1. Disposições Gerais

1.1. Essa e todas as demais políticas, além das normas e procedimentos do Lojão do Brás, aplicam-se a todos os colaboradores, usuários dos sistemas e das instalações da empresa ou dos computadores da rede do Lojão do Brás, sendo eles, mas não se limitando a: colaboradores, terceiros, visitantes e clientes;

1.2. Toda informação deve ter seu nível de confidencialidade classificado, caso esse nível não esteja determinado, entender-se-á que a informação é interna, sendo permitido o acesso pelos profissionais do Lojão do Brás;

1.3. Todos os profissionais do Lojão do Brás devem compreender e atender a todos os requisitos dessa e de todas as demais políticas, normas e procedimentos da organização;

1.4. Essa e todas as demais políticas, normas e procedimentos são revisadas e atualizadas em intervalo máximo de 12 meses;

1.5. Todo incidente de segurança, violação dessa e/ou demais políticas e normas deverá ser registrada e informada ao comitê de segurança da informação e proteção de dados;

1.6. Todos os profissionais contratados são treinados e mantidos atualizados para o pleno exercício de suas funções e para o cumprimento dessa e todas as demais políticas, normas e procedimentos do Lojão do Brás;

1.7. Essa política tem sua ampla divulgação e acesso garantido a todos os colaboradores e terceiros para pleno entendimento e cumprimento;

1.8. A adoção e incorporação de novas tecnologias, bem como a alteração/mudanças nas tecnologias previamente utilizadas deverão cumprir todas as exigências dessa política e atender aos níveis de segurança requeridos

2. Segurança física e patrimonial Esse item tem por objetivo estabelecer as proteções aplicadas para controle e segurança nos ambientes físicos, garantindo a integridade patrimonial do Lojão do Brás.

2.1. Segurança patrimonial

2.1.1. Os perímetros de segurança devem ser claramente definidos e suas capacidades de resistência e localização devem ser definidas de acordo com a criticidade dos ativos existentes em seu interior;

2.1.2. Projetos de reforma e construção devem observar todos os requisitos de segurança e legislação vigentes;

2.1.3. Todas as portas corta-fogo existentes em perímetros de segurança devem conter alarme e possuir monitoramento, respeitando todas as normas de prevenção a falhas e incêndios;

2.1.4. Devem ser estipulados e mantidos planos específicos que envolvam a plena conservação das instalações físicas

2.2. Controle de acesso físico

2.2.1. Áreas seguras

2.2.1.1. O acesso a áreas seguras deve ser protegido por controles adequados a fim de assegurar que apenas pessoas autorizadas tenham acesso permitido;

2.2.1.2. O acesso de todos os visitantes deve ser supervisionado e a data e hora de entrada e saída, devem ser registradas;

2.2.1.3. Um livro de registro físico e uma trilha de auditoria eletrônica deve ser mantida e monitorada;

2.2.1.4. Os direitos de acesso devem ser revistos e atualizados em intervalos regulares e todas as ações de revogação de acesso devem ser tomadas quando necessário;

2.2.1.5. O uso de filmadoras, máquinas fotográficas, gravadores de áudio, bem como câmeras em dispositivos móveis deve ser proibido. Casos específicos de necessidade de uso devem ser submetidos a autorização.

2.3. Salas de reunião, laboratório e auditório

2.3.1. A definição dos ambientes para esses fins deve considerar que as atividades nesses ambientes não podem ser vistas ou ouvidas externamente, a fim de evitar o vazamento de informações confidenciais eventualmente tratadas no interior desses ambientes;

2.3.2. O acesso a laboratórios de manutenção de computadores, auditórios e salas de reunião que disponham de recursos computacionais com acesso à rede do Lojão do Brás deve ser monitorado. O acesso por terceiros poderá se dar apenas através de agendamento e com a supervisão de um colaborador;

2.4. Áreas de entrega e carregamento

2.4.1. O acesso a áreas internas a partir de áreas de entrega e carregamento, deve ser controlado;

2.4.2. As portas externas da área de entrega e carregamento devem estar protegidas quando as portas internas estiverem abertas;

2.4.3. A fim de averiguar a presença de materiais perigosos, todo material recebido deve ser examinado antes de ser transferido da área de entrega e carregamento para o local de utilização.

3. Segurança de redes e computadores Esse item tem por objetivo estabelecer as proteções de rede e dos computadores do Lojão do Brás.

3.1. Meios físicos

3.1.1. Deve haver a classificação de todos os componentes de rede quanto a sua criticidade para a continuidade do negócio;

3.1.2. As redes de comunicação interna e externa, bem como os computadores, são de responsabilidade do Lojão do Brás. Portanto a aplicação e utilização desses recursos serão exclusivamente dedicados para os propósitos de negócio do Lojão do Brás;

3.1.3. Os equipamentos computacionais do Lojão do Brás possuem discos rígidos, porém leitores/gravadores de discos, acesso a pen drive e qualquer outro dispositivo de armazenamento por USB, deverão ser bloqueados. O acesso a esses dispositivos de armazenamento só poderá ser liberado em casos excepcionais, com formalização da solicitação e autorização da diretoria do Lojão do Brás;

3.1.4. Toda informação trafegada no ambiente de rede do Lojão do Brás deve ter sua confidencialidade e integridade garantidas, conforme sua classificação;

3.1.5. Só podem ocorrer intervenções no ambiente de rede e ativos do Lojão do Brás após formalização da atividade e autorização formal da diretoria;

3.1.6. As alterações de configurações de rede e inicialização dos computadores do Lojão do Brás é vetada a todos os colaboradores que não fazem parte da T.I;

3.1.7. Deve haver uma rotina estabelecida e formalizada de teste e instalação de patchs de segurança em todos os recursos computacionais do Lojão do Brás.

3.2. Acessos remotos

3.2.1. Toda conexão remota deve ser segura e criptografada, a fim de garantir a proteção das informações transacionadas. Portanto, as conexões deverão seguir os padrões e procedimentos estabelecido pela T.I do Lojão do Brás;

3.2.2. O acesso remoto através de dispositivos móveis, como smartphones e tablets também devem seguir padrões de segurança e procedimentos estabelecidos pela T.I do Lojão do Brás;

3.2.3. A permissão para acesso remoto deverá ser solicitada formalmente por chamado e conter a autorização do superior imediato do solicitante.

3.3. Gestão de ativos

3.3.1. Deve ser mantido um inventário completo de todos os ativos de tecnologia do Lojão do Brás, incluindo informações como número serial, versão de softwares operacionais e licenciamentos;

3.3.2. É indispensável que seja mantida uma rotina de revisão do inventário, observando os todas as necessidades de inclusão ou exclusão de ativos e aquisição e renovação de licenças, bem como atualização dos softwares operacionais.

3.4. Gestão de vulnerabilidades

3.4.1. Deve ser realizada uma varredura ao menos uma vez ao ano, a fim de averiguar as vulnerabilidades na rede do Lojão do Brás.

3.4.2. As vulnerabilidades técnicas encontradas devem ter ações de correção estabelecidas no tempo adequado, conforme sua criticidade;

3.4.3. Todas as vulnerabilidades técnicas encontradas devem fazer parte de um plano de ação para mitigação e extinção. O plano de ação deve ser reportado a alta direção;

3.4.4. Todas as ações para mitigação e extinção de vulnerabilidades deverão ser submetidas a testes e avaliação de riscos de impacto ao negócio do Lojão do Brás, a fim de evitar qualquer indisponibilização dos recursos de T.I.

4. Segurança nas operações Esse item tem por objetivo estabelecer as proteções necessárias para a gestão correta e segura dos recursos de processamento de informações.

4.1. Gestão da capacidade

4.1.1. É necessário manter um monitoramento constante da capacidade dos recursos de T.I para garantir o pleno atendimento as necessidades do negócio;

4.1.2. Devem ser realizadas projeções de crescimento dos recursos já existentes e para todos os novos projetos que necessitem de recursos de T.I;

4.1.3. Deve haver um controle constante de ações que visem garantir a otimização dos recursos, reduzindo o consumo de espaço em discos, otimizando o desempenho de aplicações e desativando sistemas e bases de dados que não são mais utilizadas pelo negócio

4.2. Gestão de mudanças

4.2.1. É imprescindível que todas as mudanças que afetem os recursos de T.I e/ou processos de negócio sejam controladas;

4.2.2. Toda mudança que apresente algum risco de indisponibilização e/ou segurança da informação, dos recursos de T.I ou processos de negócio deverá ser identificada, registrada e submetida a processo formal de aprovação da diretoria;

4.2.3. Deve haver procedimento de recuperação e restauração dos serviços e processos que possam ser impactados pelas mudanças.

4.3. Separação de ambientes

4.3.1. Todo o ambiente de produção deve ser segregado dos demais ambientes, como desenvolvimento e homologação;

4.3.2. É necessário que toda migração de ambiente, de homologação para produção, siga o processo formal de mudança, contemplando todas as evidências de testes realizados em ambiente de homologação;

4.3.3. Deve haver credenciais de acesso dos usuários a ambientes diferentes, portanto as credenciais para acesso ao ambiente de homologação, deve ser diferente das utilizadas para acesso ao ambiente de produção;

4.3.4. Caso seja necessário utilizar dados pessoais reais em ambientes diferentes dos de produção, os dados devem ser anonimizados antes da movimentação 4.3.5. Uma rotina de testes estabelecida e formalizada deve ser executada antes de qualquer mudança em ambientes críticos.

4.3.5. Uma rotina de testes estabelecida e formalizada deve ser executada antes de qualquer mudança em ambientes críticos.

4.4. Cópias de segurança

4.4.1. As cópias de segurança, também conhecidas como backups devem ser elaboradas e determinadas por uma “Política de Backup1 ”;

4.4.2. A Política de Backup deve ser elaborada considerando e contemplando os registros completos das cópias de segurança, o armazenamento com as devidas proteções, o controle das mídias, a abrangência e imprescindivelmente os testes periódicos.

4.5. Registro de eventos

4.5.1. Devem ser mantidas e analisadas periodicamente trilhas de auditoria e registros de eventos, também conhecidos como logs2 ;

4.5.2. Toda trilha de auditoria e registro de eventos deve conter no mínimo a identificação do usuário, atividade realizada e identificação do dispositivo;

4.5.3. Os registros devem ser protegidos contra acessos não autorizados e adulterações.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

5. Segurança nas comunicações O objetivo desse item é estabelecer as normas de utilização de mensagens eletrônicas na rede e domínio do Lojão do Brás.

5.1. E-mail (Mensagens Eletrônicas)

5.1.1. O serviço de e-mails utilizado no Lojão do Brás é uma ferramenta de trabalho, para uso exclusivo no exercício de suas funções, evitando sua utilização para fins pessoais;

5.1.2. É dever de todo colaborador resguardar o sigilo das informações trocadas por esse meio;

5.1.3. O envio de e-mail a domínios externos deverá ser limitado a 15 endereços de cada vez, a fim de evitar que o domínio do Lojão do Brás seja inserido em “blacklist3 ”;

5.1.4. Ações de marketing deverão ser realizadas através de ferramentas específicas para esse fim, para que o domínio do Lojão do Brás não seja inserido em “blacklist”;

5.1.5. O envio de “SPAM4 ”, bem como de “correntes”, de todos os tipos, é terminantemente proibido, independentemente da finalidade;

5.1.6. Não devem ser enviados links ou arquivos que possam ser infectados ou que possam possuir código malicioso, como links de páginas desconhecidas ou suspeitas e arquivos com extensão “.exe”;

5.1.7. Ao receber mensagem contendo links ou arquivos de remetentes desconhecidos, suspeitos e/ou não relacionados ao seu trabalho ou ao negócio do Lojão do Brás, o e-mail deve ser excluído imediatamente, sem que haja nenhuma interação com os arquivos ou links nele contidos. Em casos de dúvidas, a área de Tecnologia da Informação deve ser acionada.

5.2. Compartilhamento e transferência de informações

5.2.1. O compartilhamento e transferência formal de informações deve ser realizado observando as normas e procedimentos estabelecidos pelo Lojão do Brás, utilizando os recursos de comunicação oficiais disponibilizados pela companhia;

5.2.2. Conversas de colaboradores do Lojão do Brás em locais públicos devem ser limitados a informações públicas, evitando qualquer conversa sobre assuntos confidenciais ou restritos. O sigilo e proteção dessas informações são obrigação de todo colaborador;

5.2.3. Para realizar o envio de informações classificadas como “confidenciais” ou “restritas”, é necessário autorização específica e formalizada.

5.3. Comunicação instantânea

5.3.1. A utilização de ferramenta de comunicação instantânea é controlada e necessita de permissão e homologação pelo departamento de T.I;

5.3.2. Deve ser respeitada a classificação das informações ao utilizar qualquer ferramenta de comunicação instantânea, sendo vetado o envio de informações confidenciais e restritas por esse meio, sem a devida autorização formal.

6. Acesso à internet Esse item tem por objetivo definir as regras de utilização da internet disponibilizada pelo Lojão do Brás e em seus ambientes.

6.1. O serviço de internet disponibilizado pelo Lojão do Brás é uma ferramenta profissional, destinada apenas ao desempenho da função de cada colaborador, sendo vetado o seu uso para fins particulares durante o expediente de trabalho;

6.2. A divulgação de informações restritas ou confidenciais do Lojão do Brás em blogs, redes sociais ou qualquer tipo de página da internet, por meio escrito ou verbal, é terminantemente proibida. A divulgação inadvertida ou deliberada está sob pena de aplicação de penalidades internas ou de lei;

6.3. É proibido o uso dos recursos de internet do Lojão do Brás para fins ilegais, como divulgação de informações falsas, vazamento de informações, divulgação de mensagens racistas, preconceituosas e difamatórias, entre outras, sob pena de responsabilização criminal, de acordo com as leis vigentes;

6.4. É proibido o carregamento para área pública da internet (upload5 ) de arquivos de propriedade do Lojão do Brás, de seus clientes, parceiros e afins;

6.5. Todo o acesso à internet através dos recursos disponibilizados pelo Lojão do Brás deve ser controlado, portanto a companhia reserva o direito de monitorar, registrar e armazenar todos os dados de acesso;

6.6. A criação de páginas, grupos ou perfis com nome vinculado o Lojão do Brás não é permitida. As ações nos meios de comunicação digital são de responsabilidade do Marketing.

7. Acessos Lógicos O objetivo desse item é estabelecer as normas de criação e administração de contas de acesso aos sistemas de informação do Lojão do Brás.

