Introdução à Segurança da Informação
Segurança da Informação é um conjunto de estratégias e práticas adotadas para proteger dados e ativos da organização contra riscos, como perda, roubo, acesso não autorizado e danos. Os principais pilares da segurança da informação são:
Confidencialidade: Garantir que a informação seja acessada apenas por pessoas autorizadas, evitando divulgação indevida.
Integridade: Assegurar que os dados sejam precisos, completos e não tenham sido alterados de forma não autorizada.
Disponibilidade: Garantir que a informação esteja acessível quando necessário, evitando falhas ou indisponibilidade de sistemas críticos.
A Segurança da Informação é crucial para qualquer organização, pois protege seus dados sensíveis, informações estratégicas e infraestruturas tecnológicas, assegurando a competitividade e confiabilidade no mercado. Ela também contribui para o cumprimento de regulamentações e redução de riscos, prevenindo danos financeiros e à reputação.
Princípios Fundamentais da Segurança da Informação
Os três pilares fundamentais da Segurança da Informação — Confidencialidade, Integridade e Disponibilidade — são essenciais para proteger a confiabilidade das informações e garantir a segurança de dados críticos dentro de uma organização. Juntos, eles sustentam a competitividade, lucratividade, conformidade com as exigências legais e a reputação no mercado.
Confidencialidade:
Garante que apenas pessoas autorizadas tenham acesso aos dados, impedindo o acesso não autorizado. Esse princípio é fundamental para proteger informações sensíveis e evitar vazamentos de dados que possam comprometer a empresa.Integridade:
Assegura que as informações não sejam alteradas ou corrompidas de forma indevida, mantendo sua precisão e confiabilidade. Isso garante que as decisões tomadas com base nessas informações sejam bem fundamentadas e sem distorções.Disponibilidade:
Certifica que as informações estejam sempre acessíveis para os usuários autorizados, quando necessário. Isso envolve garantir que os sistemas e recursos da organização estejam operando corretamente e que as informações não estejam bloqueadas ou indisponíveis.
Esses três pilares garantem que os dados sejam protegidos, manipulados de forma adequada e disponíveis de maneira confiável, essencial para o sucesso sustentável de qualquer organização.
Diretrizes da NEMU para Gestão de Segurança da Informação
A NEMU adota um conjunto robusto de orientações para garantir a Segurança da Informação e proteger seus ativos, assegurando a confiança e a integridade de seus processos. As principais diretrizes incluem:
Aplicação das Diretrizes:
As regras de segurança devem ser implementadas em todas as operações da organização, conforme detalhado na Política de Segurança da Informação (PSI).Proteção dos Ativos:
A confidencialidade, integridade e disponibilidade das informações e recursos devem ser asseguradas, preservando dados essenciais e garantindo seu uso adequado.Gestão de Riscos:
A NEMU realiza avaliações contínuas de riscos, implementando controles necessários para mantê-los em níveis aceitáveis e gerenciar qualquer ameaça potencial.Conformidade Legal:
A organização deve cumprir todas as leis e regulamentações pertinentes relacionadas à segurança da informação e privacidade de dados.Capacitação Constante:
É essencial promover a conscientização e o treinamento dos colaboradores sobre questões de segurança e privacidade de forma contínua, mantendo-os atualizados sobre práticas e políticas.Continuidade dos Negócios:
A infraestrutura de TI deve ser projetada para garantir operações ininterruptas, com controles de segurança que assegurem a continuidade dos negócios, mesmo em caso de incidentes adversos.Gerenciamento de Incidentes:
Qualquer incidente de segurança deve ser relatado, investigado e solucionado de forma eficaz, garantindo a mitigação de danos e a restauração de serviços.Proteção Contra Ameaças:
Medidas de proteção contra software malicioso (malware) e outras ameaças cibernéticas devem ser implementadas para prevenir violações de segurança.Consequências para Violações:
Violações da PSI resultarão em sanções administrativas apropriadas, de acordo com a gravidade da infração.
Essas diretrizes visam garantir que a segurança da informação seja uma prioridade em todos os níveis da organização, protegendo os recursos e mantendo a confiança nas operações e processos internos da NEMU.
O QUE É PSI E QUAIS OS SEUS OBJETIVOS
A Política de Segurança da Informação (PSI) é um documento estratégico que estabelece as diretrizes, regras e práticas essenciais para proteger os ativos de informação da NEMU. Seu principal propósito é garantir que as informações da empresa sejam acessadas, usadas, armazenadas e compartilhadas de forma segura, assegurando a confidencialidade, integridade e disponibilidade dos dados.
Objetivos da PSI
Proteger os Ativos de Informação:
Definir práticas e controles para garantir que os dados da organização sejam protegidos contra acessos não autorizados, alterações indevidas ou perdas.Garantir o Cumprimento de Requisitos Legais:
Assegurar que a empresa esteja em conformidade com as leis e regulamentações aplicáveis, como a LGPD, Marco Civil da Internet, entre outras.Estabelecer Regras de Acesso e Uso:
Determinar como colaboradores, prestadores de serviços e terceiros devem acessar e utilizar as informações, garantindo que apenas pessoas autorizadas tenham acesso a dados sensíveis.Mitigar Riscos de Segurança:
Identificar possíveis ameaças e vulnerabilidades e estabelecer controles adequados para mitigar os riscos à segurança da informação.Promover a Conscientização e Treinamento:
Garantir que todos os membros da organização, incluindo prestadores de serviços e fornecedores, estejam cientes das políticas de segurança e das boas práticas a serem seguidas.Gerenciar Incidentes de Segurança:
Estabelecer um processo claro para a identificação, resposta e resolução de incidentes de segurança que possam comprometer a integridade ou a confidencialidade dos dados da organização.Manter a Continuidade dos Negócios:
Assegurar que as operações da organização possam continuar de forma ininterrupta, mesmo em situações adversas, por meio de controles de segurança e planos de contingência.
APLICAÇÃO DA PSI
A Política de Segurança da Informação (PSI) da NEMU se aplica a todos os colaboradores, prestadores de serviços, fornecedores e terceiros que tenham acesso aos ativos de informação da empresa. Seu objetivo principal é prevenir incidentes e responsabilidades que possam impactar negativamente a organização e seus stakeholders.
