Política de Segurança da Informação

Transcrição

1 Política de Segurança da Informação Tito Global Trade Services Página 1 de 14

2 O objetivo deste documento é definir normas de utilização dos recursos de rede, dados e comunicação pelos colaboradores TITO a fim de primar pela alta qualidade e segurança da Informação e ao mesmo tempo desenvolver um comportamento extremamente ético e profissional. Assim, para assegurar os altos padrões de qualidade na prestação dos serviços de rede, processamento de dados e comunicações, faz-se necessário a especificação de uma Política de Segurança da Informação. O objetivo dessa Política de Segurança da Informação é descrever as normas de utilização dos recursos tecnológicos a disposição dos colaboradores TITO e quais são as atividades que entendemos como violação do uso desses recursos, que são consideradas proibidas. Podemos definir como serviços e recursos amparados por esta Política de Segurança da Informação, que são utilizados pelos colaboradores da TITO: computadores, servidores, s dos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.ar, titoonline.com.mx, links de Internet, programas de computador disponibilizados pela TITO, impressoras, telefones, ramais, celulares, rádio-comunicadores e afins. As normas descritas no decorrer deste documento não constituem uma relação exaustiva e podem ser atualizadas com o tempo, sendo que qualquer modificação será avisada em tempo hábil para remodelação (se necessário) do ambiente. Tais normas são fornecidas a título de orientação do colaborador. Em caso de dúvida sobre o que é considerado, de alguma forma, violação desta Política de Segurança da Informação, o usuário deverá enviar previamente um para helpdesk@titoonline.com visando esclarecimentos e segurança. Nos termos desta Política de Segurança da Informação, a empresa procederá ao bloqueio do acesso, cancelamento de conta de usuário, cancelamento de conta telefônica, celular ou de rádio-comunicação, ou desligamento de ramal caso seja detectado uso em desconformidade com o aqui estabelecido ou de forma prejudicial à rede ou segurança da informação da empresa. Caso seja necessário advertir o colaborador, será informado o departamento de Recursos Humanos para interagir e manter-se informado da situação. Atitudes que são consideradas violação à Política de Segurança da Informação foram divididas em quatro tópicos, que são: I. Utilização de Rede II. Utilização de III. Utilização de acesso a Internet IV. Utilização de Impressoras e Copiadoras V. Utilização de Telefonia e Rádio-Comunicação A seguir descrevemos as normas mencionadas e informamos que tudo o que não for permitido e/ou liberado é considerado violação à Política de Segurança da Informação. Página 2 de 14

3 I. Utilização da Rede Esse tópico visa definir as normas de utilização da rede que engloba desde a conta de usuário de rede (login), manutenção de arquivos no servidor e tentativas não autorizadas de acesso: a) Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de fraudar autorização de usuário e segurança de qualquer servidor, rede ou conta (também conhecido como cracking ). Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidores ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar a prova a segurança de outras redes; b) Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataques do tipo negativa de acesso, provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de quebrar (invadir) um servidor; c) Não é permitido o uso de qualquer tipo de programa ou comando designado a interferir com sessão de usuários; d) Antes de ausentar-se do seu local de trabalho, o usuário de computador deverá fechar todos os programas acessados, evitando, desta maneira, o acesso por pessoa não autorizada, efetuando o logout/logoff da rede e o bloqueio do desktop através de senha; e) O colaborador deve manutenir periodicamente seu diretório pessoal, evitando acúmulo de arquivos inúteis; f) Material de natureza pornográfica, racista, obsceno, indecente, impróprio ou ofensivo a quaisquer direitos legais, alheios a necessidade de utilização da empresa não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede; g) Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas. As áreas de armazenamento de arquivos são designadas conforme abaixo: Unidade Uruguaiana: Diretório J:/Nome Utilização Arquivos Pessoais inerentes à empresa Página 3 de 14