7.1. Concessão e revogação de acessos

7.1.1. Ao ser admitido, todo colaborador que desempenhará funções que necessitem de acesso a rede ou aos computadores do Lojão do Brás, receberá um usuário com acesso padrão básico, que lhe dará acesso apenas a informações classificadas como públicas;

7.1.2. Toda necessidade de concessão de acesso aos sistemas e arquivos deve respeitar o processo estabelecido e formalizado pelo Lojão do Brás;

7.1.3. Todos os acessos dos colaboradores devem ser bloqueados durante o período em que estes estiverem de férias ou qualquer tipo de licença maior que 7 dias;

7.1.4. Em casos de compartilhamento de credenciais ou qualquer outra violação das políticas e normas da empresa, o usuário do colaborador deverá ser bloqueado e um processo de apuração e auditoria deverá ser iniciado;

7.1.5. Em casos de desligamento do colaborador, por iniciativa de qualquer das partes, todos os acessos desse colaborador, devem ser revogados imediatamente.

7.2. Permissão de acesso à terceiros

7.2.1. Em casos de necessidade de acesso à rede e/ou sistemas do Lojão do Brás por terceiros, prestadores de serviço temporário e afins, um contrato ou um termo de responsabilidade, bem como um termo sobre o conhecimento dessa política, deve ser assinado;

7.2.2. Todos os usuários criados para esse fim, deverão possuir tempo de expiração igual ao do contrato ou do acordo de tempo de serviço e sua extensão poderá se dar apenas nos casos de renovação desses. A área de T.I deverá ser formalmente notificada para que haja a prorrogação do prazo de expiração dos usuários em questão; 7.2.3. Devem ser observados todos os requisitos de segurança estabelecidos pelo departamento de T.I do Lojão do Brás para esse tipo de acesso;

7.2.4. Em caso de desligamento de qualquer colaborador do prestador de serviço que tenha acesso à rede e aos sistemas do Lojão do Brás, esse tem a obrigatoriedade de notificar o Lojão do Brás imediatamente, para bloqueio ou alteração das senhas de acesso;

7.2.5. Quando do encerramento do contrato ou do período do tempo de serviço, os usuários devem ser bloqueados automaticamente.

7.3. Usuários de serviço (usuários não pessoais)

7.3.1. A criação e manutenção de usuários de sistema (não pessoais) deve ser controlada;

7.3.2. Toda necessidade de criação de usuário de sistema deve ser submetida a processo formal de solicitação e aprovação;

7.3.3. Deve haver um controle formal da T.I, de todos os usuários de sistema existentes, contendo sua descrição e finalidade.

7.4. Padrão de segurança de senhas

7.4.1. Todos os usuários criados para acesso à rede ou sistemas do Lojão do Brás deverão seguir o seguinte padrão de segurança de senha:

7.4.1.1. Mínimo de 8 caracteres;

7.4.1.2. Possuir letras maiúsculas e minúsculas;

7.4.1.3. Possuir ao menos 1 número;

7.4.1.4. Expirar a cada no máximo 90 dias;

7.4.1.5. Não permitir a utilização de 3 números sequenciais;

7.4.1.6. Armazenar as últimas 8 senhas e não permitir repeti-las;

7.4.2. Essas são algumas dicas para criação de senhas seguras utilizando padrões mnemônicos6 :

7.4.2.1. Eu$osEg8 (Eu uso senha segura 8);

7.4.2.2. 1Uma$3nhaC12 (Uma senha com 12);

7.4.2.3. S3nh4S&gUR4 (Senha segura);

7.4.3. Não é permitido o uso de senha padrão ou que não respeite os padrões de segurança aqui estabelecidos;

7.4.4. As senhas devem ser alteradas no primeiro logon7 do usuário, pois ela é de inteira responsabilidade do mesmo e jamais deve ser compartilhada.

8. Uso de equipamentos disponibilizados pela empresa Esse item tem por objetivo estabelecer as normas de utilização de todos os equipamentos disponibilizados pelo Lojão do Brás a seus colaboradores.

8.1. Todos os softwares utilizados nos equipamentos do Lojão do Brás devem estar devidamente licenciados;

8.2. Todos os softwares instalados nos equipamentos devem passar por processo de homologação do setor de T.I do Lojão do Brás, sendo vetado o uso softwares não homologados ou licenciados, independentemente de sua finalidade;

8.3. Não é permitido salvar arquivos do Lojão do Brás localmente nos equipamentos. Todos os arquivos devem ser salvos no servidor determinado pelo Lojão do Brás, onde há rotina de backup diário, semanal e mensal;

8.4. As portas USB dos equipamentos são bloqueadas para acesso a dispositivos removíveis, portanto não podem ser utilizadas para nenhum tipo de transferência de arquivos, seja do equipamento para o dispositivo ou do dispositivo para o equipamento. Exceções deverão ser tratas por processo formal de solicitação e autorização da diretoria e do departamento de T.I;

8.5. Os equipamentos do Lojão do Brás não podem ser abertos por seus usuários, sob nenhuma circunstância, seja para intervenção de hardware ou qualquer outra finalidade. Essa é uma atividade permitida apenas para o departamento de T.I

8.6. Em qualquer dispositivo, computadores ou servidores do Lojão do Brás é proibido o armazenamento de arquivos que contenham material ilícito, direitos autorais sem a devida licença e autorização, pornografia ou que atentem contra qualquer pessoa por raça, religião, sexualidade ou qualquer outro tipo de discriminação;

8.7. A instalação e remoção de softwares dos computadores e servidores do Lojão do Brás é uma atribuição exclusiva do departamento de T.I, portanto essa ação é vetada a todos os usuários. Exceções deverão ser tratadas por processo formal de solicitação e autorização;

8.8. Todos os computadores e servidores do Lojão do Brás devem possuir ferramenta de detecção, proteção e controle contra softwares e códigos maliciosos

8.9. Cabe a todo colaborador bloquear sua estação de trabalho todas as vezes que for se ausentar da frente da mesma, a fim de evitar o uso indevido por qualquer pessoa;

9. Uso de equipamentos de telefonia (fixa, móvel e VoIP) O objetivo desse item é orientar sobre o uso dos recursos de telefonia disponibilizados pelo Lojão do Brás e esclarecer sobre suas funcionalidades.

