Política de Segurança da Informação

A FORMAT se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários e estagiários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais serão considerados confidenciais e restritos.

Os dados pessoais de funcionários e estagiários sob a responsabilidade da FORMAT não serão usados para fins diferentes daqueles para os quais foram coletados, estando assim em conformidade com a legislação estabelecida pela Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD).

Dados pessoais de funcionários não serão transferidos para terceiros, exceto quando for extremamente necessário para execução de um projeto, e desde que em concordância com o colaborador e ressalvado juridicamente que tais terceiros irão manter a confidencialidade dos referidos dados de acordo com a Lei nº 13.709/2018.

O Grupo Gestor da Segurança da Informação da FORMAT irá monitorar toda e qualquer movimentação de contratações temporárias de estagiários/menor aprendiz e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou descadastrados nos sistemas da empresa. O Grupo Gestor também deverá questionar quais sistemas e repositórios de arquivos de trabalho o novo colaborador deverá ter direito de acesso.

O Grupo Gestor da Segurança da Informação da FORMAT fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, que deverá ser trocada pelo usuário no seu primeiro acesso.

No caso de desligamento, o Grupo Gestor da Segurança da Informação, intervirá imediatamente para que todos os acessos concedidos ao colaborador em questão sejam revogados.

Quando houver necessidade de concessão ou revogação de acesso aos sistemas, repositórios de arquivos de trabalho e/ou equipamentos de informática da FORMAT, o solicitante deverá comunicar esta necessidade ao Grupo Gestor da Segurança da Informação.

Determina - se que as senhas tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.

Determina - se que as senhas também sejam ser trocadas pelos usuários a cada 3 meses, não devendo se repetir as senhas definidas nos últimos 12 meses.

Sempre que um usuário é desligado da organização, todas as suas senhas e acessos devem ser revogados no mesmo dia.

Os arquivos de trabalho digitais, considerados dados essenciais ao desenvolvimento do negócio da Format, são mantidos na nuvem da FORMAT. Seu acesso é realizado interna e externamente de acordo com o horário e nível de acesso estabelecido a cada tipo de usuário.

São exemplos de arquivos de trabalho: planilha de faturamento, notas fiscais, propostas comerciais, relatórios de análise técnica, documentação de clientes, propostas financeiras, inventários de equipamentos, documentos de auditoria, mapas de processos, atividades de estágio, entre outros diversos.

O acesso remoto aos computadores da empresa tem por regra geral serem bloqueados e não permitidos, salvo se realizado através de ferramentas homologadas, com a devida permissão do Grupo Gestor da Segurança da Informação.

São considerados arquivos individuais aqueles criados, copiados ou desenvolvidos pelos usuários, que não sejam parte integrante do produto entregável pelo seu trabalho, seja ele interno ou para clientes. Alguns exemplos são: rascunhos ou lembretes, memórias de cálculo, mensagens, diagramas ou instruções técnicas. A cópia de segurança destes arquivos no repositório em nuvem da Format é de responsabilidade dos próprios usuários.

Não é permitido aos usuários o uso ou armazenamento dos tipos de arquivos abaixo relacionados em suas estações de trabalho:

• Músicas, filmes, séries, programas de TV.
• Vídeos não relacionados à atividade profissional.
• Conteúdo de teor pornográfico, armas, drogas lícitas e ilícitas.
• Qualquer conteúdo que infrinja o bom senso comum.

O compartilhamento de pastas e arquivos de trabalho cujo conteúdo seja classificado como sendo de informação CONFIDENCIAL ou RESTRITA é proibido através dos seguintes meios:

• Google Talk, WhatsApp, Viber, Telegram, ou qualquer outro comunicador de mensagens instantâneas.
• Compartilhamento de pastas do Windows.
• Bluetooth.
• Cópia via pen drive ou qualquer outro dispositivo removível.
• Google Drive, Dropbox, iCloud, OneDrive ou qualquer outro drive virtual.

Havendo necessidade de se realizar o compartilhamento de dados entre usuários (internos e/ou externos), deve se comunicar ao Grupo Gestor da Segurança da Informação para que a situação seja avaliada e a solução mais segura seja implementada habilitando recursos de rastreio, auditoria e alteração dos referidos arquivos a fim de garantir a irretrabilidade, ou seja, que o usuário logado não negue a autoria de uma ação específica (por exemplo: criar/assinar/excluir/compartilhar um arquivo/documento).

Cópias de segurança dos sistemas, repositórios de arquivos de trabalho, bancos de dados e configurações dos equipamentos e servidores de rede são de responsabilidade exclusiva do Grupo Gestor da Segurança da Informação.

O uso da internet é liberado dentro das dependências da Format, salvo algumas categorias de sites que são bloqueadas nativamente em nosso firewall por não agregarem em nada nosso cotidiano profissional e irem contra a moral e o bom senso comum como: drogas, pornografia, armas e tantos outros temas do gênero.

A Format entende que um bom profissional de TI precisa de liberdade para trabalhar, portanto não monitora o acesso pessoal do colaborador, nossa ferramenta de EDP atua de forma sistemática, analisando o comportamento do usuário e agindo de forma instantânea em caso de tentativa de invasão, execução acidental de arquivo infectado, acesso a sites com conteúdo malicioso, entre outros.

Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites:

• De jogos on-line.
• De conteúdo pornográfico ou relacionados a sexo.
• Que defendam atividades ilegais.
• Que menosprezem, depreciem ou incitem o preconceito a determinadas classes.
• Que promovam a participação em salas de discussão de assuntos relacionados aos negócios da FORMAT, que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados.
• Qualquer acesso às redes sociais que não seja relacionado com a área de interesse da empresa.

O correio eletrônico fornecido pela FORMAT é um instrumento de comunicação interna e externa para a realização dos negócios da empresa.

As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da FORMAT, não podem ser contrárias à legislação vigente e nem aos princípios éticos estabelecidos no "Código de Ética e Conduta".

Toda mensagem enviada através do e-mail é de responsabilidade do colaborador vinculado àquela conta.

Não é permitido o cadastro do e-mail corporativo da FORMAT em sites, chats, cadastros para download ou qualquer outra situação do gênero.

É proibido o uso de e-mails pessoais para tratar situações corporativas.

Evite usar e-mail pessoais (Yahoo!, Hotmail, Gmail, entre outros), nos computadores da FORMAT.

O Grupo Gestor da Segurança da Informação poderá, visando evitar a entrada de vírus nos computadores da FORMAT, bloquear determinados sites sem prévio aviso aos colaboradores.

É terminantemente proibido o envio de mensagens que:

• Contenham declarações difamatórias e linguagem ofensiva.
• Possam trazer prejuízos a outras pessoas.
• Sejam hostis.
• Sejam relativas a "correntes", de conteúdos pornográficos, drogas, armas ou equivalentes.
• Possam prejudicar a imagem da FORMAT e/ou de outras empresas.

O Grupo Gestor da Segurança da Informação é responsável pela definição de compra, substituição e instalação de todo e qualquer "software" e "hardware".

Qualquer necessidade de novo "software" ou "hardware" deverá ser discutida pelo colaborador com o responsável pelo Grupo Gestor da Segurança da Informação.

Não é permitida a compra ou o desenvolvimento de "softwares" diretamente pelos usuários.

Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade da FORMAT devem estar cientes de que:

• Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo único a realização de atividades profissionais.
• A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário.
• É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo.
• O usuário não deve alterar a configuração do equipamento recebido.
• Todos os notebooks da empresa sejam estes com sistema operacional Windows ou Linux, deverão estar com a criptografia de disco ativada em todas as unidades, com chaves únicas por equipamento e comprimento de 32 bytes alfanumérico maiúsculos e minúsculos e caracteres especiais.
• O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado.
• Jogos são proibidos.

Fora do trabalho:

• Mantenha o equipamento sempre em local seguro.
• Atenção em hall de hotéis, aeroportos, aviões, táxi/Uber, entre outros.
• Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível.
• Atenção ao transportar o equipamento na rua.
• Solicite ao Grupo Gestor da Segurança da Informação uma mochila adequada para transportar o notebook e/ou outros equipamentos da empresa que estiver sob sua responsabilidade.

Em caso de furto:

• Registre IMEDIATAMENTE a ocorrência em uma delegacia de polícia.
• Comunique o fato o mais rápido possível ao seu superior imediato e ao Grupo Gestor da Segurança da Informação para que acessos sejam revogados imediatamente.
• Envie uma cópia do boletim de ocorrência para o gestor da empresa.
• Solicite a presença do seu gestor ao local onde você se encontra, caso seja possível.

O gestor é responsável pelas definições dos direitos de acesso de seus subordinados aos sistemas e informações da empresa, cabendo a eles verificarem se os mesmos estão acessando exatamente os sistemas e as áreas de dados compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.

O Grupo Gestor da Segurança da Informação fará auditorias periódicas do acesso dos usuários às informações, verificando:

• Que tipo de informação o usuário pode acessar.
• Quem está autorizado a acessar determinado sistema e/ou informação.
• Quem acessou determinada sistema e informação.
• Quem autorizou o usuário a ter permissão de acesso à determinado sistema ou informação.
• Que informação ou sistema determinado usuário acessou.
• Quem tentou acessar qualquer sistema ou informação sem estar autorizado.

Todo arquivo obtido através da Internet ou recebido de entidade externa a FORMAT deve ser verificado por programa antivírus.

Todas as estações de trabalho possuem software Endpoint com recursos de IA instalados. A sua atualização será automática, agendada pelo Grupo Gestor da Segurança da Informação, via rede.

O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.

Assim como as informações internas da Format representam seu ativo mais valioso, o mesmo ocorre para com nossos clientes, sendo os dados armazenados em seus equipamentos e sob nossa responsabilidade, um bem, em sua maioria das vezes de valor mais significativo que o próprio dispositivo em si.

Ao receber um equipamento para formatação, seja esse tablet, smartphone, computador, notebook, all-in-one, híbridos ou qualquer outro similar que contenha algum tipo de informação, é necessário:

• Conversar informalmente com o cliente a fim de saber o tipo de dados que ele armazena e os locais nos quais eles se encontram, ou seja, entender o equipamento segundo a ótica do proprietário.
• Em situações na qual seja um equipamento de empresa, é necessário averiguar juntamente com o cliente quanto a existência de programas terceirizados, sistemas, banco de dados, impressoras fiscais, sistemas de NFE, aplicativos de bancos, programas específicos, entre outros.

Quanto as rotinas técnicas de backup:

Realizar um backup manual dos seguintes locais:

• Arquivos armazenados na pasta local de usuários (C:\Users\Usuário).
• Arquivos armazenados localmente na unidade C:\.
• Arquivos armazenados localmente na unidade D:\ ou equivalente se houver.
• Pasta de drivers armazenadas dentro da System32: C:\Windows\System32\drivers e C:\Windows\System32\DriverStore.
• Print das impressoras instaladas.
• Print das configurações estáticas de rede, caso houver.
• Print do nome do computador e domínio/grupo de trabalho.
• Favoritos dos navegadores.
• Criar uma cópia de estrutura de disco contendo todas as unidades através de ferramentas de imagem de disco.

A cópia de estrutura de disco deve ficar armazenada na Format por no mínimo 3 dias após a entrega do equipamento.

CONSIDERAÇÃO 01: o "backup manual" deverá ser armazenado em local diferente do backup estrutural.

CONSIDERAÇÃO 02: Em situações na qual não for possível efetuar o bakcup (HD corrompido, ransomware, entre outros) e for necessário concluir o serviço de formatação salvando parcialmente ou nenhum arquivo, o gestor deverá primeiramente entrar em contato com o cliente, informar o ocorrido e solicitar que o mesmo envie por escrito para a FORMAT (e-mail ou Whatsapp) a autorização para prosseguir com o serviço de acordo com a situação do seu equipamento, de forma que esta mensagem seja clara e inequívoca, garantindo assim, a irretrabilidade da informação por parte do cliente. Em nenhuma hipótese o serviço poderá ser continuado sem a ciência e autorização formal por parte do cliente. E-mail: contato@formatsolucoes.com.br | Whatsapp (34) 99225-7630.

É qualquer ato que:

• Exponha a empresa a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados ou de informações ou ainda da perda de equipamento.
• Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos.
• Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.