POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
1 CLASSIFICAÇÃO: PUBLICO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
(POLSI01)
30/09/2019
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
2 CLASSIFICAÇÃO: PUBLICO
RESUMO:
Política de Segurança da Informação corporativa, onde se estabelece os atributos,
responsabilidades, diretrizes e condutas com o tratamento das informações da empresa.
HISTORICO DE VERSÕES:
HISTÓRICO DE REVISÃO DO DOCUMENTO
VERSÃO DATA AUTOR REVISOR DESCRIÇÃO DE ALTERAÇÃO
3.6 03/03/2018 Luiz Le-Fort Ismael Torres Remodelação da politica antiga para um novo modelo e com maior abrangência.
3.7 06/03/2018 Luiz Le-Fort Ismael Torres Correção e inclusão de Matriz de Acesso
3.8 26/03/2018 Luiz Le-Fort Ismael Torres Inclusão de Termo de Confidencialidade
e Termo BYOD
3.9 16/04/2018 Luiz Le-Fort Ismael Torres Alterado o termo de confidencialidade
de acordo com o código penal.
4.0 17/04/2018 Luiz Le-Fort Ismael Torres Alteração dos termos de requisição de
Acesso.
4.1 04/05/2018 Luiz Le-Fort Ismael Torres Inclusão de Cibercrimes
4.2 04/05/2018 Luiz Le-Fort Ismael Torres Alterado item 12, desanexado da psi
4.3 08/05/2018 Luiz Le-Fort Ismael Torres Correções gramaticais e revisão final
4.4 28/05/2018 Luiz Le-Fort Ismael Torres Alteração de Confidencialidade, inclusão
de glossário, inclusão vigência, inclusão valores da empresa e alterado o formato
do documento.
4.5 06/08/2018 Luiz Le-Fort Ismael Torres Alterações solicitadas pelo Jurídico da CRC.
4.6 22/02/2019 Luiz Le-Fort Ismael Torres Inclusão Normativa de uso de E-mail
Corporativo item 6.1.12.1, Inclusão Normativa de uso de Internet
Corporativa item 6.1.12.2, alteração
cabeçalho, alteração do glossário do inicio para depois do sumário. Alteração
de referencia de documento do capitulo
5. Inclusão de tabela de classificação de confidencialidade no capitulo 9.
Remoção do paragrafo da
disponibilidade do documento via Intranet no Capitulo 12. Inclusão do
capitulo 13 (documentos adicionais).
Alteração do Superintendente de TI da CRC.
4.7 30/09/2019 Luiz Le-Fort Lorena Queiroz Inclusão do item 7.4 – Politica de mesa e
tela limpa; incluído o item 9.5 –
Manuseio de informação; Alterado o titulo do item 4.3 de “Ameaças e
Vulnerabilidades” para “Gestão de
Vulnerabilidade”; inclusão dos parágrafos 6.1.5.1 e 6.1.5.2 que
especifica o licenciamento dos softwares
utilizados pela empresa; Redução de linhas em branco; Inclusão de Resposta a
Incidentes; Reformatado a concessão de
acesso remoto; Inclusão de termos no Glossário; destacado a classificação da
informação referente ao mailing enviado pelos contratantes; Alteração da
concessão de acessos; alteração dos itens
3.7.1 e 3.7.2; Inclusão do ultimo paragrafo em objetivo; Alteração do item
13 de “documentos adicionais” para
“procedimentos adicionais” e incluso sistema de gestão de documentação.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
3 CLASSIFICAÇÃO: PUBLICO
SUMÁRIO GLOSSÁRIO........................................................................................................................................................................................... 4
1. INTRODUÇÃO ............................................................................................................................................................................ 5
2. OBJETIVO .................................................................................................................................................................................. 5
3. ATRIBUIÇÕES E RESPONSABILIDADES. ...................................................................................................................................... 6
3.2 Diretoria ......................................................................................................................................................................... 6
3.3 Gerência e Coordenação de Tecnologia da Informação ................................................................................................. 6
3.4 Segurança da Informação ............................................................................................................................................... 6
3.5 Gestores de outras áreas................................................................................................................................................ 7
3.6 Recursos Humanos ......................................................................................................................................................... 7
3.7 Departamento Pessoal ................................................................................................................................................... 8
3.8 Tecnologia da Informação & Comunicações .................................................................................................................. 8
4. ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO ........................................................................................................................ 8
4.1 Ameaças ......................................................................................................................................................................... 9
4.2 Vulnerabilidades........................................................................................................................................................... 10
4.3 Controle a Ameaças e Vulnerabilidades .............................................................................Erro! Indicador não definido.
5. ACESSO REMOTO .................................................................................................................................................................... 10
6. DIRETRIZES .............................................................................................................................................................................. 11
7. DIRETRIZES DE NÍVEL DE SEGURANÇA..................................................................................................................................... 15
7.1 Garantia de Elementares de Segurança da Informação ............................................................................................... 15
7.2 Política de senhas ......................................................................................................................................................... 15
7.3 Política de Backup ........................................................................................................................................................ 16
8. GESTÃO DE ACESSOS ............................................................................................................................................................... 17
8.2 Procedimento de concessão ........................................................................................................................................ 17
8.3 Procedimento de alteração de acessos ........................................................................................................................ 17
8.4 Menor privilégio ........................................................................................................................................................... 17
8.5 Requerimento de concessão de acesso ........................................................................................................................ 17
8.6 Procedimento de bloqueio e cancelamento de acessos ............................................................................................... 17
8.7 Matriz de acesso .......................................................................................................................................................... 17
9. CONFIDENCIALIDADE .............................................................................................................................................................. 18
9.1 Definição dos termos de confidencialidade ................................................................................................................. 18
9.2 Diretrizes do Termo de confidencialidade .................................................................................................................... 19
9.3 Responsabilidades de confidencialidade ...................................................................................................................... 19
9.4 Guarda das informações de confidencialidade............................................................................................................. 19
10. BYOD – BRING YOUR OWN DEVICE .................................................................................................................................... 19
11. MONITORAMENTO E EVENTUAIS ADVERTÊNCIAS ............................................................................................................. 20
12. TERMO DE CONFIDENCIALIDADE E COMPROMISSO. ......................................................................................................... 20
13. VIGÊNCIA ........................................................................................................................................................................... 21
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
4 CLASSIFICAÇÃO: PUBLICO
GLOSSÁRIO
AD Catalogo global de endereços;
ATIVOS Tudo que representa informações (pessoas, servidores, informações, etc.);
BACKUPS Solução corporativa de copia de segurança;
CAPTIVE PORTAL Programa de computador gerenciar acessos a internet;
CIBERESPAÇO É um espaço existente de comunicação entre maquinas; CLOUD COMPUTING É um serviço disponibilizado apenas pela internet;
DDoS Ataque de Negação de Serviços; Ataque distribuído;
ENDOMARKETING Estratégia de marketing institucional;
EXPLOITS São códigos maliciosos desenvolvidos para explorar vulnerabilidades;
FILE-SERVER Servidor de armazenamento de arquivos, documentos, etc.;
FIREWALL Serviço de proteção contra ataques externa-internos;
HACKERS São criminosos de computadores;
HARDWARE É a parte física de um computador;
LINKS São atalhos contidos em um e-mail que redireciona para uma pagina web;
MALWARE Programa malicioso de computador com intuito de causar danos;
DR Disaster Recovery ou Recuperação de desastre
CID Confidencialidade, Integridade, Disponibilidade.
PA Ponto de Atendimento;
PHISHING Método de roubar dados sigilosos como cartão de créditos, senhas, contas, etc.;
PROXY É um servidor que recebe as requisições de um usuário e passa para frente;
SOFTWARE É um programa de computador;
SPAM É o envio em massa de mensagens eletrônicas com fins publicitários;
TROJAN Vírus de computador, que entra no sistema disfarçado de outro programa;
VPN Rede virtual Privada;
WIFI Abreviação de rede sem fio;
WORMS É um programa de computador que se auto replica;
WSUS Programa de computador que permite atualizar estações de trabalho.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
5 CLASSIFICAÇÃO: PUBLICO
1. INTRODUÇÃO A Central de Recuperação de Créditos neste instrumento denominada como CRC
empresa que tem por missão recuperar créditos e clientes através de ações eficientes e éticas,
gerando satisfação dos contratantes, acionistas e colaboradores. A CRC entende que a
informação é um dos principais ativos da empresa e/ou sob sua guarda, portanto preza pela
adequada utilização e proteção contra qualquer tipo de risco ou ameaça.
Segurança da Informação está relacionada com proteção de um conjunto de dados, no
sentido de preservar o valor que possuem para um indivíduo ou organização. São
características básicas da segurança da informação os atributos de confidencialidade,
integridade e disponibilidade, não estando esta segurança restrita somente a informações
eletrônicas, sistemas de armazenamento ou documentação impressa disponível. O conceito se
aplica a todos os aspectos de proteção de informações e dados.
A segurança de uma determinada informação pode ser afetada por fatores
comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a
cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.
À adoção de políticas e procedimentos que visem garantir a segurança da informação é
prioridade constante da CRC.
2. OBJETIVO Este documento tem como objetivo apresentar a todos os integrantes dentro ou fora
das dependências da CRC a Política de Segurança da Informação em seus diversos níveis, bem
como conscientizar os colaboradores e demais partes interessadas que possam ter acesso às
informações da empresa quanto à importância no tratamento das informações e a forma com
que a CRC conduz essa questão.
A Política de Segurança da Informação ora apresentada visa instituir um nível de
segurança adequado às características da empresa e foi desenvolvida com base nos resultados
de análises dos riscos associados ao negócio e valores da empresa (ética, resultados, imagem,
inovação e meritocracia)
Também se define o objetivo estabelecer as orientações, deveres, responsabilidades,
disponibilidade, integridade e confidencialidade inerentes ao negócio da CRC. A composição
de segurança de informação adotada pela empresa é constituída de procedimentos
documentados, capacitação de colaboradores, controles de acessos físicos e lógicos.
Esta PSI poderá ser consultada sempre que necessário pela INTRANET ou pelo diretório
de POLITICAS no servidor de arquivos da empresa.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
6 CLASSIFICAÇÃO: PUBLICO
3. ATRIBUIÇÕES E RESPONSABILIDADES. É dever de todos os colaboradores (Acionistas, sócios, diretores, colaboradores,
prestadores de serviços, estagiários, menor aprendiz e trainees):
3.1.1 Cumprir fielmente esta Política e demais regulamentos internos e externos
relacionados à Segurança da Informação;
3.1.2 Buscar orientação do superior ou ao Departamento de Tecnologia da
Informação em caso de dúvidas relacionadas à segurança da informação;
3.1.3 Assinar Termo de Confidencialidade e Compromisso, formalizando a
ciência e o aceite da Política de Segurança da Informação, bem como
assumindo responsabilidade por seu cumprimento;
3.1.4 Proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizados pela empresa;
3.1.5 Assegurar que os recursos tecnológicos à sua disposição sejam utilizados
apenas para as finalidades inerentes a função desempenhada.
Adicionalmente, são definidas as seguintes responsabilidades e atribuições específicas
relacionadas à segurança da informação nas áreas:
3.2 Diretoria
3.2.1 Aprovar a Política de Segurança da Informação e suas revisões;
3.2.2 Incentivar a cultura de controles e a disciplina na utilização das
informações.
3.3 Gerência e Coordenação de Tecnologia da Informação
3.3.1 Propor ajustes, aprimoramentos e modificações desta Política;
3.3.2 Atuar na comunicação entre gestores, coordenadores, supervisores e/ou
colaboradores em caso de infração desta politica reportado pela
segurança da informação;
3.3.3 Incentivar trabalhos rotineiros de testes de vulnerabilidades;
3.3.4 Atuar na supervisão e/ou coordenação junto a outras áreas que tenham a
segurança da informação avaliado/identificado suas vulnerabilidade.
3.4 Segurança da Informação
3.4.1 Desenvolver a Política de Segurança da Informação e suas revisões;
3.4.2 Comunicar os casos de descumprimento da Política de Segurança da
Informação a Gerência e Coordenação de Tecnologia da Informação;
3.4.3 Prover ampla divulgação da Política e demais controles de Segurança da
Informação para todos os colaboradores da empresa;
3.4.4 Realizar treinamentos e reciclagem de colaboradores no âmbito de
segurança da informação;
3.4.5 Analisar os riscos relacionados à segurança da informação e propor ações
se necessário;
3.4.6 Registro e solução de incidentes pertinentes a Segurança da Informação;
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
7 CLASSIFICAÇÃO: PUBLICO
3.4.7 Acompanhar e/ou validar gestão de mudanças;
3.4.8 Realizar trabalhos de análise de vulnerabilidade em todos os ativos, com o
intuito de aferir o nível de segurança dos sistemas de informação e dos
demais ambientes em que circulam as informações;
3.4.9 Realizar auditorias periódicas para remover usuários inativos na rede;
3.4.10 Realizar testes e averiguações em sistemas e equipamentos, com o intuito
de verificar o cumprimento da Política e demais procedimentos
relacionados à Segurança da Informação;
3.4.11 Estabelecer procedimentos e definir diretrizes dos controles de acessos;
3.4.12 Elaborar em conjunto com outras áreas Matriz de Acesso;
3.4.13 Auditar os backups dos sistemas da CRC;
3.4.14 Validar, documentar e manter atualizado a politica de backup geral e
individual de cada servidor/ativo/recurso;
3.4.15 Realizar eventuais auditorias em concessão e/ou revogação de acessos,
atualização de antivírus e de sistemas operacionais, alteração nas regras
de firewall e quaisquer outros sistemas/ativos que a segurança da
informação encontrar prudente analisar;
3.4.16 Analisar os riscos relacionados à segurança da informação e propor ações
se necessário;
3.4.17 Realizar Provas de Conceitos para validação de soluções corporativas com
a finalidade de melhorar a segurança do negócio.
3.5 Gestores de outras áreas
3.5.1 Os gestores como Proprietários da Informação devem auxiliar a
Departamento de Segurança da Informação no estabelecimento de matriz
de acessos à informação;
3.5.2 Fomentar junto à equipe sob sua gestão a cultura de controles e a
adequada utilização das informações;
3.5.3 Cumprir e fazer cumprir esta Política e demais procedimentos de
Segurança da Informação;
3.5.4 Assegurar que suas equipes possuam acesso e conhecimento desta
Política, bem como os conceitos que a cercam;
3.5.5 Comunicar imediatamente eventuais casos de violação de segurança da
informação à Departamento de Segurança da Informação.
3.6 Recursos Humanos
3.6.1 Colher a assinatura do Termo de Confidencialidade e Compromisso de
todos os colaboradores digitalizando e arquivando-o nos respectivos
prontuários;
3.6.2 Solicitar os primeiros acessos lógicos para a Infraestrutura e Suporte
Operacional via sistema de registro de incidentes;
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
8 CLASSIFICAÇÃO: PUBLICO
3.6.3 Comunicar a Segurança da Informação prontamente todas as
“ambientações” de novos colaboradores para os devidos treinamentos de
segurança da informação;
3.6.4 Atuar na comunicação endomarketing da empresa como ferramenta de
auxilio para comunicação educacional referente à segurança da
informação.
3.7 Departamento Pessoal
3.7.1 O desligamento de pessoal deverá ser realizado pelo workflow próprio,
onde todas ás áreas é comunicado do desligamento do colaborador, para
inativação de acessos;
3.7.2 Quando solicitado a Segurança da Informação o DP enviará a relação de
colaboradores desligados para conferencia interna no ambiente.
3.8 Tecnologia da Informação & Comunicações
3.8.1 Operacionalizar os acessos definidos pelo Departamento de Segurança da
Informação em conjunto com Recursos Humanos e a própria Tecnologia
da Informação;
3.8.2 Manter-se atualizada em relação às melhores práticas existentes no
mercado em relação às tecnologias disponíveis;
3.8.3 Estabelecer procedimentos e realizar a gestão dos sistemas de controle de
acesso da empresa, incluindo os processos de concessão, manutenção,
revisão e suspensão de acessos aos usuários;
3.8.4 Participar da investigação de incidentes de segurança relacionados à
proteção de informações;
3.8.5 Instalar e/ou aplicar atualização de antivírus.
3.8.6 Aplicar patches de segurança em maquinas vulneráveis manualmente ou
via wsus.
3.8.7 Os administradores e operadores dos sistemas computacionais podem,
pela característica de seus privilégios como usuários, acessar os arquivos e
dados de outros usuários. No entanto, isso só será permitido quando for
necessário para a execução de atividades operacionais sob sua
responsabilidade como, por exemplo, a manutenção de computadores, a
realização de cópias de segurança, auditorias ou testes no ambiente.
4. ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO O trio Confidencialidade, Integridade e Disponibilidade representa os principais
atributos que orientam a análise, o planejamento e a implementação da segurança das
informações contidas ou disponíveis na empresa, para tanto descrevemos a seguir os
conceitos desses atributos para melhor entendimento:
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
9 CLASSIFICAÇÃO: PUBLICO
1. Confidencialidade é a propriedade que limita o acesso à informação tão somente às
entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;
2. Integridade é a propriedade que garante que a informação manipulada mantenha
todas as características originais estabelecidas pelo proprietário da informação,
incluindo controle de mudanças (registros) e garantia do seu ciclo de vida (criação,
manutenção e destruição);
3. Disponibilidade é a propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação.
4.1 Ameaças
A ameaça à segurança da Tecnologia da Informação pode ser definida como: “Qualquer circunstância ou evento passível de explorar, intencionalmente ou não, uma vulnerabilidade específica num sistema de Tecnologia da Informação, resultando numa perda de confidencialidade, integridade e disponibilidade da informação manipulada ou da integridade ou disponibilidade do Sistema”. Tomando como base esta definição, existem diferentes tipologias de ameaças que, por afetarem os sistemas, podem ser agrupadas em:
i. Desastres naturais; ii. Ameaças de origem industrial; iii. Erros ou falhas não intencionais; iv. Ataques deliberados.
Ainda que as ameaças associadas às catástrofes naturais, a origem industrial e a erros ou falhas não intencionais, estejam sempre presentes, é necessário analisar com maior profundidade os ataques deliberados, já que a sua sofisticação, precisão e potencial impacto estão em constante evolução, elevando o nível de risco a que os sistemas estão submetidos. A sua identificação e catalogação correta é a chave para se puderem estabelecer estratégias adequadas de proteção do ciberespaço. Dependendo da motivação associada aos ataques deliberados, podemos agrupar as ameaças em:
i. Cibercrime, centradas essencialmente na obtenção de benefícios económicos através de ações ilegais. As ações relacionadas com a fraude bancária, com cartões de crédito ou a realização de transações em diferentes páginas web, constituem exemplos de ações comuns relacionadas com este tipo de ameaças.
ii. Ciberespionagem, com foco na obtenção de informações, seja para benefício próprio ou para deter um benefício monetário posterior com a sua venda. A informação mais suscetível de identificar-se neste campo pode pertencer, nomeadamente, a um governo ou até a organizações privadas, e ser classificada, sendo esta uma mais valia para os atacantes.
iii. Ciberterrorismo, onde se procura um impacto social e político significativo pela destruição física. Neste contexto, as infraestruturas críticas constituem os alvos de ataque mais prováveis.
iv. Ciberguerra, pode ser definida como uma luta ou conflito entre duas ou mais nações ou entre diferentes facções dentro de uma nação onde o ciberespaço é o campo de batalha.
v. Hacktivismo ou Ciberactivismo, podemos definir que é a ideologia ou filosofia que sustenta a prática do hacking, engajado no desejo de liberdade de
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
10 CLASSIFICAÇÃO: PUBLICO
informação ou negação de serviços através de ataques DDoS. Pelo seu impacto crescente também tem vindo a assumir-se como um campo de ação da ciberameaça.
4.2 Vulnerabilidades
Do ponto de vista da segurança da informação, uma vulnerabilidade pode ser definida como qualquer fraqueza/debilidade de um equipamento/recurso que podem ser exploradas por uma ou mais ameaças. As vulnerabilidades não são só consideradas características inerentes à natureza dos ativos, uma vez que também se considera uma vulnerabilidade a presença de erros de projeto, implementação, operação ou gestão de um sistema de informação que pode ser explorado e a partir da qual resulta um efeito não desejado ou não esperado que comprometa a política de segurança da informação.
4.3 Gestão de Vulnerabilidades
A segurança da Informação executa de forma rotineira e sem aviso prévio testes
aleatórios em todos os seus ativos, hardware e software em ambiente produtivo com a
intenção de identificar possíveis falhas de segurança ou vulnerabilidades expostas a fim de
identificar, documentar e procurar soluções entre os envolvidos a fim de solucionar eventuais
falhas.
A partir de empresas e profissionais certificados “C|EH” a CRC realiza testes de invasão
uma vez ao ano ou quando houver mudanças de grande impacto na infraestrutura da
empresa.
4.4 Resposta a incidentes
Em caso de incidentes de segurança da Informação a CRC acionará procedimento
interno denominado “POLSI10 – RESPOSTA A INCIDENTES” onde descreve de forma estrutural
todos os procedimentos que a empresa adota. Este documento também contem as boas
práticas para deter uma possível intrusão.
Incidentes de Segurança da Informação devem ser reportado diretamente via e-mail:
[email protected] para o devido tratamento e análise.
5. ACESSO REMOTO A concessão de acesso a rede virtual privada (VPN) deverá ser formalizado pelo
sistema de gestão de chamados de acordo com o seguinte fluxo:
I. Solicitar aprovação via e-mail ao Superintendente de Tecnologia da
Informação a concessão do acesso a VPN;
II. Abrir a demanda via sistema de chamados anexando a aprovação do
superintendente de TI;
III. Segurança da Informação avaliará a necessidade, se de acordo com a matriz de
acessos, encaminhará termo “TERSI04 – CONCESSÃO DE VPN PARA
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
11 CLASSIFICAÇÃO: PUBLICO
COLABORADORES”, após a devolução preenchida, será anexado ao dossiê do
colaborador no departamento pessoal;
IV. Segurança da Informação, via sistemas de chamados, aprovará a demanda e
encaminhará a demanda para setor correspondente para conceder o acesso e
instalar cliente de VPN na estação do solicitante.
Conforme descrito no item 3.4.9 desta PSI a Segurança da Informação poderá revogar
o acesso caso seja constatado irregularidades ou inutilização do recurso solicitado.
Na hipótese de concessão de acesso a VPN de forma emergencial deverá formalizar via
e-mail respeitando a hierarquia: Superintendência de TI, e/ou Coordenação de Infraestrutura
e/ou Segurança da Informação. Em caso de indisponibilidade ou em um procedimento de DR
as concessões deverão ser formalizadas após a conclusão do desastre a fim de garantir o CID.
6. DIRETRIZES Apresentamos a seguir as diretrizes da Política de Segurança de Informação da CRC
subdivididas em três partes. Essas diretrizes devem ser de conhecimento de todos os
colaboradores da empresa e deverão ser seguidas em sua íntegra, sendo esperado um
comportamento responsável e diligente em todos os níveis hierárquicos da empresa
6.1 Diretrizes e condutas PERMITIDOS INDISTINTAMENTE:
6.1.1 Acionistas, investidores, diretores, gerentes, coordenadores,
colaboradores, estagiários, menores aprendiz, trainee e prestadores de
serviços devem assumir atitude proativa e engajada no que diz respeito à
proteção da informação;
6.1.2 Documentos impressos e arquivos contendo informações confidenciais
devem ser adequadamente armazenados e protegidos;
6.1.3 Os colaboradores da CRC devem compreender as ameaças externas que
podem afetar a segurança das informações da empresa, tais como vírus de
computador (trojans, malwares, worms);
6.1.4 Assuntos confidenciais de trabalho devem ser evitados de discutir em
ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros
sociais, mídias sociais, etc.);
6.1.5 Somente os softwares homologados pelo Departamento de Tecnologia da
Informação podem ser instalados nas estações de trabalho e devem ser
por ela executadas;
6.1.5.1 Os softwares fornecidos pela CRC para execução das atividades das
diversas áreas é um “mix” de soluções, sendo genuínas e previamente
autorizado para uso pela CRC, incluindo sistemas operacionais,
manipuladores de texto, CRM’s, Mineradores de dados entre outras
soluções corporativas.
