Na NUVIDIO, especificamos, criamos e operacionalizamos nossos produtos sobre uma base segura, com as proteções necessárias para manter a segurança dos usuários, dos dados e das informações que fazem parte das nossas atividades comerciais.
Podemos alterar nossas Políticas periodicamente. Portanto, pedimos que você verifique no site ocasionalmente, para garantir que fique ciente da versão mais recente que será aplicada a partir do momento em que você acessar os nossos serviços.
Esta Política e suas atualizações estarão disponíveis no https://www.NUVIDIO.com.br/politica-de-seguranca-da-informacao
Esta Política tem como objetivo definir processos, diretrizes e controles para a proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança Cibernética.
A presente Política se aplica a todos os colaboradores, parceiros, clientes e prestadores de serviços da NUVIDIO.
Usuário Interno: Todos os colaboradores, gestores, técnicos, estagiários, consultores e funcionários internos, que fazem uso dos recursos informacionais e computacionais da NUVIDIO.
Usuário Externo: Prestadores de serviços contratados direta ou indiretamente pela NUVIDIO e demais colaboradores externos que fazem uso de seus recursos informacionais e computacionais.
Gestores: Todos aqueles que exercem funções de gerência no âmbito da organização, administrando pessoas e/ou processos.
Área de TI: Unidade organizacional responsável pela gestão e operação dos recursos de TI na organização e custodiante da informação.
Equipe Técnica de SI: Equipe técnica responsável por implementar e administrar as soluções de segurança da informação.
Gestor de SI: Servidor responsável pela gestão da segurança da informação em todos os seus aspectos.
São responsabilidades gerais de todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais da NUVIDIO:
Será de inteira responsabilidade de cada usuário (interno ou externo) todo prejuízo ou dano que vier a sofrer ou causar à NUVIDIO em decorrência da não obediência às diretrizes e normas referidas na Política de Segurança da Informação e nas normas e procedimentos específicos dela decorrentes.
Os usuários externos devem entender os riscos associados à sua condição e cumprir rigorosamente as políticas, normas e procedimentos específicos vigentes. A NUVIDIO poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento da política de SI ou das normas e procedimentos específicos dela decorrentes.
Os gestores executivos da NUVIDIO devem ter postura exemplar em relação à segurança da informação, diante, sobretudo, dos usuários sob sua gestão.
Cada gestor deverá manter os processos sob sua responsabilidade aderentes às políticas, normas e procedimentos específicos de segurança da informação da NUVIDIO, tomando as ações necessárias para cumprir tal responsabilidade.
Quanto à gestão de segurança da informação, serão responsabilidades específicas da área de Tecnologia da Informação:
É de responsabilidade específica da Equipe Técnica de Segurança da Informação:
Buscar alinhamento das práticas de segurança da informação com as diretrizes corporativas da instituição.
É de responsabilidade específica dos Gestores da NUVIDIO:
O e-mail corporativo é a forma oficial de comunicação na NUVIDIO. Os colaboradores da NUVIDIO devem utilizar unicamente o e-mail corporativo como meio de comunicação corporativo com entes externos (parceiros, prestadores de serviço, fornecedores, prospects, etc.), evitando-se a troca de informações e dados pessoais por quaisquer outros meios (WhatsApp, aplicativos de mensagens instantâneas, etc.).
A utilização do e-mail corporativo deve necessariamente obedecer às seguintes regras:
(i) O uso do e-mail corporativo deve ser limitado aos fins necessários para o desempenho da função do colaborador, sendo de uso exclusivo para finalidades profissionais;
(ii) O colaborador deve proteger o seu endereço de e-mail e senha para acesso, que é individual e intransferível. Ou seja: é veementemente proibido o compartilhamento de senha entre colaboradores da NUVIDIO.;
(iii) Sempre que nova mensagem for recebida, o colaborador deve verificar a origem da mensagem e, se suspeitar de qualquer ação irregular ou de desconhecimento do remetente, o e-mail deve ser excluído da caixa de entrada;
(iv) O colaborador não deve responder a mensagens suspeitas, contendo textos e imagens inadequadas e/ou spams;
(v) O colaborador deve ter o hábito de excluir mensagens frequentemente, inclusive aquelas cuja finalidade do conteúdo já tenha sido plenamente atingida, eliminando-as inclusive da pasta “Lixeira”;
(vi) O colaborador não pode fazer cópias de seus e-mails em caso de desligamento da NUVIDIO.
É expressamente proibido:
(i) Utilizar o e-mail para prática de crimes e infrações de qualquer natureza;
(ii) Utilizar o e-mail para cadastro em sites de compras ou não relacionados às finalidades corporativas de interesse da NUVIDIO;
(iii) Compartilhar material obsceno, pornográfico, discriminatório, preconceituoso ou ilegal e vexatório de qualquer maneira;
(iv) Disseminar mensagens com vírus, com conteúdo relativo a entretenimento, publicitário, político ou qualquer conteúdo que não tenha relação com o desempenho de suas funções;
(v) Emitir comunicados que representem a opinião pessoal do colaborador em nome da NUVIDIO;
(vi) Reproduzir qualquer material recebido pelo e-mail corporativo ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão comprovada do criador do trabalho;
(vii) Enviar arquivos de áudio, animação ou vídeo que não tenham relação com os interesses corporativos da NUVIDIO e com o desempenho da função do colaborador;
(viii) Divulgar informações a terceiros sem autorização;
(ix) Falsificar ou adulterar o conteúdo de e-mails ou falsear o endereço remetente, fazendo-se passar por outra pessoa;
(x) Produzir, reproduzir, transmitir ou divulgar mensagens que: contenham qualquer ato ou orientação que conflitem com os interesses da NUVIDIO; contenham ameaças eletrônicas, tais como: vírus, spam e demais malwares; contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que apresente riscos à segurança; visem obter acesso não autorizado a outro computador, servidor ou rede.
As redes internas e seus serviços devem ser controladas com acessos privados por usuário e senha, fazendo com que cada colaborador acesse apenas aquilo que precisa para o pleno desempenho das suas atividades, buscando minimizar o risco de acessos não autorizados.
É expressamente proibido qualquer acesso a sites pertencentes às seguintes categorias: pornográfico e de caráter sexual; pornografia infantil (pedofilia); apologia ao terrorismo; apologia às drogas; crackers; violência e agressividade (racismo, preconceito, etc.); violação de direito autoral (pirataria, etc.); áudio e vídeo, salvo com conteúdo relacionado diretamente a atividades administrativas ou profissionais; conteúdo impróprio, ofensivo, ilegal, discriminatório e similares.
É proibida a transferência de qualquer tipo de programa, jogo, e similares, na rede interna e o acesso a programas de TV na internet ou qualquer conteúdo sob demanda (streaming) e o uso de jogos online.
É expressamente proibido divulgar ou compartilhar informações internas pertencentes à NUVIDIO e referentes à sua operação, especialmente em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet sob a possibilidade de sofrer penalidades previstas nas políticas internas da empresa e na forma da lei.
Todos os arquivos relativos ao desempenho da função do colaborador e à atividade da NUVIDIO deverão necessariamente ser armazenados no diretório adequado de cada Setor.
É categoricamente proibido armazenar arquivos corporativos nos diretórios do computador próprio de cada colaborador (exemplo: “Área de Trabalho” ou pasta “Downloads”).
A utilização de softwares de comunicação instantânea para uso interno é permitida mediante a utilização de ferramentas homologadas pelo Setor de Tecnologia da Informação.
Caso o colaborador necessite da liberação de acesso a sites úteis e necessários para o desempenho de suas funções, deverá efetuar chamado para análise e liberação pelo responsável pelo Setor de Tecnologia da Informação.
Mídias removíveis são dispositivos que permitem a leitura e gravação de dados tais como: CD, DVD, Disquete, Pen Drive, cartão de memória, HDs portáteis, telefones celulares, entre outros.
A porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais. Tal vulnerabilidade não pode ser contida com firewalls já que os dispositivos podem ser acoplados aos equipamentos pelos próprios colaboradores da empresa.
Para minimizar os riscos de exposição e perda de dados sensíveis mantidos pela empresa e reduzir os riscos de proliferação de malwares nos computadores, a transferência de informações para dispositivos removíveis é bloqueada nos equipamentos de propriedade da NUVIDIO.
O armazenamento de documentos e dados deverá ser realizado nos diretórios da rede e repositório da NUVIDIO. Excepcionalmente, a liberação das portas USB dos desktops e notebooks será realizada mediante justificativa e aprovação pelo gestor da área.
O dispositivo USB deve ser preferencialmente adquirido pela NUVIDIO, estar criptografado e protegido por senha. Mesmo em equipamentos liberados o tráfego de dados entre as unidades USB e os computadores será monitorado pelo setor de segurança da informação.
Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que o uso de tais dispositivos possa vir a causar nos ativos de informação.
A NUVIDIO se utiliza de prestadores de serviços terceirizados para a locação e manutenção de seu data center. Para tanto, no momento da contratação do prestador de serviço, a NUVIDIO se certificará de que a empresa contratada:
(i) Possua infraestrutura adequada para atuar em casos de interrupção de energia elétrica, enchentes, inundações, poeira e poluição do ar, incêndios, superaquecimentos, falhas na construção e nos equipamentos ou catástrofes;
(ii) Adote mecanismos adequados para evitar invasões e sabotagens;
(iii) Aplique medidas adequadas para evitar erros humanos na operação do data center;
(iv) Execute ações adequadas para construir os ambientes físicos com materiais impermeáveis e de alta resistência, não sendo inflamáveis e possuindo portas corta-fogo;
(v) Utilize um sistema de detecção e extinção de incêndios, sistema de climatização de precisão, controle de umidade, temperatura e qualidade do ar, uma rede de telecomunicações de alta potência, abastecimento elétrico com redundâncias e proteções contra quedas de energia;
(vi) Adote tecnologias e softwares de segurança adequados para a proteção virtual dos ativos.
A rede ligada ao data center somente poderá ser acessada pelo responsável pelo Setor de Segurança da Informação mediante senha de autenticação.
A NUVIDIO garante, por esta Política, a adoção de regras para a realização de cópias de segurança e restauração de arquivos digitais armazenados aos cuidados da NUVIDIO, realizando backups diários com retenção de 8 dias.
No contexto desta Política, mídia é um meio de armazenamento ou tecnicamente um suporte para informação e inclui desde discos rígidos a registros em papel.
O descarte de mídia não é descarte de informação, pois esta é objeto de legislação específica.
A informação somente pode ser descartada depois de devido processo e autorização. Mídias somente podem ser descartadas se a informação armazenada puder ser descartada ou tiver sido preservada em outro meio.
Portanto, o descarte de mídias deve compreender, entre outros:
Em caso de papel, devem ser usadas fragmentadoras de papel (excepcionalmente, pode ser fragmentado manualmente).
Em mídias magnéticas ainda em funcionamento, deve ser usado um software específico (formatação não é suficiente!) para apagar fisicamente todo o conteúdo do disco rígido, antes da eliminação. No caso de o equipamento não estar funcional, a unidade deve ser retirada para ser limpa em outro equipamento compatível com uso de software específico.
Se a unidade não estiver funcional ela deve ser destruída mecanicamente.
A NUVIDIO estabelece diretrizes voltadas à gestão de acessos aos ativos de informação da empresa, a fim de assegurar níveis adequados de proteção, garantindo que as informações sejam acessadas somente por pessoas autorizadas.
Portanto, além das disposições previstas na Política de Gestão de Acessos da NUVIDIO disponível em [https://drive.google.com/file/d/1mwCl769C2FLKs6kadSyjT1E6EiTvX71P/view?usp=sharing], o usuário deverá tomar as seguintes precauções para manter a privacidade e a segurança dos seus dados:
A NUVIDIO adota várias medidas de segurança para proteger as suas videochamadas.
Isso inclui controles contra invasão de videochamadas na Web e de chamadas realizadas para o videoatendimento. Veja algumas das nossas principais medidas a seguir:
Login para acesso do atendimento: Para o recebimento de chamadas, somente usuários cadastrados com usuário e senha podem ser notificados, atender a notificação e iniciar o videoatendimento.
Protocolo por chamada: Para cada chamada é criado um protocolo único NUVIDIO e/ou um código adicional se o cliente corporativo assim definir.
Videochamadas: P2P (Pear to Pear) com criptografia de ponta a ponta entre os participantes no caso de chamadas não gravadas e criptografia de ponta a ponta entre o cliente e o servidor no caso de chamadas gravadas.
Detalhes do videoatendimento: O cliente deve inserir dados pessoais para acessar a videochamada, definidos pelo cliente corporativo.
Participação de um videoatendimento: as seguintes restrições se aplicam quando as pessoas participam de uma videochamada:
Toda solução de criptografia utilizada pela NUVIDIO deve seguir as regras de Segurança da Informação e os padrões de segurança dos Órgãos reguladores. Assim, a NUVIDIO adota as seguintes medidas de criptografia:
Provedores e fornecedores que armazenam e processam dados, contratados pela NUVIDIO são avaliados sob o ponto de vista de Segurança da Informação e Segurança Cibernética e devem seguir seus papéis e responsabilidades.
Os mecanismos de detecção devem monitorar, analisar e bloquear ações realizadas com intuito de comprometer a estrutura básica da segurança de informação de um sistema informatizado, afetando sua integridade, confidencialidade e disponibilidade.
A NUVIDIO possui controles para prevenir que vírus e outros tipos de softwares maliciosos entrem e espalhem-se nos sistemas e servidores, tais como:
O comportamento de possíveis ataques é identificado por meio de controles de detecção implementados no ambiente, tais como:
Computadores domésticos podem não ser tão propensos a ataques como redes ou servidores, mas como muitas vezes contêm dados sensíveis, eles podem ser alvo de crackers de sistema.
Por tais motivos, o usuário deve manter seus computadores pessoais com software (patches, erratas) e com antivírus atualizados, conforme orientação do Gestor de Segurança da Informação e desta Política de Segurança.
As informações da organização estão sob responsabilidade do usuário, mesmo que estejam em um computador em sua casa ou outro local que não o ambiente de trabalho. Portanto, o usuário deverá responsabilizar-se pelo transporte e pela guarda de equipamentos de armazenamento de dados, processos e documentos retirados das dependências da empresa, bem como preservar o sigilo dos dados acessados e das informações contidas nos processos e demais documentos, mediante a observância às normas de segurança da informação, adotando ainda, cautelas adicionais para preservação do sigilo, sob pena de responsabilidade, nos termos da legislação em vigor e desta Política.
Se necessário, os usuários devem procurar a Equipe Técnica de Segurança da Informação para esclarecimentos.
A Área de Tecnologia da Informação deverá realizar inspeções periódicas nos computadores pessoais dos usuários, de modo a garantir que as orientações e esta Política estão sendo cumpridas regularmente.
Comunicação: Uma vez identificado o risco ou o incidente de segurança o Comunicante deverá, no prazo máximo de 24 (vinte e quatro) horas, reportar ao Departamento de Segurança da Informação da NUVIDIO pelo seguinte endereço de e-mail: hello@NUVIDIO.com.br.
A NUVIDIO disponibilizará uma equipe de atendimento 24 horas x 7 dias por semana, para atendimento das eventuais ocorrências.
Avaliação: A severidade do problema será determinada de acordo com o impacto ou indisponibilidade dos sistemas, conforme tabela abaixo:
SEVERIDADE | DESCRIÇÃO | SLA (Horas) |
Crítica | Serviço totalmente indisponível; comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais. | 8 |
Alta | Serviço seriamente afetado e indisponível para grande parte dos clientes; alta probabilidade de comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais. | 12 |
Média | Serviço indisponível para parte dos clientes ou com baixa performance para todos; baixa probabilidade de comprometimento da Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais. | 24 |
Baixa | O risco ou incidente não gera qualquer impacto nos serviços prestados, nem compromete a Confidencialidade, Integridade e/ou Disponibilidade de informações estratégicas e dados pessoais. No entanto, caso não seja tratado poderá ter sua criticidade agravada. | 48 |
Tratamento: Após avaliação do incidente pelo Departamento de Segurança da Informação, com apoio do Encarregado (DPO) e demais gestores e Usuários, e respeitada a ordem de prioridade de acordo com a classificação de severidade, a NUVIDIO, por meio do seu Comitê tomará as seguintes providências:
Quaisquer violações a esta Política, suas normas e princípios correlatos deverão ser analisadas enquanto incidentes de Segurança da Informação e/ou de Segurança Cibernética e devem ser tratadas de acordo com o processo de gestão de incidentes e com apoio do responsável pelo Setor de Segurança de Informação, do gestor responsável, do Setor de Recursos Humanos e do Setor Jurídico da NUVIDIO, quando cabível.
As violações, ainda que por omissão ou mera tentativa não consumada, a esta Política e toda e qualquer diretriz ou norma publicada e veiculada pela NUVIDIO, sem prejuízo de demais sanções de natureza civil, criminal e trabalhista, poderão ensejar as seguintes penalidades: advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.
A aplicação de sanções e punições deverá considerar a gravidade da infração, o tempo de remediação, efeitos alcançados, reincidência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o gestor, no uso de seu poder disciplinar aqui estabelecido, aplicar a pena cabível com o aval do Jurídico e análise da área de Recursos Humanos.
Além das sanções, caso o gestor entenda necessário e viável poderá aplicar ao colaborador uma medida educativa, que consistirá na realização de um curso, workshops, treinamentos, etc., de curta duração a serem disponibilizados pela NUVIDIO.
Ao colaborador ou prestador de serviço envolvido na violação à Política e/ou respectivas diretrizes ou normas será assegurado tratamento justo, correto e confidencial, de modo que qualquer medida tomada deverá ser proporcional e aplicada de acordo com o contrato de trabalho ou prestação de serviços, com a presente Política e com as normas e legislação vigente.
As violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à NUVIDIO, ensejarão a responsabilização pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.
A NUVIDIO realizará treinamentos periódicos e disseminação da importância do tema relativo à segurança da informação, promovendo o conhecimento a seus colaboradores e parceiros sobre o sistema de gestão de segurança da informação implementado na empresa.
Para este fim, poderão ser utilizados treinamentos, campanhas de conscientização, palestras, workshops, entre outros.
O presente documento entra em vigor em 26/04/2021 e será revisado no período máximo de um (01) ano pelo Setor de Tecnologia da Informação ou havendo necessidade anterior, o que for menor, para que o documento permaneça sempre atualizado.
CONTROLE DE ALTERAÇÕES | |
DATA | BREVE DESCRIÇÃO DO ATO |
26/04/2021 | Elaboração da Política de Segurança da Informação e de Segurança Cibernética |
21/07/2021 | 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética |
20/07/2022 | 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética |
19/07/2023 | 1ª Atualização da Política de Segurança da Informação e de Segurança Cibernética |
https://www.NUVIDIO.com.br/politica-de-seguranca-da-informacao