Com o intuito de aumentar o nível de segurança da informação na  Total IP Comunicação e Multimídia Ltda (CNPJ: 08.931.227/0001-62), bem como prestar serviço mais qualificado aos nossos clientes e colaboradores, definimos esta política de segurança da informação.

Ela foi baseada na norma ABNT NBR ISO/IEC 27001: 2013 Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão da segurança da informação. Norma reconhecida e seguida como referência para sistemas de gestão da segurança da informação, de acordo com as leis vigentes em nosso país.

O documento define todas as regras para a proteção dos dados, prevenção de ataques contra a infraestrutura digital e responsabilidades de cada membro da organização. Portanto, deve ser seguido e reconhecido por todos os seus colaboradores.

Importante ressaltar: os ambientes de produção considerados são todos os ambientes de produção de cada cliente.

Estabelecer regras, procedimentos e diretrizes para todos os colaboradores e também para as áreas responsáveis pelos tratamentos dos dados para garantir a:

• Confidencialidade: toda informação armazenada ou tratada deve estar acessível somente às pessoas autorizadas.
• Integridade: todos os dados armazenados devem permanecer íntegros pelo tempo de armazenamento.
• Disponibilidade: garantir a disponibilidade dos dados para quem está autorizado a acessá-los.

Todos os dados exceto gravações são considerados de criticidade média pois a Total IP não tem dados bancários e senhas de bancos ou cartões, somente dados dos funcionários, senhas de acesso ao seu ramal, e as gravações das ligações com os clientes, essas são de alta criticidade em caso de vazamento.

A presente política deverá ser seguida por todos os colaboradores da empresa, bem como prestadores de serviços e quem, no exercício das suas atividades, precise de acesso aos dados aqui mantidos.

Ficam também cientes do monitoramento dos ambientes e ativos físicos e lógicos, seus registros e imagens são gravados conforme previsto nas leis correntes do Brasil.

É uma obrigação de cada colaborador manter-se atualizado quanto a estas normas e sempre procurar seu gestor imediatamente em caso de dúvidas na manipulação ou descarte de dados.

Esta norma deverá ser publicada e comunicada de forma ampla para todos os colaboradores, independentemente do nível hierárquico ou função na empresa. O mesmo deve acontecer quando houver alguma alteração em seus termos, garantindo assim a uniformidade das normas propostas.

Deverá existir um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação.

Esse grupo será composto por uma pessoa dos setores de Infraestrutura, do Desenvolvimento e da Diretoria e deverá rever e atualizar periodicamente esta política, sempre quando houver necessidade.

Todos os contratos firmados devem conter o Acordo de Confidencialidade ou cláusula específica de confidencialidade como condição imprescindível para ser concedido o acesso aos ativos de informação.

A segurança da informação deve ser apresentada no primeiro treinamento dos colaboradores, para tomarem ciência da relevância dos dados manipulados e sua responsabilidade perante a empresa. Anualmente, todos os colaboradores devem realizar um treinamento de conscientização sobre a segurança dos dados, com entrega de certificado. 

Os ambientes de produção considerados são os seguintes: todos os ambientes de produção de cada cliente com soluções da Total IP e os ambientes de produção interna da Total IP.

Todo incidente de segurança da informação para cada ambiente de produção deverá ser comunicada para o comitê para análise. Bem como para o responsável do cliente, se for o caso, e a tomada de ação pós incidente deverá ser tratada como prioridade alta.

Um plano de recuperação de desastres e continuidade do negócio para cada ambiente de produção deverá ser implementado e testado anualmente.

Os ambientes de produção devem ser segregados, monitorados 24 horas, sete dias por semana e possuir controles rígidos de segurança. Distinguindo-se dos ambientes de testes e homologação, os quais deverão ter os dados sensíveis anonimizados.

Aqui entende-se por dados sensíveis: nome ou razão social, endereços, CPF’s, CNPJ’s, RG’s e outros documentos de identidade, números de telefone e e-mails, bem como todos os dados pessoais de um colaborador, cliente ou cliente do cliente.

A Total IP exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores e dos funcionários de seus clientes e parceiros diretos e indiretos, reservando-se ao direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.

6.1 Responsabilidades dos colaboradores

Entende-se por colaboradores todas as pessoas físicas com vínculo empregatício (CLT), estagiários ou prestador de serviços por intermédio de uma pessoa jurídica ou não e quem exerça alguma atividade da empresa ou para a empresa dentro ou fora dos seus escritórios.

Será de inteira responsabilidade de cada colaborador todo prejuízo ou dano sofrido ou causado para a Total IP e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

6.2 Responsabilidades dos gestores

Servir de modelo à sua equipe com postura exemplar sobre todos os itens desta política, bem como ser referência para elucidação de dúvidas ou comportamentos dentro da empresa.

Antes de conceder acesso às informações, exigir a assinatura do Acordo de Confidencialidade dos colaboradores ou prestadores de serviços não previstos ou cobertos com um contrato existente.

Adaptar as normas, os processos e procedimentos sob sua gestão para atender a esta política.

6.3 Responsabilidades das áreas de TI (Desenvolvimento/ Implantação/ Suporte/ Infraestrutura)

Testar periodicamente e monitorar os controles utilizados.

Configurar os equipamentos e sistemas licenciados ou concedidos aos clientes e aos colaboradores da Total IP com todos os controles necessários para cumprir os requerimentos de segurança aqui estabelecidos.

Os administradores e operadores de sistemas podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade.

Gerar e manter as trilhas de auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidência.

Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes ao negócio.

Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.

Atribuir cada conta ou dispositivo de acesso a computadores, sistema, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo os logins de cada indivíduo de responsabilidade do próprio colaborador.

Proteger continuamente todos os ativos de informação da empresa contra códigos maliciosos e garantir a todos os novos ativos a entrada para o ambiente de produção só após estarem livres de código malicioso e/ou indesejado.

Não permitir a implementação de  vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.

Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo.

Monitorar os incidentes de segurança publicados pelo seu fornecedor de todos as aplicações utilizadas e garantir a pronta correção em casos graves.

Registrar e controlar por meio de relatórios internos e privados gerados a cada lançamento de versão da aplicação Total IP,  todos os softwares e suas respectivas versões utilizados na composição dos produtos oferecidos pela Total IP. Assim, se atentando ao processo de melhoria contínua das versões das aplicações utilizadas.

Realizar auditorias periódicas de configurações técnicas e análise de riscos.

Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais.

Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação da  qual seja  exigida medida restritiva para fins de salvaguardar os ativos da empresa.

Garantir a todos os servidores, estações e demais dispositivos com acesso à rede da empresa a operação com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.

Monitorar o ambiente de TI, gerando indicadores e históricos de:

• Uso da capacidade instalada da rede e dos equipamentos;
• Tempo de resposta no acesso à Internet e aos sistemas críticos;
• Períodos de indisponibilidade no acesso à Internet e aos sistemas críticos;
• Incidentes de segurança (vírus, Trojans, furtos, acessos indevidos e assim por diante);
• Atividade de todos os colaboradores durante os acessos às redes externas, inclusive Internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);

Sistemas ativos de monitoramento nos servidores, correio eletrônico, conexões com a Internet e componentes da rede. A informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado.

Instalar sistemas de proteção, preventivos e detectáveis para garantir a segurança das informações e dos perímetros de acesso.

8.1 E-mail

O serviço de e-mail é exclusivamente para uso corporativo e relacionado às atividades do colaborador.  É proibido o uso do e-mail para:

Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo das atividades diárias;

Enviar mensagens para múltiplos destinatários de cunho comercial/comunicativo para os clientes. Esse tipo de atividade deve sempre ser feito via sistema;

Enviar listas contendo informação sensível dos clientes, violando o conceito de privacidade e confidencialidade proposto nesta política. Exceções deverão ser aprovadas pela diretoria da empresa;

Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico não autorizado a se utilizar;;

Enviar qualquer mensagem por meios eletrônicos capazes de tornar seu remetente e/ou a própria empresa vulnerável a ações civis ou criminais;

Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

Apagar mensagens pertinentes do correio eletrônico quando estiver sujeita a algum tipo de investigação;

Produzir, transmitir ou divulgar mensagem, as quais:

• Contenham qualquer ato ou forneçam orientações capazes de conflitar ou contrariar os interesses da Total IP;
• Contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
• Contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão com um risco à segurança;
• Visem obter acesso não autorizado a outro computador, servidor ou rede;
• Visem interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
• Visem burlar qualquer sistema de segurança;
• Visem vigiar secretamente ou assediar outro usuário;
• Visem acessar informações confidenciais sem explícita autorização do proprietário;
• Visem acessar indevidamente informações responsáveis por causar prejuízos a qualquer pessoa;
• Incluam imagens criptografadas ou de qualquer forma mascaradas;
• Contenham anexo(s) superior(es) a 5 MB para envio, além disso devem utilizar-se de serviços de compartilhamento de arquivos na Internet; 
• Tenham conteúdo considerado impróprio, obsceno ou ilegal;
• Sejam de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
• Contenham perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
• Tenham fins políticos locais ou do país (propaganda política);
• Incluam material protegido por direitos autorais sem a permissão do detentor dos direitos.

8.2 Uso da Internet (www)

Todas as regras atuais desta política visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da Internet. Embora a conexão direta e permanente da rede corporativa da empresa com a Internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.

Qualquer informação acessada, transmitida, recebida ou produzida na Internet está sujeita à divulgação e auditoria. Portanto, a Total IP, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/Internet, visando assegurar o cumprimento de sua Política de Segurança da Informação.

A Total IP, ao monitorar as redes internas e externas, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar em ações administrativas e  penalidades decorrentes de processos civil e criminal.  Nesses casos a Total IP irá cooperar ativamente com as autoridades competentes.

A Internet disponibilizada pela empresa aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, sob a condição de não prejudicar o andamento das suas atividades diárias. 

Apenas os colaboradores autorizados pela empresa poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata utilizada na  web.

Os colaboradores com acesso à Internet poderão fazer o download somente de programas ligados diretamente às suas atividades na Total IP e deverão providenciar o necessário para regularizar a licença e o registro desses programas, caso sejam autorizados pela área de tecnologia.

Qualquer software não autorizado baixado será excluído pela área de tecnologia.

Os colaboradores não poderão em hipótese alguma utilizar os recursos de tecnologia para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.

Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.

Colaboradores com acesso à Internet não poderão efetuar upload de qualquer software licenciado à Total IP ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.

Os colaboradores não poderão utilizar os recursos de tecnologia para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

Não é permitido acesso a sites de proxy.

8.3 Identificação

Os dispositivos de identificação e senhas protegem a identidade do colaborador, evitando e prevenindo uma pessoa de se passar por outra perante a Total IP e/ou terceiros.

O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores. Todos os dispositivos de identificação utilizados, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a empresa e a legislação (cível e criminal).

Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

É proibido o compartilhamento de login para funções de administração de sistemas.

A área de tecnologia responde pela criação da identidade lógica dos colaboradores na empresa.

Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.

Os usuários sem o perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais e variação entre caixa-alta e baixa (maiúsculo e minúsculo) sempre quando possível.

Já quem possui perfil de administrador ou acesso privilegiado deverá utilizar uma senha de no mínimo 12 (doze) caracteres, alfa numérica, utilizando caracteres especiais e variação de caixa-alta e baixa (maiúsculo e minúsculo) obrigatoriamente.

É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação a ele designados.

O armazenamento das senhas é de responsabilidade de cada colaborador e devem ser protegidas apropriadamente. Não é permitido ter senhas escritas e deixadas à mostra, bem como não devem ser compartilhadas sem a possibilidade de serem destruídas logo após o conhecimento da parte interessada.

As senhas não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

Após 5 (cinco) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário entrar em contato com a área de tecnologia.

Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade). Os usuários podem alterar a própria senha e devem ser orientados a fazê-lo, caso suspeitem do acesso indevido de terceiros ao seu login/senha.

A periodicidade máxima para troca das senhas é 90 (noventa) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.

Portanto, quando algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de tomar essa providência. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares. Quando o gestor tiver a necessidade de acompanhar as atividades de usuários desligados, ele tornar-se-á responsável por esta identidade.

Caso o colaborador esqueça sua senha, deve requisitar uma nova, via sistema ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.

8.4 Computadores

Os equipamentos utilizados pelos  colaboradores  devem ser utilizados e manuseados corretamente para as atividades de interesse da empresa, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.

É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da área de tecnologia ou de quem este determinar. As gerências com a necessidade fazer testes deverão solicitá-los previamente à área de tecnologia, ficando responsáveis jurídica e tecnicamente pelas ações realizadas.

Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação e depois de sua disponibilização pelo fabricante ou fornecedor.

Os sistemas e computadores devem ter versões do software antivírus instaladas, no caso do sistema operacional Windows, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar imediatamente a área de tecnologia.

A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.

Arquivos pessoais e/ou não pertinentes ao negócio (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente sem comunicação prévia ao usuário.

Documentos imprescindíveis para as atividades dos colaboradores da empresa deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.

Os colaboradores e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa capaz de sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da área de tecnologia.

No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:

• Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso de colaboradores não autorizados. Tais senhas serão definidas pela área de tecnologia, setor com  acesso a elas para manutenção dos equipamentos;
• Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador;
• O colaborador deverá manter a configuração do equipamento, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da empresa, assumindo a responsabilidade como custodiante de informações;
• Deverão ser protegidos por senha (bloqueados), todos os computadores quando não estiverem sendo utilizados;
• Todos os recursos tecnológicos adquiridos devem ter imediatamente suas senhas padrões (default) alteradas.

Os equipamentos deverão preservar, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.

Nas situações a seguir também são proibidas o uso de computadores e recursos tecnológicos:

• Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
• Burlar quaisquer sistemas de segurança;
• Acessar informações confidenciais sem explícita autorização do proprietário;
• Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
• Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
• Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
• Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
• Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

8.5 Dispositivos móveis

Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade ou aprovado e permitido pela área de tecnologia, como: notebooks, smartphones e pendrives.

Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores, os quais utilizem tais equipamentos.

A Total IP, para atender a LGPD, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.

O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, a qual tenha ou venha a ter conhecimento em razão de suas funções, mesmo depois de terminado o vínculo contratual mantido com a empresa.

Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.

Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico do setor de tecnologia.

O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos os quais não tenham sido instalados ou autorizados.

A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela empresa constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.

É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes.

É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel, notificar imediatamente seu gestor direto e a área de tecnologia para serem adotados os procedimentos cabíveis. Também deverá procurar a ajuda das autoridades policiais registrando um Boletim de Ocorrência (BO).

O colaborador deverá estar ciente de como o uso indevido do dispositivo móvel caracteriza a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, capaz de causar a esta empresa e/ou a terceiros.

8.6 Data Center (CPD)

8.7 Backup

Todos os backups devem ser automatizados por sistemas de agendamento automatizado para serem preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos quando não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.

Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.

Os arquivos de backup dos sistemas internos da Total IP devem estar em nuvem dentro dos limites do território nacional, nesse caso em fornecedor diferente do serviço hospedado. E em caso de serviço em nuvem teremos o arquivo do backup em local físico diferente de onde está a solução.

Os arquivos de backup dos sistemas implantados para os clientes da Total IP devem estar disponibilizados no próprio servidor do cliente, presencial ou em nuvem, para ser capturado e enviado para outro servidor ou nuvem conforme sua política interna de backups.

Na situação de erro de backup e/ou restore é necessário fazer logo no primeiro horário disponível, tão logo o responsável tenha identificado e solucionado o problema.

Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 180 dias, de acordo com a criticidade do backup. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para assim não sobrepor os arquivos válidos.

8.8 Exclusão de dados

A exclusão de dados das plataformas da Total IP dos clientes será realizada pelos colaboradores dos clientes e conforme política interna dos mesmos, excepcionalmente se houver uma solicitação formal com autorização da diretoria da Total IP.

Dados das plataformas da operação de vendas e dos funcionários da Total IP serão deletados apenas por solicitação das pessoas ou empresas solicitantes e quando não houver impacto nos contratos e questões jurídicas envolvidas.

Todos os HD’s são formatados antes de doação para ONG’s de apoio à inserção de jovens no mercado de trabalho.

8.9 Anonimização de dados

A anonimização de dados nas plataformas da Total IP dos clientes será de acordo com a política interna de cada entidade, onde podem ser utilizadas as ferramentas de integração e API’s onde somente o id_cliente pode ser utilizado.

Nas plataformas internas da Total IP os dados serão restritos aos colaboradores responsáveis por lidar com os clientes ou com na gestão dos colaboradores, sempre minimizando o número de pessoas com acesso, de acordo com um sistema de permissões e controles de login e acesso.

Deverá ser institucionalizado um treinamento formal, aplicado na contratação, após o primeiro ano e depois a cada três anos, em todo o time. Isso visa a conscientização das regras de segurança, o nível de acesso aos dados e a comunicação em caso de incidentes. Na conclusão um certificado deverá ser gerado.

Como já informado, a primeira capacitação, ao iniciar na empresa, deve instruir sobre segurança da informação e a importância da postura correta em relação aos dados tratados na companhia.

Desde 2005, a Total IP é uma desenvolvedora de softwares com soluções inovadoras para o atendimento eficiente a clientes, seja com robôs ou humanos, via voz ou chat, com WhatsApp, sites ou redes sociais, para empresas modernas. A empresa e seus colaboradores são preocupados em prestar serviços comprometidos com condutas de combate à corrupção, visando conduzir negócios e relacionamentos dentro dos princípios da ética, da honestidade, da integridade e do respeito, sob as leis, para preservar tanto a iniciativa quanto os indivíduos envolvidos. 

Com uma equipe multi tecnológica e capacitada para agir perante a legislação, a implantação e o treinamento são fáceis e intuitivos, garantindo operações produtivas e resguardadas. Nosso suporte inclui a área de performance e auxilia seu time na otimização das soluções, bem como sugestões de melhorias continuadas. A cada projeto, nossos especialistas realizam um atendimento colaborativo para detalhar opções inovadoras e diversos tipos de integração. 

Nesse sentido, o presente manual possui o intuito de reforçar e conduzir nossos colaboradores e parceiros mediante às boas práticas de combate à corrupção e demais efeitos empresariais, com a finalidade de elucidar termos recorrentes e oferecer metodologias mais assertivas, levando em conta a Lei 12.846/13, conhecida popularmente como Lei Anticorrupção. Assim, o propósito do documento é estabelecer orientações sobre as diretrizes pregadas pela Total IP. 

Quer conhecer mais sobre nossos diferenciais ou possui dúvidas? Entre em contato pelo (11) 3355-3400 ou acesse www.totalip.com.br.

Promover a transparência dos procedimentos internos e reduzir riscos de atividades indesejadas nas relações de trabalho e negócios;

Disseminar boas práticas de comportamento com base em código de conduta e ética adotado pela empresa;

Conscientização do cumprimento da lei anticorrupção para evitar situações capazes de resultar em penalidades e prejuízos à empresa, para  seus empregados e clientes, inclusive com responsabilidade criminal para as pessoas envolvidas em atos considerados de corrupção.  

É responsabilidade de todos preservar a empresa por meio de uma conduta idônea.

A corrupção existe há muitos anos, seja como um problema local ou até mesmo impactando países e suas relações. Essa prática afeta desde a economia, políticas públicas e gestão de empresas. 

Segundo o autor Luís Sousa, do livro “Corrupção”, ela pode ser definida como o abuso de funções por políticos eleitos, funcionários públicos ou agentes privados, por conta da aceitação de vantagem patrimonial ou não patrimonial indevida, para si ou para terceiros. Ou seja, agem de forma diferente da expectativa para seus cargos. Logo, é um acordo secreto, implicando em uma troca. Um lado é privilegiado pelo favorecimento ou venda de decisões, recebendo uma contrapartida ou benefício impróprio e intencional. De acordo com as principais normas anticorrupção, o crime já é estabelecido mediante uma promessa, mesmo quando o proveito não é realmente concedido. 

Atualmente, além da esfera pública, é comum encontrar más posturas no meio privado. Conforme a UNODC (United Nations Office on Drugs and Crime), o termo é responsável por impactar todos os países e corporações do mundo, prejudicando instituições democráticas, freando o desenvolvimento capital e contribuindo para a instabilidade governamental. Isso causa o afastamento de investidores e desestimula o desenvolvimento corporativo do país. 

Em geral, a concepção é ampla, inclui métodos de suborno e de propina, fraude, apropriação indébita ou qualquer outro desvio de recursos. Também pode envolver casos de nepotismo, extorsão, tráfico de influência, utilização de informações privilegiadas para fins pessoais, a compra e venda de sentenças judiciais, entre outras ações.

Por isso, é importante um trabalho conjunto para ter sucesso na luta contra a corrupção, envolvendo todos os colaboradores, bem como os stakeholders de uma organização. 

O comprometimento dos colaboradores é fundamental para o código de ética e boa conduta do grupo ser uma ferramenta efetiva de orientação e prevenção. Todos são responsáveis por sua observância no cotidiano profissional.

Missão, Visão e Valores

Missão 

Prover soluções inovadoras para o atendimento e a comunicação eficiente de empresas e seus clientes.

Visão  

Ser referência em desenvolvimento de soluções integradas para nossos clientes encantarem seu público alvo com inovação e eficiência no atendimento.

Valores

Ter uma equipe colaborativa, engajada e comprometida em oferecer uma base sólida de conhecimentos para garantir excelência em tecnologia no atendimento de nossos clientes.

Ética é o conjunto de normas e princípios norteadores da boa conduta do ser humano. Lealdade é o respeito aos princípios e regras previamente estabelecidos.

As diretrizes éticas estabelecidas são  primordiais para se atingir os objetivos institucionais, entre eles, o bom atendimento aos clientes. 

Buscamos, assim, um comportamento baseado na honestidade, respeitabilidade e espírito de equipe promovendo orgulho de pertencer à Total IP. Um ambiente no qual todos são respeitados e podem se expressar, ter suas ideias , opiniões e modo de ser e viver.

Referidas regras devem ser cumpridas por todos os colaboradores, procurando, desta forma, a plena eficácia de sua aplicação. 

Conceituação e atualidade do tema

A criação da Lei 12.846/2013, mais conhecida como Lei Anticorrupção, reflexo da operação Lava Jato e escândalos das grandes construtoras em inúmeros governos, possibilitou a esperança de vivermos  em uma sociedade mais ética e justa.

A Lei Anticorrupção é inovadora ao prever a responsabilidade objetiva nas esferas cível e administrativa para as corporações cometedoras de atos ilícitos.

Neste contexto há  necessidade de buscar boas práticas de gestão de governança corporativa, a empresa é responsável independentemente de culpa, mediante a comprovação de tais atos terem sido praticados em seu interesse ou benefício.

Consideramos intolerável a corrupção ativa ou passiva, assim como a extorsão, a propina, a lavagem de dinheiro, o suborno, ou quaisquer outras condutas ilícitas afins. 

Mitigar fraudes efetuadas por profissionais é uma necessidade em si e, adicionalmente, tem impactos positivos na imagem organizacional, no ambiente de trabalho, na motivação dos demais funcionários e na perenidade do negócio.

Atos assim devem ser combatidos por meio de treinamentos, ações promovendo conscientização e canais de denúncias.

8.1 Vantagem indevida

É vedado o pagamento ou oferecimento de vantagens indevidas  sob pena da empresa vir a ser seriamente prejudicada, sujeitando-a, bem como o colaborador envolvido em tal prática e seus dirigentes, a processos judiciais, graves penalidades civis e criminais, e sanções administrativas;

Por exemplo: oferecer propina para obter vantagens indevidas em razão de modificações ou prorrogações de contratos (direta ou indiretamente por meio de terceiros). 

8.2 Refeições, viagens e outras despesas

Oferecer refeições ou entretenimentos frequentes para um cliente ou fornecedor pode ser um sinal indicativo de atividade imprópria e, portanto, deve ser evitada. 

Refeições e viagens não devem exceder o valor descrito em Política Interna, evitando ser caracterizadas como vantagens indevidas.  Somente serão reembolsados os valores observados na política interna vigente e, para tal, será preciso apresentação de comprovação dos gastos.

Eventualmente, se essas despesas excederem esse valor, será necessária a aprovação da diretoria.

8.3 Tráfico de informação

Oferecer acesso de  informações a terceiros, parentes, amigos mediante amizade ou benefício financeiro ou de qualquer outro tipo.

Buscar informações de forma ilícita dos concorrentes.

Informações são: dados de clientes, funcionários, candidatos, escolas, processos e métodos de trabalho, estratégicas, campanhas de marketing a serem lançadas, enfim, tudo relacionado com o negócio. 

Meios de acesso: sistemas de informação, pen drive, fotos, falando por telefone, por mensagens de texto, planilhas, etc.

8.4 Presentes e brindes

Para evitar a impressão de relações impróprias  relacionamos abaixo algumas diretrizes a serem seguidas pelos colaboradores:

Nenhum presente ou brinde pode, em hipótese alguma, ser dado em troca de tratamento favorável inapropriado, visando qualquer benefício, vantagem competitiva e ganhos financeiros para qualquer uma das partes envolvidas;

Colaboradores estão autorizados a dar e receber brindes para qualquer cliente ou fornecedor, e não devem  exceder o valor de  R$ 100,00 (cem reais). 

Nenhum presente ou brinde deve ser dado em dinheiro.

8.5 Contribuições a causas beneficentes 

Não poderão ser feitas contribuições beneficentes em troca de favores. 

Pedidos de contribuição devem ser feitos por e-mail, em  nome da empresa, com objetivo específico e valor requisitado, para serem cuidadosamente analisados e submetidos à aprovação da diretoria.

8.6 Livros e registros precisos 

Todas as transações da empresa deverão estar devidamente registradas de forma correta, precisa e completa, tais como documentos originais, faturas, recibos, relatórios de despesas, livros contábeis, sem a utilização de quaisquer artifícios contábeis capazes de ocultar ou encobrir pagamentos ilegais.

Exemplos na forma de perguntas e respostas

9.1  Posso compartilhar com amigos e família informações confidenciais de clientes e parceiros?

Não é permitido aos colaboradores da empresa repassar informações internas de caráter sigiloso, mesmo sob hipótese da confidencialidade ser temporária. Todos devem ter o máximo de discrição no trato de informações e documentos sensíveis da empresa. Quando uma dúvida surgir, leia a Política de Segurança da Informação, disponível em nosso site (acima), ou envie sua dúvida para ouvidoria@totalip.com.br.  

9.2 Posso compartilhar informações com fornecedores? 

A imagem da nossa empresa no mercado desperta altas expectativas sobre sua integridade, porém essa imagem depende da integridade e do senso de responsabilidade de cada um dos seus colaboradores, bem como de todos os nossos parceiros de negócios e fornecedores. Um comportamento inadequado poderá causar à empresa um dano considerável, portanto, é essencial haver um alto padrão de ética, conduta moral e legal visíveis em todas as atividades do negócio. Portanto, não deverá compartilhar informações sigilosas sobre a empresa ou outros fornecedores, outros preços, anteriores ou propostos.

9.3 Como devo proceder em relação aos documentos da empresa? 

Todos os arquivos, sejam eles físicos ou eletrônicos, com informações relacionadas à empresa são considerados documentos e devem ser tratados com cuidado, tanto na sua produção quanto no seu armazenamento. Também é necessário ter um cuidado especial no trato desses documentos para evitar a divulgação de informações sigilosas da empresa a concorrentes e terceiros não autorizados.

Tire suas dúvidas: 

10.1 Transparência 

Adotar postura ética está entre as principais preocupações de uma empresa de sucesso.

Política Interna, Política de Segurança de Senhas e Política de Segurança da Informação estão disponíveis no sistema interno da empresa, é possível acessá-lo quando quiser. 

Você ainda pode conhecer os detalhes da Lei Anticorrupção Brasileira, nº 12.846/2013, seguindo o link: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm 

10.2 Canal de denúncia

Se você presenciar ou for vítima de algum ato ilegal, desonesto,  imoral, agressivo, racista, homofóbico e com qualquer caráter assedioso  entre em contato com o nosso Comitê Interno pelo e-mail ouvidoria@totalip.com.br, canal responsável para ajudá-los ou aconselhá-los nesse tema.  

As informações enviadas para este canal são de caráter sigiloso. A denúncia poderá ser de modo anônimo. A Total IP firma o compromisso de manter sob sigilo a identidade do denunciante e isso não será submetido a qualquer tipo de retaliação.

A denúncia será recebida pelo Comitê Interno e será analisada a situação e tomadas as providências cabíveis.

Assédio moral – exposição de trabalhadores a situações vexatórias, constrangedoras e humilhantes durante o exercício de sua função. Esses atos visam humilhar, desqualificar e desestabilizar emocionalmente a vítima em relação à organização e ao ambiente de trabalho, colocando em risco sua saúde, seu emprego, sua vida. 

Assédio sexual – consiste em constranger colegas por meio de insinuações constantes com o objetivo de obter vantagens ou favorecimento sexual. Essa atitude pode ser clara ou sutil, ser falada ou apenas insinuada, ser escrita ou explicitada em gestos, vir em forma de coação, quando alguém promete promoção em troca de aceitação ou, ainda, em forma de chantagem.

Cidadania – é o exercício dos direitos e deveres civis, políticos e sociais estabelecidos na Constituição. 

Código de conduta ética – documento, de forma clara e precisa, com os valores e condutas esperados e comportamentos a serem evitados para todos os colaboradores da organização, incluindo membros da alta direção, colaboradores, estagiários, terceirizados, fornecedores e parceiros. 

Colaborador – todos os funcionários, gestores, diretores, conselheiros.

Conduta – comportamento, atitude, modo de agir.

Corrupção ativa – oferecer ou prometer vantagem indevida a funcionário, para determiná-lo a praticar, omitir ou retardar alguma ação de ofício. 

Corrupção passiva – solicitar ou receber, para si ou para outrem, direta ou indiretamente, mesmo fora da função ou antes de assumi-la, mas em razão dela, benefício impróprio, ou aceitar promessa de tal vantagem. 

Discriminação – tratamento desigual e injusto. Geralmente decorre de preconceitos.

Ética – conjunto de princípios morais guias para as relações entre os indivíduos na comunidade e no desempenho de uma atividade profissional.

Favorecimento – quando se obtêm ou se oferecem vantagens ou benefícios indevidos, decorrentes de apadrinhamento, proteção, amizade, parentesco ou outras formas de interesse ilegítimo. 

Fornecedores – pessoas físicas e jurídicas contratadas para fornecimento de bens e serviços de qualquer natureza. 

Fraude – ação intencional praticado por um ou mais indivíduos entre gestores, responsáveis pela governança, colaboradores, partes interessadas e/ou terceiros, envolvendo o uso de falsidade para obter um proveito injusto ou ilegal. 

Homofobia – termo utilizado para designar o ódio, repulsa, aversão, intolerância, medo desproporcional persistente ou até mesmo a prática discriminatória contra homossexuais ou a homossexualidade, como expressão de gênero. Na atualidade, distinguem-se as formas de opressão sofridas pelas mulheres lésbicas, sejam como indivíduos, como um casal ou como um grupo social de lesbofobia, contra bissexuais de bifobia e contra travestis e transexuais de transfobia.

Imagem – forma como as pessoas entendem o seu modo de ser/atuar.

Idoneidade moral – conjunto de qualidades com o pressuposto de recomendar um indivíduo à consideração pública, com atributos como honra, respeitabilidade, seriedade, dignidade e bons costumes. A idoneidade significa a qualidade de boa reputação, do bom conceito sobre uma pessoa.  

Ilícita – se opõe aos princípios morais; contrário à lei; ilegal.

Lavagem de dinheiro – são práticas econômicas e financeiras com finalidade de esconder a origem ilícita de ativos financeiros ou bens patrimoniais. 

Nepotismo – é o ato de favorecer alguém da família em uma relação de trabalho ou emprego, não porque fez por merecer, mas por ter algum grau de parentesco.  

Propina – atitude de pagar ou receber de alguém por serviço ou informação às escondidas. 

Racismo – práticas individuais, institucionais e políticas baseadas na crença de determinada raça ser superior a outra.  

Suborno – é definido como dar ou receber um benefício em conexão com a conduta inadequada de uma posição de confiança, ou uma função de forma imparcial ou de boa-fé. O conceito não precisa necessariamente envolver dinheiro ou um pagamento e pode assumir muitas formas, como um presente. 

Transparência – consiste no desejo de disponibilizar, para as partes interessadas, as informações sobre a gestão, os resultados e outros dados relevantes como uma forma de prestação de serviços inerentes à responsabilidade social da Total IP. 

A Total IP, com o intuito de garantir o nível de segurança operacional frente a  desastres ocasionados por fatores humanos e/ou naturais, apresenta este Plano de  Continuidade de Negócios como um modelo de gestão para capacitar a empresa  na continuidade de suas operações, bem como dos seus clientes usuários da  plataforma de comunicação Total IP. 

Este documento foi elaborado com base na Política de Segurança Interna  (PSI) Total IP e define as ações adotadas para minimizar os impactos provenientes  de uma eventual indisponibilidade dos recursos responsáveis por dar suporte à  realização das operações. 

Importante ressaltar: consideramos todos os ambientes de produção de cada  cliente e os servidores de gestão dos clientes estão em nuvem nível tier III.

O objetivo deste Plano de Continuidade de Negócios é reduzir ao máximo  o risco de alguma parada nos negócios da Total IP ou de seus clientes, bem como,  caso ocorra, para garantir os sistemas críticos para funcionamento operacional de  ambas as partes retornem à normalidade o mais rápido possível.

Neste documento estarão descritas as regras, procedimentos e diretrizes  para todos os colaboradores e também as áreas responsáveis pelos tratamentos dos  avisos de incidentes, contingências e/ou problemas, terem capacidade de garantir: 

• Cumprimento do plano: toda ação decorrente de incidentes,  contingências e/ou problemas deve ser trabalhada por meio de  procedimentos planejados previamente para continuidade dos negócios  da Total IP e, por consequência, de seus parceiros e clientes, resguardando  os interesses e o valor agregado do serviço prestado. 
• Conformidade com o plano: todos os incidentes, contingências e/ ou problemas devem ser tratados em conformidade com a “Política  de Segurança Interna Total IP” e “Processos e Procedimentos de  Atendimento Padrão Total IP” para garantir a continuidade dos negócios  da Total IP e, por consequência, de seus parceiros e clientes resguardando  os interesses e o valor agregado do serviço prestado. 

3.1 Falhas Sistêmicas 

Para falhas sistêmicas, o plano deve ser iniciado a partir de um contato direto  com a Total IP por meio dos canais oficiais de atendimento: Portal do Cliente ou  Central de Atendimento.

O ticket é o protocolo de ATENDIMENTO AO CLIENTE e receberá atenção  proporcional à sua prioridade, conforme os quatro níveis descritos no decorrer deste  documento. 

Todo o status será mantido de forma transparente pelos mesmos canais de  comunicação oficiais da Total IP. 

Em caso de cenários de crise, os tickets serão tratados com prioridade alta,  os gestores responsáveis pela atuação deverão ser acionados imediatamente para  serem direcionados esforços adicionais nas tratativas. 

Além disso deve-se realizar: 

• Diagnóstico inicial com análise crítica e levantamento de evidências para  direcionamento de tratativas; 
• Abertura de um war room interno para todos os esforços serem  amplamente explorados com os especialistas da Total IP;  
• Se necessário deve-se abrir um war room juntamente com o cliente. Esta  decisão fica a cargo da gestão imediata da frente de Atendimento da Total  IP; 
• Reporte periódico a cada hora referente a evolução das tratativas por meio  dos canais de atendimento oficiais da Total IP. 

Todas as demais categorias de prioridades de tickets deverão seguir os procedimentos descritos no documento interno de “Processos e Procedimentos de  Atendimento Padrão Total IP”. 

O plano será ativado a partir da comunicação imediata sobre o incidente,  contingência e/ou problema, relatado pelos canais de atendimento oficiais da Total IP. 

O acompanhamento do status de atendimento dessas ativações de cada  plano também deverá ser realizado nesses canais. 

Todos os incidentes, contingências e/ou problemas devem ser devidamente  classificados e categorizados para receberem a devida interpretação e atenção  conforme grau de prioridade. 

As categorias de cada atendimento devem respeitar o grau de prioridade de  cada solicitação, sendo: 

• Prioridade Alta: atendimentos decorrentes de cenários de crise, nos  quais o cliente e parceiro Total IP apresente impactos financeiros diretos  ocasionados por responsabilidade da Total IP. 
• Prioridade Média-alta: atendimentos decorrentes de cenários críticos,  nos quais o cliente e parceiro Total IP venha evidenciar contingências com  impacto na performance dos serviços prestados e impactos indiretos na  tomada de decisão da gestão capazes de acarretar em uma relação direta  nos resultados operacionais. 
• Prioridade Média: atendimentos decorrentes de contingências operacionais rotineiras, nos quais o cliente e parceiro Total IP demonstre  incidentes responsáveis por impactar a tomada de decisão da gestão,  porém não afetam os resultados operacionais.

• Prioridade Baixa: atendimentos decorrentes de contingências  operacionais rotineiras, nos quais o cliente e parceiro Total IP revele  incidentes não impactantes à tomada de decisão da gestão e não afetem  os resultados operacionais. 

Com o intuito de prevenção diante de eventuais incidentes, contingências e  problemas decorrentes de falhas sistêmicas, a Total IP garante: 

• Back up diário locais das bases e gravações dos clientes; 
• Ambientes de alta disponibilidade (para quem contrata); 
• Monitoramento dos servidores e serviços. 

3.2 Pandemias 

A Total IP conta com um sistema de trabalho híbrido, no qual os  colaboradores possuem uma jornada dividida entre trabalho presencial e remoto.  Mesmo em qualquer eventualidade dessa natureza ou similar, a continuidade dos  trabalhos não terá impactos nos temas de interesses da Total IP e seus clientes e  parceiros, assim como no valor agregado do serviço prestado pela mesma. 

Esse tipo de sistema pode ser acionado a qualquer momento para atuação total em home office do quadro de colaboradores e está sujeita a decisão do Comitê  de Política de Segurança Interna Total IP. 

3.3 Catástrofes Naturais 

Mesmo considerando o Brasil como um país privilegiado quanto a  terremotos, vulcões, furacões e o fato dos locais de trabalho presencial da Total IP  se estabelecerem em prédio protegido a enchentes, temos um sistema híbrido de  trabalho para todos os colaboradores atuarem em qualquer parte do Brasil. Essa  organização está baseada em sistemas em nuvem, então o maior risco quanto a  catástrofes naturais será para o caso do acidente atingir algum dos data centers onde a Total IP mantém suas nuvens e, no pior caso, de forma simultânea, ou seja,  prejudicar o sistema principal em conjunto com o backup.  

Recomendamos, nessa política, em caso de catástrofes naturais, cada  funcionário buscar o máximo de sua própria proteção e não se preocupar  com máquinas, mesas e cadeiras, pois o maior patrimônio da Total IP são seus  colaboradores. Em um segundo momento, avaliar seus parentes e sua casa para  ter condições seguras para voltar a trabalhar, checar suas conexões de Internet e,  finalmente, verificar os data centers e nossos sistemas. 

3.4 Fraudes 

Todos os sistemas de acesso interno devem ter dupla autenticação e a  segunda deve ser por um meio físico diferente da primeira. 

Todo acesso aos sistemas de nossos clientes só pode ser feito a partir da  nossa plataforma interna com dupla autenticação para, então, partir para os clientes  em comunicação encriptografada, com acesso apenas de usuários pré-qualificados  com gestão de permissionamentos, gerando logs de acesso e comandos. 

3.5 Sabotagem 

Todos os sistemas da Total IP e as soluções para os clientes possuem firewall e diversos sistemas de detecção de invasão. 

De tempos em tempos, conforme a PSI, deve ser feito o mapeamento de  falhas para minimizar os riscos de invasão. 

3.6 Roubo/Assalto 

O prédio onde a Total IP é estabelecida possui portaria 24 horas, sete dias por  semana, os conjuntos possuem acesso identificado por crachá, mas mesmo assim  deve buscar ter o mínimo de servidores, evitando afetar a operação da empresa e  dos clientes. 

O sistema principal da Total IP é em nuvem e tem backup dinâmico em data  center em endereço diferente para o caso de assaltos ou incêndios. 

3.7 Incêndio 

O prédio onde a Total IP é estabelecida possui e deve sempre atualizar o  alvará do corpo de bombeiros, além de ter sempre o mínimo de servidores capazes  de afetar a operação da empresa e dos clientes. 

O sistema principal da Total IP é em nuvem e tem backup (configurações:  informações de usuário, grupo de usuário, DAC filtros, e informações de mesma  natureza) dinâmico para restauração do ambiente e retomada do trabalho em data  center em endereço diferente para o caso de assaltos ou incêndios. 

ATENÇÃO! Não se encaixa nesse backup informações de mailing, lista de  importação e dados dessa mesma natureza.

A presente aplicação deste plano deverá ser seguida por todos os  colaboradores da empresa, bem como prestadores de serviços, terceiros e clientes  Total IP. No exercício das suas atividades, todos precisam acionar a Total IP para  resolução de incidentes, contingências e/ou problemas operacionais. 

Os ambientes e os ativos físicos e lógicos são monitorados. Seus registros e  imagens são gravados conforme previsto nas leis correntes do Brasil. 

É uma obrigação de cada colaborador manter-se atualizado quanto a essas  normas e é vital sempre procurar seu gestor imediato em caso de dúvidas sobre o atendimento do ticket. 

Este plano deverá ser publicado e comunicado de forma ampla para todos  os colaboradores, bem como prestadores de serviços, terceiros e clientes Total IP,  independentemente do nível hierárquico ou função na empresa. O mesmo deve  acontecer quando existir alguma contingência operacional, garantindo assim o  devido atendimento e direcionamento de tratativas. 

É de responsabilidade da Total IP, dos colaboradores da empresa, bem  como prestadores de serviços, terceiros e clientes informar quaisquer incidentes,  contingências e/ou problemas responsáveis por gerar qualquer grau de impacto na  operação e na tomada de decisão da gestão. 

Essa comunicação deve ser garantida pelos canais de comunicação oficiais  da Total IP (Portal do Cliente e Central de Atendimento). 

Depois de ter sido comunicado o incidente, contingência e/ou problema,  a solicitação receberá o primeiro atendimento e será direcionada para tratativa  das autoridades responsáveis, podendo ser destinada às áreas de Suporte Técnico,  Desenvolvimento, Implantação, Treinamento, Performance, Projetos e Infraestrutura.

5.1 Responsabilidades dos colaboradores 

Entende-se por colaboradores todas as pessoas físicas com vínculo  empregatício (CLT, estagiários ou prestador de serviços por intermédio de  uma pessoa jurídica ou não, exercendo alguma atividade da empresa ou para a  empresa dentro ou fora dos seus escritórios). 

Será de inteira responsabilidade de cada colaborador garantir o devido  atendimento com seu respectivo senso de urgência para superar o mais rápido  possível os incidentes, contingências e/ou problemas apresentados nos tickets. 

Também será de responsabilidade de cada colaborador ser conhecedor do  documento de “Processos e Procedimentos de Atendimento Padrão Total IP” para garantia de continuidade dos negócios de nossos clientes e parceiros. 

5.2 Responsabilidades dos gestores 

Servir como apoio e ponto focal para resolução dos incidentes, contingências  e/ou problemas. 

Os gestores também deverão garantir o cumprimento dos procedimentos  estabelecidos no documento de “Processos e Procedimentos de Atendimento  Padrão Total IP”.

5.3 Responsabilidades das áreas de TI 

(Desenvolvimento, Implantação, Suporte e Infraestrutura) 

Testar periodicamente e monitorar os controles utilizados. 

Configurar os equipamentos e sistemas licenciados ou concedidos aos  clientes e aos colaboradores da Total IP com todos os controles necessários para  cumprir os requerimentos de segurança aqui estabelecidos, bem como garantir  pleno funcionamento a fim de minimizar os riscos diante de eventuais impactos na  continuidade dos negócios de nossos clientes e parceiros. 

Monitorar os incidentes de segurança publicados pelo seu fornecedor de  todos as aplicações utilizadas e garantir a pronta correção em casos graves. 

Realizar auditorias periódicas de configurações técnicas e análise de riscos. 

5.4 Responsabilidades dos stakeholders 

Clientes Total IP, parceiros Total IP e clientes e fornecedores dos clientes dos  clientes Total IP 

Caso os incidentes, contingências e/ou problemas envolvam a participação de  outros fornecedores dos nossos clientes e parceiros para serem resolvidos, o cliente  e parceiro correspondente será responsável por intermediar a comunicação até o  problema ser solucionado. 

É de responsabilidade dos fornecedores de nossos clientes e parceiros a solução de incidentes, contingências e/ou problemas capazes de impactar no  funcionamento das aplicações e soluções da Total IP. 

Em casos de responsabilidades compartilhadas, todas as partes deverão atuar  em parceria para resolução de incidentes, contingências e/ou problemas, sendo  responsáveis em casos específicos pela elaboração de laudos técnicos para objetivar  o direcionamento de solução. 

A Total IP reserva-se o direito de definir a periodicidade de lançamento de  versões e os itens (melhorias, correções e novas funcionalidades) contidos em cada  versão. 

É de responsabilidade de cada cliente e da Total IP atentar-se sobre a  existência de novas versões e sua devida solicitação sobre atualizações. Essas versões  podem ser consultadas pela nossa Central de Atendimento. 

A Total IP se responsabiliza por manter uma agenda de upgrades periódica  para garantir a modernidade aos usuários e aperfeiçoamento para manutenção dos  resultados de suas operações. 

Cada manobra de melhoria, deverá ocorrer em comum acordo entre as  partes envolvidas. Dessa forma, acontecerá, obrigatoriamente, após a decisão formal  do cliente.

O procedimento envolve a leitura e o entendimento por parte do cliente,  entendimento em constância com a documentação denominada GMUD, na qual o  usufruidor terá acesso aos detalhes técnicos da operação. 

Os horários sobre a realização das manobras deverão ser definidos pelo  cliente para evitar eventual impacto no funcionamento da operação. 

Juntamente com cada manobra de atualização existe uma ação da frente de  Atendimento Total IP para identificação de necessidade de treinamento sobre Novas  Funcionalidades, sendo a mesma um pré-requisito e agendada com antecedência.  Em casos excepcionais, por opção do cliente e o mesmo ciente dos riscos, é possível  optar por realizar a manobra de atualização antes da realização do treinamento. 

Além disso, a estratégia envolve a realização de cenários de testes para  garantir o pleno funcionamento da aplicação após a conclusão da manobra de  atualização.

Sistemas ativos fazem o monitoramento nos servidores, correio eletrônico,  conexões com a Internet e componentes da rede. A informação gerada por esses  sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados,  bem como material manipulado. 

Instalar sistemas de proteção, preventivos e detectáveis, para garantir a  segurança das informações e dos perímetros de acesso.

Deverá ser institucionalizado um treinamento formal, aplicado na  contratação dos colaboradores da Total IP, após o primeiro ano e depois a cada três  anos em todo o time. Isso visa a conscientização das regras de atendimento, o grau  de prioridade de cada incidente, contingência e/ou problema. 

Como já informado, a primeira capacitação, ao iniciar na empresa, deve  instruir sobre segurança da informação e a importância da postura correta em  relação aos dados tratados na companhia.