Page Comparison

INTRODUÇÃO

1. A PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA entende que os acessos são fundamentais para o funcionamento do negócio e para tal é necessária uma política que garanta a disponibilidade e a confidencialidade dos acessos.

PROPÓSITO

1. Estabelecer diretrizes para que os acessos necessários no ambiente tecnológico da PRIVACY TOOLS seja negado a todos que não precisam e seja disponibilizado para todos que necessitam.

ESCOPO

1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação.

DIRETRIZES

1. O acesso concedido deve ser apropriado ao acesso necessário para realizar suas atribuições e tarefas.

   1. Os usuários somente devem ter permissão para acessar os recursos de processamento da informação (equipamentos de TI, aplicações, procedimentos, salas), que são necessárias para desempenhar suas tarefas e atribuições.

   2. Todo acesso a todo tipo de sistema ou serviço fornecido pela PRIVACY TOOLS deve ser concedido ou revogado aos usuários obedecendo às demais diretrizes.

2. O acesso deve ser registrado e revisado periodicamente.

   1. Os direitos de acesso devem ser revisados em intervalos periódicos ou depois de quaisquer mudanças, como promoção, remanejamento ou desligamento.

   2. Os acessos podem ser adaptados ou modificados desde que os usuários tenham mudado de tarefas ou recebido novas atribuições.

3. Os usuários somente poderão ter acesso às redes e aos serviços de rede que tenham sido autorizados a usar.

   1. A rede de visitantes é permitida a todos e qualquer usuário que não esteja utilizando um dispositivo corporativo.

   2. A rede interna é permitida somente a dispositivos corporativos associados a um usuário.

   3. Para ser permitido o acesso à rede é necessária a identificação do endereço Mac Address dos dispositivos.

   4. A permissão somente poderá ser concedida pelo setor de Segurança da Informação ou de infraestrutura.

   5. Os usuários de dispositivos corporativos quando em rede externa quando necessário e necessitarem de um acesso seguro devem se  se conectar através da utilização de uma VPN.

   6. A rede será monitorada constantemente pelos sistemas de monitoramento implementados pelo setor de Segurança da Informação.

4. Gerenciamento De Direitos De Acesso Privilegiados

   1. O acesso de direitos de acesso privilegiado devem ser restritos e controlados por um processo de gerenciamento de direitos de acesso privilegiado.

      1. A concessão de acessos privilegiados deve ser registrada e identificada.

      2. Um usuário não pode adquirir um acesso privilegiado antes que o mesmo esteja registrado e identificado.

      3. O acesso privilegiado deve ter uma data de expiração.

      4. A data de expiração pode ser modificada ou postergada de acordo com a necessidade do acesso.

      5. O acesso privilegiado não deve em hipótese alguma substituir o acesso comum aos usuários.

      6. Acessos privilegiados devem ter suas senhas frequentemente modificadas ou caso um usuário seja desligado, a mudança deve ser realizada tão logo quanto possível.

5. Os acessos devem ser imediatamente removidos ou bloqueados caso os usuários deixem a organização.

   1. Usuários devem utilizar um ID único (e-mail) que permita identificar e relacionar os usuários e suas ações. O compartilhamento de ID somente será permitido onde seja extremamente necessário por razões operacionais ou de negócios e convém que sejam aprovados e documentados.

6. Retirada De Direitos De Acesso

   1. Se o desligamento for iniciado pelo funcionário.

      1. O encerramento dos acessos deve ser realizado ao final do horário comercial referente ao dia do desligamento.

   2. Se o desligamento for por parte do Gestor ou outra parte externa.

      1. O encerramento dos acessos deve ser retirado imediatamente. Pois é possível que funcionários, fornecedores ou terceiros descontentes deliberadamente corrompam ou sabotem recursos de processamento da informação. No caso de pessoas demitidas ou exoneradas é possível que elas fiquem tentadas a coletar informações para uso futuro.

   3. Caso o funcionário, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas que permaneçam ativas, estas devem ser alteradas.

   4. Toda a empresa deve ser comunicada sobre o desligamento e perda de acesso de determinado funcionário, fornecedor ou terceiro.

PAPÉIS E RESPONSABILIDADES

1. Do Usuário

   1. Os usuários são responsáveis pela proteção das suas informações de autenticação.

   2. Manter a confidencialidade de toda informação, garantindo que ela não seja divulgada para quaisquer outras partes, incluindo autoridades, diretoria e lideranças.

   3. Evitar manter informações anotadas em papel, arquivos ou dispositivos móveis que não sejam seguros ou que não tenham um descarte seguro.

   4. Alterar ou solicitar a alteração de informações de autenticação sempre que existir qualquer indício de comprometimento do sistema ou senha.

   5. Não compartilhar informações e autenticações de usuários individuais.

2. Do Setor de Segurança da Informação

   1. Fica de responsabilidade do Setor de Segurança da Informação a gestão dos controles dos acessos relacionados aos ambiente tecnológico da PRIVACY TOOLS.

SANÇÕES E PUNIÇÕES

1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação.

REVISÕES

1. Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.

GESTÃO DA POLÍTICA

1. A Política Geral de Segurança da Informação é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Diretoria da PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA.

2. A presente política foi aprovada no dia 04/11/2021.