Conheça a nossa Política de Privacidade

Saiba como tratamos seus dados e informações pessoais.

 

POLÍTICA DE SEGURANÇA DIGITAL NIMBUS NETWORK

Versão 1.3

Revisado : 02/03/2021

Autor: Klaos Emboaba Lacerda

José Ricardo Maran (última revisão 30/07/2021)

  1. OBJETIVO

Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade das informações necessárias para a realização dos negócios da NIMBUS NETWORK.

 ABRANGÊNCIA

Aplica-se a todos os administradores, funcionários, estagiários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações que pertençam a NIMBUS NETWORK ou a SEUS CLIENTES.

 Todo e qualquer usuário de recursos computacionais da empresa tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.

 CONCEITOS

A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:

  • Confidencialidade: Garante que a informação seja acessível somente pelas pessoas autorizadas, pelo período necessário;
  • Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas sempre que se faça necessário;
  • Integridade: Garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida.

 DEFINIÇÕES

Informação: resultado do processamento e organização de dados (eletrônicos ou físicos) ou registros de um sistema.

Ativos de Informação: conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a empresa.

Sistemas de informação: de maneira geral, são sistemas computacionais utilizados pela empresa para suportar suas operações.

Segregação de funções: consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário, estagiário ou prestador de serviço detenha poderes e atribuições em desacordo com este princípio.

Grupo Gestor da Segurança da Informação: grupo composto por administradores da NIMBUS NETWORK com o objetivo de avaliar a estratégia e diretrizes de segurança da informação seguidas pela empresa.

 

  1. CLASSIFICAÇÃO DA INFORMAÇÃO

Toda informação produzida no desenvolvimento das atividades da empresa deve ser classificada de acordo com os níveis de confidencialidade abaixo:

 Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. Por exemplo: informações disponíveis na página da Internet da NIMBUS NETWORK ou publicadas nas redes sociais.

  1. Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização. Exemplo: Documentação de tecnologias e tutoriais próprios.
  2. Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização especificamente autorizados. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro. Exemplo: propostas comerciais, Help-Desk.
  3. Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Exemplo: dados da folha de pagamento são de acesso restrito apenas ao setor de RH ou Diretoria.

 

 RESPONSABILIDADES

De forma geral, cabe a todos os administradores, funcionários, estagiários e prestadores de serviços:

  • Cumprir fielmente a Política de Segurança da Informação da NIMBUS NETWORK;
  • Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela NIMBUS NETWORK;
  • Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela NIMBUS NETWORK;
  • Cumprir as leis e as normas que regulamentam a propriedade intelectual;
  • Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões em blogs e redes sociais;
  • Não compartilhar informações confidenciais de qualquer tipo;
  • Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos.

 É dever de todos dentro da NIMBUS NETWORK:

Considerar a informação como sendo um ativo da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a NIMBUS NETWORK e deve sempre ser tratada profissionalmente.

 É de responsabilidade do Gerente/Supervisor de cada área classificar a informação (relatórios, documentos, modelos, procedimentos, planilhas) gerada por sua área de acordo com o nível de confidencialidade estabelecido neste documento.

 São boas práticas:

 Bloquear o acesso ao computador sempre que sair da sua mesa de trabalho, mesmo que por alguns minutos;

  • Manter mesas organizadas e documentos com informações confidenciais trancados, quando não os estiver utilizando.

 Grupo Gestor da Segurança da Informação da NIMBUS NETWORK

Missão

Ser o gestor do processo de segurança e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade.

 Equipe

Klaos Emboaba Lacerda e José Ricardo Maran

 

SEPARAÇÃO DOS RECURSOS DE DESENVOLVIMENTO, TESTE E DE PRODUÇÃO

Deverá ser avaliada a segregação de ambientes para a redução de riscos de acesso não autorizados, prevenção de falhas e implementação de controles.

Deverão ter em conta o seguinte:

  • Definição e documentação das regras para a transferência de software, desde o estágio de desenvolvimento até a operação no ambiente de produção.
  • O software de desenvolvimento e operacionais deve ser executado em diferentes sistemas ou processados em computadores, domínios ou diretórios.
  • Os compiladores, editores e outras ferramentas de desenvolvimento ou recursos de sistemas, não deverão estar acessíveis para sistemas de produção e onde não sejam requeridos.
  • Os testes de ambiente de homologação deverá emular o ambiente de produção de maneira mais realista possível.
  • Os usuários deverão utilizar diferentes perfis para os sistemas de produção e homologação, os menus deverão exibir mensagens de identificação adequadas para reduzir os riscos de erros.
  • Os dados sensíveis não deverão ser copiados no ambiente de homologação a partir do ambiente de produção e se ele ocorrer deverá ser dissimulado.