6.1.5.2 O registro ou product-key destes produtos são de propriedade da CRC.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
12 CLASSIFICAÇÃO: PUBLICO
6.1.6 O uso de internet e correio eletrônico devem ser feitos de forma
cuidadosa e com bom senso. Arquivos e links de internet de origem
desconhecida nunca devem ser abertos e/ou executados;
6.1.7 Manter a estação de trabalho bloqueado em quanto não estiver em seu
computador com a intenção de evitar acessos não autorizados;
6.1.8 Desligar os computadores após o turno de trabalho;
6.1.9 Cumprir as leis e as normas que regulamentam os aspectos de
propriedade intelectual;
6.1.10 A utilização de recurso da Internet deverá ser feita somente pela conexão
corporativa da CRC;
6.1.11 O uso da Internet ou correio eletrônico é restrito às atividades inerentes a
função desempenhada do colaborador sendo vedada a utilização para fins
pessoais, inclusive no âmbito civil e criminal;
6.1.12 A CRC monitora as chamadas telefônicas dos ramais e celulares
corporativos, estações de trabalho (PA e Demais setores), tráfego de
internet, e-mails e qualquer comunicação realizada através dos
equipamentos da empresa ou através de sua rede de dados corporativa;
6.1.12.1 Os colaboradores deverão ter ciência da forma correta da
utilização do e-mail corporativo, que poderá ser consultado
através da NORMA DE USO DE E-MAIL – DOCSI35.
6.1.12.2 Os registros de acesso a Internet são arquivados e monitorados
com o objetivo de resguardar a informação da empresa. O uso
correto poderá ser consultado em NORMA DE USO DE INTERNET –
DOCSI37.
6.1.13 Todos os colaboradores, visitantes, terceiros deverão utilizar o crachá da
empresa de forma visível em todas as dependências da empresa;
6.1.14 O usuário deve zelar pelos equipamentos e qualquer material de trabalho
de propriedade da empresa;
6.1.15 Comunicar imediatamente ao Departamento de Segurança da Informação
qualquer descumprimento ou violação desta Política ou suspeita de
manipulação inadequada de informações;
6.1.16 Qualquer tipo de dúvida sobre a Política de Segurança da Informação deve
ser imediatamente esclarecido com o Departamento de Segurança da
Informação, pelos canais oficiais de comunicação ou via e-mail
disponibilizado: [email protected].
6.2 Diretrizes e Condutas PERMITIDAS INERENTES AO NEGÓCIO
6.2.1 Os acessos à rede informatizada de forma remota (VPN) devem ser
utilizados somente para exercício do trabalho em horários especiais, e
deve ser autorizado formalmente pela Diretoria de Infraestrutura;
6.2.2 Em relação a mídias sociais particulares, a CRC se reserva o direito de:
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
13 CLASSIFICAÇÃO: PUBLICO
6.2.2.1 A publicação de opiniões deve ser baseada no princípio da boa fé, e
em conformidade legal apenas em nome próprio, evitando associar
qualquer tipo de opinião pessoal à marca da CRC;
6.2.2.2 Deve-se utilizar linguagem e vocabulários adequados, de modo a
evitar qualquer tipo de opinião que possa ser considerada ambígua,
subjetiva, agressiva, hostil, discriminatória, vexatória, ridicularizante
ou que de algum modo possa ferir a imagem da CRC ou de seus
clientes;
6.2.3 O descarte de informações impressas deve ser adequadamente picotado
e/ou trituradas;
6.2.4 A rede WiFi Corporativa é para fins corporativos, sujeitos a esta politica de
segurança;
6.2.5 Os controladores remotos de uso interno, como ferramenta de suporte
operacional, haverá desde que não haja restrições de utilização por parte
do contratante da operação;
6.2.6 Caso o colaborador utilize de alguma forma um equipamento pessoal fora
do conhecimento da empresa, a empresa não se responsabiliza por danos
ou depreciação deste equipamento, sendo assim o colaborador assume
qualquer risco ou custo com o mesmo.
6.3 Diretrizes e Condutas PROIBIDOS EM DEFINITIVO
6.3.1 Todo tipo de acesso à informação da empresa que não for explicitamente
autorizado é proibido;
6.3.2 As senhas de usuário são pessoais e intransferíveis, não podendo ser
compartilhadas, divulgadas a terceiros ou a próprio colabores da empresa,
anotadas em papel ou em sistema visível ou de acesso não protegido;
6.3.3 É expressamente proibida a utilização de aparelhos celulares/smartphones
nos ambientes de operações de Call Center / Contact Center;
6.3.4 Se tratado de acessos a Internet fica proibido à utilização dos seguintes
recursos da:
6.3.4.1 Burlar as restrições de Internet via Proxy, VPN e Similares;
6.3.4.2 Uso de controladores remoto tipo TeamViewer®, Anydesk® e
similares;
6.3.4.3 Uso de Internet para acesso a sites de redes sociais, facebook®,
instagram®, youtube® e etc. como também a mensageiros
instantâneos como WhatsApp®, Telegram®, Skype® e similares;
6.3.4.4 Uso de e-mails públicos como o gmail®, Hotmail®, yahoo®, entre
outros para execução de quaisquer atividade da CRC;
6.3.4.5 É restrito o uso de plataformas de armazenamento em nuvem
como o Google Drive®, AmazonDrive®, Etc.
6.3.4.6 E vedado o uso de soluções corporativas na nuvem não
homologadas pelo Departamento de Segurança da Informação;
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
14 CLASSIFICAÇÃO: PUBLICO
6.3.4.7 É proibido o acesso a sites de conteúdo ideológico ou pragmático
que possam vincular a CRC a quaisquer correntes políticas
ideológicas;
6.3.4.8 É expressamente proibido o acesso a sites de conteúdo
pornográfico, conteúdo racista, apologia ao uso de drogas e
armas, relacionamento e qualquer categoria que seja fora dos
interesses da empresa;
6.3.5 A rede WiFi Visitante é exclusiva para Visitantes e Clientes da CRC, sem
acesso a rede da CRC, sendo vetado o uso para colaboradores;
6.3.6 É proibida a distribuição proposital de vírus (malwares, trojans, phishing,
exploits, etc.) e atividades SPAM por meio das contas de correio eletrônico
da empresa;
6.3.7 É proibida a conexão de dispositivos portáteis (pen drives, mp3, mp4 e
celulares, dentre outros) nos computadores da empresa;
6.3.8 Informações confidenciais da empresa não podem ser transportadas em
qualquer meio (CD, DVD, disquete, pen-drive, e-mail, papel etc.) sem as
devidas autorizações e proteções;
6.3.9 Será considerado fraude a tentativa de burlar de qualquer forma os
controles de acesso a recursos tecnológicos ou acessos a Internet, para
fins particulares ou corporativos;
6.3.10 É proibido o envio de informações ou documentos que tiveram origem na
empresa para contas de e-mail ou qualquer outro meio de
armazenamento pessoal, considerando que qualquer documento criado
ou alterado mesmo que parcialmente nos computadores ou dependências
da empresa passam a ser de propriedade intelectual da companhia;
6.3.11 É proibida a utilização de quaisquer equipamentos informatizados que não
seja de propriedade da empresa para exercer as atividades do
colaborador;
6.3.12 É proibida a troca e a tentativa de reparação de equipamentos
informatizados da empresa, cabendo estes trabalhos ao Departamento de
Tecnologia da Informação;
6.3.13 É proibido permitir o acesso de pessoas estranhas em qualquer
dependência da empresa, sem autorização prévia;
6.3.14 O acesso às dependências da empresa com quaisquer equipamentos de
gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só
pode ser feito a partir de autorização da área de Segurança Patrimonial e
mediante supervisão. Exceto para eventos e treinamentos organizados
pela própria empresa;
6.3.15 Em relação a mídias sociais particulares, a CRC se reserva o direito de:
6.3.15.1 Não é permitida a publicação de informações confidenciais da
CRC, salvo as publicações de informações corporativas
classificadas como públicas;
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
15 CLASSIFICAÇÃO: PUBLICO
6.3.15.2 Evitar o uso de fotografias / selfies no interior da empresa que
possa comprometer informações sigilosas da empresa.
7. DIRETRIZES DE NÍVEL DE SEGURANÇA Com base na análise dos riscos e ameaças inerentes à Segurança da Informação, a CRC
definiu o nível de segurança necessário para a proteção das informações e a condução de seu
negócio de acordo, não só com a regulamentação vigente, como também com as melhores
práticas do mercado, para tanto foram consideradas:
7.1 Garantia de Elementares de Segurança da Informação
1. A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário
necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente (salvo
em manutenções programadas);
2. A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos do
desempenho da função;
3. A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
4. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos
dados e aos colaboradores na operação especifica.
7.2 Política de senhas
Para a definição da política de senhas da CRC a Departamento de Segurança da
Informação em conjunto com a Departamento de Tecnologia da Informação ponderou as
principais ameaças e eventuais desconfortos que a empresa e seus colaboradores estariam
suscetíveis.
Portanto foram adotadas as seguintes regras:
7.2.1 Período de expiração
7.2.2 Fica definido o prazo de validade de no máximo 35 dias, sendo o usuário
obrigado a renovar a senha durante esse período.
7.2.3 Composição da senha deverá ser conforme estabelecido abaixo,
atendendo no mínimo três condições a seguir:
TIPO DE USUÁRIO Comprimento Minúsculas Maiúsculas Números Caracteres especiais
COLABORADOR 8 caracteres abcdef... ABCDEF... 01233456... !@#$%....
ADMINISTRADORES 15 caracteres abcdef... ABCDEF... 01233456... !@#$%....
7.2.4 Senhas que não podem ser utilizadas:
7.2.4.1 As doze últimas senhas definidas;
7.2.4.2 Senhas com vínculo ao login ou nome.
7.2.5 Bloqueio de senha
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
16 CLASSIFICAÇÃO: PUBLICO
7.2.5.1 Caso uma senha seja digitada de forma errada mais de quatro vezes
em um intervalo de 30 minutos a senha do usuário será BLOQUEADA.
Automaticamente será desbloqueada dentro de quinze minutos ou em
solicitação ao departamento de TI.
Cabe ressaltar que, tão importante quanto às regras definidas para o uso das senhas, é
a conscientização de todos os colaboradores quanto à correta utilização e as responsabilidades
implícitas no conhecimento das mesmas.
7.3 Política de Backup
O Departamento de Segurança da Informação da CRC é responsável por auditar as
rotinas de backup. De forma resumida para os seguintes cenários:
I. Servidor de Arquivos (file-server, configurações, sistema operacional, ad, etc.);
II. Banco de Dados de Sistemas;
III. Arquivos de configurações de servidores e equipamentos de redes;
IV. Gravações de todas as ligações telefônicas da empresa;
Todas as diretrizes pertinentes a Política de Backup estão estabelecido no documento
oficial “Política de Backup”.
7.4 Política de tela e mesa limpa
Para reduzir os riscos de acesso não autorizado, perda de informações ou danos às
informações durante e fora do horário de expediente em papéis ou mídias de armazenamento
removível, como também computadores logados e ausentes, devemos considerar os seguintes
controles:
I. Onde apropriado, os papéis (relatórios) e mídia eletrônica devem ser
armazenados em armários trancados adequados e/ou em outras formas de
mobiliário de segurança, quando não estiverem em uso, especialmente fora do
horário do expediente.
II. Informações sensíveis ou críticas para o negócio devem ser trancadas em local
separado (idealmente em um armário ou cofre à prova de fogo) quando não
necessárias, especialmente quando o escritório fica vazio.
III. Computadores pessoais e terminais de computador e impressoras não devem
ser deixados “logados” quando não houver um operador (usuário) junto e
devem ser protegidos por key locks, senhas e outros controles quando não
estiverem em uso.
IV. Informações sensíveis ou confidenciais, quando impressas, devem ser retiradas
da impressora imediatamente;
V. Mantenha uma política de “mesa limpa” retirando papeis, anotações e
lembretes da sua mesa de trabalho;
VI. Ao final do dia, ou no caso de ausência prolongada, limpar a mesa de trabalho;
VII. Descarte os itens referente a informações do cliente interno ou de
propriedade em picotadoras de papeis.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
17 CLASSIFICAÇÃO: PUBLICO
8. GESTÃO DE ACESSOS Todo controle de acessos aos ambientes lógicos da CRC é definido pelo Departamento
de Segurança da Informação, com referencia a matriz de acessos em conjunto com as áreas de
Gestão Operacional, Recursos Humanos e Tecnologia da Informação, sendo esta última a
responsável pela viabilização dos acessos.
Os controles definidos para a gestão dos acessos contemplam os seguintes itens:
8.1.1 Requerimento para Concessão de Acessos;
8.1.2 Preenchimento da Matriz de Acesso, caso seja uma área ou cargo não
previamente definido;
8.1.3 Termo de compromisso para com a Política de Segurança da Informação;
8.1.4 Processo de revisão periódica dos acessos concedidos.
8.2 Procedimento de concessão
Para novos colaboradores a área de Recursos Humanos, anexa o formulário de
requisição de acessos via sistema interno de registro de incidentes. De posse da informação o
Departamento de Segurança da Informação verifica as solicitações junto com o gestor do
colaborador e aciona o Departamento de Tecnologia da Informação para criação dos acessos
solicitados, conforme matriz de acesso.
8.3 Procedimento de alteração de acessos
As alterações de perfis de acessos devem ser solicitadas pelos gestores do respectivo
colaborador por meio chamado anexando o formulário de concessão de acessos para
Segurança da Informação, que a mesma acionará a Tecnologia da Informação para alteração
dos acessos, conforme matriz de acesso.
8.4 Menor privilégio
Na concessão de quaisquer acessos aos recursos, físicos ou lógicos, deve ser observado o princípio do menor privilégio, que consiste em conceder somente os acessos e recursos estritamente necessários ao desempenho das atividades autorizadas.
8.5 Requerimento de concessão de acesso
A concessão de acessos deverá seguir o fluxo de atendimento, utilizando o “triare”.
Esta demanda é realizada diretamente pela equipe de gestão de pessoas.
8.6 Procedimento de bloqueio e cancelamento de acessos
Bloqueios e cancelamentos de acessos são efetuados a pedido do Departamento
Pessoal, em caso de desligamento, afastamento e/ou promoção de profissionais. A efetivação
do bloqueio é feito pelo Departamento de Tecnologia da Informação e Produtividade.
8.7 Matriz de acesso
A matriz de acesso é uma tabela elencando todos os sistemas da empresa, para
atribuir os acessos para exercício da função. Caso seja uma área nova ou sistema novo será
feito uma nova matriz de acesso com o proprietário da informação.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
18 CLASSIFICAÇÃO: PUBLICO
9. CONFIDENCIALIDADE Considerando que para bom e fiel desempenho das atividades da CRC faz-se
necessária, a disponibilização de informações confidenciais, para execução das atividades operacionais ou de área técnicas, tais informações são classificadas como confidencial, restrita, uso interno e público.
9.1 Definição dos termos de confidencialidade
São consideradas informações CONFIDENCIAIS, para os fins desta Política, quaisquer informações das partes consideradas não disponíveis ao público ou reservadas, dados, especificações técnicas, desenhos, manuais, esboços, modelos, dados de contratantes, dados cadastrais, amostras, materiais promocionais, projetos, estudos, documentos e outros papéis de qualquer natureza, tangíveis ou em formato eletrônico, arquivos em quaisquer meio, programas e documentação de computador, comunicações por escrito, verbalmente ou de outra forma reveladas à CRC e/ou obtidas pelo Correspondente em decorrência da execução do contrato de prestação de serviços de correspondentes no país. Todas as informações a fim de cobrança enviadas por nossos contratantes (mailing) são classificadas como CONFIDENCIAIS, desta forma, estando autorizados a utilizar exclusivamente para fins laborais.
As informações Restritas são informações disponíveis para um ou um grupo de colaboradores, determinados por ACLs. Estas informações não devem ser repassadas de forma aberta ou sem critérios de restrições. Exemplos: projetos, projeção de crescimento, propostas, contratos, informações pessoais de colaboradores, como CPF, salario, informações financeiras, endereços, etc.
As informações de Uso interno são as que circulam dentro da empresa de forma livre
com intenção de comunicação, informações, entre outros. Como por exemplo: e-mails (desde que não contenha informações confidenciais), jornais internos, comunicação de endomarketing, etc.
Já as informações Públicas são aquelas que não se categorizam como confidencial restrita ou de uso interno. Pois já foram publicadas oficialmente de forma livre nos meios oficiais de comunicação. Como por exemplo: informações disponíveis na internet, jornais, impressos, redes sociais em nome da CRC, aquelas que já eram de conhecimento público sem culpa do funcionário; aquelas informações que já não são tratadas como confidencial.
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
19 CLASSIFICAÇÃO: PUBLICO
9.2 Diretrizes do Termo de confidencialidade
Todas as informações técnicas ou operacionais obtidas através da relação de emprego com a CRC e relacionadas a projeto, especificação, funcionamento, organização ou desempenho da referida empresa serão tidas como CONFIDENCIAIS E SIGILOSAS. PARÁGRAFO ÚNICO: Serão consideradas para efeito deste termo toda e qualquer informação, patenteada ou não, de natureza técnica, operacional, comercial, jurídica, Know-how, invenções, processos, fórmulas e designs, patenteáveis ou não, sistemas de produção, logística e layouts, planos de negócios, métodos de contabilidade, técnicas e experiências acumuladas, documentos, códigos fonte, contratos, papéis, estudos, pareceres e pesquisas a que o funcionário tenha acesso:
9.2.1 Por qualquer meio físico (documentos, memorandos, manuscritos, fac-símile, fotografias, etc);
9.2.2 Por qualquer forma eletrônica (e-mail, cd, dvd, sistemas, servidores de arquivos, intranet, extranet, etc);
9.2.3 Oralmente.
9.3 Responsabilidades de confidencialidade
O empregado compromete-se a manter sigilo não utilizando tais informações confidenciais em proveito próprio ou alheio.
As informações confidenciais confiadas aos empregados somente poderão ser abertas a terceiro mediante consentimento prévio e por escrito da empresa, ou em caso de determinação judicial, nesta hipótese o empregado deverá informar de imediato, por escrito, à empresa para que esta procure obstar e afastar a obrigação de revelar as informações.
Em hipótese alguma a ausência de manifestação expressa da CRC poderá ser interpretada como liberação de informações a domínio público.
9.4 Guarda das informações de confidencialidade
Todas as informações de confidencialidade e sigilo previstas neste termo terão validade durante toda a vigência deste instrumento, enquanto perdurar a relação de trabalho e, ainda, por um período mínimo de 02 (dois) anos do rompimento do vínculo do funcionário com a empresa.
9.5 Manuseio da informação
A segurança da informação pode auxiliar as demais áreas quanto a classificação e o manuseio da informação, seguindo as normativas da ISO 27001 como modelo.
10. BYOD – BRING YOUR OWN DEVICE A sigla para BYOD, Bring Your Own Device (traga o seu próprio aparelho, em
português), consiste na mudança das estratégias digitais da empresa para uma abordagem em
que os funcionários passam a utilizar os próprios aparelhos eletrônicos no seu dia a dia.
Para áreas de operação de cobrança via WHATSAPP®, TELEGRAM®, INSTAGRAM®,
FACEBOOK®, e quaisquer outros mensageiros instantâneos que a empresa venha a utilizar em
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
20 CLASSIFICAÇÃO: PUBLICO
hipótese nenhuma devem ser realizados através de dispositivos móveis próprios ou de
terceiros, caso isso venha a ocorrer a CRC se isenta de quaisquer responsabilidades.
Para todos os fins, o Departamento de Tecnologia da Informação se reserva o direito
de gerenciar, monitorar e controlar os dispositivos móveis dentro da empresa. Todos os
dispositivos móveis BYOD estão sujeito ao monitoramento da área do Departamento de
Tecnologia da Informação que consiste em:
Informações técnicas do dispositivo e versões;
Configurações de segurança;
Localização geográfica;
Controle de trafego de dados gerado pelo dispositivo móvel BYOD.
Os dispositivos móveis BYOD autorizados dentro da empresa consente que as
informações trafegadas possam ser de propriedade da CRC, e estão sujeitos a todos os termos
desta politica incluindo os termos de confidencialidade.
Qualquer uso indevido do dispositivo móvel BYOD será desativado da rede
imediatamente sem aviso prévio.
11. MONITORAMENTO E EVENTUAIS ADVERTÊNCIAS Os sistemas, as informações e os serviços utilizados pelos usuários são de exclusiva
propriedade da CRC, não podendo ser considerados ou interpretados como de uso pessoal.
Todos os profissionais e colaboradores da empresa devem ter ciência de que o uso das
informações e dos sistemas de informação da CRC é monitorado, e que os registros assim
obtidos poderão ser utilizados para detecção de violações da Política de Segurança da
Informação de demais controles relacionados e, conforme o caso poderá servir como
evidência em processos administrativos e/ou legais.
Nos casos em que houver violação desta Política seguira o regimento interno de
Manual de Conduta na aplicação de qualquer penalidade.
12. TERMO DE CONFIDENCIALIDADE E COMPROMISSO. O termo de confidencialidade e compromisso é um documento formal, aprovado pelo
Jurídico da CRC onde estabelecem de forma legal todas as diretrizes mencionadas, como
também o efeito legal perante as leis brasileiras. O termo deverá ser assinado por todos os
colaboradores da CRC que utilizam quaisquer recursos tecnológicos da empresa.
13. PROCEDIMENTOS ADICIONAIS A CRC utiliza para gerenciar suas documentações solução interna, chamada de
“GEDOC”, onde todos os procedimentos internos, politicas, termos, formulários, entre outros
POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO
Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7
21 CLASSIFICAÇÃO: PUBLICO
ficam documentados seguindo um processo de revisão, controle e aprovação. O Acesso ao
mesmo poderá ser feito via atalho pela Intranet da empresa.
Esta PSI é referenciada em vários documentos, procedimentos e normas internas,
segue uma listagem analítica destes documentos caso seja necessário para consulta.
CODIGO DOCUMENTO
POLSI01 Este documento – Politica de Segurança da Informação;
TERSI01 Termo de Confidencialidade e Compromisso da PSI;
REQSI01 Formulário de Requisição de Acessos;
TERSI04 Concessão de VPN para Colaboradores;
DOCSI35 Norma interna de uso de e-mail corporativo;
DOCSI37 Norma interna de uso de Internet corporativa.
POLSI10 Resposta a incidentes
14. VIGÊNCIA Esta Política de Segurança da Informação passa a vigorar a partir da data de assinatura
dos Diretores da CRC.
Após a implantação desta política, para que ela continue sendo satisfatória para a CRC,
ou melhor, para que com o tempo ela não se torne desatualizada, serão implantados controles
de melhoraria continua, ou seja, deverão ser realizadas revisões periódicas ou sempre que
acontecer uma falha de segurança de nível médio ou grave.
Rodrigo Carvalho CEO – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS. Ricardo Mendes Diretor Executivo – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS. Bruno Miranda Superintendente de Tecnologia da Informação – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS.