1. Objetivo
Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da PROSESMT, protegendo-as contra ameaças, sejam elas intencionais ou acidentais independentemente do meio e local em que ela esteja contida, com base na legislação vigente, órgãos reguladores, autorreguladores e nas boas práticas de segurança da informação.

2. Documentos de Referência
• NBR ISSO/IEC 17799:2005
• ABNT 21:204.01-010
• Lei 9.609/98 – Lei do Software
• Lei 13.709/2018 – LGPD

3. Abrangência
Todos os membros da PROSESMT, podendo ser funcionários, prestadores de serviços, estagiários ou de qualquer outro cargo.

4. Responsabilidade
Todo membro da PROSESMT, seja ele funcionário, prestador de serviço, estagiário ou qualquer outro cargo, deve seguir e garantir a efetivação das regras e princípios da segurança da informação. Eles devem sempre manter o compromisso com os padrões legais e éticos que a empresa estabelece.

É dever de cada usuário:

• Adotar as diretrizes, regras e procedimentos de Segurança da Informação, conforme determinado neste documento;

• Consultar a liderança em caso de incertezas relacionadas à Segurança da Informação;

• Assinar o Termo de Responsabilidade, reconhecendo a Política interna de segurança e as Normas de Segurança da Informação, comprometendo-se a cumprir estas diretrizes;

• Salvaguardar as informações, evitando acesso, alteração, compartilhamento ou destruição não autorizada pela PROSESMT;

• Utilizar os recursos tecnológicos exclusivamente para atividades profissionais alinhadas aos interesses da PROSESMT;

• Zelar pela integridade de informações sigilosas, abrangendo qualquer dado pessoal ao qual tenham acesso;

• Cumprir a Lei Geral de Proteção de Dados Pessoais, manejando dados conforme as orientações da PROSESMT;

• Informar à liderança sobre qualquer infração ou quebra na Política de Segurança da Informação ou em seus respectivos procedimentos.

5. Objetivo da política de segurança da informação
Proporcionar a PROSESMT um conjunto de diretrizes e normas que direcionem funcionários, prestadores de serviço e estagiários a manter padrões de comportamento alinhados com a legalidade e melhores práticas, minimizando riscos técnicos e legais.

Orientar a criação de procedimentos específicos em Segurança da Informação, incluindo a implementação de controles e processos que atendam a tais requisitos.

Salvaguardar a confidencialidade, integridade e disponibilidade das informações da PROSESMT e prevenir incidentes que possam levar à responsabilização legal da empresa ou de seus colaboradores.

Assegurar a continuidade das operações da PROSESMT, protegendo processos essenciais contra falhas graves ou desastres.

Atender todas as obrigações legais, regulamentações e compromissos contratuais pertinentes às atividades da PROSESMT.

Reduzir riscos associados a danos, perdas financeiras, reputação, confiança de stakeholders ou outros impactos negativos decorrentes de falhas de segurança.

Promover formação contínua sobre políticas e procedimentos de Segurança da Informação, sublinhando as responsabilidades individuais em relação à segurança.

Certificar-se de que todas as funções e responsabilidades vinculadas à Segurança da Informação sejam clara e devidamente definidas.

6. Diretrizes
Conforme definição da norma NBR ISO/IEC 17799: 2005, a informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. A Política de Segurança da Informação tem como meta resguardar as informações contra várias ameaças, assegurando a continuidade das atividades empresariais, reduzindo prejuízos e otimizando o retorno sobre investimentos e oportunidades comerciais.

a. Confiabilidade da Informação:

Autenticação e Controle de Acesso, apenas usuários devidamente autorizados terão acesso às informações. Métodos de autenticação robustos e sistemas de controle de acesso devem ser utilizados.

Registro de Auditoria, é mandatório manter registros detalhados de atividades que envolvem o acesso e modificação de dados, garantindo rastreabilidade.

Criptografia, todos os dados sensíveis devem ser criptografados durante a transmissão.

i. Classificação da informação

Pública

Informações que podem ser divulgadas ao público geral sem causar dano ou risco à PROSESMT. São dados que não necessitam de proteção especial e podem ser acessados por qualquer pessoa.

Interna

Informações destinadas ao uso dentro da PROSESMT e que não são consideradas públicas. Embora não sejam altamente sensíveis, a sua divulgação não autorizada pode ser indesejável.

Confidencial

Informações que, se divulgadas não autorizadamente, podem causar danos à PROSESMT, seus funcionários ou seus parceiros. Tais informações necessitam de controles de segurança mais rigorosos e só devem ser acessadas por indivíduos específicos.

Secreta

Informações de extrema sensibilidade cuja divulgação não autorizada pode causar danos significativos ou irreparáveis à PROSESMT. O acesso é altamente restrito e geralmente é reservado para um pequeno grupo de indivíduos.

b. Disponibilidade:

Redundância de Dados, a PROSESMT deve manter cópias dos dados em diferentes locais para garantir sua disponibilidade contínua.

Monitoramento Contínuo, sistemas de monitoramento devem ser empregados para supervisionar a saúde e performance da infraestrutura de TI.

Planos de Recuperação de Desastres, obrigatório o desenvolvimento e teste regular de planos para restauração de dados em caso de falhas.

c. Integridade

Backup Regular, Todos os dados críticos devem ter backups regulares, garantindo restauração em sua forma original.

Controle de Versões, sistema de controle de versões deve ser utilizado para monitorar alterações nos documentos e dados.

Validação de Dados, processos de validação devem ser implementados para verificar a precisão dos dados inseridos ou modificados.

d. Propriedade Intelectual:

Todo e qualquer material, inovação ou conteúdo criado, desenvolvido ou concebido por funcionários, colaboradores ou terceiros contratados, no âmbito de suas atividades para a empresa ou utilizando recursos da empresa, será de propriedade exclusiva da organização.

7. Uso da rede corporativa
Materiais de natureza explicitamente sexual não são permitidos para exibição, armazenamento, distribuição, edição ou registro por meio dos ativos da infraestrutura da PROSESMT.

Apenas colaboradores formalmente designados e autorizados a representar a PROSESMT perante os meios de comunicação estão habilitados a manifestar-se em nome da organização em ambientes virtuais como salas de chat ou fóruns de discussão. Em situações de incerteza, recomenda-se consultar o superior imediato.

É imperativo que todos os documentos sejam armazenados na rede corporativa. Documentos salvos localmente no dispositivo computacional não estão sujeitos a procedimentos de backup, ficando, portanto, vulneráveis a perdas. Dada a alocação de espaço em disco por departamento, os usuários têm a responsabilidade de gerenciar e eliminar arquivos obsoletos ou supérfluos.

É vedado o armazenamento de arquivos pessoais em quaisquer diretórios da rede, uma vez que o espaço disponível se destina unicamente a propósitos corporativos.

8. Correio eletrônico
O correio eletrônico (e-mail) e comunicadores instantâneos têm como objetivo principal o uso para atividades corporativas. Todo e-mail recebido no domínio da PROSESMT é automaticamente verificado por software antivírus para garantir a integridade das informações.

O envio de arquivos que contenham informações classificadas como sensíveis ou confidenciais deve ser realizado utilizando mecanismos de criptografia.

Os responsáveis pela Segurança da Informação detêm a responsabilidade de monitorar as comunicações eletrônicas.

O rastreamento das comunicações tem o propósito de:

• Salvaguardar os ativos informacionais da PROSESMT.
• Assegurar que as diretrizes estabelecidas nesta normativa e a legislação em vigor sejam respeitadas.

9. Violações da política de segurança e informação e sanções
Em situações nas quais se verifique o descumprimento desta política, medidas administrativas e/ou jurídicas poderão ser instauradas, sem necessidade de notificação prévia. Tais medidas podem resultar no encerramento do vínculo empregatício e no início de procedimentos legais, quando pertinentes.

O colaborador que cometer a infração será formalmente notificado, e a constatação da violação será prontamente reportada ao seu superior hierárquico.