INFORMATION SECURITY POLICY

INFORMATION SECURITY POLICY




1. PURPOSE




The Information Security Policy is a formal statement by Alstra Tecnologia of its commitment to protecting the information it owns and/or holds, and must be complied with by all its employees.




2. SCOPE




All employees, directors, executives, shareholders, service providers, consultants, temporary staff, suppliers, various partners and other contractors who are at the service of and make available corporate assets of Alstra Tecnologia, subsidiaries and/or affiliates.




3. MISSION




To guarantee the integrity, confidentiality, legality and authenticity of the information required to carry out Alstra Tecnologia's business.




4. TERMS AND DEFINITIONS




- IT: Information Technology


- Software: The logical part, the set of instructions and data processed on servers and computers. All computer user interaction is carried out through software. 


- Backup: Copying data from one storage device to another so that it can be restored if the original data is lost, which may involve accidental deletion or data corruption.


- Removable Media: Devices that allow data to be read, written and easily ported, such as CDs, DVDs, USB sticks, memory cards and so on.


- USB: type of physical interface for mobile devices that allows the connection and interconnection of peripherals. 


- Messaging Platforms: These are programs that allow users to communicate remotely, via an Internet connection, through which it is possible to send real-time text and/or multimedia messages between physically distant devices. 


- Firewall: A device in a computer network whose purpose is to apply a security policy to a specific point in the network.


- Modem: This is a wireless device with a USB output for connecting to other devices such as tablets (with 3G, 4G or 5G support), notebooks, netbooks, desktops, etc. in order to connect to the internet. The 3G modem receives and decodes the high-speed digital signal transmitted by cell phone operators to portable devices (cell phones, smartphones and notebooks) compatible with 3G, 4G or 5G technology.




5. GUIDELINES




5.1 INFORMATION SECURITY GUIDELINES


Information is an asset which, like any other important business asset, has a value for the organization and consequently needs to be adequately protected. The Information Security Policy aims to protect information from various types of threat, to ensure business continuity by minimizing damage and maximizing return on investment and business opportunities. Information security is characterized here by the preservation of:




a) Confidentiality, which is the guarantee that information is accessible only to people with authorized access;


b) Integrity, which is the safeguarding of the accuracy and completeness of information and processing methods;


c) Availability, the Information Security Policy must be disseminated to all employees and arranged so that its contents can be consulted at any time.




To ensure these three items, information must be properly managed and protected against theft, fraud, espionage, unintentional loss, accidents and other threats.




It is fundamental for the protection and safeguarding of information that users adopt the action of Safe Behavior and consistent with the objective of protecting information, they must assume proactive and engaged attitudes with regard to the protection of information. 




Ongoing Information Security awareness campaigns will be used to monitor and control these guidelines.


Alstra's Information Security Policy is approved and reviewed annually by the Executive Board.




5.2 DUTIES AND RESPONSIBILITIES IN INFORMATION SECURITY MANAGEMENT


5.2.1 Definition


It is the responsibility of all employees (staff, trainees and service providers) to comply faithfully with the Information Security Policy; to seek guidance from their immediate manager in the event of any questions relating to information security; to protect information from unauthorized access, modification, destruction or disclosure; to ensure that the technological resources at their disposal are used only for purposes approved by Alstra; to comply with the laws and regulations governing aspects of intellectual property; and to immediately notify the company when there is a breach or violation of this policy, through the ethics channel.




5.2.2 Directors, Managers and Coordinators


Managers are responsible for complying with and enforcing this Policy; ensuring that their teams have access to and knowledge of this Information Security Policy; and immediately reporting any cases of information security breaches via the ethics channel.


5.2.3 Corporate Governance


The area is responsible for proposing adjustments, improvements, enhancements and modifications to this Policy; convening, coordinating, taking minutes and providing support for meetings that discuss this Policy; providing all information security management information requested by Managers.




6. INTELLECTUAL PROPERTY




6.1 All designs, creations or procedures developed by any employee (employees, trainees and service providers) during the course of their employment with Alstra Tecnologia are the property of Alstra Tecnologia.




7. SOCIAL ENGINEERING




7.1 This is the ability to deceive people in order to obtain confidential information, which can cause damage to the company. It can occur through direct contact between the offender (social engineer) and the victim via phone calls or even in person, as a social engineer is not always someone unknown. It can also happen indirectly, through the use of software or tools for cyber invasion, such as viruses, Trojan horses or through fake websites and messages to obtain the information you want. These can be messages containing great advantages, usually disproportionate, where the recommendation is to ignore the offer and delete the message immediately.




