Conformidade com Requisitos Legais

Polticas de conformidade com requisitos legais

Definio de polticas de conformidade com requisitos legais no mbito da proteco da informao e direitos reservados dos recursos existentes no CHVNG/E.

Document1

1. ndice
1. 2. A. B. C. 4. 5. 6. 7. A. B. C. D. E. F. 8. 9. ndice ............................................................................................................................................... 2 Controlo de Verses e Aprovao.................................................... Error! Bookmark not defined. Informao do Documento .......................................................... Error! Bookmark not defined. Classificao e Autorizao de Distribuio ................................. Error! Bookmark not defined. Aprovao do Documento .......................................................................................................... 3 Objectivo ......................................................................................................................................... 4 Responsabilidades........................................................................................................................... 4 mbito............................................................................................................................................. 4 Conformidade com Requisitos Legais ............................................................................................. 4 Poltica de Identificao de legislao aplicvel ......................................................................... 4 Poltica de Direitos de Propriedade ............................................................................................ 4 Poltica de Proteco de Registos Organizacionais ..................................................................... 6 Poltica de Proteco de Dados e Privacidade da Informao Pessoal....................................... 8 Poltica de Preveno de Utilizao Indevida de Recursos de Processamento da Informao .. 9 Poltica de Recolha de Evidencias ............................................................................................. 10 Histrico Reviso........................................................................................................................... 12 Anexos ........................................................................................................................................... 13

Document1

Pgina

de

13

2. Controlo de Verses e Aprovao

A. Informao do Documento
Documento: Verso: Elaborado por: Ultima Reviso por: Conformidade com Requisitos Legais 1.0 Reviso: Visionware Data de Elaborao: Ultima Jos Neves Data de Reviso: N Total de Pginas: [Reviso] 29-10-2010 29-10-2010 12:38 12

B. Classificao e Autorizao de Distribuio

Classificao: R-Distribuio Restrita Este documento deve ser distribudo e consultado por todos os colaboradores do departamento SSTI do Centro Hospitalar de Vila Nova de Gaia/Espinho. Qualquer alterao a esta definio de Autorizao de Distribuio tem de ser aprovada pelo Chief Information Security Officer [CISO].

C. Aprovao do Documento
Verso: [Verso Aprovada] Nome: [Nome] Estado da Aprovao: [Estado da Aprovao] Assinatura: Reviso: Data: [Reviso Aprovada] [Data]

Document1

Pgina

de

13

4. Objectivo
Definir explicitamente e documentar os estatutos, regulamentaes ou clusulas contratuais relevantes para cada sistema de informao, assim como, os controlos a implementarem para atender a esses mesmos requisitos.

5. Responsabilidades
da responsabilidade do SSTI e da Administrao do CHVNG/E definirem as directrizes no cumprimento e adequao no que diz respeito conformidade com os requisitos legais referentes implementao de politicas de segurana de informao no CHVNG/E. Cabe a todos os intervenientes, internos e/ou externos ou temporrios, respeitarem as directrizes definidas pelo SSTI.

6. mbito
Definio e implementao de procedimentos apropriados com o objectivo de garantir a conformidade com os requisitos legais, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual, e finalmente, na utilizao de produtos de software proprietrios.

7. Conformidade com Requisitos Legais

A. Poltica de Identificao de legislao aplicvel
Requisitos e Regulamentaes Todos os estatutos, regulamentaes e requisitos contratuais relevantes devem ser definidos e documentados por cada sistema de informao do CHVNG/E.

B. Poltica de Direitos de Propriedade

Desenvolvimento do Cdigo Fonte O software que suporta as aplicaes de produo do negcio deve ser desenvolvido internamente ou obtido a partir de um parceiro conhecido e fivel. Sistemas Produtivos e Ferramentas do Sistema Nos sistemas de informao de produo do CHVNG/E apenas devem ser instaladas ferramentas que tenham sido desenvolvidas internamente ou por parceiros externos, associaes profissionais, grupos comerciais, ou agncias governamentais legtimas e de confiana.

