SUMÁRIO
Título: MANUAL DE GESTÃO DE RISCOS, CONTROLES INTERNOS, SEGURANÇA, POLÍTICAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO | Nº.: M(LGPD)01 | |
Data: 01/08/2021 | ||
Contrato/Unidade/Seção: CORPORATIVO | Página: 1 de 18 | |
INDICE DE REVISÕES | ||
Revisão | DESCRIÇÃO DAS ALTERAÇÕES E/OU PÁGINAS ALTERADAS | |
0 | Primeira edição do manual. | |
1 | Revisão dos parâmetros de segurança, com revisão geral do documento e atualização dos itens 11, 17 e 18. | |
Revisão | REV. 0 | REV. 01 |
Data | 01/03/2021 | 01/08/2021 |
Elaboração | Xxxxx Xxxxxx | Xxxxx Xxxxxx, Xxxxxxx Xxxxxxxx, Xxxxxxx Xxxxx |
Aprovação | Neuda Rodrigues | Xxxxx Xxxxxxxxx |
SUMÁRIO
5.5Encarregado de proteção de dados 9
6.1Equipe de segurança da informação 9
10.CÓPIAS DE SEGURANÇA – BACKUP 11
11.GERENCIAMENTO DE CONTAS E ACESSOS 11
11.1Responsabilidades do departamento de TI 11
12.1Aplicabilidade da política 12
12.2Configuração de software 13
13.PLANO E PROCEDIMENTO DE RESPOSTA A INCIDENTES 13
15.DISASTER RECOVERY - RECUPERAÇÃO DAS ATIVIDADES ÁLAMO 14
17.REQUISITOS DE SEGURANÇA DA INFORMAÇÃO 16
18.POLÍTICA DE BYOD – “BRING YOUR OWN DEVICE” 17
1. OBJETIVO
Este documento explica os requisitos de segurança da informação da ÁLAMO ENGENHARIA S/A para todos os colaboradores. As políticas de segurança adotadas pela ÁLAMO ENGENHARIA S/A visam a proteção das informações utilizadas no atingimento das metas comerciais. Todos os colaboradores devem observar as políticas descritas neste documento e as políticas de LGPD associadas.
2. ABRANGÊNCIA
Este documento é propriedade da ÁLAMO ENGENHARIA S/A e contém informações proprietárias, confidenciais e restritas à divulgação. Caso você não esteja autorizado a recebê-lo, favor devolver este documento ao proprietário supracitado. A disseminação, distribuição, reprodução ou utilização total ou parcial deste documento por qualquer terceiro além da pessoa a quem ele se destina, sem a prévia autorização por escrito da XXXXX ENGENHARIA S/A, está estritamente proibida.
Todos os colaboradores, incluindo prestadores de serviço e terceiros, que utilizam, mantêm ou lidam com ativos de informação da ÁLAMO ENGENHARIA S/A devem seguir esta política. Exceções da política serão permitidas somente quando aprovadas antecipadamente.
3. DOCUMENTOS ASSOCIADOS
• Código de Ética e Conduta da ÁLAMO ENGENHARIA S/A;
• Lei N° 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados;
• F(LGPD)01 - Termo de Consentimento de Dados Pessoais;
• F(LGPD)02 - Termo de Confidencialidade Geral LGPD;
• F(LGPD)03 - Notificação de Incidente de Segurança;
• P(LGPD)01 - Política de Privacidade Para Colaboradores ÁLAMO;
• P(LGPD)02 - Política de Privacidade Para Clientes LGPD ÁLAMO;
• P(LGPD)03 - Política de Privacidade e Dados Pessoais (Recrutamento);
• P(LGPD)04 - Política de Uso dos Recursos de Tecnologia da Informação ÁLAMO;
• P(LGPD)05 - Política de Privacidade do Departamento de Recursos Humanos.
