logo-nuvidio-min

Política De Segurança Da Informação E De Segurança Cibernética Da NUVIDIO 

1. Introdução

Na NUVIDIO, especificamos, criamos e operacionalizamos nossos produtos sobre uma base segura, com as proteções necessárias para manter a segurança dos usuários, dos dados e das informações que fazem parte das nossas atividades comerciais.

Podemos alterar nossas Políticas periodicamente. Portanto, pedimos que você verifique no site ocasionalmente, para garantir que fique ciente da versão mais recente que será aplicada a partir do momento em que você acessar os nossos serviços.

Esta Política e suas atualizações estarão disponíveis no https://www.NUVIDIO.com.br/politica-de-seguranca-da-informacao

 

2. Objetivo e Abrangência

Esta Política tem como objetivo definir processos, diretrizes e controles para a proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança Cibernética.
A presente Política se aplica a todos os colaboradores, parceiros, clientes e prestadores de serviços da NUVIDIO.

 

3. Regras e Normativas Aplicáveis à Presente Política

  1. Constituição da República de 1988;
  2. Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
  3. Lei 10.406/202 (Código Civil);
  4. Lei n 12.965/2014 (Marco Civil da Internet);
  5. Normas e procedimentos internos que são constantemente revisados e aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.

 

4. Papeis e Responsabilidades

 

4.1 Descrição dos papéis em Segurança da Informação:

Usuário Interno: Todos os colaboradores, gestores, técnicos, estagiários, consultores e funcionários internos, que fazem uso dos recursos informacionais e computacionais da NUVIDIO.

Usuário Externo: Prestadores de serviços contratados direta ou indiretamente pela NUVIDIO e demais colaboradores externos que fazem uso de seus recursos informacionais e computacionais.

Gestores: Todos aqueles que exercem funções de gerência no âmbito da organização, administrando pessoas e/ou processos.

Área de TI: Unidade organizacional responsável pela gestão e operação dos recursos de TI na organização e custodiante da informação.

Equipe Técnica de SI: Equipe técnica responsável por implementar e administrar as soluções de segurança da informação.

Gestor de SI: Servidor responsável pela gestão da segurança da informação em todos os seus aspectos.

 

4.2 Responsabilidades gerais:

São responsabilidades gerais de todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais da NUVIDIO:

  1. Promover a segurança de seu usuário corporativo, departamental ou de rede local, bem como de seus respectivos dados e credenciais de acesso.
  2. Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais da NUVIDIO.
  3. Utilizar de forma ética, legal e consciente os recursos computacionais e informacionais da NUVIDIO.
  4. Manter-se atualizado em relação a esta PSI e às normas e procedimentos relacionados, buscando informação junto ao Gestor de Segurança da Informação da instituição sempre que não estiver absolutamente seguro quanto à obtenção, uso e/ou descarte de informações.

 

4.3 Responsabilidades específicas:

 
4.3.1 Usuários internos e externos.

Será de inteira responsabilidade de cada usuário (interno ou externo) todo prejuízo ou dano que vier a sofrer ou causar à NUVIDIO em decorrência da não obediência às diretrizes e normas referidas na Política de Segurança da Informação e nas normas e procedimentos específicos dela decorrentes.

Os usuários externos devem entender os riscos associados à sua condição e cumprir rigorosamente as políticas, normas e procedimentos específicos vigentes. A NUVIDIO poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento da política de SI ou das normas e procedimentos específicos dela decorrentes.

 
4.3.2 Gestores de pessoas e processos.

Os gestores executivos da NUVIDIO devem ter postura exemplar em relação à segurança da informação, diante, sobretudo, dos usuários sob sua gestão.
Cada gestor deverá manter os processos sob sua responsabilidade aderentes às políticas, normas e procedimentos específicos de segurança da informação da NUVIDIO, tomando as ações necessárias para cumprir tal responsabilidade.

 
4.3.3 Área de Tecnologia da Informação.

