1.PRÓLOGO

Este documento é uma declaração formal da empresa sobre seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores, estagiários e bolsistas.

Seu objetivo é estabelecer as diretrizes a serem seguidas no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação.

Seguem abaixo como serão apresentadas as diretrizes da PSI - Política da Segurança da Informação da 4Mooney.

INFORMAÇÕES GERAIS
Todos os sistemas e ambientes de tecnologia, bem como documentos físicos utilizados pelos usuários são de propriedade exclusiva da 4Mooney não devendo ser interpretado como de uso pessoal.
Todos os colaboradores, estagiários, bolsistas e demais parceiros da 4Mooney devem ter ciência que o uso das informações da 4Mooney e de clientes e parceiros devem ser mantidos sob total sigilo e apenas utilizados no dever de seu exercício profissional na 4Mooney.

A informação está presente no trabalho de todos, independente de qual maneira, meio ou forma. Sendo assim, se faz fundamental a proteção e segurança destas informações através de comportamento seguro e consistente com o objetivo de proteção das informações. Em decorrência da necessidade diária de acesso aos dispositivos móveis e a computadores e da consequente exposição aos diversos tipos de fragilidades e vulnerabilidades existentes no mundo virtual, investimentos na disseminação da CULTURA DE SEGURANÇA DA INFORMAÇÃO que diminua os riscos aos quais os(as) usuários(as) são expostos.

Assim, a POLÍTICA DA SEGURANÇA DA INFORMAÇÃO permanece como uma COMPORTAMENTO que permeia todas as demais atividades da 4Mooney, contribuindo para a continuidade das ações necessárias para a execução das tarefas.

Nesse escopo, A POLÍTICA DA SEGURANÇA DA INFORMAÇÃO visa elevar o nível de conscientização do(a) usuário(a) no que tange ao modo de utilização dos diversos recursos virtuais, bem como estabelecer diretrizes que permitam aos colaboradores, parceiros, clientes e prestadores de serviços da 4Mooney seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

CONCEITO FUNDAMENTAL
Nortear a definição de normas e procedimentos específicos da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, bem como a implementação de controles e processos para seu atendimento.

2. CONCEITUAÇÃO FUNCIONAL
SEGURANÇA DA INFORMAÇÃO

2.1. DEFINIÇÃO
De acordo com a ISO/IEC 27000:2018, a SEGURANÇA DA INFORMAÇÃO garante a confidencialidade, disponibilidade e integridade das informações, com a aplicação de controles apropriados cujo objetivo é garantir o sucesso e a continuidade do negócio, minimizando as consequências de incidentes de segurança da informação.

A SEGURANÇA DA INFORMAÇÃO, para garantir a tríade dos atributos acima mencionados, deve ser capaz de aplicar controles para mitigar as vulnerabilidades que eventualmente possam ser exploradas por ameaças que se concretizam em ataques, resultando em riscos com impactos relevantes.

Ademais, os sistemas de Tecnologia da Informação (TI) devem se alinhar ao preconizado na POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, que foca na gestão da privacidade da informação. Técnicas de segurança.

Estrutura da Privacidade e Integridade são parâmetros básicos que definem as características fundamentais da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO em sistemas de TI.

Dessa forma, a segurança da informação é um dos 11 princípios de privacidade enunciados pela ABNT NBR ISO/IEC 29100. O conceito “princípios de privacidade” refere‑se ao conjunto de valores compartilhados que governam a proteção de privacidade de dados pessoais (DPs), quando tratados em sistemas de tecnologia da informação e comunicação.

Assim, o aumento da conscientização em segurança da informação, objetivo desta POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, Que é um eficiente controle para a mitigação das vulnerabilidades existentes nos sistemas informatizados.
 

3. ABRANGÊNCIA DA
POLÍTICA DA SEGURANÇA DA INFORMAÇÃO

A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO é o conjunto operacional prático da proteção de informações importantes contra acesso não autorizado, divulgação, uso, alteração ou interrupção.

Ajuda a garantir que os NOSSOS DADOS organizacionais confidenciais estejam disponíveis para usuários autorizados, permaneçam confidenciais e mantenham sua integridade.

Precisamos proteger os ativos de informações, que podem incluir dados financeiros, confidenciais, pessoais ou sensíveis. Esses ativos podem assumir a forma de arquivos e dados digitais, documentos em papel, mídia física e até mesmo fala humana. Durante todo o ciclo de vida dos dados, a POLÍTICA DE SEGURANÇA DA INFORMAÇÃO determina como supervisionar funções como infraestrutura, software, testes, auditoria e arquivamento.

Baseada em princípios estabelecidos há décadas, a segurança da informação evolui constantemente para proteger ambientes cada vez mais híbridos e MULTI LOCALIZACIONAIS em um cenário de ameaças em constante mudança. Dada a natureza evolutiva dessas ameaças, todos precisam trabalhar juntos para atualizar a tecnologia e os processos usados nessa defesa.

A divulgação desta política deve ser para todos os colaboradores, estagiários, bolsistas e demais parceiros da 4Mooney e de maneira que seu conteúdo possa ser acessado a qualquer momento.

3.1. PAPÉIS E RESPONSABILIDADES
Cabe a todos colaboradores, estagiários, bolsistas e demais parceiros da 4Mooney:

a) Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da 4Mooney;
b) Manter completo sigilo sobre as informações da 4Mooney que tomar conhecimento, que acessar e aquelas geradas em razão da atividade profissional, sendo vedada:

i. Sua divulgação não autorizada para terceiros, independente se no ambiente físico ou eletrônico, inclusive na Internet e nas Mídias Sociais;
ii. A realização de cópias ou alterações não autorizadas, em decorrência direta ou indireta da execução das atividades.

c) BUSCAR ORIENTAÇÃO em caso de dúvidas relacionadas à POLÍTICA DE SEGURANÇA DA INFORMAÇÃO da informação;
d) CUMPRIR AS LEIS e as normas que regulamentam os aspectos de PROPRIEDADE INTELECTUAL;
e) COMUNICAR IMEDIATAMENTE qualquer descumprimento ou violação desta POLÍTICA DE SEGURANÇA DA INFORMAÇÃO e/ou de suas Normas e Procedimentos.

4. ABRANGÊNCIA DAS
REGRAS BÁSICAS DE BOAS PRÁTICAS E CONDUTA

Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da 4Mooney, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privados da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

IMPORTANTE OBSERVAR:
A 4Mooney, ao monitorar a rede interna, garante a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo responsável da sua área. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.

a) A internet disponibilizada aos colaboradores, independentemente de sua relação contratual, não pode ser utilizada para fins pessoais.

b) Somente os colaboradores que estão devidamente autorizados a falar em nome da 4Mooney para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros.

c) Apenas os colaboradores autorizados poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

d) É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.

e) Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de programas ligados diretamente às suas atividades na 4Mooney e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela Area da Tecnologia da Informação.

f) O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela Area da Tecnologia da Informação.

 

Os colaboradores não poderão em hipótese alguma utilizar os recursos da 4Mooney para Atividades contrárias a POLÍTICA DE SEGURANÇA DA INFORMAÇÃO:

a) Fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.

b) Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.

c) Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software licenciado a 4Mooney ou de dados de sua propriedade aos seus parceiros, sem expressa autorização do responsável pelo software ou pelos dados.

d) Os colaboradores não poderão utilizar os recursos da 4Mooney para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

e) O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos.

f) Os serviços de streaming (rádios on-line, canais de broadcast e afins) não serão permitidos.

g) Os serviços de comunicação instantânea serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso o responsável entenda que seja necessário por estar causando impacto negativo ao andamento das atividades do departamento, troca de mensagens de assédio, perturbação, ofensivas e outras, e que requisite formalmente à Area da Tecnologia da Informação.

h) Não é permitido acesso a sites de proxy anônimos.

4.1. ACESSO AOS SISTEMAS INFORMATIZADOS
Este tópico visa definir as conceitos e REGRAS BÁSICAS DA BOA PRATICAS E CONDUTA de utilização dos sistemas informatizados que abrangem seu acesso e uso.

