8.1 E-mail
O serviço de e-mail é exclusivamente para uso corporativo e relacionado às atividades do colaborador. É proibido o uso do e-mail para:
Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo das atividades diárias;
Enviar mensagens para múltiplos destinatários de cunho comercial/comunicativo para os clientes. Esse tipo de atividade deve sempre ser feito via sistema;
Enviar listas contendo informação sensível dos clientes, violando o conceito de privacidade e confidencialidade proposto nesta política. Exceções deverão ser aprovadas pela diretoria da empresa;
Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico não autorizado a se utilizar;;
Enviar qualquer mensagem por meios eletrônicos capazes de tornar seu remetente e/ou a própria empresa vulnerável a ações civis ou criminais;
Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
Apagar mensagens pertinentes do correio eletrônico quando estiver sujeita a algum tipo de investigação;
Produzir, transmitir ou divulgar mensagem, as quais:
- Contenham qualquer ato ou forneçam orientações capazes de conflitar ou contrariar os interesses da Total IP;
- Contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
- Contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão com um risco à segurança;
- Visem obter acesso não autorizado a outro computador, servidor ou rede;
- Visem interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
- Visem burlar qualquer sistema de segurança;
- Visem vigiar secretamente ou assediar outro usuário;
- Visem acessar informações confidenciais sem explícita autorização do proprietário;
- Visem acessar indevidamente informações responsáveis por causar prejuízos a qualquer pessoa;
- Incluam imagens criptografadas ou de qualquer forma mascaradas;
- Contenham anexo(s) superior(es) a 5 MB para envio, além disso devem utilizar-se de serviços de compartilhamento de arquivos na Internet;
- Tenham conteúdo considerado impróprio, obsceno ou ilegal;
- Sejam de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
- Contenham perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
- Tenham fins políticos locais ou do país (propaganda política);
- Incluam material protegido por direitos autorais sem a permissão do detentor dos direitos.
8.2 Uso da Internet (www)
Todas as regras atuais desta política visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da Internet. Embora a conexão direta e permanente da rede corporativa da empresa com a Internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.
Qualquer informação acessada, transmitida, recebida ou produzida na Internet está sujeita à divulgação e auditoria. Portanto, a Total IP, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/Internet, visando assegurar o cumprimento de sua Política de Segurança da Informação.
A Total IP, ao monitorar as redes internas e externas, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar em ações administrativas e penalidades decorrentes de processos civil e criminal. Nesses casos a Total IP irá cooperar ativamente com as autoridades competentes.
A Internet disponibilizada pela empresa aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, sob a condição de não prejudicar o andamento das suas atividades diárias.
Apenas os colaboradores autorizados pela empresa poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.
É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata utilizada na web.
Os colaboradores com acesso à Internet poderão fazer o download somente de programas ligados diretamente às suas atividades na Total IP e deverão providenciar o necessário para regularizar a licença e o registro desses programas, caso sejam autorizados pela área de tecnologia.
Qualquer software não autorizado baixado será excluído pela área de tecnologia.
Os colaboradores não poderão em hipótese alguma utilizar os recursos de tecnologia para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.
Colaboradores com acesso à Internet não poderão efetuar upload de qualquer software licenciado à Total IP ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.
Os colaboradores não poderão utilizar os recursos de tecnologia para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.
Não é permitido acesso a sites de proxy.
8.3 Identificação
Os dispositivos de identificação e senhas protegem a identidade do colaborador, evitando e prevenindo uma pessoa de se passar por outra perante a Total IP e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores. Todos os dispositivos de identificação utilizados, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a empresa e a legislação (cível e criminal).
Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
É proibido o compartilhamento de login para funções de administração de sistemas.
A área de tecnologia responde pela criação da identidade lógica dos colaboradores na empresa.
Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
Os usuários sem o perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais e variação entre caixa-alta e baixa (maiúsculo e minúsculo) sempre quando possível.
Já quem possui perfil de administrador ou acesso privilegiado deverá utilizar uma senha de no mínimo 12 (doze) caracteres, alfa numérica, utilizando caracteres especiais e variação de caixa-alta e baixa (maiúsculo e minúsculo) obrigatoriamente.
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação a ele designados.
O armazenamento das senhas é de responsabilidade de cada colaborador e devem ser protegidas apropriadamente. Não é permitido ter senhas escritas e deixadas à mostra, bem como não devem ser compartilhadas sem a possibilidade de serem destruídas logo após o conhecimento da parte interessada.
As senhas não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
Após 5 (cinco) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário entrar em contato com a área de tecnologia.
Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade). Os usuários podem alterar a própria senha e devem ser orientados a fazê-lo, caso suspeitem do acesso indevido de terceiros ao seu login/senha.
A periodicidade máxima para troca das senhas é 90 (noventa) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.
Portanto, quando algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de tomar essa providência. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares. Quando o gestor tiver a necessidade de acompanhar as atividades de usuários desligados, ele tornar-se-á responsável por esta identidade.
Caso o colaborador esqueça sua senha, deve requisitar uma nova, via sistema ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
8.4 Computadores
Os equipamentos utilizados pelos colaboradores devem ser utilizados e manuseados corretamente para as atividades de interesse da empresa, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.
É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da área de tecnologia ou de quem este determinar. As gerências com a necessidade fazer testes deverão solicitá-los previamente à área de tecnologia, ficando responsáveis jurídica e tecnicamente pelas ações realizadas.
Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação e depois de sua disponibilização pelo fabricante ou fornecedor.
Os sistemas e computadores devem ter versões do software antivírus instaladas, no caso do sistema operacional Windows, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar imediatamente a área de tecnologia.
A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.
Arquivos pessoais e/ou não pertinentes ao negócio (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente sem comunicação prévia ao usuário.
Documentos imprescindíveis para as atividades dos colaboradores da empresa deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
Os colaboradores e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa capaz de sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da área de tecnologia.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:
- Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso de colaboradores não autorizados. Tais senhas serão definidas pela área de tecnologia, setor com acesso a elas para manutenção dos equipamentos;
- Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador;
- O colaborador deverá manter a configuração do equipamento, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da empresa, assumindo a responsabilidade como custodiante de informações;
- Deverão ser protegidos por senha (bloqueados), todos os computadores quando não estiverem sendo utilizados;
- Todos os recursos tecnológicos adquiridos devem ter imediatamente suas senhas padrões (default) alteradas.
Os equipamentos deverão preservar, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.
Nas situações a seguir também são proibidas o uso de computadores e recursos tecnológicos:
- Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
- Burlar quaisquer sistemas de segurança;
- Acessar informações confidenciais sem explícita autorização do proprietário;
- Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
- Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
- Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
- Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
- Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.
8.5 Dispositivos móveis
Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade ou aprovado e permitido pela área de tecnologia, como: notebooks, smartphones e pendrives.
Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores, os quais utilizem tais equipamentos.
A Total IP, para atender a LGPD, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, a qual tenha ou venha a ter conhecimento em razão de suas funções, mesmo depois de terminado o vínculo contratual mantido com a empresa.
Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.
Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico do setor de tecnologia.
O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos os quais não tenham sido instalados ou autorizados.
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela empresa constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes.
É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel, notificar imediatamente seu gestor direto e a área de tecnologia para serem adotados os procedimentos cabíveis. Também deverá procurar a ajuda das autoridades policiais registrando um Boletim de Ocorrência (BO).
O colaborador deverá estar ciente de como o uso indevido do dispositivo móvel caracteriza a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, capaz de causar a esta empresa e/ou a terceiros.
8.6 Data Center (CPD)
Todos os sistemas internos e de controle da Total Ip devem estar em nuvem com padrão tier III e os sistemas instalados de nossos clientes em CPD’s ou nuvens conforme suas próprias regras.
No caso de desligamento de empregados ou colaboradores com acesso aos sistemas em nuvem, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados.
Os ambientes de produção (servidores) são gerenciados e de responsabilidade da Total IP, os acessos são controlados e não permite a instalação de softwares de terceiros.
Qualquer solicitação de análises, evidências, testes ou outras dessa natureza podem ser feitas no Portal do Cliente ou na central de atendimento Total IP. Eles serão avaliados pelo Comitê de Segurança da Informação Total IP, com prazo máximo de até 10 (dez) dias úteis para o primeiro retorno.
8.7 Backup
Todos os backups devem ser automatizados por sistemas de agendamento automatizado para serem preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos quando não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
Os arquivos de backup dos sistemas internos da Total IP devem estar em nuvem dentro dos limites do território nacional, nesse caso em fornecedor diferente do serviço hospedado. E em caso de serviço em nuvem teremos o arquivo do backup em local físico diferente de onde está a solução.
Os arquivos de backup dos sistemas implantados para os clientes da Total IP devem estar disponibilizados no próprio servidor do cliente, presencial ou em nuvem, para ser capturado e enviado para outro servidor ou nuvem conforme sua política interna de backups.
Na situação de erro de backup e/ou restore é necessário fazer logo no primeiro horário disponível, tão logo o responsável tenha identificado e solucionado o problema.
Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 180 dias, de acordo com a criticidade do backup. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para assim não sobrepor os arquivos válidos.
8.8 Exclusão de dados
A exclusão de dados das plataformas da Total IP dos clientes será realizada pelos colaboradores dos clientes e conforme política interna dos mesmos, excepcionalmente se houver uma solicitação formal com autorização da diretoria da Total IP.
Dados das plataformas da operação de vendas e dos funcionários da Total IP serão deletados apenas por solicitação das pessoas ou empresas solicitantes e quando não houver impacto nos contratos e questões jurídicas envolvidas.
Todos os HD’s são formatados antes de doação para ONG’s de apoio à inserção de jovens no mercado de trabalho.
8.9 Anonimização de dados
A anonimização de dados nas plataformas da Total IP dos clientes será de acordo com a política interna de cada entidade, onde podem ser utilizadas as ferramentas de integração e API’s onde somente o id_cliente pode ser utilizado.
Nas plataformas internas da Total IP os dados serão restritos aos colaboradores responsáveis por lidar com os clientes ou com na gestão dos colaboradores, sempre minimizando o número de pessoas com acesso, de acordo com um sistema de permissões e controles de login e acesso.