Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Política de Segurança Serviços em Nuvem

    Enviado por

    Vagner Santos
    0 visualizações2 páginas
    Modelo

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Modelo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    0 visualizações2 páginas

    Política de Segurança Serviços em Nuvem

    Enviado por

    Vagner Santos
    Modelo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    Segurança da Informação para Serviços em Nuvem

    Elaborada por: Vagner Santos


    Aprovada Por:
    RV-0

    1- Objetivo

    Especificar os controles de segurança da informação para o uso de serviços em nuvem utilizado pela XPTO4015

    2. Referência

    ABNT NBR ISO 27001-2022 – A.5.23 Segurança da Informação para Serviços em Nuvem
    Tipo de Controle # Preventivo
    3. Responsabilidade
    Cabe a todos os colaboradores da XPTO aplicarem as rotinas previstas nessa política como forma a utilizar os serviços em
    nuvem de forma segura.

    4-Serviço de nuvem
    A XPTO opera o seu próprio serviço de nuvem denominado XPTO CLOUD, esse serviço opera nos servidores do data
    center Marapata. O ambiente de operação dos diretórios dos serviços de nuvem opera por meio do sistema Own Cloud e
    Sistema Operacional Linux.

    5- Gestão de identidade de acesso ao serviço.


    O acesso a ativos dos diretórios dos serviços de nuvem do XPTO CLOUD é realizado pelas práticas adotadas na Política de
    Controle de Acesso, e Política de Controles Tecnológicos, seguindo-se as seguintes práticas:

    I. Registros dos eventos de log de acesso (Ver 3.16 do PS08 Controles tecnológicos) É utilizado a ferramenta
    GrayLog para registrar os eventos de acessos nos ativos da empresa.
    II. Tempo e ciclo de vida login e senha. A senha cadastrada ao usuário tem uma duração de 6 meses, controlado pelo
    sistema Active Directory.
    III. Informações de autenticação
    IV. Configuração de senhas
    V. O requisito para uma senha forte é de no mínimo 8 caracteres, 1 caractere especial e 1 número.
    VI. Responsabilidades sobre a proteção das senhas
    VII. Há uma campanha de conscientização para evitar que o colaborador compartilhe a sua senha com demais usuários.
    VIII. Uso e alteração se senhas padrão. A equipe de T.I possui uma senha padrão de uso exclusivo do setor para todos
    os tipos de ativos da empresa. Caso alguém necessite de um acesso onde seja necessário descobrir a senha padrão,
    deve ser aberto um chamado para equipe de T.I para que eles desbloqueiem o ativo sem precisar fornecer a senha
    padrão.

    6- Monitoramento de acesso aos serviços de nuvem

    Para o monitoramento das atividades de LOG a XPTO utiliza o sistema LOGFULL para as seguintes atividades.
    I. LOG de Cliente – Questões legais e investigações criminais. Sistema registra as atividades de log de clientes
    corporativos e domésticos, para efeito de questões legais quando requerida.
    II. SISLOG – GRAY LOG Monitora acesso e falhas de log de funcionários, gerando relatórios específicos de acesso
    e falhas.

    7- Backup dos ativos do diretório.


    Para o BKP do diretório do serviço de nuvem a XPTO utiliza o sistema VEEAM 01, que realiza o BKP do STORAGE. A
    periodicidade do BKP é diária, com versionamento do BKP para restauração.

    8- Atualizações.
    O departamento Operacional T.I irá manter atualizados os sistemas operacionais em que o NBN CLOUD opera.

    9-Requisitos de segurança da informação.


    I. Log de acesso.
    II. Criptografia HTTPS.
    III. Senhas fortes seguras, com duração de 6 meses gerenciadas pelo sistema Active Directory.
    IV. Criptografia na autenticação do WIFI.
    V. Criptografia para Conexão remota por meio de VPN AES256.
    VI. Conscientização dos usuários sobre as práticas de gestão de ativos e ataques de phishing.

    PS19. Política de Segurança da Informação para serviços em nuvem 13.12.2022 RV -0-

    DOCUMENTO CONTROLADO
    Segurança da Informação para Serviços em Nuvem
    Elaborada por: Vagner Santos
    Aprovada Por:
    RV-0

    10-Atividades corporativas com tramitação de ativos em sistemas de nuvem de provedores.


    Requisitos de segurança do sistema ECAOFFICE –
    I. Acesso ao sistema e criptografado por meio de protocolo HTTPS.
    II. Acesso por meio de login e senha
    III. Serviço adquirido por regras estabelecida em contrato e políticas de privacidade.

    Requisitos de segurança do sistema MICROSICA.

    I. Acesso ao sistema e criptografado por meio de protocolo TLS.


    II. Acesso por meio de login e senha
    III. Serviço adquirido por regras estabelecida em contrato e políticas de privacidade.

    HISTÓRICO DE REVISÕES
    REV DATA DESCRIÇÃO DA SITUAÇÃO DO AUTOR APROVAÇÃO
    DOCUMENTO
    00 13/12/2022 Primeira Edição Vagner Santos

    PS19. Política de Segurança da Informação para serviços em nuvem 13.12.2022 RV -0-

    DOCUMENTO CONTROLADO

    Você também pode gostar