POLÍTICA DE PRIVACIDADE
1. Introdução
1.1. A TOMBINI & CIA LTDA tem como missão oferecer aos seus clientes um alto nível de serviço de transporte rodoviário de cargas secas e refrigeradas, com segurança e excelência, buscando a sustentabilidade de seus negócios.
1.2. A TOMBINI & CIA LTDA entende que a informação corporativa é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos produtos ofertados a seus clientes.
1.3. A TOMBINI & CIA LTDA compreende que a manipulação de sua informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.
1.4. Dessa forma, a TOMBINI & CIA LTDA estabelece sua Política de Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade.
2. Propósito
2.1. Esta Política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da TOMBINI & CIA LTDA adotar padrões de comportamento seguro, adequados às metas e necessidades da TOMBINI & CIA LTDA .
2.2. Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação.
2.3. Resguardar as informações da TOMBINI & CIA LTDA, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade.
2.4. Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, clientes e parceiros.
2.5. Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da TOMBINI & CIA LTDA como resultado de falhas de segurança.
3. Escopo
3.1. Esta Política se aplica a todos os usuários da informação da TOMBINI & CIA LTDA, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a TOMBINI & CIA LTDA tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da TOMBINI & CIA LTDA e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura TOMBINI & CIA LTDA.
4. Diretrizes
4.1. O objetivo da Gestão de Segurança da Informação da TOMBINI & CIA LTDA é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a instituição.
4.2. A Diretoria e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação na TOMBINI & CIA LTDA. Desta forma, adotam todas medidas cabíveis para garantir que esta Política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da TOMBINI & CIA LTDA.
4.3. É Política da TOMBINI & CIA LTDA:
4.3.1. Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da TOMBINI & CIA LTDA sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas.
4.3.2. Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, onde pertinente, clientes.
4.3.3. Garantir a educação e conscientização sobre as práticas adotadas pela TOMBINI & CIA LTDA de segurança da informação para empregados, terceiros contratados e, onde pertinente, clientes.
4.3.4. Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais.
4.3.5. Tratar integralmente incidentes de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas.
4.3.6. Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres.
4.3.7. Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
5. Papéis e Responsabilidades
5.1. Comitê Gestor de Segurança da Informação – CGSI
5.1.1. Fica constituído o Comitê Gestor de Segurança da Informação, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Relações Humanas, Relações Públicas e Contabilidade.
5.1.2. É responsabilidade do CGSI:
5.1.2.1. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação.
5.1.2.2. Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação.
5.1.2.3. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI.
5.1.2.4. Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da TOMBINI & CIA LTDA.
5.2. Departamento de Tecnologia da Informação
5.2.1. É responsabilidade do Departamento de Tecnologia da Informação:
5.2.1.1. Conduzir a Gestão e Operação da segurança da informação, tendo como base esta Política e demais resoluções do CGSI.
5.2.1.2. Apoiar o CGSI em suas deliberações.
5.2.1.3. Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PSI.
5.2.1.4. Identificar e avaliar as principais ameaças à segurança da informação, bem como
propor e, quando aprovado, implantar medidas corretivas para reduzir o risco.
5.2.1.5. Tomar as ações cabíveis para se fazer cumprir os termos desta Política.
5.2.1.6. Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.
5.2.1.7. Gerenciar as informações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pela TOMBINI & CIA LTDA. 5.2.1.8. Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela TOMBINI & CIA LTDA.
5.2.1.9. Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem das mesmas conforme necessário.
5.2.1.10. Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade.
5.2.1.11. Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela TOMBINI & CIA LTDA.
5.3. Usuários da Informação
5.3.1. É responsabilidade dos Usuários da Informação:
5.3.1.1. Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis.
5.3.1.2. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, suas normas e procedimentos ao Departamento de Tecnologia da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação.
5.3.1.3. Comunicar ao Departamento de Tecnologia da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da TOMBINI & CIA LTDA.
5.3.1.4. Assinar o Termo de Uso de Sistemas de Informação da TOMBINI & CIA LTDA formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento.
5.3.1.5. Responder pela inobservância da Política de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.
6. Sanções e Punições
6.1. As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.
6.2. A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no art. 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.
6.3. No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.
6.4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a TOMBINI & CIA LTDA, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens 6.1, 6.2 e 6.3 desta Política.
7. Casos omissos
7.1. Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para posterior deliberação.
7.2. As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da TOMBINI & CIA LTDA adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações da TOMBINI & CIA LTDA.
8. Definições
8.1. Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a TOMBINI & CIA LTDA.
8.2. Ativo: Tudo aquilo que possui valor para a TOMBINI & CIA LTDA
8.3. Ativo de informação: Patrimônio intangível da TOMBINI & CIA LTDA constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a TOMBINI & CIA LTDA por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da TOMBINI & CIA LTDA ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.
8.4. Comitê Gestor de Segurança da Informação – CGSI: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da TOMBINI & CIA LTDA que tem por finalidade tratar questões ligadas à Segurança da Informação.
8.5. Confidencialidade: Propriedade dos ativos da informação da TOMBINI & CIA LTDA de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.
8.6. Controle: Medida de segurança adotada pela TOMBINI & CIA LTDA para o tratamento de um risco específico.
8.7. Disponibilidade: Propriedade dos ativos da informação da TOMBINI & CIA LTDA, de serem acessíveis e utilizáveis sob demanda, por partes autorizadas.
8.8. Gestor da Informação: Usuário da informação que ocupe cargo específico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.
8.9. Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações da TOMBINI & CIA LTDA.
8.10. Integridade: Propriedade dos ativos da informação da TOMBINI & CIA LTDA, de serem exatos e completos.
8.11. Risco de segurança da informação: Efeito da incerteza sobre os objetivos de segurança da informação da TOMBINI & CIA LTDA.
8.12. Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da TOMBINI & CIA LTDA.
8.13. Usuário da informação: Empregados com vínculo empregatício de qualquer área da TOMBINI & CIA LTDA ou terceiros alocados na prestação de serviços a TOMBINI & CIA LTDA, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da TOMBINI & CIA LTDA para o desempenho de suas atividades profissionais.
8.14. Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da TOMBINI & CIA LTDA.
9. Revisões da Política
9.1. Esta Política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.
10. Gestão da Política
10.1. A Política de Segurança da Informação é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Diretoria da TOMBINI & CIA LTDA.
11. Regras de Segurança da Informação
11.1. A informações armazenadas pela TOMBINI & CIA LTDA são parte dos ativos da empresa e devem ser tratadas com zelo e sigilo pelos gestores da informação, que compreendem colaboradores, empregados, clientes e fornecedores com quem a empresa possui relações.
11.2. Devem ser compartilhadas e utilizadas apenas para os devidos fins de cumprir as obrigações operacionais, fiscais e legais as atividades destinadas a TOMBINI & CIA LTDA.
11.3. Deve sempre ser verificada a autenticidade de uma solicitação antes de repassar qualquer informação pertinente a TOMBINI & CIA LTDA ou qualquer um de seus colaboradores, clientes ou fornecedores.
12. Concessão, revogação e revisão
12.1. A concessão de acessos e permissões nos sistemas e acesso a arquivos dos servidores a colaboradores somente serão dadas pelo departamento de T.I. com formalização do pedido pelo supervisor de cada departamento conforme a necessidade dos colaboradores para realizarem suas atividades.
12.2. A Revogação ocorre da mesma forma por solicitação ao departamento de T.I. ou automaticamente após a formalização do desligamento do mesmo onde a equipe do RH informa através de e-mail a saída do colaborador ao departamento de T.I.
12.3. As revisões dos acessos serão feitas em caso de troca de função ou de setor dentro da empresa.
12.4. O Departamento de Ti revisará as permissões a cada 6 meses nos acessos de (e-mails, sistemas web sob controle do departamento e permissões de acesso a arquivos dos servidores).
13. Uso dos recursos de tecnologia da informação e comunicação
13.1 Conforme o CÓDIGO DE CONDUTA ÉTICA & COMPLIANCE TOMBINI todo colaborador deve se responsabilizar pela guarda e pelo uso dos ativos de propriedade da empresa colocados à sua disposição.
13.2 A utilização dos recursos ou informações em beneficio próprio não será admitida. Toda movimentação deverá obedecer às normas operacionais da empresa e os limites de autoridade estabelecidos, sejam esses recursos físicos ou digitais.
13.3 O Acesso à Internet, telefone, celulares bem como o uso de e-mails softwares e hardwares, equipamentos e outros bens da Tombini devem ser direcionados aos exercícios de atividade profissional.
13.4 A Tombini usará e monitorará qualquer informação transmitida ou residente nesses meios. Essa regra abrange a informação escrita ou armazenada em sistema eletrônico e qualquer outro meio associado (como pen drive, disco externo, armazenamento virtual, CD/DVD, entre outros).
13.5 A Tombini respeita a privacidade de seus colaboradores reservando-se, porém, o direito de monitorar informações geradas em sua base de comunicações, com o objetivo de inibir práticas ilícitas tais como, pornografia, pedofilia, terrorismo, contrabando, concorrência desleal, quebra de sigilo e confidencialidade e divulgação de informações.
14. Permissões diferenciadas
14.1 Através da criação de perfis e grupos de acesso, tanto em seus sistemas web (nuvem) quanto em sua estrutura interna será limitado as permissões de acessos dos colaboradores as informações pertinentes a atenderem as suas atividades dentro da empresa. Quando necessário um nível maior de acesso deverá ser autorizado de forma formal (e-mail) pelo supervisor ou pela direção da empresa.
14.2 Os Grupos são divididos por setor e subdividos por função. Caso algum colaborador desempenhe uma atividade paralela que seja adjacente a mais de um setor será necessária a permissão formal de ambos os supervisores dos setores em questão para que o departamento de T.I. conceda essa permissão específica.
14.3 Devido ao caráter dinâmico da empresa, em casos mais específicos e de cargos de confiança essa permissão deverá ser dada apenas pela Direção.
15. Vedações
15.1 A Política de Segurança prevê e através de recursos técnicos disponíveis nos servidores de Active Directory e do Antivírus (com algumas exceções técnicas por conta de versionamento de hardware) existe um bloqueio a extração de dados dos usuários através de mídias removíveis, porém em caso de exceção técnica ainda é vedado ao usuário pela politica de segurança da empresa extrair esses dados, ou mesmo inserir mídias removíveis nos hardwares pertencentes a empresa sem a autorização prévia do departamento T.I.. Isso é valido, para CD-ROM, Pen-Drives, HD Externos, Celulares entre outros.
15.2 As políticas aplicadas no Antivírus e Firewall eventualmente impedirão acessos a sites e programas específicos. É vedado ao usuário tentar contornar essa situação sem prévia autorização e orientação do departamento de T.I.
16. Gestão de informações
16.1 A Gestão da informação é feita por cada departamento responsável pelos seus arquivos em parceria com o departamento de T.I.
16.2. Semestralmente é realizada uma varredura de limpeza dos arquivos digitais, deslocando arquivos que precisam ser armazenados mas não são utilizados no dia-a-dia para um “Arquivo Morto Digital” que encontra-se em uma unidade externa desconectada da rede principal.
17. Gestão de identidade:
17.2. Apenas o Departamento de T.I possui acesso a criação, alteração e bloqueios de acessos dos colaboradores.
17.3. A Solicitações de alterações dessas permissões devem ser feitas através de método formal (e-mail / chamado) pelo supervisor.
17.4. Em casos excepcionais e em caráter de urgência, devido a natureza dinâmica da empresa, a alteração pode ser feita desde que se verifique a identidade do solicitante e que a formalização seja feita posteriormente o mais breve possível.
18. Uso da internet corporativa:
18.2. Os meios Eletrônicos da Tombini, assim como a sua internet não podem ser utilizados para jogos, mensagens de corrente, troca ou armazenamento de conteúdo obsceno, pornográfico, violento, discriminatório, racista, difamatório ou que desrespeite qualquer individuo ou entidade que seja contrário às politicas da Tombini ou ao Código Civil.
18.3. Para tanto são aplicados bloqueios por categoria, palavras chaves e tags que são as politicas do firewall e do antivírus que possui um controlador de conteúdo integrado.
18.4. É dever também dos supervisores acompanhar as atividades dos colaboradores para que mantenham a conduta e não violem essa politica de segurança. Apesar da qualidade dos bloqueios, há um amplo campo de métodos disponíveis para transpor essas barreiras que se limitam apenas pelo conhecimento dos usuários.
18.5. Devido ao caráter dinâmico da atividade muitos usuários e supervisores possuem regras mais abertas de acessos, porém regras de comportamento se aplicam a todos, independente das permissões prévias de acesso.
19. Uso do e-mail corporativo:
19.1 A Criação do E-mail corporativo só é feito após a contratação do colaborador por solicitação do seu supervisor ao departamento de T.I.
