Política de Privacidade

Objetivos

Conforme definição da norma NBR ISO/IEC 17799, a informação é um ativo que, como qualquer outro ativo importante para negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. Este Manual tem por objetivo definir uma Política de Segurança da Informação da Rodomaxlog que atenda essas necessidades.

Abrangência

A política de segurança se aplica aos empregados, estagiários, contratados, prestadores de serviços, parceiros e fornecedores que utilizam as informações da Empresa.

Comprometimento da Direção

A direção da Rodomaxlog está comprometida em proteger todos os ativos ligados à Tecnologia da Informação – TI.

Segurança da Informação

As medidas de segurança da informação, na Rodomaxlog, visam proteger a informação de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

A segurança da informação é caracterizada pela preservação de:

• Confidencialidade: Garantia de que a informação é acessível somente a pessoas com acesso autorizado;
• Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
• Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.

Riscos

Os riscos típicos em Tecnologia da Informação que esta política procura evitar são:

• Revelação de informações sensíveis;
• Modificações indevidas de dados e programas;
• Perda de dados e programas;
• Destruição ou perdas de recursos e instalações;
• Interdições ou interrupções de serviços essenciais;
• Roubo de propriedades;
• Violação das normas determinadas pela LGPD.

Estes riscos podem ocorrer devido a:

• Negligência – atos não intencionais de funcionários;
• Subversão – ataques disfarçados, por funcionários;
• Acidentes – ocorrências acidentais, por fatores alheios;
• Ataques furtivos – praticados por pessoas estranhas;
• Ataques forçados – praticados por funcionários ou estranhos.

Responsabilidades

São responsabilidades gerais:

• Implementar medidas e executar trabalhos que aumentem a disponibilidade, integridade, confidencialidade e legalidade das informações manipuladas através de sistemas computadorizados da Rodomaxlog;
• Fiscalizar periodicamente o cumprimento das regras de acesso aos recursos dos sistemas;
• Pesquisar e implementar ferramentas e procedimentos que garantam a segurança da informação;
• Planejar, elaborar, delegar e acompanhar os planos de ação em conformidade com esta política e o Termo de Responsabilidade;
• Verificar e validar padrões, diretrizes e procedimentos operacionais para a segurança da informação;
• Realizar, no máximo a cada 90 dias, verificações de vulnerabilidades dos sistemas operacionais;
• Atribuir responsabilidades de segurança da informação a cada área funcional;
• Fornecer suporte e assessoria em temas de segurança da informação;
• Apoiar a difusão da cultura de segurança da informação na organização;
• Documentar procedimentos de operação para todos os sistemas, sejam eles batch, on-line ou mistos;
• Prevenir a divulgação não autorizada de informações confidenciais, sujeitando os infratores às penalidades previstas na política interna e na legislação.

Gestor da Área

O Gestor da área tem a autoridade e a responsabilidade de:

• Conhecer os procedimentos de segurança em vigência;
• Garantir que os colaboradores estejam informados sobre suas responsabilidades de segurança;
• Implementar os procedimentos de segurança aprovados pela empresa;
• Iniciar ações corretivas em caso de não conformidades ou vulnerabilidades;
• Notificar a Equipe de Segurança da Informação sobre as não conformidades.

Auditor de Segurança

O auditor de segurança tem a autoridade e a responsabilidade de:

• Revisar continuamente os controles estabelecidos;
• Recomendar controles para minimizar riscos;
• Assistir os responsáveis na definição de diretrizes de ação em caso de não conformidades;
• Garantir a adequada distinção de responsabilidades na implantação e administração dos softwares de controle de acesso;
• Monitorar os administradores dos softwares de controle de acesso;
• Notificar a Equipe de Segurança da Informação sobre as não conformidades.

Recursos Humanos (RH)

A área de RH tem as seguintes responsabilidades:

• Admissão: Obter referências profissionais, verificar a idoneidade do selecionado por meio da documentação exigida, providenciar a assinatura do Termo de Responsabilidade e fornecer login, senha inicial e perfil de acesso.
• Transferência: Avisar a área responsável pela política de segurança sobre ajustes de perfil de acesso.
• Demissão: Notificar imediatamente a área responsável para remoção de todos os acessos e emitir um termo isentando o usuário de responsabilidades após o desligamento.
• Infração: Registrar e formalizar as não conformidades de segurança para adoção de medidas disciplinares, que podem variar de advertência à demissão por justa causa.

Responsabilidades Individuais dos Usuários

Os usuários devem:

• Respeitar a propriedade intelectual, não copiando, modificando ou divulgando material protegido por copyright sem autorização.
• Zelar pelos equipamentos utilizados, não permitindo remoção, desconexão ou alteração não autorizada.
• Manter sigilo dos códigos de acesso, trocando-os periodicamente e escolhendo senhas de difícil decodificação.
• Utilizar os recursos computacionais exclusivamente para fins profissionais, evitando usos que beneficiem empresas não relacionadas à Rodomaxlog.
• Respeitar áreas de acesso restrito, abstendo-se de tentar acessos não autorizados.
• Abster-se de desenvolver ou propagar ações que incentivem racismo, ou divulgar material de cunho sexual ou político-partidário.
• Não utilizar a rede para molestar, ameaçar ou ofender outros usuários ou terceiros.
• Evitar ações que tornem os recursos indisponíveis ou prejudiquem a rede.
• Não executar programas que comprometam a segurança da rede, como decodificadores de senhas ou propagadores de ameaças digitais.
• Manter seus dados atualizados e realizar cópias de segurança para evitar perdas de informações valiosas.
• Solicitar autorização para a adição de novos equipamentos à rede, seguindo os procedimentos internos via SysAid.
• Não realizar download ou distribuição de software ou dados sem licença, sob pena das sanções previstas.
• Não propagar ameaças digitais deliberadamente, sujeitando-se às penalidades legais.
• Somente inscrever a empresa em chats, fóruns ou enviar informações à imprensa mediante autorização expressa.
• Realizar cópia de software para mídias externas apenas com autorização do STI.
• Utilizar sites ou serviços de notícias de forma que não comprometa o uso da banda ou perturbe o andamento dos trabalhos, conforme autorização prévia.
• Estar ciente de que o conteúdo acessado pode ser monitorado e/ou gravado.

Ferramentas e Recursos

As principais ferramentas utilizadas para controle e gerenciamento de acessos e operações são:

• Active Directory: Responsável por controlar as permissões de acesso a todos os recursos compartilhados, localmente e online.
• Office365: Ambiente de colaboração em nuvem para compartilhamento de informações entre colaboradores internos e externos.
• SysAid: Ferramenta para gerenciamento de incidentes e solicitações por meio de tickets com critérios de SLA.
• Skype for Business: Permite a comunicação via chat, voz e videoconferência entre colaboradores e clientes.
• Benner Logistica: Utilizado para a gestão logística do transporte.

Auditoria

Todos os usuários conectados à rede da Rodomaxlog estão sujeitos a auditoria. Os procedimentos de auditoria e monitoramento serão realizados periodicamente pelo Time do STI ou por profissional contratado, com o objetivo de verificar o cumprimento desta política e a performance da rede. Em caso de evidência de atividade que comprometa a segurança, o administrador poderá auditar, monitorar atividades, inspecionar arquivos e registros de acesso, comunicando imediatamente à Diretoria Administrativa e Pessoal.