 

PLANEJAMENTO E ACEITAÇÃO DOS SISTEMAS

O planejamento e preparação avançada são necessários para assegurar a disponibilidade através de uma capacidade e recursos adequados para proporcionar um comportamento que o sistema requer.

Deverão estabelecer previsões dos requisitos de capacidade futuros, para reduzir o risco de sobrecarga do sistema, devendo estar estabelecido os procedimentos de documentação, homologação, aceite e uso, requisitos operacionais de novas funcionalidades.

Deverá haver o monitoramento do uso da rede de comunicação com o objetivo de ajustar e planejar a capacidade e desempenho dos elementos de rede (routers, firewall, switches, etc.) de acordo com o desempenho esperado e redução de riscos das possíveis falhas.

 DIRETRIZES GERAIS

DADOS PESSOAIS DE FUNCIONÁRIOS

A NIMBUS NETWORK se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais dos funcionários serão considerados confidenciais.

Os dados pessoais de funcionários sob a responsabilidade da NIMBUS NETWORK não serão usados para fins diferentes daqueles para os quais foram coletados.

Dados pessoais de funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados.

 PROGRAMAS ILEGAIS

É terminantemente proibido o uso de programas ilegais (software pirata) na NIMBUS NETWORK. Os usuários não podem, em hipótese alguma, instalar este tipo de programa nos equipamentos da empresa.

 Periodicamente, o Grupo Gestor da Segurança da Informação da NIMBUS NETWORK fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.

 ADMISSÃO/DEMISSÃO DE COLABORADORES

O setor de RH da NIMBUS NETWORK deverá informar ao Grupo Gestor da Segurança da Informação da NIMBUS NETWORK toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou descadastrados nos sistemas da empresa. O RH deverá questionar ao setor responsável pela contratação quais sistemas e repositórios de arquivos de trabalho o novo colaborador deverá ter direito de acesso. 

Essas informações deverão ser registradas e encaminhadas para o Grupo Gestor da Segurança da Informação através do “Formulário para concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK”,

 O Grupo Gestor da Segurança da Informação da NIMBUS NETWORK fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, que deverá ser trocada pelo usuário no seu primeiro acesso.

 No caso de desligamento, o setor de RH deverá comunicar o fato na mesma data ao Grupo Gestor da Segurança da Informação, por meio do “Formulário para concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK” para que todos os acessos concedidos sejam revogados.

 Cabe ao setor de RH dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da NIMBUS NETWORK.

CONCESSÃO E REVOGAÇÃO DE ACESSOS

Quando houver necessidade de concessão ou revogação de acesso aos sistemas, repositórios de arquivos de trabalho e/ou equipamentos de informática da NIMBUS NETWORK, o setor solicitante comunicará esta necessidade ao Grupo Gestor da Segurança da Informação da NIMBUS NETWORK, copiando o RH, por meio do “Formulário para  concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK”.

 POLÍTICA DE SENHAS

Recomendamos que as senhas tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.

 Recomendamos que as senhas também sejam trocadas pelos usuários a cada 3 meses, não devendo se repetir as senhas definidas nos últimos 12 meses.

 Sempre que um usuário é desligado da organização, todas as suas senhas e acessos são revogados no mesmo dia.

Sempre que possível terá habilitado autenticação de 2 Fatores ou Token Físico

POLÍTICA DE ACESSO AO SERVIDORES

Todo e qualquer tipo de acesso a servidor será realizado através de conexão segura através de VPN ou limitado por IP

Os administradores de servidor utilizaram Sistema Operacional Fedora Workstation e os acessos a Linux serão sempre efetuados por troca de Chave SSH RSA 2048

Todos servidores nos cuidados da NIMBUS NETWORK terão software de auditoria de acesso

 ARQUIVOS DE TRABALHO

Os arquivos de trabalho, considerados dados essenciais ao desenvolvimento do negócio, são mantidos nos servidores de arquivos da NIMBUS NETWORK em sistema que permite o controle, comparação e gestão de diferentes versões, denominado Google Drive G-suite Business com Vault

São exemplos de arquivos de trabalho:

  • Planilha de faturamento;
  • Notas fiscais;
  • Propostas comerciais;
  • Relatórios de análise técnica;
  • Planilhas de medição;
  • Documentação de sistema utilizada como insumo para o trabalho de análise e medição.

