SCPAR PORTO DE IMBITUBA S.A. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Transcrição

1 SCPAR PORTO DE IMBITUBA S.A. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

2 Sumário 1 MISSÃO DA GERÊNCIA DE TECNOLOGIA DA INFORMAÇÃO INTRODUÇÃO REFERÊNCIAS NORMATIVAS OBJETIVO ABRANGÊNCIA VIGÊNCIA DECLARAÇÃO DA DIRETORIA CLASSIFICAÇÃO DA INFORMAÇÃO DADOS PESSOAIS DE FUNCIONÁRIOS DIRETRIZES ESPECÍFICAS... 9 EQUIPAMENTOS Modificações Limpeza Remoção Equipamentos Portáteis Equipamentos particulares SISTEMAS PERMISSÕES E SENHAS COMPARTILHAMENTO DE PASTAS E DADOS SEGURANÇA E INTEGRIDADE DE DADOS GESTÃO DA CONTINUIDADE DO NEGÓCIO ADMISSÃO / DEMISSÃO DE FUNCIONÁRIOS TEMP. OU ESTAGIÁRIOS REALOCAÇÃO DE FUNCIONÁRIOS CÓPIAS DE SEGURANÇA DE ARQUIVOS INDIVIDUAIS PROPRIEDADE INTELECTUAL USO DO AMBIENTE WEB (INTERNET) USO DO CORREIO ELETRÔNICO NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS OU EQUIPAMENTOS 17 DATACENTER... 18

3 RESPONSABILIDADES DOS GERENTES/SUPERVISORES SISTEMA DE TELECOMUNICAÇÕES USO DE ANTI-VÍRUS VIOLAÇÕES DA POLITICA DE SEGURANÇA DA INFORMAÇÃO PENALIDADES ANEXOS... 21

4 POLITICA DE SEGURANÇA DA INFORMAÇÃO SCPAR PORTO DE IMBITUBA S.A. A Política de Segurança da Informação, na SCPar Porto de Imbituba S.A, aplica-se a todos os empregados, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento do Porto, ou acesso a informações pertencentes à SCPar. Todo e qualquer usuário de recursos computadorizados do Porto tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática. A violação desta política de segurança é qualquer ato que: Exponha a SCPar Porto de Imbituba S.A. a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados /ou de informações ou ainda da perda de equipamento. Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos. Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental. Cause a interrupção temporária ou permanente das atividades laborais desempenhadas pelos profissionais alocados no Porto de Imbituba. É dever de todos os envolvidos: Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a SCPar Porto de Imbituba S.A. e deve sempre ser tratada profissionalmente.

5 1 MISSÃO DA GERÊNCIA DE TECNOLOGIA DA INFORMAÇÃO Gerir o processo de segurança e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade. 2 INTRODUÇÃO A informação é um dos principais patrimônios das empresas. Um fluxo de informação de qualidade é capaz de decidir o sucesso de um empreendimento. Mas esse poder, somado à crescente facilidade de acesso, faz desse "ativo" um alvo de constantes ameaças internas e externas. Quando não gerenciados adequadamente, esses riscos e ameaças podem causar consideráveis danos às instituições. A Segurança da Informação são esforços contínuos para a proteção dos ativos de informação, auxiliando as instituições a cumprir sua missão. Atentos a isso, publicamos a Política de Segurança da Informação, também referida como PSI, o alicerce dos esforços de proteção à informação da SCPar Porto de Imbituba S.A. A Política de Segurança da Informação, é o documento que orienta e estabelece as diretrizes corporativas do Porto para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição. 3 REFERÊNCIAS NORMATIVAS A presente PSI está baseada nas recomendações propostas pelas normas: Norma ABNT NBR/ISO/IEC 27002:2005, que institui o código de melhores práticas para Gestão de Segurança da Informação e Comunicações. Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação e Comunicações Norma ABNT NBR/ISO/IEC 15999:2007, que institui o código de melhores práticas para gestão de continuidade de negócios.

