POLÍTICA DE SEGURANÇA DA INFORMAÇÃO COOPANEST/BA
- A) ESTRUTURA DE GOVERNANÇA EM SEGURANÇA DA INFORMAÇÃO DA COOPANEST BA;
a.1) Aspectos Gerais;
- Esta Política de Segurança da Informação visa o estabelecimento de processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais.
- A COOPANEST BA manterá um Comitê de Segurança de Dados, composto pelo Comitê de Compliance da COOPANEST BA e por representantes da área técnica de tecnologia, podendo contar com a participação de consultores externos.
- Caberá ao Comitê de Segurança de Dados:
- a atualização contínua desta política com base em processo de
avaliação sistemática de impactos e risco à privacidade;
- decidir questões que tenham por objetivo o estabelecimento de relação de confiança com o titular e a proteção de dados pessoais na organização.
- Os membros do Comitê de Dados devem atuar como embaixadores da cultura de proteção de dados pessoais dentro da organização.
- Sem prejuízo da estrutura de governança descrita nesta política, poderá a Diretoria da COOPANEST BA contratar auditorias de risco de segurança da informação a fim de verificar a efetividade dos mecanismos de defesa traçados.
a.2) Atuação do Encarregado de Dados;
- Os Encarregados de Dados da COOPANEST BA serão responsáveis por ajudar a promover as regras desta política definidas na empresa, sendo também responsáveis por atuar como um canal de comunicação da empresa com os titulares de dados e com os órgãos reguladores.
- Caberá aos Encarregados de Dados;
Elaborar e atualizar o processo de mapeamento de dados, identificando a origem dos dados e os canais utilizados para coleta, por onde eles fluem, com quem são compartilhados e onde e em quais formatos estão armazenados.
Conduzir os procedimentos de apuração de descumprimentos à PSI,
determinando sanção ao colaborador que incorrer no desvio;
Tomar providências junto à área técnica quanto às comunicações recebidas a título de problemas no acesso a arquivos ou serviços ou de roubo de dispositivos de armazenamento ou computadores com informações;
Registrar os acessos remotos;
- Caberá aos encarregados de dados a autorização extraordinária para utilização de periféricos nas máquinas da COOPANEST BA, ficando responsável por comunicar ao usuário os cuidados específicos que deverão ser tomados.
a.3) Equipe Técnica;
- A Equipe Técnica deverá manter uma lista clara de todos os fornecedores que, de qualquer forma, possuam acesso à rede, bem como quais dados tais fornecedores possuirão acesso.
- A Equipe Técnica instalará antivírus em todos os terminais de acesso.
- A Equipe Técnica será responsável pelo gerenciamento do Firewall da rede da COOPANEST BA.
- A Equipe Técnica também será responsável pela formulação de política de backup apta a resguardar a organização de eventuais perdas de dados.
- A Equipe Técnica deverá garantir que o acesso ao servidor da COOPANEST BA somente se dará mediante rigoroso controle de acesso e mediante o uso de criptografia, com chaves de no mínimo 256 bits de criptografia.
- Os Encarregados de Dados poderão contar com a Equipe Técnica para a resolução de eventuais intercorrências ocorridas com a proteção de dados.
- Eventual empresa que atue como prestadora de serviços de tecnologia da informação deverá estar ciente dos termos desta política.
a.4) Gerenciamento e Controle de Acessos;
- O setor de recursos humanos será responsável por designar e formular os níveis de acesso a dados pessoais controlados ou operados pela COOPANEST BA, podendo contar com o apoio da área técnica para operacionalização desta competência.
- O gerenciamento de acesso deverá levar em consideração o nível hierárquico, a necessidade e finalidade do acesso do colaborador ao tipo de informação que terá acesso.
- O gerenciamento será realizado mediante controle biométrico e chaves para documentos físicos e mediante logs de segurança para arquivos digitais, a serem implementados pela equipe técnica.
- O setor de recursos humanos deverá comunicar a área técnica acerca da admissão, desligamento ou promoção de colaboradores, para fins de possibilitar que a área técnica operacionalize as mudanças necessárias no gerenciamento de acesso.
- O colaborador desligado deverá perder o acesso às informações da organização
(tanto física, quanto digital) em até 48 horas a contar de seu desligamento.
a.5) Fornecedores e Terceiros;
- Eventual fornecedores de sistemas serão responsáveis contratualmente pela implementação e pelo gerenciamento de logs aptos a registrarem todas as ações realizadas nos sistemas utilizados pela COOPANEST BA, possibilitando a identificação do usuário que deu início a determinado evento.
- Fornecedores e parceiros deverão estar cientes e comprometidos com esta PSI.
- Os contratos firmados com fornecedores e parceiros conterão cláusulas relacionadas às diretrizes de segurança da informação.
- A negativa em subscrever termos de ciência e compromisso com a PSI justifica tanto a não celebração de contrato, quanto a rescisão.
- Justifica-se a rescisão contratual com empresas prestadoras ou parceiras que não estejam se adequando à LGPD.
a.6) Sanções;
- O descumprimento comprovado de qualquer disposição desta política poderá acarretar na imposição de sanção ao colaborador que incorrer no desvio.
- O procedimento de apuração será conduzido pelo Comitê de Dados, deferido espaço de justificativa da conduta pelo colaborador em suspeita de desvio. As sanções poderão ser: advertência verbal, advertência por escrito e demissão.
A advertência verbal será aplicada na hipótese de descumprimento cometido por colaborador primário e que não tenha implicado em vazamento de dados sensíveis.
A advertência por escrito será aplicada na hipótese de reincidência de colaborador em conduta que não tenha implicado em vazamento de dados sensíveis ou que tenha implicado em eventual vazamento de dados, sem maiores consequências para os titulares, desde que o colaborador seja primário.
A demissão será aplicada para o colaborador que incidir em conduta que implique em vazamento de dados ou que torne inviável a entrega de comunicação a contento ao titular ou a Autoridade Nacional de Proteção de Dados;
- B) REGRAS DE BOAS-PRÁTICAS;
b.1) Rotinas Gerais;
- A entrada dos colaboradores na COOPANEST BA se dará mediante chave e controle biométrico.
➢ Caso haja extravio de chave ou havendo necessidade de fabricação de cópias/novas chaves, deverá o fato ser comunicado ao setor de infraestrutura.
- Na comunicação de dados pessoais ou de informações sensíveis, o colaborador deverá contactar a Equipe Técnica para que faça a adequada criptografia destes dados.
- O colaborador que receber visitas na sede da empresa, mesmo que de familiares, deverá comunicar ao setor administrativo para que registre a presença de terceiro na organização com data, horário de acesso e permanência.
- As seguintes situações deverão ser comunicadas imediatamente a(o) Encarregado de Dados da COOPANEST BA:
Alertas graves do software antivírus;
Problema no acesso a determinados arquivos ou serviços; Recebimento de arquivos ou links suspeitos pelo e-mail.
Lentidão no acesso ao servidor;
Roubo de dispositivos de armazenamento ou computadores com
informações;
b.2) Senhas;
- Sempre que o colaborador tiver que utilizar senhas em razão de suas funções, deverá observar as seguintes disposições:
- As senhas de acesso aos computadores e servidores da COOPANEST
BA são pessoais e intransferíveis;
- As senhas devem ser alteradas com periodicidade de, pelo menos, 06 meses.
- A COOPANEST BA buscará que os sistemas utilizados indiquem a obrigatoriedade de troca de senha;
- As senhas precisam conter no mínimo 08 caracteres, compostas por números, letras e símbolos.
- Proibe-se a utilização de datas ou nomes próprios como senha pessoal; ➢ A senha não deverá ser igual às últimas 03 senhas utilizadas.
- As senhas não deverão ficar anotadas na estação de trabalho, em post its ou blocos de notas;
b.3) Equipamentos e Mídias Removíveis;
- Os equipamentos e mídias removíveis devem ser utilizados somente no interesse da COOPANEST BA, sendo vedada a utilização para fins pessoais.
- Para garantir a segurança dos dados contidos em cada equipamento, os computadores terão que ser programados para bloquear automaticamente a tela quando ficarem por 2 (dois) minutos sem movimentação.
- É proibida a utilização de periféricos nas máquinas, a exemplo de pendrives e HD externo, sem comunicação ao Encarregado de Dados, que comunicará os cuidados necessários a serem tomados;
- O antivírus deve ser atualizado com periodicidade mínima de 30 (trinta) dias;
- Os softwares deverão ser atualizados, devendo os colaboradores alertarem quanto à necessidade de atualização.