4 I:/Nome do Departamento P:/ Arquivos do Departamento em que trabalha Arquivos temporários ou de compartilhamento geral Unidade São Caetano do Sul: Diretório F:/Funcionarios/Nome F:/Nome do Departamento F:/Public Utilização Arquivos Pessoais inerentes à empresa Arquivos do Departamento em que trabalha Arquivos temporários ou de compartilhamento geral Unidade São Borja: Diretório F:/PUBLIC/COLABORADORES_SBJ/Nome F:/Nome do Departamento F:/Public Utilização Arquivos Pessoais inerentes à empresa Arquivos do Departamento em que trabalha Arquivos temporários ou de compartilhamento geral Unidade Santos: Diretório F:/Funcionarios/Nome F:/Nome do Departamento F:/Public Utilização Arquivos Pessoais inerentes à empresa Arquivos do Departamento em que trabalha Arquivos temporários ou de compartilhamento geral Em alguns casos pode haver mais de um compartilhamento referente aos arquivos do departamento em qual faz parte. h) A pasta Public não deverá ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza sensível; i) É obrigatório armazenar os arquivos inerentes a empresa no servidor de arquivos, em diretório próprio, para garantir o backup dos mesmos; j) Haverá limpeza semanal dos arquivos armazenados na pasta Public, para que não haja acúmulo desnecessário de arquivos, tal limpeza excluirá definitivamente todos os diretórios e arquivos constantes dessa pasta. Não há backup da pasta Public ; k) É proibida a instalação, alteração, atualização ou remoção de softwares em servidores e estações de trabalho sem a prévia aprovação do Setor de TI. Toda e qualquer necessidade de instalação, alteração, atualização ou remoção de software deve ser solicitada ao Setor de TI da Empresa através de abertura de chamado no sistema de Service-Desk, para que os técnicos verifiquem a viabilidade e procedam ou não a remoção, atualização ou instalação; l) É vedada a abertura, desconexão, retirada de periféricos ou partes de computadores e demais equipamentos de TI, ou rompimento de lacre de segurança que guarda a Página 4 de 14

5 integridade do equipamento. Caso seja necessário qualquer tipo de reparo, este deverá ser solicitado através de abertura de chamado no sistema de Service-Desk; m) Não será permitida a alteração das configurações de rede ou estações de trabalho, desligamento de equipamentos, ou inicialização dos mesmos, bem como modificações que possam trazer algum problema futuro; n) Não será permitida a remoção de quaisquer equipamentos de TI (estações de trabalho e seus periféricos, impressoras, ramais, etc.). Caso seja necessária alguma remoção ou realocação de equipamento, isto deve ser solicitado ao Setor de TI através de abertura de chamado no sistema de Service Desk; o) É vedado dar a conhecer a outrem sua senha de usuário de computador, rede, , Internet, senha de acesso telefônico, ou outro meio de segurança que lhe foi confiado pela empresa a fim de desempenhar suas funções; p) É vedado tentar obter de outrem senha de usuário de computador, rede, , Internet, senha de acesso telefônico, ou outro meio de segurança que foi confiado a este pela empresa, ou de seu uso particular, a fim de obter acessos ou vantagens na utilização das mesmas; q) A cota máxima de arquivos armazenados no diretório destinado a Arquivos Pessoais inerentes a seus serviços a empresa não deve ultrapassar o limite máximo de 200 Megabytes; r) A cota máxima de arquivos armazenados no diretório destinado a Arquivos Departamentais (Importação, Exportação, Financeiro, etc.) não deve ultrapassar o limite máximo de 4,7 Gigabytes; s) Todo colaborador deve zelar pela aplicação dos itens q e r, e informar qualquer indício de irregularidade com respeito a mau uso do espaço de armazenamento de arquivos, tanto para arquivamento de documentos pessoais inerentes a empresa, quanto para arquivamento de documentos dos respectivos departamentos aos quais tem direito de acesso. Página 5 de 14

6 II. Utilização de Esse tópico visa definir as normas de utilização de que engloba desde o envio, recebimento e gerenciamento das contas de a) É proibido o assédio ou perturbação de outrem, seja através de linguagem utilizada, freqüência ou tamanho das mensagens; b) É proibido o envio de a qualquer pessoa que não o deseje receber. Se o destinatário solicitar a interrupção de envio de , o usuário deve acatar tal solicitação e não lhe enviar qualquer ; c) É proibido o envio de grande quantidade de mensagens de ( Junk mail ou Spam ) que, de acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de outros usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade comercial ou não, anúncios e informativos, ou propaganda política; d) É proibido reenviar ou de qualquer forma propagar mensagens em cadeia, também chamadas correntes ou pirâmides, independentemente da vontade do destinatário de receber tais mensagens; e) É proibido o envio de mal-intencionado, tais como mail bombing, ou sobrecarregar um usuário, site ou servidor com s muito extensos ou com numerosas partes de ; f) Caso a empresa julgue necessário haver bloqueios: a. De com arquivos anexos que comprometa o uso de banda de comunicação ou perturbe o bom andamento dos trabalhos; b. De para destinatários ou domínios que comprometa o uso da banda de comunicação ou perturbe o bom andamento dos trabalhos; g) É proibido forjar quaisquer das informações de cabeçalho de s enviados ou recebidos, suas assinaturas ou quaisquer outros dados constantes destes documentos; Página 6 de 14

7 h) Não é permitida má utilização da linguagem na elaboração de s, tais como gírias ou abreviações de palavras (Ex.: vc ao invés de você ); i) É obrigatória a manutenção da caixa de , evitando o acúmulo de s e arquivos inúteis. Caso seja necessário o arquivamento de s periodicamente, a fim de evitar a utilização de especo maios que 1,5 Gigabytes, isso deve ser solicitado ao Setor de TI, através de abertura de chamado no sistema de Service Desk; j) É obrigatória a utilização do protocolo POP3 para recebimento dos s provenientes e destinados aos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.mx e titoonline.com.ar, ou a utilização de Web Mail constante do site da empresa; k) A cota máxima de s armazenados não deve ultrapassar os 1,5 Gigabytes; l) É obrigatória a utilização do programa Microsoft Office Outlook, Outlook Express, softwares homologados pelo Setor de TI destinados ao uso como software cliente de e- mail; m) É obrigatória a utilização de assinatura nos s com o seguinte formato: TITO Global Trade Services Nome do Colaborador Departamento @titoonline.com Tel Coml. da Unidade Fax Coml. da Unidade Exemplo: TITO Global Trade Services Velci Nedson Felix Ferretto Tecnologia da Informação ferretto@titoonline.com Tel: Fax: n) A alteração de assinatura ou formato de cabeçalhos ou papeis de parede de só é permitida com prévia autorização do Setor de TI da empresa, e deve ser solicitado através de abertura de chamado no sistema de Service Desk; o) É proibida a utilização de dos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.mx e titoonline.com.ar para envio de material de natureza pornográfica, racista, obscena, indecente, imprópria ou ofensiva a quaisquer direitos legais e a ética; Página 7 de 14

8 p) É proibida a utilização de dos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.mx e titoonline.com.ar para o recebimento de material de natureza pornográfica, racista, obscena, indecente, imprópria ou ofensiva a quaisquer direitos legais e a ética. Caso o colaborador venha a receber materiais dessa natureza, deve informar ao Setor de TI da empresa, através de abertura de chamado no sistema de Service Desk, a fim de que este setor tome as providências necessárias e para que o colaborador venha a se eximir de qualquer culpa quanto à divulgação ou armazenamento desse tipo de material; q) Caso venha a suspeitar do recebimento de inoculado com vírus ou qualquer outra praga virtual como spyreware, programas espiões, etc., o colaborador deve, imediatamente, informar ao Setor de TI da empresa a fim de evitar danos e a propagação dessa praga aos demais equipamentos da empresa; r) É proibido o envio de com quaisquer informações ou dados que venham a atentar contra a empresa, seus clientes ou colaboradores, suas informações sigilosas, confidenciais, ou que possam caracterizar a prática de insider trading, não importando se a divulgação dessas informações ou dados é deliberada ou inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da Lei; s) O tamanho de cada a ser enviado ou recebido é limitado a 4 Megabytes. Os colaboradores da empresa devem atentar-se para esse limite de tamanho, e respeitá-lo, quando da elaboração de seus s, e instruir seus interlocutores a fim de que não lhes enviem s maiores que 4 Megabytes; t) A empresa reserva-se no direito de monitorar a utilização do serviço de e os conteúdos trafegados por esse meio. Página 8 de 14

9 III. Utilização de acesso a Internet Esse tópico visa definir as normas de utilização da Internet que engloba desde a navegação a sites, downloads e uploads de arquivos: a) É proibido utilizar os recursos da empresa para fazer download ou distribuição de software ou dados não legalizados; b) É proibida a divulgação de informações ou dados confidenciais da empresa, de seus clientes e operações em grupos de discussões, comunidades virtuais, listas ou bate-papos virtuais, não importando se a divulgação dessas informações ou dados é deliberada ou inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da Lei; c) Os colaboradores com acesso a Internet não podem baixar quaisquer tipos de programas ou arquivos. Toda necessidade de download de programa ou arquivo necessário para o desempenho de suas funções deve ser relatado ao Setor de TI da empresa para que seus técnicos venham a tomar as ações cabíveis para o download de programa ou arquivo; d) Colaboradores com acesso a Internet não podem efetuar upload de qualquer software licenciado à empresa ou de dados de propriedade da empresa ou de seus clientes, sem expressa autorização do Setor de TI da empresa; e) Caso a empresa julgue necessário, haverá bloqueios de acesso à: a. Arquivos que comprometam o uso de banda ou perturbem o bom andamento dos trabalhos; b. Domínios ou sites que comprometam o uso de banda de comunicação ou perturbem o bom andamento dos trabalhos; f) Haverá a geração de relatórios dos sites acessados por usuário e, se necessário, a publicação desse relatório; g) É obrigatório o uso do programa Internet Explorer, ou outro software homologado e instalado pelo Setor de TI da empresa, como meio de acesso e navegação na Internet; Página 9 de 14

10 h) Não será permitida a utilização de softwares de comunicação instantânea como ICQ, Microsoft Messenger MSN, Skipe e afins. Caso seja necessária a utilização de algum tipo de software de comunicação instantânea, com a finalidade do desempenho de alguma função na empresa, o colaborador deverá solicitar ao seu chefe imediato, que deverá formalizar a solicitação, consubstanciada com a relevância da necessidade, ao Setor de TI da empresa através de abertura de chamado no sistema de Service Desk, que estudará pontualmente o caso e providenciará a instalação do software, bem como mecanismos necessários para o monitoramento desse tipo de comunicação e backup das informações trocadas por esse meio; i) Toda a utilização de serviços de mensagens instantânea é monitorada pelo Setor de TI da empresa e o conteúdo das informações trafegadas por esse meio é gravado; j) Não é permitida a utilização de softwares de peer-to-peer (P2P), tais como Kazaa, Morpheus e afins; k) Não será permitida a utilização de serviços de streaming, tais como rádios On-Line, Usinas de Som e afins; l) A empresa publica no endereço a relação de sites que tem seu acesso autorizado a seus colaboradores. Caso o colaborador necessite ter acesso a algum site que não conste dessa lista, deve solicitar isso através do freesites@titoonline.com, informando os motivos da necessidade de acesso. O setor de TI da empresa lhe retornará informando da liberação do site ou do veto a sua solicitação, e os motivos para o veto. Página 10 de 14

11 IV. Utilização de Impressoras e Copiadoras Esse tópico visa definir as normas de utilização de impressoras e copiadoras disponíveis para o uso dos colaboradores da empresa, e a economia de papel: a) Ao mandar imprimir um documento, verifique na impressora se o que foi solicitado já está impresso, evitando o desperdício de papeis e insumos de impressão; b) Se a impressão deu errado e o papel pode ser reaproveitado na sua próxima tentativa, coloque-o na bandeja de impressão da impressora de papeis reciclados. Se o papel servir para rascunho, leve para sua mesa. Se o papel não servir para mais nada, jogueo no lixo. c) Cuidados com a impressão em rascunho: a. As impressões em rascunho NÃO devem ser enviadas para fora da TITO. O seu uso deve ser exclusivo dentro da empresa; b. NÃO utilizar como rascunho impressões de: faturas comerciais, dados de clientes, DI s, LI s, DDE s, RE s e afins. Nesse caso recomenda-se a destruição desses documentos e NÃO a sua reutilização; c. Cabe ao colaborador que realizou a impressão decidir se a mesma pode ou não ser utilizada para rascunho ou reimpressão no verso (observando a orientação acima); d) Não é permitido deixar impressões erradas na mesa das impressoras, na mesa de pessoas próximas a ela e tampouco sobre o gaveteiro; e) Se a impressora emitir alguma folha em branco, recoloque-a na bandeja de impressão; f) Se você notar que o papel de alguma impressora está no final, faça a gentileza de reabastecê-la. Isso evita que você ou outra pessoa tenha seus pedidos de impressão prejudicados, e evita acúmulo de trabalhos na filha de impressão; g) Utilize a impressora colorida somente nos casos estritamente necessários e na versão final de trabalhos e não para testes ou rascunhos; h) A empresa gerará relatórios periódicos das impressões geradas através de cada estação de trabalho, onde constarão nomes dos documentos impressos. Através desse relatório é possível verificar a utilização indevida do serviço de impressão. Caso seja verificado uso indevido, utilização de serviço de impressão para fins particulares, a empresa aplicará as sanções cabíveis, bem como exigirá ressarcimento de despesa de impressão a essa irregularidade. Página 11 de 14

