Política de Segurança da Informação

Transcrição

Política de Segurança da Informação TITO
Política de Segurança da Informação
Tito Global Trade Services
Atualizado em 28/04/2010
Página 1 de 14
O objetivo deste documento é definir normas de utilização dos recursos de
rede, dados e comunicação pelos colaboradores TITO a fim de primar pela alta qualidade e
segurança da Informação e ao mesmo tempo desenvolver um comportamento extremamente
ético e profissional.
Assim, para assegurar os altos padrões de qualidade na prestação dos
serviços de rede, processamento de dados e comunicações, faz-se necessário a especificação
de uma Política de Segurança da Informação.
O objetivo dessa Política de Segurança da Informação é descrever as
normas de utilização dos recursos tecnológicos a disposição dos colaboradores TITO e quais
são as atividades que entendemos como violação do uso desses recursos, que são
consideradas proibidas.
Podemos definir como serviços e recursos amparados por esta Política de
Segurança da Informação, que são utilizados pelos colaboradores da TITO: computadores,
servidores, e-mails dos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.ar,
titoonline.com.mx, links de Internet, programas de computador disponibilizados pela TITO,
impressoras, telefones, ramais, celulares, rádio-comunicadores e afins.
As normas descritas no decorrer deste documento não constituem uma
relação exaustiva e podem ser atualizadas com o tempo, sendo que qualquer modificação será
avisada em tempo hábil para remodelação (se necessário) do ambiente.
Tais normas são fornecidas a título de orientação do colaborador. Em caso
de dúvida sobre o que é considerado, de alguma forma, violação desta Política de Segurança
da Informação, o usuário deverá enviar previamente um email para [email protected]
visando esclarecimentos e segurança.
Nos termos desta Política de Segurança da Informação, a empresa
procederá ao bloqueio do acesso, cancelamento de conta de usuário, cancelamento de conta
telefônica, celular ou de rádio-comunicação, ou desligamento de ramal caso seja detectado uso
em desconformidade com o aqui estabelecido ou de forma prejudicial à rede ou segurança da
informação da empresa.
Caso seja necessário advertir o colaborador, será informado
departamento de Recursos Humanos para interagir e manter-se informado da situação.
o
Atitudes que são consideradas violação à Política de Segurança da
Informação foram divididas em quatro tópicos, que são:
I.
II.
III.
IV.
V.
Utilização de Rede
Utilização de e-mail
Utilização de acesso a Internet
Utilização de Impressoras e Copiadoras
Utilização de Telefonia e Rádio-Comunicação
A seguir descrevemos as normas mencionadas e informamos que tudo o
que não for permitido e/ou liberado é considerado violação à Política de Segurança da
Informação.
Página 2 de 14
I.
Utilização da Rede
Esse tópico visa definir as normas de utilização da rede que engloba desde
a conta de usuário de rede (login), manutenção de arquivos no servidor e tentativas não
autorizadas de acesso:
a) Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de
fraudar autorização de usuário e segurança de qualquer servidor, rede ou conta (também
conhecido como “cracking”). Isso inclui acesso aos dados não disponíveis para o usuário,
conectar-se a servidores ou conta cujo acesso não seja expressamente autorizado ao
usuário ou colocar a prova a segurança de outras redes;
b) Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário,
servidor ou rede. Isso inclui ataques do tipo “negativa de acesso”, provocar
congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e
tentativas de “quebrar” (invadir) um servidor;
c) Não é permitido o uso de qualquer tipo de programa ou comando designado a interferir
com sessão de usuários;
d) Antes de ausentar-se do seu local de trabalho, o usuário de computador deverá fechar
todos os programas acessados, evitando, desta maneira, o acesso por pessoa não
autorizada, efetuando o logout/logoff da rede e o bloqueio do desktop através de senha;
e) O colaborador deve manutenir periodicamente seu diretório pessoal, evitando acúmulo de
arquivos inúteis;
f)
Material de natureza pornográfica, racista, obsceno, indecente, impróprio ou ofensivo a
quaisquer direitos legais, alheios a necessidade de utilização da empresa não pode ser
exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos
computacionais da rede;
g) Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que
venham a comprometer o desempenho e funcionamento dos sistemas. As áreas de
armazenamento de arquivos são designadas conforme abaixo:
Unidade Uruguaiana:
Diretório
Utilização
J:/Nome
Arquivos Pessoais inerentes à empresa
Página 3 de 14
I:/Nome do Departamento
P:/
Arquivos do Departamento em que trabalha
Arquivos temporários ou de compartilhamento geral
Unidade São Caetano do Sul:
Diretório
Utilização
F:/Funcionarios/Nome
F:/Nome do Departamento
F:/Public
Unidade São Borja:
Diretório
Utilização
F:/PUBLIC/COLABORADORES_SBJ/Nome
F:/Public
Unidade Santos:
Diretório
Utilização
F:/Funcionarios/Nome
F:/Public
Em alguns casos pode haver mais de um compartilhamento referente aos
arquivos do departamento em qual faz parte.
h) A pasta “Public” não deverá ser utilizada para armazenamento de arquivos que contenham
assuntos sigilosos ou de natureza sensível;
i)
É obrigatório armazenar os arquivos inerentes a empresa no servidor de arquivos, em
diretório próprio, para garantir o backup dos mesmos;
j)
Haverá limpeza semanal dos arquivos armazenados na pasta “Public”, para que não haja
acúmulo desnecessário de arquivos, tal limpeza excluirá definitivamente todos os
diretórios e arquivos constantes dessa pasta. Não há backup da pasta “Public”;
k) É proibida a instalação, alteração, atualização ou remoção de softwares em servidores e
estações de trabalho sem a prévia aprovação do Setor de TI. Toda e qualquer necessidade
de instalação, alteração, atualização ou remoção de software deve ser solicitada ao Setor
de TI da Empresa através de abertura de chamado no sistema de Service-Desk, para que os
técnicos verifiquem a viabilidade e procedam ou não a remoção, atualização ou instalação;
l)
É vedada a abertura, desconexão, retirada de periféricos ou partes de computadores e
demais equipamentos de TI, ou rompimento de lacre de segurança que guarda a
Página 4 de 14
integridade do equipamento. Caso seja necessário qualquer tipo de reparo, este deverá
ser solicitado através de abertura de chamado no sistema de Service-Desk;
m) Não será permitida a alteração das configurações de rede ou estações de trabalho,
desligamento de equipamentos, ou inicialização dos mesmos, bem como modificações que
possam trazer algum problema futuro;
n) Não será permitida a remoção de quaisquer equipamentos de TI (estações de trabalho e
seus periféricos, impressoras, ramais, etc.). Caso seja necessária alguma remoção ou
realocação de equipamento, isto deve ser solicitado ao Setor de TI através de abertura de
chamado no sistema de Service Desk;
o) É vedado dar a conhecer a outrem sua senha de usuário de computador, rede, e-mail,
Internet, senha de acesso telefônico, ou outro meio de segurança que lhe foi confiado pela
empresa a fim de desempenhar suas funções;
p) É vedado tentar obter de outrem senha de usuário de computador, rede, e-mail, Internet,
senha de acesso telefônico, ou outro meio de segurança que foi confiado a este pela
empresa, ou de seu uso particular, a fim de obter acessos ou vantagens na utilização das
mesmas;
q) A cota máxima de arquivos armazenados no diretório destinado a Arquivos Pessoais
inerentes a seus serviços a empresa não deve ultrapassar o limite máximo de 200
Megabytes;
r) A cota máxima de arquivos armazenados no diretório destinado a Arquivos
Departamentais (Importação, Exportação, Financeiro, etc.) não deve ultrapassar o limite
máximo de 4,7 Gigabytes;
s) Todo colaborador deve zelar pela aplicação dos itens q e r, e informar qualquer indício de
irregularidade com respeito a mau uso do espaço de armazenamento de arquivos, tanto
para arquivamento de documentos pessoais inerentes a empresa, quanto para
arquivamento de documentos dos respectivos departamentos aos quais tem direito de
acesso.
Página 5 de 14
II.
Utilização de e-mail
Esse tópico visa definir as normas de utilização de e-mail que engloba
desde o envio, recebimento e gerenciamento das contas de e-mail:
a) É proibido o assédio ou perturbação de outrem, seja através de linguagem utilizada,
freqüência ou tamanho das mensagens;
b) É proibido o envio de e-mail a qualquer pessoa que não o deseje receber. Se o destinatário
solicitar a interrupção de envio de e-mail, o usuário deve acatar tal solicitação e não lhe
enviar qualquer e-mail;
c) É proibido o envio de grande quantidade de mensagens de e-mail (“Junk mail” ou “Spam”)
que, de acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de
outros usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade
comercial ou não, anúncios e informativos, ou propaganda política;
d) É proibido reenviar ou de qualquer forma propagar mensagens em cadeia, também