Os principais objetivos da PSI incluem:
Prevenção de Incidentes:
Evitar qualquer incidente de segurança que possa comprometer a confidencialidade, integridade ou disponibilidade dos dados da empresa.Redução de Riscos:
Minimizar os riscos de perdas financeiras, diminuição da participação no mercado, danos à confiança dos clientes e outros impactos adversos que possam prejudicar a NEMU.Garantia de Conformidade:
Assegurar que todos os envolvidos na organização cumpram com as normas, regulamentações e melhores práticas de segurança da informação, evitando riscos legais e financeiros.
MONITORAMENTO E GESTÃO DE ATIVOS
A NEMU realiza o monitoramento contínuo de seus ativos de informação e recursos computacionais com o objetivo de garantir a segurança jurídica e operacional da organização, através de auditorias e controles adequados. As principais diretrizes sobre esse monitoramento incluem:
Monitoramento de Equipamentos e Recursos:
A empresa pode monitorar, gravar e auditar os equipamentos e recursos computacionais, incluindo a rede de computadores, e-mail, internet, sistemas e outros meios utilizados para acessar e manipular informações.Ausência de Expectativa de Privacidade:
Não há expectativa de privacidade no uso desses recursos. O monitoramento é realizado para proteger a segurança dos ativos e garantir a segurança jurídica da empresa. Esse monitoramento não configura violação da intimidade, vida privada, honra ou imagem dos usuários.Direito de Interceptação e Divulgação:
A NEMU pode, sem aviso prévio, monitorar, interceptar, registrar, ler, bloquear, redirecionar, retransmitir, copiar e divulgar informações, incluindo mensagens enviadas ou recebidas por meio do e-mail, para finalidades oficiais, como investigações criminais, e para pessoas autorizadas.Monitoramento Físico:
A empresa também pode monitorar o ambiente físico interno e externo, utilizando câmeras de segurança nas dependências da empresa, com o objetivo de garantir a segurança física e patrimonial do local.
Os usuários da empresa têm ciência e concordam expressamente com a realização desse monitoramento, sendo este feito de maneira a preservar a segurança e a integridade dos ativos de informação da NEMU, bem como garantir a conformidade legal e regulatória.
PROPRIEDADE
Todas as informações geradas ou recebidas pelos colaboradores para fins profissionais são de propriedade exclusiva da NEMU, assim como os equipamentos tecnológicos fornecidos pela empresa. Caso o colaborador utilize seu dispositivo pessoal para atividades profissionais, com ou sem a autorização da NEMU, os dados continuam sendo de direito e uso exclusivo da empresa. Esses dados não podem ser utilizados, armazenados ou compartilhados sem a devida autorização da NEMU.
Essa política garante que a empresa mantenha o controle e a proteção das informações confidenciais, assegurando a segurança dos dados e prevenindo qualquer uso indevido por parte de seus colaboradores, mesmo em caso de uso de dispositivos pessoais para atividades corporativas.
RESPONSABILIDADES ESPECÍFICAS
Responsabilidades de Todos:
Conhecimento e Disseminação: Todos devem conhecer e disseminar as regras e princípios da Política de Segurança da Informação (PSI) e manter-se atualizados sobre as diretrizes estabelecidas.
Proteção dos Ativos: Preservar e proteger todos os ativos da empresa e suas unidades mantidas, incluindo informações e conteúdos, independentemente do formato ou suporte utilizado, contra qualquer tipo de ameaça (acesso, compartilhamento ou modificação não autorizados).
Confidencialidade: Não compartilhar informações de propriedade da empresa sem autorização prévia, nem com colegas, prestadores, parceiros, fornecedores ou terceiros.
Segurança em Áreas Comuns: Evitar discussões sobre assuntos relacionados ao trabalho em áreas onde pessoas não autorizadas possam ter acesso.
Proibição de Exposição Pública: Não expor publicamente informações, projetos ou dependências da empresa em mídias sociais, mensageiros, websites ou outros meios.
Responsabilidades dos Gestores:
Treinamento e Informação: Manter os colaboradores informados sobre a PSI, incluindo sua participação em treinamentos de Segurança da Informação.
Exemplo de Adesão: Servir de exemplo, respeitando e seguindo as diretrizes da PSI.
Comunicação à TI: Notificar com antecedência a área de TI sobre o desligamento de colaboradores para garantir a remoção das permissões de acesso.
Participação no Comitê de Segurança: Participar das reuniões do Comitê de Segurança da Informação quando convocados.
Responsabilidades da Área de TI:
Configuração de Equipamentos: Configurar os equipamentos de trabalho com usuários únicos, pessoais e intransferíveis, com permissões mínimas de acesso conforme a função do colaborador.
Rotinas de Backup: Configurar as rotinas de backup do servidor, seguindo as diretrizes estabelecidas pela PSI.
Homologação de Softwares e Equipamentos: Homologar novos softwares, equipamentos e atualizações de sistemas operacionais com base em padrões mínimos de Segurança da Informação.
Geração e Manutenção de Logs: Gerar e manter logs e trilhas de auditoria detalhadas para rastrear falhas e fraudes, garantindo a validade jurídica das evidências.
Ferramentas de Proteção de Dados: Configurar e monitorar ferramentas de segurança como Proxy, Firewall, antivírus e outros mecanismos de proteção.
Sugestões de Melhoria: Propor melhorias em processos, ferramentas, hardware e software para aumentar o nível de segurança.
Aplicação de Políticas de Segurança: Garantir que políticas de segurança sejam aplicadas nas estações de trabalho, impedindo alterações indesejadas e restrições, como o uso de portas USB não autorizadas.
Essas responsabilidades visam assegurar a implementação e a manutenção de um ambiente seguro, minimizando riscos e garantindo a conformidade com as diretrizes de segurança.
CLASSIFICAÇÃO DA INFORMAÇÃO
Informação Confidencial:
Descrição: São informações críticas e sensíveis, cujo acesso não autorizado pode causar sérios danos financeiros, estratégicos ou à reputação da empresa.
Acesso: Limitado a um número muito restrito de pessoas ou departamentos, que devem ter permissão expressa para manusear esses dados.
Exemplos: Dados financeiros sensíveis, segredos comerciais, informações estratégicas, dados de clientes críticos, ou qualquer outro dado classificado como confidencial por sua natureza.
Informação Restrita:
Descrição: São informações internas da empresa, cujo acesso é restrito a determinados colaboradores ou departamentos, e podem ser compartilhadas com terceiros somente mediante assinatura de um acordo de confidencialidade.
Acesso: Deve ser controlado de acordo com o princípio do mínimo privilégio, ou seja, acesso restrito ao que é necessário para o desempenho das funções.
Exemplos: Relatórios internos, dados operacionais, procedimentos de negócios, dados financeiros não sensíveis, contratos, entre outros.
Informação Pública:
Descrição: Informações que podem ser compartilhadas livremente com o público em geral, sem risco de causar qualquer impacto negativo à empresa em termos de reputação ou finanças.
Acesso: Não há restrição no acesso ou compartilhamento dessas informações com terceiros.
Exemplos: Comunicados de imprensa, dados financeiros públicos, relatórios anuais, informações de marketing e produtos, conteúdos institucionais divulgados ao público.
Objetivo da Classificação:
A classificação adequada das informações tem como objetivo garantir que dados sensíveis ou críticos tenham os controles de segurança necessários, enquanto informações públicas possam ser acessadas livremente, sem comprometer a segurança ou reputação da empresa. Além disso, ajuda a otimizar a gestão de riscos e assegurar a conformidade com normas e regulamentos aplicáveis, como a LGPD ou o GDPR.
USO DE E-MAIL E USO DE APLICATIVOS DE MENSAGENS INSTANTÂNEAS
Uso Exclusivo para Atividades Profissionais:
O e-mail fornecido pela NEMU deve ser utilizado exclusivamente para fins profissionais. É proibido utilizá-lo para atividades pessoais, seja no horário de trabalho ou fora dele.
Acesso e Senha:
O colaborador deve criar uma senha pessoal e intransferível para acessar o e-mail. A senha é de responsabilidade do colaborador, e sua segurança deve ser mantida.
Envio de Documentos Confidenciais:
Não é permitido o envio de documentos classificados como confidenciais sem a autorização expressa do gestor da área. O envio desses documentos deve ser cuidadosamente controlado.
Proibição de Conteúdo Inadequado:
É proibido o envio de mensagens que contenham qualquer tipo de conteúdo calunioso, difamatório, discriminatório, pornográfico ou que possa prejudicar, direta ou indiretamente, a empresa, seja financeiramente ou na sua imagem e reputação.
Verificação de E-mails:
Todo e-mail recebido deve ser cuidadosamente verificado quanto à sua origem e confiabilidade. Caso haja qualquer dúvida sobre a veracidade ou segurança de um e-mail, o colaborador deve encaminhá-lo à área de TI para análise antes de abrir ou responder.
Armazenamento de Anexos Importantes:
Anexos importantes devem ser salvos exclusivamente na rede ou na nuvem da empresa, em pastas segregadas e com acesso restrito ao usuário ou ao seu departamento. Nunca devem ser armazenados de forma local em dispositivos pessoais ou em locais não autorizados.
Uso de Comunicadores Instantâneos:
O uso de comunicadores instantâneos é permitido apenas para a realização de tarefas profissionais e deve ser feito através de aplicativos autorizados ou fornecidos pela NEMU. A comunicação através de outros aplicativos pessoais ou não autorizados é proibida no ambiente de trabalho.
USO DA INTERNET
Uso Exclusivo para Atividades Profissionais:
O acesso à internet fornecido pela NEMU é destinado exclusivamente para a execução das atividades profissionais dos colaboradores. O uso pessoal da internet é restrito e deve ser limitado para não interferir nas atividades de trabalho.
Rede Segregada para Dispositivos Pessoais:
A empresa pode disponibilizar uma rede segregada para o acesso à internet em dispositivos pessoais dos colaboradores. No entanto, o uso dessa rede não deve comprometer o desempenho das funções laborais e deve ser supervisionado de forma a não impactar a produtividade.
Monitoramento de Acesso à Internet:
A NEMU realizará o monitoramento do acesso à internet, mantendo logs de conexão, incluindo os IPs dos dispositivos de origem e outros dados que possibilitem identificar os equipamentos utilizados. O monitoramento é essencial para garantir a segurança da rede e assegurar a conformidade com a política de uso.
Bloqueio de Sites Ilegais ou Inadequados:
O acesso a sites com conteúdo ilegal, pornográfico, discriminatório ou qualquer outro tipo de conteúdo que infrinja a lei será bloqueado por meio de Proxy. A NEMU proíbe o acesso a qualquer site que não esteja de acordo com as normas estabelecidas.
Proibição de Atividades Ilegais e Prejudiciais:
Durante o uso da internet, é estritamente proibido:
Realizar downloads ou uploads de conteúdo relacionado à prática de crimes, contravenções penais ou qualquer atividade ilegal.
Incluir, disponibilizar, visualizar, editar, instalar, armazenar ou copiar qualquer conteúdo que incite ou envolva propaganda política, práticas comerciais desleais, violação da imagem ou direitos de propriedade intelectual, disseminação de malware, ou a utilização de sites que tentem burlar os controles de acesso estabelecidos.
Acesso a Sites Inseguros:
O acesso a sites classificados como “inseguros” pelos navegadores (aqueles sem SSL) é proibido, exceto para fins profissionais e mediante autorização prévia do gestor da área e do departamento de TI. O acesso a esses sites deve ser cuidadosamente monitorado e justificado.
Essas diretrizes têm como objetivo garantir que o uso da internet no ambiente corporativo seja seguro, eficiente e em conformidade com as melhores práticas de segurança e compliance, protegendo os ativos da empresa e os dados sensíveis contra riscos cibernéticos.
COMPORTAMENTO CORPORATIVO EM MÍDIAS E REDES SOCIAIS
Publicação de Conteúdo Oficial:
A publicação de qualquer conteúdo relacionado à NEMU nas mídias e redes sociais é exclusiva para setores ou usuários designados com essa responsabilidade. Os demais colaboradores estão proibidos de publicar informações em nome da empresa, seja em redes sociais ou em outros meios.
Uso de Mídias e Redes Sociais Pessoais: Colaboradores, prestadores de serviço e terceiros contratados devem seguir as seguintes restrições quanto ao uso de mídias e redes sociais pessoais:
Criação de Perfis e Participação em Comunidades:
É proibida a criação, participação ou interação em perfis, comunidades, grupos, tópicos de discussão ou qualquer outro canal que utilize o nome, marca ou sinais distintivos da NEMU, exceto nos canais oficiais da empresa.
Publicação de Conteúdo Relacionado à Empresa:
É proibido publicar conteúdo em nome da NEMU ou sobre assuntos internos, restritos ou confidenciais em qualquer mídia social ou aplicativo de mensagens instantâneas, a menos que haja autorização expressa da Direção da empresa. Essa restrição não se aplica a informações que já foram divulgadas publicamente pela NEMU ou por seus clientes.
Imagens, Fotos, Vídeos e Áudios:
É proibido publicar qualquer imagem, foto, vídeo ou áudio relacionado ao ambiente corporativo da NEMU sem autorização prévia da empresa, exceto para conteúdo que já tenha sido publicado oficialmente nos canais da empresa.
Conteúdo Inadequado:
É proibida a criação, participação ou interação em perfis, comunidades, grupos ou tópicos de discussão que promovam conteúdo calunioso, difamatório, discriminatório, pornográfico ou qualquer outro tipo de conteúdo que possa prejudicar a NEMU financeiramente ou em termos de sua imagem e reputação.
Essas regras visam proteger a imagem da empresa e assegurar que as informações divulgadas nas redes sociais e em outras plataformas digitais sejam feitas de maneira controlada e responsável, sempre preservando os interesses corporativos e a segurança das informações sensíveis.
INTELIGÊNCIA ARTIFICIAL (IA)
Esta política estabelece as diretrizes para o uso responsável e ético da Inteligência Artificial (IA) dentro da NEMU. O objetivo é assegurar que as tecnologias de IA sejam utilizadas de forma a gerar benefícios para a organização, proteger os direitos individuais e garantir a conformidade com as normas e regulamentos aplicáveis.
Diretrizes Gerais
Aprovação pela Alta Administração:
O uso de softwares que envolvem IA deve ser previamente aprovado pela alta administração da NEMU para garantir que estejam alinhados com os objetivos e valores da empresa.
Transparência e Documentação:
Deve ser garantida a transparência no uso de algoritmos de IA. Toda a documentação sobre a implementação, uso e dados compartilhados deve ser registrada,zassegurando clareza quanto ao funcionamento dos sistemas de IA.
Rastreabilidade e Registros:
É essencial manter registros e garantir a rastreabilidade das informações pessoais coletadas pelas ferramentas de IA, bem como das decisões tomadas pelos algoritmos, especialmente quando essas decisões envolvem dados pessoais.
Uso Exclusivo de IA para Fins Permitidos:
Os colaboradores devem utilizar a IA exclusivamente conforme as diretrizes desta política, garantindo que seu uso esteja alinhado com os objetivos da organização e com as melhores práticas éticas.
Treinamento e Conscientização:
Todos os colaboradores devem receber treinamentos e/ou materiais explicativos sobre os princípios éticos e práticos da IA, compreendendo suas implicações e limitações no contexto da NEMU.
Proteção de Privacidade e Direitos dos Indivíduos:
Ao utilizar IA, os colaboradores devem priorizar a proteção da privacidade e dos direitos dos indivíduos, evitando fornecer dados pessoais à ferramenta sempre que possível.
Avaliação do Encarregado de Dados:
Quando a ferramenta de IA tiver acesso a dados pessoais, o encarregado de dados deve ser informado antecipadamente para avaliar quais salvaguardas podem ser adotadas para garantir a conformidade com a legislação de proteção de dados.
Controle do Modo de Aprendizado:
Sempre que disponível, o modo de aprendizado da IA deve ser desabilitado, sendo reabilitado apenas com autorização da alta direção, para evitar o uso não monitorado ou não autorizado de dados.
Proibição de Uso Indevido:
A IA não deve ser utilizada para violar direitos humanos, como a privacidade, liberdade de expressão ou dignidade humana, nem para disseminar conteúdo malicioso ou se envolver em atividades ilegais ou antiéticas, como assédio ou discriminação.
Cumprimento das Leis e Normas Éticas:
Os colaboradores devem cumprir todas as leis, regulamentos e normas éticas relacionadas ao uso da IA, evitando práticas ilegais ou antiéticas, como violação de direitos autorais, uso indevido de dados e comportamentos anticompetitivos.
Validação e Correções:
Os colaboradores devem validar a veracidade das informações fornecidas pela IA e tomar as ações necessárias para corrigir qualquer erro ou desvio identificado, promovendo o uso adequado da tecnologia.
Objetivo Principal:
Garantir que as tecnologias de IA sejam utilizadas de maneira ética, responsável e transparente, respeitando a privacidade, os direitos individuais e as normativas legais, enquanto promovem benefícios para a organização e seus stakeholders.
Essas diretrizes visam garantir que a NEMU adote uma abordagem consciente e legalmente compatível no uso da IA, alinhando suas operações com as melhores práticas do setor e com a legislação vigente.
SENHAS E UTILIZAÇÃO
A segurança das senhas de autenticação é crucial para garantir a proteção dos sistemas de dados, e-mail, internet e outros recursos da NEMU. Para garantir a conformidade com as melhores práticas de segurança, todos os colaboradores devem seguir as seguintes diretrizes ao criar e gerenciar suas senhas.
Requisitos para Criação de Senhas
Comprimento Mínimo:
As senhas devem ter, no mínimo, 8 caracteres.
Composição da Senha:
As senhas devem conter:
Letras maiúsculas e minúsculas;
Números;
Caracteres especiais (como @, #, $, etc.).
Pessoais e Intransferíveis:
As senhas são pessoais e não devem ser compartilhadas com terceiros sob nenhuma circunstância.
Senhas Específicas:
Cada sistema ou ferramenta deve ter uma senha única. Não se deve usar a mesma senha para múltiplos acessos.
Proibição de Anotar Senhas:
Senhas não devem ser anotadas em papéis, dispositivos não seguros ou qualquer outro meio de armazenamento vulnerável.
Troca Periódica de Senhas:
As senhas deverão ser trocadas automaticamente a cada XX meses. Não será permitida a reutilização das últimas 3 senhas.
O usuário também poderá trocar sua senha a qualquer momento, caso julgue necessário.
Bloqueio Após Tentativas Incorretas:
As contas serão automaticamente bloqueadas após 3 tentativas de login incorretas.
Quando isso ocorrer, o superior do colaborador deverá enviar um e-mail solicitando o desbloqueio da conta.
Inatividade:
Contas que ficarem inativas por mais de 90 dias serão automaticamente bloqueadas.
Procedimento de Reinicialização de Senhas
Solicitação Formal:
As contas só poderão ser reinicializadas mediante solicitação formal do proprietário da conta à área responsável pela administração das contas (Suporte Técnico).
Reinicialização em Sistemas Críticos:
A reinicialização de senhas em sistemas críticos só ocorrerá em casos de extrema necessidade, após a confirmação de informações de caráter pessoal do usuário.
O atendente ou técnico deverá retornar a ligação para confirmar esses dados antes de proceder.
Para casos críticos, a solicitação de reinicialização da conta deve ser feita através do Coordenador de Auditoria ou Chefe do Setor.
Suspeita de Comprometimento:
Se o usuário suspeitar que sua senha foi comprometida, ela deverá ser alterada imediatamente.
O departamento de TI deverá ser prontamente notificado para investigar possíveis acessos indevidos e compromissos de informações.
Objetivo
Essas diretrizes visam garantir a proteção e a segurança dos sistemas e dados da NEMU, prevenindo o acesso não autorizado e mantendo a confidencialidade, integridade e disponibilidade das informações da empresa e dos colaboradores.
As regras de segurança relacionadas ao uso de senhas devem ser rigorosamente seguidas, sendo responsabilidade de todos os colaboradores da NEMU manter suas senhas protegidas e adotar comportamentos adequados de segurança.
USO DE ATIVOS DE INFORMAÇÃO
A NEMU estabelece regras rigorosas para o uso dos ativos de informação, com o objetivo de garantir a segurança e integridade dos dados e equipamentos da empresa. Os colaboradores devem seguir as normas abaixo para assegurar a proteção dos recursos tecnológicos e informações sensíveis da organização.
Uso Adequado de Equipamentos
Equipamentos da Empresa: Todos os dispositivos fornecidos pela empresa, como computadores, notebooks, smartphones, devem ser utilizados exclusivamente para atividades profissionais.
Instalação de Softwares e Hardwares
Instalações: Apenas o departamento de TI está autorizado a realizar instalações de softwares ou hardwares nos dispositivos da empresa. Em casos excepcionais, o colaborador poderá ser autorizado a instalar com a permissão do gestor e do departamento de TI.
Alterações nas Configurações
Configurações dos Equipamentos: Não são permitidas alterações nas configurações dos dispositivos sem a autorização do departamento de TI. Qualquer modificação deve ser aprovada e supervisionada pela área responsável.
Acesso Único por Login e Senha
Segurança de Acesso: Todos os equipamentos devem ter acesso protegido por login e senha. Essas credenciais devem ser pessoais e intransferíveis, garantindo a segurança dos dispositivos e informações.
Armazenamento de Documentos
Armazenamento Adequado: Apenas arquivos temporários devem ser salvos localmente nos dispositivos. Documentos permanentes ou importantes devem ser armazenados exclusivamente na rede ou na cloud da empresa.
Informações Pessoais: Não é permitido armazenar informações pessoais nos servidores ou na cloud da empresa. O armazenamento de dados pessoais deve ser feito de acordo com a legislação de proteção de dados aplicável.
Uso de Dispositivos Externos
Dispositivos USB: O uso de pen drives ou outros dispositivos USB não autorizados é estritamente proibido. A empresa pode monitorar e bloquear o acesso a essas portas ou qualquer outro tipo de conexão externa não aprovada.
Uso de Aplicativos e Redes Externas
Aplicativos Não Homologados: Colaboradores não devem instalar aplicativos que não foram previamente homologados pela empresa.
Conexões a Redes Externas: O uso de redes externas deve ser evitado sempre que possível. Quando necessário, deve-se configurar a rede como pública e limitar o tempo de conexão.
Roubo ou Furto de Dispositivos
Notificação de Incidentes: Em caso de roubo ou furto de dispositivos da empresa, o colaborador deve notificar imediatamente o departamento de TI para que sejam tomadas as medidas de segurança necessárias, como o bloqueio dos acessos.
Registro de Incidente: O colaborador também deverá registrar o incidente no Boletim de Ocorrência (BO) e encaminhá-lo à área de TI.
Atividades Ilícitas e Pirataria
Software Pirata: É expressamente proibido o download de softwares piratas ou a instalação de aplicativos não autorizados pela empresa.
Atividades Ilegais: Não é permitido o uso dos dispositivos da empresa para realizar atividades ilícitas, antiéticas ou imorais, conforme as normas internas e legislações vigentes.
Objetivo
Essas diretrizes têm como principal objetivo proteger os ativos da empresa, garantir a segurança das informações sensíveis e prevenir o uso indevido dos dispositivos e redes corporativas. Elas visam assegurar a conformidade com as políticas internas e externas de segurança da informação, promovendo um ambiente corporativo protegido e eficiente.
Todos os colaboradores devem cumprir essas normas de forma rigorosa, contribuindo para a manutenção da integridade e segurança dos sistemas e dados da NEMU.
GESTÃO DE RISCO
A equipe de segurança da NEMU deve adotar uma metodologia formal e estruturada para avaliação de riscos, garantindo que controles apropriados sejam implementados e que os riscos sejam mitigados até um nível aceitável. Essas avaliações são fundamentais para a manutenção da segurança da informação e para o sucesso das operações empresariais, assegurando que todos os potenciais riscos sejam identificados e gerenciados proativamente.
Situações para Realização das Avaliações de Risco
As avaliações de risco devem ser conduzidas nas seguintes circunstâncias:
Novos Negócios, Projetos, Produtos, Estratégias ou Serviços:
Quando houver lançamento de novos negócios, novos projetos, novos produtos ou serviços, ou quando forem introduzidas novas estratégias na organização. Isso assegura que todos os aspectos de segurança sejam considerados desde a concepção dessas novas iniciativas.
Alterações Significativas em Infraestrutura, Aplicações, Tecnologia ou Procedimentos:
Sempre que houver mudanças substanciais na infraestrutura de TI, nas aplicações utilizadas, na tecnologia implantada ou em procedimentos operacionais. Tais alterações podem introduzir novas vulnerabilidades que precisam ser identificadas e mitigadas.
Mudanças na Legislação, Normas ou Regulamentos:
Caso ocorram modificações nas leis, normas ou regulamentos que impactem a organização. Essas mudanças podem exigir ajustes nas políticas de segurança para garantir conformidade contínua.
Identificação de Novas Ameaças ou Vulnerabilidades:
Sempre que surgirem novas ameaças ou vulnerabilidades no ambiente corporativo, seja devido a avanços tecnológicos, novas descobertas ou tendências no cenário global de segurança.
Resultados de Não Conformidade, Auditorias, Fusões ou Aquisições:
Quando forem identificados resultados de não conformidade durante auditorias internas ou externas, ou quando ocorrerem fusões ou aquisições que impactem os processos ou sistemas existentes. A avaliação de risco nestes cenários é crucial para garantir que não haja novos riscos associados às mudanças.
Novos Provedores de Serviços:
A inclusão de novos provedores de serviços ou fornecedores deve ser considerada em uma avaliação de risco, uma vez que eles podem introduzir riscos adicionais relacionados ao manuseio de dados sensíveis ou à segurança dos sistemas de TI.
Objetivo das Avaliações de Risco
As avaliações de risco têm como principal objetivo:
Garantir a segurança dos ativos da empresa: Identificar e priorizar riscos que possam afetar a segurança da informação, sistemas e infraestrutura da NEMU.
Implementação de controles adequados: Propor e implementar controles de segurança que mitiguem os riscos identificados a níveis aceitáveis para a organização.
Conformidade com regulamentações: Assegurar que a empresa esteja em conformidade com as leis e regulamentos relevantes, minimizando os riscos de penalidades e danos à reputação.
Gerenciamento proativo de riscos: Antecipar novos riscos e ameaças, proporcionando uma abordagem de segurança mais robusta e resiliente.
Essas avaliações devem ser realizadas de forma contínua e sistemática, sendo revisadas periodicamente e ajustadas conforme necessário para responder a novos desafios e mudanças no cenário de risco.
CONFORMIDADE REGULATÓRIA
Diretrizes de Governança, Risco e Conformidade na NEMU
Cumprimento de Leis, Normas e Regulamentos:
A NEMU e seus fornecedores devem garantir o cumprimento de todas as leis, normas, políticas e regulamentos relevantes que se aplicam ao seu setor e operações. Isso inclui, mas não se limita a, regulamentações de segurança da informação, proteção de dados pessoais, e normas específicas do mercado.
Responsabilidade pelo Cumprimento:
O responsável pela área de Segurança da Informação deve acompanhar e monitorar de perto os esforços de Governança, Risco e Conformidade (GRC), garantindo que todas as medidas necessárias sejam implementadas para assegurar a conformidade com as políticas internas e requisitos legais externos.
Colaboração com Fornecedores:
A conformidade deve ser assegurada não apenas dentro da organização, mas também com os fornecedores da NEMU. A empresa deve garantir que seus fornecedores estejam alinhados com as mesmas práticas de governança e conformidade, realizando auditorias e avaliações periódicas quando necessário.
Monitoramento Contínuo:
A área de Segurança da Informação deve conduzir monitoramento contínuo para identificar e mitigar qualquer risco de não conformidade, adotando ações corretivas de forma proativa.
AVALIAÇÕES/AUDITORIAS DE SEGURANÇA
Diretrizes para Revisão e Auditoria de Segurança na NEMU
Frequência da Revisão/Auditoria:
Anualmente: A equipe de segurança deve realizar uma revisão/auditoria de segurança, no mínimo uma vez por ano civil, para avaliar o estado geral da segurança e identificar vulnerabilidades ou riscos.
Em caso de falhas ou vulnerabilidades: Se houver suspeitas de falha, vulnerabilidade ou qualquer evento que possa representar risco significativo para a NEMU, uma auditoria deve ser realizada.
Após falhas comprovadas: Se uma falha de segurança for comprovada, deve-se realizar uma auditoria imediatamente para entender a causa e impacto da falha.
Responsabilidades da Equipe de Segurança:
Cronograma de Auditoria: A equipe de segurança deve fornecer à alta gestão o cronograma planejado de revisão/auditoria de segurança no início de cada ano civil, assegurando que as auditorias sejam programadas com antecedência.
Análise e Avaliação: Após a auditoria, a equipe deve analisar o relatório resultante, avaliando os pontos de melhoria, os riscos envolvidos e preparando sugestões para mitigação de eventuais lacunas (GAPs) encontradas.
Apresentação à Alta Gestão: A equipe de segurança deve apresentar à alta gestão os relatórios de auditoria, juntamente com as sugestões para mitigar os riscos identificados e corrigir as falhas encontradas.
Essas medidas garantem a melhoria contínua da segurança, a conformidade com as políticas internas e a proteção dos ativos da NEMU contra riscos emergentes.
PLANO DE CONTINUIDADE DE NEGÓCIOS
A NEMU reconhece a importância crítica da continuidade operacional para proteger seus ativos e garantir a operação ininterrupta de seus negócios, mesmo diante de eventos adversos. Para isso, é estabelecido um Plano de Continuidade de Negócios (PCN), que segue as normas e boas práticas do mercado e está alinhado com as diretrizes da Política de Segurança da Informação.
Objetivos do Plano de Continuidade de Negócios (PCN)
Garantir a Recuperação de Sistemas Críticos: O PCN tem como principal objetivo assegurar que os sistemas críticos para o negócio da NEMU sejam recuperados e retornem à sua condição operacional normal em um prazo aceitável, no caso de um incidente de segurança.
Identificação de Processos e Impactos: O plano sinaliza os processos críticos da organização, identificando os impactos potenciais que um evento adverso pode causar à operação.
Estratégias de Continuidade:
Monitoramento de Recursos Críticos: Deve-se monitorar os recursos essenciais para o funcionamento da organização.
Estratégias de Recuperação: Estabelecer as estratégias necessárias para a recuperação de sistemas e dados críticos.
Comunicação em Caso de Incidente ou Desastre: Definir como a comunicação será feita em caso de incidente, incluindo informações sobre os responsáveis e os meios de comunicação.
Procedimentos de Testes e Simulações: O plano deve incluir procedimentos de simulação e testes regulares para garantir sua eficácia e identificar possíveis falhas ou melhorias.
Revisão e Atualização do PCN
Revisão Anual: O Plano de Continuidade de Negócios deve ser revisado anualmente, para garantir que esteja sempre atualizado com as melhores práticas e com os novos riscos e necessidades da organização.
Mudanças Significativas: O plano também deve ser revisado sempre que houver alterações significativas nos processos ou recursos críticos da organização, assegurando que o plano esteja alinhado com a realidade operacional da NEMU.
Este plano tem como propósito garantir que, em qualquer cenário de crise, a NEMU consiga retomar rapidamente suas operações e minimizar os impactos de qualquer incidente adverso. A implementação efetiva do PCN assegura a resiliência organizacional e a proteção dos ativos essenciais para a continuidade dos negócios.
CONFORMIDADE E CONSEQUÊNCIAS DE VIOLAÇÕES DESTA POLÍTICA
A responsabilidade pela garantia do cumprimento desta Política de Segurança da Informação recai sobre a Área de Tecnologia da Informação (TI), a qual deve assegurar que todas as áreas e departamentos da organização sigam as diretrizes estabelecidas.
Violação da Política
Reportando Violações: Qualquer violação ou suspeita de violação desta Política deve ser reportada imediatamente ao responsável pela investigação de violações, por meio de um canal de comunicação específico, que será definido pela organização (exemplo: e-mail ou sistema interno).
Investigação de Violações: Todos os casos de suspeita de violação devem ser investigados de forma diligente e confidencial, com total respeito à privacidade dos envolvidos. Caso a violação seja confirmada, a organização deverá adotar as medidas corretivas adequadas.
Ações em Caso de Inconformidade ou Violação
Tratamento de Inconformidades: Toda inconformidade ou violação será tratada de acordo com as diretrizes e normas disciplinares estabelecidas pela NEMU, observando também as disposições legais e contratuais pertinentes, conforme o caso.
Consequências para os Infratores: O não cumprimento desta Política por colaboradores, contratados, consultores ou prestadores de serviços da NEMU pode resultar em ações disciplinares, que podem incluir desde advertências até o término do contrato ou processos judiciais, dependendo da gravidade da violação.
Responsabilidade
Responsável pela Investigação: A NEMU deverá definir claramente o responsável por investigar as violações das políticas de segurança, garantindo a transparência e a conformidade dos processos.
Forma de Contato: O meio para reportar as violações deve ser claramente definido e comunicado a todos os colaboradores, garantindo que qualquer incidente possa ser prontamente abordado.
Essa abordagem visa assegurar que todas as violações das políticas de segurança sejam tratadas com seriedade, garantindo a proteção das informações e a integridade das operações da NEMU.
Na Nemu Tecnologia LTDA, entendemos o quanto é essencial que você tenha clareza e segurança sobre como lidamos com os seus dados pessoais. Por isso, elaboramos este Aviso de Privacidade de forma transparente e acessível.
Nós comprometemos a proteger e gerenciar com responsabilidade todas as informações pessoais que coletamos em nossa plataforma, além daquelas que nos são confiadas por nossos clientes. Este documento foi criado para ajudar você a entender quais dados podemos coletar, como eles são usados, com quem podem ser compartilhados e quais são os seus direitos em relação à proteção dessas informações.
1. Coleta de Informações Pessoais
Na plataforma da Nemu, coletamos informações pessoais quando você interage conosco, como ao preencher formulários de contato. Também podemos exibir depoimentos e nomes de usuários que utilizam nossos serviços, com a devida autorização. Os dados coletados geralmente incluem nome, e-mail e telefone, e pedimos apenas as informações essenciais para responder às suas solicitações.
Todas as informações são obtidas de forma transparente.
Elas são acessadas apenas por pessoas que precisam utilizá-las para realizar atividades relacionadas aos serviços oferecidos, sempre respeitando a finalidade para a qual foram fornecidas.
Cookies: Podemos coletar dados pessoais automaticamente por meio de cookies, pequenos arquivos de texto armazenados em seu dispositivo ao acessar nosso site. Esses cookies ajudam a melhorar sua experiência de navegação, personalizar conteúdo e entender como você interage com nossas páginas.
2. Finalidades e Bases Legais
Abaixo estão as finalidades para as quais tratamos os dados pessoais e as respectivas bases legais:
Atendimento ao Cliente: Utilizamos seus dados fornecidos nos formulários de contato para responder a dúvidas, solicitações ou oferecer suporte. Base legal: execução de contrato ou procedimentos preliminares a pedido do titular.
Marketing e Comunicação: Enviamos informações sobre nossos produtos e serviços, promoções ou novidades, caso você tenha manifestado interesse ou consentimento. Base legal: consentimento ou legítimo interesse, quando aplicável.
Aprimoramento da Experiência do Usuário: Analisamos dados coletados por meio de cookies para personalizar sua experiência no site e melhorar nossos serviços. Base legal: consentimento (para cookies não essenciais).
Depoimentos e Casos de Sucesso: Exibimos seu nome e depoimento no site para promover nossos serviços, sempre com sua autorização prévia. Base legal: consentimento.
Cumprimento de Obrigações Legais: Tratamos dados para cumprir exigências legais ou regulatórias aplicáveis. Base legal: cumprimento de obrigação legal.
Segurança e Prevenção de Fraudes: Coletamos dados para proteger a integridade do site, evitar acessos indevidos ou atividades mal-intencionadas. Base legal: legítimo interesse.