12 V. Utilização de Telefonia e Rádio-Comunicação Esse tópico visa definir as normas de utilização de ramais telefônicos, equipamentos de telefonia celular e rádio-comunicação de propriedade da empresa, e que são disponibilizados a seus colaboradores para o desempenho de suas funções: a) O colaborador deve primar pela utilização de linguagem dentro dos critérios de urbanidade e cordialidade, quando da utilização dos equipamentos de telefonia e rádio-comunicação da empresa; b) A utilização de ramais telefônicos, equipamentos de telefonia celular e rádiocomunicação são de uso exclusivo do colaborador no desempenho de suas funções e na troca de dados e comunicação de assuntos relativos aos negócios da empresa; c) A empresa gerará relatórios periódicos das ligações geradas através de seus ramais telefônicos, e poderá exigir do colaborador responsável pelo ramal informações relativas às ligações executadas naquele equipamento, bem como ressarcimento de despesa de telefonia caso seja constatada a utilização indevida do ramal ou equipamento telefônico e a não observância do item anterior; d) O colaborador detentor de equipamento de telefonia celular de propriedade da empresa deverá apresentar relação das ligações geradas nesse equipamento a fim de apresentar ao Setor Financeiro da empresa para comparação com a conta mensal do equipamento, e ressarcir despesas que não configurem ao expresso no item b. e) Caso a empresa julgue necessário, a qualquer momento, poderá cancelar conta de telefone celular ou rádio-comunicação, e solicitar a devolução do equipamento de seu detentor; f) O colaborador detentor de telefone celular ou rádio-comunicador é proibido de trocar chip, alterar configurações ou disponibilizar aparelho a outrem sem prévia autorização e conhecimento da empresa; g) A qualquer momento a empresa poderá remanejar ou cancelar o ramal telefônico de qualquer colaborador. Página 12 de 14

13 VI. Verificação da utilização da Política de Segurança da Informação de: Para garantir as regras mencionadas acima, a empresa se reserva no direito a) Implantar softwares e sistemas que possam monitorar e gravar todos os usos de Internet através da rede e das estações de trabalho da empresa; b) Inspecionar, gravar, excluir qualquer arquivo armazenado na rede, esteja no disco local da estação de trabalho ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política; c) A empresa tem o direito de monitorar, auditar, registrar, armazenar, recuperar, destruir ou de qualquer outra forma processar quaisquer informações eletrônicas transmitidas ou acessadas em qualquer uma das suas redes. Isto engloba, entre outras coisas, conteúdo de correio eletrônico, conteúdo de correio de voz, endereços de rede, freqüência ou ocorrência, e identificação de serviços on-line; d) A empresa tem o direito de auditar, registrar, armazenar, recuperar, destruir ou de qualquer outra forma processar comunicação telefônica efetuada através de equipamentos de sua propriedade cedidos a seus colaboradores com a finalidade de utilização em trabalhos da empresa. Isto engloba, entre outras coisas, ligações de equipamentos celulares, de ramais telefônicos internos da empresa, aparelhos de rádio-comunicação como Nextel, etc. Página 13 de 14

14 VII. Das Punições O não cumprimento pelo colaborador das normas ora estabelecidas neste documento (Política de Segurança da Informação da TITO Global Trade Services), seja isolada ou acumulativamente, poderá ensejar, de acordo com a infração cometida, as seguintes punições: a) Comunicação de Descumprimento: Será encaminhado ao colaborador, por , comunicado informando o descumprimento da norma, com a indicação precisa da violação praticada; Cópia desse comunicado permanecerá arquivada no Setor de Recursos Humanos na respectiva pasta funcional do infrator; b) Advertência ou Suspensão: A pena de advertência ou suspensão será aplicada, por escrito, somente nos casos de natureza grave ou na hipótese de reincidência na prática de infrações de menor gravidade; c) Demissão por Justa Causa: Nas hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, alíneas a a f ; Fica desde já estabelecido que não há progressividade como requisito para a configuração da dispensa por justa causa, podendo a Diretoria da empresa, no uso do poder diretivo e disciplinar que lhe é atribuído, aplicar a pena que entender devida quando tipificada a falta grave; d) Ação Penal e/ou Civil: A empresa reserva-se o direito de acionar juridicamente o colaborador que vir a ferir norma legal utilizando-se dos seus recursos de TI, bem como responsabilizá-lo civil e penalmente quanto à violação de sigilo e informações ou direito de propriedade da empresa, de acordo com a legislação vigente. Página 14 de 14