6 4 OBJETIVO Estabelecer diretrizes estratégicas, responsabilidades e competências, que permitam aos colaboradores e clientes da SCPar Porto de Imbituba seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo. Assegurar disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade de informações, documentos e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio dos sistemas de informação, de modo a preservar os ativos e, inclusive, a imagem institucional da SCPar. Além disso, objetiva estabelecer o comprometimento da alta direção organizacional da SCPar Porto de Imbituba S.A., com vistas a prover apoio para implementação e monitoramento da Política de Segurança da Informação (PSI), e estabelecer um ambiente seguro, proporcionando melhor qualidade nos processos de gestão e controle dos sistemas de informação e informática. 5 ABRANGÊNCIA A diretrizes da Política de Segurança da Informação (PSI) aqui estabelecidas deverão ser seguidas por todos os colaboradores, servidores, funcionários e colaboradores externos que prestam serviço em razão de contratos administrativos firmados na forma da Lei e, no que couber, no relacionamento com outros órgãos públicos ou entidades privadas na celebração de parcerias, acordos de cooperação de qualquer tipo, convênios e termos congêneres, e se aplicam à informação em qualquer meio ou suporte. Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras. É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência de Tecnologia da Informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

7 6 VIGÊNCIA A Política de Segurança da Informação (PSI) entra em vigor, após a aprovação da direção, a partir da data de publicação e comunicação aos funcionários da SCPar Porto de Imbituba S.A. A PSI tem prazo de validade indeterminado, portanto, sua vigência se estenderá até a edição de outro marco normativo que a atualize ou a revogue. 7 DECLARAÇÃO DA DIRETORIA A direção da SCPar Porto de Imbituba S.A, representada pelo Diretor Presidente, declara seu comprometimento e apoio a aplicação desta Política de Segurança da Informação, reconhecendo o valor de seus princípios, metas e objetivos condizentes com os negócios do Porto de Imbituba. Entende-se, assim, a importância das partes abrangidas pela política de segurança, tais como: acordos de confidencialidade, uso de contas e senhas, uso de rede, acesso à Internet, mensagens eletrônicas, acesso remoto, instalação e remoção de software, cópias de segurança e alienação do equipamento. 8 CLASSIFICAÇÃO DA INFORMAÇÃO É de responsabilidade do Gerente de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a tabela abaixo: Conceitos: 1 Pública 2 Interna 3 Confidencial 4 Restrita Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. Informação Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.

8 Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro. Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito mesa limpa, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. 9 DADOS PESSOAIS DE FUNCIONÁRIOS A SCPar Porto de Imbituba S.A. se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes é necessário na condução do seu negócio. Todos os Dados Pessoais de Funcionários serão considerados dados confidenciais. Dados Pessoais de Funcionários sob a responsabilidade da SCPar Porto de Imbituba S.A. não serão usados para fins diferentes daqueles para os quais foram coletados. Dados Pessoais de Funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de endereços eletrônicos ( s) usados pelos funcionários da SCPar Porto de Imbituba S.A.

9 10 DIRETRIZES ESPECÍFICAS EQUIPAMENTOS Os equipamentos disponibilizados aos colaboradores são de propriedade da união, administrados pela SCPar Porto de Imbituba S.A. Cabe a cada um utilizá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis. É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico do setor de Tecnologia da Informação, ou de quem este determinar Modificações É expressamente proibido aos funcionários, ou terceiros, mesmo que habilitados, realizar qualquer tipo de manutenção ou modificação nos equipamentos, sistemas ou na rede sem a supervisão do setor de Tecnologia da Informação. Também é vetado aos funcionários, ou terceiros retirar da tomada qualquer equipamento que esteja utilizando a mesma, para ligação de equipamentos pessoais, como carregadores de celular. Somente é permitido o desligamento de qualquer equipamento em casos emergenciais, onde a segurança física do equipamento possa vir a ser comprometida. Os problemas encontrados nos equipamentos, sistema ou na estrutura de rede devem ser reportados ao setor responsável, sendo que somente a equipe da SCPar Porto de Imbituba está autorizada a realizar qualquer tipo de modificação ou manutenção Limpeza A limpeza dos periféricos de computador como Mouse e Teclado e Monitor, bem como a limpeza externa de gabinetes, é de responsabilidade do usuário. Cabendo ao mesmo comunicar ao setor de Tecnologia da informação quando, durante os procedimentos de limpeza detectar anormalidades ou necessidade de manutenção.