Os sistemas informatizados são acessados somente por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações em estrita observância aos procedimentos, às normas e disposições contidas na legislação;

a) As senhas de acesso aos sistemas informatizados deverão ser mantidas em caráter confidencial e intransferível;

b) Não é permitido o acesso aos sistemas com fins escusos ou imotivados.

c) Os usuários serão responsáveis pelos acessos realizados com o login que lhes forem atribuídos.

d) No caso de empresas terceiras, essa responsabilidade será do responsável contratante, isto é, que utiliza os serviços contratados. É de responsabilidade do usuário cuidar da integridade, confidencialidade e disponibilidade dos dados, informações e sistemas aos quais tem acesso.

5. TIPOS DE SEGURANÇA

5.1. TERMOS DA INFORMAÇÃO
SEGURANÇA DE TI, CIBERSEGURANÇA E SEGURANÇA DE DADOS são frequentemente utilizadas de forma intercambiável. Embora esses campos se sobreponham e se informem mutuamente, diferem principalmente no escopo.

a) SEGURANÇA DA INFORMAÇÃO é um termo abrangente que envolve os esforços de uma organização para proteger as informações. Inclui segurança física de ativos de TI, segurança de endpoints, criptografia de dados, segurança de rede e outras.

b) SEGURANÇA DE TI também se preocupa com a proteção de ativos físicos e digitais de TI e data centers, mas não abrange proteção para armazenamento de arquivos em papel e outras mídias. Concentra-se nos ativos TECNOLÓGICOS DIGITAIS e não nas informações em si.

c) SEGURANÇA CIBERNÉTICA concentra-se na proteção dos sistemas de informações digitais. O objetivo é ajudar a proteger os dados e ativos digitais contra ameaças cibernéticas. Embora seja um empreendimento enorme, a segurança cibernética tem escopo restrito, pois não se preocupa em proteger dados analógicos ou em papel.

d) SEGURANÇA DE DADOS é a prática de proteger informações digitais contra acesso não autorizado, corrompimento ou roubo durante todo o ciclo de vida. Inclui a segurança física de dispositivos de hardware e armazenamento, além de controles administrativos e de acesso. Também abrange a segurança lógica de aplicativos de software e políticas e procedimentos organizacionais.

6. CLASSIFICAÇÃO DA INFORMAÇÃO
Para assegurar a proteção adequada às informações, são definidos métodos de classificação da informação de acordo com o grau de confidencialidade e criticidade para o negócio da
4Mooney;

As informações devem ser classificadas em um dos seguintes níveis:

• CONFIDENCIAL;
• USO INTERNO;
• PÚBLICA.

As informações são de propriedade da 4Mooney, independentemente do formato em que se encontrem: escritas em papel, impressas, armazenadas eletronicamente nos computadores e dispositivos tecnológicos, pertencentes a 4Mooney, expostas em conversas, extraídas de sistemas diversos e devem ser protegidas por todos os colaboradores, bolsistas, estagiários e terceiros de modo proporcional à sua criticidade, conforme determinado pela classificação realizada.

7. TERMOS ASSOCIADOS E SUAS IMPLICAÇÕES
Confidencialidade
Refere‑se à propriedade de um sistema de não permitir que as informações sejam disponibilizadas ou divulgadas a indivíduos, entidades ou processos não autorizados (ISO 27.000, 2018). Assim, a confidencialidade visa preservar o acesso do conteúdo aos(às) usuários(as) explicitamente definidos(as).

Disponibilidade
Característica de um sistema que possibilita o acesso à informação sempre que o(a) usuário(a) necessitar (ISO 27.000, 2018). Sob esse enfoque, a disponibilidade visa manter as informações sempre acessíveis, por intermédio das aplicações e sistemas operacionais.

Integridade
Essa particularidade do sistema confere precisão e completude à informação, evitando que conteúdo informacional seja alterado ou corrompido. O backup e os métodos criptográficos contribuem para a manutenção da integridade das informações, evitando sua destruição e alteração, respectivamente (ISO 27.000, 2018).

