POLÍTICA SEGURANÇA DA INFORMAÇÃO
1 Objectivo
Este documento define a Política de Segurança da Informação instituída na Datelka permitindo definir responsabilidades, utilizações permitidas, procedimentos de actuação por parte dos vários tipos de utilizadores que acedem e manuseiam dados pessoais e definir os princípios gerais a ser aplicados aos activos de informação, considerando as normas, padrões, standards e requisitos legais aplicáveis, permitindo a adopção de padrões de segurança e de boas práticas na gestão da segurança da informação.
O objectivo deste documento destina-se a ser um mecanismo propício para a redução de riscos relacionados com o tratamento da informação para níveis aceitáveis.
2 Âmbito
O presente documento contém uma lista de toda a documentação do SGPD e aplica-se a todo o Sistema de Gestão de Protecção de Dados (SGPD).
Todos os Colaboradores tomam conhecimento desta Política e estão sujeitos a elevados padrões éticos designadamente ao dever de sigilo e à protecção de Dados pessoais. O dever de sigilo e de confidencialidade mantêm-se mesmo após o termo de funções, cessando tal dever nos termos legalmente previstos.
3 Destinatários
Documento de conhecimento geral de todas as Partes Interessadas, Colaboradores, internos e externos da Datelka, independentemente do seu vínculo laboral.
4 Enquadramento
Adicionalmente aos normativos, legislação e documentos complementares referenciados no ponto “1.4 – Enquadramento Normativo” do documento deste sistema identificado com o código MN-01 Manual de Gestão e Enquadramento do Sistema de Gestão de Protecção de Dados (SGPD), foram também considerados como relevantes para a elaboração deste documento:
- Responder ao requisito preconizado no artigo 40º do RGPD.
Este documento faz parte de um conjunto coeso de Políticas da Datelka, tais como descritas nas políticas e procedimentos integrantes do SGPD.
5 Definições e abreviaturas
- GPD – Ponto de Contacto para a Protecção de Dados
- CA – Gerência
- DIR – Responsáveis de Departamento
- COL – Colaborador
- CIO – Gestor do Parque Informático
6 Responsabilidades
Actividade |
Função |
||||
GPD |
CA |
DIR |
COL |
CIO |
|
Garantir o cumprimento desta política
|
R |
R |
R |
E |
|
Estabelecer os controlos de implementação, monitorização e melhoria contínua dos sistemas de informação |
E |
|
|
|
R |
Legenda: R- Responsável; E- Envolvido
7 Operacionalidade da Política
Esta Política aplica-se a todo o Sistema de Gestão para a Protecção de Dados (SGPD) e a todas as actividades de tratamento de informação de Datelka, que se compromete a proteger a informação gerida por si e à sua salvaguarda, qualquer que seja o seu formato, contra o acesso por pessoas não autorizadas, a garantir que a informação está acessível sempre que necessário e que a mesma é confiável e autêntica.
- Sistemas envolvidos: A Política de Segurança de Informação é aplicável a todos os sistemas informáticos, tais como, sistemas operativos, sistemas aplicacionais de gestão e de rede que sejam propriedade ou administrados pela Datelka;
- À informação envolvida: A Política de Segurança de Informação é aplicável a qualquer informação recolhida, tratada, conservada, divulgada, eliminada pela Datelka, seja referente à informação pessoal de trabalhadores, colaboradores, estagiários, utentes, parceiros, visitantes, prestadores de serviços, prescritores, clientes, fornecedores, demais pessoas singulares cuja informação tenha sido confiada à Datelka. Abrange informações tratadas por computadores, sistemas, redes e todas as manifestações de informações, incluindo documentos físicos de papel, imagem, áudio, telefonia e todas as actividades de tratamento de informação por meios não automatizados e automatizados, contidos ou não em Ficheiros.
Princípios gerais estabelecidos nesta Política
A protecção eficaz e adequada da informação e dos sistemas de informação contra quebras de segurança, de confidencialidade, de integridade, de disponibilidade e de autencidade, garantindo a capacidade de produção e a posição concorrencial da Datelka, a confiança junto dos clientes e parceiros, bem como a imagem junto do público em geral.
Faz parte imprescindível desta Política de Segurança da Informação:
- Estar ciente da elevada importância da segurança da informação para a empresa e trata-la de forma adequada;
- Implementar procedimentos sistemáticos que visam a redução dos riscos;
- Incutir a responsabilidade pela segurança da informação;
- Estabelecer medidas adequadas à empresa para garantir a segurança da informação;
- Verificar regularmente o respectivo cumprimento e a eficácia;
- Proteger a informação própria;
- Proteger a informação que é confiada à empresa para tratamento;
- Reagir de imediato e adequadamente à situação em caso de violação da segurança de informação e a incidentes de violação de dados;
- Garantir a disponibilidade dos sistemas de informação com base nas exigências dos processos de negócio;
- Implementar procedimentos adequados à não interrupção da actividade; e
- Publicar internamente e externamente as regras de segurança da informação instituídas na Datelka.