- É proibida a utilização de softwares sem a respectiva licença;
- Não serão permitidos os acessos a softwares peer-to-peer (quando não há servidor que armazene os dados para download, a exemplo do BitTorrent, μtorrent e afins);
- É proibido deferir acesso remoto aos equipamentos da organização, salvo para fins de manutenção, hipótese em que o acesso será obrigatoriamente acompanhado, em tempo real, pelo respectivo colaborador.
- Os Encarregados de Dados deverão diligenciar meios de registro de todos os
acessos via acesso remoto;
b.4) e-mails;
- O e-mail corporativo deve ser utilizado exclusivamente no interesse da organização.
- E-mails suspeitos não devem ser abertos, mesmo que tenham sido enviados por destinatários conhecidos;
- É proibido abrir arquivos com origens desconhecidas anexados a mensagens eletrônicas;
- É proibida a utilização de e-mails pessoais do tipo POP3 nas máquinas da COOPANEST BA.
- Não será admitida, sob qualquer hipótese, a manutenção ou arquivamento de mensagens de conteúdo ofensivo, discriminatório, pornográfico ou vexatório, sendo a responsabilidade apurada de forma específica em relação ao destinatário da mensagem.
b.5) Celular Corporativo;
- O celular corporativo deve ser utilizado exclusivamente no interesse da organização.
- É proibido emprestar o celular corporativo para pessoas não autorizadas;
- É proibido tratar dados pessoais obtidos em razão da função na COOPANEST
BA em celulares particulares (não corporativos);
b.6) Acesso à internet;
- Pessoas externas à organização somente poderão acessar a rede de visitantes.
- É vedado o acesso a sites não ligados com a finalidade da organização.
- Equipamentos pessoais não deverão ser conectados na rede a cabo da organização.
b.7) Equipamentos Pessoais
- O encarregado de dados fará o cadastro e homologação de todos os equipamentos pessoais que forem utilizados no interesse da organização.
- O equipamento pessoal, para que seja autorizada a sua utilização para fins corporativos, precisa estar em cumprimento às determinações contidas no item b.3 desta PSI, principalmente no que diz respeito à necessidade de antivírus.
- O equipamento pessoal utilizado para tratamento de dados pessoais não poderá conter nenhum programa que coloque em risco a integridade das informações, bem como não poderá ser emprestado para terceiros.
b.6) Documentos Físicos;
- Pela exposição maior ao extravio, recomenda-se primar pelo arquivamento de informações em formato digital – atendendo-se, neste sentido, todas as recomendações para que se mantenha sua segurança e integridade.
- Caso seja necessário arquivar documentos em formato físico, deverão ser cumpridas as seguintes rotinas:
O documento não deve ficar exposto, sobre a mesa ou em
gavetas que não estejam fechadas;
Os documentos devem sempre ser mantidos sob guarda em
locais com chave ou fechadura digital;
- Os documentos físicos jamais deverão ser descartados sem a devida inutilização/trituração;
- Os documentos físicos que envolvam dados pessoais não devem ser descartados antes do prazo expressamente autorizado pelo titular de dados. Quando sua hipótese de tratamento for legal, os documentos físicos não deverão ser descartados antes do prazo estabelecido pela Lei.
- RESPOSTA A INCIDENTES DE DADOS
- Havendo ameaça ou incidente de segurança da informação (aqui considerado como qualquer comprometimento à infraestrutura da rede), o(a) Encarregado de Dados convocará reunião do Comitê de Dados junto ao suporte técnico necessário, a fim de categorizar o incidente de acordo com:
A categoria da criticidade:
- Risco Baixo: quando não envolver dados pessoais;
- Risco Moderado: quando envolver dados pessoais;
- Risco Alto: quando envolver dados pessoais sensíveis;
Criptografia envolvida nos dados;
Volume de dados pessoais;
- A partir da categorização dos dados envolvidos no incidente, o encarregado de dados da COOPANEST BA deverá imediatamente desenvolver plano de comunicação com os titulares de dados, bem como preencher o documento de Comunicação de Incidente de Segurança, para notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
- O Comitê de Segurança de Dados, em governança e com auxílio do setor técnico, deverá decidir as medidas necessárias para remover as ameaças a fim de restaurar os sistemas que foram afetados.