INTRODUÇÃO
A PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA entende que os acessos são fundamentais para o funcionamento do negócio e para tal é necessária uma política que garanta a disponibilidade e a confidencialidade dos acessos tanto físicos quanto lógicos.
PROPÓSITO
Estabelecer diretrizes para que os acessos necessários no ambiente tecnológico e físicos da PRIVACY TOOLS seja negado a todos que não precisam e seja disponibilizado para todos que necessitam.
ESCOPO
Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação.
DIRETRIZES
O acesso concedido deve ser apropriado ao acesso necessário para realizar suas atribuições e tarefas.
Os usuários somente devem ter permissão para acessar os recursos de processamento da informação (equipamentos de TI, aplicações, procedimentos, salas), que são necessárias para desempenhar suas tarefas e atribuições.
Todo acesso a todo tipo de sistema ou serviço fornecido pela PRIVACY TOOLS deve ser concedido ou revogado aos usuários obedecendo às demais diretrizes.
O acesso deve ser registrado e revisado periodicamente.
Os direitos de acesso devem ser revisados em intervalos periódicos ou depois de quaisquer mudanças, como promoção, remanejamento ou desligamento.
Os acessos podem ser adaptados ou modificados desde que os usuários tenham mudado de tarefas ou recebido novas atribuições.
Os usuários somente poderão ter acesso às redes e aos serviços de rede que tenham sido autorizados a usar.
A rede de visitantes é permitida a todos e qualquer usuário que não esteja utilizando um dispositivo corporativo.
A rede interna é permitida somente a dispositivos corporativos associados a um usuário.
Os usuários de dispositivos corporativos quando em rede externa e necessitarem de um acesso seguro devem se conectar através da utilização de uma VPN.
A rede será monitorada constantemente pelos sistemas de monitoramento implementados pelo setor de Segurança da Informação.
Gerenciamento De Direitos De Acesso Privilegiados
O acesso de direitos de acesso privilegiado devem ser restritos e controlados por um processo de gerenciamento de direitos de acesso privilegiado.
A concessão de acessos privilegiados deve ser registrada e identificada.
Um usuário não pode adquirir um acesso privilegiado antes que o mesmo esteja registrado e identificado.
O acesso privilegiado deve ter uma data de expiração.
A data de expiração pode ser modificada ou postergada de acordo com a necessidade do acesso.
O acesso privilegiado não deve em hipótese alguma substituir o acesso comum aos usuários.
Acessos privilegiados devem ter suas senhas frequentemente modificadas ou caso um usuário seja desligado, a mudança deve ser realizada tão logo quanto possível.
Os acessos devem ser imediatamente removidos ou bloqueados caso os usuários deixem a organização.
Usuários devem utilizar um ID único (e-mail) que permita identificar e relacionar os usuários e suas ações. O compartilhamento de ID somente será permitido onde seja extremamente necessário por razões operacionais ou de negócios e convém que sejam aprovados e documentados.
Retirada De Direitos De Acesso
Se o desligamento for iniciado pelo funcionário.
O encerramento dos acessos deve ser realizado ao final do horário comercial referente ao dia do desligamento.
Se o desligamento for por parte do Gestor ou outra parte externa.
O encerramento dos acessos deve ser retirado imediatamente. Pois é possível que funcionários, fornecedores ou terceiros descontentes deliberadamente corrompam ou sabotem recursos de processamento da informação. No caso de pessoas demitidas ou exoneradas é possível que elas fiquem tentadas a coletar informações para uso futuro.
Caso o funcionário, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas que permaneçam ativas, estas devem ser alteradas.
Toda a empresa deve ser comunicada sobre o desligamento e perda de acesso de determinado funcionário, fornecedor ou terceiro.
Acesso à dados sensíveis, de clientes ou de crianças
De regra geral os acessos aos dados de clientes só podem ser realizados com a autorização do mesmo, em ambiente controlado e para finalidades específicas como trobleshoot, análises ou investigações conforme demanda do cliente. Não deve ser acessado nenhum dado de cliente durante a execução do trabalho.
Acesso às dependências da empresa
O acesso deve ocorrer com o uso de dispositivo biométrico integrado à gestão de recursos humanos.
Todo acesso deve ser monitorado e manter logs de auditoria em ferramenta própria de biometria.
A gestão dos acessos deve ser exclusividade do RH com apoio da infraestrutura se necessário.
PAPÉIS E RESPONSABILIDADES
Do Usuário
Os usuários são responsáveis pela proteção das suas informações de autenticação.
Manter a confidencialidade de toda informação, garantindo que ela não seja divulgada para quaisquer outras partes, incluindo autoridades, diretoria e lideranças.
Evitar manter informações anotadas em papel, arquivos ou dispositivos móveis que não sejam seguros ou que não tenham um descarte seguro.
Alterar ou solicitar a alteração de informações de autenticação sempre que existir qualquer indício de comprometimento do sistema ou senha.
Não compartilhar informações e autenticações de usuários individuais.
Do Setor de Segurança da Informação
Fica de responsabilidade do Setor de Segurança da Informação a gestão dos controles dos acessos relacionados aos ambiente tecnológico da PRIVACY TOOLS.
SANÇÕES E PUNIÇÕES
Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação.
REVISÕES
Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.
GESTÃO DA POLÍTICA
A Política Geral de Segurança da Informação é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Diretoria da PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA.
A presente política foi aprovada no dia 04/11/2021.
Page Comparison
General
Content
Integrations