 

O acesso ao Drive fora das dependências da NIMBUS NETWORK é bloqueado e proibido, salvo se realizado através de autenticação de dois fatores, com a devida permissão do Grupo Gestor da Segurança da Informação.

ARQUIVOS INDIVIDUAIS

São considerados arquivos individuais aqueles criados, copiados ou desenvolvidos pelos usuários, que não sejam parte integrante do produto entregável pelo seu trabalho, seja ele interno ou para clientes. Alguns exemplos são: rascunhos ou lembretes, memórias de cálculo, mensagens, diagramas ou instruções técnicas. A cópia de segurança destes arquivos é de responsabilidade dos próprios usuários.

 

Não é permitido aos usuários o uso ou armazenamento dos tipos de arquivos abaixo relacionados em suas estações de trabalho:

  • Programas não licenciados ou não homologados para uso na NIMBUS NETWORK;
  • Músicas, filmes, séries, programas de TV;
  • Vídeos não relacionados à atividade profissional;
  • Conteúdo pornográfico ou relacionado a sexo.

 

COMPARTILHAMENTO DE PASTAS E DADOS

O compartilhamento de pastas e arquivos de trabalho cujo conteúdo seja classificado como sendo de informação CONFIDENCIAL ou RESTRITA é proibido através os seguintes :

  • , Google Talk, WhatsApp, Viber ou qualquer outro comunicador de mensagens instantâneas;
  • Compartilhamento de pastas do Windows;
  • Bluetooth;
  • Cópia via pen drive ou qualquer outro dispositivo removível;
  • Google Drive, Dropbox, iCloud, OneDrive ou qualquer outro drive virtual.

 

Havendo necessidade de se realizar o compartilhamento de dados entre usuários (internos e/ou externos), deve-se utilizar o sistema Next Cloud ou Google Drive interno..

 

CÓPIAS DE SEGURANÇA, RECUPERAÇÃO E INTEGRIDADE DOS SISTEMAS E DE SEUS BANCOS DE DADOS

Cópias de segurança dos sistemas, repositórios de arquivos de trabalho, bancos de dados e configurações dos equipamentos e servidores de rede são de responsabilidade exclusiva do Grupo Gestor da Segurança da Informação.

 USO DO CORREIO ELETRÔNICO – (“e-mail”)

O correio eletrônico fornecido pela NIMBUS NETWORK é um instrumento de comunicação interna e externa para a realização dos negócios da empresa.

As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da NIMBUS NETWORK, não podem ser contrárias à legislação vigente e nem aos princípios éticos estabelecidos no “Código de Ética e Conduta”.

 O uso do correio eletrônico é e o usuário é responsável por toda mensagem enviada pelo seu endereço.

 Não é permitido o cadastro de contatos pessoais nos sistemas de mensagens instantâneas (ao utilizar a conta profissional @NIMBUSNETWORK.com.br ou @NIMBUSNETWORK.com); e nem a utilização de contas pessoais.

 É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem da NIMBUS NETWORK e/ou de outras empresas;
  • Sejam incoerentes com as políticas estabelecidas no “Código de Ética e Conduta” da NIMBUS NETWORK.

 Não será permitido o uso de e-mail gratuitos (Yahoo!, Hotmail, etc.), nos computadores da NIMBUS NETWORK.

 O Grupo Gestor da Segurança da Informação poderá, visando evitar a entrada de vírus nos computadores da NIMBUS NETWORK, bloquear o recebimento de e-mails provenientes de e-mails gratuitos.

 

NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS E/OU EQUIPAMENTOS

O Grupo Gestor da Segurança da Informação é responsável pela definição de compra, substituição e instalação de todo e qualquer “software” e “hardware”.

 Qualquer necessidade de novo “software” ou “hardware” deverá ser discutida com os responsáveis pelo Grupo Gestor da Segurança da Informação. Não é permitida a compra ou o desenvolvimento de “softwares” diretamente pelos usuários.

USO DE EQUIPAMENTOS DE PROPRIEDADE DA EMPRESA

Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade da NIMBUS NETWORK devem estar cientes de que:

  • Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais;
  • A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário;
  • É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo;
  • O usuário não deve alterar a configuração do equipamento recebido;
  • O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado.
  • Todos computadores ou Notebooks terão como seu Principal Sistema Operacional Homologado pela NIMBUS NETWORK Linux Fedora Workstation

 Fora do trabalho:

  • Mantenha o equipamento sempre com você;
  • Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
  • Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível;
  • Atenção ao transportar o equipamento na rua.

