contato@ideamaker.com.br

  Segunda a Sexta das 09h às 18h

Logo da Idea Maker
Logo da Idea Maker

PSI

SGI

Política de Privacidade

Política de estorno

Termos de Uso

Política de Segurança e Privacidade da Informação

1 - OBJETIVO

Através de ações claras, simples e eficazes, o objetivo da Política de Segurança da Informação (PSI) é garantir a segurança de dados empresariais, baseando-se nos princípios da confidencialidade, integridade e disponibilidade, a fim de impedir que pessoas não desejadas ou não autorizadas tenham acesso às informações.

2 - ABRANGÊNCIA

Para a uniformidade da informação, a Política de Segurança e Privacidade da Informação (PSI) deverá ser comunicada a todos os colaboradores do GRUPO IDEA a fim de que a política seja cumprida dentro e fora da empresa. Todas as informações produzidas ou recebidas pelos colaboradores como resultado da atividade profissional contratada pelo GRUPO IDEA pertencem à referida instituição. Respectivos colaboradores bem como empresas prestadoras de serviços e terceiros, mediante comunicação clara, detalhada e acessível, são compatíveis com as funções desempenhadas e com a sensibilidade das informações. De acordo com a nossa política de hardening, existe um controle interno que garante a exclusão ou renomeação das contas que estiverem inativas ou inutilizadas.

3 - DOCUMENTOS COMPLEMENTARES

  • ISO 27001;
  • ISO 27701;
  • PCI DSS;
  • Política de Hardening;
  • Procedimento para classificação da informação;
  • Procedimento de informação documentada.

4 - DEFINIÇÕES

  • Ativo: Qualquer coisa que tenha valor para o GRUPO IDEA.
  • Dispositivos móveis: notebooks, laptops, celulares, smartphones, tablets, entre outros.
  • Incidente de segurança da informação: Um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações de negócios e ameaçar a segurança da informação.
  • Incidente de segurança de dados pessoais: tipo específico de incidente de segurança da informação com potencial de expor dados pessoais a acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado. Por exemplo: vazamento de dados pessoais ou perda do acesso a base de dados de clientes.
  • PCI DSS: do inglês “Payment Card Industry Data Security Standard”, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão.
  • SI: Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação.
  • PSI: Política de Segurança da Informação.
  • Phishing: (pronunciado: fishing) é um ataque que tenta roubar seu dinheiro ou a sua identidade fazendo com que você revele informações pessoais, tais como números de cartão de crédito, informações bancárias ou senhas através de sites que fingem ser legítimos.

5 - RESPONSABILIDADES

  • DPO:

o    Atuar no processo de gestão de tratamento e resposta a incidentes de segurança dos dados pessoais.

Funcionários e colaboradores:

o    Preservar a confidencialidade, integridade e disponibilidade das informações do GRUPO IDEA, de seus clientes, fornecedores, titulares de dados pessoais e quaisquer outras partes interessadas relevantes para a Empresa;

o    Zelar pelas credenciais de acessos lógico, pois essas informações são pessoais, intransferíveis e confidenciais;

o    Conhecer e cumprir as normas, políticas, diretrizes e procedimentos de segurança da informação do GRUPO IDEA;

o    Identificar e relatar incidentes e fraquezas de segurança da informação e privacidade de dados, para o seu gestor direto e para a área de SI.

Time de Segurança da Informação:

o    Gerenciar o ciclo de vida desta política;

o    Definir o conteúdo e aplicar os treinamentos em Segurança e Privacidade da Informação.

o    Fiscalizar o cumprimento das políticas, diretrizes e procedimentos de segurança da informação do GRUPO IDEA;

o    Analisar infrações detectadas ou reportadas de segurança da informação e decidir sobre aplicação das medidas disciplinares cabíveis;

o    Comunicar internamente, no âmbito de atuação de cada membro, as políticas, diretrizes e procedimentos e a importância de se cumprir com as regras de SI estabelecidas;

o    Analisar os pedidos de exceção do cumprimento das regras de segurança da informação.

Time de TI - Operações:

o    Monitoramento da infraestrutura, tais como e-mail, rede, servidores, API’s;

o    Atuar quando da identificação ou suspeita de um incidente de segurança da informação;

o    Atuar na proteção dos ativos e das informações, em especial, mas não se limitando, de processamento de dados de cartões, banco de dados, servidores, APIs;

o    Criar, administrar, monitorar e manter os bancos de dados.

6 - DESCRIÇÃO

As propriedades da segurança da informação são definidas como mandatórias para o Sistema de Gestão da Segurança da Informação e Privacidade, sendo: 

Confidencialidade (manter o sigilo necessário);

O GRUPO IDEA garante o acesso exclusivo apenas àqueles que são encarregados por tal responsabilidade. Uma vez que houver promoção de cargo e/ou promoção de responsabilidade interna, o acesso será fornecido.

Integridade (estar correta e íntegra);

Todos os usuários serão instruídos referente a suas responsabilidades, receberão toda instrução necessária em relação a seus acessos para que realizem suas atividades diárias.

Disponibilidade (estar disponível para quem pode ter acesso a informação).

A disponibilidade das informações, programas e servidores de uso do GRUPO IDEA estará ao alcance daqueles que necessitarem o acesso independente de horário, data ou local.

6.1 - Uso de Dispositivos Móveis 6.1.1 - Uso dos Computadores

Cada computador possui uma identificação ligada ao usuário que permite que ele seja identificado na rede. Sendo assim, tudo que for executado, será de responsabilidade do usuário. Por isso, sempre que sair da frente do computador, tenha certeza de que ele está bloqueado para acessos (control + command + Q).

O GRUPO IDEA poderá, a qualquer momento, realizar auditoria nos computadores.

Não utilize nenhum tipo de software sem autorização e homologação da área de suporte de TI.

Não é permitido salvar nos computadores da empresa MP3, filmes, fotos e softwares com direitos autorais ou qualquer outro tipo que possa ser considerado pirataria ou não homologado pela empresa.

Todos os dados relativos ao GRUPO IDEA devem ser mantidos no servidor, onde existe sistema de backup diário.

O GRUPO IDEA deve assegurar que o uso do notebook não conduza a um comprometimento de dados pessoais, conforme determinado na Política de Privacidade (LGPD)Política de Privacidade (LGPD).

Não é permitido o uso de equipamento pessoal para o exercício de suas funções para o GRUPO IDEA, tampouco a utilização do equipamento do GRUPO IDEA para fins particulares.

6.1.2 - Custódia dos computadores

O GRUPO IDEA irá fornecer aos seus colaboradores o equipamento adequado para o exercício de suas funções. 

Em contrapartida, é de responsabilidade do colaborador a custódia adequada do equipamento. A seguir, elencamos algumas boas práticas para a melhor segurança do equipamento durante o transporte:

  • Quando transportar o computador de carro, nunca faça com o mesmo sobre o banco, possibilitando que um infrator visualize e roube pela janela do carro. Prefira levá-lo no porta-malas do carro, dentro da mochila fornecida pelo GRUPO IDEA, para que o mesmo fique escondido e não sofra impactos durante o trajeto.
  • Quando transportar o computador em transporte coletivo, sempre faça com o equipamento dentro da mochila fornecida pelo GRUPO IDEA e em momento algum deixe fora de sua visão ou fora do seu alcance. Tenha sempre a mochila em mãos, evitando o furto da mochila ou do equipamento de dentro da mochila.

6.1.3 - Uso de celular 

O GRUPO IDEA disponibiliza aparelho e linha celular para algumas funções que tangem o bom relacionamento com usuários de seus produtos, para os demais entende-se que não há necessidade para a execução das atividades profissionais.

Ainda assim, como boas práticas, recomendamos que seus colaboradores façam uso de senha ou biometria para o desbloqueio do aparelho e instale um software antivírus. Recomendamos, também, que sempre façam uso de duplo fator de autenticação nos apps e redes sociais.

6.2. - Uso de Internet

A Internet é uma ferramenta de trabalho e deve ser usada para este fim pelos colaboradores do GRUPO IDEA. Não é permitido o seu uso para fins recreativos durante o horário de trabalho. Estes acessos poderão ser efetuados durante o horário de almoço, ou fora do expediente, desde que dentro das regras de uso definidas nas nossas políticas.

Colaboradores com acesso à Internet não poderão efetuar upload / download de qualquer software licenciado para o GRUPO IDEA ou de dados de propriedade da empresa ou de seus clientes, sem expressa autorização do responsável pelo software ou pelos dados.

Haverá geração de relatórios dos sites acessados pelos usuários para auditoria e compliance.

Somente navegação de sites é permitida. Casos específicos que exijam outros tipos de serviços, como download de arquivos, deverão ser solicitados diretamente à equipe de suporte com autorização do gestor responsável pela área.

É proibida a divulgação de informações confidenciais do GRUPO IDEA em redes sociais, grupos de discussão, listas, chats, bate-papo e afins, não importando se a divulgação foi deliberada ou inadvertida, sendo passível de penalidades previstas nas políticas e procedimentos internos e/ou previstos em lei.

É expressamente proibido o uso de software de comunicação instantânea, não homologado/ autorizado pela Segurança da Informação.

Não será permitida a utilização de softwares de peer-to-peer (P2P), ou seja, uma rede de computadores descentralizada em que cada um dos participantes funciona também como servidor, e não apenas como cliente. Não há apenas um único servidor central. 

O acesso a sites com conteúdo pornográfico, jogos, bate-papo, apostas, com conteúdo racista são bloqueados e as tentativas de acesso serão monitoradas.

6.3. - Uso de Impressoras

Sempre utilize a impressão protegida por senha, PIN, NFC ou similar. Ao mandar imprimir, verifique na impressora se o que foi solicitado já está impresso. Evite deixar impressões com dados sensíveis na impressora ou mesa de impressão para garantia da segurança da informação.

Imprimir somente o que for pertinente ao seu trabalho evitando assuntos pessoais.

Se ocorrer erro na impressão e não houver a possibilidade de reaproveitamento do papel este deverá ser descartado (através do uso da fragmentadora ou rasgando em diversos pedaços, de forma que as informações ali contidas não possam ser vazadas).

Se a impressora emitir alguma folha em branco, recoloque-a na bandeja.

Se você notar que o papel da impressora está no final, faça a gentileza de reabastecê-la. Isso evita que você e outras pessoas tenham seus pedidos de impressão realizados posteriormente e que a impressão fique acumulada na impressora.

Dê a preferência de efetuar as impressões no modo econômico e só imprimir se realmente for necessário.

6.4. - Uso do E-mail

Todo colaborador poderá ter um e-mail @ideamaker.

Por se tratar de um recurso da empresa, não deve haver expectativa de privacidade nas mensagens enviadas e recebidas por e-mail. A empresa poderá realizar auditoria e monitoramento caso haja alguma suspeita de fraude ou mal uso do e-mail

Nossos servidores de e-mail encontram-se protegidos contra vírus e códigos maliciosos, mas algumas atitudes do usuário final são importantes. Para isto algumas regras devem ser obedecidas:

Evitem arquivos anexos muito grandes, maiores que 30MB. Inclui-se qualquer tipo de mala direta ou e-mail em lote, como por exemplo, publicidade, comercial ou não, anúncios e informativos ou propaganda política.

Jamais execute ou abra arquivos anexados enviados por emitentes desconhecidos ou suspeitos. Jamais clique em links suspeitos, pois pode tratar se de phishing. 

Desconfie de qualquer e-mail com assuntos estranhos ou desconhecidos e de instituições bancárias ou órgãos públicos que solicitem atualização cadastral ou troca de senha. No caso de recebimento, consulte a área de Segurança da Informação ou delete o e-mail imediatamente, sem abri-lo.

Não abra arquivos anexados com as extensões .bat, .exe, .src, .lnk e .com se não tiver certeza de que solicitou este tipo de e-mail.

É obrigatória a utilização de assinatura nos e-mails, seguindo padrão estabelecido pelo GRUPO IDEA.

É proibido o envio de materiais de natureza pornográfica, racista ou preconceituosa por meio de e-mail da empresa;

É proibido forjar qualquer informação do cabeçalho do remetente.

6.5. - Informações Corporativas

Todo funcionário/ terceiro autorizado que cria, processa, armazena, tem acesso, compartilha ou elimina informações corporativas deve seguir as diretrizes a seguir:

  • As informações devem ser mantidas dentro do ambiente de trabalho ou ambiente tecnológico do GRUPO IDEA. Não é recomendado o armazenamento de informações em dispositivos ou locais de armazenamento pessoal. O GRUPO IDEA disponibiliza tanto ambiente físico corporativo como ambiente tecnológico apropriado para o armazenamento de informações (físicos: armários chaveados, salas com acesso restrito etc.; tecnológico: redes segmentadas, pastas de rede com acesso restrito, ambiente de trabalho em cloud, etc.)
  • Toda informação disponibilizada pelo GRUPO IDEA deve ser usada apenas para fins profissionais e com respeito ao nível de classificação de cada informação (pública, interna ou confidencial)
  • As informações são disponibilizadas pelo GRUPO IDEA respeitando-se o princípio do mínimo privilégio (need to know), ou seja, cada funcionário ou terceiro autorizado recebe apenas as informações necessárias para que realizem o seu trabalho.
  • Informações devem ser compartilhadas apenas com pessoas ou entidades que tenham autorização para recebê-las. Os meios de compartilhamento devem ser aqueles oficialmente disponibilizados pelo GRUPO IDEA, tais como: e-mail corporativo, SFTP, aplicativos de mensagens autorizados. É proibido o compartilhamento de informações através de canais não autorizados (aplicativos não autorizados pelo GRUPO IDEA; e-mail pessoal; etc).
  • O GRUPO IDEA adota medidas de controle administrativo e tecnológico para assegurar a proteção das informações corporativas, tais como: uso de controles criptográficos, software anti-malware, treinamento e educação em segurança da informação para sua força de trabalho, monitoramento do uso da rede e recursos computacionais, políticas de backup, política de controle de acessos físicos e lógicos, entre outras.
  • Informações de trabalho corporativas podem ser eliminadas (deletadas ou apagadas) dos dispositivos que utilizam, estando cientes de que registros (logs) destas atividades são mantidos pelo GRUPO IDEA. Isto inclui informações contidas, porém não limitadas, a: e-mail; pastas de trabalho; arquivos em locais de armazenamento compartilhado; repositórios de código; entre outros. Informações corporativas ainda necessárias para a execução de atividades profissionais ou que possam servir de evidência NÃO DEVEM ser eliminadas.
  • Os recursos disponibilizados pelo GRUPO IDEA para armazenamento de informações, como unidades de rede e locais de armazenamento compartilhados, devem ser utilizados para fins profissionais. Pode ser admitido o armazenamento eventual de arquivos pessoais, usando sempre o princípio do bom senso. Deve-se evitar o armazenamento de arquivos de vídeo, fotos e arquivos de música. O GRUPO IDEA não se responsabiliza por arquivos pessoais em locais de armazenamento compartilhado da Empresa.