Medidas gerais
As medidas gerais implementadas são as seguintes:
- Está estabelecido um canal específico para reportar problemas e vulnerabilidades relacionadas com a segurança da informação;
- Está estabelecido um canal específico para reportar problemas relacionados com incidentes de Violação de Dados pessoais;
- Está estabelecido um registo das vulnerabilidades relacionadas com a segurança da informação, com medidas de mitigação e medidas de remediação;
- Está estabelecido um registo de rastreabilidade dos acessos à informação;
- Está estabelecido um canal de divulgação interna de boas práticas na segurança da informação, das Políticas de Segurança da Informação e das Políticas de Proteção de Dados em vigor;
Segurança documental
Os utilizadores devem garantir que a informação em documentos físicos e em ficheiros não automatizados tem uma proteção adequada, adoptando as seguintes medidas:
- A reprodução dos documentos é efectuada com recurso a máquinas fotocopiadoras e/ou impressoras, utilizadas apenas por colaboradores autorizados;
- Embora os documentos com Dados pessoais devam ser armazenados em armários fechados, adequados às áreas seguras, estes podem ser temporariamente armazenados fora das referidas áreas, desde que sejam adoptadas medidas de segurança compensatórias, devidamente previstas em instruções de trabalho específicas;
- Os documentos físicos com informação confidencial e/ou Dados pessoais é eliminada através da utilização de destruidores de papel;
- Adopção de uma política de secretária limpa / “clean desk”;
- Controlo de todas as fotocópias e fotografias de documentos com Dados pessoais para que não possam ser utilizadas como folhas de rascunho ou outras finalidades que impliquem a sua dispersão e acesso por parte de terceiros;
- Os dossiers e documentos com Dados pessoais transportados para o exterior da empresa, só deve ser realizado se tal for estritamente inevitável e com as medidas de segurança adequadas.
Responsabilização dos utilizadores do sistema informático
- O contrato de trabalho contém cláusula específica de confidencialidade que responsabiliza o trabalhador e outros colaboradores pela segurança da informação à qual têm acesso;
- O acesso à informação é autorizado superiormente, sendo também limitada à necessidade de informação para um número de pessoas razoavelmente restrito;
- Os privilégios de acesso ao sistema e às aplicações informáticas proporcionadas aos colaboradores são aprovados pela Gerência e/ou Chefia directa e o Gestor do Parque Informático atribuí esses mesmos acessos e privilégios aos colaboradores.
Políticas de passwords
- A lista de políticas para passwords estão definidas;
- Não há equipamentos com password de administração como default;
- Não há passwords partilhadas;
- Cada utilizador é responsável pelo bom uso das suas contas de acesso, consequentemente pela salvaguarda da respectiva password.
Fileshare / pastas partilhadas
- O Fileshare está protegido por políticas de segurança;
- Não há Fileshare Full Control;
- Os acessos ao Fileshare tem a possibilidade de acesso (Read / Write) em áreas de rede partilhadas com acesso restrito e controlado.
Postos de trabalho dos utilizadores
- Os utilizadores, por regra, não são administradores dos computadores que usam. Excepção feita os membros dos departamentos de desenvolvimento e suporte, que, por via das necessidades das funções que desempenham, são administradores dos seus computadores pessoais. Este privilégio é aprovado pela Gerência e/ou Chefia directa e é da competência do Gestor do Parque Informático a atribuição do mesmo.
- Os utilizadores de aplicações de dados pessoais não são administradores dos computadores que usam;
- Os repositórios de informação não estruturados (ficheiros tipo XLS, PDF, DOC), com Dados pessoais e/ou informação definida como confidencial, estão protegidos com password, e guardados em pastas seguras;
- Está estabelecido controlo sobre a informação contida nos postos de trabalho que são enviados para o exterior para reparação ou abate ou que são reutilizados por outros colaboradores;
- Está estabelecido controlo e implementados procedimentos e políticas de instalação de software nos postos trabalho;
- Estão implementadas medidas de activação screensaver nos postos de trabalho e logoff / bloqueio do posto de trabalho por tempo ocioso.
Acesso e utilização de internet, correio eletrónico e redes sociais
- Está regulado o uso controlado e seguro da internet e correio eletrónico para fins estritamente profissionais;
- Os colaboradores são responsáveis quando lhes é concedido o acesso à Internet e ao correio eletrónico para realizarem as suas funções;
- Ao utilizar as redes sociais os colaboradores têm de ter especial cuidado para se assegurarem que não representam a empresa;
- Informação privilegiada, confidencial, e pessoal, guardada ou processada em arquivos, documentos, e-mail, incluindo informação para contacto, passwords e números de cartões de crédito, não pode ser enviada através da Internet excepto se essa informação tenha sido previamente aprovada, pela Gerência, para ser comunicada, sendo então protegida com métodos de encriptação antes do envio, conforme instruções de trabalho aplicáveis.
Gestão de impressoras
- A localização de impressoras não ocorre em locais com acesso público ou com acesso por parte de pessoas que não sejam Colaboradores da Organização;
- Um Colaborador não imprime documentos com Dados pessoais ou confidenciais, sem ter a certeza de que estes não serão vistos ou consultados por outro trabalhador que não deverá ter acesso aos mesmos.
Atualização de servidores e computadores posto de trabalho
- A actualização dos servidores é efectuada manualmente pelo Gestor do Parque Informático da Organização. Estas acções são planeadas periodicamente para realizar intervenções e para validação dos “updates” a aplicar;
- A actualização dos computadores posto de trabalho é efectuada automaticamente com base nas definições do sistema operativo;
- O software instalado é licenciado e a actualização dos licenciamentos são efectuados via plataforma proprietária do fabricante do software ou são realizados onsite por técnicos internos afectos ao Departamento de Desenvolvimento e Departamento Técnico, sob supervisão do Gestor do Parque Informático;
Antivírus em servidores e computadores posto de trabalho
- Está instalado um sistema de antivírus nos computadores e nos servidores.
Segurança perímetro (firewall)
- Estão implementados mecanismos de segurança perimetral e intraperimetral para controlo do risco de vulnerabilidade, isto é, o sistema de Firewall está implementado e é monitorizado.
- Os acessos VPN estão configurados no sistema de Firewall e estão relacionados com as configurações do Domain Controller da empresa;
- Na Firewall está criado um grupo de utilizadores com perfil de acesso via VPN, e com a devida autenticação de acesso;
Autenticação na rede cabo e na rede sem fios
- Na rede interna via cabo a autenticação é gerida por sistema próprio instalado e devidamente configurado;
- Na rede wireless a autenticação é gerida por sistema instalado e devidamente configurado;
- Estão estabelecidas e implementadas políticas de rede para ligação física e wireless, existindo segregação de redes para utilizadores internos autenticados pela Active Directory e para utilizadores externos à empresa, isto é, utilizadores não autenticados na Active Directory apenas tem acesso à rede externa (internet) não podendo comunicar com equipamento interno.
Serviço de salvaguarda (backup) e de reposição
- Está estabelecida e implementada uma política que estabelece as diretrizes para salvaguarda da informação (backup);
- Esta política permite efectuar as cópias de segurança e de recuperação (restore) dos dados dos servidores, bem como dos dados contidos no Fileshare, , permitindo a rápida recuperação de dados em caso de perda acidental ou extravio dos mesmos.
Website
- Servidor de website instalado com certificado digital https.
Software aplicacional de gestão ERP
- O software aplicacional instalado é licenciado e a actualização dos licenciamentos e das versões são efectuados via plataforma proprietária do fabricante do software, ou onsite pelo Gestor do Parque Informático;
- O acesso à informação está protegido por password e cada utilizador com acesso autorizado possui a sua própria password, conhecida apenas pelo próprio utilizador;
- As aplicações geram automaticamente um registo de acessos realizado pelos utilizadores com a finalidade de rastrear o acesso e o manuseamento dos Dados pessoais;
- Está estabelecido e implementado um procedimento de gestão de perfis de acesso restritos aos dados, com base num critério de necessidade, e respectivo controlo de consultas;
- O acesso à informação é realizado pelo princípio need-to-know/princípio do privilégio mínimo;
- As aplicações têm opções que permitem gerir os direitos dos titulares de Dados pessoais.
Gestão de servidores
- Datacenter externos
- Alguns dos serviços da empresa, são fornecidos e hospedados em vários Datacenter em todo o mundo, sendo que o armazenamento de Dados pessoais dos clientes está em Datacenter certificados com Tier III.
- Todos os Datacenters dentro da cadeia de fornecimento oferecem redundância completa de todos os circuitos elétricos, de controle de temperatura e de rede.
- O acesso físico é regulado e controlado por procedimentos de autorização, reconhecimento e registo e é limitado, graças ao sistema de controle de acesso, às áreas para as quais existe uma autorização.
- Datacenter interno
- Alguns dos serviços da empresa são fornecidos e hospedados em Datacenter localizado nas instalações da empresa.
- O Datacenter oferece redundância de circuitos elétricos, de controle de temperatura e de rede.
- O acesso físico é regulado e controlado por procedimentos de autorização.
Monitorização de incidentes de segurança, relatório e resposta
- Todos os incidentes e violações de segurança são investigados e comunicados ao Gestor do Parque Informático de acordo com procedimento definido;
- Todas as suspeitas de violações da política, intrusões no sistema, dano intencional ou malicioso, infeções de vírus, e outras circunstâncias que possam colocar em risco a informação ou os sistemas de informação de Datelka são comunicados ao Ponto de Contacto para a Protecção de Dados (GPD) ou ao Gestor do Parque Informático.
Cofinanciado por: