a enviar mensajes a otros sin
necesidad profesional.
▪ No leer, acceder o divulgar e-mails de otros empleados, clientes y proveedores de servicios sin la
debida autorización.
▪ Cuando esté lejos de su escritorio o suspenda su uso, siempre bloquee el dispositivo para evitar
cualquier riesgo (Ctrl + Alt + Supr, o Windows + L, u otros medios en su dispositivo).
odatacolocation.com

▪ Evitar en lo posible usar el correo electrónico de la empresa para asuntos personales y es
consciente de que estos mensajes de correo electrónico se pueden acceder por la Compañía, ya
que están en su red.
▪ Mantenga todos sus correos electrónicos en el buzón de la empresa y, en ningún caso, descargue
a su máquina (para PST o similar), ya que esto hace que sea imposible realizar copias de
seguridad y acceder a ellos desde dispositivos móviles.
6.1.11. Los correos electrónicos personales
Las cuentas personales de correo electrónico basado en Internet (por ejemplo: Gmail, Hotmail, Yahoo,
AOL) sólo deben ser utilizados por los empleados para fines personales, quedando prohibido el uso de
este tipo de cuentas para llevar a cabo cualquier actividad relacionada con la institución.
Está prohibido abrir al mismo tiempo la cuenta personal y cuenta corporativa en el equipo corporativo.
6.1.12. Auditoría
En lo que respecta a la Norma ISO/IEC 27001 (A.12.7.1) Controles de auditoría de los sistemas de
información, las auditorias de verificación de los sistemas críticos (conforme descrito en el TIC-PRO-004
- Análisis de acceso lógico) se realizarán verificaciones periódicas cada 12 meses por parte del área TI,
para los controles aplicables.
Se analizarán los resultados de la auditoría y las desviaciones indicadas se tratarán a través de incidente
de seguridad cuando sea necesario.
6.1.13. El uso de Internet
Al utilizar la conexión a Internet Odata está prohibido:
▪ El acceso a sitios de contenido para adultos, juegos, chat, apuestas, vídeos.) y relaciones.
▪ Utilizar software P2P (intercambio).
▪ Acceso FTP (File Transfer Protocol) sin el permiso del personal de TI (ti.odata@odata.com.br),
diferente al corporativo.
▪ El uso de Dropbox sin el permiso del personal de TI (ti.odata@odata.com.br).
▪ El uso de IM (mensajería instantánea), que no sea el oficial de la compañía.

▪ Descargar o cargar el software que no está en el procedimiento TIC-PRO-005 Control de
Software, a excepción de equipos de tecnología para los casos que sea estrictamente necesario
mediante la apertura de llamados en la herramienta de EAM.
odatacolocation.com

▪ Usar servicios de transmisión por secuencias como radios en línea, YouTube, Netflix, etc., fuera
del propósito comercial o educativo.
▪ El uso de la información clasificada como sitios web personales confidenciales o internos, blogs o
cualquier otro medio de publicación en Internet.
▪ Navegar por Internet en sitios no confiables (como la pornografía, "hackeismo", dinero fácil, etc.).
▪ Descargar archivos no relacionados con el trabajo.
Solo se permite la navegación convencional. Casos específicos que requieren otros protocolos deben ser
solicitados al personal de TI y estarán sujetos a la autorización del supervisor inmediato.
Los empleados con acceso a Internet sólo pueden descargar programas directamente relacionados con
las actividades de Odata, y debe proporcionar todo lo necesario para obtener una licencia y el registro de
estos programas, recordando que el software libre o gratuito puede tener una licencia para uso comercial.
ODATA puede ver los sitios web a los que se accede, y si es necesario, puede bloquear el acceso a los
archivos / dominios que comprometen el uso del ancho de banda o perturban el buen funcionamiento de
los trabajos.
▪ ODATA controla todos los accesos a Internet y todo el software instalado en sus Dispositivos. Por
lo tanto, use su infraestructura de acceso con sentido común y moderación, de acuerdo con las
pautas de esta Política.
▪ Está prohibido almacenar, compartir o comunicar los archivos y datos de ODATA, sus
proveedores, socios y clientes, ya sea confidencial o no, en la nube publica para uso personal
(Google Drive, OneDrive, Docs., Dropbox, etc.), sin el permiso del personal de TI
(ti.odata@odata.com.br).
▪ Todas las áreas tienen prohibido instalar software sin solicitud, análisis y autorización formal del
personal de TI.
▪ Odata utiliza Enterprise Public Cloud (Office 365 negocio o empresa), Skype para empresas,
OneDrive for business, Intune y Azure; además de su nube privada (SharePoint), que cumplan
con los criterios de seguridad y control de la información requerida por la empresa.
6.1.14. Escritorio remoto
La estructura de TI de Odata, utilizando herramientas en Office 365 y Azure, permite el trabajo remoto
nativo, que solo requiere una conexión a Internet sin ningún requisito adicional.
odatacolocation.com

En algunos casos es necesario el acceso remoto a otras estructuras, normalmente en las siguientes
situaciones:
▪ Equipo general: enrutadores, conmutadores o cualquier otro tipo de equipo al que deba acceder
un equipo de mantenimiento externo o un personal de llamadas de emergencia.
▪ Servidores o máquinas virtuales, a los que pueden acceder los desarrolladores o analistas
externos, para el mantenimiento o la implementación de sistemas.
▪ Acceso a sistemas del entorno ODATA restringidos por usuarios externos. Ejemplo: empleados
de ODATA de que acceden a los sistemas instalados en el Data Center
Dichos equipos, por seguridad, utilizan direcciones privadas, a las que no se puede acceder a través de
Internet. Para asegurar el acceso externo seguro a dichos entornos, se montó una estructura VPN dentro
del Centro de Datos, que terminó en un par de Firewalls.
Para acceder a dichos entornos, los usuarios deben cerrar una VPN mediante la instalación del software
de seguridad de cliente a LAN en sus computadoras / dispositivos remotos.
Para acceder a estas estructuras, el empleado solicitante debe enviar un correo electrónico al equipo de
TI (ti.odata@odata.com.br) para el acceso de VPN con la aprobación de su jefe y el gerente del equipo
al que se accederá. El personal de TI abrirá una llamada en la herramienta EAM.
6.1.15. Medios de Entrada y Salida
Este tema tiene como objetivo definir las reglas de uso de la red que van desde el inicio de sesión, el
mantenimiento de archivos en el servidor y los sistemas en Public Business Cloud y los intentos de acceso
no autorizado.
Está prohibido acceder a la red local o en la Enterprise Public Cloud de ODATA para:
▪ Intentar el acceso no autorizado a servidores y servicios de TI.
▪ Probar la seguridad de la red.
▪ Tratar de defraudar la autenticación de usuarios.
▪ Interferir con las actividades de otros usuarios, alterando archivos que no son de su propiedad.
▪ Exponer, almacenar, distribuir, editar o grabar material de naturaleza pornográfica y / o racista
mediante el uso de los recursos de la compañía.
▪ Configurar cuentas de correo electrónico privadas.
▪ Está prohibido acceder a unidades de red de otras áreas sin autorización.
odatacolocation.com

Se permite el uso de puertos USB para uso de memorias y disco duro externo con la autorización
formal del personal de TI (ti.odata@odata.com.br) y el Gerente del área. Cada uno año, el área de
TI deben abrir una solicitud en la herramienta EAM para la revisión de los privilegios de uso de medios
extraíbles. Luego, debe enviar por correo electrónico a cada Gerencia la lista de personas autorizadas
para usar medios extraíbles para la evaluar si el privilegio se puede mantener o revocar. La Alta
Dirección debe registrar su decisión para el área de TI (ti.odata@odata.com.br)
Sobre la base de las respuestas recibidas, el área de TI debe comunicar al empleado en caso de
revocación del privilegio. El área de TI debe adjuntar la evidencia y terminar la solicitud.
Los medios que contienen información están protegidos contra el acceso no autorizado, el uso
indebido o la corrupción durante su transporte. En la memoria del notebook o computadora de
escritorio no está permitido guardar información, solo en el repositorio corporativo, lo que reduce el
riesgo de pérdida de información. Cuando sea necesario llevar un pendrive y un disco duro externo,
estos deben estar empaquetados en bolsas o mochilas, y preferiblemente fuera del alcance visual de
terceros.
El intercambio de archivos de áreas siempre debe hacerse a través de SharePoint.
El intercambio de archivos entre empleados siempre debe hacerse a través de OneDrive para
empresas.
El intercambio de archivos entre ODATA y externos siempre debe hacerse a través de OneDrive para
empresas siempre que sea posible.
Las computadoras personales o de visitantes no deben conectarse a la red ni a los puntos

inalámbricos, sin la emisión de una contraseña para los visitantes.
Está prohibido almacenar en la red archivos de música, videos y fotos que no son propiedad de la
empresa. Los archivos de este tipo serán eliminados sin previo aviso.
Cualquier acto realizado con su nombre de usuario y la contraseña será totalmente su

responsabilidad, asi que tome todas las precauciones para mantener esta información en
secreto
odatacolocation.com

ODATA prohíbe la eliminación de cualquier información, documentos y datos en general de su red
para que se libere más espacio en el dispositivo de red.
Esta actividad forma parte de la gestión del entorno de TI por el equipo de TI. El usuario no tiene
interferencia en esta área de Odata.
Si tiene algún problema con cualquiera de sus dispositivos corporativos, el equipo de TI estará a su
disposición.
6.1.16. Control de Acceso Lógico de Colaboradores y Terceros
Las solicitudes deben seguir la siguiente tabla con la respectiva justificación
a) Sistemas Corporativos – Inclusión, Alteración y Revocación de acceso.
Holding ¿A quién solicitar? ¿Quién puede solicitar? ¿Quién aprueba?
Colaboradores TI_ODATA Colaborador/Gestor Gestor

EAM
Terceros TI_ODATA Colaborador/Administrador Gestor

ti.odata@odata.com.br del contrato
EAM
b) Sistemas Locales - Inclusión, Alteración y Revocación de acceso.
Holding ¿A quién solicitar? ¿Quién puede solicitar? ¿Quién aprueba?
Colaboradores Local Colaborador/Gestor Gestor
Terceros Gestor Local Colaborador/Administrador Gestor

del contrato
odatacolocation.com

6.2. Confidencialidad
El empleado deberá cumplir con las reglas establecidas por el Código de conducta y anticorrupción
de ODATA para fines de comportamiento que se adoptarán en el tratamiento de la información
confidencial que es propiedad de ODATA, sus clientes, proveedores o socios de forma electrónica y
digital.
La información confidencial debe ser replicada dentro de lo que es estrictamente necesario para el
propósito para el cual fue diseñada, a fin de garantizar su confidencialidad y seguridad de divulgación.
El empleado tiene prohibido:
▪ Enviar información confidencial a través de correo electrónico privado.

▪ Proporcionar información confidencial en la unidad pública de la red.
▪ Copiar información confidencial en dispositivos particulares.
Siempre debe prestar atención al acuerdo contractual entre ODATA y el Proveedor, socio o cliente.
El área Jurídica siempre estará a su disposición para asesorarlo en caso de dudas sobre problemas
de comportamiento y el tratamiento de la información confidencial.
El incumplimiento de este deber puede hacer que el empleado tome las medidas disciplinarias
adecuadas.
Los documentos confidenciales impresos deben destruirse inmediatamente después de su uso,

utilizando la trituradora provista por ODATA a sus empleados, para evitar cualquier fuga de
información no intencional.
6.3. Canal de Comunicación
La aplicación de esta Política y la resolución de asuntos relacionados serán llevados a cabo por la
Administración de ODATA, actualmente compuesta por los siguientes miembros: el Gerente General
y Alta Dirección de casa matriz. Cualquier duda, pregunta, comunicación o situación específica que
enfrenta el Empleado con respecto al cumplimiento de esta Política o las violaciones de la misma
debe dirigirse a cualquiera de los miembros de la Administración o, si lo prefiere, su comunicación
puede dirigirse a los siguientes correos electrónicos: (ti.odata@odata.com.br) y sgi@odata.com.br
Cualquier empleado que tenga conocimiento de una conducta que pueda ser caracterizada como una
violación de las disposiciones de esta Política deberá informar la ocurrencia inmediatamente a
odatacolocation.com

ODATA, a través de uno de los canales mencionados anteriormente. Asegúrese de que ODATA se
asegurará de que no haya represalias para el Empleador que utiliza estos canales, y que la Compañía
tratará el informe de forma anónima y confidencial.
6.4. Declaración de Compromiso
Confirmo que he recibido, he leído y comprendido la Política de Uso de Tecnología y Seguridad de la

Información de Odata y sé que los principios y comportamientos descritos debe ser seguido por todos
los empleados.
Revelaré una violación, o una posible violación, de esta Política a la Administración o al Canal de
Comunicación para este propósito, como se establece en este documento.
Nombre empleado (en letra de imprenta) _________________________________________
Cargo: _________________________________________
Firma: _________________________________________
Fecha: _____ / _____ / ______
odatacolocation.com

1. OBJECTVE
Define permissions, guidelines and rules for the use of equipment provided by Odata to the employee for
the performance of their duties and provide for the required behavior in the use of the TI and data
processing environment, to ensure the correct level of security.
2. SCOPE
Applies to:
▪ All Odata employees.
3. REFERENCES FOR THE PREPARATION OF THIS DOCUMENT
▪ ISO 9001
▪ ISO / IEC 20000-1
▪ ISO / IEC 27001
▪ ISO 14001
▪ ISO 45001
4. DEFINITIONS
▪ ODATA: It’s the organization to which this respective policy applies.

▪ Employee: Anyone contracted directly or indirectly (third party) by ODATA to accomplish works
and excluding any suppliers and customers
▪ Senior Management: Team consisting of the CEO, CFO, CTO, Chief Operating Officer, Chief
Legal Officer, Director of LATAM Expansion, Director of New Business, Chief Financial and
Administrative Officer, Director of Engineering and Implementation, Director of EHS and ESG,
Director of Sales and LATAM Country Managers.
▪ TI Team: Corporate Information Technology (TIC) and Data Center Information Technology (TID)
team.
▪ Servers: Computers dedicated to services for the company's mission.
▪ Devices: Computers (notebooks, tablets e desktops), Cell Phones, Pen-drives, external storage
devices, such as SSD and Hard drives, Memory Cards, Watches and Accessories that contain
digital information.
odatacolocation.com

▪ Input and Output Means: Physical Network (cables) and Wireless, Bluetooth, USB Ports, Cellular
Communication and Peripherals.
▪ Software Appoved: Software authorized use in devices.
▪ Production Software: Software facing the company’s mission, such as controls of Data Center,
Network and Physical Security.
▪ Software Non-Approved: Software whose is not authorized for use in the company
▪ Public Cloud for Personal Use: Used for private documents, such as Google Drive, Box,
OneDrive, among others.
▪ Corporate Public Cloud: Used and licensed by the company, such as Office 365, One Drive for
Business, Intune, etc.
▪ Account: Identified with the employee’s name and used to access the company’s environment.
▪ Network Drive: Shared directory on the local network.
▪ PST: Outlook data file, stored on the user’s local disk.
▪ EAM: ODATA's TI service management tool.
5. RESPONSIBILITIES AND AUTHORITIES
TI team: define, monitor and control the TI resources, their devices, software and team of employees
that manage the attention of internal and customer needs, including security, efficiency, effectiveness
and manageability.
Examples of activities under your responsibility:
▪ Identify the deviations practiced and take applicable corrective actions.
▪ Review access of disconnected employees or collaborators who changed company roles,
devices and software.
▪ Secure, at the physical and logical level, information and processing assets, and propose
revisions to ODATA Management on this policy when necessary.
▪ Have an exemplary position with respect to information security, which serves as a role
model for employees.
Human Resources:
▪ Request new collaborators to sign the Commitment Term on the Information Technology
and Security Use Policy, where the employee assumes the duty to comply with the
odatacolocation.com

established standards, as well as the commitment to maintain confidentiality, even when
disconnected, on all ODATA information assets, before granting access to company
information.
▪ Communicate formally to the units that grant access and permissions to users: TIC
(Corporate IT), TID (TI de Data Center), Physical and Administrative Security Data Center
about any addition, modification and deactivation.
Legal:
▪ Require the signature of the Confidentiality Agreement from occasional and ongoing
service providers.
▪ Adapt contracts and confidentiality agreements to comply with this Policy and legal terms.
Senior Management:
▪ Approve this policy and when necessary to require and approve its revisions.
▪ Ensure that personnel under their supervision understand and comply with the obligation
to protect information.
Employees:
▪ Preserve the integrity and maintain the confidential information they use, as well as
guarantee and protect their information processing resources.
▪ Comply with the provisions of this policy, under penalty of disciplinary and legal sanctions.
▪ Use information resources and systems only for professional purposes.
▪ To answer for all accesses to the resources, as well as the effects of these contracted
accesses.
▪ Report any irregularity or deviation from the information security policies to the team
(incidentessgi@odata.com.br).
6. DESCRIPTION
6.1. Regulations for the use of information and technology security
To perform its functions in the best possible way, Odata provides its employees with e-mail account, cell
phone, computer, networking systems and Internet access.
It is expected that the use of these tools is limited to professional activities. However, in exceptional cases,
their use for personal purposes is permitted, provided it is reasonable.
odatacolocation.com

Control of the information transmitted through these tools is essential for the performance of our activities.
Some specific rules on information security require special attention because they are aimed not only at
protecting the confidential information of customers and the Company, but also at complying with the law
on the use of e-mail and the practice of crime. The e-mail systems and other communication devices
provided by ODATA are the sole and exclusive property of ODATA, although the Employee has a personal
access password, which does not characterize any ownership rights to them.
The use of email and internet must follow Odata's policies and values. Therefore, they are prohibited:
▪ Messages that violate this Policy, or the Code of Conduct for Odata, with respect to offering and
inviting participation in illegal activities, such as gambling or the use and sale of controlled
substances.
▪ Statements made in other forums violate any matter in this Policy and other rules may exist.
▪ Disclosure of inappropriate images or messages with pornographic content, pedophilia or any
related topic
Odata reserves the right to monitor, analyze, review and suspend Internet and e-mail access, if deemed
appropriate, and subject to applicable laws and regulations.
6.1.1. Business Information Storage
All information must be recorded in the corporate repository (SharePoint and writing to the local computer
desktop is prohibited). Only local writes to SharePoint and Onedrive for Business synchronized areas will
be accepted on encrypted devices, if the local device does not provide encryption, the local recording can
be published after analysis by the TI team.
The information is backed up in accordance with TIC-PRO-010 - Backup Procedure.
6.1.2. External means
ODATA does not use external media to obtain backup information.
6.1.3. Asset retirement
Assets for disposal should be sent to the Engineering area, who will make a backup copy of the asset,
and then send it for destruction internally or by a third party in a documented manner.
6.1.4. Devices
Only one account per ODATA employee shall be used for all devices that are dedicated to their
professional use.
odatacolocation.com

The employee is obliged to monitor and maintain the devices delivered and must use them strictly in
accordance with the rules established by this Policy. In case of theft, loss, damage or knowledge of their
use by unauthorized third parties, the employee shall inform the TI Team immediately and take all
necessary measures to the authorities, if applicable, in this order of importance.
All devices shall preferably be encrypted.
ODATA prohibits the connection of personal devices in offices and data centers, regardless of encryption,
their network or cloud, which are not properly registered.
It is prohibited to use the guest network for corporate devices.
6.1.5. Document printing
Document printing must respect ODATA's heritage in a sustainable way. Print only when necessary,
avoiding waste. Printed documents should be collected immediately after printing, avoiding exposure of
information.
6.1.6. Clean physical desktop.
Paper documents and electronic media should not be left unnecessarily on the desk but should be kept in
locked cabinets or drawers when not in use, especially during office hours.
Notes, information, messages and reminders that expose confidential information should not be left on
the desk or taped to walls, partitions or computer monitors and whiteboards.
6.1.7. Use of access card and ID card
The use of the ID card is desirable in the office (Holding) but is required in the Data Center.
The employee must carry the ID card in an easily identifiable place.
Never leave the ID or ID card anywhere, especially outside the company environment. Keep them with
you whenever possible
Never lend the ID or access card.
Notify administrative/security personnel in case of loss or theft and open a security incident by email
(incidentessgi@odata.com.br).
odatacolocation.com

6.1.8. Social Networking
As with personal email accounts, social media platforms (e.g., Facebook, Twitter, LinkedIn) should only
be used by ODATA members for personal purposes, and it is prohibited to use such accounts to conduct
any ODATA-related activity.
The social networks may be used for the purpose of disseminating material developed by ODATA for this
specific purpose and upon request. The Collaborator must remember that marketing attitudes are studied
and created for a specific purpose and must observe the commands of the competent area.
Only authorized users may issue any opinion or comment on social networks regarding Odata and its
activities.
6.1.9. Passwords
ODATA uses an TI security system that controls the expiration and complexity of each employee's
passwords, which require periodic updates. A minimum of 8 characters is recommended, using
uppercase, lowercase and at least one special digit (@, #, $, %, etc.). And for the tools that allow it, double
authentication factor must be enabled (Password + code sent to E-mail or Password + Code sent to the
cell phone.
Your password should not be disclosed to anyone (not even TI).
Use of resources that allow password storage is not recommended.
If you identify a suspicious message requesting the exchange of your password, either by email or through
your computer screen, please verify with the TI Team the veracity of the request before performing the
exchange procedures.
6.1.10. Use of e-mail, instant and web-based communication.
Our TI environment is protected against viruses and malicious code, however, some user actions are
required to contribute to information security:
▪ Do not open attachments in any form with the extension ".bat", ".exe", ".src", ".lnk", 'MSI' and
".com";
▪ Do not use personal accounts to communicate with clients or transmit any confidential or non-
confidential information. Any professional matters must necessarily be handled by Odata email
accounts.
odatacolocation.com

▪ When exchanging messages or information with customers and partners, the content of messages
and information may be considered an official position of ODATA, so act seriously and
professionally.
▪ Do not send internal or external messages that may damage Odata's image such as jokes, sexually
oriented material, images, videos (with .mpeg, .avi or other extensions), music (with .mp3, .wav or
other extensions), games, messages and text religious, criminal, political or other content that may
be construed as offensive.
▪ When you receive e-mail messages with links, make sure that they match the address displayed
on the screen. To do this, place your mouse pointer over the link (do not click). If the address
displayed is not known, do not access the link.
▪ Be wary of all e-mails with extraneous subject matter, i.e., not related to the Company's routine
and your daily life in particular.
▪ Do not create or transmit streams in which the recipient is induced to send messages to others
without professional need.
▪ Do not read, access or disclose e-mails from other employees, customers and service providers
without proper authorization.
▪ When you are away from your desk or suspend its use, always lock the device to avoid any risk
(Ctrl + Alt + Supr, or Windows + L, or other means on your device).
▪ Avoid as much as possible using company email for personal matters and is aware that these
emails can be accessed by the Company as they are on their network.
▪ Keep all your emails in the company mailbox and under no circumstances download to your
machine (for PST or similar) as this makes it impossible to back them up and access them from
mobile devices.
6.1.11. Personal e-mails
Personal Internet-based e-mail accounts (e.g., Gmail, Hotmail, Yahoo, AOL) must only be used by
employees for personal purposes, and it is forbidden to use this type of accounts to carry out any activity
related to the institution.
It is forbidden to open at the same time a personal account and a corporate account in the corporate team.
odatacolocation.com

6.1.12. Audit
Regarding ISO/IEC 27001 (A.12.7.1) Information systems audit controls, verification audits of critical
systems (as described in TIC-PRO-004 - Logical access analysis) shall be performed periodically every
12 months by the TI area, for applicable controls.
Audit results will be analyzed and any deviations indicated will be addressed through a security incident
when necessary.
6.1.13. Use of the Internet
When using the Internet connection Odata is prohibited:
▪ Accessing adult content sites, games, chat, gambling, videos, etc.) and relationships.
▪ Using P2P (peer-to-peer) software.
▪ FTP (File Transfer Protocol) access without the permission of TI team (ti.odata@odata.com.br),
different from corporate.
▪ Use of Dropbox without the permission of TI team. (ti.odata@odata.com.br).
▪ Use of IM (instant messaging), other than the company's official one.

▪ Download or upload software that is not in the procedure TIC-PRO-005 Software Control, except
for technology teams for cases where it is strictly necessary by opening calls in the EAM tool.
▪ Using streaming services such as online radios, youtube, netflix, etc., outside of commercial or
educational purposes.
▪ Use of classified information such as confidential or internal personal websites, blogs, or any other
Internet posting medium.
▪ Surfing the Internet on unreliable sites (such as pornography, hacking, easy money, etc.).
▪ Downloading files not related to work.
Only conventional navigation is allowed. Specific cases requiring other protocols must be requested to the
TI and will be subject to the authorization of the immediate supervisor.
Employees with Internet access may only download programs directly related to Odata's activities, and
must provide everything necessary to obtain a license and registration of these programs, remembering
that free or free software may be licensed for commercial use.
odatacolocation.com

ODATA can see which websites are accessed, and if necessary, can block access to files/domains that
compromise bandwidth usage or disrupt the smooth running of jobs.
▪ ODATA controls all Internet access and all software installed on your Devices. Therefore, use your
access infrastructure with common sense and restraint, in accordance with the guidelines in this
Policy.
▪ It is prohibited to store, share or communicate the files and data of ODATA, its suppliers, partners
and customers, whether confidential or not, in the public cloud for personal use (Google Drive,
OneDrive, Docs, Dropbox, etc.), without the permission of the TI (ti.odata@odata.com.br).
▪ All areas are prohibited from installing software without formal request, analysis and authorization
from TI.
▪ Odata uses Enterprise Public Cloud (Office 365 business or enterprise), Skype for Business,
OneDrive for business, Intune and Azure; in addition to its private cloud (SharePoint), which meet
the criteria of security and control of information required by the company.
6.1.14. Remote desktop
Odata's TI structure, using tools in Office 365 and Azure, enables native remote work, which only requires
an Internet connection without any additional requirement.
In some cases, remote access to other structures is necessary, usually in the following situations:
▪ General equipment: routers, switches or any other type of equipment that must be accessed by an
external maintenance team or emergency call-out personnel.
▪ Servers or virtual machines, which can be accessed by external developers or analysts, for system
maintenance or implementation.
▪ Access to ODATA environment systems restricted by external users. Example: ODATA employees
accessing systems installed in the Data Center.
For security reasons, use private addresses, which cannot be accessed through the Internet. To ensure
secure external access to these environments, a VPN structure was set up within the Data Center, which
terminated in a pair of Firewalls.
To access such environments, users must close a VPN by installing client-to-LAN security software on
their remote computers/devices.
odatacolocation.com

To access these structures, the requesting employee must send an email to the TI
(ti.odata@odata.com.br) for VPN access with the approval of their boss and the manager of the team to
be accessed. The TI will open a call in the EAM tool.
6.1.15. Input and Output Media
This topic aims to define network usage rules ranging from login, file maintenance on server and systems
in Public Business Cloud and unauthorized access attempts.
It is forbidden to access the local network or the Enterprise Public Cloud of ODATA to:
▪ Attempting unauthorized access to servers and TI services.
▪ Testing network security.
▪ Attempting to bypass user authentication.
▪ Interfering with the activities of other users by altering files not owned by them.
▪ Exposing, storing, distributing, editing or recording material of a pornographic and/or racist nature
through the use of company resources.
▪ Setting up private e-mail accounts.
▪ Accessing network drives in other areas without authorization is prohibited.
The use of USB ports for memory stick and external hard drive use is allowed with the formal
authorization of the TI (ti.odata@odata.com.br) and the Area Manager. Every one years, the TI area
must open a request in the EAM tool for the review of the privileges of use of removable media. Then,
the list of people authorized to use removable media should be emailed to each management to
evaluate whether the privilege can be maintained or revoked. Senior Management should record their
decision for the TI area (ti.odata@odata.com.br).
Based on the responses received, TI should communicate to the employee in case of revocation of
privilege. The IT area must attach the evidence and complete the request.
The media containing information is protected against unauthorized access, misuse or corruption
during transport. The memory of the notebook or desktop computer is not allowed to store information,
only in the corporate repository, which reduces the risk of information loss. When it is necessary to
carry a pendrive and an external hard disk, these should be packed in bags or backpacks, and
preferably out of the visual reach of third parties.
odatacolocation.com

The exchange of area files should always be done through SharePoint.
File sharing between employees should always be done via OneDrive for Business.
File sharing between ODATA and external parties should always be done through OneDrive for
Business whenever possible.
Personal or visitor computers must not be connected to the network or wireless points without issuing
a password to visitors.
It is forbidden to store music, video and photo files on the network that are not company property. Such
files will be deleted without notice.
Any act performed with your username and password will be entirely your responsibility, so
take all precautions to keep this information secret.
ODATA prohibits the deletion of any information, documents and data in general from your network to
free up more space on the network device.
This activity is part of the management of the TI environment by the TI team. The user has no
interference in this area of Odata.
If you have any problems with any of your corporate devices, the IT team will be at your disposal.
6.1.16. Logical Access Control of Collaborators and Third Parties
Requests must follow the following table with the respective justification:
a) Corporate Systems - Inclusion, Alteration and Revocation of access.
Holding Who to request? Who can request? Who approves?
Employees TI_ODATA Employee/Manager Manager

EAM
Third parties TI_ODATA Employee/Contract Manager

ti.odata@odata.com.br administrator
odatacolocation.com

EAM
b) Local Systems - Inclusion, Alteration and Revocation of Access.
Holding Who to request? Who can request? Who approves?
Employees Local Employee/Manager Manager
Third parties Local Manager Employee/Contract Manager

administrator
6.2. Confidentiality
The employee must comply with the rules established by the ODATA Code of Conduct and Anti-
Corruption for behavioral purposes that will be adopted in the treatment of confidential information
owned by ODATA, its clients, suppliers or partners electronically and digitally.
Confidential information must be replicated within what is strictly necessary for the purpose for which
it was designed, to guarantee its confidentiality and security of disclosure.
The employee is prohibited from:
▪ Send confidential information via private e-mail.

▪ Providing confidential information on the public drive of the network.
▪ Copy confidential information on private devices.
You should always pay attention to the contractual agreement between ODATA and the Supplier,
partner, or customer. The Legal area will always be at your disposal to advise you in case of doubts
about behavioral problems and the treatment of confidential information.
Failure to comply with this duty may result in the employee taking appropriate disciplinary action.
odatacolocation.com

Printed confidential documents must be destroyed immediately after use, using the shredder provided
by ODATA to its employees, to avoid any unintentional leakage of information.
6.3. Communication channel
The application of this Policy and the resolution of related issues will be carried out by ODATA
Management, currently comprised of the following members: the General Manager and Senior
Management of the parent company. Any doubts, questions, communications or specific situations
faced by the Employee regarding compliance with this Policy or violations thereof should be directed
to any of the members of Management or, if you prefer, your communication may be directed to the
following e-mail addresses: (ti.odata@odata.com.br) y (sgi@odata.com.br)
Any employee who becomes aware of conduct that may be characterized as a violation of the
provisions of this Policy should report the occurrence immediately to ODATA, through one of the
channels listed above. Be assured that ODATA will ensure that there will be no retaliation for the
employer using these channels, and that the Company will treat the report anonymously and
confidentially.
6.4. Declaration of Commitment
I confirm that I have received, read and understand Odata's Information Security and Technology Use
Policy and know that the principles and behaviors described must be followed by all employees.
I will disclose a violation, or potential violation, of this Policy to Management or the Communication
Channel for this purpose, as set forth herein.
Employee name (please print): _________________________________________
Position: _________________________________________
Signature: _________________________________________
Date: _____ / _____ / ______
odatacolocation.com

N° ODATA: TIC-POL-001
Classificação da Informação:
Interno
Revisão: 12 Página: 45 - 46
Histórico de Revisões Controle de Aprovação

Rev. Data Descrição da Revisão/Alterações Página(s)/Item(ns) Elaboração Revisão Aprovação
Criação de todo
00 03/03/2016 Emissão inicial. GC GC RBO
documento.
Alteração do template e revisão da Revisão de todo JT / LS /
01 29/05/2018 CS BP
política. documento. RR
Atualização sobre o uso do crachá Revisão do item
02 17/07/2018 (6.1.7) e inclusão de trabalho remoto 6.1.7 e inclusão do JT / LS CS RA
(6.1.14). item 6.1.14.
Inclusão de revisão das autorizações
03 01/08/2018 para uso de dispositivos móveis (pen Item 6.1.15 CS BP RA
drive e HD externo).
Inclusão do parágrafo sobre transporte
04 16/09/2018 Item 6.1.15 CS CS RA
de mídia.
Ajuste endereço de e-mail
(incidentessgi@odata.com.br);
Alteração do texto “sistema operacional”
para “sistemas críticos (conforme
descrito no TIC-PRO-004 - Análise de
acesso lógico)”; Ajuste endereço de e-
Item 6.1.7, 6.1.12,
mail (ti.odata@odata.com.br); Trabalho
05 22/08/2019 6.1.13, 6.1.14, LS / CM CS RA
remoto: acesso a VPN, ajuste endereço
6.1.15, 6.3
de e-mail (ti.odata@odata.com.br);
Ajuste endereço de e-mail
(ti.odata@odata.com.br); Ajuste
endereço de e-mail
ti.odata@odata.com.br e
sgi@odata.com.br
Inclusión de políticas para Colombia en RA
06 05/02/2020 Desde la pág 19. KR CS
español CF
07 08/05/2020 Inclusão da tabela de backup. Item 6.1.1. KR CS RA
Se incluye item 6.1.16 Control de
08 03/06/2020 acceso lógico de Colaboradores y Item 6.1.16 KR CS RA
Terceros
Inclusión de tiempos de retención de
09 04/12/2020 Item 6.1.1. KR CS RA
backups
10 29/10/2021 Atualização na Referência e da Capa Páginas 1, 4 e 19 MC HC RA
Cambiado Solvian/ Smartfield por EAM.
Adaptación a CH y MX.
Inclusão de recomendação de padrão
de senhas
Novos diretores incluídos: CTO, Diretor
11 27/05/2022 de Operações, Diretor Jurídico, Diretor Todo el documento MC KR RA
de Expansão LATAM, Diretor de Novos
Negócios, Diretor de Finanças e
Administração, Diretor de Engenharia e
Implantação, Diretor de EHS e ESG e
Country Managers LATAM
odatacolocation.com

A tabela de backup do ponto 6.1.1 é
substituída por TIC-PRO-010 -
Procedimento de Backup
Alteração do prazo de periodicidade de
6 meses para a cada 1 ano a Área de TI
12 22/05/2023 deverá abrir um chamado na ferramenta Item 6.1.15. MC BO RA
EAM para revisão dos privilégios de uso
de mídia removível
odatacolocation.com

TIC-POL-001 - Política de Uso Da Tecnologia e Segurança Da Informação.v12

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TIC-POL-001 - Política de Uso Da Tecnologia e Segurança Da Informação.v12

Enviado por

Direitos autorais:

Formatos disponíveis

POLÍTICA DE USO DE TECNOLOGIA E SEGURANÇA DA

INFORMAÇÃO / POLÍTICA DE USO DE TECNOLOGIA Y

UNIDADE/UNIDAD: HOLDING E DATA CENTER /

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

▪ A todos os Colaboradores da ODATA.

3. REFERÊNCIAS PARA ELABORAÇÃO DESTE DOCUMENTO

▪ Empresa ou ODATA: É a organização para qual se aplica esta respectiva Política;

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

▪ PST: Arquivo de dados do Outlook, armazenados no disco local do usuário.

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

▪ Comunicar formalmente às unidades que efetuam a concessão de acessos e permissões

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

6.1 Regras de Uso da tecnologia e Segurança da Informação

Espera-se que o uso dessas ferramentas se limite às atividades profissionais. No entanto,

O controle da informação transmitida através dessas ferramentas é essencial para o desempenho de

6.1.1 Armazenamento de Informação Corporativa

O backup das informações é realizado conforme ao TIC-PRO-010 - Procedimento de Backup

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

A ODATA não faz uso de mídias externas para backup de informações.

6.1.3 Descartes de Ativos

Todos os dispositivos serão preferencialmente criptografados.

É proibida a utilização da rede de visitantes (guest) por dispositivos corporativos.

6.1.5 Impressão de Documentos

A impressão de documentos deve respeitar de forma sustentável o patrimônio da ODATA. Imprima

6.1.6 Mesa Limpa

Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa

6.1.7 Uso de Crachá de Identificação e Chaves

A utilização do crachá é desejável no escritório (Holding), porém, é obrigatório no Data Center.

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

Nunca emprestar o crachá ou dar carona.

6.1.8 Redes Sociais

6.1.10 Uso de E-mails, Comunicação Instantânea e Via WEB

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

6.1.11 E-mails pessoais

É proibido abrir concomitantemente a conta pessoal e a conta corporativa no computador corporativo.

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

6.1.13 Utilização da Internet

Ao utilizar a conexão de internet da ODATA é proibido:

▪ Utilizar o Dropbox sem autorização da equipe de TI (ti.odata@odata.com.br);

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

▪ É proibido armazenar, compartilhar ou comunicar arquivos e dados da ODATA, seus

6.1.14 Trabalho Remoto

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

É proibido acessar a rede local ou na Nuvem Pública Empresarial da ODATA para:

▪ Tentar acesso não autorizado aos servidores e serviços de TI;

É proibido acessar drives de rede de outras áreas sem autorização.

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

6.1.16. Controle de Acesso Lógico de Colaboradores e Terceiros

As solicitações devem seguir a tabela abaixo com a respectiva justificativa.

a) Sistemas Corporativos – Inclusão, Alteração e Revogação de acesso.

Holding Para quem solicitar? Quem pode solicitar? Quem aprova?

Colaboradores TI_ODATA Colaborador/Gestor Gestor

Terceiros TI_ODATA Colaborador/Gestor do Gestor

b) Sistemas Locais - Inclusão, Alteração e Revogação de acesso.

TIC-POL-001 - Política de Uso da Tecnologia e Segurança da Informação.v12 – Interno

Colaboradores Gestor Local Colaborador/Gestor Gestor

Terceiros Gestor Local Colaborador/Gestor do Gestor

O Colaborador está proibido a:

Deve-se sempre atentar-se ao acordado contratualmente entre ODATA e fornecedor, parceiro ou

6.3 Canal de Comunicação

Fecha: ___ / _ / ____