19.2 Na criação é possível limitar o seu envio e recebimento interno na empresa, evitando dessa forma o recebimento e envio de informações fora da mesma e também como forma de prevenir invasões
19.3 Em caso do e-mail ter atuação fora do Domínio, podendo enviar e receber para outros provedores aplica-se uma politica de Spam do provedor em questão reduzindo os riscos de entrada de malwares ou e-mails disparados massivamente.
19.4 O Colaborador deve acompanhar diariamente sua caixa de spam pois eventualmente o algoritmo anti-spam acaba classificando algum e-mail legitimo como spam.
19.5 O provedor de e-mails conta com políticas de segurança próprias que embora engessadas e de não permitirem alterações por parte do contratante (atualmente) aplicam-se visando a segurança dos usuários, bloqueando temporariamente ou mesmo permanentemente através de uma “Black-List”.
19.6 Os Usuários utilizam (com algumas exceções) o sistema de e-mails pop-smtp do Outlook que conta com politicas de segurança para e-mails que possam conter potenciais ameaças, como o não download de imagens e anexos de links de forma automática, e a não execução de scripts.
19.7 Após o desligamento do colaborador seus e-mails corporativos são mantidos por 90 dias para eventuais consultas. Após esse período a maior parte é descartada e ficam no computador do usuário apenas e-mails selecionados pelo novo desenvolvedor da atividade para sequência dos trabalhos.
20. Segmentação de redes
20.1 As Redes devem ser inicialmente segmentadas pela estrutura física na matriz e filiais.
20.2 A Divisão da rede de visitantes e da rede corporativa não se dá apenas de forma virtual, a divisão é física, com ip’s válidos distintos para que não haja nenhuma falha de segurança interna.
20.3 A rede corporativa deve passar por firewall e switch gerenciáveis permitido a segmentação de acessos aos servidores conforme a necessidade das atividades e isolando a rede utilizada pelo back-up através de criptografia de acessos.
21. Uso de dispositivos móveis corporativos
21.2. O Uso dos dispositivos móveis da empresa será liberado somente após um termo de concessão de uso e orientação controlado pelo setor de RH da TOMBINI & CIA LTDA.
21.3. As regras vigentes para esses dispositivos são as mesmas do item 13 e devem ser respeitadas pelos usuários.
21.4. Não devem ser carregados os dispositivos móveis nas ubs’s dos computadores, nem dos corporativos ou dos pessoais, pois os dispositivos podem servir de ponte para a transmissão de malwares.
21.5. Conforme o manual dos Colaboradores a definição do perfil do usuário é feita junto aos supervisores imediatos e qualquer alteração deverá ser submetida à aprovação da direção da empresa.
21.6. Os Colaboradores devem utilizar os equipamentos e pacote multimidia exclusivamente para assuntos de interesse da empresa. Para tanto, assinam o termo de comodato citado no item 21.1.
22. Uso de mídias removíveis.
22.2. Os usuários estão proibidos e são orientados a não utilizar mídias removíveis nos computadores sem a prévia verificação e autorização do departamento de T.I.
22.3. Conforme descrito no item 15 aplicam-se politicas de seguranças internas do Servidor de AD e Antivírus que auxiliam nesses bloqueios.
22.4. Existe no código de Conduta que é fornecido aos colaboradores orientações sobre as mídias removíveis e devem ser seguidas mesmo o usuário possuindo a liberação de utiliza-las, pois analise prévia pelo departamento de T.I. é imprescindível para garantir a segurança de toda a rede corporativa.
23. Acesso remoto às ferramentas corporativas
23.2. O acesso remoto é individual e intransferível, o mesmo é controlado por usuário e senha de conhecimento exclusivo do colaborador e somente ele é responsável pelo seu acesso.
23.3. O Colaborador só deve acessar fora do ambiente com a autorização expressa do seu supervisor e após a configuração das permissões pelo departamento de T.I.
23.4. Devido a integração com o Servidor de AD, as permissões de acesso do colaborador ao acesso remoto são as mesmas do acesso de rede interno do seu ambiente normal.
24. Regras para home office
24.2. Todo e qualquer dispositivo utilizado para o home office deve passar por inspeção do departamento de T.I. antes do seu inicio e quando do seu retorno ao presencial.
24.3. Os dispositivos cedidos pela empresa devem ser utilizados exclusivamente para fins de atividades de interesse da empresa.
24.4. Somente será liberado para utilização em home office equipamentos, após a assinatura do termo comodato.
25. Backups/Restore:
25.2. Através de um sistema automatizado é realizado diariamente após o expediente back-up dos servidores da TOMBINI & CIA LTDA.
25.3. Uma politica de segurança é aplicada a uma estação NAS onde ficam criptografados o BACK-UP Full e Incrementais de 1 semana
25.4. A cada semana é realizada uma cópia das imagens dos back-ups em HDs externos que são removidos da rede e do prédio da empresa.
25.5. Trimestralmente em um servidor paralelo de testes é realizado um Restore dessas maquinas virtuais para testar sua integridade.
26. Certificado digital
26.2. O Certificado digital da TOMBINI & CIA é instalado apenas em computadores em que sua utilização é indispensável para a realização das atividades dos colaboradores.
26.3. Apenas o departamento de T.I. está autorizado a fazer a instalação.
26.4. Apenas o Departamento de T.I. e a contabilidade possuem acesso a chave exportável e sua senha.
26.5. Eventuais fornecedores solicitam o certificado e sua senha para emissão de documentos fiscais e o mesmo é enviado juntamente com um termo de responsabilidade, tudo formalizado por e-mail.
26.6. Os cartões que possui certificação A3, ficam com acesso exclusivo e restrito bem como suas senhas com responsáveis dos setores de RH e Contabilidade.
27. Instalação de softwares
27.2. Somente o perfil de Administrador está autorizado a instalar softwares nos computadores.
27.3. A Senha fica exclusivamente sobre responsabilidade do Departament ode T.I. e em nenhuma hipótese é fornecida a demais colaboradores.
28. Criptografia
28.2. Os arquivos dos Back-ups são criptografados visando maior segurança das informações ali contidas.
28.3. A comunicação entre as filiais e a matriz é feita através de VPN de forma criptografada aumentando assim a segurança da informação que por elas trafegam.
29. Testes de intrusão
34.1 Testes internos serão realizados pelo departamento de T.I. dentro das conformidades semestralmente visando fragilidades na segurança implementada.
34.2 Anualmente a TOMBINI & CIA LTDA, contratará uma empresa especializada na segurança
INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Planejamento:
Manter os usuários treinados e informados sobre as possíveis ameaças existentes.
Testes eventuais falhas de segurança periodicamente, inclusive por empresa especializada.
Possuir um back-up o mais atualizado possível em um hardware reserva para imediata subida dos serviços básicos para o funcionamento da empresa.
Identificação:
Monitorar informações que trafegam na empresa (digitais ou não)
Acompanhamento dos relatórios de malwares e acessos do firewall
Resposta
Interrupção da rede visando identificar o ponto de inicio da infecção e para evitar que a mesma se espalhe.
Busca de quais informações vazaram ou foram afetadas para comunicação de possíveis envolvidos ou atingidos em conformidade com as orientações da LGPD.
Substituição pelo back-up mais recente para evitar maiores prejuízos para empresa.
Se necessário dependendo do nível do desastre, trocar pelo servidor reserva para garantir a continuidade dos serviços.
Auditoria
Logs de Auditorias ativos em todas as atividades dos Sistemas remotos
Logs de Auditoria ativo de alterações e exclusões de arquivos no servidor de AD.
Logs das alterações feitas pelo Administrador ou perfis que possui autorizações no mesmo nível.
ARMAZENAMENTO E DESCARTE DE INFORMAÇÕES FÍSICAS
- O armazenamento de documentos físicos é de, no mínimo, 5 anos. Alguns casos seu arquivo é permanente, visando atender a legislação.
ARMAZENAMENTO E DESCARTE DE EQUIPAMENTOS:
Equipamentos obsoletos são separados e descartados junto a programa de descarte conscientes de equipamentos, sempre passando por previa analise e autorização da direção da empresa.
TREINAMENTOS
- É dever do colaborador Tombini participar do Treinamento de Integração, antes do início de suas atividades na empresa.
- Periodicamente ou a cada nova alteração em processo ou procedimento, são realizados treinamentos de reciclagens com usuários.
28 de setembro de 2021.
Revisão 00
PRO.102
ELABORAÇÃO | Aprovação | Data |
Nilton Dacroce Analista de Sistemas |
CLÉCIO ROBERTO TOMBINI SÓCIO DIRETOR |
28/09/2021 |