NORMAS E PROCEDIMENTOS CONTROLADORIA CONTROLE DE ACESSO DOS SISTEMAS SUMÁRIO

Transcrição

1 NORMAS E PROCEDIMENTOS CONTROLADORIA CONTROLE DE ACESSO DOS SISTEMAS NPCN 02-REV00 Página 1 de 5 SUMÁRIO 1 OBJETIVO APLICAÇÃO DISTRIBUIÇÃO COMPETÊNCIA ABRANGÊNCIA DETERMINAÇÕES CONTROLE DE ACESSO AOS SISTEMAS Sistemas Abrangidos Operacionalização Fluxo de Requisição / Aprovação de Acesso Segurança da Informação Responsabilidades REVISÕES ASSINATURAS OBJETIVO Estabelecer as regras e responsabilidades quanto aos controles de acesso dos sistemas do Grupo. 2 APLICAÇÃO Aplica-se a todas as unidades do Grupo DASS. Esta norma entra em vigor a partir da data de sua aprovação (vide campo 8 Assinaturas). 3 DISTRIBUIÇÃO Esta norma deve ser aplicada integralmente e distribuída na proporção necessária pelos gerentes administrativos das unidades e demais supervisões e gerências.

2 NPCN 02 REV00 Página 2 de 5 4 COMPETÊNCIA A manutenção e a revisão desta norma são de responsabilidade da Controladoria da empresa, os demais devem zelar pelo seu pleno cumprimento. 5 ABRANGÊNCIA Esta norma visa abranger os controles de acesso dos principais sistemas de suporte do Grupo. 6 DETERMINAÇÕES Descrevem-se abaixo as determinações relativas ao processo. 6.1 CONTROLE DE ACESSO AOS SISTEMAS Conforme determinado no item 2 Aplicação, os controles de acesso dos sistemas do Grupo, devem seguir as orientações desta norma Sistemas Abrangidos Segue a relação de sistemas compreendidos pela norma: ERP Dass Sistema de Gestão de Negócio Dass; RM Sistema da Administração Pessoal; TFSales Sistema da Força de Vendas; Linx Sistema do Varejo; SGA Sistema de Gestão de Atendimentos; SGD Sistema de Gestão de Documentos; Aprovações Eletrônicas Sistema de Aprovações de Ordem de Compra; Portal do Cliente Sistema de Relacionamento dos Clientes do Grupo; Acesso a Rede e a s Operacionalização Perfis de Acesso: A partir do levantamento das funções e atividades dos colaboradores, serão criados os perfis de acesso, onde cada usuário terá os acessos competentes as suas responsabilidades.

3 NPCN 02 REV00 Página 3 de 5 Os usuários deverão ser sempre pessoais, não devendo haver usuários com nomes genéricos, salve casos excepcionais que não tenham um tratamento mais adequado. Segregação de Funções: Todos os acessos disponibilizados nos perfis irão respeitar a segregação de funções adequada para que não hajam conflitos, aumento o risco sobre a operação. Liberação Temporária: Para casos de ausência ou de atividade temporária, os colaboradores envolvidos deverão ser solicitar ao setor de Célula de Acesso, que por sua vez irá analisar a solicitação, podendo requerer o de acordo do superior do colaborador solicitante ou até vetar. Essa solicitação deverá ser via Sistema SGA. Harmonização dos Privilégios: Existe a vinculação dos usuários de cada Sistema, vinculo esse feito pelo documento do colaborador. A intenção é que independente do Sistema que for acessar, os acessos e privilégios estejam compatíveis Fluxo de Requisição / Aprovação de Acesso As solicitações de acesso aos sistemas do Grupo deverão ser realizadas exclusivamente pelo Sistema SGA, direcionando a Célula de Acessos e preenchendo os campos do cadastro. Ficará a cargo da Célula de Acessos avaliar as solicitações e em casos de acesso a programas que não se adéquam ao perfil, será acionado o superior imediato para autorizar ou podendo até ser vetado pelo setor de acessos Segurança da Informação De acordo com a NBR ISO/IEC a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.

4 NPCN 02 REV00 Página 4 de 5 Confidencialidade: O acesso a qualquer sistema relacionado no item é de uso exclusivo dos colaboradores do Grupo e pessoas autorizadas pela Célula de Acesso. Integridade: Todo colaborador terá seu acesso aos sistemas do Grupo de acordo com o perfil enquadrado, garantindo dessa maneira que os dados e as informações serão manuseados de acordo com sua necessidade profissional. Acessos a programas ou sistemas críticos ou que não se enquadram no perfil do colaborador, serão avaliados pela Célula de Acesso. Os principais programas e os principais sistemas possuem ferramentas de rastreabilidade para garantir o histórico dos registros. Disponibilidade: A disponibilidade da informação dos sistemas do Grupo será enquadrada de acordo com o perfil do colaborador. Todos os dados que o colaborador tiver acesso, de acordo com o seu perfil, deverá ser de uso exclusivo para os interesses da organização e não deve ser para fim pessoal. O acesso estará disponível enquanto o colaborador pertencer ao quadro funcional da empresa. Sempre que houver desligamentos a célula de acessos receberá a informação do RH para que sejam feitos os bloqueios necessários Responsabilidades É responsabilidade dos colaboradores que utilizam os sistemas do Grupo a observância das normas definidas. O colaborador é responsável em proteger sua senha, devendo o mesmo alterá-la periodicamente e colocar senhas que não sejam facilmente identificáveis e utilizar os padrões caso haja orientação. É expressamente proibido o uso da login de outro colaborador, bem como o acesso a sistema ou programas que não são de seu perfil. Podendo o colaborador ser responsabilizado por danos ou prejuízos que venha a causar ao Grupo ou a terceiros pela má utilização dos sistemas.

5 NPCN 02 REV00 Página 5 de 5 Os gerentes, supervisores e chefes, devem zelar pelo correto manuseio dos usuários e senhas de seus subordinados, não permitindo o uso ou a troca de logins entre eles. Também são responsáveis pela observância dessa norma em seu setor. Os sistemas do Grupo possuem controles de acesso, alguns por coleta de log s e outros por meio de software. Diante disso, fica a cargo da controladoria o monitoramento e o acionamento dos gestores de cada setor que possuir algum registro de atividade indevida. A área de TI, não deve liberar acesso aos sistemas abrangidos e nem a seus programas, mesmo que em fase de teste. Todas as liberações devem ser encaminhadas a Célula de Acesso. 7 REVISÕES REVISÃO DATA ALTERADO 00 10/11/2011 EMISSÃO 8 ASSINATURAS ÁREAS DATA ASSINATURAS Diretoria Financeira: João Batista da Silva 11/2011