OBJETIVO
A Política de Segurança da Informação (PSI), é o documento que orienta e estabelece as diretrizes corporativas da RH NUMBERS, voltada para a segurança dos dados e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da empresa. A presente PSI está baseada nas recomendações propostas pelas normas ABNT NBR ISO/IEC 27001 e 27002, as quais visam estipular os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Busca-se preservar as informações da RH NUMBERS, quanto à:
● Confidencialidade: garantir que o acesso à informação seja obtido somente por pessoas autorizadas.
● Integridade: garantir a precisão e a completude da informação, visando protegê-la contra alterações indevidas, intencionais ou acidentais.
● Disponibilidade: garantir que as informações estejam acessíveis sempre que solicitado por pessoas autorizadas. Tanto essa Política, quanto às seguintes: (i) Política de Proteção de Dados; (ii) Política de Resposta a Incidentes; e (iii) Política de Gestão de Riscos, devem ser interpretadas em conjunto, sempre associadas entre si, constituindo o sistema de segurança da informação adotado pela RH NUMBERS.
PÚBLICO ALVO
As normas estabelecidas pela presente PSI deverão ser observadas em todos os seus detalhes por todos os colaboradores, parceiros, clientes e prestadores de serviços, que utilizem ou tenham acesso às informações da RH NUMBERS.
ENTRADA EM VIGOR
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, prestadores de serviços, parceiros e clientes, entrando em vigor imediatamente.
RESPONSABILIDADES
Todos que, de qualquer forma, entram em contato com todo e qualquer tipo de informação referente a RH NUMBERS, são responsáveis por:
● Respeitar esta Política de Segurança da Informação;
● Responder pelo bom uso e proteção dos recursos computacionais colocados à sua disposição para atividades laborativas;
● Responder pelo uso exclusivo de suas senhas de acesso às informações da empresa;
● Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
● Buscar orientação de gestores em caso de dúvidas relacionadas à segurança da informação;
● Relatar imediatamente à área de Tecnologia da Informação (TI) qualquer fato ou ameaça à segurança de um ativo ou grupo de ativo que poderá causar dano à empresa;
● Assegurar que as informações e dados da empresa não sejam disponibilizados a pessoas não autorizadas pelo acesso.
Caberá à alta gestão a melhoria contínua dos procedimentos relacionados à segurança da informação.
Responsabilidades dos Gestores:
● Apoiar e zelar pelo cumprimento desta PSI, servindo como modelo de conduta para os colaboradores sob a sua gestão;
● Atribuir na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI;
● Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas aqui estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da RH NUMBERS;
● Autorizar o acesso e definir o perfil do usuário junto ao gestor de liberação da área de TI;
● Educar os usuários sobre os princípios e procedimentos de Segurança da Informação;
● Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação;
● Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança;
● Adaptar as normas, os processos, os procedimentos e os sistemas sob sua responsabilidade para atender a esta PSI.
Responsabilidade da Área de TI:
● Configurar os equipamentos e sistemas para cumprir os requerimentos desta PSI;
● Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais;
● Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
● Garantir segurança do acesso público e manter evidências que permitam a rastreabilidade para auditoria ou investigação;
● Gerenciar o descarte de informações a pedido dos solicitantes;
● Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário;
● Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários, garantindo a segurança por área do negócio;
● Atribuir contas e senhas identificáveis a pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação;
● Proteger todos os ativos de informação da empresa contra códigos maliciosos e/ou vírus;
● Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção;
● Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da empresa;
● Realizar inspeções periódicas de configurações técnicas e análise de riscos;
● Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais;
● Garantir, assim que solicitado, o bloqueio de acesso de usuários por motivo de desligamento da empresa;
● Propor as metodologias, sistemas e processos específicos que visem aumentar a segurança da informação;
● Promover a conscientização dos colaboradores em relação a relevância da segurança da informação;
● Buscar alinhamento com as diretrizes corporativas da empresa;
● Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes;
● Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;
● Implantar sistemas de monitoramento nas estações de trabalho, servidores, correios eletrônicos, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado.
DIRETRIZES GERAIS
A correta utilização dos recursos disponibilizados é dever de todos os colaboradores da organização, sendo que o uso indevido, negligente ou imprudente será responsabilizado, conforme normativos internos e legais. A RH NUMBERS tem o firme compromisso com a segurança e privacidade das informações a que tenha acesso, de sorte que todas as informações devem ter o devido tratamento, adequabilidade e proteção por colaboradores e prestadores de serviços. As diretrizes aqui estabelecidas deverão ser seguidas por todos aqueles referidos no capítulo de PÚBLICO ALVO.
Todo acesso às informações e aos ambientes lógicos deverão ser controlados, de forma a garantir acesso apenas às pessoas autorizadas. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. Os dados, as informações e os sistemas de informações das entidades devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.
● Sistemas/Softwares Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilidade de serviços. Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da empresa. Não enviar informações confidenciais para e-mails externos sem proteção. As necessidades de segurança devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponíveis. A cópia de segurança deve ser testada regularmente e mantida atualizada. Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas aos usuários ou processos autorizados. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser comunicado à área de TI. A empresa respeita os direitos autorais dos softwares que usa e reconhece que deve pagar o justo valor por eles, coibindo e monitorando o eventual uso indevido de programas não licenciados. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) na RH NUMBERS.
● Máquinas – Estação de Trabalho As estações de trabalho, incluindo equipamentos portáteis, e informações
devem ser protegidos contra danos ou perdas, bem como o acesso, uso ou exposição indevidos. As estações de trabalho possuem códigos internos, os quais permitem que sejam identificadas nas redes. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do colaborador. Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo à RH NUMBERS, só devem ser utilizadas em equipamentos com controles adequados. Para tablets e celulares sempre utilize o bloqueio de tela com senha. Não conecte em redes Wi-Fi desconhecidas, essas redes podem conter mecanismos para captura de dados do seu dispositivo. Notebooks particulares para serem utilizados na rede corporativa, precisam ser avaliados pela área de suporte de TI.
● Mídias Removíveis Informações devem ser transmitidas usando as ferramentas corporativas (email, rede de dados, software de mensageria, etc) que proveem a segurança requerida. Os usuários de mídias removíveis, caso comprovado, serão responsabilizados quando causarem dano à RH NUMBERS, seja por perda/vazamento de informação confidencial e/ou por permitir a entrada de vírus ou softwares maliciosos na rede corporativa. Caso seja necessário transportar arquivos através de mídias removíveis, é recomendado que os arquivos sejam criptografados e apagados, posteriormente, a fim de evitar vazamento de informação sensível.
● Uso da Internet A internet deve ser utilizada para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa vir a contribuir para o desenvolvimento de atividades relacionadas à empresa. O acesso às páginas e websites é de responsabilidade de cada usuário.
O uso da internet para assuntos pessoais deve ser restrito, sem comprometer as atividades dos usuários.
O acesso à internet é monitorado.
● Uso do E-Mail O uso dos correios eletrônicos para envio e recebimento de e-mails deverá ocorrer apenas através dos correios eletrônicos da RH NUMBERS. É proibido o uso dos Correios Eletrônicos para envio de mensagens que possam comprometer a imagem da empresa perante seus clientes ou a comunidade em geral, e que possam causar prejuízo moral e financeiro. Evitar utilizar o e-mail da empresa para assuntos pessoais. Não executar ou abrir arquivos anexados enviados por remetentes desconhecidos ou características suspeitas. Em caso de dúvida, comunicar a área de TI. Não executar ou abrir links/endereços de e-mails suspeitos.
● Controle de Acesso a VPN A rede virtual privada é um túnel seguro entre seu dispositivo e a Internet. As VPNs são usadas para proteger você no Wi-Fi público, contra hackers, roubo de informações, espionagem, censura e outras ameaças online. O uso do acesso via VPN deve ser restrito aos funcionários em que sua posição exige acesso à rede corporativa estando fora das localidades de trabalho da RH NUMBERS.
PENALIDADES
A omissão sobre o conhecimento de fato que caracterize a inobservância das responsabilidades dispostas nesta PSI, bem como o descumprimento das normas aqui dispostas serão alvo de investigação e passíveis de sanções, tais quais advertência formal, suspensão, rescisão do contrato de trabalho ou outra ação disciplinar e/ou processo civil ou criminal que melhor convier.
DOCUMENTOS DE REFERÊNCIA
● ABNT NBR ISO/IEC 27001: 2013 – Tecnologia da Informação – Técnicas de segurança – Sistemas de Gestão de Segurança da Informação – Requisitos.
● ABNT NBR ISO/IEC 27002:2013 – Tecnologia da Informação.
● Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018.
Curitiba/PR, 01 de Janeiro de 2025.
RH NUMBERS LTDA.
CNPJ/ME nº 47.907.182/0001-42
