Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a Postal Saúde.
Ativo: todo e qualquer bem da Posta Saúde que possui valor econômico, incluindo a informação, e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.
Ativo de Informação: é o conhecimento organizado e gerenciado como uma entidade única e que, como qualquer outro recurso corporativo, tem valor financeiro que aumenta em relação direta com o número de pessoas capazes de usá-lo. São considerados, assim, os meios de armazenamento, transmissão e processamento da informação, os equipamentos e os sistemas utilizados para tal, os locais onde se encontram esses meios e os recursos humanos aos quais eles têm acesso.
BlackList: Trata-se de uma lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam. Geralmente, utiliza-se este recurso para bloquear os e-mails suspeitos de serem spam, no servidor de e-mails.
Cavalo de Troia (Trojan horse): programa malicioso que cria abertura para outros programas e invasões indesejadas.
Código Executável: arquivo interpretado pelo computador como um comando de execução para determinadas funções.
Código Malicioso: programa que possibilita ações danosas, como vírus, worms, trojans, spywares, malware, botnet, ransomware, entre outros.
Colaborador: qualquer pessoa que execute atividade profissional e que possua algum tipo de contrato de trabalho com a Postal Saúde ou por empresa terceirizada que execute alguma profissional nas dependências da operadora.
Conformidade: processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas (mantenedores, patrocinadores, prestadores, empregados, credores etc.) e com aspectos legais e regulatórios, dentro de princípios éticos e de conduta estabelecidos pela Alta Administração da Postal Saúde.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controle de Acesso: permissões concedidas por autoridade competente da Postal Saúde após o processo de credenciamento, que habilitem determinada pessoa, sistema ou organização ao acesso mediante a assinatura ou não de termo de responsabilidade ou outro instrumento formal, podendo a credencial ser física, como crachá, cartão, token, selo ou lógica para identificação de usuários.
Custodiante: quem detém a guarda da informação, mas não é necessariamente seu proprietário.
Dispositivos Móveis: consiste em equipamentos portáteis dotados de capacidade computacional e dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se limitando a estes, notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e cartões de memória
Dados Pessoais: informação relacionada a pessoa natural/física identificada ou identificável.
Dados Pessoais Sensíveis: dado pessoal sobre origem racial, ou étnica, convicção religiosa, opinião política, filiação à sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Disponibilidade: garantia de que os usuários autorizados obtenham, sempre que necessário, acesso à informação e aos ativos correspondentes.
Gestão da Continuidade de Negócios: procedimentos e informações necessárias para que as instituições mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes.
Incidente de Segurança da Informação: evento decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos princípios da segurança da informação, como a confidencialidade, a integridade, a autenticidade ou a disponibilidade.
Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para o uso restrito ou exposta ao público para consulta ou aquisição.
Informação Sensível: toda informação sigilosa que, se divulgada, pode resultar em danos e/ou, prejuízos de qualquer ordem, perda de vantagem competitiva, inclusive financeira, bem como impacto negativo para a Postal Saúde.
Integridade: capacidade de garantir que a informação esteja mantida em seu estado original, conforme foi concebida, a fim de protegê-la contra alterações indevidas, intencionais ou acidentais na guarda ou transmissão.
LGPD: é a Lei nº 13709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parceiros: Empresas, órgãos públicos e demais instituições que possuem contrato com o Senac com objetivos em comum, unindo esforços em suas competências e expertises, sem que haja remuneração, mas apenas empenho de serviços por cada parte.
Phishing: é o crime de enganar as pessoas para que compartilhem informações confidenciais como senhas e número de cartões de crédito
Política de mesas limpas: prática de Segurança da Informação recomendada para evitar a exposição desnecessária de informações contidas em papéis e dispositivos eletrônicos no ambiente de trabalho ou inadequadamente armazenados.
Política de telas limpas: prática de Segurança da Informação recomendada para evitar a exposição desnecessária de informações na tela dos computadores e similares.
Risco de Segurança da Informação: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da Empresa.
Segurança da Informação: é o conjunto de ações e controles que têm como objetivo garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos da Operadora.
Serviço em Nuvem: modelo computacional que permite acesso por demanda, e independentemente da localização, a um conjunto compartilhado de recursos configuráveis de computação, rede de computadores, servidores, processamento, armazenamento, aplicativos e serviços, provisionados com esforços mínimos de gestão ou interação com o provedor de serviços.
Spam: e-mails não solicitados e normalmente enviado para muitos destinatários.
Usuário: todo funcionário, prestador de serviço, estagiário e afins que tenham acesso aos recursos tecnológicos oferecidos pela Postal Saúde
SIC: Segurança da Informação e Comunicações.
TIC: Tecnologia da Informação e Comunicações.
Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.
Vírus: programa malicioso que se propaga e infecta o computador.
Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em riscos para um sistema ou organização, os quais podem ser mitigados por uma ação interna de segurança da informação
Worm: programa semelhante ao vírus, que infecta o sistema, tendo como característica a autorreplicação.
A Política de Segurança da Informação e Comunicações (PoSIC) tem como objetivo evidenciar o comprometimento da Direção da Postal Saúde com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio na implantação da gestão da segurança da informação e comunicações na operadora.
Busca garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de atuação da Postal Saúde, operadora dos planos de saúde dos empregados dos Correios.
Deve preservar os princípios da Confidencialidade, Integridade, disponibilidade e Autenticidade das informações da Postal Saúde.
Estabelecer diretrizes para a disponibilização e utilização de recursos de informação, serviços de rede de dados, estações de trabalho, internet, telecomunicações e correio eletrônico institucional.
Prevenir possíveis incidentes e responsabilidade legal da operadora e de seus colaboradores, quanto ao uso das informações.
Designar, definir ou alterar papéis e responsabilidades do grupo responsável pela Segurança da Informação.
Apoiar a implantação das iniciativas relativas à Segurança da Informação.
Possibilitar a criação de controles e promover a otimização dos investimentos em tecnologia da informação, contribuindo com a minimização dos riscos associados
Garantir que todas as responsabilidades da Segurança da Informação sejam claramente definidas preservadas.
As diretrizes, normas complementares e manuais de procedimentos aqui estabelecidos deverão ser aplicados por toda a rede da Postal Saúde e devem ser seguidas por todos os usuários dos ativos de informação da operadora
As diretrizes estabelecidas nesta Política de Segurança da Informação serão aplicadas em toda a Postal Saúde; deverão ser observadas por todos os conselheiros, diretores, empregados, colaboradores, fornecedores e prestadores de serviço e se aplicam à informação em qualquer meio ou suporte.
Esta PoSIC compromete e responsabiliza cada usuário a manter-se atualizado sobre este documento e as normas relacionadas, buscando orientação do gestor ou da Gerência de Tecnologia da Informação (GETEC) sempre que não estiver absolutamente seguro quanto à aquisição e/ou ao descarte de informações.
Este documento, entre outras diretrizes, dá ciência a cada envolvido de que os ambientes, os sistemas, os recursos computacionais e as redes informacionais da Postal Saúde poderão ser monitorados e gravados, com prévia informação, conforme previsto na legislação brasileira
Os princípios da segurança da informação são diretrizes fundamentais que orientam a proteção das informações e sistemas contra ameaças e riscos. Esses princípios formam a base de uma estratégia eficaz de segurança da informação.
A Postal Saúde é detentora de todas as informações geradas, acessadas, manuseadas, armazenadas ou descartadas pelos dirigentes, colaboradores e terceiros no exercício de suas atividades profissionais com a operadora, bem como os demais recursos tangíveis e intangíveis disponibilizados a esses atores e devem ser empregados exclusivamente em atividades de interesse institucional.
Todos os recursos de informação da Postal Saúde devem ser projetados para que seu uso seja consciente e responsável. Os recursos comunicacionais e computacionais da Operadora devem ser utilizados para a consecução de seus objetivos finalísticos.
A Gerência de Tecnologia (GETEC) da Postal Saúde é responsável por controles apropriados, trilhas de auditoria e registros de atividades, em todos os pontos e sistemas em que a Operadora julgar necessário, com vistas à redução dos riscos dos seus ativos de informação.
Sempre que necessário os gestores poderão solicitar acesso aos arquivos gerados pelos usuários, bem como a suas caixas postais de e-mail, Teams ou quaisquer outros sistemas disponibilizados pela operadora para a execução de suas atividades profissionais. A solicitação deverá ser realizada por meios oficiais, sendo necessário descrever a justificativa do pedido de acesso.
Todo o acesso a redes e sistemas da Operadora deverá ser feito, por meio de login de acesso único, com senha pessoal e intransferível.
A Postal Saúde pode utilizar tecnologias e ferramentas para monitorar e controlar o conteúdo e o acesso a quaisquer tipos de informação alocadas na infraestrutura provida pela Operadora.
Cada usuário é responsável pela segurança das informações dentro da Postal Saúde, principalmente daquelas que estão sob sua responsabilidade.
Com o objetivo de reduzir o risco de descontinuidade das atividades da Operadora e de comprometimento dos princípios da Segurança da Informação a GETEC é responsável pela criação e implantação plano de contingência dos serviços de TIC.
Todos os projetos de desenvolvimento de sistemas devem incluir em seu escopo a criação do plano de contingência, e os mesmos devem ser implantados durante a execução do projeto.
Deverá constar em todos os contratos da Postal Saúde, quando o objetivo for pertinente, cláusula de confidencialidade e de obediência às normas de segurança da informação por empresas fornecedoras e por todos os profissionais que desempenham suas atividades na Operadora.
Deverá estar prevista, por parte das empresas e profissionais prestadores de serviço, entrega de declaração expressa de compromisso em relação à confidencialidade e de termo de ciência das normas vigentes, como condição imprescindível para que possa ser concedido acesso aos ativos de informação disponibilizados pela Operadora.
A postal saúde por meio desta PoSIC afirma o compromisso de que seus colaboradores pratiquem o uso da política de mesas limpas, ou seja, papéis, anotações e lembretes deverão ser mantidos, sempre que possível, fora da superfície da mesa de trabalho. Informações do negócio, em qualquer mídia, deve ser guardada em local seguro, com chave, quando não estiver em uso.
O acesso as informações autenticadas são de responsabilidade do usuário detentor das credenciais de acesso (login/senha). Computadores e notebooks não devem ser deixados autenticados ou registrados quando não houver um operador junto dele. Desta forma os colaboradores estarão utilizando da política de de telas limpas.
A GETEC deve configurar bloqueio automático de tela para períodos de inatividades nos computadores dos usuários.
Informações corporativas da Postal Saúde não podem ser transportadas em qualquer meio sem as devidas autorizações e proteções. Atenção especial deve ser aplicada no uso de dispositivos móveis.
A implementação e utilização desta PoSIC, normas e manuais correlatos é obrigatória a todos os conselheiros, diretores e empregados, independentemente do nível hierárquico ou função, bem como de vínculo empregatício temporário ou de prestação de serviço.
O tratamento da informação está relacionado a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação, em qualquer grau de sigilo, exigindo, sempre, zelo em seu manuseio.
O tratamento deve ser feito de forma a viabilizar os princípios da segurança da informação, observada a legislação em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo.
O tratamento de dados pessoais deve nortear-se pelo objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Considerando as atividades da Postal Saúde, devem-se observar os procedimentos previstos na LGPD, em especial o tratamento de dados sensíveis, desde o consentimento dos titulares.
Diretrizes específicas e procedimentos próprios de tratamento da informação corporativa deverão ser fixados na Politica de resposta a incidentes e na política de privacidade e tratamento de dados as Postal Saúde Manual de Segurança da Informação.
Visando a garantia ao cumprimento das regras mencionadas nesta PoSIC objetivando a melhoria da qualidade na segurança e prevenção a fraudes a Postal Saúde reserva-se o direito de:
É o serviço responsável por receber, filtrar, classificar e responder aos alertas e solicitações. Também é responsável por realizar a análise dos incidentes de segurança reportados e/ou identificados, procurando encontrar informações necessárias a impedir a continuidade da ação maliciosa.
É de responsabilidade da GETEC:
As ações podem ser realizadas por colaboradores lotados na Gerência de Tecnologia ou por parceiro contratado, desde que o mesmo seja supervisionado pela GETEC.
O uso do e-mail institucional deve seguir diretrizes específicas para garantir a segurança, a eficiência e a conformidade com as políticas da organização. Abaixo, estão algumas regras comuns para o uso de e-mail institucional:
As regras de acesso à Internet de maneira segura são fundamentais para proteger informações pessoais e corporativas, prevenir ameaças cibernéticas e garantir uma navegação online segura. Serão regidas por Normas Internas Complementares, atendendo às determinações desta Política, demais orientações governamentais e legislação em vigor.
Embora a utilização da internet seja de grande importância nas atividades da Operadora, faz-se mister o uso de sistemas de monitoramento, a fim de conceder melhor acesso aos que a utilizam corretamente.
O uso da Internet será monitorado pela GETEC, inclusive através de “logs” (arquivos gerados no servidor) que informam qual usuário está conectado, o tempo que usou a Internet e qual página acessou.
A definição dos funcionários que terão permissão para uso (navegação) da Internet é atribuição do Gestor imediato, com base em Normas Internas.
É de responsabilidade da GETEC a implantação das regras de bloqueios necessárias a manter as diretrizes desta PoSIC. Devem ser bloqueados os acessos aos sites maliciosos contidos em BlackList Internacional.
As mídias sociais podem otimizar a comunicação. É importante que as mídias sociais sejam usadas adequadamente e mantidas nesse contexto. Caso contrário, pode levar à perda de produtividade, distrações ou, até mesmo, infrações.
O uso das redes sociais, disponíveis internamente e na Internet, objetiva prestar atendimento e serviços púbicos, divulgando ou compartilhando informações da Postal Saúde; deve ser regido por Norma Complementar, observando as determinações desta Política, demais orientações governamentais e a legislação em vigor.
A norma complementar de uso de mídias sociais deve ser criada em conjunto entre a Gerência de Comunicação e a Gerência de Tecnologia da Informação.
A definição dos funcionários que terão permissão para uso de mídias sociais através de ativos da Postal Saúde para desempenharem suas funções é atribuição do Gestor imediato, justificando a solicitação.
O uso dos serviços em nuvem apresenta vantagens como escalabilidade e redução de investimentos em infraestrutura, porém um dos principais fatores identificados como risco em sua utilização é a segurança da informação.
O uso de recursos desse serviço para suprir demandas de transferência e armazenamento de documentos, processamento de dados, aplicações, sistemas e demais tecnologias, deve ser regido por Normas Complementares, atendendo às determinações desta Política, demais orientações governamentais e a legislação em vigor, visando a garantir os princípios da segurança da informação.
Diretrizes específicas e procedimentos próprios de controle deverão ser fixados no Manual de Segurança da Informação.
Dentre alguns requisitos a serem observados para o uso do teletrabalho, destacam-se: a segurança física do local de trabalho remoto, incluindo o trânsito de outras pessoas; as proteções de acesso ao equipamento utilizado; e a classificação das informações, os sistemas internos e os serviços que o usuário esteja autorizado a acessar.
Diretrizes específicas e procedimentos próprios de controle deverão ser fixados no Manual de Segurança da Informação.
O Sistema de Gestão Eletrônica de Documentos é uma ferramenta de elevada importância, contribuindo acentuadamente para a gestão do conhecimento da Operadora. Embora a acessibilidade, a facilidade de consultas e a otimização dos fluxos de trabalho, entre outras possibilidades desses sistemas, sejam notórias, a segurança é requisito fundamental para a seleção de um produto com essa finalidade.
As regras de controle de acesso aos sistemas corporativos, à Intranet, à Internet, às informações, aos dados e às instalações da Postal Saúde deverão ser definidas e regulamentadas, por meio de Normas Complementares, com o objetivo de garantir a segurança dos usuários e a proteção dos ativos da Operadora. A norma complementar deve prever no mínimo:
Quando da necessidade de cadastramento ou atualização de um novo usuário para utilização da “rede”, dos sistemas ou dos equipamentos de informática, o setor de origem do usuário deverá comunicar esta necessidade à Gerência de Tecnologia, por meio de chamado, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. A Gerência de Tecnologia fará o cadastramento e informará apenas ao usuário qual será a sua senha, solicitando troca de mesma ao primeiro acesso. Essa solicitação é de responsabilidade do Gestor imediato do colaborador.
Os procedimentos para administração da sala de servidores deverão ser fixados no Manual de Segurança da Informação.
Os controles do restrito acesso a esse ambiente são de vital importância para o atendimento dos princípios de segurança da informação.
E de responsabilidade da Gerência de Tecnologia a criação e manutenção do Manual de Segurança da Informação.
Gestão de Riscos consiste em atividades coordenadas para direcionar e controlar a Operadora no que se refere aos riscos. Entende-se risco como perigo ou possibilidade de perigo, ou seja, a possibilidade de perda ou exposição à perda. Deve ser avaliado como uma combinação da probabilidade de um evento e a sua consequência.
A gestão de riscos da segurança da informação deverá considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura da Postal Saúde, direta e indiretamente, além de estarem alinhadas a esta Política de Segurança da Informação.
O processo deverá ser contínuo e aplicado na implementação e na operação da Gestão de Segurança da Informação, contemplando inclusive as contratações de soluções de TIC, para as quais deverá ser elaborado um Plano de Tratamento de Riscos, a cargo da Gerência de Tecnologia da Informação.
Os procedimentos próprios ao serviço de backup (cópia de segurança) deverão ser fixados na Política de Backup da Postal Saúde.
As garantias de rápida recuperação do material contido nos repositórios devem ser buscadas a fim de capacitar a operadora ao enfrentamento de ataques e panes.
Cópias de segurança dos sistemas integrados e servidores de rede, hospedados fisicamente na Postal Saúde, são de responsabilidade da Gerência de Tecnologia e deverão ser feitos diariamente.
As diretrizes gerais de uso de dispositivos móveis para acesso às informações, aos sistemas, às aplicações e ao correio eletrônico da Postal Saúde devem considerar, prioritariamente, os requisitos legais e a estrutura da Operadora, atendendo a esta Política de Segurança da Informação e regidas por Normas Complementares, as quais contemplarão as recomendações sobre o uso desses dispositivos.
A Gerência de Pessoal deverá informar à Gerência de Tecnologia toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos. Cabe ao setor solicitante da contratação a comunicação Gerência de Tecnologia sobre as rotinas às quais o novo contratado terá direito de acesso. No caso de demissão, a Gerência de Pessoal deverá comunicar o fato o mais rapidamente possível, para que o funcionário demitido seja excluído do sistema.
Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação ao Manual da Segurança da Informação. Nenhum funcionário, estagiário ou temporário poderá ser contratado sem ter expressamente concordado com este Manual.
O uso de equipamento de impressão e reprografia devem ser feitos exclusivamente para serviços de interesse da Postal Saúde ou que estejam relacionados com o desempenho das atividades profissionais do usuário.
Não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas e contendo informações classificadas como confidenciais da Postal Saúde ou de beneficiários
Estão envolvidos na gestão de segurança da informação da Postal Saúde:
São responsabilidades de todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais da Postal Saúde:
Todas as garantias necessárias ao cumprimento desta Política devem ser estabelecidas formalmente com os colaboradores da Postal Saúde, por meio de Termo de Compromisso constante de normativos sobre o tema.
O descumprimento desta Política é considerado infração disciplinar e poderá acarretar a aplicação de sanções previstas em regramentos corporativos e disposições contratuais.
Fica estabelecida a periodicidade de um ano para a revisão desta Política, sendo encaminhada ao CODEL, via relatório técnico, suas possíveis alterações ou ausência delas, no contexto da Segurança da Informação para aprovação.
Esta Política de Segurança da Informação, juntamente com o Código de Conduta Ética e de Integridade, com a Política de Pessoal, a Política de Privacidade e Proteção de Dados, o Manual Disciplinar, e outros, compõe o conjunto de normativos da Postal Saúde que tratam de atitudes e comportamentos exigidos dos colaboradores, devendo ser rigorosamente observados.
O conteúdo desta Política é amplo e regularmente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deverá ser feita periodicamente para integral compreensão