Privacidade
A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD), identificada como Lei n. 13.709/2018, aborda o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica, de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais (GOVERNO FEDERAL DO BRASIL, 2018).
Conforme a ABNT NBR ISO/IEC 29100:2020, a privacidade dos DPs deve ser garantida em sistemas informatizados, com ênfase nos dados pessoais sensíveis cuja natureza se relaciona à esfera mais íntima do titular dos DPs ou que podem ter um impacto significativo sobre ele.
Por isso, os sistemas informatizados devem implementar soluções técnicas que garantam a privacidade dos DPs existentes em suas bases de dados.

Controles
Os controles são ações realizadas para a mitigação dos riscos. Cada atividade desempenhada pela organização tem um risco associado, denominado risco inerente, que após a aplicação de controles poderá ter a probabilidade e/ou o impacto diminuídos, sendo denominado, então, risco residual (ABNT NBR ISO/IEC 27005, 2019).

Ameaças
Uma ameaça tem o potencial de comprometer ativos, tais como: informações, processos e sistemas e, por isso, também as organizações. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convém que tanto as fontes das ameaças acidentais quanto das intencionais sejam identificadas. Uma ameaça pode surgir de dentro ou de fora da organização e pode se concretizar em um ataque.

Vulnerabilidades
Segundo a ISO/IEC 27000:2018, vulnerabilidade é a fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças. Sendo assim, as vulnerabilidades devem ser mapeadas e mitigadas para manter as aplicações e os sistemas seguros.

Risco
Risco é o efeito da incerteza no alcance dos objetivos. Um efeito é um desvio em relação ao esperado, podendo ser positivo e/ou negativo. O risco em segurança da informação é muitas vezes expresso em termos de uma combinação de consequências de um evento e a probabilidade de ocorrência.
O risco de segurança da informação está associado ao potencial de que as ameaças possam explorar as vulnerabilidades de um ativo de informação ou grupo de ativos de informação e, consequentemente, causar dano a uma organização ou sistema.

Irretratabilidade
A irretratabilidade (ou “não repúdio”) determina que um profissional ou instituição não possa contestar a autoria do arquivo fornecido, como no caso da utilização de certificados virtuais para pagamentos online e assinatura eletrônica de documentos.
No controle da segurança da informação, isso corresponde à comprovação do que foi feito, quem fez e o que fez uma plataforma ou sistema, impedindo que as partes envolvidas rejeitem acordos e transações.

Autenticidade
Por fim, desde simples documentações até otimizações em softwares, a autenticidade prevê que toda informação organizacional existente tenha registrada a autoria de origem e as últimas alterações, caso tenham sido realizadas.
É nessa hora que entram os mecanismos de verificação, como senhas, códigos PIN, reconhecimento facial, leitura digital etc. Se tiver algum tipo de deficiência nos acessos, ocorreu uma falha de autenticidade de segurança.

Ativos de Informação
Conjunto de informações, armazenado de modo que possa ser identificado, inventariado e
reconhecido como valioso para a empresa.

Ativos Lógicos de Informação
Bases de dados, arquivos, documentação de sistemas, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, aplicativos, sistemas de informação.

Ativos Fixos
Equipamentos computacionais, equipamentos de comunicação, mídias de armazenamento ópticos e magnéticos.

Colaboradores
Colaboradores da 4Mooney, bem como qualquer prestador de serviço, estagiário ou terceiro que trabalham e/ou prestam serviços alocados dentro de qualquer localidade da empresa.

Informação Confidencial
Significará toda informação revelada relacionada a tecnologia acima descrita, através da execução do projeto, a respeito de, ou, associada com a Avaliação, sob a forma escrita, verbal ou por quaisquer outros meios.
Informação Confidencial mas não se limita, à informação relativa às operações, processos, planos ou intenções, informações sobre produção, instalações, equipamentos, segredos de negócio, segredos de fábrica, dados, habilidades especializadas, projetos, métodos e metodologia, fluxogramas, especificações, componentes, fórmulas, produtos, amostras, diagramas, desenhos, desenhos de esquema industrial, patentes, oportunidades de mercado e questões relativas a negócios revelados durante a execução do projeto.

Avaliação
Significará todas e quaisquer discussões, conversações ou negociações entre, ou com as partes, de alguma forma relacionada ou associada com a apresentação da proposta de trabalho, consultoria e/ou encaminhamento de soluções tecnológicas acima mencionada.

 

8. QUAL É A RELAÇÃO ENTRE A PROPRIEDADE
INTELECTUAL E OS DADOS SIGILOSOS?

A PROPRIEDADE INTELECTUAL de uma empresa é o conjunto de conhecimentos, práticas, processos, técnicas, procedimentos, tecnologias e informações (entre outras coisas) que lhe conferem diferencial competitivo no mercado. Dessa forma, trata-se de dados que, de alguma forma, têm valor econômico por sua confidencialidade, o que leva à necessidade de proteção constante.

Não é difícil compreender a importância de atribuir proteção e sigilo aos dados de uma empresa. Porque é isso o que dá à empresa o seu diferencial de mercado, que gera receita.

PROPRIEDADE INTELECTUAL são um conjunto de itens que garantem maior competitividade a um negócio e mesmo a sua liderança em um determinado segmento mercadológico. Portanto, merecem toda atenção quando se trata de manter sigilo absoluto sobre as informações envolvidas. Caso dados como esses não sejam protegidos, uma empresa pode facilmente perder o seu diferencial no mercado e, consequentemente, deixar de faturar.

O objetivo de uma companhia — seja qual for a sua natureza comercial — é se manter cada vez mais competitiva, de modo a alcançar solidez em um ramo de negócio, ela deve investir em estratégias de segurança da informação.

 

9. UTILIZAÇÃO DE
RECURSOS COMPUTACIONAIS

9.1. ESTAÇÕES DE TRABALHO
Todos os computadores portáteis devem possuir:
– Software antivírus atualizado;
– Correções de segurança (hotfix, service pack) fornecidas pelo fabricante aplicadas.
– Criptografia de disco gerenciada pela infraestrutura de TI.

9.2. CONDIÇÕES PROIBITIVAS
9.2.1. Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos:
a) Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.
b) Burlar quaisquer sistemas de segurança.
c) Acessar informações confidenciais sem explícita autorização do proprietário. Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers).
d) Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
e) Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
f) Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.
g) Utilizar software pirata ou sem licença para uso em ambiente corporativo, atividade considerada delituosa de acordo com a legislação nacional.

9.2.2. Dispositivos não homologados só poderão ter acesso à rede de visitantes;
Deve ser observado o procedimento para concessão e controle de acesso a visitantes que, durante a permanência em instalações da 4Mooney, necessitem conectar seus dispositivos móveis à internet; A concessão de acesso à rede de visitantes deve estar associada à conscientização das regras internas de uso da rede.

9.2.3. Dispositivos de armazenamento externo
Entende-se por dispositivo externo de armazenamento todo dispositivo capaz de armazenar informações (dados) para posterior consulta ou uso. Um dispositivo de armazenamento pode guardar informação, processar informação ou ambos. (exemplo: HDexterno, pen-drives, celulares com função de disco usb, CDs, DVDs, HDs Virtuais, etc).

É EXTERMINANTE PROIBIDO a gravação de informações relacionadas às atividades da 4Mooney em dispositivos externos de armazenamento de dados. Pen-Drives e HD’s Externos, assim como gravação de CD’s são proibidos.

 

9.2.4. INSTALAÇÃO DE SOFTWARES
Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser solicitado via chamado à Infraestrutura TI, para que o mesmo possa ser homologado e só assim ser disponibilizado para a área requerente.

9.2.5. ACESSO À VPN (VIRTUAL PRIVATE NETWORK)
Todos os colaboradores (exceto bolsistas, terceiros ou estagiários), que necessitam acesso à rede 4Mooney para utilizar dados confidenciais ou internos fora de um dos endereços da empresa devem fazê-lo utilizando uma conexão VPN (Virtual Private Network).
O acesso através de um túnel VPN faz com que seja fornecida uma conexão segura e
estabelece a proteção da comunicação através da Internet pública.

9.2.6. ACESSO À INTERNET
Todas as regras atuais da 4Mooney visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da INTERNET. Embora a conexão direta e permanente da rede corporativa com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.
Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a 4Mooney, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.

10. UTILIZAÇÃO DE DISPOSITIVOS MÓVEIS

10.1. CELULARES
Devido aos diversos sistemas acessíveis pelo aparelho celular, bem como às várias informações existentes nesses dispositivos móveis, em caso de roubo, furto ou extravio, deve‑se registrar um BO na DELEGACIA DE POLÍCIA de sua cidade ou via internet, caso o local possua essa alternativa, bem como entrar em contato com a prestadora do serviço de telefonia para solicitar o bloqueio da linha (simcard) e do aparelho celular.

10.2. UTILIZAÇÃO DE DISPOSITIVOS MÓVEIS
Para estabelecer as regras de dispositivos móveis, serão considerados quanto a seu proprietário:

10.2.1. CELULARES Pertencentes a usuários e visitantes
Os usuários e visitantes não poderão utilizar seus equipamentos portáteis nas Dependências para acessar qualquer serviço da 4Mooney, só poderá ser usado com as seguintes ressalvas:

* O equipamento poderá se conectar à rede WiFi (WiFi-4Mooney), exclusivamente para navegação da internet, onde serão considerados todos os itens de segurança e restrições de acesso à internet contidos neste documento;
* A conexão de equipamento particular do colaborador poderá se conectar à rede WiFi (WiFi-4Mooney), para conexão na rede coorporativa só será possível após análise e autorização da Area da Tecnologia da Informação, ressalvados todos os itens de segurança estabelecidos neste documento.

10.2.2. PERTENCENTES A 4Mooney
Será de responsabilidade da Area da Tecnologia da Informação a configuração desses equipamentos para que estejam aptos a interagir com os demais dispositivos fixos pertencentes à rede da 4Mooney. Deverão ser seguidos os mesmos critérios relativos à segurança da informação adotados para os equipamentos fixos (desktop);

10.3. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DISPOSITIVOS MÓVEIS
Cabe ao colaborador, usuário do dispositivo móvel, seguir os mesmos padrões de segurança adotados para os usuários de dispositivos fixos;

a) Além dos procedimentos de segurança usuais para todos os equipamentos, o usuário de equipamento móvel deverá utilizar todos os meios disponíveis no equipamento destinados à proteção dos dados nele contidos, como senhas de acesso, travamentos de hardware ou outros recursos;

b) No caso de conexão a uma rede externa por motivo de viagem, compete ao colaborador, além da manutenção da configuração original por meio de backup e/ou de ponto de restauração, o cuidado especial com as redes externas eventualmente utilizadas, de forma a não expor conteúdo corporativo que viole a confidencialidade;

c) A AREA DA TECNOLOGIA DA INFORMAÇÃO poderá realizar, a qualquer tempo, inspeção para verificar os aspectos relativos à configuração e à segurança dos equipamentos.

 

 

 

11. REALIZAÇÃO DE BACKUP

A 4Mooney realiza todos os modelos de BACKUPS DISPONÍVEIS, inclusive geração de fitas de alta densidade arquivadas em cofre a prova de incêndio na dependência interna da empresa no que se refere aos SISTEMAS INTERNOS.

No que se refere à sua estrutura de processamento, mapeamento funcional de sua rede de dados, todos os sistemas são replicados em sistema HEART BEAT dentro do ambiente HIPER SEGURO DA ORACLE, bem como, no que se refere aos aplicativos e processamento dentro das regras de backup do ambiente HIPER SEGURO DO GOOGLE.

A estrutura de backup é monitorada 24×7 pelas próprias ferramentas dos ambientes HIPER SEGUROS, ainda possuindo uma visão complementar do sistema por observação remota da GESTÃO DE OPERAÇÕES.

