INTRODUÇÃO

A informação é um ativo estratégico da Viação Atual Ltda. Em reconhecimento a esse fato, a Viação Atual Ltda. estabeleceu políticas e diretrizes para sua segurança.

Para ser efetiva, a segurança da informação deve ser um esforço corporativo envolvendo o comprometimento de todos os empregados, clientes, prestadores de serviços e outros fornecedores da Viação Atual Ltda. que lidam com informações e/ou sistemas de informação. Esta política e suas diretrizes estabelecem as responsabilidades de todos os agentes envolvidos, gestores, guardas e usuários.

Este documento descreve a visão da Viação Atual Ltda. para prevenir e reagir às várias ameaças incluindo, mas não se limitando a, acessos não-autorizados, divulgação, duplicação, modificação, destruição, perda, uso indevido, ou roubo de informações da Viação Atual Ltda.

Esta Política da Segurança da Informação (PSI) e suas diretrizes aplicam-se a todos os processos que tratam a Informação ou Sistemas de Informação da Viação Atual Ltda. e foi formulada com base no Código de Prática para a Gestão da Segurança da Informação, NBR ISO/IEC 27002, reconhecida mundialmente como um código de prática para a gestão da segurança da informação.

OBJETIVO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados” (ABNT NBR ISO/IEC 27002).

A Política de Segurança da Informação tem como objetivo estabelecer normas, diretrizes e procedimentos que assegurem a segurança das informações, ao tempo que não impeçam e/ou dificultem o processo do negócio, mas que garantam:

  • A confiabilidade das informações por meio da preservação da confidencialidade, integridade e disponibilidade dos dados da empresa;
  • O compromisso da empresa com a proteção das informações de sua propriedade e/ou sob sua guarda;
  • A participação e cumprimento por todos os colaboradores, em todo o processo.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Viação Atual Ltda. considera a Informação um ativo estratégico para os seus negócios, razão pela qual estabelece que:

  • A utilização da Informação da empresa é restrita aos objetivos de seu negócio;
  • A responsabilidade pela segurança da Informação é de todos os empregados, fornecedores, clientes, contratados, inclusive aqueles afiliados a outras empresas que por força do negócio tenham acesso à Informação.

A prática permanente da Segurança da Informação tem de assegurar:

  • A confiabilidade, a integridade, a disponibilidade, a confidencialidade e a legalidade das informações;
  • O uso adequado da informação e os recursos disponibilizados.

DIRETRIZES

  • É compromisso da direção da Viação Atual Ltda. alocar recursos e investimentos necessários, compatíveis com suas estratégias de negócio, de forma a suportar projetos de Segurança da Informação.
  • Medidas devem ser tomadas para proteger os recursos da Informação contra divulgação acidental ou sem autorização, modificação ou destruição, como também assegurar a confiabilidade, integridade, disponibilidade e legalidade da Informação.
  • A gestão dos acessos aos recursos de Informação da Viação Atual Ltda., conforme esta Política de Segurança da Informação será feita pela divisão de Tecnologia da Informação.
  • Informações sensitivas ou confidenciais devem ser protegidas contra alterações de seu conteúdo e de acessos não autorizados. Dados identificados como críticos aos negócios da Viação Atual Ltda. devem ser protegidos contra perdas ou destruição.
  • Os riscos aos recursos de Informação devem ser identificados, isolados e monitorados regularmente. O custo das medidas de prevenção e/ou correção deve ser compatível com o valor do ativo em questão.
  • Procedimentos de segurança devem ser adotados e cumpridos durante as fases de desenvolvimento ou aquisição de novos sistemas de Informação.
  • A divulgação e treinamento desta Política de Segurança da Informação devem ser continuamente praticados em todos os níveis e para todos os envolvidos.
  • As diretrizes desta Política de Segurança da Informação devem ser adaptáveis às vulnerabilidades e variáveis tecnológicas que possam afetar os recursos de Informação.
  • Esta política deverá estar formalizada nos acordos/contratos pactuados com quaisquer instituições ou empresas que acessem ou utilizem ou usarem a informação da Viação Atual Ltda.
  • As empresas prestadoras de serviços que eventualmente tiverem acesso ou utilização dos recursos de TI da Viação Atual Ltda., deverão no que lhes couber, obrigar-se contratualmente ao cumprimento da Política e Diretrizes desta política.
  • Todos os ativos de Tecnologia da Informação e Telecomunicações deverão estar identificados.

ORIENTAÇÕES COMPLEMENTARES

  • Agentes e Responsabilidades: a responsabilidade pela Segurança da Informação da Viação Atual Ltda. é atribuída aos seguintes agentes e responsáveis:

Usuário

Será de inteira responsabilidade dos funcionários, terceirizados, prestadores de serviços e demais colaboradores da Viação Atual Ltda.:

  • Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da Viação Atual Ltda.;
  • Buscar a área de Segurança da Informação ou Suporte Técnico da TI para esclarecimentos de dúvidas referentes à PSI;
  • Proteger as informações contra acesso, divulgação, modificação ou destruição não-autorizados pela Viação Atual Ltda.;
  • Garantir que equipamentos e recursos tecnológicos à sua disposição, de propriedade da Viação Atual Ltda., sejam utilizados apenas para as finalidades aprovadas pela empresa;
  • Descarte adequado de documentos de acordo com seu grau de classificação;

Comunicar prontamente ao gestor imediato qualquer violação a esta política, suas normas e procedimentos.

Gestores ou usuário aprovados

Em relação à segurança da Informação, cabe aos gestores e responsáveis das respectivas áreas:

  • Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão;
  • Dar ciência, na fase de contratação e formalização dos contratos individuais de trabalho e prestação de serviços, à responsabilidade do cumprimento da PSI da Viação Atual Ltda.;
  • Cumprir e fazer cumprir esta Política, as Normas e os Procedimentos de Segurança da Informação;
  • Exigir de parceiros, prestadores de serviços e outras entidades externas, a assinatura do termo de confidencialidade referente às informações as quais terão acesso;
  • Elaborar, com o apoio do Setor de Gestão de Processos e Tecnologia da Informação, os procedimentos de segurança da informação relacionados às suas áreas, fornecendo as informações necessárias e mantendo-os atualizados;
  • Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de funcionários e colaboradores para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade;
  • Tomar as decisões administrativas referentes aos descumprimentos da PSI da Viação Atual Ltda.

DPO (Encarregado de Dados)

Em relação à segurança da Informação e LGPD, cabe ao DPO:

  • Aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
  • Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos da LGPD;
  • Controlar a conformidade com a LGPD e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento;
  • Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados pessoais e acompanhar o seu desempenho;
  • Cooperar com as autoridades;
  • Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento.

Gestão de Segurança da Informação

  • Cabe a Gestão de Segurança da Informação:
  • Criar e atualizar a PSI da organização;
  • Propor melhorias, alterações e ajustes da PSI;
  • Propor investimentos relacionados à segurança da informação com o intuito de minimizar os riscos;
  • Classificar e reclassificar o nível de acesso às informações sempre que necessário;
  • Avaliar incidentes de segurança e propor ações corretivas;
  • Pesquisar e propor novas tecnologias na área de segurança da informação sempre que julgar necessário.

A gestão de Segurança da Informação poderá ainda ser auxiliada e amparada pelas seguintes áreas e departamentos da empresa:

  • Representante da Governança e Compliance;
  • Setor de Gestão de Processos e Tecnologia da Informação;
  • DPO (Encarregado de Dados);
  • Unidade de Suporte de TI;
  • Gestão de Pessoas;
  • Assessoria Jurídica;
  • Suporte técnico em Tecnologia da Informação.

Cabe ao Setor de Suporte Técnico e infraestrutura:

  • Definir e aplicar as regras referente a instalação de software e hardware nos equipamentos utilizados para acessos a dados da Viação Atual Ltda.;
  • Homologar os equipamentos pessoais (smartphones, desktops e Notebook) para uso na rede da Viação Atual Ltda.;
  • Monitorar os acessos às informações e aos ativos de tecnologia (sistemas, bancos de dados, recursos de rede), tendo como referência a Política e as Normas de Segurança da Informação;
  • Mediante informações da área de RH/Administrativo, manter registro e controle atualizado de todas as liberações de acesso concedidas, providenciando sempre que demandado formalmente, a pronta suspensão ou alteração de tais liberações e acessos;
  • Propor as metodologias e processos referentes à segurança da informação, como classificação da informação, avaliação de risco, análise de vulnerabilidades etc.;
  • Analisar criticamente incidentes de segurança em conjunto com o Gestor de Segurança da Informação;
  • Manter comunicação efetiva com o Gestor de Segurança da Informação sobre possíveis ameaças e novas medidas de segurança;
  • Buscar alinhamento com as diretrizes da organização.

Classificação da Informação

As informações relativas ao escopo da Política e das Diretrizes de Segurança da Informação são classificadas e devem ser, preferencialmente, identificadas por rótulos, conforme as naturezas abaixo:

  • Pública
  • Interna
  • Dados pessoais
  • Confidencial
  • Confidencial restrita.

Pública

São informações explicitamente aprovadas por seu responsável para consulta irrestrita e cuja divulgação externa não compromete o negócio e que, por isso, não necessitam de proteção efetiva ou tratamento específico. São exemplos de informação pública:

  • Informações sobre eventos não restritos ou externos;
  • Informações disponibilizadas pela área de Marketing, em redes sociais e aquelas informadas de forma pública no site institucional da empresa.

Interna

São informações disponíveis aos colaboradores da Viação Atual Ltda. para a execução de suas tarefas rotineiras, não se destinando, portanto, ao uso do público externo. São exemplos de informações internas:

  • Memorandos, Padrões, Políticas e Procedimentos internos;
  • Avisos e campanhas internas.

Dados pessoais

São informações que permitem identificar, direta ou indiretamente, um indivíduo, então ela é considerada um dado pessoal. São exemplos de dados pessoais:

  • Nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.

Confidencial

São informações de acesso restrito a um colaborador ou grupo de colaboradores. Sua revelação pode violar a privacidade de indivíduos, violar acordos de confidencialidade, dentre outros. São exemplos de informações confidenciais:

  • Informações técnicas ou contratos de clientes, prestadores de serviços e fornecedores;
  • Informações de acesso e senhas de ambientes e sistemas de clientes;
  • Informações sensíveis da área interna da TI da Viação Atual Ltda. ou de outros departamentos;
  • Processos judiciais;
  • Dados cadastrais de funcionários.

Confidencial restrita

São informações de acesso restrito a um colaborador ou grupo de colaboradores que obrigatoriamente contam como destinatários da mesma, em geral, associadas ao interesse estratégico da empresa e restritas ao presidente, gerentes e funcionários cujas funções requeiram conhecê-las. São exemplos de informações confidenciais restritas:

  • Atas de reunião da governança com a presidência da Viação Atual Ltda.;
  • Indicadores e estatísticas dos processos de negócio considerados restritos;
  • Resultado de auditorias internas considerados restritos.

Princípios de Segurança da Informação:

Confiabilidade: a Informação retrata a realidade dos fatos a que se refere.

Confidencialidade: a classificação dada à Informação de acordo com a estratégia e criticidade para os negócios da empresa.

Disponibilidade: é a garantia de que a Informação poderá ser acessada quando necessário. Integridade: a Informação é a mesma em qualquer meio ou instante para todos os usuários.

Legalidade: obediência às leis de Propriedade Intelectual e Autoral e às condutas éticas em vigor no país.