chamadas “correntes” ou “pirâmides”, independentemente da vontade do destinatário de
receber tais mensagens;
e) É proibido o envio de e-mail mal-intencionado, tais como “mail bombing”, ou
sobrecarregar um usuário, site ou servidor com e-mails muito extensos ou com numerosas
partes de e-mail;
f)
Caso a empresa julgue necessário haver bloqueios:
a. De e-mail com arquivos anexos que comprometa o uso de banda de comunicação
ou perturbe o bom andamento dos trabalhos;
b. De e-mail para destinatários ou domínios que comprometa o uso da banda de
comunicação ou perturbe o bom andamento dos trabalhos;
g) É proibido forjar quaisquer das informações de cabeçalho de e-mails enviados ou
recebidos, suas assinaturas ou quaisquer outros dados constantes destes documentos;
Página 6 de 14
h) Não é permitida má utilização da linguagem na elaboração de e-mails, tais como gírias ou
abreviações de palavras (Ex.: “vc” ao invés de “você”);
i)
É obrigatória a manutenção da caixa de e-mail, evitando o acúmulo de e-mails e arquivos
inúteis. Caso seja necessário o arquivamento de e-mails periodicamente, a fim de evitar a
utilização de especo maios que 1,5 Gigabytes, isso deve ser solicitado ao Setor de TI,
através de abertura de chamado no sistema de Service Desk;
j)
É obrigatória a utilização do protocolo POP3 para recebimento dos e-mails provenientes e
destinados aos domínios titoonline.com, titoonline.com.br, tito.com.br, titoonline.com.mx
e titoonline.com.ar, ou a utilização de Web Mail constante do site da empresa;
k) A cota máxima de e-mails armazenados não deve ultrapassar os 1,5 Gigabytes;
l)
É obrigatória a utilização do programa Microsoft Office Outlook, Outlook Express,
softwares homologados pelo Setor de TI destinados ao uso como software cliente de email;
m) É obrigatória a utilização de assinatura nos emails com o seguinte formato:
TITO Global Trade Services
Nome do Colaborador
Departamento
[email protected]
Tel Coml. da Unidade
Fax Coml. da Unidade
www.titoonline.com
Exemplo:
TITO Global Trade Services
Velci Nedson Felix Ferretto
Tecnologia da Informação
[email protected]
Tel: 55 11 2102.9300
Fax: 55 11 4221.4393
www.titoonline.com
n) A alteração de assinatura ou formato de cabeçalhos ou papeis de parede de e-mail só é
permitida com prévia autorização do Setor de TI da empresa, e deve ser solicitado através
de abertura de chamado no sistema de Service Desk;
o) É proibida a utilização de e-mail dos domínios titoonline.com, titoonline.com.br,
tito.com.br, titoonline.com.mx e titoonline.com.ar para envio de material de natureza
pornográfica, racista, obscena, indecente, imprópria ou ofensiva a quaisquer direitos legais
e a ética;
Página 7 de 14
p) É proibida a utilização de e-mail dos domínios titoonline.com, titoonline.com.br,
tito.com.br, titoonline.com.mx e titoonline.com.ar para o recebimento de material de
natureza pornográfica, racista, obscena, indecente, imprópria ou ofensiva a quaisquer
direitos legais e a ética. Caso o colaborador venha a receber materiais dessa natureza,
deve informar ao Setor de TI da empresa, através de abertura de chamado no sistema de
Service Desk, a fim de que este setor tome as providências necessárias e para que o
colaborador venha a se eximir de qualquer culpa quanto à divulgação ou armazenamento
desse tipo de material;
q) Caso venha a suspeitar do recebimento de e-mail inoculado com vírus ou qualquer outra
“praga virtual” como spyreware, programas espiões, etc., o colaborador deve,
imediatamente, informar ao Setor de TI da empresa a fim de evitar danos e a propagação
dessa praga aos demais equipamentos da empresa;
r) É proibido o envio de e-mail com quaisquer informações ou dados que venham a atentar
contra a empresa, seus clientes ou colaboradores, suas informações sigilosas,
confidenciais, ou que possam caracterizar a prática de “insider trading”, não importando
se a divulgação dessas informações ou dados é deliberada ou inadvertida, sendo possível
sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da
Lei;
s) O tamanho de cada e-mail a ser enviado ou recebido é limitado a 4 Megabytes. Os
colaboradores da empresa devem atentar-se para esse limite de tamanho, e respeitá-lo,
quando da elaboração de seus e-mails, e instruir seus interlocutores a fim de que não lhes
enviem emails maiores que 4 Megabytes;
t) A empresa reserva-se no direito de monitorar a utilização do serviço de e-mail e os
conteúdos trafegados por esse meio.
Página 8 de 14
III.
Utilização de acesso a Internet
