Política de Segurança de TI

+
Política de Segurança da
Informação
Área de IT
Vinci Partners
Objetivo
O objetivo deste documento é definir a política de segurança da informação da Vinci Partners. Esta política visa
garantir a disponibilidade, integridade, confidencialidade, autenticidade e auditabilidade das informações e
processos internos da empresa.
A informação é um ativo que possui grande valor, devendo ser adequadamente utilizada e protegida contra
ameaças e riscos.
Público alvo
O alcance da política é para todos os colaboradores da Vinci Partners.
É dever de todos zelar pela informação, tratando-a como um bem da própria empresa.
Definições
Abaixo se encontram as políticas de segurança da informação definidas para a Vinci Partners
1) Acesso à rede
Cada funcionário terá acesso à rede através de senha pessoal.
As senhas de acesso à rede local devem seguir os seguintes requisitos:
• 7 caracteres, com três das quatro condições: maiúsculo, minúsculo, números e caracteres
especiais
• Renovação obrigatória a cada 60 dias
• Bloqueio depois de 10 tentativas
• Desbloqueia depois de 1 hora
• Não usar as últimas 10 senhas
A Rede é dividida em diretórios para cada área da empresa, e o seu acesso só é permitido com a
autorização do proprietário daquela área.
Não é permitida a conexão de Notebooks pessoais à rede local.
2) Gravação de informações
A fim de evitar perda de informação por falha de hardware, não é permitida a gravação de informações
nos discos locais das estações, visto que nenhum backup dos discos locais é feito. As informações devem
ser armazenadas em diretórios específicos na rede ao qual o usuário tenha permissão de acesso.
É proibida a gravação de informações de conteúdo indevido na rede, tais como arquivos de áudio, vídeo e
imagem. Exceções terão que ser aprovadas junto ao chefe da área do requisitante.
Gravações de CD/DVD serão feitas com o apoio da área de IT desde que devidamente autorizado pelo
chefe de área.
Os usuários poderão solicitar a restauração de arquivos do backup, apenas para os arquivos que estavam
nos diretórios aos quais possuem acesso previamente autorizado.
3) Permissão na estação
A fim de evitar a instalação de software sem autorização e disseminação de vírus os usuários não tem
permissão de administrador nas estações. Toda instalação de softwares deve ser feita pela equipe de TI.
4) Envio e recebimento de e-mails
Para garantir a disponibilidade e desempenho do serviço de e-mail, o limite para o envio e recebimento de
e-mails é de 20 MB por mensagem.
Como boas práticas para a utilização segura do serviço:
a) Não abra anexos com extensões .bat, .exe, .lnk, .scr e .com.
b) Desconfie de e-mails com assuntos estranhos ou não condizentes com o ambiente de trabalho.
c) Desconfie de e-mails solicitando dados pessoais e privados, tais como senhas, cartões de crédito, etc
Em caso de dúvidas, entre em contato com a área de suporte de TI.
5) Uso do Instant Messenger
A Vinci disponibiliza IM Microsoft Lync para a comunicação corporativa.
Uso do IM (Skype, Gtalk, Lync) é liberado para a comunicação pessoal.
6) Acesso à Internet
Acesso a Sites de conteúdo inapropriado, como por exemplo, redes sociais (Facebook, MySpace), sexo e
violência é proibido na instituição.
Exceções desta política devem ser solicitadas à área de TI para análise, com justificativa do solicitante e
de seu respectivo chefe de área. A área de TI detém o direito de negar a solicitação caso a mesma
caracterize risco de segurança e/ou imagem à empresa.
O acesso à Internet está disponível para convidados ou para a conexão de Notebooks pessoais através
da rede wireless, que não possui conexão com a rede interna da instituição.
7) Gravação de ramais
A Vinci possui sistema de gravação de ramais para usuários elegíveis das Áreas Comerciais e das Áreas
de Gestão de Recursos.
A escuta de gravações do próprio solicitante é permitida. Para a escuta de gravações de outro usuário ou
gravação para mídia externa, somente com a permissão de um membro do Comitê de Gestão.
Caso o usuário faça parte de uma das Áreas Comerciais ou de uma das Áreas de Gestão de Recursos
deverá seguir a seguinte política de histórico de gravação de ramais:
• Para a Área Comercial aplica-se a política de 5 anos de histórico.
• Para a Área de Gestão de Recursos aplica-se a política de 1 mês de gravação.
8) Smartphones e Tablets
É permitida a utilização de smartphones e tablets pessoais e corporativos para acesso aos e-mails da
empresa, desde que a solicitação seja aprovada pelo chefe de área do solicitante e pelo diretor financeiro.
A área de recursos humanos também deve ser notificada.
9) Notebooks
Não é permitido o uso de notebooks pessoais conectados à rede da empresa.
Os usuários que estiverem utilizando computadores pessoais portáteis (laptops ou notebooks) da
empresa, devem estar cientes de que:
a) Os recursos de TI, disponibilizados para os usuários, têm como objetivo a realização de atividades
profissionais.
b) A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário.
c) É de responsabilidade de cada usuário assegurar a integridade do equipamento, confidencialidade e
disponibilidade da informação contida no mesmo.
d) O usuário não deve alterar a configuração do equipamento recebido.
Boas práticas:
a) Mantenha o equipamento sempre com você.
b) Atenção em hall de hotéis, aeroportos, aviões, carros, etc;
c) Ao transportar o equipamento, evite deixá-lo visível sem necessidade;
Em caso de furto:
Nossos notebooks estão com os HDs criptografados. Mesmo assim, é obrigatória a comunicação para a equipe de
TI em caso de furto ou perda do equipamento.
10) CFTV
A fim de garantir a confidencialidade de nossas informações, o acesso às imagens gravadas pelo sistema
de CFTV somente é permitida com autorização da Área de Compliance.
11) Controle de acesso
A fim de garantir a confidencialidade de nossas informações, o acesso às informações do trânsito de
funcionários (via sistema de controle de acesso) somente é permitida com autorização do chefe da área
do solicitante e da Área de Compliance.