Acessos

O login e a senha de cada usuário da Viação Atual Ltda. são únicos, individuais e intransferíveis, sendo reconhecidas pela Viação Atual Ltda. como assinatura digital do usuário e representando o nível de delegação concedida para o desempenho de suas funções.

O acesso à Internet é permitido somente por intermédio do Sistema de Segurança corporativo da Viação Atual Ltda. É proibido o acesso direto à Internet por intermédio de provedores que geram acessos anônimos.

O acesso físico a qualquer área de trabalho deve ser protegido, de acordo com o valor da Informação ali residente. Um sistema apropriado de controle de acesso quando necessário deverá ser estabelecido pela Viação Atual Ltda. e homologado pela divisão de Tecnologia da Informação. Todos os acessos às áreas restritas devem ser registrados.

Utilização

  • A utilização das informações e dos recursos computacionais devem ser sempre compatíveis com a confidencialidade e a finalidade das atividades desempenhadas pelo usuário na Viação Atual Ltda.

A utilização dos recursos (sistemas, correio eletrônico, armazenamento em disco, etc.) disponibilizados pela Viação Atual Ltda. deve ser feita segundo os padrões e procedimentos definidos pela divisão de Tecnologia da Informação, visando manter a disponibilidade, compliance e desempenho das aplicações.

Direito e Propriedade

  • Todos os programas e documentações geradas por, ou providenciadas por empregados, consultores ou contratados para o benefício da Viação Atual Ltda. são propriedades da Viação Atual Ltda.

Todos os usuários devem utilizar somente softwares homologados e devidamente legalizados pela divisão de Tecnologia da Informação da Viação Atual Ltda., visando atender a Lei nº 9.609, de 19/02/98, que trata dos direitos autorais e comercialização de softwares.

Todos os contratos com terceiros devem conter cláusulas de sigilo e proteção à propriedade intelectual.

Contingência

  • Para enfrentar situações de interrupção dos sistemas de informação, com consequente paralisação das atividades de negócio da Viação Atual Ltda., a divisão de Tecnologia da Informação deverá manter um plano de contingência para os sistemas e recursos críticos que seja de sua responsabilidade, que garanta um nível mínimo de operação.

Legalidade

  • O uso de software não-autorizado é crime previsto na Lei 9.609, de 19 de fevereiro de 1998. A não-observância desta lei será considerada pela Viação Atual Ltda. como sendo falta grave, passível de sanções cabíveis.

Proteção

  • A Viação Atual Ltda. deverá manter dispositivos de proteção contra problemas de segurança física (condições ambientais adversas, desastres naturais etc.) e lógica (vírus, acesso não autorizado etc.), compatíveis com os requisitos definidos nesta política.

Competirá à divisão de Tecnologia da Informação a definição de tais dispositivos de proteção, considerando as características regionais, a criticidade das informações e os recursos tecnológicos envolvidos.

Gerenciamento

  • As instruções específicas para a operacionalização desta Política de Segurança e utilização da Tecnologia da Informação da Viação Atual Ltda., serão emitidas pela divisão de Tecnologia da Informação, devendo a mesma estar em conformidade com esta Política de Segurança da Informação.

Toda documentação e registro referente à Segurança da Informação deverá ser arquivada em local seguro para efeito de auditoria.

Todos os processos de gestão relativos à geração de produtos e serviços de TI deverão atender aos requisitos deste manual.

Auditoria

A direção de Tecnologia da Viação Atual Ltda. terá acesso, sempre que julgar necessário, ao conteúdo das mensagens de correio e dos arquivos armazenados, bem como de todas as informações de que trata esta política, exceto às informações de cunho privado de empregado.

A direção de Tecnologia da Viação Atual Ltda. somente poderá ter acesso às informações de que trata o item anterior por meio de solicitação formal à divisão de Tecnologia da Informação, à gerência de Gestão de Pessoas (RH) ou ao diretor presidente da Viação Atual Ltda.

MONITORAMENTO DE AMBIENTES E SISTEMAS

Para garantir as regras mencionadas nesta PSI, a Viação Atual Ltda. poderá:

  • Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede e sistemas. A informação gerada por esses sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
  • Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
  • Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

COMPUTADORES E RECURSOS TECNOLÓGICOS

Os equipamentos disponíveis aos colaboradores e funcionários são de propriedade da Viação Atual Ltda., cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da empresa, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.

É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um analista de TI da Viação Atual Ltda., ou de quem este determinar.

Os gestores que necessitarem fazer testes deverão solicitá-los previamente ao Setor de TI, ficando responsáveis jurídica e tecnicamente pelas ações realizadas.

Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o setor técnico responsável mediante registro de chamado no service desk (CRM) da Viação Atual Ltda.

A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.

Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede ou no site do sharepoint.

Os colaboradores da Viação Atual Ltda. ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da área de TI da Viação Atual Ltda.

No uso dos computadores, equipamentos e recursos de TI, algumas regras devem ser atendidas:

  • Todos os computadores de uso individual deverão ter senha de Sistema Operacional para restringir o acesso de colaboradores não autorizados;
  • Os colaboradores devem informar ao departamento técnico da TI qualquer identificação de dispositivo estranho conectado ao seu computador;
  • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de TI de propriedade da Viação Atual Ltda. para qualquer tipo de reparo que não seja realizado por um analista da área de TI da empresa ou por terceiros devidamente contratados para o serviço;
  • O colaborador deverá manter a configuração do equipamento disponibilizado pela Viação Atual Ltda., seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações;
  • Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e sistemas quando não estiverem sendo utilizados;
  • Todos os recursos tecnológicos adquiridos pela Viação Atual Ltda. devem ter imediatamente suas senhas padrões (default) alteradas.

Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso. Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da Viação Atual Ltda.:

  • Tentar ou obter acesso não-autorizado a outro computador, servidor ou rede;
  • Burlar quaisquer sistemas de segurança;
  • Acessar informações confidenciais sem explícita autorização do proprietário;
  • Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
  • Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não-autorizado;
  • Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
  • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
  • Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

POLÍTICA DE SENHAS

A senha é a forma mais convencional de identificação e acesso do usuário, é um recurso pessoal e intransferível que protege a identidade do colaborador, evitando que uma pessoa se faça passar por outra.

O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

Assim, com o objetivo de orientar a criação de senhas seguras, estabelecem-se as seguintes regras:

  • A senha é de total responsabilidade do colaborador, sendo expressamente proibida sua divulgação ou empréstimo, devendo essa ser imediatamente alterada no caso de suspeita de sua divulgação;
  • É proibido o compartilhamento de login para funções de administração de sistemas;
  • As senhas não devem ser anotadas e deixadas próximo ao computador (debaixo do teclado, colada no monitor etc.).

E-MAIL E ACESSO À INTERNET

O e-mail e o acesso à internet são facilidades que a Viação Atual Ltda.   proporciona a alguns funcionários, cuja a gerência decidiu serem necessárias para o perfeito e amplo cumprimento de suas responsabilidades.

USO DE E-MAIL

A maioria dos problemas de segurança no uso de e-mail tem pouca relação com qualquer coisa que aconteça em seu computador. O problema real começa quando um e-mail chega a Internet, pois existem uma série de piratas na Internet chamados de “hackers” que o interceptam, alteram, ou forjam mensagens de e-mail.

A próxima vez que você pensar sobre a emissão de uma senha, número de cartão de crédito, ou de dados confidenciais mantenha em mente que enviar um e-mail é tão confidencial quanto a informação enviada num envelope de correio.

Há procedimentos que minimizam estes problemas. Antes de clicar na tecla “Enviar” pare um momento e considere o que poderia acontecer se esse e-mail terminasse em mãos de pessoas erradas ou que não gostariam de estar recebendo-o. Portanto, informações confidenciais não devem ser transmitidas por e-mail para fora da companhia a menos que estejam protegidas ou criptografadas por intemédio de algum mecanismo de segurança.

Mensagens com conteúdo ofensivo, assédio sexual ou qualquer tipo de discriminação religiosa ou de raça são terminantemente proibidas.

Os empregados não devem baixar ou enviar arquivos com conteúdo pornográfico.

Os empregados devem tomar cuidado para não infringir as leis de direitos autorais ao baixar arquivos e softwares da internet que possam comprometer a segurança da Rede Local sem prévia autorização do responsável pela área de Tecnologia da Informação.

As mensagens externas de e-mail terão um “disclaimer” esboçando todas as implicações legais e confidencialidade ao receptor do e-mail.

Os empregados devem se familiarizar com a prática e bom senso antes de enviar mensagens. Por exemplo, a necessidade de se fazer uma limpeza em sua caixa de e-mails regularmente, bem como não enviar e-mails para toda companhia sem que haja necessidade de fazê-lo.)

Certifique-se sempre que o endereço de envio esteja correto antes de clicar “Enviar”. Lembre-se que existem pessoas que podem não gostar de ler/receber suas mensagens.

Antes de responder um e-mail, verifique os nomes dos destinatários.

Nenhum arquivo maior do que 5MB pode ser anexado e enviado por meio de e-mail. O uso indevido desta prática pode obstruir os serviços de e-mail, devido a uma sobrecarga na interligação com a matriz e filiais, obstruindo a fila para outros usuários.

O e-mail é propriedade da companhia e uma ferramenta de trabalho, portanto para sua própria proteção não o considere como de seu uso particular.

USO DA INTERNET

Cada usuário deve estar ciente das normas que regem o uso do acesso à internet e o “Código de Conduta do Usuário”.

A companhia manterá um registro permanente de todos os acordos do usuário feitos e fornecerá para cada usuário uma cópia para sua guarda.

 Os usuários não podem usar nenhum outro meio de acesso à internet à exceção daquele fornecido pela companhia, ao se conectar à sua Rede de Dados, em qualquer localidade que a companhia possua escritório,

O HTTP (acesso do Web) e o FTP (transferência de arquivos) são as únicas facilidades fornecidas e disponíveis aos usuários do serviço internet. Todas facilidades restantes são proibidas e foram desabilitadas através de nosso Servidor Proxy administrado, monitorado e localizado na Inglaterra.

Os registros de todo o tráfego de e-mail e de internet browsing são mantidos, e a companhia reverá em uma base regular. Todo o uso indevido e identificado do serviço internet invocará em procedimentos de caráter disciplinar na companhia, sujeito a punição.

USO DAS ESTAÇÕES DE TRABALHO

As estações de trabalho (sejam desktops ou notebooks) devem permanecer operáveis durante o maior tempo possível para que os colaboradores não tenham suas atividades prejudicadas.

Assim, algumas medidas de segurança devem ser tomadas, são elas:

  • É de responsabilidade do colaborador do equipamento zelar por ele, mantendo-o em boas condições;
  • Não é permitido personalizar o equipamento por adesivos, fotos, riscos, raspar e retirar a etiqueta de patrimônio;
  • É vedada a abertura de computadores para qualquer tipo de reparo pelos colaboradores. Caso seja necessário, o reparo deverá ser feito pela equipe de suporte da TI;
  • É proibida a instalação de softwares que não possuam licença e/ou não sejam homologados pela equipe de TI da Viação Atual Ltda.;
  • As estações de trabalho devem permanecer bloqueadas (logoff) nos períodos de maior ausência do colaborador;
  • Os documentos e arquivos relativos à atividade desempenhada pelo colaborador deverão, sempre que possível, serem armazenados em local próprio no servidor da rede ou sharepoint corporativo, os quais possuem controle de acesso adequado;
  • Documentos críticos e/ou confidenciais só podem ser armazenados no servidor da rede ou sharepoint corporativo, nunca unicamente no disco local da máquina.

É proibido o uso de estações de trabalho para:

  • Tentar ou obter acesso não-autorizado a outro computador, servidor ou rede;
  • Burlar quaisquer sistemas de segurança;
  • Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
  • Cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
  • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.

O suporte de TI da Viação Atual Ltda. não se responsabiliza por prestar manutenção de hardware ou instalar softwares, mesmo que sejam para execução das atividades da empresa, em computadores que não sejam de propriedade da Viação Atual Ltda. Porém, este poderá prestar o devido suporte e auxílio para que o seu proprietário possa fazê-lo;

As estações de trabalho possuem códigos internos, os quais permitem que seja identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do funcionário.

USO DE EQUIPAMENTO PARTICULAR E DISPOSITIVOS MÓVEIS

O objetivo da Viação Atual Ltda. é maximizar a agilidade e eficiência da realização das tarefas dos colaboradores e prestadores de serviços, contando com todos os recursos de equipamentos disponíveis, mas não pode deixar de considerar os requisitos de segurança da informação, por isso estabelece algumas regras para o uso de equipamentos de propriedade particular e de dispositivos móveis.

Caracteriza-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, seja de propriedade da Viação Atual Ltda. ou particular com prévia aprovação e permissão da área responsável da TI ou equivalente, como: notebooks e smartphones.

Todas as regras do tópico “Estações de Trabalho” se enquadram nesta seção, adicionalmente a:

  • Fica autorizado o uso de notebooks e dispositivos móveis para acesso à rede interna da Viação Atual Ltda. mediante autorização do gestor imediato ou liberação da área de TI;
  • A área de TI da Viação Atual Ltda. poderá verificar as configurações de segurança do equipamento pessoal do colaborador, seja de forma manual ou automatizada através de sistema de gestão de dispositivos, para certificar-se que o equipamento possui aplicativos e recursos de segurança, como firewall, antivírus e anti-malware devidamente habilitados, configurados e atualizados, antes de permitir o acesso aos recursos e dados da Viação Atual Ltda. Aplicativos peer to peer, farejadores de tráfego, softwares que possam gerar carga excessiva na rede, que não estejam de acordo com a legislação vigente ou que possam trazer prejuízos à infraestrutura ou à imagem Viação Atual Ltda. não serão permitidos. Caso o equipamento não obedeça aos requisitos mínimos de segurança, o acesso não será concedido;
  • É de responsabilidade do proprietário a instalação do Sistema Operacional que será utilizado, bem como dos aplicativos pessoais ou corporativos da Viação Atual Ltda. a serem utilizados em seus equipamentos;
  • É de responsabilidade do proprietário o controle sobre os aplicativos instalados em seu notebook;
  • Não podem ser executados nos notebooks aplicativos de característica maliciosa, que visam comprometer o funcionamento da rede da Viação Atual Ltda., acesso a informações sem a devida permissão ou informações confidenciais;
  • É proibido o armazenamento de informações que não sejam de uso pessoal do proprietário do notebook. Todos os arquivos que pertençam à Viação Atual Ltda. não podem ser armazenados no disco rígido do notebook pessoal ou em dispositivos de armazenamento móvel (ex: pendrive), sem a autorização da área responsável pelos dados. Estes arquivos devem sempre ser armazenados no servidor de compartilhamento destinado para tal, Sharepoint da organização ou em área de armazenamento autorizada pela área responsável da Viação Atual Ltda.;

Mais detalhes sobre esse tópico poderão também ser encontrados no documento “Política de Dispositivos Móveis – Viação Atual Ltda.”.

BACKUP

Um dos procedimentos mais básicos da Segurança da Informação é a implantação de uma Política de Backup (cópia de segurança). Uma organização tem que estar preparada para recuperar (restaurar) todos os seus dados de forma íntegra caso um incidente de perda de dados venha a ocorrer. Assim, estabelecem-se as regras:

  • Todo sistema ou informação relevante para a operação dos negócios da Viação Atual Ltda. deve possuir cópia dos seus dados de produção para que, em eventual incidente de indisponibilidade de dados, seja possível recuperar ou minimizar os impactos nas operações da instituição;
  • As áreas de negócio ficarão responsáveis por classificar os dados de acordo com a relevância e provocar a área de TI sobre a necessidade de backup deles, sugerindo o tempo de retenção destas cópias;
  • Todos os backups devem ser automatizados por sistemas de agendamento para que sejam, preferencialmente, executados fora do horário comercial, períodos de pouco ou nenhum acesso de usuários ou processos aos sistemas de informática;
  • Toda infraestrutura de suporte aos processos de backup e restauração deve possuir controles de segurança para prevenção contra acessos não autorizados, bem como mecanismos que assegurem seu correto funcionamento;
  • A área de TI deve preparar semestralmente um plano para execução de testes de restauração de dados dos sistemas mais críticos da Viação Atual Ltda., que deve ter escopo definido em conjunto com as áreas de negócio. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos;
  • Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser executados apenas mediante justificativa de necessidade.

RESTRIÇÕES GERAIS

  • Não serão permitidas tentativas de burlar os controles de acesso à rede, tais como utilização de proxies anônimos ou estratégias de bypass de firewall;
  • É proibida a divulgação e/ou o compartilhamento indevido de informações internas, confidenciais e confidenciais restritas em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet com via, de forma deliberada ou inadvertidamente, sob a possibilidade de sofrer penalidades previstas nos procedimentos internos e/ou na forma da lei;
  • O uso, a cópia ou a distribuição não-autorizada de softwares que tenham direitos autorais, marca registrada ou patente são expressamente proibidos. Qualquer software não autorizado será excluído pela Viação Atual Ltda. sem aviso prévio ou consentimento do usuário;
  • Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.
  • Documentos digitais de condutas consideradas ilícitas, como por exemplo, apologia ao tráfico de drogas e pedofilia, são expressamente proibidos e não devem ser acessados, expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso;
  • Não serão permitidos o uso de aplicativos de reconhecimento de vulnerabilidades, análise de tráfego, ou qualquer outro que possa causar sobrecarga ou prejudicar o bom funcionamento e a segurança da rede interna, salvo os casos em que o objetivo for realizar auditorias de segurança, quando área de TI da Viação Atual Ltda. deverá estar devidamente ciente e concedido autorização para tal;
  • É proibido o envio de informações restritas ou confidenciais da Viação Atual Ltda. para destinatários que não sejam autorizados pela gestão da Viação Atual Ltda. a recebê-los.

Violação da política e penalidades

No caso de não-cumprimento das normas estabelecidas nesta Política de Segurança, o funcionário, prestador de serviço ou colaborador poderá sofrer as seguintes penalidades:

Advertência verbal

O colaborador será comunicado verbalmente que está infringindo as normas da Política de Segurança da Informação da Viação Atual Ltda. e será recomendado à leitura desta norma;

Advertência formal

A primeira notificação será enviada ao colaborador informando o descumprimento da norma, com a indicação precisa da violação cometida.

A segunda notificação será encaminhada para o gestor imediato do infrator.

CONSIDERAÇÕES FINAIS

As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação deverão ser encaminhadas aos responsáveis pela área de Governança e Segurança da Informação para avaliação e decisão.

Esta PSI entra em vigor a partir da data de sua publicação e poderá ser alterada a qualquer momento, por decisão da área responsável por esse documento, mediante o surgimento de fatos relevantes que apareçam ou que não tenham sido contemplados nessa política.

Informações complementares sobre Segurança da Informação poderão também ser encontradas no documento “Política de Mesa Limpa – Viação Atual Ltda.”.

Diretrizes mais específicas no que tange ao tratamento de dados pessoais deverão ser consultadas por meio do documento da Viação Atual Ltda. que aborda a LGPD (Lei Geral de Proteção de Dados).