• P(LGPD)06 - Política de Cookies ÁLAMO;
• R(LGPD)01 - Relatório de Impacto à Proteção de Dados Pessoais ÁLAMO;
• I(TI)001 - Procedimento de Backup da Matriz;
• I(TI)002 - Procedimento de Backup dos Contratos.
4. DEFINIÇÕES
Colaboradores: Para efeito desta Política, entende-se por colaboradores as seguintes condições, não excluindo outras possibilidades que também possam ter acesso aos sistemas da ÁLAMO ENGENHARIA S/A: empregados, terceiros, administradores, sócios, funcionários, prestadores de serviço, dentre outras formas de colaboração com a ÁLAMO ENGENHARIA S/A.
Dados Pessoais: Qualquer informação relacionada a pessoa natural identificada ou identificável (titular dos dados), de qualquer natureza e independentemente do respetivo suporte. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.
Dados Pessoais Sensíveis: Dados sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.
Encarregado da proteção de dados (Data Protection Officer – “DPO”): Xxxxxx indicada pela ÁLAMO ENGENHARIA S/A para ser responsável pela integridade dos dados pessoais e para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
LGPD: Sigla para Lei Geral de Proteção de Dados. Refere-se à lei N° 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica.
Terceiro: Pessoa singular ou coletiva, serviço ou organismo que não seja o titular dos dados, o Controlador, o Operador e as pessoas que, sob a autoridade direta do Controlador ou do Operador, estão autorizadas a tratar os dados pessoais.
Violação de dados pessoais: Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizado, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
5. RESPONSABILIDADES
As diretrizes descritas neste documento devem ser observadas e cumpridas, no nível e abrangência aplicáveis e adequados, por todos os colaboradores da ÁLAMO ENGENHARIA S/A.
Abaixo são descritas as responsabilidades de cada parte interessada presente na Política. Outros direcionamentos específicos são mencionados em outros capítulos desta política.
5.1 ÁLAMO ENGENHARIA S/A.
• Preservar o direito à privacidade de usuários, dentro dos limites impostos por suas políticas internas e pela LGPD;
• Aplicar mecanismos de controle e proteção aos dados pessoais de seus usuários;
• Utilizar das melhores práticas para a coleta de dados de seus usuários;
• Não utilizar os dados pessoais para quaisquer fins que não os concedidos por seus usuários;
• Disponibilizar a seus colaboradores o presente manual para conhecimento de seus direitos e deveres;
• Disponibilizar canais para acesso dos usuários a informações sobre seus dados pessoais.
5.2 Segurança da informação
• Tomar decisões pertinentes às Políticas de Segurança da Informação e seu conteúdo;
• Aprovar, antecipadamente, exceções a estas políticas com base em análise caso-a-caso;
• Rever anualmente as políticas e procedimentos de segurança da informação para manter a adequação face às emergentes necessidades de negócio ou ameaças à segurança;
• Consultar anualmente as demais áreas de negócios e verificar a segurança de cada uma delas.
• Aplicação das políticas e procedimentos de segurança da informação de acordo com sua aplicabilidade a todos os ativos de informação;
• Administração das contas de usuários e gerenciamento de autenticação;
• Criar políticas e procedimentos de segurança da informação quando necessário;
• Manter e atualizar Políticas e procedimentos de segurança da informação existentes;
• Rever anualmente as políticas e auxiliar a administração com o processo de aprovação;
• Agir como uma área central de coordenação para implantação das políticas de Segurança da Informação;
• Xxxxx, manter e distribuir procedimentos de resposta a incidentes;
• Disponibilizar uma pasta da rede para uso de documentos compartilhados por diferentes áreas/departamentos;
• Designar controles de acesso a informações através de perfis de usuários.
5.3 Recursos humanos
• Auxiliar a área de TI com a disseminação da presente política a todos os usuários de sistema relevantes, incluindo colaboradores, prestadores de serviço e parceiros de negócio;
• Realizar verificações de antecedentes de potenciais colaboradores que terão acesso aos dados pessoais. Quando possível e, dentro das condições previstas pela legislação, as verificações devem incluir: histórico de empregos anteriores, verificação de antecedentes criminais, verificações de crédito e análise de referências pessoais;
• Certificar-se que colaboradores participem do treinamento de conscientização sobre segurança de informação após a contratação (através da cartilha e documentação específica para esse fim) e sempre que houverem atualizações, além de reciclagem periódica;
• Trabalhar com o TI, Encarregado de Dados e Comitê de LGPD da ÁLAMO ENGENHARIA S/A para administrar sanções e ações disciplinares referentes a violações da presente política e das políticas de LGPD da ÁLAMO ENGENHARIA S/A;
• Notificar a equipe de TI da ÁLAMO ENGENHARIA S/A quando qualquer colaborador for desligado.
5.4 Colaboradores
• Realizar a leitura da presente política da ÁLAMO ENGENHARIA S/A;
• Não realizar o consentimento de dados pessoais ou fazer uso de tecnologias da ÁLAMO ENGENHARIA S/A sob dúvidas ou pressão de quaisquer partes;
• Informar sobre pontos de discordância com relação a informações contidas na presente Política;
• Consentir seus dados pessoais apenas caso tenha completa ciência do uso e destinação de seus dados.
• Informar ao departamento de TI ou ao Encarregado de Dados da ÁLAMO ENGENHARIA S/A sobre questões de segurança da informação e
vulnerabilidades aplicáveis aos sistemas da ÁLAMO ENGENHARIA S/A utilizando o documento F(LGPD)03 - Notificação de Incidente de Segurança (NISI);
• Não acessar sites, sistemas ou arquivos sem a devida autorização, além de atentar-se a legitimidade e segurança do acesso realizado;
• Não realizar downloads através de tecnologia da ÁLAMO ENGENHARIA S/A sem autorização expressa;
• Zelar pela privacidade e segurança dos dados pessoais próprios e de outrem que porventura tenham acesso, cumprindo com os requisitos de segurança da ÁLAMO ENGENHARIA S/A, incluindo as diretrizes deste manual.
• Não realizar tentativas de burlar os sistemas de informação fornecidos pela ÁLAMO ENGENHARIA S/A para qualquer alteração, seja em celulares, computadores ou quaisquer outros itens de comunicação;
• Estar ciente de que ações que coloquem em risco o patrimônio da empresa, incluindo dados, informações e equipamentos (como celulares, computadores e outros) estarão sujeitas a advertência, suspensão e posterior demissão;
• Comunicar ao gestor direto ou responsável da equipe sempre que identificar problemas em equipamentos fornecidos pela ÁLAMO ENGENHARIA S/A;
• Estar cientes que as ferramentas fornecidas pela empresa devem ser utilizadas exclusivamente para o trabalho diário e não para uso pessoal;
• Entender as consequências de suas ações relacionadas às práticas de segurança computacional e agir de forma condizente. Aceitar que a filosofia de que “Segurança é responsabilidade de todos" para auxiliar a ÁLAMO ENGENHARIA S/A no atingimento de seus objetivos comerciais;
• Manter a conscientização sobre o conteúdo das políticas de Segurança da Informação da ÁLAMO ENGENHARIA S/A e atentar-se a atualizações e alterações;
• Atender integralmente essa política e as políticas e documentos de LGPD da ÁLAMO ENGENHARIA S/A.
5.5 Encarregado de proteção de dados
• Estar disponível e dar suporte aos usuários quanto a dúvidas relacionadas ao presente manual e as políticas e documentos de LGPD da ÁLAMO ENGENHARIA S/A;
• Coordenar, anualmente, uma verificação de risco formal para identificar novas ameaças e vulnerabilidades e identificar controles apropriados para minimizar qualquer novo risco;
• Manter a Política atualizada e disponível no site da ÁLAMO ENGENHARIA S/A para acesso de todos os usuários;
• Verificar a adequação da Política e seus documentos associados a diretrizes da LGPD;
• Auditar e acompanhar processos de uso e coleta de dados, confirmando a correta utilização da Política;
• Atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
6. Segurança da informação
A proteção bem-sucedida dos sistemas da ÁLAMO ENGENHARIA requer que vários departamentos e grupos sigam consistentemente uma visão compartilhada de segurança. A Segurança da Informação trabalha com os gerentes, administradores e usuários de sistemas dos departamentos no desenvolvimento de políticas, normas e procedimentos de segurança para ajudar na proteção dos ativos da ÁLAMO ENGENHARIA S/A. A Segurança da Informação é um comitê dedicado ao planejamento, educação e conscientização sobre segurança.
6.1Equipe de segurança da informação
A equipe de Segurança de Informação é um comitê formado por membros de diversas áreas da empresa (Jurídico, RH, TI e Certificações), comandado pelo Encarregado de Dados - Data Protection Officer (DPO) da ÁLAMO ENGENHARIA S/A. A equipe de Segurança da Informação é responsável por coordenar e
supervisionar o cumprimento das políticas e procedimentos em toda a ÁLAMO ENGENHARIA S/A no que se refere à confidencialidade, integridade e segurança de seus ativos de informação. O DPO deve aplicar as políticas definidas, identificar áreas de preocupação e implantar as mudanças apropriadas de acordo com as necessidades.
7. ACESSO AS INFORMAÇÕES
Toda informação confidencial ou sensível poderá ser protegida por controles de acesso na tentativa de assegurar que não seja divulgada, modificada, apagada ou inutilizada indevidamente. Os colaboradores são autorizados a visualizar informações com base em seu perfil de acesso, determinado por seus gestores, que solicitará ao departamento de TI a criação do usuário com a informação das pastas e informações ao qual o colaborador deverá acessar.
O acesso aos sistemas da ÁLAMO ENGENHARIA S/A são configurados para negar acesso a tudo além daquilo que um usuário específico necessite ter acesso no desempenho de sua função profissional, determinado por seu gestor. O acesso a sistemas ou aplicativos contendo informações confidenciais, sensíveis ou privadas deve observar o processo de solicitação de acesso às informações.
Quando da necessidade de acessar informações pertencentes a outra área, caberá ao gestor responsável pelo colaborador solicitar ao departamento de TI, que irá intermediar a aprovação do acesso junto ao gestor responsável pela área com a informação a se acessada.
8. AUTENTICAÇÃO DE USUÁRIO
Cada usuário deve utilizar um ID de usuário único e uma senha secreta pessoal para acessar os sistemas e redes de informação da ÁLAMO ENGENHARIA S/A. É proibida a utilização de IDs de usuários não autenticados (ex. sem senha) ou a utilização de IDs que não estejam associados a um usuário único. Os privilégios de acesso de cada usuário devem ser autorizados de acordo com a necessidade de negócio, restritos ao mínimo de privilégios necessários para a execução de suas tarefas e concedidos com
base na classificação e função desempenhada. Todos os sistemas de acesso são configurados de forma a negar qualquer acesso não autenticado (deny-all).
9. SISTEMAS
Todo sistema informatizado possuem um processo de controle de acesso automático ou procedural para autenticar todos os usuários do sistema informático. O processo obedece ao estabelecido nas Políticas de Privacidade publicadas pela ÁLAMO ENGENHARIA S/A e atualizadas periodicamente, sempre que necessário.
O compartilhamento de senha poderá implicar em desativação do usuário em questão.
10. CÓPIAS DE SEGURANÇA – BACKUP
Os backups realizados na da ÁLAMO ENGENHARIA S/A ocorre em rotinas diárias, onde o horário de execução vai de 18:00 até às 23:59, conforme descrito nos procedimentos I(TI)001 - Procedimento de Backup da Matriz e I(TI)002 - Procedimento de Backup dos Contratos.
11. GERENCIAMENTO DE CONTAS E ACESSOS
11.1 Responsabilidades do departamento de TI
O departamento de TI disponibilizará, após a autorização informada pelo gestor e com base na classificação da atividade e função do colaborador, os acessos do usuário. O departamento de TI se submeterá a auditoria periódica da Segurança da Informação que verificará as autorizações aos recursos computacionais para garantir que os privilégios de acesso sejam apropriados. A auditoria consistirá na validação dos direitos de acesso por amostragem da população de usuários (incluindo uma amostra de contas privilegiadas
Dentre as regras específicas do departamento de TI no gerenciamento de contas e acessos, destacam-se:
• Monitorar alertas específicos de sistemas e aplicativos em sistemas críticos (ex. falha do firewall, reinicializações do sistema, etc.)
• Notificar as partes apropriadas no caso de falha do sistema de segurança ou evento de segurança.
• Assegurar que as regras de segurança aplicadas aos firewalls e roteadores sejam suficientes para proteger as redes e ativos corporativos da ÁLAMO ENGENHARIA S/A de ataques externos e de acesso não autorizado.
• Certificar-se de que as regras de segurança aplicadas aos firewalls e roteadores sejam suficientes para evitar eventos internos de segurança saiam da rede da ÁLAMO ENGENHARIA S/A.
• Rever todas as solicitações de alteração da regra de segurança para roteadores e firewalls de forma a atingir a conformidade com a política antes da submissão através do processo de gerenciamento de modificações.
• Certificar-se de que todos os protocolos/serviços autorizados através dos firewalls e roteadores estejam devidamente documentados
• Certificar que protocolos perigosos, tais como FTP, TELNET, POP3, IMAP e SNMP (com autenticação implementada) tenham passado pela avaliação de risco, tenham uma necessidade comercial corrente documentada, e estejam protegidos conforme a norma de segurança documentada.
• Monitorar ativamente eventos de segurança do firewall e do roteador para identificar incidentes externos de segurança.
• Realizar revisões de todas as regras definidas de firewall e roteador.
12. POLÍTICA DE ANTIVÍRUS
12.1 Aplicabilidade da política
Todos os sistemas geralmente afetados por vírus tais como servidores, Workstations e laptops nas redes da ÁLAMO ENGENHARIA S/A devem seguir esta política.
12.2 Configuração de software
Todos os sistemas aplicáveis devem ser configurados com software antivírus aprovados pelo departamento de TI. A solução antivírus deve ser capaz de detectar, remover e proteger contra todos os tipos de software malicioso tais como vírus, Trojans, worms, spyware, adware e rootkits. O software deve estar configurado para receber atualizações automáticas, executar varreduras periódicas, registrar eventos com vírus em uma solução central de logging, e os usuários finais não devem ser capazes de configurar ou desabilitar o software.
13. PLANO E PROCEDIMENTO DE RESPOSTA A INCIDENTES
A ÁLAMO ENGENHARIA S/A possui metodologias, processos e sistemas que visam proteger seu banco de dados e preservar os direitos de titulares. Para tal, uma série de políticas são aplicadas, descrevendo métodos de segurança, aplicações práticas e resoluções para situações de incidentes, caso ocorram.
Nosso documento R(LGPD)01 - Relatório de Impacto à Proteção de Dados Pessoais ÁLAMO indica os procedimentos seguidos pela ÁLAMO ENGENHARIA S/A para detectar e responder a incidentes, assim como indica a seus colaboradores e usuários como identificar, notificar e responder a situações de incidentes.
14. GESTÃO DE MUDANÇAS
Qualquer alteração ou mudança no que se refere ao processamento de dados e segurança da informação da ÁLAMO ENGENHARIA S/A que ocorra através de projetos, deve ser submetida à Diretoria da ÁLAMO ENGENHARIA S/A para aprovação de maneira registrada, formalizada e devidamente justificada, antes que estas alterações ou mudanças sejam efetivamente executadas, a fim de evitar qualquer tipo de impacto negativo no atendimento aos direitos dos titulares de dados, sempre mantendo-se a privacidade e confidencialidade das informações. O DPO deverá ser comunicado sempre que o projeto alterar as condições pré-existentes de segurança da informação e privacidade de dados, de maneira que seja possível realizar as atualizações necessárias em políticas e comunicar aos colaboradores.