Esse tópico visa definir as normas de utilização da Internet que engloba
desde a navegação a sites, downloads e uploads de arquivos:
a) É proibido utilizar os recursos da empresa para fazer download ou distribuição de software
ou dados não legalizados;
b) É proibida a divulgação de informações ou dados confidenciais da empresa, de seus
clientes e operações em grupos de discussões, comunidades virtuais, listas ou bate-papos
virtuais, não importando se a divulgação dessas informações ou dados é deliberada ou
inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos
internos e/ou na forma da Lei;
c) Os colaboradores com acesso a Internet não podem baixar quaisquer tipos de programas
ou arquivos. Toda necessidade de download de programa ou arquivo necessário para o
desempenho de suas funções deve ser relatado ao Setor de TI da empresa para que seus
técnicos venham a tomar as ações cabíveis para o download de programa ou arquivo;
d) Colaboradores com acesso a Internet não podem efetuar upload de qualquer software
licenciado à empresa ou de dados de propriedade da empresa ou de seus clientes, sem
expressa autorização do Setor de TI da empresa;
e) Caso a empresa julgue necessário, haverá bloqueios de acesso à:
a. Arquivos que comprometam o uso de banda ou perturbem o bom andamento dos
trabalhos;
b. Domínios ou sites que comprometam o uso de banda de comunicação ou
perturbem o bom andamento dos trabalhos;
f)
Haverá a geração de relatórios dos sites acessados por usuário e, se necessário, a
publicação desse relatório;
g) É obrigatório o uso do programa Internet Explorer, ou outro software homologado e
instalado pelo Setor de TI da empresa, como meio de acesso e navegação na Internet;
Página 9 de 14
h) Não será permitida a utilização de softwares de comunicação instantânea como ICQ,
Microsoft Messenger – MSN, Skipe e afins. Caso seja necessária a utilização de algum tipo
de software de comunicação instantânea, com a finalidade do desempenho de alguma
função na empresa, o colaborador deverá solicitar ao seu chefe imediato, que deverá
formalizar a solicitação, consubstanciada com a relevância da necessidade, ao Setor de TI
da empresa através de abertura de chamado no sistema de Service Desk, que estudará
pontualmente o caso e providenciará a instalação do software, bem como mecanismos
necessários para o monitoramento desse tipo de comunicação e backup das informações
trocadas por esse meio;
i)
Toda a utilização de serviços de mensagens instantânea é monitorada pelo Setor de TI da
empresa e o conteúdo das informações trafegadas por esse meio é gravado;
j)
Não é permitida a utilização de softwares de peer-to-peer (P2P), tais como Kazaa,
Morpheus e afins;
k) Não será permitida a utilização de serviços de streaming, tais como rádios On-Line, Usinas
de Som e afins;
l)
A empresa publica no endereço HTTP://172.19.8.52/freesites/ a relação de sites que tem
seu acesso autorizado a seus colaboradores. Caso o colaborador necessite ter acesso a
algum site que não conste dessa lista, deve solicitar isso através do e-mail
[email protected], informando os motivos da necessidade de acesso. O setor de TI
da empresa lhe retornará informando da liberação do site ou do veto a sua solicitação, e
os motivos para o veto.
Página 10 de 14
IV.
Utilização de Impressoras e Copiadoras
Esse tópico visa definir as normas de utilização de impressoras e
copiadoras disponíveis para o uso dos colaboradores da empresa, e a economia de papel:
a)
Ao mandar imprimir um documento, verifique na impressora se o que foi solicitado já
está impresso, evitando o desperdício de papeis e insumos de impressão;
b)
Se a impressão deu errado e o papel pode ser reaproveitado na sua próxima tentativa,
coloque-o na bandeja de impressão da impressora de papeis reciclados. Se o papel
servir para rascunho, leve para sua mesa. Se o papel não servir para mais nada, jogueo no lixo.
c)
Cuidados com a impressão em rascunho:
a. As impressões em rascunho NÃO devem ser enviadas para fora da TITO. O seu uso
deve ser exclusivo dentro da empresa;
b. NÃO utilizar como rascunho impressões de: faturas comerciais, dados de clientes,
DI’s, LI’s, DDE’s, RE’s e afins. Nesse caso recomenda-se a destruição desses
documentos e NÃO a sua reutilização;
c. Cabe ao colaborador que realizou a impressão decidir se a mesma pode ou não ser
utilizada para rascunho ou reimpressão no verso (observando a orientação acima);
d)
Não é permitido deixar impressões erradas na mesa das impressoras, na mesa de
pessoas próximas a ela e tampouco sobre o gaveteiro;