 Em caso de furto

  • Registre a ocorrência em uma delegacia de polícia;
  • Comunique o fato o mais rápido possível ao seu superior imediato e ao Grupo Gestor da Segurança da Informação;
  • Envie uma cópia do boletim de ocorrência para o RH.

 RESPONSABILIDADES DOS GERENTES/SUPERVISORES

Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus subordinados aos sistemas e informações da empresa, cabendo a eles verificarem se os mesmos estão acessando exatamente os sistemas e as áreas de dados compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.

 O Grupo Gestor da Segurança da Informação fará auditorias periódicas do acesso dos usuários às informações, verificando:

  • Que tipo de informação o usuário pode acessar;
  • Quem está autorizado a acessar determinado sistema e/ou informação;
  • Quem acessou determinada sistema e informação;
  • Quem autorizou o usuário a ter permissão de acesso à determinado sistema ou informação;
  • Que informação ou sistema determinado usuário acessou;
  • Quem tentou acessar qualquer sistema ou informação sem estar autorizado.

 USO DE ANTIVÍRUS

Todo arquivo obtido através da Internet ou recebido de entidade externa a NIMBUS NETWORK deve ser verificado por programa antivírus.

Todas as estações de trabalho possuem software antivírus instalado. A sua atualização será automática, agendada pelo Grupo Gestor da Segurança da Informação, via rede.

O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.

REGISTROS DE AUDITORIA

Serão efetuados registros de auditoria das atividades dos usuários, exceções e incidentes de informação deverão ser mantidos durante um período acordado para auxiliar em investigações futuras  e em andamento e monitoração do controle de acesso. Serão incluídos nos registros quanto seja possível e o mínimo exigível 

pelas leis aplicáveis:

  1. Identificadores de usuário (IDs).
  2. Registro de tentativas de acesso bem sucedidos e rejeitados.
  3. Registro de tentativas de acesso aos recursos e a dados bem sucedidos e rejeitados.
  4. Mudança de configurações do sistema.
  5. Uso de privilégios.
  6. Uso de dispositivos e aplicações do sistema.
  7. Arquivos acessados e tipos de acesso.
  8. Alarmes do sistema de controle de acesso.
  9. Ativação e desativação dos sistemas de proteção, tais como sistemas antivírus e detecção de intrusão.
  10. Alterações ou tentativas de mudanças dos controles de segurança do sistema.

 

A frequência com que são revisados os resultados das atividades do 

monitoramento dependerá da informação e da criticidade dos sistemas.

 

Os dispositivos de registro e o diário com as informações estarão 

protegidos contra a manipulação e o acesso não autorizado.

 

As atividades do administrador do sistema e do operador do sistema serão 

registradas.

SEGURANÇA DE ACESSO A TERCEIROS

Deverá ser mantida a segurança das informações de tratamento da informação e dos recursos de informação da referente aos acessos de terceiros: 

Deverá ser realizada uma avaliação do risco inicial para identificar o risco pelo acesso de pessoas externas às informações e instalações da NIMBUS NETWORK.

Devendo ser levado em consideração:

Os dispositivos e informações que os terceiros terão acesso.

Tipos de acesso e dispositivos de tratamento de informação o qual terão acesso (base de dados, sistemas, edifícios…).

Conectividade entre redes das organizações (acesso remoto, conexão constante…).

Os controles necessários para proteger a informação podem ser acessados por terceiros.

Os diferentes meios e controles que terceiros armazenam, processam, transmitem, compartilham e trocam informações.

O impacto de que o acesso não está disponível para terceiros seja necessário.

Práticas e procedimentos para tratar dos incidentes de segurança da informação e perigos potenciais, assim como os termos e condições para manutenção às continuidade caso ocorra um incidente de segurança. 

Medidas de controle para administrar o acesso de terceiros aos recursos de Sistemas de Informação (vpn, conexões remotas, etc…).

Contemplar nos contratos de serviços e suporte com terceiros as cláusulas necessárias em questão de segurança.

Não deverão autorizar o acesso à informação da organização a terceiros, até que sejam implantados controles adequados e, quanto possível, deverá ser assinado um contrato que defina os termos e condições para a conexão e acessos necessários para seu trabalho.

 

 VIOLAÇÃO DA POLÍTICA DE SEGURANÇA

É qualquer ato que:

  • Exponha a empresa a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados ou de informações ou ainda da perda de equipamento;
  • Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos;
  • Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.

 PENALIDADES

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.

Vigência

O disposto no presente documento entrará em vigor na data de publicação do comunicado que o anunciar.

    Preencha com seus dados e nós vamos entrar em contato com você.

      Preencha com seus para ser atendido pelo suporte.