10 Para evitar possíveis danos é proibida a ingestão e permanência de líquidos e alimentos próximos a teclados, mouse, gabinetes e monitores, devendo o usuário dirigir-se às áreas apropriadas para alimentação nas instalações do Porto Remoção É vetada a remoção de equipamentos e outros itens tecnológicos da sua localização de origem dentro das dependências do Porto de Imbituba. Os usuários só poderão manter equipamentos tecnológicos em seu poder ou domicílio mediante a uma autorização expressa da Gerência de TI ou dos Diretores da SCPar Porto de Imbituba Equipamentos Portáteis Quando for do seu interesse, a SCPar Porto de Imbituba poderá fornecer equipamentos portáteis para acompanhar determinados colaboradores em seu translado ou viagens, tais como notebooks, aparelhos de telefonia móvel e outros. Os equipamentos portáteis são para uso funcional. Os usuários que tiverem direito a portarem o uso de computadores portáteis ou qualquer outro equipamento computacional, sob gestão da SCPar Porto de Imbituba S.A., devem estar cientes de que: usuários, têm como objetivo a realização de atividades profissionais; responsabilidade do próprio usuário; equipamento, a confidencialidade e disponibilidade da informação contida no mesmo; Alguns cuidados que devem ser observados: Fora do trabalho: o o o o o porta malas ou lugar não visível; o equipamento em automóvel utilize sempre

11 Em caso de furto ou extravio: o o a Gerência de Tecnologia da Informação; o a Gerência de Tecnologia da Informação. Em caso de dano do equipamento sob posse do colaborador, o mesmo deverá comunicar imediatamente ao setor de Tecnologia da Informação. Terminados os serviços ou em caso de rescisão do contrato de trabalho, o colaborador deverá devolver o equipamento completo e em perfeito estado de conservação, considerando-se o desgaste natural devido ao uso, ao setor competente. Mesmo os equipamentos estando em posse do colaborador, estarão sujeitos a inspeções sem prévio aviso. A qualquer momento a empresa poderá solicitar a devolução do equipamento Equipamentos particulares É dever da SCPar Porto de Imbituba fornece as ferramentas tecnológicas necessárias para que seus colaboradores possam desempenhar as atividades para as quais foram designados. É vetada a utilização de equipamentos particulares, de propriedade dos colaboradores, para armazenar e/ou processar dados relacionados ao negócio, nem tampouco consumir recursos disponibilizados por meio das redes lógicas da Organização, salvo as exceções devidamente autorizadas. É vetado o uso de mídias de armazenamento de dados removíveis, tais como CDs, DVDs, pen-drives, cartões de memória, ou qualquer outro dispositivo que armazene arquivos de procedência externa não confiável. Na necessidade de fazêlo é imprescindível que seu conteúdo seja analisado pela Gerência de Tecnologia da Informação. SISTEMAS A SCPAr Porto de Imbituba disponibilizará todos os sistemas computacionais necessários a execução das atividades laborais dos seus colaboradores.

12 A empresa tem como política fornecer cópias de sistemas devidamente licenciadas pelos seus fabricantes. Os usuários não podem, em hipótese alguma, instalar qualquer tipo de "software" (programa) nos equipamentos do Porto de Imbituba, independentemente de possuírem licenças legais ou não, salvo se houver autorização expressa para tal instalação. A instalação e configuração de sistema é de responsabilidade única da Gerência de TI. Esporadicamente, a Gerência de Tecnologia da Informação fará verificações nos computadores dos usuários, visando garantir a correta aplicação desta diretriz. PERMISSÕES E SENHAS Cada colaborador possui uma conta para acesso à Rede Local da SCPar Porto de Imbituba. A cada conta é atribuído um conjunto de privilégios que determinam quais recursos o usuário terá acesso. Quando da necessidade de cadastramento de um novo usuário, o responsável pelo setor no qual está lotada deverá solicitar a criação da sua conta ao setor de Tecnologia da Informação, por meio de memorando ou . Na solicitação deverá informar o nome completo e CPF do novo usuário e também os recursos que deverão ser disponibilizados para o mesmo. A Gerência da Tecnologia da Informação fará a criação da nova conta e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada a cada 45 (quarenta e cinco) dias. A política de segurança exige que a senha da conta de usuário possua, no mínimo, 8 (oito) caracteres alfanuméricos, misturando letras e números. Todos os usuários responsáveis pela aprovação eletrônica de documentos (exemplo: pedidos de compra, solicitações e etc.) deverão comunicar ao Setor de Tecnologia da Informação qual será o seu substituto quando de sua ausência da SCPar Porto de Imbituba S.A., para que as permissões possam ser alteradas (delegação de poderes). O funcionário é responsável por todos os atos executados com a sua conta de rede. Por isso, os seguintes cuidados devem ser observados:

13 Manter a confidencialidade, memorizar e não registrar a senha em lugar algum. Ou seja, não a revelar a ninguém e não a anotar em papel; Alterar a senha sempre que existir qualquer suspeita do comprometimento dela; Selecionar senhas de qualidade, que sejam de difícil adivinhação; Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ "logado" com a sua identificação; Bloquear sempre o equipamento ao se ausentar (Tecla de logotipo do Windows+L). COMPARTILHAMENTO DE PASTAS E DADOS Cada unidade operacional da SCPar Porto de Imbituba possui uma área de armazenamento de dados localizada nos Servidores. Somente os colaboradores que desenvolvem atividade em cada unidade operacional têm acesso às suas respectivas áreas. Por questão de segurança, não é permitido o compartilhamento de recursos locais das estações de trabalho sob responsabilidade dos usuários. SEGURANÇA E INTEGRIDADE DE DADOS O gerenciamento dos bancos de dados é responsabilidade exclusiva do Setor de Tecnologia da Informação, assim como a manutenção, alteração e atualização de equipamentos e programas. A Política de realização de cópias de segurança de dados deverá ser tratada em documento específico elaborado e com acesso restrito pelo setor de Tecnologia da Informação. DEFINIÇÕES E PROCEDIMENTOS DE BACKUP DE ARQUIVOS E BANCOS DE DADOS Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial, nas chamadas janelas de backup períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.

14 As mídias de backup devem ser acondicionadas em local seco, climatizado, seguro e distantes o máximo possível do Datacenter. GESTÃO DA CONTINUIDADE DO NEGÓCIO A Gerência da Tecnologia da Informação deverá elaborar, divulgar, instruir colaboradores, atualizar e manter plano de continuidade do negócio, onde deverão estar descritos os procedimentos a serem seguidos em casos emergenciais. Este documento deverá conter as informações relevantes, contatos e meios para restabelecimento da operação do Porto de Imbituba a qualquer momento. ADMISSÃO / DEMISSÃO DE FUNCIONÁRIOS TEMP. OU ESTAGIÁRIOS O setor de recursos humanos do Porto deverá informar a Gerencia de Tecnologia da Informação, toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos no sistema do Porto. Isto inclui o fornecimento de sua senha ("password") e o registro do seu nome como usuário no sistema (user-id). Cabe ao setor solicitante da contratação a comunicação a gerência de Tecnologia da Informação sobre as rotinas a que o novo contratado terá direito de acesso. No caso de temporários e/ou estagiários deverá também ser informado o tempo em que o mesmo prestará serviço ao Porto, para que na data de seu desligamento possam também ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema. No caso de demissão, o setor de Recursos Humanos deverá comunicar o fato o mais rapidamente possível à Tecnologia da Informação, para que o funcionário demitido seja excluído do sistema. Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da SCPar Porto de Imbituba S.A. Todos os funcionários, estagiário ou temporário, contratados, deverão dar concordância expressa a presente política de segurança da informação.

