Políticas & Termos

Estabelecer as regras para o uso aceitável das informações, dos ativos e recursos de processamento associados com as informações geradas e/ou custodiadas pela MEIOO.

Esta política se aplica a todos os colaboradores, que utilizam as informações, recursos e/ou demais ativos tangíveis ou intangíveis da MEIOO.

Todos os termos sublinhados serão detalhados em nosso glossário. Caso necessário, consulte o documento GLOSSÁRIO SGI (MN-SGI- 001).

Introdução

‍

A informação é um recurso que move o mundo, é um ativo crítico para a realização do negócio e a execução da missão da empresa. É um bem que tem valor para a empresa e precisa ser gerenciado e protegido. Informação é intangível, então é importante perceber que quando você se comunica, seja em uma conversa, em um e-mail, em aplicativos de mensagens ou redes sociais, você transmite informação. Essa informação pode ter valor para a empresa e deve ser considerada restrita.

‍

A MEIOO realiza a classificação da informação. Ou seja, aplica um rótulo à informação que circula na empresa.

‍

‍

Diretrizes Gerais

‍

Toda informação gerada ou custodiada pela MEIOO deve ser classificada de acordo com o nível de sensibilidade que representa para o negócio.

‍

A classificação deve considerar o valor da informação, os requisitos legais, a sensibilidade, a criticidade, a vida útil da informação, a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio.

‍

A classificação da informação deve ser realizada no momento em que a informação é gerada ou inserida nos processos da MEIOO ou no momento em que é identificada que ainda não foi classificada.

‍

Os seguintes níveis devem ser considerados na classificação da informação na MEIOO:

Confidencial: É toda informação cujo acesso não- autorizado ou uso indevido possa comprometer a operação do negócio, causar danos financeiros ou danificar a imagem da empresa. É o nível máximo de classificação da informação na organização.

‍

Secreta: É toda informação restrita a uma área, grupo de trabalho.

‍

Restrita: São informações restritas a todos os colaboradores da MEIOO.

‍

Particular: É uma informação de caráter pessoal que diz respeito a uma pessoa física ou jurídica.

‍

Pública: É toda informação que pode ser amplamente divulgada, não apresentando potencial de risco à empresa. Não há qualquer tipo de restrição sobre essa informação.

Diretrizes Gerais

‍

Não é permitido:

‍

Utilizar a marca da MEIOO sem autorização;

‍

Copiar ou emprestar softwares desenvolvidos ou adquiridos pela MEIOO sem a autorização formal da diretoria executiva;

‍

Conversar sobre assuntos confidenciais, secretos ou restritos relacionados à MEIOO em locais públicos;

‍

Deixar recados com assuntos confidenciais em secretárias eletrônicas ou correio de voz;

‍

A MEIOO oferece acesso à internet, correio eletrônico (e-mail) e espaço para armazenamento de informações a seus colaboradores para que todos possam exercer suas atividades com eficiência.

‍

Esses recursos devem ser utilizados considerando os princípios corporativos de responsabilidade e profissionalismo.

‍

Para garantir a utilização aceitável destes recursos, a empresa se reserva o direito de utilizar ferramentas para verificar o conteúdo de mensagens eletrônicas, arquivos armazenados nos servidores e para monitorar o uso da internet.

‍

Uso da Internet

‍

Visando garantir a segurança das informações geradas e/ou custodiadas pela MEIOO, não é permitido acessar sites, abrir ou armazenar arquivos, enviar ou responder mensagens eletrônicas

de conteúdo desconhecido que infrinjam direitos autorais ou proibidos por lei, tais como:

‍

Racista ou discriminatório de qualquer natureza;

‍

Pedófilo, pornográficos ou que possam caracterizar assédio sexual;

‍

Ameaçadores, ofensivos, agressivos ou que induzam à criminalidade.

‍

Filmes, músicas, livros e outras obras de direitos autorais reservados.

‍

O colaborador não deve:

‍

Acessar seu e-mail particular (Gmail, Hotmail, Yahoo) através da rede corporativo da empresa.

Participar de qualquer discussão pública sobre os negócios da MEIOO por meio de salas de chat, grupos de discussão, redes sociais ou qualquer outro tipo de fórum público sem autorização prévia;

‍

Utilizar redes sociais, ferramentas e/ou serviços de troca de mensagens instantâneas, tais como: Skype, Facebook, Instagram, com exceção dos aplicativos Slack e WhatsApp, que são considerados os oficiais para a comunicação da empresa e o Telegram para uso exclusivo dos alertas do setor de Infraestrutura.

‍

Utilizar serviços de armazenamento na nuvem, tais como: Google drive, Dropbox, Mega e etc., com exceção dos serviços de nuvem adotados pela MEIOO.

‍

Caso ocorra alguma necessidade de liberação dos acessos aos e-mails, redes sociais, fóruns e serviços de armazenamento  em  nuvem  deverá  ser  aberto  um  chamado na Ferramenta de Gestão de Chamados ou solicitado pelo RH.

Diretrizes Gerais

‍

Todo colaborador não deve deixar documentos em papel ou mídia (HDs, pendrives, CDs, etc.) expostos.

‍

Documentos impressos com informações confidenciais ou secretas devem ser guardados em armários ou gavetas com chaves.

‍

Após as reuniões, nenhum tipo de informação deve ser deixado no ambiente utilizado.

‍

Os documentos da empresa em meio digital devem ser armazenados nos servidores corporativos, ambientes em nuvem homologados pela empresa e nas áreas com acesso restrito aos colaboradores autorizados.

‍

Ao imprimir documentos contendo informações confidenciais ou secretas, o colaborador deve permanecer próximo à impressora.

‍

Documentos impressos e mídias não utilizadas devem ser descartados de forma adequada. Não é permitida a reutilização como lembretes ou rascunhos de documentos impressos classificados como confidenciais, secretos ou restritos.

‍

Todo colaborador deve bloquear sua estação de trabalho sempre que se ausentar do seu local de trabalho.

‍

Todos as estações de trabalho e servidores sem monitoramento devem ativar o bloqueio da tela após 3 minutos.

Diretrizes Gerais

‍

Todos os colaboradores devem receber e utilizar o crachá de identificação para acesso as dependências da empresa.

‍

Todos os visitantes devem ser devidamente registrados, identificados e acompanhados durante a permanência nas dependências da empresa.

‍

Perímetro de segurança física

‍

Os locais de processamento e armazenamento de informações sensíveis são de acesso restrito; o acesso é permitido apenas aos colaboradores autorizados. O acesso de visitantes a estas áreas deve sempre ser acompanhado por um membro da equipe de infraestrutura ou da segurança patrimonial.

‍

Descarte e reutilização de mídias e documentos físicos

‍

Mídias, equipamentos e papéis com informações sensíveis devem ser descartados ou reutilizados de acordo com o procedimento de classificação e tratamento da informação.

Diretrizes Gerais

‍

Os colaboradores devem ter acesso somente às informações que sejam necessárias ao desenvolvimento de suas atividades profissionais.

‍

O acesso à rede, sistemas e serviços disponibilizados pela MEIOO, deve ser realizado apenas por meio de login e senha.

‍

Login e Senha

‍

Não é permitido compartilhar senhas pessoais.

‍

As senhas devem ser complexas, com o mínimo de 8 caracteres, contendo letras, números e caracteres especiais.

‍

Todo colaborador deve alterar senha a temporária no primeiro acesso.

‍

As senhas não devem ser anotadas em qualquer meio que coloque em risco a sua descoberta.

Controle de acesso

‍

A liberação do acesso, solicitação, aprovação e liberação do acesso lógico à rede e aos sistemas devem ser registradas na ferramenta de gestão de chamados da área de infraestrutura ou pelo coordenador responsável pelo sistema/serviço/pasta na rede.

‍

Bloqueio e cancelamento do acesso e autorizações

‍

O acesso será cancelado ou bloqueado nas seguintes situações:

‍

Quando ocorrer o desligamento do usuário.

Quando houver indício de uso inadequado dos sistemas e serviços.

Quando solicitado pelo gestor.

‍

Acesso remoto

‍

O acesso remoto à rede corporativa da MEIOO é restrito aos colaboradores autorizados formalmente pelo diretor ou gestor.

Diretrizes Gerais

‍

Todos os colaboradores e prestadores de serviço devem assinar um Termo de Sigilo e Confidencialidade no momento da contratação.

‍

O Termo de Sigilo e Confidencialidade deve conter cláusulas sobre não utilização/divulgação das informações da empresa, continuando válido mesmo após a extinção do contrato de prestação de serviços.

‍

O formulário de contratação e desligamento de pessoal deve ser preenchido e encaminhado para as áreas providenciarem a liberação dos acessos e disponibilização dos recursos necessários às atividades do colaborador/prestador de serviços no momento da contratação.

‍

Um treinamento inicial de apresentação da política de segurança da informação deve ser realizado para todo colaborador na data em que iniciar suas atividades na empresa.

Diretrizes Gerais

‍

Todo dispositivo móvel de propriedade da MEIOO fornecidos aos colaboradores deve ser registrado e controlado pela área de infraestrutura.

‍

Os colaboradores que receberam o dispositivo devem sinalizar o seu recebimento, se comprometendo a zelar pelo dispositivo tendo o devido cuidado principalmente estando fora das dependências da empresa.

‍

Ao utilizar o dispositivo fora das dependências da empresa, o colaborador não deverá se conectar a redes wifi públicas, em locais como aeroportos, hotéis, cafés, lanchonete, utilizando apenas o serviço de dados.

‍

Em caso de perda/roubo de equipamentos, a empresa deverá ser informada imediatamente, para que sejam tomadas as providências cabíveis.

‍

Caso o colaborador seja desligado da empresa, deverá devolver os dispositivos no momento da assinatura do formulário de desligamento.

‍

Gerenciamento de Mídias removíveis

‍

Não é permitido a utilização de mídias removíveis para armazenar informações da MEIOO, exceto mediante autorização formal do gestor.

‍

As portas USB’s e unidade de DVD-ROM das estações de trabalho devem ser bloqueadas, de maneira que não permita a transferência de dados. Exceto quando formalmente autorizado pelo gestor.

Diretrizes Gerais

‍

Todos os colaboradores NÃO devem

‍

Instalar hardwares ou softwares nas estações de trabalho que não estejam homologados e autorizados.

‍

Utilizar os recursos da rede corporativa para desenvolver negócios pessoais.

‍

Utilizar equipamentos não autorizados pela área de infraestrutura na rede corporativa da empresa, especialmente roteadores, hubs, pontos de acesso e extensores de rede ou recursos computacionais.

‍

Colocar seu computador em modo Ponto de Acesso.

‍

Trocar de lugar ou substituir os equipamentos (equipamentos que possuem placa de patrimônio) sem autorização da área de infraestrutura, como por exemplo, desktops, monitores, notebooks, aparelhos de telefone.

‍

Uso externo de equipamentos e envio para manutenção

‍

Todos os equipamentos devem ser registrados nas ferramentas de gestão de ativos.

Transferência de Mídias

‍

Orientação com os cuidados de segurança e comunicação imediata com abertura de BO em caso de furto, roubo para

‍

o departamento de Recursos Humanos e registrar o ocorrido por chamado na ferramenta de gestão de chamados anexando o Boletim de Ocorrência.

‍

O usuário deve manter o equipamento em perfeitas condições de uso e zelar por ele.

Diretrizes Gerais

‍

Os equipamentos, servidores e os computadores para uso individual ou coletivo, de qualquer porte, serão dotados de mecanismos de proteção contra malwares.

‍

Cuidados com SPAM

‍

O e-mail corporativo não deverá ser cadastrado em sites ou serviços para recebimento de propagandas, ou qualquer assunto que não esteja relacionado com as atividades profissionais. Estes serviços podem trazer conteúdo impróprio ou mesmo ilegal, além de ser uma fonte de propagação de vírus e de programas maliciosos e perigosos.

Diretoria

‍

Direcionar as ações de segurança da informação alinhadas com o negócio;

Aprovar políticas de segurança da informação.

‍

Viabilizar recursos para implementação dos mecanismos de proteção acordados.

‍

Área de Segurança da Informação

‍

Dirigir, monitorar e avaliar a segurança da informação por meio de indicadores;

‍

Recomendar mecanismos de proteção da informação com base nos requisitos de segurança da informação do negócio e riscos identificados.

‍

Assegurar que os mecanismos de proteção acordados sejam implementados na organização.

Garantir que seja realizada análise crítica de todos os documentos que compõem a Política de Segurança da Informação no mínimo uma vez ao ano ou sempre que ocorrerem mudanças significativas.

‍

Colaboradores

‍

Cada colaborador é corresponsável pela Gestão da Segurança da Informação da MEIOO. Para isso, é fundamental conhecer, cumprir e disseminar as diretrizes da empresa.

‍

Todo colaborador deve:

‍

Conhecer e cumprir as orientações definidas na Política de Segurança da Informação e procedimento de segurança aplicáveis a suas atividades.

‍

Zelar pela segurança das informações que acessam, independente do meio em que estejam armazenados.

‍

Utilizar as informações e recursos disponibilizados pela MEIOO respeitando a legislação vigente, direitos autorais, regras de licenciamento de softwares, direitos de propriedade, privacidade, proteção de propriedade intelectual e procedimentos internos.

‍

Todos os documentos relacionados à Gestão da Segurança da Informação estão disponíveis aos colaboradores para consulta no repositório de documentos.

‍

Área de SGI

‍

Gerenciar as atividades de gestão de segurança da informação.

‍

Garantir que a informação documentada do SGI esteja pertinente, atualizada e divulgada conforme apropriado.

‍

Recomendar ações de segurança da informação e apoiar a área de segurança da informação em assuntos relacionados à sua responsabilidade na organização;