e)
Se a impressora emitir alguma folha em branco, recoloque-a na bandeja de impressão;
f)
Se você notar que o papel de alguma impressora está no final, faça a gentileza de
reabastecê-la. Isso evita que você ou outra pessoa tenha seus pedidos de impressão
prejudicados, e evita acúmulo de trabalhos na filha de impressão;
g)
Utilize a impressora colorida somente nos casos estritamente necessários e na versão
final de trabalhos e não para testes ou rascunhos;
h)
A empresa gerará relatórios periódicos das impressões geradas através de cada
estação de trabalho, onde constarão nomes dos documentos impressos. Através desse
relatório é possível verificar a utilização indevida do serviço de impressão. Caso seja
verificado uso indevido, utilização de serviço de impressão para fins particulares, a
empresa aplicará as sanções cabíveis, bem como exigirá ressarcimento de despesa de
impressão a essa irregularidade.
Página 11 de 14
V.
Utilização de Telefonia e Rádio-Comunicação
Esse tópico visa definir as normas de utilização de ramais telefônicos,
equipamentos de telefonia celular e rádio-comunicação de propriedade da empresa, e que são
disponibilizados a seus colaboradores para o desempenho de suas funções:
a)
O colaborador deve primar pela utilização de linguagem dentro dos critérios de
urbanidade e cordialidade, quando da utilização dos equipamentos de telefonia e
rádio-comunicação da empresa;
b)
A utilização de ramais telefônicos, equipamentos de telefonia celular e rádiocomunicação são de uso exclusivo do colaborador no desempenho de suas funções e
na troca de dados e comunicação de assuntos relativos aos negócios da empresa;
c)
A empresa gerará relatórios periódicos das ligações geradas através de seus ramais
telefônicos, e poderá exigir do colaborador responsável pelo ramal informações
relativas às ligações executadas naquele equipamento, bem como ressarcimento de
despesa de telefonia caso seja constatada a utilização indevida do ramal ou
equipamento telefônico e a não observância do item anterior;
d)
O colaborador detentor de equipamento de telefonia celular de propriedade da
empresa deverá apresentar relação das ligações geradas nesse equipamento a fim de
apresentar ao Setor Financeiro da empresa para comparação com a conta mensal do
equipamento, e ressarcir despesas que não configurem ao expresso no item b.
e)
Caso a empresa julgue necessário, a qualquer momento, poderá cancelar conta de
telefone celular ou rádio-comunicação, e solicitar a devolução do equipamento de seu
detentor;
f)
O colaborador detentor de telefone celular ou rádio-comunicador é proibido de trocar
chip, alterar configurações ou disponibilizar aparelho a outrem sem prévia autorização
e conhecimento da empresa;
g)
A qualquer momento a empresa poderá remanejar ou cancelar o ramal telefônico de
qualquer colaborador.
Página 12 de 14
VI.
Verificação da utilização da Política de Segurança da Informação
Para garantir as regras mencionadas acima, a empresa se reserva no direito
de:
a)
Implantar softwares e sistemas que possam monitorar e gravar todos os usos de
Internet através da rede e das estações de trabalho da empresa;
b)
Inspecionar, gravar, excluir qualquer arquivo armazenado na rede, esteja no disco local
da estação de trabalho ou nas áreas privadas da rede, visando assegurar o rígido
cumprimento desta política;
c)
A empresa tem o direito de monitorar, auditar, registrar, armazenar, recuperar,
destruir ou de qualquer outra forma processar quaisquer informações eletrônicas
transmitidas ou acessadas em qualquer uma das suas redes. Isto engloba, entre outras
coisas, conteúdo de correio eletrônico, conteúdo de correio de voz, endereços de
rede, freqüência ou ocorrência, e identificação de serviços on-line;
d)
A empresa tem o direito de auditar, registrar, armazenar, recuperar, destruir ou
qualquer outra forma processar comunicação telefônica efetuada através
equipamentos de sua propriedade cedidos a seus colaboradores com a finalidade
utilização em trabalhos da empresa. Isto engloba, entre outras coisas, ligações
equipamentos celulares, de ramais telefônicos internos da empresa, aparelhos
rádio-comunicação como Nextel, etc.
de
de
de
de
de
Página 13 de 14
VII.
Das Punições
O não cumprimento pelo colaborador das normas ora estabelecidas neste
documento (Política de Segurança da Informação da TITO Global Trade Services), seja isolada
ou acumulativamente, poderá ensejar, de acordo com a infração cometida, as seguintes
punições:
a) Comunicação de Descumprimento:

Será encaminhado ao colaborador, por e-mail, comunicado informando o
descumprimento da norma, com a indicação precisa da violação praticada;

Cópia desse comunicado permanecerá arquivada no Setor de Recursos Humanos
na respectiva pasta funcional do infrator;
b) Advertência ou Suspensão:

A pena de advertência ou suspensão será aplicada, por escrito, somente nos casos
de natureza grave ou na hipótese de reincidência na prática de infrações de menor
gravidade;
c) Demissão por Justa Causa:

Nas hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho,
alíneas “a” a “f”;

Fica desde já estabelecido que não há progressividade como requisito para a
configuração da dispensa por justa causa, podendo a Diretoria da empresa, no uso
do poder diretivo e disciplinar que lhe é atribuído, aplicar a pena que entender
devida quando tipificada a falta grave;
d) Ação Penal e/ou Civil:

A empresa reserva-se o direito de acionar juridicamente o colaborador que vir a
ferir norma legal utilizando-se dos seus recursos de TI, bem como responsabilizá-lo
civil e penalmente quanto à violação de sigilo e informações ou direito de
propriedade da empresa, de acordo com a legislação vigente.
Página 14 de 14

Política de Segurança da Informação

Transcrição

Documentos relacionados

ata da reunião ordinária do programa de pós–graduação em

Um filho diferente

1º Fórum Avintense Jovem Programa

Feliz Dia Das Mães

Código de Ética

Literatura de testemunho: a ficcionalização de eventos reais em Les

garagem de arrifana premiada

Présentation PowerPoint

Poemas de Frei Tito no exílio

acordo coletivo de trabalho

Apresentação do PowerPoint

Caro Colaborador: Estamos num momento de grandes

Tito Andrônico

a hora mágica - Roteiro de Cinema

Consulta por Classificação / Área Avaliação

Lista de periódicos Qualis em Educação/2015

Quais Periódicos_Parte2