9.1. A solução de telefonia fixa do Lojão do Brás possui os recursos de grupos de atendimento e conferência. Caso necessite utilizar alguma dessas funções, procure o setor de T.I ou acesse o manual disponibilizado;

9.2. São disponibilizados recursos de telefonia conforme as políticas de cargo e necessidades da função exercida por cada colaborador, sendo disponibilizado telefone celular com linha quando necessário, bem como a permissão de ligações interestaduais e internacionais através da telefonia fixa;

9.3. O uso do VoIP está condicionado aos hardphones8 e softphones9 homologados pelo departamento de T.I, respeitando todas as diretrizes de segurança, como necessidade de autenticação com senha;

9.4. Cabe a todo colaborador zelar pelos equipamentos de telefonia disponibilizados pelo Lojão do Brás, sejam aparelhos telefônicos (hardphones), celulares ou headsets (fones de ouvido).

10. Uso de sistemas de gestão adotados pela empresa Esse item tem por objetivo estabelecer as regras de uso e melhores práticas para os sistemas de gestão adotados pelo Lojão do Brás.

10.1. ERP

10.1.1. O acesso ao ERP10 adotado pelo Lojão do Brás deve ser através de permissão específica, concedida através de processo formal de solicitação e autorização;

10.1.2. A customização de funcionalidades do ERP deve ser a última alternativa, presando sempre pela utilização dos recursos “standard11” do sistema;

10.1.3. Qualquer alteração que possa comprometer a legalidade do software ou seu licenciamento, é vetada;

10.1.4. A alteração de qualquer registro diretamente nos bancos de dados de produção do ERP, é terminantemente proibida.

10.2. Gestão e atividades

10.2.1. O uso dos softwares para gestão e atividades do Lojão do Brás devem ser adquiridos e homologados visando as áreas que o software foi inicialmente desenvolvido para atender, evitando customizações e distorções de função dos softwares;

10.2.2. Os sistemas devem ser possuir funcionalidades de SSO (single sign-on12), LDAP (Lightweight Directory Access Protocol13) ou qualquer outra que permita a integração de autenticação através do Active Directory14, para uso de credenciais únicas de acesso à rede e aos sistemas.

11. Controle de licenciamento de softwares O objetivo desse item é estabelecer as diretrizes para organização e controle de uso das licenças dos softwares adquiridos pelo Lojão do Brás, evitando o uso de softwares sem o devido licenciamento.

11.1. Deve ser estabelecido um controle formal de licenças de todos os softwares adquiridos, com informações de versão, quantidades de licenças e data de expiração;

11.2. É vetado o uso de licenças além do número total contratado, ou de versões de softwares diferentes das licenciadas;

11.3. Deve haver uma rotina estabelecida de revisão de todas as licenças que são adquiridas por quantidade, com objetivo de disponibilizar para outros usuários as licenças que eventualmente não estiverem sendo utilizadas pelos usuários anteriormente atribuídos;

11.4. Cabe ao departamento de T.I realizar todas as projeções de crescimento e se antecipar as necessidades de novos licenciamentos, a fim de garantir o pleno funcionamento das ferramentas necessárias para a continuidade do negócio.

12. Classificação da informação e meios de distribuição O objetivo desse item é estabelecer como deve ser a organização das informações do Lojão do Brás através de sua classificação.

12.1. Toda informação deve ser classificada conforme os níveis estabelecidos nessa política. A informação deve ser classificada de acordo com as características básicas de cada nível, descritas nesse item;

12.2. É responsabilidade do departamento de T.I e das áreas de negócio a definição da arquitetura da informação, que é sua categorização em estrutura coerente e de fácil compreensão, conforme níveis aqui determinados e descritos;

12.3. A padronização da classificação da informação é de responsabilidade das áreas de negócio em consenso com a diretoria do Lojão do Brás;

12.4. Todas as informações devem ser rotuladas, contemplando no mínimo o nível de classificação atribuída a informação, sendo de responsabilidade do criador ou manipulador da informação, sua rotulagem.

12.5. Informação Pública

12.5.1. Informações públicas são aquelas que podem ser divulgadas amplamente a pessoas externas ao Lojão do Brás. Portanto não possuem nenhum tipo de dado ou processo estratégico ou privilegiado do negócio, dos parceiros, fornecedores ou colaboradores do Lojão do Brás.

12.6. Informação Interna

12.6.1. Informações internas são aquelas que podem ser divulgadas a todos os colaboradores e em determinados casos até aos parceiros e prestadores de serviço, desde que esses estejam cientes e em conformidade com essa política.

12.7. Informação Restrita

12.7.1. Informações restritas são aquelas que podem ser divulgadas apenas para determinadas áreas, cargos ou grupos. Portanto essas informações só poderão ser divulgadas a áreas, cargos ou grupos pré-definidos ou envolvidos com a informação.

12.8. Informação Confidencial

12.8.1. Informações confidenciais são aquelas que não podem ser divulgadas, sendo destinadas apenas a pessoas estratégicas para o negócio e pré-estabelecidas ou que estão ligadas diretamente à informação, pois podem ser informações estratégicas para o negócio, pessoais, sensíveis, de fornecedores ou parceiros e podem causar prejuízos financeiros ou à imagem do Lojão do Brás.

12.9. A divulgação, compartilhamento ou distribuição de informações classificadas como confidenciais e consideradas sensíveis, é proibida. Toda exceção deverá passar por processo formal de solicitação e autorização da diretoria do Lojão do Brás.

13. Uso dos recursos de impressão O objetivo desse item é estabelecer os procedimentos a serem adotados na utilização dos recursos de impressão disponibilizados pelo Lojão do Brás.

13.1. As impressões são controladas por sistema específico para tal funcionalidade. São gerados logs de toda utilização, armazenando informações como usuário e documento impresso;

13.2. Não é permitido deixar exposto qualquer documento impresso, que contenha informações pessoais, sensíveis, restritas ou confidenciais. Portanto é obrigação de todo usuário, retirar da impressora os papeis impressos, imediatamente após a impressão;

13.3. Em casos de necessidade de guarda provisória de documentos impressos que contenham informações pessoais, sensíveis, restritas ou confidenciais, os mesmos devem ser armazenados em gavetas com chave;

13.4. Não é permitida a reutilização de papéis impressos, a fim de evitar que pessoas não autorizadas tenham acesso a informações pessoais, sensíveis, restritas ou confidenciais através dessa reutilização;

13.5. Para reduzir o uso de papéis e contribuir com políticas de responsabilidade com o meio ambiente, pode ser utilizado o recurso de impressão em frente e verso.

14. Política de mesa e tela limpa A política de mesa e tela limpa tem o objetivo de estabelecer boas práticas a serem seguidas por todos os colaboradores, a fim de evitar o vazamento de informações através de papéis expostos nas mesas e nas estações de trabalho.

14.1. Nenhuma informação deve ficar exposta caso o colaborador não esteja utilizando-a, a fim de evitar acesso não autorizado a informações pessoais, sensíveis, restritas ou confidenciais;

14.2. Informações em papel devem ser guardadas em gaveta com chave e seu descarte deve ser realizado através de picotadora de papel de corte cruzado;

14.3. Não devem ser anotadas informações não públicas ou credenciais de acesso em post-it15 de papel, coladas no local de trabalho do usuário ou digitais, disponíveis na área de trabalho dos computadores e notebooks;

14.4. Mídias removíveis devem ser guardadas em locais controlados e só devem permanecer fora desses locais durante seu uso.

15. Uso de equipamentos pessoais na empresa (BYOD) Esse item tem por objetivo estabelecer as regras de uso de equipamentos pessoais nos ambientes do Lojão do Brás.

15.1. Equipamentos pessoais levados por qualquer pessoa para as dependências do Lojão do Brás são de inteira responsabilidade de seus proprietários. O Lojão do Brás não se responsabiliza pela perda, furto ou danos a esses equipamentos;

15.2. A conexão de equipamentos pessoais na rede corporativa do Lojão do Brás não é permitida por nenhum meio, físico ou wireless16. Exceções deverão passar por processo formal de solicitação e autorização da diretoria;

15.3. Os usuários devem garantir que todos os softwares utilizados em seus dispositivos pessoais são licenciados apropriadamente e possuem todas as atualizações de segurança instaladas;

15.4. A conexão de equipamentos de qualquer terceiro ou fornecedor não poderá ocorrer diretamente à rede corporativa. Para esse fim, é necessário o uso de VPN, mesmo dentro das dependências do Lojão do Brás;

15.5. O armazenamento de dados nos equipamentos pessoais, bem como a proteção dos mesmos, é de inteira responsabilidade de seus proprietários, não havendo qualquer responsabilidade do Lojão do Brás caso ocorra acesso indevido ou perda desses dados.

16. Trabalho Remoto O objetivo desse item é estabelecer as medidas de segurança que devem ser adotadas para proteger as informações acessadas e processadas em ambientes de trabalho remoto.

16.1. Em ambientes de trabalho remoto deve ser observada a segurança nas comunicações, conforme a necessidade de acesso aos sistemas do Lojão do Brás, considerando a sensibilidade das informações acessadas e criticidade do sistema acessado;

16.2. Todo acesso remoto ao ambiente do Lojão do Brás deve ser realizado através de VPN (Virtual Private Network17), garantindo a segurança no tráfego de informações, utilizando criptografia adequada;

16.3. Os equipamentos utilizados para acesso remoto ao ambiente do Lojão do Brás devem possuir licenciamento correto de todos os softwares instalados e todas as atualizações de segurança aplicadas;

16.4. Todo equipamento utilizado para acesso remoto ao ambiente do Lojão do Brás deve possuir recursos de segurança mínimos, como anti-malware18 (endpoint) ativado e atualizado e firewall do sistema operacional ativado (quando disponível), bem como a última atualização de segurança do sistema operacional, aplicada.

16.5. A equipe de T.I do Lojão do Brás pode solicitar acesso aos equipamentos utilizados para acesso remoto a qualquer momento, a fim de validar se os recursos de segurança adotados são adequados e atendem aos requisitos aqui determinados;

16.6. As conexões remotas ao ambiente do Lojão do Brás são monitoradas e registradas, gerando logs das ações executadas pelos usuários, podendo o departamento de T.I interromper a conexão a qualquer momento caso identifique, no monitoramento ou registo, algum incidente de segurança;

16.7. Os ambientes de trabalho e acesso remoto ao ambiente do Lojão do Brás devem respeitar todas as regras e normas de ergonomia e saúde no trabalho, bem como as regras e normas estabelecidas nessa política;

16.8. Todo o trabalho desenvolvido utilizando os recursos e ambientes do Lojão do Brás, inclusive remotamente, é considerado propriedade intelectual do Lojão do Brás.

17. Segurança em Recursos Humanos O objetivo desse item é esclarecer e estabelecer as responsabilidades do Lojão do Brás, dos candidatos e colaboradores nos processos de contratação.

17.1. Seleção de candidatos

17.1.1. Ao realizar processo de seleção de candidatos deverão ser realizadas análises de informações e histórico das pessoas envolvidas, respeitando as legislações vigentes e garantindo a proteção e privacidade das informações;

17.1.2. Deverá haver processo formal de verificação da validade e veracidade da identidade, das informações pessoais, de currículo, incluindo qualificações, referências pessoais e profissionais;

17.1.3. Seleção de candidatos para setores estratégicos e que possuirão acessos privilegiados de administração dos recursos de tecnologia do Lojão do Brás, deverá incluir verificação de itens como possível envolvimento em incidentes de segurança da informação e incidentes de proteção de dados.

17.2. Termos

17.2.1. Todos os contratados como colaboradores internos ou terceiros, deverão assinar um termo que assegure sua ciência dessa política e todos os deveres e responsabilidades que cabem a cada um, frente a segurança da informação do Lojão do Brás;

17.2.2. Todos os envolvidos em atividades com o tratamento de informações pessoais, sensíveis e confidenciais deverão assinar também um termo de confidencialidade, contento as responsabilidades legais de cada parte e todas as possíveis responsabilizações em caso de descumprimento ou violação.

17.3. Conscientização e treinamento em segurança da informação

17.3.1. Todos os colaboradores deverão passar por treinamento, a partir da integração, sobre as políticas normas e processos que envolvem a segurança da informação do Lojão do Brás;

17.3.2. Todo colaborador deverá participar de um programa contínuo de treinamento e conscientização em segurança da informação;

17.3.3. O programa de treinamento e conscientização em segurança da informação deverá contemplar todas as políticas, normas e processos do Lojão do Brás, bem como as responsabilidades e papéis de cada um na construção de uma segurança efetiva;

17.3.4. Todos os parceiros e terceiros que possuírem acesso ou papel no tratamento das informações, ou realizarem qualquer trabalho nos ambientes computacionais do Lojão do Brás, deverão passar por treinamento e participar do programa de conscientização em segurança da informação.

17.4. Aplicação de medidas disciplinares

17.4.1. Deverá ser estabelecido e comunicado amplamente a todos os colaboradores o processo formal para a tomada de ações disciplinares, contra aqueles que venham a cometer qualquer violação a segurança da informação do Lojão do Brás;

17.4.2. O processo disciplinar só iniciará após o cumprimento das ações de checagem, auditoria e coleta de evidências da violação;

17.4.3. O processo disciplinar deverá garantir um tratamento justo ao colaborador e ser conduzido considerando, se o colaborador foi treinado adequadamente, a gravidade da violação e se houve dolo na violação.

18. Sanções pelo não cumprimento da política Esse item tem o objetivo de determinar e esclarecer as sanções que poderá haver contra todos os que descumprirem essa política ou violarem a segurança da informação do Lojão do Brás.

18.1. Ao identificar uma violação dessa política, todo colaborador deverá comunicar o setor de auditoria ou realizar uma denúncia, podendo ser anônima, através dos meios disponibilizados pelo Lojão do Brás;

18.2. Ao receber a denúncia, um processo de auditoria deverá ser iniciado, acionando o setor de T.I para início da coleta de evidências, quando necessário, e realizando análise de natureza da violação, se negligência, imprudência, imperícia, erro, acidente ou planejada, com dolo;

18.3. Ao concluir o processo de auditoria e constatada a violação, a conclusão do processo e as evidências deverão ser encaminhadas ao Comitê de Segurança, Privacidade e Conduta, para discussão e determinação da punição a ser aplicada, conforme descritas abaixo.

18.4. Comunicação de descumprimento

18.4.1. O colaborador e seu superior imediato serão comunicados formalmente, de forma verbal ou escrita, sobre o descumprimento da política e a informação completa sobre a violação praticada. A comunicação deverá ser registrada para ações de escalonamento em eventuais reincidências.

18.5. Advertência verbal

18.5.1. O setor de Recursos Humanos aplicará advertência verbal formal, com o superior imediato do colaborador como testemunha, com informação completa sobre a violação praticada. A comunicação deverá ser registrada para ações de escalonamento em eventuais reincidências.

18.6. Advertência escrita

18.6.1. O setor de Recursos Humanos aplicará advertência por escrito de maneira formal, com informação completa sobre a violação praticada e o superior imediato do colaborador como testemunha. A comunicação deverá ser registrada para ações de escalonamento em eventuais reincidências.

18.7. Suspensão

18.7.1. O setor de Recursos Humanos aplicará suspensão ao colaborador, com informação completa sobre a violação praticada ou em caso de aplicação de suspensão por quantidade de reincidências, a informação de todas as violações que culminaram na suspensão. O superior imediato do colaborador deverá servir de testemunha e a suspensão devidamente registrada para eventuais necessidades de escalonamento em casos de reincidência de qualquer das violações já praticadas.

18.8. Demissão por justa causa

18.8.1. As demissões por justa causa serão aplicadas quando de acordo com as hipóteses previstas nas leis trabalhistas vigentes, não sendo a progressividade um requisito exclusivo para a aplicação dessa punição, podendo ser aplicada quando o Comitê de Segurança, Privacidade e Conduta entender que a gravidade da violação demanda essa punição e houver a anuência do setor jurídico.

18.9. Todas as punições previstas acima só poderão ser aplicadas após respeitados todos os processos de auditoria, disciplinar e passar pelo Comitê de Segurança, Privacidade e Conduta.

19. Gestão de incidentes de Segurança da Informação Esse item tem por objetivo estabelecer as responsabilidades, procedimentos e diretrizes para gestão dos incidentes de segurança da informação de maneira consistente e efetiva.

19.1. Notificação de eventos

19.1.1. Deve ser estabelecido e comunicado as partes externas um canal oficial, ágil e preciso, de comunicação para todos os eventos de segurança da informação;

19.1.2. Toda não conformidade com as normas e processos estabelecidos, violação dessa política e incidentes, são considerados eventos de segurança da informação;

19.1.3. Todo evento de segurança da informação deve ser comunicado imediatamente à diretoria do Lojão do Brás e quando cabível, aos terceiros ou qualquer parte externa envolvida, através do canal oficial de comunicação estabelecido.

19.2. Responsabilidades e procedimentos

19.2.1. Devem ser estabelecidas responsabilidades na gestão dos eventos e incidentes, assegurando a eficácia dos procedimentos desenvolvidos.

19.2.2. Devem ser desenvolvidos procedimentos para:

19.2.2.1. Detecção, análise, avaliação e notificação dos incidentes e eventos de segurança da informação;

19.2.2.2. Identificação de impacto e abrangência de um incidente;

19.2.2.3. Coleta e tratamento de evidências;

19.2.2.4. Registro dos eventos, incidentes e ações tomadas;

19.2.2.5. Contato com autoridades, grupos externos e fóruns relacionados à segurança da informação.

19.3. Avaliação e classificação dos eventos

19.3.1. Todos os eventos de segurança devem passar por avaliação e classificação, a fim de determinar quais eventos caracterizam um incidente de segurança da informação;

19.3.2. Todos os eventos classificados como incidentes devem ser priorizados conforme sua gravidade e abrangência;

19.3.3. Todo o processo de avaliação e classificação, bem como priorização, deve ter seus resultados registrados.

19.3.4. Todo evento adverso relacionado a segurança da rede, dos sistemas, computadores e bases de dados do Lojão do Brás, deverá ser considerado incidente de segurança da informação;

19.4. Resposta aos incidentes

19.4.1. Deve ser adotado plano de resposta ágil e eficaz, respeitando todos os procedimentos estabelecidos, para todos os incidentes de segurança da informação;

19.4.2. Todo plano de resposta a incidentes deve ser avaliado e aprovado pelo Comitê de Segurança, Privacidade e Conduta;

19.4.3. Incidentes de segurança da informação devem ser tratados como confidenciais e não podem ter seus detalhes compartilhados fora do Comitê de Segurança, Privacidade e Conduta, portanto toda e qualquer comunicação necessária a terceiros ou qualquer parte externa deve limitarse ao fato de haver um incidente e as ações que estão sendo tomadas;

19.4.4. Deve ser mantida e revisada periodicamente uma base de conhecimento de todos os incidentes de segurança da informação, a fim de assegurar que todas as ações de correção foram adotadas, evitando recorrência dos incidentes;

19.4.5. A base de dados dos incidentes de segurança da informação pode ser utilizada para balizar ações de treinamento e conscientização, considerando a confidencialidade dos eventos.