3. Sobre o Compartilhamento de Informações
A Nemu tem o compromisso de proteger os dados pessoais que coleta e utiliza. Como regra, não compartilhamos informações que possam identificar diretamente os titulares, exceto para atender às finalidades mencionadas anteriormente ou em situações específicas descritas abaixo. O uso dessas informações é restrito ao que é necessário para o cumprimento de nossas atividades e obrigações.
Os dados pessoais podem ser compartilhados com terceiros nas seguintes situações:
Cumprimento de determinações legais ou regulatórias: Quando exigido por decisão judicial ou por solicitações de órgãos reguladores ou governamentais.
Atendimento a obrigações legais e fiscais: Compartilhamos dados com órgãos públicos, como para emissão de notas fiscais.
Prestadores de serviços especializados: Transferimos informações para contabilidade, recursos humanos, instituições financeiras e parceiros que auxiliam no cumprimento de obrigações fiscais, trabalhistas e financeiras, como processamento de pagamentos e folha de pagamento.
Execução de contratos e proteção de interesses: Dados podem ser transferidos para viabilizar contratos ou proteger os interesses da Nemu em eventuais litígios, incluindo ações judiciais.
Transferências internacionais: Alguns parceiros ou fornecedores podem estar localizados fora do Brasil. Nesse caso, adotamos medidas adicionais para assegurar que seus dados sejam protegidos conforme os requisitos da legislação brasileira.
Nos casos de compartilhamento com operadores, exigimos que o tratamento dos dados seja realizado conforme nossas instruções, garantindo proteção e conformidade ao longo de toda a cadeia de tratamento, inclusive com eventuais suboperadores.
4. Direitos dos Titulares
Os titulares de dados pessoais possuem direitos importantes sobre suas informações e podem exercê-los de forma simples entrando em contato pelo e-mail: privacidade@nemu.com.br.
Os principais direitos dos titulares incluem:
Confirmação da existência de tratamento de dados pessoais;
Acesso aos dados pessoais, conforme as disposições legais aplicáveis;
Correção de dados pessoais que sejam incompletos, incorretos ou desatualizados;
Portabilidade dos dados pessoais;
Exclusão dos dados pessoais, quando forem tratados com base no consentimento do titular ou quando os dados forem desnecessários, excessivos ou tratados em desacordo com a legislação vigente;
Informações sobre o compartilhamento de dados pessoais;
Revogação do consentimento, quando for o caso.
A Nemu sempre buscará atender da melhor maneira possível às solicitações dos titulares. No entanto, em algumas situações específicas previstas pela legislação, podemos deixar de atender integralmente à solicitação, como quando houver a necessidade de cumprir uma obrigação legal ou contratual.
Reforçamos a importância de manter seus dados pessoais atualizados e precisos. Caso haja qualquer alteração nos seus dados, pedimos que nos informe imediatamente para garantir a continuidade da precisão e segurança das informações.
Algumas requisições podem ser feitas diretamente na plataforma da Nemu, utilizando o seu login e senha. É fundamental que você tenha uma senha forte e a mantenha em segurança, não compartilhando-a com terceiros. Você será o único responsável pelo uso não autorizado de sua conta caso sua senha seja compartilhada.
Por questões de segurança, quando as requisições forem feitas via e-mail para o endereço privacidade@nemu.com.br, adotaremos medidas para verificar a identidade do solicitante. Isso pode envolver a solicitação de informações adicionais para confirmar sua identidade e a autenticidade da solicitação. Esses dados serão tratados com segurança durante o processo e excluídos após o cumprimento das obrigações legais pertinentes.
Quando a Nemu atuar como Operadora de dados pessoais, as requisições serão encaminhadas ao Controlador para que ele avalie e tome as medidas necessárias.
5. Segurança da Informação
Na Nemu, levamos a sério a proteção de suas informações pessoais. Comunicamos nossas diretrizes de privacidade e segurança a todos os colaboradores e parceiros comerciais, reforçando a importância do cumprimento rigoroso das práticas de proteção de dados em todas as nossas operações.
Adotamos um conjunto de medidas físicas, técnicas e organizacionais para proteger os dados que nos são confiados, reduzindo os riscos de perda, uso indevido, acessos não autorizados, divulgações indevidas ou alterações impróprias. Nosso compromisso é garantir que suas informações estejam seguras em todas as etapas do tratamento.
6. Término de Tratamento
Este Aviso de Privacidade se aplica durante todo o período em que a Nemu armazenar e tratar seus dados pessoais. As informações serão mantidas de acordo com as seguintes condições: (a) pelo período exigido por lei; (b) até que o tratamento dos dados pessoais seja concluído, conforme descrito abaixo; ou (c) pelo tempo necessário para garantir os direitos da Nemu. O tratamento pode ocorrer, por exemplo, durante os prazos de prescrição aplicáveis ou enquanto for necessário para o cumprimento de obrigações legais ou regulatórias.
O tratamento de dados pessoais será encerrado nas seguintes situações:
(a) quando a finalidade para a qual os dados foram coletados for cumprida, ou quando os dados deixarem de ser necessários ou relevantes para essa finalidade;
(b) quando o titular solicitar a exclusão de seus dados;
(c) quando houver uma determinação legal que exija o término do tratamento;
(d) quando o controlador determinar o encerramento do tratamento.
Nos casos de término do tratamento de dados pessoais, e salvo nas hipóteses previstas pela legislação ou por este Aviso de Privacidade, os dados pessoais serão excluídos de forma segura.
7. Encarregado de Dados Pessoais
A Nemu disponibiliza abaixo os dados de contato do Encarregado de Dados Pessoais, que é a pessoa responsável por receber e tratar qualquer solicitação relacionada aos dados pessoais, tanto de titulares quanto da Autoridade Nacional de Proteção de Dados.
Se você tiver dúvidas, solicitações ou reclamações sobre o tratamento de seus dados pessoais, entre em contato com nosso Encarregado de Dados Pessoais:
Responsável: Leonardo Lins de Souza Paulino
E-mail: privacidade@nemu.com.br
Apesar de nosso empenho em garantir a proteção de seus dados, caso você considere que seus direitos em relação à proteção de dados não foram atendidos, solicitamos que entre em contato diretamente com nosso encarregado.