Quanto à gestão de segurança da informação, serão responsabilidades específicas da área de Tecnologia da Informação:

  1. Zelar pela eficácia dos controles de SI utilizados e informar aos gestores e demais interessados os riscos residuais.
  2. Negociar e acordar com os gestores níveis de serviço relacionados a SI, incluindo os procedimentos de resposta a incidentes.
  3. Configurar os recursos informacionais e computacionais concedidos aos usuários com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos pelos procedimentos, normas e políticas de segurança da informação.
  4. Gerar e manter trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes; para as trilhas geradas e/ou mantidas em meio eletrônico, devem ser implantados controles de integridade, de modo a torná-las juridicamente válidas como evidências.
  5. Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
  6. Zelar pela segregação de funções gerenciais e operacionais, a fim de restringir ao mínimo necessário os privilégios de cada indivíduo e eliminar a existência de pessoas que possam excluir logs e trilhas de auditoria das suas próprias ações.
  7. Administrar, proteger e testar cópias de segurança de sistemas e dados relacionados aos processos considerados críticos para a NUVIDIO.
  8. Implantar controles que gerem registros auditáveis para retirada e transporte de mídias que contenham informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
  9. Informar previamente o Gestor de SI sobre o fim do prazo de retenção de informações, para que este tenha a alternativa de alterá-lo ou postergá-lo, antes que a informação seja definitivamente descartada pelo custodiante.
  10. Nas movimentações internas dos ativos de TI, assegurar-se de que as informações de determinado usuário não sejam removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
  11. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas internas da organização.
  12. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, responsável pelo uso da conta (a responsabilidade pela gestão dos “logins” de usuários externos é do gestor do contrato de prestação de serviços ou do gestor do setor em que o usuário externo desempenha suas atividades).
  13. Proteger continuamente todos os ativos de informação da NUVIDIO contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
  14. Assegurar-se de que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da NUVIDIO ou em fase de mudança de ambiente de desenvolvimento, teste, homologação ou produção de sistemas (quando tais ambientes forem acessados por terceiros, a responsabilização deve ser explicitada nas cláusulas dos instrumentos contratuais).
  15. Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, bem como em ambiente exclusivamente educacional e/ou dedicados à visitação externa, exigindo o seu cumprimento dentro da empresa.
  16. Definir metodologia e realizar auditorias periódicas de configurações técnicas e análise de riscos.
  17. Responsabilizar-se pelo uso, manuseio, guarda de assinatura de certificados digitais corporativos.
  18. Garantir, da forma mais rápida possível, com recebimento de solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da NUVIDIO, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguarda dos ativos da NUVIDIO.
  19. Monitorar o ambiente de TI, gerando indicadores e históricos de uso da capacidade instalada da rede e dos equipamentos; tempo de resposta no acesso à internet e aos sistemas críticos; períodos de indisponibilidade no acesso à internet e aos sistemas críticos; incidentes de segurança; e atividade de todos os usuários durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos).
 
4.3.4 Equipe Técnica de Segurança da Informação.

É de responsabilidade específica da Equipe Técnica de Segurança da Informação:

    1. Propor metodologias e processos específicos para a segurança da informação, como classificação da informação e avaliação de risco.
    2. Propor e apoiar iniciativas que visem à segurança dos ativos de informação da NUVIDIO.
    3. Auxiliar na publicação e promoção da Política de Segurança da Informação, das normas, e procedimentos específicos dela decorrentes.
    4. Promover a conscientização dos usuários em relação à relevância da segurança da informação para a NUVIDIO, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
    5. Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
    6. Analisar criticamente incidentes de segurança da informação.

Buscar alinhamento das práticas de segurança da informação com as diretrizes corporativas da instituição.

 
4.3.5 Gestor de Segurança da Informação e demais Gestores.

É de responsabilidade específica dos Gestores da NUVIDIO:

  1. Promover cultura de segurança da informação e comunicações no âmbito de suas atribuições dentro da NUVIDIO.
  2. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança.
  3. Propor recursos necessários às ações de segurança da informação.

 

5. Medidas de Segurança da Informação e De Segurança Cibernética

 

5.1. Uso Do E-Mail

O e-mail corporativo é a forma oficial de comunicação na NUVIDIO. Os colaboradores da NUVIDIO devem utilizar unicamente o e-mail corporativo como meio de comunicação corporativo com entes externos (parceiros, prestadores de serviço, fornecedores, prospects, etc.), evitando-se a troca de informações e dados pessoais por quaisquer outros meios (WhatsApp, aplicativos de mensagens instantâneas, etc.).

A utilização do e-mail corporativo deve necessariamente obedecer às seguintes regras:

(i) O uso do e-mail corporativo deve ser limitado aos fins necessários para o desempenho da função do colaborador, sendo de uso exclusivo para finalidades profissionais;

(ii) O colaborador deve proteger o seu endereço de e-mail e senha para acesso, que é individual e intransferível. Ou seja: é veementemente proibido o compartilhamento de senha entre colaboradores da NUVIDIO.;

(iii) Sempre que nova mensagem for recebida, o colaborador deve verificar a origem da mensagem e, se suspeitar de qualquer ação irregular ou de desconhecimento do remetente, o e-mail deve ser excluído da caixa de entrada;

(iv) O colaborador não deve responder a mensagens suspeitas, contendo textos e imagens inadequadas e/ou spams;

(v) O colaborador deve ter o hábito de excluir mensagens frequentemente, inclusive aquelas cuja finalidade do conteúdo já tenha sido plenamente atingida, eliminando-as inclusive da pasta “Lixeira”;

(vi) O colaborador não pode fazer cópias de seus e-mails em caso de desligamento da NUVIDIO.

É expressamente proibido:

(i) Utilizar o e-mail para prática de crimes e infrações de qualquer natureza;

(ii) Utilizar o e-mail para cadastro em sites de compras ou não relacionados às finalidades corporativas de interesse da NUVIDIO;

(iii) Compartilhar material obsceno, pornográfico, discriminatório, preconceituoso ou ilegal e vexatório de qualquer maneira;

(iv) Disseminar mensagens com vírus, com conteúdo relativo a entretenimento, publicitário, político ou qualquer conteúdo que não tenha relação com o desempenho de suas funções;

(v) Emitir comunicados que representem a opinião pessoal do colaborador em nome da NUVIDIO;

(vi) Reproduzir qualquer material recebido pelo e-mail corporativo ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão comprovada do criador do trabalho;

(vii) Enviar arquivos de áudio, animação ou vídeo que não tenham relação com os interesses corporativos da NUVIDIO e com o desempenho da função do colaborador;

(viii) Divulgar informações a terceiros sem autorização;

(ix) Falsificar ou adulterar o conteúdo de e-mails ou falsear o endereço remetente, fazendo-se passar por outra pessoa;

(x) Produzir, reproduzir, transmitir ou divulgar mensagens que: contenham qualquer ato ou orientação que conflitem com os interesses da NUVIDIO; contenham ameaças eletrônicas, tais como: vírus, spam e demais malwares; contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que apresente riscos à segurança; visem obter acesso não autorizado a outro computador, servidor ou rede.

 

5.2. Uso Da Internet E Rede

As redes internas e seus serviços devem ser controladas com acessos privados por usuário e senha, fazendo com que cada colaborador acesse apenas aquilo que precisa para o pleno desempenho das suas atividades, buscando minimizar o risco de acessos não autorizados.

É expressamente proibido qualquer acesso a sites pertencentes às seguintes categorias: pornográfico e de caráter sexual; pornografia infantil (pedofilia); apologia ao terrorismo; apologia às drogas; crackers; violência e agressividade (racismo, preconceito, etc.); violação de direito autoral (pirataria, etc.); áudio e vídeo, salvo com conteúdo relacionado diretamente a atividades administrativas ou profissionais; conteúdo impróprio, ofensivo, ilegal, discriminatório e similares.

É proibida a transferência de qualquer tipo de programa, jogo, e similares, na rede interna e o acesso a programas de TV na internet ou qualquer conteúdo sob demanda (streaming) e o uso de jogos online.

É expressamente proibido divulgar ou compartilhar informações internas pertencentes à NUVIDIO e referentes à sua operação, especialmente em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet sob a possibilidade de sofrer penalidades previstas nas políticas internas da empresa e na forma da lei.

Todos os arquivos relativos ao desempenho da função do colaborador e à atividade da NUVIDIO deverão necessariamente ser armazenados no diretório adequado de cada Setor.
É categoricamente proibido armazenar arquivos corporativos nos diretórios do computador próprio de cada colaborador (exemplo: “Área de Trabalho” ou pasta “Downloads”).

A utilização de softwares de comunicação instantânea para uso interno é permitida mediante a utilização de ferramentas homologadas pelo Setor de Tecnologia da Informação.

Caso o colaborador necessite da liberação de acesso a sites úteis e necessários para o desempenho de suas funções, deverá efetuar chamado para análise e liberação pelo responsável pelo Setor de Tecnologia da Informação.

 

5.3. Uso De Mídias Removíveis E Da Porta USB

Mídias removíveis são dispositivos que permitem a leitura e gravação de dados tais como: CD, DVD, Disquete, Pen Drive, cartão de memória, HDs portáteis, telefones celulares, entre outros.

A porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais. Tal vulnerabilidade não pode ser contida com firewalls já que os dispositivos podem ser acoplados aos equipamentos pelos próprios colaboradores da empresa.

Para minimizar os riscos de exposição e perda de dados sensíveis mantidos pela empresa e reduzir os riscos de proliferação de malwares nos computadores, a transferência de informações para dispositivos removíveis é bloqueada nos equipamentos de propriedade da NUVIDIO.

O armazenamento de documentos e dados deverá ser realizado nos diretórios da rede e repositório da NUVIDIO. Excepcionalmente, a liberação das portas USB dos desktops e notebooks será realizada mediante justificativa e aprovação pelo gestor da área.

O dispositivo USB deve ser preferencialmente adquirido pela NUVIDIO, estar criptografado e protegido por senha. Mesmo em equipamentos liberados o tráfego de dados entre as unidades USB e os computadores será monitorado pelo setor de segurança da informação.

Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que o uso de tais dispositivos possa vir a causar nos ativos de informação.

 

5.4. Data Center E Ambiente Físico

A NUVIDIO se utiliza de prestadores de serviços terceirizados para a locação e manutenção de seu data center. Para tanto, no momento da contratação do prestador de serviço, a NUVIDIO se certificará de que a empresa contratada:

(i) Possua infraestrutura adequada para atuar em casos de interrupção de energia elétrica, enchentes, inundações, poeira e poluição do ar, incêndios, superaquecimentos, falhas na construção e nos equipamentos ou catástrofes;

(ii) Adote mecanismos adequados para evitar invasões e sabotagens;

(iii) Aplique medidas adequadas para evitar erros humanos na operação do data center;

(iv) Execute ações adequadas para construir os ambientes físicos com materiais impermeáveis e de alta resistência, não sendo inflamáveis e possuindo portas corta-fogo;

(v) Utilize um sistema de detecção e extinção de incêndios, sistema de climatização de precisão, controle de umidade, temperatura e qualidade do ar, uma rede de telecomunicações de alta potência, abastecimento elétrico com redundâncias e proteções contra quedas de energia;

(vi) Adote tecnologias e softwares de segurança adequados para a proteção virtual dos ativos.

A rede ligada ao data center somente poderá ser acessada pelo responsável pelo Setor de Segurança da Informação mediante senha de autenticação.

 

5.5. Procedimentos De Backup

A NUVIDIO garante, por esta Política, a adoção de regras para a realização de cópias de segurança e restauração de arquivos digitais armazenados aos cuidados da NUVIDIO, realizando backups diários com retenção de 8 dias.

 

5.6. Descarte De Mídias

No contexto desta Política, mídia é um meio de armazenamento ou tecnicamente um suporte para informação e inclui desde discos rígidos a registros em papel.

O descarte de mídia não é descarte de informação, pois esta é objeto de legislação específica.
A informação somente pode ser descartada depois de devido processo e autorização. Mídias somente podem ser descartadas se a informação armazenada puder ser descartada ou tiver sido preservada em outro meio.

Portanto, o descarte de mídias deve compreender, entre outros:

  1. Métodos de controle de classificação de documentos que permitam identificar mídias contendo informações sensíveis, de maneira que sejam guardadas e destruídas de maneira segura;
  2. Procedimentos de autorização de descarte;
  3. Métodos e procedimentos de coleta e descarte para cada tipo de mídia;
  4. Métodos e procedimentos para o controle do descarte de mídias sensíveis de maneira a manter, sempre que possível, uma trilha de auditoria.

Em caso de papel, devem ser usadas fragmentadoras de papel (excepcionalmente, pode ser fragmentado manualmente).

Em mídias magnéticas ainda em funcionamento, deve ser usado um software específico (formatação não é suficiente!) para apagar fisicamente todo o conteúdo do disco rígido, antes da eliminação. No caso de o equipamento não estar funcional, a unidade deve ser retirada para ser limpa em outro equipamento compatível com uso de software específico.

Se a unidade não estiver funcional ela deve ser destruída mecanicamente.

 

5.7. Gestão De Acessos

A NUVIDIO estabelece diretrizes voltadas à gestão de acessos aos ativos de informação da empresa, a fim de assegurar níveis adequados de proteção, garantindo que as informações sejam acessadas somente por pessoas autorizadas.

Portanto, além das disposições previstas na Política de Gestão de Acessos da NUVIDIO disponível em [https://drive.google.com/file/d/1mwCl769C2FLKs6kadSyjT1E6EiTvX71P/view?usp=sharing], o usuário deverá tomar as seguintes precauções para manter a privacidade e a segurança dos seus dados:

  1. a) Acesso à plataforma NUVIDIO: os usuários nos navegadores Chrome, Mozilla® Firefox®, Apple Safari® e no novo Microsoft® Edge® não precisam instalar plug-ins nem softwares.
    A plataforma NUVIDIO funciona integralmente no navegador. Isso limita a superfície de ataque e a necessidade de implementar patches de segurança com frequência nas máquinas dos usuários finais.
  1. b) Nos dispositivos móveis, para o atendente realizar atendimento pela empresa, recomendamos que instale o app NUVIDIO no Google Play (Android) ou na App Store (iOS).

 

5.8. Videochamadas

A NUVIDIO adota várias medidas de segurança para proteger as suas videochamadas.
Isso inclui controles contra invasão de videochamadas na Web e de chamadas realizadas para o videoatendimento. Veja algumas das nossas principais medidas a seguir:

Login para acesso do atendimento: Para o recebimento de chamadas, somente usuários cadastrados com usuário e senha podem ser notificados, atender a notificação e iniciar o videoatendimento.

Protocolo por chamada: Para cada chamada é criado um protocolo único NUVIDIO e/ou um código adicional se o cliente corporativo assim definir.

Videochamadas: P2P (Pear to Pear) com criptografia de ponta a ponta entre os participantes no caso de chamadas não gravadas e criptografia de ponta a ponta entre o cliente e o servidor no caso de chamadas gravadas.

Detalhes do videoatendimento: O cliente deve inserir dados pessoais para acessar a videochamada, definidos pelo cliente corporativo.

Participação de um videoatendimento: as seguintes restrições se aplicam quando as pessoas participam de uma videochamada:

  1. Os participantes acionam um videoatendimento pré configurado com os dados da empresa para o departamento ao qual ele clicou. Esse acesso é feito direto do site ou através de uma URL única e exclusiva criada para a empresa.
  2. É possível restringir o link e acesso externo, fora do site do cliente corporativo.
  3. A empresa pode desabilitar o departamento (URL) através do portal de administração.
  4. Os participantes (cliente e atendente) do videoatendimento têm acesso fácil aos controles de segurança, como desativar o som e/ou câmera
  5. Os usuários podem denunciar comportamentos abusivos dentro do portal de atendimento.

 

5.9. Criptografia

Toda solução de criptografia utilizada pela NUVIDIO deve seguir as regras de Segurança da Informação e os padrões de segurança dos Órgãos reguladores. Assim, a NUVIDIO adota as seguintes medidas de criptografia:

  1. Todos os dados trafegados na plataforma NUVIDIO são criptografados em trânsito por padrão entre o cliente e a NUVIDIO utilizando Secure Sockets Layer (SSL).
  2. As gravações das chamadas de responsabilidade da NUVIDIO são armazenadas e criptografadas em repouso por padrão utilizando Advanced Encryption Standard de 256 bits (AES-256).
  3. A NUVIDIO segue os padrões de segurança do grupo Internet Engineering Task Force (IETF) para os protocolos Datagram Transport Layer Security (DTLS) e Secure Real-time Transport Protocol (SRTP). Saiba mais em https://tools.ietf.org/html/rfc5764

 

5.10. Avaliação De Fornecedores

Provedores e fornecedores que armazenam e processam dados, contratados pela NUVIDIO são avaliados sob o ponto de vista de Segurança da Informação e Segurança Cibernética e devem seguir seus papéis e responsabilidades.

 

5.11. Prevenção, Detecção, Resposta E Tratamento De Incidentes De Segurança Da Informação E De Segurança Cibernética

 
5.11.1. Prevenção

Os mecanismos de detecção devem monitorar, analisar e bloquear ações realizadas com intuito de comprometer a estrutura básica da segurança de informação de um sistema informatizado, afetando sua integridade, confidencialidade e disponibilidade.

A NUVIDIO possui controles para prevenir que vírus e outros tipos de softwares maliciosos entrem e espalhem-se nos sistemas e servidores, tais como:

  1. Análise automatizada de registros da rede e do sistema: a análise automatizada do tráfego de rede e do acesso ao sistema ajuda a identificar atividades suspeitas, abusivas ou não autorizadas e é encaminhada para a equipe de segurança.
  2. Revisões de código interno: a revisão do código-fonte descobre vulnerabilidades ocultas, falhas do projeto e verifica se os principais controles de segurança foram implementados.
 
5.11.2. Detecção

O comportamento de possíveis ataques é identificado por meio de controles de detecção implementados no ambiente, tais como:

  1. Ferramentas e processos específicos do produto: sempre que possível, usamos ferramentas automatizadas para melhorar a detecção de incidentes.
  2. Detecção de anomalias de uso: A NUVIDIO aplica várias camadas de sistemas de aprendizado de máquina para diferenciar entre atividades do usuário seguras e anormais nos navegadores, dispositivos, logins de apps e outros eventos de uso.
  3. Alertas de segurança de data center e / ou serviços no local de trabalho: esses alertas nos data centers verificam incidentes que talvez afetem a infraestrutura da empresa.
 
5.11.3. Prevenção de vazamento de informações
  1. A privacidade e proteção de dados devem ser asseguradas conforme exigido na legislação, regulamentações, políticas de grupo e, se aplicável, nas cláusulas contratuais;
  2. Devem existir controles para verificação de autenticidade e integridade dos dados do sistema de forma a prevenir que qualquer ação do usuário, falha do sistema, inserção ou remoção indevida de dados possa causar inconsistência da base de dados;
  3. Os dados sensíveis do arquivo de configuração das aplicações web, como strings de conexão, devem ser encriptados;
  4. Mensagens de erro que são mostradas ao usuário devem revelar somente as informações necessárias, sem vazamento de detalhes internos do sistema na mensagem de erro;
  5. Dados exportados para outros sistemas confiados deverão ser mantidos sob as mesmas condições de privacidade que o sistema de origem;
  6. Os dados manipulados pelo sistema deverão ser mantidos sob o mesmo nível de integridade e confidencialidade exigido pelo nível de segurança;
  7. Dados sensíveis não devem ser armazenados na aplicação final, esses dados deverão ser encriptados e armazenados no servidor;
  8. Não deve ser mantido caches locais nos equipamentos dos usuários finais.
  9. As informações confidenciais do cliente não deverão permanecer nos equipamentos dos usuários finais, após o encerramento do aplicativo ou browser.
 
5.11.4. Proteção contra softwares maliciosos
  1. Os guidelines (correções de segurança) deverão ser aplicados em todos os ativos devem ser executadas pelos responsáveis do sistema operacional;
  2. Sistemas Operacionais e seus módulos não devem ser instalados com uma versão defasada;
  3. Somente serviços e protocolos necessários e seguros devem ser ativados, conforme exigido para a função do sistema;
  4. Todas as funcionalidades desnecessárias devem ser removidas, como scripts, drivers, recursos, subsistemas, sistemas de arquivo e servidores da Web desnecessários;
  5. Somente funcionalidades relevantes para o funcionamento do sistema devem ser instaladas;
  6. O sistema e todos os softwares que o suportam devem ser legalmente licenciados;
  7. Considerar a aplicabilidade dos processos e adequações padrões da área de TI para configuração interna para todos os componentes do sistema. Certificar-se de que esses padrões abrangem todas as vulnerabilidades de segurança;
  8. Os aplicativos, arquivos e serviços que não são pertinentes à funcionalidade do servidor devem ser removidos do sistema operacional;
  9. Os patches de segurança do sistema operacional devem ser mantidos atualizados;
  10. Acesso remoto ao sistema operacional deve ser restrito apenas à equipe de suporte responsável;
  11. As contas de serviço utilizadas no sistema operacional para a execução de processos em lote (batch), scripts e serviços não devem possuir acesso privilegiado (administrativo) ao sistema operacional;
  12. Correções de segurança (patches) devem ser instaladas com frequência mínima trimestral ou por solicitação das áreas de TI em produtos de terceiros tais como sistemas operacionais, bancos de dados, servidores web e etc.;
  13. Todos os Patches de correção de vulnerabilidades de segurança devem ser validados em um ambiente de testes/homologação antes de serem instalados nos servidores do ambiente de produção.
  14. Um procedimento de identificação e atualização de Patches de Segurança deve ser posto em prática para que  os  patches  sejam  instalados  em  até  30  dias  da  divulgação  pelo  fabricante  e obedecidos os critérios de homologação.
 
5.11.5. Ameaças à Segurança de Computadores domésticos

Computadores domésticos podem não ser tão propensos a ataques como redes ou servidores, mas como muitas vezes contêm dados sensíveis, eles podem ser alvo de crackers de sistema.

Por tais motivos, o usuário deve manter seus computadores pessoais com software (patches, erratas) e com antivírus atualizados, conforme orientação do Gestor de Segurança da Informação e desta Política de Segurança.

As informações da organização estão sob responsabilidade do usuário, mesmo que estejam em um computador em sua casa ou outro local que não o ambiente de trabalho.  Portanto, o usuário deverá responsabilizar-se pelo transporte e pela guarda de equipamentos de armazenamento de dados, processos e documentos retirados das dependências da empresa, bem como preservar o sigilo dos dados acessados e das informações contidas nos processos e demais documentos, mediante a observância às normas de segurança da informação, adotando ainda, cautelas adicionais para preservação do sigilo, sob pena de responsabilidade, nos termos da legislação em vigor e desta Política.

Se necessário, os usuários devem procurar a Equipe Técnica de Segurança da Informação para esclarecimentos.

A Área de Tecnologia da Informação deverá realizar inspeções periódicas nos computadores pessoais dos usuários, de modo a garantir que as orientações e esta Política estão sendo cumpridas regularmente.

 
5.11.6. Resposta E Tratamento A Incidentes

Comunicação: Uma vez identificado o risco ou o incidente de segurança o Comunicante deverá, no prazo máximo de 24 (vinte e quatro) horas, reportar ao Departamento de Segurança da Informação da NUVIDIO pelo seguinte endereço de e-mail: hello@NUVIDIO.com.br.

A NUVIDIO disponibilizará uma equipe de atendimento 24 horas x 7 dias por semana, para atendimento das eventuais ocorrências.

Avaliação: A severidade do problema será determinada de acordo com o impacto ou indisponibilidade dos sistemas, conforme tabela abaixo:

SEVERIDADE
DESCRIÇÃO
SLA (Horas)

Crítica

Serviço totalmente indisponível; comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais.

8

Alta

Serviço seriamente afetado e indisponível para grande parte dos clientes; alta probabilidade de comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais.

12

Média

Serviço indisponível para parte dos clientes ou com baixa performance para todos; baixa probabilidade de comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais.

24

Baixa

O risco ou incidente não gera qualquer impacto nos serviços prestados, nem compromete a Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais. No entanto, caso não seja tratado poderá ter sua criticidade agravada.

48

Tratamento: Após avaliação do incidente pelo Departamento de Segurança da Informação, com apoio do Encarregado (DPO) e demais gestores e Usuários, e respeitada a ordem de prioridade de acordo com a classificação de severidade, a NUVIDIO, por meio do seu Comitê tomará as seguintes providências:

  1. Implementará ações necessárias para estancar os danos gerados pelo incidente, isolando ambientes, diretórios e sistemas comprometidos;
  2. Identificará possíveis eventos que podem ter gerado o incidente, coletando e documentando evidências;
  3. Avaliará possíveis soluções com base em seu conhecimento, normas técnicas, apoio de demais áreas ou empresas terceirizadas, aplicando as ações necessárias para neutralização do incidente, reestabelecimento de sistemas, recuperação de ativos, garantindo que o risco de recorrência foi eliminado ou mitigado, se não for possível sua eliminação;
  4. Comunicará à Agência Nacional de Proteção de Dados- ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD), em prazo não superior a 48 (quarenta e oito horas); e
  5. O Departamento de Segurança da Informação encerrará o tratamento, elaborando um Relatório com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

 

6. Violações e Sanções

Quaisquer violações a esta Política, suas normas e princípios correlatos deverão ser analisadas enquanto incidentes de Segurança da Informação e/ou de Segurança Cibernética e devem ser tratadas de acordo com o processo de gestão de incidentes e com apoio do responsável pelo Setor de Segurança de Informação, do gestor responsável, do Setor de Recursos Humanos e do Setor Jurídico da NUVIDIO, quando cabível.

As violações, ainda que por omissão ou mera tentativa não consumada, a esta Política e toda e qualquer diretriz ou norma publicada e veiculada pela NUVIDIO, sem prejuízo de demais sanções de natureza civil, criminal e trabalhista, poderão ensejar as seguintes penalidades: advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.

A aplicação de sanções e punições deverá considerar a gravidade da infração, o tempo de remediação, efeitos alcançados, reincidência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o gestor, no uso de seu poder disciplinar aqui estabelecido, aplicar a pena cabível com o aval do Jurídico e análise da área de Recursos Humanos.

Além das sanções, caso o gestor entenda necessário e viável poderá aplicar ao colaborador uma medida educativa, que consistirá na realização de um curso, workshops, treinamentos, etc., de curta duração a serem disponibilizados pela NUVIDIO.

Ao colaborador ou prestador de serviço envolvido na violação à Política e/ou respectivas diretrizes ou normas será assegurado tratamento justo, correto e confidencial, de modo que qualquer medida tomada deverá ser proporcional e aplicada de acordo com o contrato de trabalho ou prestação de serviços, com a presente Política e com as normas e legislação vigente.

As violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à NUVIDIO, ensejarão a responsabilização pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.

 

7. Treinamentos E Conscientização

A NUVIDIO realizará treinamentos periódicos e disseminação da importância do tema relativo à segurança da informação, promovendo o conhecimento a seus colaboradores e parceiros sobre o sistema de gestão de segurança da informação implementado na empresa.
Para este fim, poderão ser utilizados treinamentos, campanhas de conscientização, palestras, workshops, entre outros.

 

8. Vigência E Histórico Das Revisões

O presente documento entra em vigor em 26/04/2021 e será revisado no período máximo de um (01) ano pelo Setor de Tecnologia da Informação ou havendo necessidade anterior, o que for menor, para que o documento permaneça sempre atualizado.

CONTROLE DE ALTERAÇÕES
DATA
BREVE DESCRIÇÃO DO ATO

26/04/2021

Elaboração da Política de Segurança da Informação e de Segurança Cibernética

21/07/2021

 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética

20/07/2022

 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética

19/07/2023

 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética

https://www.NUVIDIO.com.br/politica-de-seguranca-da-informacao