8. CLASSIFICATION OF INFORMATION




8.1 It is the responsibility of the Manager of each area to establish criteria relating to the level of confidentiality of the information (reports and/or media) generated by their area in accordance with the following criteria: 




8.1.1 Public: This is information from Alstra Tecnologia or its clients in a language and format dedicated to dissemination to the general public, whether it is informative, commercial or promotional. It is intended for the external public or occurs due to compliance with current legislation that requires it to be publicized.




8.1.2 Internal: This is information that Alstra Tecnologia has no interest in disclosing, where access by individuals outside the company should be avoided. If this information is accessed improperly, it could cause damage to the organization's image, but not to the same extent as confidential information. It can be accessed without restriction by all Alstra Tecnologia employees and service providers.




8.1.3 Confidential: This is information that is critical to the business of Alstra Tecnologia or its clients. Unauthorized disclosure of this information may cause financial, image or operational impacts, as well as administrative, civil and criminal sanctions for Alstra Tecnologia or its clients. It is always restricted to a specific group of people, which may be employees, customers and/or suppliers.




8.1.4 Restricted: This is all information that can only be accessed by Alstra Tecnologia users (employees, trainees and service providers) explicitly indicated by name or by the area to which it belongs. Unauthorized disclosure of this information can cause serious damage to the business and/or compromise the organization's business strategy. 




9. ENVIRONMENT SECURITY REQUIREMENTS 




9.1 The machines (servers) that store Alstra Tecnologia's systems are on cloud servers, with servers in an environment that presents physical, logical and cyber security compatible with best practices (observing availability, integrity and confidentiality).




9.2 Alstra Tecnologia's physical facilities have duly controlled and monitored access. Unauthorized persons (visitors, service providers, third parties and even employees without authorized access) who need physical access to the premises will always do so accompanied by authorized persons. 




9.3 Access to the company's premises with any recording, photographic, video, sound or other similar equipment can only be made with the authorization of the manager responsible for Asset Security and under supervision. Except for events and training organized by the company itself.




9.4 Respecting restricted access areas, not attempting to access them or using machines other than those with access permissions for each category of employee.




10. SECURITY REQUIREMENTS FOR THE LOGICAL ENVIRONMENT




10.1 General guidelines


10.1.1 All access to information and logical environments must be controlled so as to guarantee access only to authorized persons. Authorizations must be reviewed, confirmed and recorded on an ongoing basis. The person responsible for authorization or confirmation of authorization must be clearly defined and recorded. The entities' data, information and information systems must be protected against threats and unauthorized actions, whether accidental or not, in order to reduce risks and guarantee the integrity, confidentiality and availability of these assets.




10.2 Specific guidelines


10.2.1 Systems


10.2.1.1 Systems must have access control to ensure that only authorized users can use them. The person responsible for authorization must be clearly defined and have recorded the approval granted.




10.2.1.2. backups must be tested and kept up to date for disaster recovery purposes.




10.2.1.3 Do not run programs that are intended to decode passwords, monitor the network (unless authorized by the Information Technology Manager), read third-party data, spread computer viruses, partially or totally destroy files or make services unavailable.




10.2.1.4. not running programs, installing equipment, storing files or promoting actions that could facilitate access by unauthorized users to the company's corporate network.




10.2.1.5 Do not send confidential (authorized) information to external e-mails without protection. At the very least, the file must be protected by a robust password.




10.2.2 Machines - Workstation


10.2.2.1 Workstations, including portable equipment, and information must be protected against damage or loss, as well as improper access, use or exposure.




10.2.2.2 Workstations have internal codes which allow them to be identified on the network. In this way, everything carried out on the workstation is the responsibility of the employee.




10.2.2.3 Access to the workstation must be terminated at the end of the working day by switching off the equipment.




10.2.2.4 When away from the desk, the workstation must be locked with a password. This applies to all employees with workstations, including portable equipment.




10.2.2.5. sensitive information, corporate information or information whose disclosure could cause damage to Alstra Tecnologia entities, should only be used on equipment with appropriate controls.




10.2.2.6 IT users should only use software licensed by the IT department on company equipment.




10.2.2.7 The IT Infrastructure area must establish the aspects of control, distribution and installation of software and remote services used.




10.2.3 Mobile devices (notebooks, tablets) - When traveling by car, place the device in the trunk or in an inconspicuous place. When moving around with the device, if possible, don't use conventional equipment cases but discreet backpacks or suitcases. Don't put your laptop on airport trolleys or check it in with your luggage. In public places (hotel reception, restaurants and airports, among others), keep the device close and in sight at all times. (employees, trainees and service providers). Avoid using it in public places. In hotels, preferably keep the device in your room safe. Consider whether it is really necessary to take the device on short trips.




10.2.4 Use of private / third-party equipment within the company


10.2.4.1 Private laptops to be used within Alstra Tecnologia's network need to be assessed by the responsible IT personnel.




10.2.4.2 Third-party equipment must be taken to the IT team to be checked for antivirus updates and viruses. It is the responsibility of the contracting area to send the third parties under its responsibility for this check.




10.2.5 Good security practices for Printouts


10.2.5.1 Documents sent for printing must be removed immediately. Confidential documents must be printed under the supervision of the person responsible. Printed reports must be protected against loss, reproduction and unauthorized use. 




10.2.6 Software installation


10.2.6.1 Any software that needs to be installed, or digital service that needs to be contracted, must be communicated to the IT department so that it can be approved by those responsible for IT and only then made available to the requesting department.




10.2.6.2 The company respects the copyright of the software it uses and recognizes that it must pay the right price for it, and does not recommend the use of unlicensed programs on company computers. The use of illegal (unlicensed) software at Alstra Tecnologia is strictly forbidden.




10.2.6.3 IT Management may use this instrument to uninstall, without prior notice, any unlicensed software, in compliance with Law 9.609/98 (Software Law).




10.2.7 Guidelines on the use of computer resources


10.2.7.1 Sexually explicit material may not be displayed, stored, distributed, edited or recorded through the use of Alstra Tecnologia's computer resources.


10.2.7.2 Only employees who are duly authorized to speak on behalf of the company to the media may write on behalf of the company on Chat Room sites or Discussion Groups (forums, newsgroups). If in doubt, contact Marketing.




10.2.7.3 All files must be saved in the cloud, as files saved on the (local) computer are not backed up and can be lost. The available space is controlled by department, so users must manage their saved files, deleting unnecessary files. It is important to note that IT is not responsible for recovering files that do not comply with the above rule.




10.2.7.4 Saving private files (music, films, photos, etc.) in network/cloud directories is not allowed, as they take up limited common space in the department.




10.2.8. Guidelines on the use of Removable Media and the USB port


10.2.8.1. The use of removable media in the company is not encouraged and should be treated as an exception to the rule.




10.2.8.2 The USB port is the main point of security vulnerability and can be used to leak confidential corporate information, in which case modems and USB sticks deserve attention. This vulnerability can hardly be completely contained by firewalls or antivirus programs, since the devices are attached to the equipment by the company's own employees.




10.2.8.3 Releasing USB ports on desktops and notebooks requires justification and approval from the applicant's department manager. For laptops belonging to managers and above, this is done by default.




10.2.8.4 Within the company, give preference to using the network/cloud and avoid using a modem connected to the computer's USB port, as this is considered a way of circumventing network security, which is protected by a firewall and security rules. In this way, the employee opens the door to access without any control.




10.2.8.5 Users of removable media are directly responsible for the risks and impacts that the use of such devices can have on information assets, as this type of media can contain viruses and malicious software that can damage and corrupt data. Users are prohibited from using removable media as the preferred means of storing corporate information.




10.2.9 Guidelines on the use of the Internet


10.2.9.1 The Internet must be used for corporate purposes, intellectual enrichment or as a tool for searching for information, anything that may contribute to the development of company-related activities. Access to web pages and sites is the responsibility of each user, and access to sites with inappropriate content and dating sites is forbidden. Use of the internet for personal matters must be restricted, without compromising users' activities.




10.2.9.2 No downloading of any kind is allowed. As well as uploading any software licensed to the company or data owned by the company or its clients, without the express authorization of the manager responsible for the software or data.


10.2.9.3 Internet access will be monitored through user identification and authentication.




10.2.10. Recommendations on the use of e-mail and messaging platforms


10.2.10.1 The use of external webmail systems is prohibited. The use of e-mail to send and receive e-mail should only be done through Alstra Tecnologia's e-mail.




10.2.10.2 It is forbidden to use e-mail and/or messaging platforms to send messages that could compromise the company's image in the eyes of its customers and the community in general, and which could cause moral and financial damage.


10.2.10.3. avoid using company e-mail for personal matters.




10.2.10.4 Ensuring ownership of all messages generated internally and/or through communication resources and defining the use of these resources as a communication and productivity-enhancing tool, which should be used primarily for business activities and can be monitored as company property and even inspected by verification and audit rights.




10.2.10.5 Do not execute or open attached files sent by unknown or suspicious senders. Examples of extensions that should not be opened: .bat, .exe, .src, .lnk and .com, or any other formats alerted to by the IT department.




10.2.10.6 Not using e-mail and messaging platforms to send large numbers of messages (spam) that could compromise the network's capacity, and not forwarding e-mails such as chain letters, virus warnings, Microsoft/Symantec warnings, missing children, sick children, prejudiced or discriminatory material and virtual rumors, etc.


10.2.10.7 The use of messaging systems is acceptable only when they are used as a productivity tool for online communication in the course of their duties. While the responsible use of messaging systems is encouraged, their abuse must be avoided.




10.2.10.8 Messaging systems have a history of risks associated with malware (e.g. viruses, worms, etc.), so they should be used with care and caution.




10.2.10.9 The use of messaging systems in personal networks should be avoided in the corporate environment, due to the natural asynchrony of instant messages from third parties without work purposes, which usually becomes counterproductive. 




10.2.11. Antivirus


10.2.11.1 Antivirus on servers and workstations is updated automatically. Virus scanning is carried out daily on the workstations and servers.




10.2.12. Logical Access Control (Password-Based)


10.2.12.1 Every user must have a unique, personal and non-transferable ID, making them responsible for any activity carried out under this ID. The holder assumes responsibility for the secrecy of their personal password.




10.2.12.2. use a quality password, with at least eight characters containing numbers, letters (upper and lower case) and special characters (symbols), and must not use personal information (employees, trainees and service providers) that is easy to obtain, such as name, telephone number or date of birth as a password.




10.2.12.3. use their own method of remembering the password, so that it does not need to be written down anywhere under any circumstances.




10.2.14.4. not include passwords in automatic system access processes, e.g. stored in macros or function keys.




10.2.12.5 The distribution of passwords to IT users (initial or otherwise) must be done securely. The initial password, when generated by the system, must be changed by the IT user on first access.




10.2.12.6 A locked password must only be changed at the user's request.




11. GOOD VERBAL COMMUNICATION PRACTICES INSIDE AND OUTSIDE THE COMPANY




11.1 Be careful when dealing with company matters inside and outside the workplace, in public places, or near visitors, whether on the phone or with a colleague, or even a supplier.




11.2 Avoid naming names and dealing with confidential matters in these situations, outside the company or around unknown people.




11.3 If it is extremely necessary to communicate confidential matters in public places, be aware of the people around you who could use the information to damage the company's image. 




12. VIOLATIONS OF THE INFORMATION SECURITY POLICY AND SANCTIONS




12.1 In the event of a breach of this policy, administrative and/or legal sanctions may be adopted, without prior warning, and may culminate in dismissal and possible prosecution, if applicable. The offending employee may be notified and the occurrence of the transgression immediately reported to their immediate manager, the corresponding directorate and the Presidency.




13. CONTACT




Through the "Contact Us" form on the Alstra website (https://alstratech.com).




14. VALIDITY




This policy comes into force from the date of its approval and publication, and is valid for an indefinite period.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO




1. OBJETIVO




A Política de Segurança da Informação é uma declaração formal da Alstra Tecnologia sobre seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus funcionários.




2. ABRANGÊNCIA




Todos os funcionários, diretores, executivos, acionistas, prestadores de serviços, consultores, temporários, fornecedores, parceiros diversos e demais contratados que estejam a serviço e disponibilizam de ativos corporativos da Alstra Tecnologia, subsidiárias e/ou coligadas.




3. MISSÂO




Garantir a integridade, confidencialidade, legalidade e autenticidade da informação necessária para a realização dos negócios da Alstra Tecnologia.




4. TERMOS E DEFINIÇÕES




- TI: Tecnologia da Informação


- Software: É a parte lógica, o conjunto de instruções e dados processados nos servidores e computadores. Toda interação dos usuários de computadores é realizada através de softwares. 


- Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possa ser restaurado em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados.


- Mídias Removíveis: Dispositivos que permitem a leitura e gravação e fácil portabilidade de dados tais como: CD, DVD, Pen Drive, cartão de memória entre outros.


- USB: tipo de interface física de dispositivos móveis que permite a conexão e interconexão de periféricos 


- Plataformas de Mensageria: São programas que permitem a usuários se comunicarem remotamente, através de conexão com a Internet, através dos quais é possível enviar mensagens em tempo real de texto e/ ou multimídia entre equipamentos fisicamente distantes. 


- Firewall: É um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede.


- Modem: É um dispositivo sem fio, com saída USB para conexão em outro dispositivo tais como Tablets (com suporte 3G, 4G ou 5G), notebooks, netbooks, desktops, etc. objetivando conexão com a internet. O modem 3G recebe e decodifica o sinal digital de alta velocidade transmitido pelas operadoras de celulares para aparelhos portáteis (celulares, smartphones e notebooks) compatíveis com a tecnologia 3G, 4G ou 5G.




5. DIRETRIZES




5.1. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO


A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. A Política de Segurança da Informação objetiva proteger a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio. A segurança da informação é aqui caracterizada pela preservação da:




a) Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;


b) Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;


c) Disponibilidade, a Política de Segurança da Informação deve ser divulgada a todos os funcionários e dispostas de maneira que seu conteúdo possa ser consultado a qualquer momento.




Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não-intencional, acidentes e outras ameaças.




É fundamental para a proteção e salvaguarda das informações que os usuários adotem a ação de Comportamento Seguro e consistente com o objetivo de proteção das informações, devendo assumir atitudes pró-ativas e engajadas no que diz respeito à proteção das informações. 




Campanhas contínuas de conscientização de Segurança da Informação serão utilizadas para monitoração e controle destas diretrizes.


A Política de Segurança da Informação da Alstra é aprovada e revisada anualmente pela Diretoria Executiva.




5.2. ATRIBUIÇÕES E RESPONSABILIDADES NA GESTÃO DE SEGURANÇA DA INFORMAÇÃO


5.2.1. Definição


Cabe a todos os funcionários (funcionários, estagiários e prestadores de serviços) cumprir fielmente a Política de Segurança da Informação; buscar orientação do gestor imediato em caso de dúvidas relacionadas à segurança da informação; proteger as informações contra acesso, modificação, destruição ou divulgação não-autorizados; assegurar que os recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela Alstra; cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; e comunicar imediatamente a empresa quando do descumprimento ou violação desta política, através do canal de ética.




5.2.2. Diretorias, Gerências e Coordenações


Cabe aos Gestores cumprir e fazer cumprir esta Política; assegurar que suas equipes possuam acesso e conhecimento desta Política de Segurança da Informação; e comunicar imediatamente eventuais casos de violação de segurança da informação através do canal de denúncia.




5.2.3. Governança Corporativa


Cabe à área propor ajustes, melhorias, aprimoramentos e modificações desta Política; convocar, coordenar, lavrar atas e prover apoio às reuniões que discutam a respeito desta Política; prover todas as informações de gestão de segurança da informação solicitadas por Gestores.




6. PROPRIEDADE INTELECTUAL




6.1. É de propriedade da Alstra Tecnologia, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário (funcionários, estagiários e prestadores de serviços) durante o curso de seu vínculo de trabalho com a Alstra Tecnologia.




7. ENGENHARIA SOCIAL




7.1. Trata-se da habilidade de enganar pessoas, visando obter informações sigilosas, podendo trazer prejuízo à empresa. Pode-se dar pelo contato direto entre o ofensor (engenheiro social) e a vítima através de telefonemas e até mesmo pessoalmente, pois engenheiro social nem sempre é alguém desconhecido. Também pode ocorrer por via indireta, via utilização de softwares ou ferramentas para invasão cibernética, como, por exemplo, vírus, cavalos de Tróia ou através de sites e mensagens falsas para assim obter informações desejadas. Podem ser mensagens que contenham grandes vantagens, geralmente desproporcionais, onde a recomendação é de ignorar a oferta e apagar a mensagem imediatamente.




8. CLASSIFICAÇÃO DA INFORMAÇÃO




8.1. É de responsabilidade do Gestor de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com os critérios a seguir: 




8.1.1. Pública: É uma informação da Alstra Tecnologia ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.




8.1.2. Interna: É uma informação da Alstra Tecnologia que ela não tem interesse em divulgar, onde o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços da Alstra Tecnologia.




8.1.3. Confidencial: É uma informação crítica para os negócios da Alstra Tecnologia ou de seus clientes. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à Alstra Tecnologia ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.




8.1.4. Restrita: É toda informação que pode ser acessada somente por usuários da Alstra Tecnologia e(funcionários, estagiários e prestadores de serviços) explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. 




9. REQUISITOS DE SEGURANÇA DO AMBIENTES 




9.1. As máquinas (servidores) que armazenam sistemas da Alstra Tecnologia estão em servidores em nuvem, com servidores em ambiente que apresentam seguranças físicas, lógicas e cibernéticas compatíveis com as melhores práticas (observando disponibilidade, integridade e confidencialidade).




9.2. As instalações físicas da Alstra Tecnologia têm acesso devidamente controlado e monitorado. A entrada em suas dependências por pessoas não autorizadas (visitantes, prestadores de serviço, terceiros e até mesmo funcionários, sem acesso liberado), que necessitarem ter acesso físico ao local, sempre o farão acompanhados de pessoas autorizadas. 




9.3. O acesso às dependências da empresa com quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só pode ser feito a partir de autorização do gestor responsável pela Segurança Patrimonial e mediante supervisão. Exceto para eventos e treinamentos organizados pela própria empresa.




9.4. Respeitar áreas de acesso restrito, não executando tentativas de acesso às mesmas, ou utilizando máquinas alheias às permissões de acesso delimitadas a cada categoria de colaboradores.




10. REQUISITOS DE SEGURANÇA DO AMBIENTE LÓGICO




10.1. Diretrizes Gerais


10.1.1. Todo acesso às informações e aos ambientes lógicos deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas. As autorizações devem ser revistas, confirmadas e registradas continuadamente. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. Os dados, as informações e os sistemas de informação das entidades devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.




10.2. Diretrizes Específicas


10.2.1. Sistemas


10.2.1.1. Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas por usuários autorizados. O responsável pela autorização deve ser claramente definido e ter registrado a aprovação concedida.




10.2.1.2. Cópia de segurança (Backup) deve ser testada e mantida atualizada para fins de recuperação em caso de desastres. .




10.2.1.3. Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede (exceto se autorizado pelo Gestor de Tecnologia de Informação), a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilidade de serviços.




10.2.1.4. Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da empresa.




10.2.1.5. Não enviar informações confidenciais (autorizadas) para e-mails externos sem proteção. No mínimo, o arquivo deve contar com a proteção de uma senha caracterizada como robusta.




10.2.2. Máquinas – Estação de Trabalho


10.2.2.1. As estações de trabalho, incluindo equipamentos portáteis, e informações devem ser protegidos contra danos ou perdas, bem como o acesso, uso ou exposição indevidos.




10.2.2.2. As estações de trabalho possuem códigos internos, os quais permitem que seja identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do funcionário.




10.2.2.3. O acesso a estação de trabalho deverá ser encerrado no final do expediente, desligando o equipamento.




10.2.2.4. Quando se ausentar da mesa, deverá bloquear a estação de trabalho com senha. Esta ação aplica-se a todos os funcionários com estações de trabalho, incluindo equipamentos portáteis.




10.2.2.5. Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo às entidades da Alstra Tecnologia, só devem ser utilizadas em equipamentos com controles adequados.




10.2.2.6. Os usuários de TI devem utilizar apenas softwares licenciados pela área de TI nos equipamentos da empresa.




10.2.2.7. A área de Infraestrutura de TI deverá estabelecer os aspectos de controle, distribuição e instalação de softwares e serviços remotos utilizados.




10.2.3. Sobre dispositivos móveis (notebook, tablets) - Quando em deslocamentos de carro, coloque o mesmo no porta-malas ou em local não visível. Ao movimentar-se com o dispositivo, se possível, não utilize encapsuladores convencionais dos equipamentos e sim mochilas ou malas discretas. Não coloque o notebook em carrinhos de aeroportos ou despache junto à bagagem. Em locais públicos (recepção de hotéis, restaurantes e aeroportos dentre outros), mantenha o dispositivo próximo e sempre à vista, não se distanciando do equipamento. (funcionários, estagiários e prestadores de serviços). Evite utilizá-lo em locais públicos. Nos hotéis, preferencialmente, guarde o dispositivo no cofre do seu apartamento. Avalie se em pequenas viagens é realmente necessário levar o equipamento.




10.2.4. Utilização de equipamentos particulares / terceiros dentro da empresa


10.2.4.1. Notebooks particulares para serem usados dentro da rede da Alstra Tecnologia precisam ser avaliados pelo pessoal responsável de TI.




10.2.4.2. Equipamentos de terceiros devem ser levados à equipe de TI para serem verificadas atualização do antivírus e existência de vírus. É responsabilidade da área contratante encaminhar os terceiros sob sua responsabilidade para esta verificação.




10.2.5. Boas práticas de segurança para Impressões


10.2.5.1. Documento enviado para a impressão deverá ser retirado imediatamente. A impressão de documentos sigilosos deve ser feita sob supervisão do responsável. Os relatórios impressos devem ser protegidos contra perda, reprodução e uso não-autorizado. 




10.2.6. A Instalação de Softwares


10.2.6.1. Qualquer software que, por necessidade do serviço, necessitar ser instalado, ou serviço digital que deva ser contratado, deverá ser comunicado a área de TI, para que o mesmo possa ser homologado pelos responsáveis de TI e só assim serem disponibilizados para a área requerente.




10.2.6.2. A empresa respeita os direitos autorais dos softwares que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores da empresa. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) na Alstra Tecnologia.




10.2.6.3. A Gerência de TI poderá valer-se deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à Lei 9.609/98 (Lei do Software).




10.2.7. Diretrizes quanto à utilização dos Recursos Computacionais


10.2.7.1. Material sexualmente explícito não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da Alstra Tecnologia.




10.2.7.2. Somente os empregados que estão devidamente autorizados a falar em nome da empresa para os meios de comunicação podem escrever em nome da empresa em sites de BatePapo (Chat Room) ou Grupos de Discussão (fóruns, newsgroups). Em caso de dúvidas, procurar a área de Marketing.




10.2.7.3. Todos os arquivos devem ser gravados na nuvem, pois arquivos gravados no computador (local) não possuem cópias de segurança (backup) e podem ser perdidos. O espaço disponível é controlado por departamento, por isso, os usuários devem administrar seus arquivos gravados, excluindo os arquivos desnecessários. Importante citar que não é responsabilidade da área de TI a recuperação de arquivos que não respeitem a regra acima citada.




10.2.7.4. Não é permitida a gravação de arquivos particulares (músicas, filmes, fotos, etc..) nos diretórios da rede/ nuvem, pois ocupam espaço comum limitado do departamento.




10.2.8. Diretrizes quanto ao uso de Mídias Removíveis e da porta USB


10.2.8.1. O uso de mídias removíveis na empresa não é estimulado, devendo ser tratado como exceção à regra.




10.2.8.2. A porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais, neste caso, os modens e os pen drives merecem a atenção. Tal vulnerabilidade dificilmente pode ser totalmente contida com firewalls ou com programas antivírus já que os dispositivos são acoplados aos equipamentos pelos próprios funcionários da empresa.




10.2.8.3. Para liberação das portas USB dos desktops e notebooks é necessário justificar o uso e a aprovação do gestor do departamento do solicitante. Para notebooks de gerentes e cargos acima esta liberação é efetuada por padrão.




10.2.8.4. Dentro da empresa dê preferência à utilização da rede/ nuvem evitando a utilizando de modem conectado à porta USB do computador, pois é considerada uma forma de burlar a segurança de rede, protegida por Firewall e regras de segurança. Assim o funcionário abre a porta para acesso sem qualquer controle.




10.2.8.5. Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que o uso de tais dispositivos possa vir a causar nos ativos de informação, pois este tipo de mídia pode conter vírus e softwares maliciosos podendo danificar e corromper dados. É vedado aos usuários utilizarem as mídias removíveis como meio preferencial de armazenamento de informações corporativas.




10.2.9. Diretrizes quanto ao uso da Internet


10.2.9.1. A internet deve ser utilizada para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa vir a contribuir para o desenvolvimento de atividades relacionadas à empresa. O acesso às páginas e web sites é de responsabilidade de cada usuário ficando vedado o acesso a sites com conteúdos impróprios e de relacionamentos. O uso da internet para assuntos pessoais deve ser restrito, sem comprometer as atividades dos usuários.




10.2.9.2. É vedado qualquer tipo de download. Como também o upload de qualquer software licenciado à empresa ou de dados de propriedade da empresa ou de seus clientes, sem expressa autorização do gerente responsável pelo software ou pelos dados.


10.2.9.3. Os acessos à internet serão monitorados através de identificação e autenticação do usuário.




10.2.10. Recomendações sobre o uso do Correio Eletrônico (E-Mail) e Plataformas de Mensageria


10.2.10.1. É vedado o uso de sistemas webmail externo. O uso do correio eletrônico para envio e recepção de e-mail deverá ocorrer apenas através do correio eletrônico da Alstra Tecnologia.




10.2.10.2. É proibido o uso do Correio Eletrônico p/ou plataformas de mensageria ara envio de mensagens que possam comprometer a imagem da empresa perante seus clientes e a comunidade em geral e que possam causar prejuízo moral e financeiro.


10.2.10.3. Evitar utilizar o e-mail da empresa para assuntos pessoais.




10.2.10.4. Assegurar a propriedade de todas as mensagens geradas internamente e/ou por meio de recursos de comunicação e definir o uso desses recursos como ferramenta de comunicação e aumento de produtividade, devendo ser usado prioritariamente para atividades de negócio e podendo ser monitorado por ser propriedade da empresa e até mesmo vistoriado por direitos de verificação e auditoria.




10.2.10.5. Não executar ou abrir arquivos anexados enviados por remetentes desconhecidos ou suspeitos. Exemplo de extensões que não devem ser abertas: .bat, .exe, .src, .lnk e .com, ou de quaisquer outros formatos alertados pela área de TI.




10.2.10.6. Não utilizar o e-mail e plataformas de mensageria para enviar grande quantidade de mensagens (spam) que possam comprometer a capacidade da rede, não reenviando e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/Symantec, criança desaparecida, criança doente, materiais preconceituosos ou discriminatórios e os do tipo boatos virtuais, etc.




10.2.10.7. O uso de sistemas de mensageria é aceitável apenas quando for utilizado como ferramenta de produtividade para comunicação online, no exercício de sua função. Enquanto o uso responsável dos sistemas de mensageria é estimulado, o seu abuso deve ser evitado.




10.2.10.8. Sistemas de mensageria possuem histórico de riscos associados à malwares (p.ex. vírus, worms etc), de forma que deve ser utilizado com zelo e cuidado.




10.2.10.9. O uso de sistemas de mensageria em redes de relacionamento pessoais deve ser evitado no ambiente corporativo, por conta da natural assíncronia das mensagens instantâneas oriundas de terceiros sem finalidades laborais, o que usualmente torna-se contraproducente. 




10.2.11. Antivírus


10.2.11.1. Antivírus dos servidores e estações são atualizados automaticamente. A varredura por vírus é feito diariamente nas estações e nos servidores.




10.2.12. Controle de Acesso Lógico (Baseado em Senhas)


10.2.12.1. Todo usuário deve ter uma identificação única, pessoal e intransferível, qualificando-o como responsável por qualquer atividade desenvolvida sob esta identificação. O titular assume a responsabilidade quanto ao sigilo da sua senha pessoal.




10.2.12.2. Utilizar senha de qualidade, com pelo menos oito caracteres contendo números, letras (maiúsculas e minúsculas) e caracteres especiais (símbolos), e não deverá utilizar informações (funcionários, estagiários e prestadores de serviços)pessoais fáceis de serem obtidas como, o nome, o número de telefone ou data de nascimento como senha.




10.2.12.3. Utilizar um método próprio para lembrar-se da senha, de modo que ela não precise ser anotada em nenhum local, em hipótese alguma.




10.2.14.4. Não incluir senhas em processos automáticos de acesso ao sistema, por exemplo, armazenadas em macros ou teclas de função.




10.2.12.5. A distribuição de senhas aos usuários de TI (inicial ou não) deve ser feita de forma segura. A senha inicial, quando gerada pelo sistema, deve ser trocada, pelo usuário de TI no primeiro acesso.




10.2.12.6. A troca de uma senha bloqueada só deve ser liberada por solicitação do próprio usuário.




11. BOAS PRÁTICAS DE COMUNICAÇÃO VERBAL DENTRO E FORA DA EMPRESA




11.1. Cuidado ao tratar de assuntos da empresa dentro e fora do ambiente de trabalho, em locais públicos, ou próximos a visitantes, seja ao telefone ou com algum colega, ou mesmo fornecedor.




11.2. Evitar nomes e tratativas de assuntos confidenciais, nestas situações, fora da empresa ou próximos a pessoas desconhecidas.




11.3. Caso seja extremamente necessária a comunicação de assuntos sigilosos em ambientes públicos, ficar atento as pessoas à sua volta que poderão usar as informações com o intuito de prejudicar a imagem da empresa. 




12. VIOLAÇÕES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SANÇÕES




12.1. Nos casos em que houver violação desta política, sanções administrativas e/ou legais poderão ser adotadas, sem prévio aviso, podendo culminar com o desligamento e eventuais processos, se aplicáveis. O funcionário infrator poderá ser notificado e a ocorrência da transgressão imediatamente comunicada ao seu gestor imediato, à diretoria correspondente e à Presidência.




13. CONTATO




Através do formulário "Fale Conosco" presente no site Alstra (https://alstratech.com).




14. VIGÊNCIA E VALIDADE




A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado