POLITICA DE SEGURANÇA DA INFORMAÇÃO
1. OBJETIVOS
Estabelecer boas práticas que visam a preservação da segurança da informação, primando pela confidencialidade, integridade e legalidade dos processos que amparam a operacionalização e gestão das atividades de JMorales, orientado na execução das ações relacionadas ao tratamento e uso adequado das informações por seus colaboradores, estagiários, fornecedores e parceiros.
Prevenir e mitigar impactos gerados por incidentes envolvendo a segurança da informação e comunicação.
2. APLICAÇÃO
Esta Política de Segurança da Informação (PSI) aplica-se de forma imediata e indistinta aos colaboradores, estagiários, fornecedores e parceiros que tenham acesso a toda e qualquer informação que sejam ou estejam em posse de JMorales Advogados Associados.
3. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação não estará disponível ou divulgada a indivíduos, entidades ou aplicativos sem autorização.
Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.
4. RESPONSABILIDADE DOS USUÁRIOS
Respeitar esta Política de Segurança da Informação;
Responder pela guarda e proteção dos recursos computacionais colocados a sua disposição para o trabalho;
Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
Assegurar que as informações e dados de propriedade de JMorales não sejam disponibilizados a terceiros sem a autorização do responsável hierárquico; e
Relatar prontamente à área administrativa qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus ou qualquer fato que comprometa a segurança das informações que sejam ou estejam em posse de JMorales.
São usuários os colaboradores, estagiários, fornecedores e parceiros que obtiverem acesso às informações digitais ou físicas e aos recursos computacionais de JMorales.
A área administrativa deve reportar de imediato à empresa de TI o relato informado na alínea “f” deste item para que sejam adotadas as providências cabíveis para reparação do sistema computacional.
5. RESPONSABILIDADE DOS PRESTADORES DE SERVIÇOS
Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio;
Gerenciar o descarte de informações a pedido dos custodiantes;
Criar a identidade lógica dos colaboradores de JMorales;
Atribuir contas e senhas identificáveis a pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação;
Proteger todos os ativos de informação de JMorales contra códigos maliciosos e ou vírus;
Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente computacional;
Realizar inspeções periódicas de configurações técnicas e análise de riscos;
Garantir assim que solicitado o bloqueio de acesso de usuários por motivo de desligamento da empresa;
Propor as metodologias, sistemas e processos específicos que visem aumentar a segurança da informação; e
Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações.
Os prestadores de serviços de TI devem observar, além do disposto neste item, as responsabilidades legais e contratuais.
6. DIRETRIZES PARA PRESERVAÇÃO DA SEGURANÇA DOS DADOS E INFORMAÇÕES
6.1 SENHAS
Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Deste modo, colaboradores, estagiários, fornecedores e parceiros devem possuir uma senha de acesso de uso individual e intransferível.
Não é permitido, em qualquer hipótese, compartilhar, revelar ou fazer uso não autorizado de senhas de terceiros. Havendo login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem, bem como de quem os autorizou.
A senha deverá possuir no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %).
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser armazenadas em arquivos eletrônicos ou gavetas, bem como não devem ser anotadas postit e colados nos equipamentos ou mesa de trabalho.
Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros e obrigatoriamente a cada 6 meses ou terão seus acessos bloqueados automaticamente.
Os acessos externos à rede de informações de JMorales fora do expediente de trabalho só serão permitidos mediante autorização do responsável hierárquico.
Os níveis de permissão dos usuários serão definidos pelo superior hierárquico.
O login e senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
6.2 DESCARTE DE DADOS E MÍDIAS
É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria).
Todo computador em desuso, deverá ser encaminhado à empresa de TI para a remoção das informações, descarte ou reuso.
As mídias eletrônicas e documentos em papel deverão ser analisados antes do seu reuso. O descarte deverá ser feito pelo triturador antes de serem encaminhadas ao lixo.
Cópias de processos físicos retiradas por aparelhos eletrônicos deverão ser incluídas no servidor na mesma data da coleta da imagem e, imediatamente, removidas do respectivo aparelho.
6.3 PASTAS DO SERVIDOR
As pastas dos servidores somente poderão ser alteradas ou excluídas pela área administrativa.
É proibido o armazenamento de arquivos pessoais e/ou não pertinentes ao negócio de JMorales.
O backup de pastas ou arquivos do servidor somente poderão ser realizados mediante autorização do superior hierárquico.
A área administrativa será responsável pela permissão de acesso às pastas e arquivos de JMorales.
Documentos imprescindíveis para as atividades dos colaboradores e estagiários de JMorales deverão ser salvos em rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
Todos os arquivos que não sejam do interesse de JMorales deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.
6.4 E-MAILS
Não abrir e-mail e anexos com assuntos estranhos, em outro idioma ou de assunto pessoal. Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos, devendo informar à área administrativa para tomada das devidas providencias.
Verificar na cadeia de e-mail se há informação sigilosa ou dados pessoais de terceiros antes do envio.
Verificar os destinatários do e-mail, principalmente, quando se tratar de assunto sigiloso ou informação de dados pessoais.
Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pelo responsável hierárquico e deve ser de caráter exclusivamente profissional.
6.5 INTERNET
A conexão da internet oferece um grande potencial de benefícios mas, também, abre a porta para riscos significativos para os ativos de informação. Em razão disso, deve o usuário manter um comportamento ético e profissional do uso da internet.
A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos, relatórios com nomes dos usuários, páginas consultadas, tempo de consulta, e o conteúdo navegado.
O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos que vierem a ser causados.
6.6 ANTIVIRUS
JMorales por intermédio da empresa prestadora de serviços de TI disponibiliza software corporativo de antivírus instalado para todos os usuários.
O usuário não deve remover ou alterar as configurações do antivírus a fim de não comprometer a segurança do software.
O usuário deve reportar situações suspeitas em seu sistema à área administrativa para que possíveis vírus sejam identificados no menor tempo possível.
7. SIGILO E CONFIDENCIALIDADE
Não fale sobre as atividades, clientes, dados ou quaisquer informações obtidas no exercício de suas atividades em locais públicos, familiares ou amigos.
Os colaboradores e estagiários deverão firmar o Termo de Confidencialidade.
8. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
Sendo a segurança da informação e a proteção dos dados uma responsabilidade de todos os colaboradores, JMorales considera fundamental que qualquer incidente de segurança da informação e cibernético real ou suspeito seja reportado o mais rápido possível à área administrativa para que o prestadores de serviços de TI possa identificar a causa e conter danos e impactos.
São exemplos de incidentes de segurança:• Tentativas de ganhar acesso não autorizado a sistemas ou dados lógicos ou físicos;
• Indisponibilidade de informações e dados para a execução de rotinas e processos;
• Ataques de negação de serviço;
• Exploração de vulnerabilidades de protocolos;
• Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio de um gestor;
• Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.
9. DISPOSIÇÕES GERAIS
O contrato com os colaboradores, estagiários, fornecedores e parceiros deve respeitar os termos e condições desta Política de Segurança da Informação.
Esta Política será revisada anualmente ou sempre que necessário, contando, sempre, com as sugestões dos colaboradores e estagiários de JMorales e as recomendações do prestador de serviços de TI.