POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA EMPRESA
FERRAZ | CICARELLI & PASSOLD ADVOGADOS ASSOCIADOS
Juntos fazemos a segurança da nossa empresa

APRESENTAÇÃO

A informação é um ativo cada dia mais valorizado, pois representa um diferencial competitivo de grande importância estratégica para as organizações.

Em uma sociedade na qual as Tecnologias da Informação são rapidamente difundidas, as organizações precisam se estruturar para lidar com questões como integridade, disponibilidade, confidencialidade e valor deste importante ativo.

À medida que as tecnologias da informação se fazem cada vez mais necessárias, a criação e manutenção de uma política que mantenha a informação íntegra, disponível e acessível a quem de direito torna-se imprescindível. A política de Segurança da Informação visa preservar o valor do ativo e diminuir os riscos inerentes ao seu uso.

Nas páginas a seguir serão apresentados diversos itens das Normas de Segurança da Informação, que são os elementos de execução da Política de Segurança da Informação implantada na Instituição.

CONTAS E SENHAS

Uma senha na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.

Todos os usuários de recursos de informação devem conhecer a Política de Segurança da Informação da Instituição no momento de sua contratação (empregados, estagiários e prestadores de serviços).

As contas de acesso dos prestadores de serviços possuirão prazo de validade de acordo com a vigência do contrato de estágio e trabalho com a Instituição.

A inclusão/exclusão de contas de usuário da rede e dos sistemas deve ser solicitadas à equipe de informática, através do coordenador da área (superior imediato do usuário) informando se houve contratação, contratação temporária, suspensão de contrato, afastamento provisório, à disposição etc. Cada coordenador também é responsável por monitorar e informar à equipe de informática os casos de contratações e desligamentos, para que sejam liberados/bloqueados os acessos aos sistemas.

É proibida a conexão de equipamentos não autorizados à rede local da Instituição. Quando necessária, a conexão deve ser autorizada pela equipe de informática. Deverá também, possuir especificações de hardware homologadas e ferramentas que garantam a integridade das informações da Instituição.
Os acessos externos às Redes Corporativas somente serão permitidos a equipamentos Homologados e cadastrados pela equipe de informática.

Ao se afastar da estação de trabalho, o usuário deve encerrar ou bloquear a sessão com “logoff”, evitando que outras pessoas acessemos sistemas com a sua senha.

É proibido o cadastro de contas impessoais, tais como: guest, visitante, backup, operador, super etc. As exceções a esta regra deverão ser avaliadas pelo Diretor ou Coordenador diretamente interessado pela exceção e a equipe de informática.

Não devem ser adotados para senha: datas, nomes próprios, palavras constantes em dicionários e siglas.

É expressamente proibida a divulgação de senha. Em caso de suspeita da perda de sigilo, ela seve ser trocada imediatamente.

 

ACESSO, MANUSEIO E TRANSPORTE DA INFORMAÇÃO

Sigilo e privacidade são duas palavras-chave quando se trata de divulgação de informações.
Uma das consequências da divulgação não autorizada de informação é a perda de oportunidades estratégicas.
O vazamento de algumas informações pode comprometer a imagem da empresa

USO DAS INFORMAÇÕES

Somente pessoal autorizado deve utilizar os recursos de informática, ou seja, o seu uso deve ser limitado aos interesses da organização.

Todo acesso aos recursos de informações da Instituição será controlado e registrado em arquivo de log, assim como o acesso à rede. Em se tratando de informações críticas, o registro do log, se torna obrigatório.

O usuário deve manter sigilo sobre as informações estratégicas e confidencias, de acordo com a norma de classificação das informações.

O usuário é responsável pelas informações armazenadas nos equipamentos de uso exclusivo.
Nos casos de equipamentos de utilização coletiva, a responsabilidade é do coordenador da unidade, ou pessoa por ele designada.

O usuário deve informar ao seu coordenador quando informações ou aplicações críticas forem encontradas sem tratamento de segurança correto. O coordenador deve informar a ocorrência à equipe de informática.

Caso o usuário se ausente da sua estação de trabalho por um período superior a 05 (cinco) minutos, automaticamente é ativada a proteção de tela com senha. O usuário deve encerrar a sua sessão na estação de trabalho ao final do expediente.

A equipe de informática é o responsável pela criação de condições eficientes, seguras e controladas para execução de aplicativos e armazenamento de informações confidenciais ou críticas que estejam sob sua administração.