15. DISASTER RECOVERY - RECUPERAÇÃO DAS ATIVIDADES ÁLAMO
No caso de incidente fatal envolvendo os ativos informáticos da XXXXX ENGENHARIA S/A, mais especificamente, de qualquer sistema crítico, o administrador da rede, responsável técnico pelo suporte de TI, será notificado e, à partir da notificação, terá o prazo estabelecido em seus procedimentos de backup, que são realizadas de forma independente e segregada, a fim de que as atividades da ÁLAMO ENGENHARIA S/A possam ser restabelecidas em tempo hábil. Caso necessário para continuidade das operações da ÁLAMO ENGENHARIA S/A, os documentos que tiveram backup deverão ser requeridos a área de TI para disponibilização emergencial.
16. POLÍTICA DE INTEGRIDADE PARÁGRAFO PRIMEIRO:
Os colaboradores declaram que estão cientes, conhecem, entendem e cumprem integralmente, na condução de suas atividades, toda a legislação anticorrupção a ela aplicável, em especial, mas sem limitar, a Lei n.º 12.846/2013 e o Decreto nº 8.420/2015, bem como a toda e qualquer outra legislação antissuborno ou anticorrupção aplicável, assim como as normas e exigências constantes das políticas internas da ÁLAMO ENGENHARIA S/A, as quais teve acesso e declara ter ciência, abstendo-se de qualquer atividade que constitua uma violação a tais dispositivos.
Os colaboradores declaram, garantem e aceitam que, com relação a este Manual, não praticarão nem tentarão praticar qualquer demanda, exigência, cobrança ou obtenção para si e para outrem de vantagem indevida ou promessa de vantagem indevida, a pretexto de influir em ato praticado por agente público e/ou privado, restando expresso, ainda, que nenhum favorecimento, taxa dinheiro ou qualquer outro objeto de valor foi ou será pago, oferecido, doado ou prometido pelos colaboradores, direta ou indiretamente.
PARÁGRAFO SEGUNDO:
Os colaboradores também se obrigam a cumprir todas as leis anticorrupção aplicáveis e garante que não irão, em razão deste Manual, ou de quaisquer outras transações comerciais, transferir qualquer ativo de valor, direta ou indiretamente, a qualquer pessoa do setor privado ou funcionários do Governo ou de empresas controladas pelo governo, a fim de obter ou manter qualquer outro benefício ou vantagem indevida. Os colaboradores garantem que nenhum dinheiro pago será utilizado a título de compensação ou de outra forma será usado para pagar qualquer vantagem ou benefício, em violação da lei aplicável.
PARÁGRAFO TERCEIRO:
Os colaboradores declaram e garantem que não se encontram, de qualquer modo e a qualquer título, direta ou indiretamente: (I) sob investigação em virtude de denúncias de suborno e/ou corrupção; (II) no curso de um processo judicial e/ou administrativo ou foram condenados ou indiciados sob a acusação de corrupção ou suborno; (III) listados em alguma entidade governamental, tampouco conhecidos ou suspeitos de práticas de terrorismo e/ou lavagem de dinheiro; (IV) sujeitos a restrições ou sanções econômicas e de negócios por qualquer entidade governamental; e (V) banidos ou impedidos, de acordo com qualquer lei que seja imposta ou fiscalizada por qualquer entidade governamental.
Os colaboradores notificarão prontamente, por escrito, a XXXXX ENGENHARIA S/A acerca do recebimento de qualquer notificação de qualquer entidade governamental
– qualquer dos Poderes e administração pública direta ou indireta - relacionada a fatos ou investigações relativas a atos de corrupção, a respeito de qualquer suspeita ou violação do disposto nas Leis Anticorrupção, e ainda de participação em práticas de suborno ou corrupção, assim como o descumprimento de qualquer declaração prevista nesta Cláusula.
O não cumprimento de quaisquer regras anticorrupção aplicáveis aos colaboradores será considerada uma infração grave e conferirá a ÁLAMO ENGENHARIA S/A o
direito de rescindir de imediato o Contrato, ficando os colaboradores obrigados a eximir a ÁLAMO ENGENHARIA S/A de quaisquer ações, perdas e danos decorrentes de tal descumprimento. Os colaboradores ficarão responsáveis por indenizar a XXXXX ENGENHARIA S/A contra todo e qualquer dano que este suporte em razão do descumprimento das obrigações e declarações estabelecidas nesta Cláusula.
17. REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
No que se refere à segurança da informação, os colaboradores se comprometem a:
• Seguir as políticas e procedimentos de Segurança da Informação e TI da ÁLAMO ENGENHARIA S/A;
• Mudar as senhas temporárias no primeiro acesso ao sistema;
• Alterar as senhas seguindo as configurações de segurança determinadas por TI, que devem atender os requisitos de complexidade:
• Não conter o nome da conta ou mais de dois caracteres consecutivos de partes do nome completo do usuário;
• Ter pelo menos seis caracteres;
• Conter caracteres de três das quatro categorias: Maiúsculos (A-Z); Minúsculos (a-z); Dígitos de base 10 (0 a 9); Não alfabéticos (por exemplo, !, $, #, %) .
• Registrar tentativas de acesso ao sistema e realizar bloqueio após a 3ª tentativa de erro;
• Acionar a área de TI caso não obtenha sucesso de acesso ao sistema;
• Manter a confidencialidade das senhas e não as manter anotadas, a menos que elas possam ser armazenadas de forma segura;
• Realizar o bloqueio da estação de trabalho sempre que se ausentar;
• Desligar estação de trabalho e console dos servidores quando não estiverem sendo utilizados;
• Ter os equipamentos posicionados de forma que o ângulo de visão seja restrito (Ex: não estarem voltados para vidros transparentes ou corredores de acesso público);
• Ter cuidado com o equipamento, zelar pela boa conservação e uso e não fazer acesso ou tentar burlar qualquer diretriz de segurança da informação.
18. POLÍTICA DE BYOD – “BRING YOUR OWN DEVICE”
Os colaboradores que trazem seus próprios equipamentos para a ÁLAMO ENGENHARIA S/A, tais como aparelhos celulares, tablets ou qualquer outro equipamento, se comprometem aos seguintes termos:
• O equipamento é de completa responsabilidade do proprietário;
• Que o conteúdo armazenado é de responsabilidade do proprietário;
• Que o proprietário declara que todos os softwares possuem licença regular sob pena de responder isoladamente sobre qualquer incidente de pirataria;
• Que o proprietário deverá fazer uso de requisitos mínimos de segurança da informação tais como, mas não se limitando a: antivírus, antispyware, senha de bloqueio, criptografia;
• Que o equipamento está sendo colocado à disposição da empresa como beneficiária de uso temporário e parcial, em caráter não oneroso, sem qualquer responsabilidade por parte da empresa;
• Que a empresa não se responsabiliza pela perda, deterioração, furto, extravio, quebra do equipamento;
• Que o proprietário se compromete a portar o equipamento de forma discreta e com o máximo de zelo possível, para evitar incidentes e vazamentos de informação da empresa;
• Que o mero acesso ou uso do equipamento ou recursos de informação pelo proprietário, por si só, não configura sobreaviso ou sobre jornada, sendo um ato de liberalidade, proatividade e iniciativa do mesmo.
• Que o equipamento não esteja sendo utilizado para coleta, tratamento e armazenamento de quaisquer dados da ÁLAMO ENGENHARIA S/A. Qualquer utilização do equipamento pessoal para fins profissionais deve ser reportada à equipe de TI e ao Encarregado de Dados.