POLÍTICA DE SEGURANÇA

DA INFORMAÇÃO E CIBERNÉTICA

 

 

 

                  

APRESENTAÇÃO

 

 

 

A Política de Segurança da Informação da AC Express Transportes Ltda, “AC Express”, aplica-se a todos os sócios, colaboradores, prestadores de serviços, sistemas, incluindo trabalhos executados externamente ou por terceiros que utilizem o ambiente de processamento da AC Express, ou que acesse informações a ela pertencentes. Todo e qualquer usuário com acesso computadorizado ou digitais na nossa instituição tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.

 

 

OBJETIVOS

A Política de Segurança da Informação da AC Express visa proteger as informações de sua propriedade e/ou sob sua guarda, garantindo a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade das mesmas. Sendo assim, nenhuma informação confidencial deve, em qualquer hipótese, ser divulgada a pessoas, dentro ou fora da AC Express, que não necessitem ou não devam ter acesso a tais informações para desempenho de suas atividades profissionais relacionadas à empresa.

Qualquer informação sobre a AC Express, ou de qualquer natureza relativa às atividades da empresa e a seus sócios, colaboradores e clientes, obtida em decorrência do desempenho das atividades normais do colaborador, só poderá ser fornecida ao público, mídia ou a demais órgãos caso autorizado pela diretoria da AC Express.

 

 

SEGURANÇA DE INFORMAÇÕES

As medidas de segurança da informação utilizadas pela AC Express têm por finalidade minimizar as ameaças ao patrimônio, à imagem e aos negócios da empresa. É terminantemente proibido aos colaboradores copiarem ou imprimirem informações consideradas confidenciais e/ou sensíveis, gerados ou disponíveis no ambiente virtual da AC Express, para fazer ou deixar circular em ambientes externos à empresa, sem prévia autorização da diretoria.

Cabe ressaltar que, em relação a informações de caráter sensível ou confidencial da empresa ou de clientes, estas serão armazenados em diretórios de rede com acesso restrito, e controlado pela gerência de TI da AC Express. A proibição acima referida não se aplica quando as cópias ou a impressão dos arquivos forem em prol da execução e do desenvolvimento dos negócios e dos interesses da AC Express.

Nestes casos, o colaborador que estiver na posse e guarda da cópia ou da impressão da informação confidencial será o responsável direto por sua boa conservação, integridade e manutenção de sua confidencialidade.

Nesse sentido, qualquer impressão de documentos deve ser prontamente retirada da impressora, pois podem conter informações restritas e confidenciais, mesmo no ambiente interno da AC Express.

O descarte de informações confidenciais em meio digital deve ser feito de forma a impossibilitar sua recuperação. O descarte de documentos físicos que contenham informações confidenciais ou de suas cópias deverá ser realizado imediatamente após seu uso, de maneira a evitar sua recuperação, sendo recomendável o seu descarte total. Adicionalmente, os Colaboradores devem se abster de utilizar pen-drives, CDs, fitas, discos ou quaisquer outros meios que não tenham por finalidade a utilização exclusiva para o desempenho de sua atividade na AC Express. É proibida a conexão de equipamentos na rede da AC Express, que não estejam previamente autorizados.

Novos equipamentos e/ou sistemas deverão ter suas configurações pela equipe suporte de TI. Todo acesso a USB para armazenamento deve ser evitado. Cada Colaborador é responsável por manter o controle sobre a segurança das informações armazenadas ou disponibilizadas nos equipamentos que estão sob sua responsabilidade.

Será obrigatória a alteração de senha de acesso aos equipamentos (login de usuário) ao menos a cada três meses, utilizando modelo de definição de senha de difícil identificação por parte de potenciais “hackers” externos. Tal processo será auditável e rastreável eletronicamente baseado no sistema de login do servidor e serviços de informação.

Não é permitida a instalação de nenhum software ilegal ou que possua direitos autorais protegidos, ou mesmo legal, sem prévia autorização da gerência de TI, sendo este procedimento, ação exclusiva e restrita à equipe de suporte de tecnologia. Todo conteúdo da rede interna poderá ser acessado pela presidência, diretoria ou gerente de TI, caso haja necessidade, inclusive e-mails e arquivos pessoais salvos em cada computador, caso seja necessário.

A confidencialidade dessas informações será respeitada, e seu conteúdo será disponibilizado ou divulgado somente nos termos e para os devidos fins legais, ou em atendimento a determinações judiciais ou administrativas. O acesso a rede é restrito baseado na liberação prévia de senhas.

Por fim, convém ressaltar que a AC Express conta com sistemas e ferramentas contratados para arquivamento (rede), firewall, antivírus, backup, prevenção de invasão e linha de contingência.

 

 

SERVIÇOS DE REDE

As redes de serviços são segmentadas para garantir a segurança e desempenho entre elas. Foi implantado um sistema de prevenção de invasão na rede e nos equipamentos para garantir a segurança da informação e disponibilidade de serviços.

 

ARMAZENAMENTO DE DADOS

O armazenamento de dados (backup) é realizado diariamente em nuvem e localmente sendo disponível para restauração após liberação do responsável de segurança da informação.

 

CORREIO ELETRÔNICO

O uso do correio eletrônico da AC Express é para fins corporativos e relacionados às atividades do colaborador usuário e deve ser usado apenas para fins estritamente profissionais. Para fins pessoais é permitido, desde que feita com bom senso e não cause impacto no tráfego da rede ou não prejudique a AC Express.

 

É proibido aos colaboradores o uso do correio eletrônico da AC Express:

  • enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da AC Express;

  • enviar mensagens pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

  • enviar qualquer mensagem que torne seu remetente e/ou a AC Express ou suas unidades vulneráveis a ações civis ou criminais;

  • divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo seu gerente e pelo proprietário ou responsável pela informação;

  • falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

  • apagar mensagens pertinentes a AC Express, mesmo que a julgue não pertinente;

  • produzir, transmitir ou divulgar mensagem que:

    • contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da AC Express;

    • contenha ameaças eletrônicas, como: spam, malware ou vírus;

    • contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;

    • vise obter acesso não autorizado a outro computador, servidor ou rede;

    • vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método não autorizado;

    • vise burlar qualquer sistema de segurança;

    • vise vigiar secretamente ou assediar outro usuário;

    • vise acessar informações confidenciais sem explícita autorização do proprietário;

    • vise acessar indevidamente informações que possam causar prejuízos a qualquer

    • pessoa;

    • inclua imagens criptografadas ou de qualquer forma mascaradas;

    • contenha anexo(s) superior(es) a 15 MB para envio e recebimento

    • contenha conteúdo considerado impróprio, obsceno ou ilegal, de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;

    • contenha perseguição preconceituosa baseada em sexo, raça, religião, orientação sexual, incapacidade física ou mental;

    • contenha fins políticos locais ou do país ou seja considerada propaganda política;

    • inclua material protegido por direitos autorais sem a permissão do detentor dos

    • direitos.

  • As mensagens de correio eletrônico deverão seguir o padrão de assinatura AC Express, com leiaute atualizado e devidamente aprovado pelo Marketing, contendo:

    • nome do colaborador;

    • função ou departamento;

    • telefone(s);

    • site;

    • imagens aprovadas pelo Marketing.

 

INSTALAÇÕES FISICAS TECNOLOGIA

Para garantia o ambiente em alta disponibilidade está implantado um nobreak e gerador central para assegurar a continuidade do uso de equipamentos eletrônicos até o restabelecimento normal da energia. O sistema de ar condicionado está implantado no CPD. O acesso físico ao CPD é controlado e autorizado somente a pessoas da equipe de tecnologia da informação ou afins.

 

IDENTIFICAÇÃO

Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante o ambiente virtual da AC Express e ou/terceiros. O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade). Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.

Todos os dispositivos de identificação utilizados na AC Express, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira. O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação, tanto cível quanto criminalmente. Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

É proibido o compartilhamento de login para funções de administração de sistemas. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a AC Express e a legislação será dos usuários que dele se utilizarem. Se for identificado conhecimento ou solicitação do gestor de uso compartilhado pelo gestor da área, ele também será responsabilizado.

A gerência de recursos humanos da AC Express é responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores, enquanto a gerência de TI responde pela criação da identidade virtual dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários. Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas.

É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados. As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com a equipe de suporte de TI, o qual deverá ter confirmada sua identidade, para geração de uma senha temporária.

Os usuários são orientados a trocar as senhas periodicamente, ou ainda solicitar novas senhas, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha. A periodicidade máxima para troca das senhas é 90 (noventa) dias.

Ao realizar o primeiro acesso ao ambiente de rede local, o usuário receberá uma senha temporária, a qual deverá substituir imediatamente conforme as orientações apresentadas. Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 1 (um) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível. Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo 2 (dois) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo).

Os sistemas críticos e sensíveis para a instituição e aqueles com privilégios administrativos devem exigir a troca de senhas a cada 90 (noventa) dias.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o departamento de recursos humanos deverá imediatamente comunicar tal fato ao departamento de tecnologia da informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

 

MANUTENÇÃO DE INFORMAÇÃO

Todas as informações consideradas essenciais são mantidas em servidores cloud, a começar pelo ERP, mantido em servidores de alto nível de confiabilidade, garantindo redundância de links e dados, garantindo 99,5% de disponibilidade. Outros sistemas, seja a plataforma de automação de processos ou sistemas de comunicação são mantidos em servidores nuvem, com redundância de links e dados, garantindo 99,5%.

 

INDISPONIBILIDADE DE ACESSO A INFORMAÇÃO

Em caso de problemas de indisponibilidade de acesso à informação é acionado o processo de plano de contingência de crises sendo avaliado o impacto sobre o negócio.

 

DISPOSITIVOS MÓVEIS

A AC Express incentiva a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que sejam usados dispositivos móveis. Entende-se por dispositivo móvel, os equipamentos eletrônicos com atribuições de mobilidade de propriedade da instituição, ou que tenha seu uso aprovado e permitido pela respectiva gerência em consonância com a Política de Segurança da Informação da AC Express.

A AC Express, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança. O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na AC Express, mesmo depois de terminado seu vínculo contratual.

Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, ou seja, não os carregar juntos. O suporte técnico dos dispositivos móveis de propriedade da empresa deverá seguir o fluxo de suporte contratado pela AC Express. Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel. Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da gerência de TI.

O colaborador deverá se responsabilizar em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da equipe de suporte de TI da AC Express. A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela AC Express constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.

É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela AC Express, notificar imediatamente seu gestor direto e a gerência de TI. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência.

O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a AC Express e/ou a terceiros.

O colaborador ou terceiro contratado que tenha necessidade de utilizar equipamentos portáteis particulares no interior da AC Express e posteriormente conectá-los à rede da AC Express deverá submeter previamente tais equipamentos ao processo de autorização da Gerência de Sistemas. Equipamentos portáteis, como smartphones, palmtops, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela instituição, não serão validados para uso e conexão em sua rede corporativa.

 

TREINAMENTO DE SEGURANÇA DAS INFORMAÇÕES

A AC Express entende como essencial que o seu treinamento anual, abranja todos os preceitos contidos na presente política, de modo que seus Colaboradores estejam sempre cientes e consonantes os procedimentos de segregação e segurança das informações.

 

RELATÓRIO DE TESTES DE SEGURANÇA DAS INFORMAÇÕES

Anualmente, a AC Express, por meio de sua gerência de TI e fornecedores de tecnologia, realizarão testes dos seus sistemas de segurança de informações, bem como de todos os preceitos contidos na presente política, incluindo, mas não se limitando apenas aos procedimentos de descarte de informações pelos colaboradores, individualização dos usuários, dentre outros.

Todos os resultados desses testes, bem como os procedimentos para saneamento de eventuais problemas, serão descritos no Relatório Anual de Controles Internos da AC Express. Estes testes serão realizados pela equipe de suporte de TI contratada, e buscará cobrir os seguintes pontos:

a) identificação e avaliação de potenciais riscos cibernéticos, envolvendo ativos de hardware e software, além de processos que necessitem de proteção. Importante estimar impactos financeiros, operacionais e reputacionais em caso de evento;

b) estabelecimento de medidas de prevenção e mitigação de riscos identificados na atividade de identificação de riscos, de forma buscar evitar eventuais ataques cibernéticos aos dados e equipamentos da empresa;

c) detecção de possíveis anomalias e/ ou fragilidades no ambiente tecnológico, incluindo acessos não permitidos, usuários não cadastrados, e dispositivos não autorizados;

d) criação de um plano de resposta e recuperação de incidentes, que contenha comunicação interna e externa, se necessário. Tal plano será elaborado em conjunto entre a gerência de TI e a empresa de TI contratada, e terá testes anuais para validar sua eficiência. O plano identificará papéis e responsabilidades, com previsão de acionamento de colaboradores e contatos externos;

e) manter o programa de segurança da informação e cibernética atualizado, identificando novos e potenciais riscos, ativos e processos. As documentações relacionadas aos planos definidos e testes realizados, assim como os resultados auferidos e ações corretivas e mitigantes, deverão ser mantidas em diretório interno da gerência de TI como evidência em eventuais questionamentos internos ou auditorias externas, quando for caso. Os temas relacionados à segurança da informação e cibernética serão tratados no Comitê de Gestão da AC Express, de forma ordinária, ou mesmo em reunião específica, em casos de eventos extraordinários, para que sejam tomadas de forma tempestiva medidas de recuperação, limitação de danos, e resposta relevante.

 

PLANO DE CONTINGÊNCIA DE CRISES

A AC Express tem um nobreak que suporta a operação por 30 minutos, de todos os computadores, em caso de problemas de fornecimento de energia, além do gerador exclusivo de sua sede matriz. Alguns servidores são instalados em Cloud de alta disponibilidade que podem ser acessados de local com acesso à internet.

Em caso de problemas de energia não suportada pelo gerador, ou qualquer outro fato ou evento fora do controle da nossa equipe, ou seja, que impeça o acesso às instalações físicas da AC Express, temos nosso sistema ERP instalado em nuvem, com todos os dados financeiros, administrativos e operacionais, viabilizando a continuidade regular dos negócios.

As pessoas chaves com acessos garantidos são em ordem de importância, Daniela Rabaiolli, diretora geral, Sergio Antonio Oro, gerente administrativo e financeiro, Fernando Eloi Correa, gerente operacional geral, Rafael F Guimarães, gerente de TI, Julio Cesar Bishof, gerente operacional matriz, Adinei Batista Steinbach, coordenador fiscal, todos com conhecimento para acessar os sistemas remotos e manter as atividades essenciais da AC Express em andamento até a recuperação das instalações físicas necessárias.

VIGÊNCIA E ATUALIZAÇÃO

Esta Política será revisada semestralmente e sua alteração acontecerá caso seja constatada necessidade de atualização do seu conteúdo. Poderá, ainda, ser alterada a qualquer tempo em razão de circunstâncias que demandem tal providência.

AC EXPRESS

Setembro / 2020