Document1

Pgina

de

13

 Compromissos de Acesso ao Cdigo Fonte O CHVNG/E dever ter acesso ao cdigo fonte de todas as aplicaes usadas para a actividade crtica de negcio. Este acesso dever estar consagrado em acordos de licenciamento ou outras formas de compromisso formal entre a Instituio e as entidades responsveis pelo desenvolvimento de software. Reviso de Software As aplicaes desenvolvidas por terceiros e consideradas crticas para o negcio do CHVNG/E devero ser sujeitas a um processo formal de code review antes da sua colocao em produo. Atribuio da Informao Os colaboradores do CHVNG/E devem dar uma ateno apropriada origem da informao, utilizada na instituio. Direitos de Propriedade da Informao Todos os utilizadores que submetam informao no Web site da instituio, e para a qual no tenham direitos de propriedade, devem indicar de forma clara a origem da mesma. Informao de Propriedade de Software Todos os programas e documentao informtica na posse do CHVNG/E devem incluir as informaes apropriadas relativas a direitos reservados. Cpias de Informao Os colaboradores no devem fazer cpias da informao de nenhuma publicao a menos que as mesmas tenham sido autorizadas pelo autor ou proprietrio com os respectivos direitos. Reviso dos Acordos de Licenciamento de Software Todos os acordos de licenciamento de software devem ser sujeitos a reviso peridica. Prova de Licenciamento de Software A documentao do licenciamento deve ser fornecida em conjunto com qualquer pacote de software adquirido a entidades externas. Cpias Autorizadas A camada de gesto deve realizar acordos com todos os fornecedores de software para a aquisio de cpias de licenciamento adicionais, sempre que as mesmas sejam necessrias para as actividades de negcio.

Document1

Pgina

de

13

 Realizao de Cpias de Software A realizao de cpias de software est sujeita concordncia com os acordos de licenciamento existentes. Informao e Software com Direitos de Autor Desautorizados Informao sujeita a direitos de autor, para a qual a instituio no tenha uma autorizao expressa para armazenar ou utilizar, no devem ser instalados nos sistemas de informao corporativos, ou caso j se encontrem instalados, devero ser removidos pelos administradores de sistemas, a menos que a autorizao do proprietrio correspondente possa ser fornecida pelos utilizadores envolvidos. Direitos de Autor Genricos Os colaboradores devem investigar os direitos de propriedade para todo o material que descobrem na Internet, antes de os poderem utilizar. Duplicao de Software Os colaboradores no devem copiar o software fornecido pelo CHVNG/E para nenhum suporte de memria, transferir o software para outro computador, ou divulgar o software aos parceiros externos sem permisso escrita da camada de gesto dos sistemas de informao. Cpias desautorizadas de software e dados Todos os colaboradores de sistemas do CHVNG/E esto proibidos de fazer cpias de software, informao sujeita a direitos de autor, ou de outro material em violao da legislao nacional, ou acordos de licenciamento estabelecidos.

C. Poltica de Proteco de Registos Organizacionais

Reteno de Informao Pessoal Informaes pessoais localizadas nos sistemas de informao do CHVNG/E devero ser removidas assim que j no sejam necessrias para o negcio da instituio ou para o cumprimento de exigncias legais ou reguladoras. Reteno de Informao Crtica Um perodo de reteno dever ser atribudo a toda a informao crtica. Gravao de Informao Vital A camada de gesto de cada departamento deve identificar e manter uma lista actualizada da gravao dos registos vitais, que o seu departamento ir necessitar para o restauro de todas as operaes aps a ocorrncia de um desastre.

Document1

Pgina

de

13

 Armazenamento de Informao Vital Os registos de negcio vitais devem ser mantidos em cofres-fortes, prova de fogo, sempre que no estiverem a ser utilizados para propsitos de negcio. Perodo de Reteno da Informao A informao que no est especificamente listada na calendarizao da reteno deve ser retida apenas pelo perodo necessrio. Perodo de Reteno para Documentos de Base de Negcio Documentos de base de negcio que contenham dados de entrada na instituio, devem ser retidos no mnimo 90 dias alm da data em que esta informao foi incorporada no sistema informtico do CHVNG/E. Destruio de Informao Toda a informao do CHVNG/E deve ser destruda quando j no for necessria para a instituio. Destruio de Registos Os colaboradores no devem destruir registos de informao potencialmente importantes sem a prvia aprovao especfica da camada de gesto do CHVNG/E. Calendarizao da Destruio de Registos Os colaboradores no devem destruir os registos do CHVNG/E a menos os mesmos estejam contemplados numa lista de registos autorizados para destruio, ou podem ser destrudos de acordo com as instrues que surgem na calendarizao de reteno e de alienao de registos do CHVNG/E. Reteno de Informao Delicada para Destruio Os colaboradores no devem eliminar informao delicada em locais de acesso pblico, e devem reter a mesma informao at ser autorizada a sua destruio, atravs de mtodos aprovados. Violao de Segurana e Reteno da Informao do Problema A informao que descreve todos os problemas de violaes de segurana da informao deve ser retida por um perodo de trs anos.

Document1

Pgina

de

13

D. Poltica de Proteco de Dados e Privacidade da Informao Pessoal

Divulgaes da Informao Privada Os registos privados devem ser divulgados somente numa base de necessidade de conhecimento, a um grupo muito restrito de pessoas. Recolha da Informao Privada No deve ser recolhida qualquer informao privada sem uma aprovao prvia da camada de gesto e do departamento jurdico. Informao Pessoal para o Funcionamento do Negcio O CHVNG/E deve apenas recolher, processar, armazenar, e disseminar informao privada que seja estritamente necessria para o funcionamento apropriado do negcio da instituio. Aprovao da Recolha de Informao Privada Antes dos colaboradores do CHVNG/E recolherem informao privada sobre trabalhadores, clientes, ou outras pessoas, a necessidade expressa para a obteno desse tipo de informao deve ser documentada e aprovada pela camada de gesto de recursos humanos. Distribuio de Informao Pessoal O acesso a qualquer informao pessoal sobre potenciais clientes e outras pessoas com quem o CHVNG/E tem um relacionamento privilegiado de negcio, deve ser estritamente controlado numa base de necessidade de conhecimento. Com excepo para o caso onde seja obtido o prvio consentimento, a informao no deve ser vendida, trocada, ou distribuda a qualquer entidade terceira. Recolha de Informaes de Cliente Os procedimentos informatizados do CHVNG/E no devem exigir a proviso de informao desnecessria pessoal do cliente, que no seja necessria para a concluso de uma transaco, ou desnecessria para a proviso dos produtos ou dos servios. Recolha de Informao Biomtrica Informao biomtrica pessoal no pode ser capturada por nenhum sistema de informao do CHVNG/E, a menos que o indivduo descrito tenha sido previamente notificado e tenha consentido a captao dos dados.

Document1

Pgina

de

13

 Informao do Desempenho do Colaborador Informao acerca do desempenho pessoal do colaborador, no dever estar disponvel para os indivduos que no tenham uma necessidade legtima de conhecimento enquadrada com uma relao profissional. Aplicao de Polticas de Privacidade Toda a informao dos clientes deve ser protegida de acordo com a poltica de privacidade vigente na altura em que a mesma informao esteja a ser recolhida, a menos que exista um acto de consentimento proveniente do cliente. Informao Pessoal Incorrecta Nas circunstncias em que o CHVNG/E receber informao que a informao pessoal contida nos seus registos est incorrecta, dever solicitar a modificao da informao, ou registar que a mesma se encontra incorrecta.

E. Poltica de Preveno de Utilizao Indevida de Recursos de Processamento da Informao

Presena de Jogos nos Sistemas Corporativos Jogos no podem ser instalados ou utilizados em qualquer sistema corporativo do CHVNG/E. Utilizao Pessoal dos Recursos Informticos e de Comunicaes da Instituio Computadores do CHVNG/E e Sistemas de Comunicaes devem ser usados apenas para fins corporativos, a menos que tenha sido obtida previamente uma permisso especial da camada de gesto. Acesso do Internet Os utilizadores que acedem Internet nas instalaes do CHVNG/E devem ser informados que o faam por sua conta e risco, e que a instituio no responsvel pelos materiais visualizados, downloads efectuados, ou informao recebidas pelos utilizadores atravs da Internet. Utilizao inaceitvel de Recursos Informticos e Sistemas de Comunicao Os utilizadores dos sistemas informticos e de comunicaes do CHVNG/E no devem utilizar estes recursos para solicitar negcios, venda de produtos, ou de qualquer outro exerccio de actividades comerciais, com excepo do que expressamente permitido pela camada de gesto do CHVNG/E.

Document1

Pgina

de

13

 Anlise da informao Arquivada nos Sistemas Corporativos A camada de gesto do CHVNG/E deve reservar o direito de analisar todos os dados arquivados nos sistemas corporativos, ou transmitidos pelos sistemas de comunicaes da instituio, e deve informar todos os utilizadores que no devero ter uma expectativa de privacidade relacionados com a informao que aloja ou envia atravs desses mesmos sistemas.

F. Poltica de Recolha de Evidencias

Criminalidade Informtica ou Constatao de Abusos Todas as informaes relacionadas com a suspeita de crime informtico, incluindo as cpias de segurana de todos os arquivos potencialmente envolvidas, devem ser imediatamente retidos e armazenadas em segurana em estado off-line at a custdia dessas mesmas informaes ser dada a outra pessoa autorizada ou s entidades judiciais competentes. Divulgao de Informaes em Processo de Investigao Os colaboradores devem consentir que toda a informao arquivada nos sistemas de informao do CHVNG/E possa ser divulgadas s autoridades judiciais em sede de processo de investigao. Informao da Avaliao de Desempenho A camada de gesto da organizao no deve utilizar de forma automtica os recursos informticos da instituio, para recolha de informaes sobre o desempenho dos colaboradores a no ser que os mesmos tenham concordado colectivamente com tal processo. Permisses de Monitorizao O CHVNG/E no deve monitorizar as comunicaes de voz de um colaborador sem obter permisso prvia do mesmo. Informao Confidencial e Investigaes Internas Todas as investigaes criminais ou de alegada conduta devem ser mantida estritamente confidenciais para preservar a reputao do suspeito at que haja uma formalizao de processo disciplinar ou criminal. Inquritos Os colaboradores do CHVNG/E no devem responder a qualquer inqurito da comunicao social ou outras entidades, devendo enderear todos os contactos revelar para o departamento de relaes pblicas.

Document1

Pgina

10

de

13

 Participao de Processo Legal Qualquer colaborador do CHVNG/E chamado por uma intimao ou qualquer outro modo de notificao a comparecer ou depor perante uma autoridade judicial, deve notificar de imediato o departamento jurdico da instituio. Contacto com a comunidade de Justia Criminal A equipa tcnica de Sistemas de Informao no deve contactar a polcia ou outros membros da comunidade judicial, acerca da ocorrncia de qualquer incidente ou suspeita de conduta criminal, antes de receberem autorizao por parte do departamento jurdico da instituio. Processo de anlise forense Qualquer anlise forense que abranja media de armazenamento de dados que possa conter informaes da instituio, e que se tornem elementos importantes para a anlise de criminalidade informtica ou abuso de sistemas, deve ser realizada com o recurso a cpia, em vez da verso original. Detalhes de investigaes de intruso Os detalhes sobre investigaes em curso no deve ser enviado atravs de correio electrnico, assim como ficheiros que descrevem um presente inqurito no devem ser arquivados em sistemas potencialmente comprometidos em termos de segurana.

Document1

Pgina

11

de

13

8. Histrico Reviso
2010-10-29 Verso draft elaborada pela VisionWare para avaliao do Eng. Domingos Pereira

Document1

Pgina

12

de

13

9. Anexos
Este documento no inclui nenhum anexo.

Document1

Pgina

13

de

13