OBJETIVO

O objetivo da presente Política de Segurança da Informação – PSI é estabelecer regras, controles e responsabilidades, para tratamento das informações e seu uso, considerando todas as normas e legislação vigentes, com o compromisso de proteger os dados sob a guarda do MDB – Monteiro de Barros Sociedade de Advogados, devendo esta PSI ser observada e rigorosamente cumprida por todos os seus sócios (advogados), funcionários, estagiários, prestadores de serviços, consultores, colaboradores e correspondentes.

DEFINIÇÕES

Informação: É a reunião ou conjunto de dados e conhecimentos, que representa um importante ativo no mundo jurídico e dos negócios que pode ser determinante para o sucesso ou insucesso de um empreendimento, podendo seu vazamento causar severos prejuízos;

Segurança da Informação: Garantir a preservação da confidencialidade, integridade, disponibilidade e autenticidade das informações;

Confidencialidade: Garantir que a informação seja de conhecimento exclusivo de pessoas autorizadas;

Integridade: Garantir que as informações sejam mantidas íntegras (completas e exatas), sem modificações indevidas;

Disponibilidade: Garantir que as pessoas autorizadas, sempre que necessário, tenham acesso à informação e aos ativos correspondentes para uso legítimo;

Autenticidade: Garantir a identidade de quem está enviando a informação, ou seja, propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mudanças ao longo de um processo;

Incidente de Segurança da Informação: Evento decorrente da ocorrência ou ameaça de exploração de uma ou mais vulnerabilidades e que afete algum dos aspectos da segurança da informação: confidencialidade, integridade, disponibilidade ou autenticidade da informação; e

Risco de Segurança da Informação: Riscos associados à violação da confidencialidade, integridade, autenticidade e disponibilidade das informações, sejam por meios físicos e digitais.

RESPONSABILIDADES

Cabe a todos sócios (advogados), funcionários, estagiários, prestadores de serviços, consultores, colaboradores e correspondentes cumprir fielmente a presente PSI, seus procedimentos e orientações, buscando auxílio de gestores em caso de dúvidas, visto que incidentes de vazamentos, modificação, divulgação e destruição não autorizadas e oriundas de erros, fraudes, vandalismo, espionagem ou sabotagem podem causar severos danos ao MDB e à terceiros.

É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias, protegendo as informações contra acessos indevidos, modificação, destruição ou divulgação não autorizados, assegurar que os recursos tecnológicos à sua disposição sejam utilizados com segurança e apenas para as finalidades aprovadas pelo MDB, bem como cumprir as leis e as normas que regulamentam a questão, comunicando imediatamente o setor administrativo quando do descumprimento ou ameaça de violação desta política.

VIOLAÇÕES DE SEGURANÇA DA INFORMAÇÃO E SANÇÕES

As violações de segurança devem ser imediatamente comunicadas ao setor administrativo do MDB, que analisará e investigará a ocorrência, determinando as medidas necessárias, visando à correção da falha ou reestruturação de processos, com o fim de solucionar a questão e minimizar seus efeitos.

Os princípios de segurança estabelecidos na presente PSI devem ser observados por todos na execução de suas funções. O infrator será notificado e a ocorrência da transgressão imediatamente comunicada ao seu gestor imediato, estando o envolvido sujeito de acordo com a gravidade da infração à advertência, multa prevista no acordo de confidencialidade, rescisão de seu contrato e, até mesmo, às penas de responsabilidade civil e criminal na máxima extensão que a lei permitir.

ACESSO À SISTEMAS E RECURSOS DE REDE

Os sócios (advogados), funcionários, estagiários, prestadores de serviços, consultores e colaboradores são responsáveis pela utilização de suas senhas e autorizações de acesso a sistemas, assim como pelas ações decorrentes da utilização destes, dentro dos limites de acesso concedidos pelo MDB.

O acesso e o uso de todos os sistemas de informação, diretórios de rede, bancos de dados e demais recursos são restritos à pessoas autorizadas e de acordo com a necessidade para o exercício de seu cargo e função.

A concessão de acesso às informações e sistemas são autorizadas com base na regra de mínimo acesso necessário para o desempenho de cargo e função, bem como são periodicamente revisados.

REQUISITOS DE SEGURANÇA DO AMBIENTE LÓGICO

Todo acesso às informações e aos ambientes lógicos do MDB são controlados, de forma a garantir a visualização apenas às pessoas autorizadas. As autorizações são revistas, confirmadas e registradas continuadamente. Os dados, as informações e os sistemas de informação são protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a confidencialidade, integridade, autenticidade e disponibilidade.

CONTROLE DE ACESSO LÓGICO (BASEADO EM SENHAS)

Os sócios (advogados), funcionários, estagiários, prestadores de serviços, consultores e colaboradores são responsáveis por todos os atos executados com seu identificador (login e senha), que são individuais e intransferíveis para acesso aos recursos de rede e sistema, devendo as senhas serem memorizadas e não registradas em lugar algum, bem como alteradas periodicamente de acordo com as definições do manual técnico e sempre que existir qualquer suspeita do comprometimento, criando senhas robustas, que sejam de difícil adivinhação, além de impedir o uso de seu equipamento por outras pessoas, enquanto este estiver conectado com a sua identificação.

MÁQUINAS – ESTAÇÃO DE TRABALHO

As estações de trabalho e equipamentos portáteis devem ser protegidos contra danos ou perdas, bem como ao acesso, uso ou exposição indevidos.

As estações de trabalho possuem identificação na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do usuário da estação, que deverá encerrar o acesso no final do expediente, desligando o equipamento, bem como sempre bloqueá-lo ao se ausentar da mesa.

Não é permitida a gravação de arquivos na estação de trabalho, os quais poderão ser excluídos pelo responsável de TI sem aviso prévio.

DIRETRIZES QUANTO À UTILIZAÇÃO DA REDE CORPORATIVA

Todos os arquivos devem ser salvos na rede, pois arquivos gravados na estação de trabalho não possuem cópias de segurança (backup), devendo-se evitar a gravação de arquivos duplicados ou gravar várias versões do mesmo arquivo, para não comprometer sua integridade e ocupar de forma desnecessária o espaço na rede.

Não é permitida o uso dos recursos de TI para armazenamento de arquivos particulares (músicas, filmes, fotos, etc.), assim como material pornográfico, homofóbico, preconceituoso, racista ou que incite ódio, crime ou violência, os quais também não podem ser expostos, armazenados, distribuídos, editados ou gravados por meio do uso dos recursos computacionais da rede corporativa. Os conteúdos mencionados neste parágrafo serão imediatamente excluídos sem aviso prévio, com aplicação de sanção ao envolvido.

BACKUPS

Os backups dos arquivos de rede e sistema são diariamente realizados seguindo todas as regras de segurança, aprovados pelo responsável de TI, para preservar a confidencialidade, integridade, disponibilidade ou autenticidade da informação.

SISTEMAS E SOFTWARES

É terminantemente proibida a execução de programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilidade de serviços, bem como a execução de programas, instalação de equipamentos, armazenamento de arquivos ou execuções de ações que possam facilitar o acesso de usuários não autorizados à rede do MDB.

Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados, devendo a documentação do sistema e licenças de softwares serem mantidas atualizadas.

INSTALAÇÃO DE SOFTWARES

Apenas pessoal autorizado de TI pode instalar softwares nas estações de trabalho e devem utilizar apenas softwares originais homologados pelos responsáveis de TI e serem disponibilizados apenas à área autorizada.

O MDB respeita os direitos autorais, coibindo e monitorando o eventual uso indevido de softwares não licenciados, sendo categoricamente proibido o uso de softwares ilegais, devendo o pessoal de TI desinstalar imediatamente, sem a necessidade de qualquer aviso prévio, todo e qualquer software não autorizado e sem licença de uso.

DIRETRIZES PARA UTILIZAÇÃO DO E-MAIL CORPORATIVO

O envio e recebimento de e-mail deverá ocorrer apenas por meio do correio eletrônico do MDB, evitando-se a utilização do e-mail corporativo do MDB para assuntos pessoais, sendo proibida a utilização do e-mail corporativo do MDB para envio de mensagens que possam comprometer a imagem da sociedade perante seus clientes e terceiros.

É proibida a utilização do e-mail corporativo do MDB para envio grande quantidade de mensagens (spam) que possam comprometer a capacidade da rede, sendo também proibido o reenvio de e-mails “corrente” (ex.: criança desaparecida).

Não é permitido o envio de informações confidenciais para e-mails externos sem proteção, devendo a referida informação ser encaminhada por meio de arquivo com senha robusta, conforme definições do manual técnico.

Não deverão ser abertos ou executados arquivos recebidos de remetentes desconhecidos ou com características suspeitas, assim como links suspeitos, além do preenchimento e fornecimento de dados e informações pessoais e do MDB, para cadastros, sem aprovação do responsável de TI sobre a autenticidade do solicitante.

O e-mail corporativo do MDB pode ser monitorado e verificado para fins de auditoria, a qualquer tempo e sem prévio aviso, bem como redirecionado em período de férias, ausência e desligamento.

DIRETRIZES PARA UTILIZAÇÃO DA INTERNET

A internet deve ser utilizada apenas para fins corporativos, com a finalidade de contribuir no desenvolvimento das atividades executadas pelo profissional, sendo o acesso às páginas e sites de responsabilidade exclusiva de cada usuário, ficando vedado o acesso à conteúdos impróprios.

É terminantemente proibida a utilização do nome do MDB para falar ou escrever nos meios de comunicação e em sites de Bate-Papo (Chat Room), Blogs, Twitter, Facebook, LinkedIn, Instagram ou Grupos de Discussão (fóruns, newsgroups), sem revisão do conteúdo e autorização prévia.

DIRETRIZES PARA UTILIZAÇÃO DE MÍDIAS REMOVÍVEIS

A utilização de mídias removíveis no MDB não é permitida, devendo ser realizada apenas em caso de extrema necessidade e com prévia autorização do supervisor responsável, devendo as informações, em regra, serem transmitidas por meio das ferramentas corporativas (e-mail, rede e software de comunicação interna), que possuem a segurança necessária.

Na hipótese de ser necessário transportar arquivos por meio de mídias removíveis (HD Externo ou PenDrive) e for concedida a autorização necessária para tanto, é recomendado que os arquivos sejam apagados imediatamente após a utilização, a fim de evitar vazamento de informação sensível.

Caso verificada a utilização de mídias removíveis, sem a necessária autorização, o envolvido será responsabilizado quando aos danos causados, seja por perda/vazamento de informação confidencial e/ou permitir a entrada de vírus ou softwares maliciosos na rede corporativa.

DIRETRIZES PARA UTILIZAÇÃO DE EQUIPAMENTOS PARTICULARES

Equipamentos particulares/privados, como computadores ou qualquer dispositivo portátil que possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar informações relacionadas com o negócio. Para conexão na rede corporativa, os equipamentos precisam ser avaliados pelo responsável de TI, que verificará a existência de vírus, as atualizações do antivírus e as instalações que forem necessárias para acesso.

Os equipamentos não deverão ser conectados em redes Wi-Fi desconhecidas, pois estas podem conter mecanismos para captura de dados do seu dispositivo.

Sempre utilize o bloqueio de tela com senha em seus equipamentos e, se possível, utilize a opção de criptografia para cartões SD utilizados em tablets e celulares, não deixando os equipamentos em locais visíveis em deslocamentos de carro, transportando-os sempre em lugares discretos e evitando a utilização em locais públicos.

CONTROLES DE ACESSO FÍSICO

O acesso físico nas dependências do MDB é realizado apenas por pessoas devidamente autorizadas, mediante prévio cadastramento e fornecimento de cartão eletrônico pela recepção do edifício, que dá acesso individual às catracas que levam aos elevadores e escadas.

No andar onde é localizado o escritório do MDB, os funcionários ou visitantes são identificados na recepção, tendo acesso à área interna e as estações de trabalho tão somente os sócios, funcionários e estagiários devidamente autorizados.

POLÍTICA DA MESA LIMPA

Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos, eletrônicos ou não.

Ao utilizar uma impressora coletiva, o documento impresso deve ser imediatamente recolhido. Jamais devendo o documento confidencial ser utilizado como rascunho, o qual deve ser imediatamente destruído, no caso de descarte.

Após o recebimento de fax e/ou extração de cópia de arquivo confidencial, estes deverão ser imediatamente arquivados na pasta de destino ou destruído.

PRÁTICAS DE COMUNICAÇÃO VERBAL DENTRO E FORA DO MDB

Não devem ser discutidos ou comentados assuntos confidenciais, citados nomes ou tratativas, dentro ou fora do ambiente de trabalho, em locais públicos, ou próximos de visitantes, seja ao telefone ou com algum colega, parente ou mesmo fornecedor.

ACORDO DE CONFIDENCIALIDADE, TREINAMENTO, ATUALIZAÇÃO E DIVULGAÇÃO

É exigido a todos os profissionais quando do seu ingresso no MDB, assinar o acordo de confidencialidade e não divulgação, assumindo o compromisso com as informações do escritório, clientes e terceiros.

Aos profissionais admitidos também é disponibilizado treinamento que aborda as questões de proteção e segurança da informação, bem como os termos de conduta, princípios, política e procedimentos adotados pelo MDB.

A presente política deve ser fielmente seguida observando-se às necessidades e responsabilidades específicas dos sócios (advogados), funcionários, estagiários, prestadores de serviços, consultores, colaboradores e correspondentes.

O conteúdo da presente Política é ampla e constantemente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deve ser feita periodicamente para melhor entendimento.

PROCEDIMENTO DE RESCISÃO E REMOÇÃO DE DIREITOS DE ACESSO

Com o encerramento do vínculo do sócio (advogado), funcionário, estagiário, prestador de serviços, consultor ou colaborador, as senhas de acesso à rede ou sistema internos ou de clientes, são imediatamente revogados, mantendo-se os compromissos assumidos, tanto por meio do acordo de confidencialidade, quando pela presente PSI, mesmo após o desligamento.

DIREITO DE PROPRIEDADE

Todo produto resultante do trabalho do sócio (advogado), funcionário, estagiário, prestador de serviços, consultor, colaborador ou correspondente (coleta de dados e documentos, sistema, metodologia, dentre outros) é propriedade do MDB.

Em caso de extinção do vínculo ou rescisão do contrato, por qualquer motivo, deverá o envolvido devolver todas as informações confidenciais geradas e manuseadas em decorrência da atividade ou emitir declaração de que as destruiu.

LEIS E REGULAMENTOS

É responsabilidade individual de todos conhecer a legislação e cumprir os requisitos legais, normas e padrões locais vigentes.

DISPOSIÇÕES FINAIS

A presente Política foi aprovada pelos sócios administradores do MDB, por meio de Ata com firma reconhecida, e será revisado pelo menos uma vez ao ano, com registro da versão e da data da revisão.