Sobre a ótica complementar de segurança a companhia possui um administrador arquiteto de rede de banco de dados remoto com acesso seguro e monitorado, pela própria infraestrutura do ambiente HIPER SEGURO DA ORACLE, para acompanhamento dos processos verificação complementar da estrutura de dados em BACKUP conferência da estrutura de compressão, bem como teste de desempacotamento dos arquivos comprimidos criptografados.

12. CORREIO ELETRÔNICO

O objetivo desta norma é informar aos colaboradores da 4Mooney quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.
O uso do correio eletrônico da 4Mooney é para fins corporativos e relacionados às atividades do colaborador usuário dentro da empresa. A utilização desse serviço para fins pessoais é permitida desde que realizada com bom senso, não prejudique a empresa e não cause impacto no tráfego da rede.
Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico para:
a) ENVIAR mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
b) ENVIAR mensagens por correio eletrônico usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
c) ENVIAR qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a 4Mooney vulneráveis a ações civis ou criminais;
d) DIVULGAR informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
e) FALSIFICAR informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
f) APAGAR mensagens pertinentes de correio eletrônico se a empresa estiver sujeita a algum tipo de investigação.
g) PRODUZIR, transmitir ou divulgar mensagem que:
i. CONTENHA qualquer ato ou forneça orientação que conflite ou contrarie os interesses da 4Mooney;
ii. CONTENHA ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
iii. CONTENHA arquivos com código executável que represente um risco à segurança;
iv. VISE obter acesso não autorizado a outro computador, servidor ou rede;

13.SENHAS

4Mooney durante a realização das tarefas cotidianas, TORNA OBRIGATÓRIO a utilização de senhas para o acesso QUALQUER SISTEMAS E AMBIENTES ÚTEIS, por isso é inaceitável o uso de senhas caracterizadas como senhas fracas.

Com o intuito de manter a confidencialidade, integridade e disponibilidade das informações acessíveis por intermédio de suas credenciais de acesso, pratique as seguintes boas práticas:

a) Usamos senhas longas e complexas, com os seguintes caracteres de complexidade: uso de letras maiúsculas e minúsculas, números e símbolos (por exemplo, !@#$%^&*()_+|~-=\’{} []:”;’<>?,./’espaço’), tamanho mínimo de oito posições para acessos com autenticação de dois fatores (2FA) e 14 caracteres para acessos sem 2FA (CIS 8, 2021). Isso evita que invasores usem técnicas para adivinhá‑las;

b) NENHUM DISPOSITIVO E/OU INSTRUMENTO OPERACIONAL é configurado com SENHA PADRÃO. Realize a troca imediatamente após o primeiro acesso;

c) NUNCA REUTILIZAMOS SUAS SENHAS EM CONTAS DIFERENTES. Além disso, verificamos constantemente toda a estrutura de senhas e sua codificação.

d) SENHAS são alteradas com frequência. O ideal é a cada três meses pelo menos;

NÃO É PERMITIDO ANOTAR, GUARDAR EM LOCAL DE FÁCIL ACESSO NEM COMPARTILHAR SUAS SENHAS COM OUTRAS PESSOAS, EVITANDO ASSIM O ACESSO NÃO AUTORIZADO;

13.1. PROCEDIMENTO PARA DEFINIÇÃO DE SENHA
Quando for necessário o fornecimento de senha para os colaboradores, recursos e/ou membro da equipe o procedimento será comparecer presencialmente na sede da empresa em ambiente seguro para:
a. Receber em mãos uma cópia impressa para a leitura e conhecimento da Política de Controle de Acesso e Política da Gestão de Identidade;

b. Assinar termo de Responsabilidade sobre a Política de Controle de Acesso e Política Gestão de Identidade e suas responsabilidades;

c. Receber em mãos sua senha provisória;

d. Receber instruções sobre composição de senha segura;

e. executar a troca da senha provisória pela senha segura;

f. Testar o acesso via senha segura;

g. Configurar e testar o acesso em DOIS ESTÁGIOS

14. SITES NÃO CONFIÁVEIS

Muitas páginas hospedadas na internet funcionam como armadilha para infectar sistemas operacionais em computadores pessoais. Assim, sites de conteúdos inapropriados (adulto, racista, intolerante, violento e relacionado a manifestações contrárias aos direitos humanos) e softwares sem licenças devem ser evitados, pois esses procedimentos são proibidos em políticas de segurança organizacionais. Havendo dúvidas quanto à reputação do site, há opções confiáveis para a verificação online (CISCO, 2023).

15. USO DE MÍDIAS REMOVÍVEIS

Caso necessite utilizar um pendrive para copiar arquivos, não deixe de imunizá‑los conforme demonstrado em TechT (2016). Tal procedimento torna‑se necessário, pois alguns vírus executam comandos inadvertidamente, comprometendo, via USB, o computador pessoal. Ao realizar os procedimentos demonstrados na referência citada, o pendrive fica protegido contra possíveis vírus existentes em computadores.

16. ANTIVÍRUS ATUALIZADO
A 4Mooney durante a realização das tarefas cotidianas e uso computacional torna obrigatório o uso de Antivírus, que é um programa projetado para detectar e remover vírus e outros tipos de softwares maliciosos de computadores ou laptops. Software malicioso, denominado malware, é um código que pode danificar computadores e notebooks, bem como os dados neles contidos.

Dessa forma, os dispositivos em uso nas instalações da 4Mooney durante a realização das tarefas cotidianas DIFICILMENTE podem ser infectados baixando inadvertidamente um malware em um anexo vinculado a um e‑mail duvidoso ou oculto, ou simplesmente visitando um site duvidoso.

Por isso, instalamos e mantemos um ANTIVÍRUS ATUALIZADO como uma prática básica, fundamentalmente importante no combate às infecções em computadores.

17. ASPECTOS LEGAIS

Todos os colaboradores, estagiários e bolsistas da 4Mooney devem assinar um termo de compromisso, no qual se comprometem a seguir as determinações da Política de Segurança da Informação da 4Mooney.

A alta direção da 4Mooney está comprometida com todos os requisitos e determinações legais de forma a garantir a segurança e privacidade de toda a empresa e dos seus dados.

18. DAS DISPOSIÇÕES FINAIS

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da 4Mooney, ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela empresa.

Atualizado em maio/25
 

REFERÊNCIAS

ABNT NBR ISO/IEC 27005.
Target Normas: ABNT NBR ISO/IEC 27005.

CISCO 8.
CIS Critical Security Controls Version 8.

TechT (2016).

CISCO.
Cisco Talos Intelligence Group ‑ Comprehensive Threat Intelligence.

CNJ.
Resolução n. 396, de 7 de junho de 2021.

GOVERNO FEDERAL DO BRASIL. L13709.
ISO 27.000. ABNT Catálogo.
ISO ABNT 29100:2020. ABNT Catálogo.

MITRE. CVE security vulnerability database.
Security vulnerabilities, exploits, references and more.

NCSC.
What is an antivirus product?
Do I need one? ‑ NCSC.GOV.UK.

NORDPASS.
Top 200 Most Common Password List 2022
NordPass.

SAFETYDETECTIVES.
7 melhores antivírus para Windows 2023.

SAFETYDETECTIVES.
Top 7 gerenciadores de senhas em 2023.

SASSE, M. A. e BROSTOFF, S. e WEIRICH,
D. Transforming the “weakest link” ‑ A human/computer interaction approach to usable and effective security. BT Technology Journal, v. 19, n. 3, p. 122–131, 2001.

TECHNOLOGY, CFE Media and. RSA Conference 2023:
The cybersecurity impact of AI tools like ChatGPT | Industrial Cybersecurity Pulse | Industrial Cybersecurity Pulse. Disponível em: <

TECHTUDO.
Sem vírus: veja como proteger o pendrive e impedir que seja infectado | Dicas e Tutoriais | TechTudo.

UC BERKELEY.
Fight the Phish | Information Security Office.

VAKHTER,
Vladimir e colab. Security for Emerging Miniaturized Wireless Biomedical Devices: Threat Modeling with Application to Case Studies. Research on Biomedical EngineeringGate, 2021. Disponível em:

WORLD ECONOMIC FORUM.