6.6. - Instalação de Softwares

Instalar ou usar software pirata é crime, sujeitando o infrator à pena de detenção além de multa.

Sendo assim, fica proibida a instalação ou remoção de softwares que não forem devidamente acompanhados pelo departamento técnico através de abertura de chamado. Caso haja a necessidade de instalação ou desinstalação de qualquer tipo de programa, este deverá ser solicitado à equipe de Suporte e deverá estar devidamente autorizado pelo Gestor responsável da área.

O atendimento dos pedidos de instalação de Software dependerá da disponibilidade imediata de uma licença ou do tempo necessário para sua aquisição.

A instalação de software de propriedade de terceiros (prestadores de serviços ou colaboradores) em equipamentos de propriedade do GRUPO IDEA, quando permitido pelo fabricante do software, deverá ser acompanhada pela área de Suporte através de abertura de chamado, que manterá os discos de instalação do software e a licença de uso em seu poder, até a desinstalação dele dos equipamentos do GRUPO IDEA. 

É expressamente proibido baixar e/ou instalar qualquer tipo de programa não homologado e aprovado pela Segurança da Informação. 

É proibido o armazenamento e/ou instalação de jogos na estação de trabalho do GRUPO IDEA.

Lembre-se de sempre manter em seus equipamentos a versão mais atualizada dos softwares e sistemas, com o objetivo de eliminar vulnerabilidades corrigidas pelo fabricante. 

6.7. - Acesso Físico às Áreas

Colaborador: Apenas pessoas autorizadas podem acessar as instalações do GRUPO IDEA. Para novos colaboradores, o acesso é liberado através do cadastramento da biometria ou senha de acesso. 

Visitantes: Somente terão acesso à recepção, banheiros e às salas de reuniões. Nas dependências internas da empresa, somente será permitida a entrada de fornecedores e clientes devidamente identificados, autorizados e acompanhados por um colaborador. Os visitantes não devem circular nas dependências da empresa sem o acompanhamento de um colaborador.

Para áreas consideradas sensíveis ou confidenciais, como o Financeiro, Sala de Telecomunicações (TR) e Departamento Pessoal, o controle de acesso é feito através de biometria, senha ou chave, cujo acesso só é permitido para pessoas autorizadas e/ou acompanhadas por uma pessoa autorizada.

Existe um monitoramento através de câmeras de segurança nas áreas do GRUPO IDEA com gravação 24 horas por dia e 7 dias por semana.

As imagens devem ser armazenadas por, pelo menos, 20 dias.

6.8 - Uso das Salas de Reunião

Para utilização das salas de reunião, alguns critérios devem ser seguidos.

  • Solicitar o agendamento da sala de reuniões para @administrativo:
  • Quando entrar na sala de reunião, verificar se está tudo em perfeito estado. Qualquer problema, avisar o @administrativo.
  • Fazer o uso correto das instalações, evitando qualquer tipo de dano a equipamentos que possam prejudicar a utilização deles. Em caso de necessidade de manutenção, o @administrativo deve ser informado.
  • Nenhum equipamento pode ser conectado aos sistemas ou rede sem aprovação prévia e, se necessário, sob supervisão do Suporte.
  • Assim que terminar de usar a sala de reunião deixar tudo em ordem (cadeiras organizadas, mesa limpa, quadro apagado e TV desligada). 
  • Jamais deixe informações anotadas nos quadros ou em papéis sobre a mesa.

O não cumprimento desta política poderá levar a medidas apropriadas para preservar a segurança e a harmonia do ambiente de trabalho.

7 - ANEXOS

  N/A.

Última revisão realizada em 15/03/2024