É expressamente proibida a utilização de recursos de informação não autorizados ou não homologados pela equipe de informática.

As informações críticas e estratégicas devem ser armazenadas nos servidores da Rede Corporativa. As restritas e confidenciais não devem ser armazenadas em diretórios públicos da rede. Deverão ser gravadas no disco privado das redes

Compete ao coordenador informar à equipe de informática ou empresa gestora dos sistemas e banco de dados, o nível de privilégio de acesso e uso que os empregados, estagiários e prestadores de serviços de sua área necessitam, assim como sua exclusão de acesso.

Zelar pelo uso correto das informações sob a guarda dos empregados, estagiários e prestadores de serviços de sua área.

USO DE SOFTWARE/HARDWARE

A utilização de programas, aplicativos e softwares em geral devem ser restritos apenas aos autorizados, homologados e de acordo com a lei. É terminantemente proibido o uso de quaisquer outros programas não homologados ou autorizados pela equipe de informática.

O usuário é o responsável pelo uso de software não autorizados ou não homologados.

O usuário deve sempre acompanhar a realização de manutenção preventiva ou corretiva de um recurso sob sua responsabilidade, quando esta for realizada no ambiente da Instituição.

As redes deverão possuir ferramentas com recursos de segurança incorporados, definidos pela equipe de informática.

A CPU, a memória, o espaço em disco, a placa de rede de servidores e a taxa de link remoto deverão ser constantemente monitorados pela equipe de informática, visando manter a disponibilidade das informações.

CONTROLE DE ACESSO E IDENTIFICAÇÃO

Os acessos do usuário aos recursos de informação são realizados através de sua identificação no ambiente informatizado, por isso é fundamental guardar as senhas em sigilo.

O compartilhamento dos recursos de informação, como unidades USB, diretórios (pastas) de trabalho das estações e outros dispositivos, deve ser evitado e, quando utilizados, o usuário deverá configurar para grupos restritos.

A equipe de informática e a Diretoria Executiva são, respectivamente, os responsáveis por analisar e homologar os treinamentos relacionados a aspectos de Segurança da Informação.

É expressamente proibida

A utilização de recursos de informação que contenham material obsceno, apologia ao fanatismo, qualquer forma de discriminação ou material que, explícita ou implicitamente, refira-se uma conduta imoral.

A posse, o acesso e a divulgação de informação que ameace a integridade física ou moral de outras pessoas ou organizações.

A posse e a utilização indevida de qualquer informação obtida através da rede corporativa.

A cópia não autorizada de software e sistemas adquiridos ou desenvolvidos pela Instituição, sem autorização da Diretoria Executiva.

A utilização, para interesses particulares, de hardware e software adquiridos ou desenvolvidos pela Instituição, bem como qualquer informação sob guarda delas.

A instalação e o uso de softwares não licenciados ou não homologados pela equipe de informática.

DESCARTE DE INFORMAÇÕES

Devem ser removidos da rede os arquivos que não sejam mais necessários ou que não se refiram a assuntos de trabalho. Os arquivos serão mantidos no servidor por um período, de acordo com procedimentos específicos.

O processo de descarte das informações deve ocorrer de forma irrecuperável.

AUDITORIA

Devem ser registradas, para efeito de controle e auditoria, as tentativas de conexões remotas, assim como, o início e o término de acessos à banco de dados, Internet e aplicativos.
Será dado o direito à equipe de informática de realizar auditoria em todos os recursos de informação.
As auditorias poderão também ser realizadas a partir de solicitações do coordenador , através da análise conjunta com a equipe de informática.
Os relatórios de auditoria serão encaminhados para os Coordenadores/Diretoria das respectivas áreas auditadas.

CORREIO ELETRÔNICO

A utilização do correio eletrônico deve ser restrita às atividades de interesse da empresa.

Considerando que o correio eletrônico é um meio de comunicação corporativo e reflete externamente a imagem da empresa, deve ser utilizada uma linguagem formal e deve ser evitado o uso de marcas, símbolos, logomarcas e slogans de campanhas internas, a não ser a logomarca oficial da empresa.

O uso do correio eletrônico através da Internet/intranet é dirigido para empregados, estagiários e prestadores de serviços que, no desempenho de suas atividades, necessitem comunicar-se interna ou externamente.

Mensagens oriundas da Internet que não são de interesse da empresa não devem ser repassadas através do correio eletrônico corporativo. Isso vale para mensagens sobre vírus ou ameaças de segurança que aconselham o repasse das mensagens para outras pessoas. Nestes casos, o usuário deve eliminar a mensagem e jamais repassar internamente na empresa.

CONTAS DE CORREIO E MENSAGENS

As mensagens transmitidas pelo correio eletrônico não devem conter dados e informações confidenciais ou vitais da empresa, a não ser que adequadamente protegidas por senha ou criptografia.

Em hipótese alguma o usuário pode emitir opinião, via correio eletrônico, como se fosse a da empresa, com exceção do órgão de comunicação interna ou corporativa, ou ainda o usuário que esteja formalmente autorizado pelo diretor da área.

É vedado ao usuário do correio eletrônico o envio de mensagens em nome de outra pessoa.

Cada usuário deve ter a sua própria conta de correio eletrônico, não devendo compartilhá-la com outra pessoa.

O nome da conta de correio eletrônico deve obedecer a um padrão definido pela equipe de informática, de maneira que seja identificado o nome e o sobrenome do usuário.

Para as contas de correio eletrônico utilizadas por prestadores de serviço, deverá ser adotado procedimento que diferencie as mensagens enviadas por contratos temporários.

CONTEÚDO

O conteúdo de um correio eletrônico não pode conter mensagens abusivas, imagens obscenas, pornográficas, racistas, constrangedoras, difamatórias ou quaisquer comentários que possam desabonar a imagem da empresa ou de seus clientes.

Não deve circular mensagem que, mesmo compactada, ultrapasse o tamanho de 3 (três) Mb.

Para arquivos que exceda  este tamanho, é recomendável enviar um e-mail aos usuários

envolvidos informando o hiperlink do local específico da rede onde o arquivo pode ser consultado.

Prestadores de serviços, Consultores e Estagiários

Os prestadores de serviços somente devem ter conta de correio eletrônico quando for estritamente necessário, notadamente para a execução de suas atividades, devendo a criação da conta ser autorizada pelo coordenador ao qual o serviço está vinculado.

O coordenador deve solicitar formalmente o acesso ao correio eletrônico para o prestador de serviço, consultor ou estagiário, indicando o término do contrato ou a exclusão do serviço para que seja programado o cancelamento no tempo devido, como também a saída antecipada desses empregados.

Responsabilidades

Toda mensagem criada e armazenada nos computadores ou redes é de propriedade da instituição.

Em caso de uso indevido do correio eletrônico, a equipe de informática, mediante autorização expressa da Diretoria Executiva, reserva-se o direito de acessar o conteúdo dos correios eletrônicos dos empregados envolvidos.

Facilidade de identificação: o destinatário deve identificar rapidamente quem é o autor da mensagem e sobre o que ela trata.

É de responsabilidade do usuário informar à equipe de informática mudanças cadastrais em caso de transferência de órgão e realizar as alterações no seu livro de endereço.

Não é permitido o compartilhamento de senhas. Em caso de perda de sigilo, a troca da mesma deve ser de responsabilidade do usuário.

No caso do Outlook, as contas de correio devem ser configuradas para armazenamento nas estações, nunca no servidor.

É vedado ao usuário o direito de passar mensagens para toda empresa, evitando-se, assim, o congestionamento no tráfico de mensagens da rede, bem como a redução do número de mensagens nas caixas dos usuários. Mensagens com esta característica devem ser divulgadas pelo órgão de comunicação interna.

O usuário deve certificar-se de que seu procedimento esteja sempre de acordo com os padrões éticos e profissionais quando da utilização do serviço de correio eletrônico, uma vez que os funcionários da Instituição são identificados através do endereço xxx@fcpadvogados.com.br, as mensagens são consideradas correspondências oficiais.

Todas as comunicações em fóruns profissionais devem estar de acordo com o copyright ou outras leis de propriedade intelectual.

São expressamente proibidas as seguintes atividades com pena de demissão sumaria por justa causa:

Transmissão de informações que impliquem em violação de quaisquer leis que tratem do tema de proteção de dados pessoais ou constituam incitamento de qualquer crime; Violação de direitos autorais, particularmente sobre software, dados e publicações; posse e divulgação de informações que ameacem a integridade física ou moral de outras pessoas ou organizações; posse e utilização indevida de qualquer informação obtida através da rede corporativa, seja por qualquer meio ou finalidade.

INTERNET

A internet é considerada aplicações críticas, devendo ser utilizadas de forma racional.
A utilização da internet deve ser liberada pela equipe de informática, que deverá prover a utilização de meios que objetivem minimizar os riscos e vulnerabilidades inerentes à segurança.
A Instituição se reserva o direito de supervisionar uso de todos os seus serviços de computação, pois o acesso à internet é oferecido pela Instituição para condução das atividades do negócio e auxílio no dia a dia das atividades profissionais, devendo ser utilizada de maneira eficaz e proativa.
O acesso à internet só será permitido aos sites liberados e autorizados pela Instituição, de acordo com a norma, e será monitorado pela equipe de informática.
A Instituição se reserva o direito de bloquear, sem aviso prévio, o acesso a sites cujo conteúdo não seja do seu interesse.
O usuário deve notificar à equipe de informática caso encontre uma informação errada a respeito da Instituição ou de seus produtos na internet ou em qualquer outro fórum público.
Não é permitido utilizar os mesmos pares de login e senha da rede da Instituição para cadastrar-se em serviços providos na internet, ou seja, todos os identificadores e senhas para acesso aos sites da internet que requeiram registro de usuário (gratuitamente ou não) devem ser
diferentes dos usados na Instituição.

O uso de internet deve ser apenas através da arquitetura segura definida pela equipe de informática, utilizando-se de recursos firewall (software que serve como parede de proteção contra invasões externas à rede local).
Em caso de que o colaborador ignore as políticas de segurança será comunicado primeiramente o coordenador imediato da equipe, caso não surta efeitos positivos e desejados será repassado para o diretor da área, que tomará as sanções administrativas previstas nas normas internas.

SEGURANÇA FÍSICA DAS ESTAÇÕES

São máquinas para uso interno dos funcionários. Nestas máquinas, as principais medidas de segurança a serem tomadas são no intuito de evitar o acesso dos usuários não habilitados a áreas sensíveis do sistema.

Os equipamentos de informática terão identificação própria de inventário em local visível e não removível, onde, com base nesta identificação, será efetuado o controle de entrada e saída ou transferência do respectivo ativo.

A exclusão de informações consideradas críticas e confidenciais deve ser feita de modo a impossibilitar a recuperação delas.

Caso seja necessária a remoção do equipamento para manutenção em ambiente externo, o responsável pelo seu uso deve certificar-se de que este está sendo entregue isento de informações de natureza crítica, sigilosa ou reservada.

O uso de hardware deve ser restrito apenas aos autorizados e homologados.

A equipe de informática deve avaliar a obsolescência dos equipamentos e planejar sua substituição.

A aquisição de hardware deve ser aprovada e gerenciada pela equipe de informática.

Para garantir a infraestrutura do ambiente de TI (Tecnologia da Informação) da Instituição, é indispensável que a instalação de recursos obedeça ao controle de segurança física quanto à localização, ao cabeamento, ao controle de temperatura, à rede elétrica, ao combate a incêndio, ao cumprimento dos patrões de segurança do trabalho, às normas técnicas vigentes e recomendações dos provedores dos recursos.

A equipe de informática é responsável pelo inventário e controle dos recursos de tecnologia da informação na Instituição.

A entrada e saída de equipamentos de informática na Instituição devem seguir a norma patrimonial em vigor;

Os equipamentos portáteis de propriedade da Instituição deverão ser identificados de forma legível e não removível. Deverão, também, ser acondicionados e transportados de maneira apropriada; as permissões de acessos à rede corporativa e às estações de trabalho, bem como às utilizações de software para aplicações específicas, serão concedidas de acordo com a atividade do usuário. No caso de transferência dele, para outra área, as condições de acesso deverão ser reavaliadas;

É expressamente proibido se alimentar próximo aos equipamentos de disponibilizados pelo escritório para desenvolvimento das tarefas e atribuições do dia a dia.

A equipe de informática é o responsável pela instalação de novos aplicativos/sistemas e pela alteração da configuração das estações de trabalho; O usuário é o responsável pelo uso de software não autorizado ou não homologado;

CONTROLE DE VÍRUS

As estações de trabalho devem possuir software antivírus padrão instalado, configurado e ativado pela equipe de informática.

Toda estação deve utilizar somente antivírus homologado pela equipe de informática, cabendo ao usuário verificar se ele está ativo e atualizado.

O usuário deve informar imediatamente à equipe de informática qualquer suspeita de contaminação por vírus de computador.

Os usuários jamais devem encaminhar alerta de vírus recebidos por e-mail para grupos de pessoas, uma vez que muitos alertas são os próprios vírus. Estas mensagens devem ser encaminhadas para a equipe de informática que investigará a veracidade da nota comunicará a toda a empresa.

O Departamento de Informática deve disponibilizar a versão mais recente do antivírus para instalação nas estações e nos servidores de rede.

Cuidados básicos para evitar contaminação de vírus no seu computador:

Não abrir e-mail quando não identificado/reconhecido o remetente, pois, quem enviou, pode ser um vírus ou SPAM;

Não instalar nada que não tenha certeza da origem, a exemplo de brindes. Nove em cada dez são vírus de acesso remoto. Na observância de dados suspeitos em um arquivo ou comportamento estranho da estação de trabalho, o usuário deverá passar um antivírus.

ACESSO DE PRESTADORES DE SERVIÇOS

Todo prestador de serviço deverá preencher o Cadastro de Terceiros, para ter acesso à rede e sistemas da Instituição;

O prestador de serviço deverá ter acesso apenas aos dados relacionados com a atividade contratada.

Equipamentos de terceiros, deverão ser configurados no padrão de estações, definido para a Instituição, antes de ser conectado na rede interna;

O coordenador do contrato será também o responsável pela manutenção dos aspectos de segurança das informações manuseadas por eles. O coordenador do contrato será responsável por dar ciência aos prestadores de serviços contratados sobre a Política de Segurança da Instituição e, em alguns casos, obter junto ao contratado a assinatura de um termo de sigilo e responsabilidade, principalmente quando a natureza do serviço prestado por este envolver diretamente recursos de informática e/ou informações vitais e críticas da Instituição.

O coordenador deve informar à equipe de informática, ou órgãos gestores dos sistemas e bancos de dados, a necessidade de inclusão e exclusão do acesso do prestador de serviço.

O coordenador deve zelar pelo uso correto das informações sob aguarda dos prestadores de serviços de sua área.

Os prestadores de serviços devem ter identificação diferenciada dos empregados, gerada pelo Sistema de Cadastro de Terceiros, com prazo de validade determinado pelo coordenador ou de acordo com o contrato estabelecido.

Os perfis de acesso à rede corporativa devem ser indicados pelo coordenador do contrato e homologados pelo órgão proprietário da informação ou custo diante o acesso externo para utilização dos recursos da rede deverá ser avaliado pela equipe de informática. No caso de consultores e prestadores de serviços, será necessária a autorização prévia do Departamento ao qual ele esteja prestando serviço.

Não é permitido o uso de equipamentos de prestadores de serviços nas instalações da Instituição com acesso à rede corporativa delas.

Em caso de força maior, a equipe de informática deve ser acionada para formatação da máquina e configuração com os softwares autorizados e homologados.

ACESSO REMOTO

Quando do recebimento do computador portátil, os executivos e empregados deverão assinar o Termo de Custódia, contendo os direitos e deveres quanto à utilização, posse e guarda desses equipamentos.

Estes equipamentos devem ser utilizados única e exclusivamente para execução das atividades relacionadas à empresa.

O acesso remoto é feito em um servidor destinado apenas para essa finalidade, servidor esse que é monitorado constantemente, pois para acessar, terá que solicitar à equipe de informática uma chave de acesso, sendo apenas assim possível acessar a nossa plataforma pela VPN.

O acesso remoto também tem informações limitadas, evitando qualquer tipo de vazamento, e é bloqueado o tempo de acesso, limitando-se ao horário comercial da empresa, fazendo com que sempre seja monitorado, e evitando livre acesso.

O usuário é o responsável pelo uso de software não autorizado ou não homologado, instalado no equipamento.

Todas as informações armazenadas no equipamento serão de propriedade da Instituição, não devendo, em hipótese alguma, ser distribuídas, copiadas, compartilhadas ou vendidas para quem quer que seja, em qualquer meio, seja impresso, magnético ou transcrito.

Em caso de auditoria, a Instituição reservar-se-á o direito de supervisionar todos os dados transmitidos/recebidos a partir destes equipamentos, não caracterizando quebra de sigilo, uma vez que os recursos colocados à disposição são de propriedade dela.

Em caso de falha em qualquer dispositivo do equipamento em questão, o usuário não deverá procurar assistência técnica ou fazer qualquer substituição de componentes (baterias, carregadores, antenas etc.) sem a autorização prévia da equipe de Informática.

A utilização de equipamentos portáteis/transportáveis tem o objetivo de facilitar o trabalho de usuários que passam grande parte do tempo em locais fora da Instituição ( Diretores, Coordenadores, administradores de sistemas, áreas técnicas específicas e situações especiais de sobreaviso).

Em caso de roubo, furto, perda total ou parcial do equipamento recebido, o usuário deverá comunicar imediatamente a sua gerência e à equipe de informática. Caso o sinistro tenha ocorrido fora das dependências da empresa, deverá ser providenciado o registro de ocorrência junto à autoridade policial legal.

SALA DE BACKUP

O acesso ao CPD deve ser exclusivamente para pessoas cadastradas\autorizadas as portas de acesso ao CPD devem estar permanentemente trancadas e o uso de câmaras são utilizadas;

Não devem ser armazenados materiais inflamáveis na sala do CPD;

Por medida de segurança, é expressamente proibida a entrada de funcionários e terceiros, que não tenham autorização expressa, na sala do CPD da Instituição. Os funcionários autorizados a acessar as referidas salas devem ser cadastrados no Sistema de Controle de acesso.

Caso seja necessária a entrada de alguma pessoa não cadastrada no Sistema, a mesma deverá ser autorizada pela equipe de informática. Ao entrar na sala, deverá assinar o “Livro de Controle de Acesso”, que fica localizado no seu interior. Neste livro, deverão constar, no mínimo, os seguintes campos: Nome, Registro funcional (para funcionários) ou RG (para não funcionários), Empresa, Data, Hora da entrada, Hora da saída, Motivo, Assinatura do visitante, Assinatura do funcionário acompanhante.

É expressamente proibida a permanência de pessoas não cadastradas na sala do CPD fora do horário de expediente. Caso haja a necessidade desta permanência, a visita deverá ser previamente agendada.

É terminantemente proibida a estocagem, mesmo que por um período curto, de qualquer material ou equipamento que não esteja relacionado com a operação das salas em questão.

É proibida a entrada de alimentos, bebidas, líquidos inflamáveis ou não é materiais que produzam pulsos eletromagnéticos (ímãs e similares) na sala do CPD.

Caso haja a necessidade da retirada de qualquer informação dos servidores, só poderá ser realizada após a autorização formal do proprietário/gestor da informação.

OBRAS

Qualquer obra deverá ser previamente acordada para que os riscos com a operação do CPD sejam avaliados e, só depois, seja decidida a paralisação ou não do mesmo; em casos de execução de obras, os equipamentos deverão estar totalmente protegidos dos riscos provenientes dela;

A obra deverá ter um acompanhamento de um responsável pela área de TI e um outro pela área de manutenção.

No caso de desaparecimento ou dano causado a algum equipamento, por negligência ou não cumprimento da norma, por parte de algum empregado, estagiário ou prestador de serviço, este será responsabilizado e estará sujeito a sanções administrativas.

A Planilha de Inventário deverá ser imediatamente atualizada pelo pessoal autorizado, quando da colocação ou retirada de qualquer material da sala de guarda de materiais, equipamentos e backup.

SEGURANÇA FÍSICA & LÓGICA DOS SERVIDORES

O usuário deve informar ao seu coordenador quando informações ou aplicações críticas forem encontradas sem tratamento de segurança correto. Este deve informar a ocorrência à equipe de informática.

Os equipamentos "servidores" terão identificação própria de inventário em local visível e não removível, onde, com base nesta identificação, será efetuado o controle de entrada e saída ou transferência do respectivo ativo.

MOVIMENTAÇÃO

A movimentação de servidores é restrita à equipe de informática. É proibido se alimentar e fumar próximo aos servidores ou áreas consideradas críticas, a fim de evitar incidentes que venham causar danos indesejáveis.

Todos os servidores, roteadores e demais equipamentos da rede devem possuir data e hora oficiais atualizadas e sincronizadas.

Devem ser removidos dos servidores da rede, os arquivos que não sejam mais necessários ou que não se refiram a assuntos de trabalho, a fim de ser liberado espaço em disco.

O acesso para administração de sistemas e banco de dados em servidores deve ser permitido somente para pessoas autorizadas e através de estações homologadas, com autorização de acesso configurada pela equipe de informática.