15 REALOCAÇÃO DE FUNCIONÁRIOS Quando um funcionário for promovido ou transferido de seção ou gerência, o setor de Recursos Humanos deverá comunicar o fato gerência da Tecnologia da Informação, para que sejam feitas as adequações necessárias para o acesso do referido funcionário ao sistema informatizado do Porto. CÓPIAS DE SEGURANÇA DE ARQUIVOS INDIVIDUAIS É responsabilidade dos próprios usuários a elaboração de cópias de segurança ("backups") de textos, planilhas, mensagens eletrônicas, desenhos e outros arquivos ou documentos, desenvolvidos pelos funcionários, em suas estações de trabalho, e que não sejam considerados de fundamental importância para a continuidade dos negócios da SCPar Porto de Imbituba S.A. No caso das informações consideradas de fundamental importância para a continuidade dos negócios da SCPar Porto de Imbituba S.A. a gerência de Tecnologia da Informação disponibilizará um espaço nos servidores onde cada usuário deverá manter estas informações. Estas informações serão incluídas na rotina diária de backup da Tecnologia da Informação. PROPRIEDADE INTELECTUAL São de propriedade da SCPar Porto de Imbituba S.A., todos os projetos, estudos, designs, criações ou procedimentos desenvolvidos por qualquer funcionário realizadas em razão das demandas de trabalho no âmbito da SCPar Porto de Imbituba S.A. USO DO AMBIENTE WEB (INTERNET) O acesso à Internet será autorizado para os usuários que necessitarem da mesma para o desempenho das suas atividades profissionais na SCPar Porto de Imbituba S.A. Sites que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados.

16 O uso da Internet será monitorado pela gerência de Tecnologia da Informação, inclusive através de logs (arquivos gerados no servidor) que informam qual usuário está conectado, o tempo que usou a Internet e qual página acessou. Não é permitido instalar programas provenientes da Internet nos microcomputadores da SCPar Porto de Imbituba S.A., sem expressa anuência da Gerência de Tecnologia da Informação. Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros. Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites: Redes sociais, que não sejam necessárias para a execução dos trabalhos; gais; de qualquer espécie. relacionados aos negócios da SCPar Porto de Imbituba S.A.; da SCPar Porto de Imbituba S.A., a menos que autorizado pela Diretoria; rmações de nível Confidencial ; programas ilegais. A Gerencia de Tecnologia da Informação poderá restringir ou vedar o acesso a sites, redes sociais etc. Conforme definido pela Diretoria. USO DO CORREIO ELETRÔNICO O correio eletrônico fornecido pela SCPar Porto de Imbituba S.A. é um instrumento de comunicação interna e externa para a realização do negócio da SCPar Porto de Imbituba S.A.

17 As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da SCPar Porto de Imbituba S.A., não podem ser contrárias à legislação vigente e nem aos princípios éticos da SCPar Porto de Imbituba S.A. O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que: inguagem ofensiva; equivalentes; SCPar Porto de Imbituba S.A. Para incluir um novo usuário no correio eletrônico, a respectiva Gerência deverá fazer um pedido formal ao Setor de Tecnologia da Informação, que providenciará a inclusão do mesmo. A utilização do " " deve ser criteriosa, evitando que o sistema fique congestionado. Em caso de congestionamento no Sistema de correio eletrônico o Setor de Tecnologia da Informação fará auditorias no servidor de correio e/ou nas estações de trabalho dos usuários, visando identificar o motivo que ocasionou o mesmo. O Setor de Tecnologia da Informação poderá, visando evitar a entrada de vírus na SCPar Porto de Imbituba S.A., bloquear o recebimento de s provenientes de sites gratuitos. NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS OU EQUIPAMENTOS A Gerência de Tecnologia da Informação é responsável pela aplicação da Política da SCPar Porto de Imbituba S.A. em relação a definição de compra e substituição de software e hardware.

18 Qualquer necessidade de novos programas ("softwares") ou de novos equipamentos de informática (hardware) deverá ser discutida previamente com o responsável pela gerência de Tecnologia da Informação. Não é permitido a compra ou o desenvolvimento de "softwares" ou "hardwares" diretamente pelos usuários. DATACENTER O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação. Por exemplo: biometria, cartão magnético entre outros. Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser registrado (usuário, data e hora) mediante software próprio. O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado. O acesso ao Datacenter, por meio de chave, apenas poderá ocorrer em situações de emergência, quando a segurança física do Datacenter for comprometida, como por incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver funcionando. Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração de liberação de acesso. O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais. Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável. No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados.

19 RESPONSABILIDADES DOS GERENTES Os gerentes são responsáveis pelas definições dos direitos de acesso dos colaboradores a eles subordinados aos sistemas e informações do Porto, cabendo a eles verificarem se os mesmos estão acessando exatamente as rotinas compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política. A Gerencia de Tecnologia da Informação fará auditorias periódicas do acesso dos usuários às informações, verificando: nada rotina e/ou informação; rotina ou informação; ou informação sem estar autorizado. SISTEMA DE TELECOMUNICAÇÕES O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos da SCPar Porto de Imbituba S.A., assim como, o uso de eventuais ramais virtuais instalados nos computadores, é responsabilidade da Gerência da Tecnologia da Informação, de acordo com as definições da Diretoria da SCPar Porto de Imbituba S.A. Ao final de cada mês, para controle, serão enviados relatórios informando a cada gerência quanto foi gasto por cada ramal. USO DE ANTI-VÍRUS Todo arquivo em mídia, proveniente de entidade externa a SCPar Porto de Imbituba S.A., deve ser verificado por programa antivírus.

20 Todo arquivo recebido / obtido através do ambiente Internet deve ser verificado por programa antivírus. Todas as estações de trabalho devem ter um antivírus instalado. A atualização do antivírus será automática, agendada pela Gerencia de Tecnologia da Informação, via rede. O usuário não pode em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho. VIOLAÇÕES DA POLITICA DE SEGURANÇA DA INFORMAÇÃO As violações de segurança da informação ser informadas à Gerência da Tecnologia da informação. Toda violação ou desvio é investigado para a determinação das medidas necessárias, visando a correção da falha ou reestruturação de processos. Exemplos que podem ocasionar sanções: Uso ilegal de software; Introdução (intencional ou não) de vírus de informática; Tentativas de acesso não autorizado a dados e sistemas; Compartilhamento de informações sensíveis do negócio; Divulgação de informações de clientes e das operações contratadas; Os princípios de segurança estabelecidos na presente política possuem total aderência da administração e devem ser observados por todos na execução de suas funções. Em caso de dúvidas quantos aos princípios e responsabilidades descritas nesta norma, deve entrar em contato com da Gerencia da Tecnologia da Informação. 11 PENALIDADES A não-conformidade com as diretrizes desta política e a violação de normas administrativas, derivadas da mesma sujeita os Correspondentes às penas de responsabilidade civil e criminal na máxima extensão que a lei permitir podendo redundar inclusive, na demissão por justa causa.

21 12 ANEXOS

22 ANEXO I TERMO DE RECEBIMENTO E CONCORDÂNCIA DECLARO, pelo presente termo, que recebi, tomei conhecimento e concordo com a Política de Segurança da Informação (PSI) da SCPar Porto de Imbituba S.A, divulgada pela Gerência da Tecnologia da Informação dessa instituição. Imbituba, / / Nome: CPF: Assinatura:

23 ANEXO II TERMO DE RESPONSABILIDADE Eu, NOME COMPLETO, CPF, FUNÇÃO, DECLARO, pelo presente termo, que recebi da SCPar Porto de Imbituba S.A os equipamentos abaixo listados para exercício de minhas funções nessa instituição. Comprometendo-me a zelar pelo seu perfeito estado enquanto fizer uso dos mesmos e a cumprir todas as determinações da Política de Segurança da Informação (PSI) a mim disponibilizada. Item 1: Item 2: Imbituba, / / Assinatura:

24 TERMO DE DEVOLUÇÃO DE EQUIPAMENTOS Declaro a devolução em perfeitas condições de uso dos seguintes equipamentos: Item 01: Item 02: Item 03: Imbituba, / / Nome Responsável pela guarda