A integridade física de servidores de rede e de equipamentos de comunicação (modem, roteador, switch etc.) é fator primordial para a continuidade dos serviços. Para sua segurança, tais recursos deverão ser instalados em ambiente especial, reservado e exclusivo, com acesso restrito e controlado.

O pessoal de apoio de serviços gerais deve ter acesso aos ambientes de processamento e comunicação (modem, roteador, switch etc.) somente com autorização e em horário previamente determinado. Além disso, deverá ser acompanhado por um responsável durante sua permanência no referido local.

As áreas de equipamentos críticos da rede corporativa da Instituição devem ser de acesso restrito às pessoas autorizadas ou acompanhadas por estas.

Apenas os administradores de rede, operadores e técnicos autorizados deverão possuir senhas para acesso aos servidores.

Todos os servidores devem possuir sistema operacional, sistema de backup e antivírus homologados pela equipe de informática.

BACKUP & PLANO DE CONTINGÊNCIA

As informações importantes relacionadas às atividades de trabalho na Instituição devem ser armazenadas no servidor da rede, de forma que seja realizado backup delas.

Os usuários poderão solicitar à equipe de informática, através do Suporte ao Usuário, a restauração dos dados mediante a autorização do proprietário dos referidos.

O backup das informações existentes nas estações de trabalho é de total responsabilidade do usuário; que deverá se necessário solicitar a equipe de informática o backup dele.

O gestor da informação deve estabelecer um acordo com a equipe de informática, durante a fase de desenvolvimento, para recuperação de backup em caso de falha. Este acordo deve contemplar caracterização de criticidade de informação e tempo máximo para a disponibilização dela, assim como a periodicidade, o tempo de retenção das mídias e o tipo de backup.

É responsabilidade da equipe de informática operacionalizar o backup, garantindo a integridade do mesmo por meio de testes periódicos e disponibilizar para usuários a lista atualizada dos seus servidores, discos e pastas que são contempladas pelo backup.

A equipe de informática deve manter atualizados os procedimentos dos planos de contingência junto com e nas reuniões da CERT FCP.

Todos os recursos a serem disponibilizados em produção devem ser inventariados e previamente homologados em ambiente de teste.

A disponibilidade de recursos críticos deve estar assegurada pela existência de um plano de contingência.

Os equipamentos devem ser submetidos a uma rotina de manutenção preventiva. Os equipamentos e aplicações envolvidos em processos críticos de produção têm prioridade no atendimento.

ADEQUAÇÃO COM A LGPD

Com o advento da lei de proteção de dados pessoais a nossa instituição se adequou para preencher os requisitos da lei, foi designado e criado um setor para tratar os assuntos ligados aos dados pessoais.

Os tratamentos dos dados pessoais são encaminhados pelos nossos clientes, e enriquecido com informações públicas, para facilitar na finalidade de entregar o melhor serviço para os nossos clientes.

Todos os dados pessoais tratados são cuidadosamente pensados para que o armazenamento em nossos servidores sejam o mais seguro possível, os colaboradores que têm acesso aos dados são controlados com IP fixo em computadores, usuários e senhas únicos.

Nossa base jurídica é alimentada com informações processuais publicas e de acesso de todos, mas mesmo que o processo não tramite em segredo de justiça, tomamos todos os cuidados para que tenha a mesma segurança de todos os dados pessoais, evitando a qualquer custo o vazamento de dados.

O prazo de armazenamento dos dados na nossa base de dados é determinado pelo cliente, pois nossa base de dados é fornecida por nossos clientes, e assim que se encerra o contrato ou se tem total satisfação na prestação do serviço, é apagado da nossa base de dados todas as informações tratadas no decorrer do processo.

O compartilhamento de dados pessoais com terceiros não é feito de forma alguma, único compartilhamento que está previsto para ser realizado é com o cliente que contratou o serviço da Ferraz | Cicarelli & Passold Advogados Associados, todas as demais informações obtidas em consultas publicas não são repassadas para nenhum terceiro.

O tratamento dos dados se dá pelo legitimo interesse, garantindo que as atividades desenvolvidas internamente sejam feitas da melhor forma com a prestação de serviço e com a proteção em relação ao titular do dado.

Todos as informações acima são complementos da Política de Segurança da Informação da Empresa Ferraz | Cicarelli & Passold Advogados Associados e devem ser cumpridas.

O ESCRITÓRIO TEM COMO SÓCIOS-titulares ADVOGADOS ESPECIALIZADOS em diversas áreas


conheça a equipe