Política de Segurança da Informação

Política de Segurança da Informação

Introdução  

Diante da alta demanda no fluxo de dados dos clientes da M2S INTERATIVIDADE e  as diversas ameaças que cercam esses dados, o presente documento tem por objetivo ser  a política de segurança da M2S INTERATIVIDADE para informar sobre as regras e  temas relacionados à segurança no ambiente da empresa M2S INTERATIVIDADE e  também no ambiente por onde são processados e transmitidos os dados dos clientes da  M2S INTERATIVIDADE.  

A Política também é necessária para os processos internos e em especial, aos sistemas  de informações, produtos desenvolvidos, que sejam preferencialmente projetados,  desenvolvidos, implementados, mantidos e utilizados de forma segura e devem incluir  planos de backup, recuperação de desastre, continuidade do negócio entre outros, seja  pela própria M2S INTERATIVIDADE ou pelos parceiros contratados.  

Objetivo  

A política de segurança visa estabelecer as diretrizes para a preservação da Segurança  da Informação, ou seja, a preservação da Confidencialidade, Integridade e  Disponibilidade da Informação. Todos os envolvidos com a atividade da M2S  INTERATIVIDADE, não importando sua condição (gestores, diretoria, colaboradores,  prestadores de serviços, parceiros de Negócio, fornecedores, etc.) e principalmente  outras partes que, por ventura, se relacionem, manipulem e ou acessam (sistemicamente  e ou fisicamente) o ambiente por aonde os dados dos clientes da M2S  INTERATIVIDADE são processados e transmitidos, são responsáveis por conhecer e  seguir a Política de Segurança da Informação.  

Regimento interno, violação das regras e punições  

Outros documentos e anexos também podem fazer parte da política de segurança,  Normas, Termos de Confidencialidade, Termos de Responsabilidade, e demais  relacionados, sempre que identificada a necessidade pela M2S INTERATIVIDADE, a  fim de manter as permissões adequadas de acesso eletrônico. A responsabilidade de  cumprir esta política existe, independentemente de como o usuário tenha o acesso aos  recursos eletrônicos.  

Esclarecer aos funcionários, profissionais conveniados e/ou prestadores de serviços que  não é dado o direito de alegação de desconhecimento da política corporativa de  segurança, devendo ser seguidas rigorosamente às previsões contidas nas Normas de  segurança e termos existentes na M2S INTERATIVIDADE;  

A não observância dos preceitos implicará na aplicação de sanções administrativas  previstas em normas internas, nas cláusulas de inadimplemento e preceitos legais  pertinentes a situação, pactuadas em contrato, sem prejuízo, se for o caso, da  responsabilização pecuniária que lhe for atribuída; 

Detecção de ações que demonstrem violação à Política de Segurança serão reportadas  aos gerentes e diretoria cabendo a análise de cada caso e suas devidas punições, tanto no  âmbito cível quanto na esfera criminal de acordo com as leis vigentes no país.  

RESPONSABILIDADE – Competências  

Diretoria: propõe aprova e se responsabiliza pelas políticas de segurança. 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 4 de 11

 

Gerência de TI: Para os efeitos desta Política considerar que a Gestão de TI da  M2S INTERATIVIDADE é realizada por empresa terceirizada.  

Recursos Humanos: divulga as políticas aprovadas.  

Administração /Gestão de TI: executam as políticas aprovadas.  

Gestão de TI:  

Garante que todo profissional de segurança receba treinamento específico em  sua área de atuação.  

antém atualizados os padrões e os procedimentos de segurança, em sua área  de atuação.  

Acompanha as atividades do Comitê de Segurança da Informação, mantendo  representante permanente.  

(Integrantes do Comitê de Segurança da Informação: Marcos Nabhan,  

Sérgio Alcantara, Marcio Vinícius, Schmidt, e Erwin)  

Propõe, documenta, mantém atualizada, e distribui os procedimentos e a  Política de Segurança da M2S INTERATIVIDADE.  

 Propõe, documenta e distribui os procedimentos de resposta a um incidente  de segurança e escalonamento para assegurar a administração oportuna e  eficiente de todas as situações.  

Manter, disseminar e atualizar a política pelo menos uma vez por ano  conforme necessário, para refletir as alterações nos objetivos de negócios ou no  ambiente de risco.  

Acompanha e analisa os alertas e informações de segurança e distribuí-los ao  pessoal apropriado;  

Administra as contas dos usuários, incluindo adições, exclusões e  modificações.  

Diretrizes gerais  

  1. Assegurar que um canal de comunicação seja estabelecido, com atendimento  em tempo integral, eficiente e autônomo para atender e orientar nos casos de  incidentes que possam colocar em risco a segurança da informação da M2S  INTERATIVIDADE, bem como de seu patrimônio.  
  2. Garantir que a segmentação da rede seja implementada de forma eficiente e  que não haja interferência e acesso de outras redes, equipamentos e qualquer  outra forma desautorizada.  
  3. Garantir que os testes de invasão e vulnerabilidades sejam realizados 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 5 de 11

 

periodicamente nos ambientes da M2S INTERATIVIDADE. Análise de  Vulnerabilidade serão realizados a cada 3 meses (Trimestralmente), assim caso  for encontrado alguma vulnerabilidade significativa (HIGH) o reteste deve ser  feito no ambiente apos aplicadas as devidas providencias.  

  1. Garantir que as análises de vulnerabilidade, de alertas de segurança e os  processos de correção de segurança sejam aplicados e cumpridos de acordo as  melhores práticas atuais de mercado.  

vii. Deve haver monitoramento de redes e sistemas, utilizando tecnologias  como, IPS/IDS, F.I.M, Correlacionadores de log e Antivírus no escopo que  transmitam dados do portador do cartão.  

viii. Assegurar que os usuários estejam cientes das ameaças e das preocupações  que possam intervir na segurança, e que sejam orientados para apoiar esta  diretriz, por meio da existência de um programa de conscientização de cultura  de segurança.  

  1. Manter a segurança quanto aos aspectos dessa diretriz, quanto à  responsabilidade pelo processo, auditando-os periodicamente, buscando a  certificação do cumprimento dos requisitos de segurança.  
  2. Assegurar a aprovação da Diretoria para utilização de tecnologias.  
  3. Assegurar que toda utilização de tecnologia seja autenticada com ID de  usuário e senha ou outro item de autenticação (por exemplo token).  

xii. Assegurar a existência de um inventário contendo lista de todos os  dispositivos e equipes autorizadas a usar os dispositivos.  

xiii. Assegurar à existência de uma identificação dos dispositivos com  proprietário, informações de contato e finalidade.  

xiv. Assegurar que os recursos de TI colocados à disposição de funcionários,  profissionais conveniados à empresa e/ou prestadores de serviços sejam  utilizados apenas para as finalidades aprovadas pela M2S INTERATIVIDADE.  

xvii. Todos são responsáveis por zelar pela segurança da informação, sejam  funcionários, profissionais e instituições conveniadas ou prestadores de  serviços.  

 xviii. Assegurar que providências sejam tomadas de forma a evitar quaisquer  ações ou situações que possam expor a M2S INTERATIVIDADE ou seus  clientes à perda financeira, material ou humana, direta ou indiretamente,  potenciais ou reais, comprometendo suas atividades. 

xix. Assegurar que medidas preventivas sejam tomadas com o objetivo de  diminuir o risco de ocorrência de fraudes, queda dos serviços e sistemas de  tecnologia nos ambientes da M2S INTERATIVIDADE, mantendo, no entanto,  uma equipe competente e preparada para dar tratamento a casos deste tipo, com  agilidade e eficiência.  

  1. Assegurar que todos os funcionários estão informados que todo ambiente  tecnológico da M2S INTERATIVIDADE é monitorado e, em caso de qualquer 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 6 de 11

 

incidente de segurança ou suspeita, qualquer equipamento pode sofrer  intervenção para auditoria e que o responsável pela auditoria não informará a  terceiros sobre o resultado auditado. Reforça-se que esta auditoria será realizada  por profissional qualificado da área de TI da M2S INTERATIVIDADE.  

xxi. Estabelecer uma metodologia ou processo de avaliação de risco anual que  identifica ameaças, vulnerabilidades e resulta em uma avaliação de risco formal.  

CONFIDENCIALIDADE, INTEGRIDADE e DISPONIBILIDADE dos  Recursos da M2S INTERATIVIDADE  

CONFIDENCIALIDADE  

Mecanismos de sigilo: Estabelecer mecanismos para a proteção do sigilo dos  dados armazenados, processados e veiculados, garantindo seu acesso a quem de  direito e para fins exclusivamente do escopo de sua atuação profissional dentro  da M2S INTERATIVIDADE.  

Gestão da informação: Estabelecer que todos que tenham sistemas e  informações sob sua gestão, estão sujeitos às regras referentes ao sigilo  profissional, devendo garantir adequada proteção dos mesmos. 

Perímetros de segurança: Determinar que os perímetros de segurança das  instalações físicas e lógicas estejam claramente definidos, não possuam  brechas/vulnerabilidades críticas, e seus acessos sejam protegidos de forma  apropriada contra entradas indevidas, garantindo o ingresso controlado somente  ao pessoal devidamente autorizado e identificado.  

Proteção da informação: Proteger as informações e sistemas contra a  modificação, destruição ou divulgação não autorizada pela M2S  INTERATIVIDADE, e principalmente quanto ao acesso de pessoas não  autorizadas ou que, legal ou oficialmente, não tenham direito ao seu  conhecimento.  

Sigilo profissional: Assegurar que informações e recursos estejam sujeitos às  regras referentes ao sigilo profissional, garantindo uma adequada proteção,  considerando as cláusulas contratuais (terceiros) e os termos de  responsabilidade e sigilo (funcionários).  

INTEGRIDADE  

Redução de erros: Assegurar que providências sejam tomadas de forma a reduzir os riscos de erro humano, falhas de equipamentos e dispositivos, ou  qualquer outro tipo de incidente que possa causar a perda da integridade das  informações.  

Ambientes físicos: Assegurar que os ambientes físicos da M2S  INTERATIVIDADE operem levando em consideração as possibilidades de  dano causado por fogo, inundações, explosões, manifestações populares e outras  formas de desastres naturais ou causados pelo homem, e que sejam levados em  consideração as regulamentações e padrões de segurança e saúde, bem como o  tratamento de ameaças originadas de propriedades vizinhas. 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 7 de 11

 

Conscientização: Assegurar que funcionários, agentes e terceiros com acesso  às informações, ambientes e recursos da M2S INTERATIVIDADE, sejam  devidamente conscientizados quanto à Segurança da Informação.  

Gestão de ativos: Assegurar a análise periódica dos ativos da informação, de  forma que estejam devidamente inventariados, protegidos, tenham um  proprietário responsável e tenham mapeadas suas vulnerabilidades e ameaças de  segurança.  

Realização de Testes de Segurança: A realização de testes de segurança  deve ocorrer periodicamente, respeitando o manuseio do produto e a  periodicidade dos testes. Dessa forma, os equipamentos que fazem parte da  segurança, devem ser revisados de modo a garantir seu perfeito funcionamento  no momento em que é ou for solicitada a sua intervenção no processo de  proteção e ou combate ao incidente.  

Considera-se, no escopo de realização de testes de segurança equipamentos e  processos ser desde extintores, no breaks, geradores de energia, até sistemas de  alarmes, monitoramento de alertas de segurança, processos de load balance,  backup, testes de invasão / vulnerabilidade de rede e o que for aplicável a  empresa.  

Obs: Fica expressamente vedado aos colaboradores da M2S  INTERATIVIDADE que não sejam parte do time de segurança da Informação a  realização de qualquer teste de fragilidade do ambiente tecnológico da M2S  INTERATIVIDADE sem expressa autorização da Gerência.  

DISPONIBILIDADE  

Documentação de recursos de TI: Documentar os recursos de TI,  compreendendo as licenças de uso, os manuais do equipamento, de softwares e  das aplicações, sendo proibida a cópia parcial ou total sem autorização expressa  da M2S INTERATIVIDADE ou do fornecedor, no caso de material licenciado.  

Monitoramento: Garantir o monitoramento do tráfego efetuado em ambientes  e recursos de TI, rastreando eventos críticos e evidenciando possíveis  ocorrências, dando ampla e geral divulgação dessa atividade e da possibilidade  de uso desse recurso em casos de incidentes.  

  

Cultura em segurança da informação  

Programas de capacitação e qualificação para o correto manuseio das  informações e recursos de rede/sistemas devem ser estabelecidos e  implementados de forma a desenvolver a consciência e a responsabilidade em  segurança da informação pelos colaboradores.  

Incidentes de segurança da informação, como por exemplo, tentativa ou acesso  não autorizado a sistemas e informações, devem ser notificados pelos  colaboradores e prestadores de serviço e tratados pela área de Segurança da  Informação conforme Norma Interna de Gestão de Incidentes.  

Da utilização de correio eletrônico (e-mail) 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 8 de 11

 

O uso de e-mail é para fins corporativos, relacionados à atividade do  colaborador na M2S INTERATIVIDADE (@bamunos.com.br e  @bamunos.com).  

É proibido do uso de e-mail da M2S INTERATIVIDADE:  

enviar e-mail com remetente que não esteja autorizado e usar;  

falsificar informações de endereçamento, alterar cabeçalhos ou  

esconder identidade de remetente ou destinatário, com a intenção de  

evitar punições;  

excluir e-mails quando a M2S INTERATIVIDADE estiver sob algum  

tipo de investigação;  

produzir ou transmitir e-mails que:  

contenha ameaças eletrônicas (spam, vírus, etc);  

contenha código executável (.exe, .com, .cmd, .bat,  

.src,.vbs,.ws, .cpl, .reg, .dll, .inf) ou qualquer outra extensão 

que represente risco à segurança da informação; 

◦ vise burlar sistemas de segurança; 

◦ tenha conteúdo considerado impróprio, obsceno ou ilegal;  

◦ inclua imagem de alguma forma mascarada;  

◦ vise acessar informações sem autorização do proprietário;  

◦ inclua material que tenha direitos autorais, sem a permissão  

do proprietário.  

Da utilização da Internet  

Qualquer informação que é acessada, transmitida, recebida ou produzida na  internet está sujeita a divulgação e auditoria. Portanto, a M2S  INTERATIVIDADE, em total conformidade legal, reserva-se o direito de  monitorar e registrar todos os acessos à Internet.  

A M2S INTERATIVIDADE tem interesse que seus colaboradores estejam bem  informados, e portanto, o uso de sites de notícias ou de serviços é aceitável,  desde que não comprometa o andamento dos trabalhos, nem prejudique a banda  de internet e nem implique conflitos com os objetivos da empresa.  

Os colaboradores não poderão fazer download ou distribuição de softwares os  dados pirateados, atividade considerada ilícita pela legislação nacional.  

Da utilização de computadores  

Os computadores (Desktops) são de propriedade da M2S INTERATIVIDADE,  cabendo a cada colaborador utilizá-los de forma adequada para as atividades de  interesse da empresa.  

Toda manutenção física ou lógica, instalação, desinstalação, configuração ou  modificação, sem o conhecimento prévio do Departamento de TI, é proibida.  

Todos os computadores devem ter software antivírus instalado, licenciado e  atualizado permanentemente. 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 9 de 11

 

Da utilização de dispositivos móveis (Notebook, Smartphones)  

O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer  programas e/ou aplicativos, sem a devida licença, nos casos abaixo:  

para equipamentos da M2S INTERATIVIDADE: licença instalada  

pelo Departamento de TI da M2S INTERATIVIDADE;  

para equipamentos particulares, quando utilizados nas dependências  

da M2S INTERATIVIDADE: licença do próprio colaborador.  

No caso de furto ou roubo de um dispositivo móvel fornecido pela M2S  INTERATIVIDADE, o colaborador e responsável por notificar imediatamente  seu gerente e ao Departamento de TI, assim como a procurar ajuda das  autoridades policiais registrando um boletim de ocorrência o quanto antes.  

Da Instalação de Software ou Hardware “não autorizados”  

 Em complemento aos itens anteriores citados (utilização da Internet,  utilização de computadores e utilização de dispositivos móveis) fica vedado aos  colaboradores da M2S INTERATIVIDADE a instalação de qualquer hardware  ou software nos equipamentos da M2S INTERATIVIDADE sem a expressa  autorização da equipe de Segurança da Informação da M2S  INTERATIVIDADE.  

Melhoria Contínua da Segurança da Informação  

Melhores práticas em segurança devem ser avaliadas constantemente pela área  de Segurança da Informação, bem como utilizar as lições aprendidas com os  eventos e incidentes de segurança da informação para melhorar e atualizar  controles e processos.  

Ao menos uma vez ao ano a Gerência de TI deve designar uma equipe de  colaboradores para fazer um levantamento de riscos que identifique possíveis  ameaças e vulnerabilidades existentes.  

As ameaças e vulnerabilidades encontradas devem ser documentadas no  Relatório Anual de Riscos.  

Virtualização  

  

Se uma virtualização for implantada, todos os componentes que estiverem no  ambiente virtual deverão ser identificados e considerados dentro do escopo para  a revisão, incluindo os hosts individuais virtuais ou dispositivos, máquinas  visitantes, aplicativos, interfaces de gerenciamento, consoles de gerenciamento  centrais, hipervisores, etc. Todas as comunicações e fluxos de dados trocados  entre os hosts deverão ser identificados e documentados, bem como aqueles  trocados entre o componente virtual e os componentes do sistema.  

A implantação de um ambiente virtualizado deverá atender às intenções de  todos os requerimentos de forma que os sistemas virtualizados possam de fato  ser considerados hardwares separados. Por exemplo: deverá haver uma 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 10 de 11

 

segmentação clara das funções e segregação de redes com níveis de segurança  diferentes. A segmentação deverá evitar o compartilhamento dos ambientes de  produção e de teste e desenvolvimento.  

A configuração virtual deverá ser protegida de forma que as vulnerabilidades  em uma função não interfiram na segurança de outras. E dispositivos como  USB ou em série não possam ser acessados por todas as instâncias virtuais.  

Além disso, todos os protocolos de interface de gerenciamento virtuais deverão  ser incluídos na documentação do sistema, e deverão ser definidas funções e  permissões para gerenciamento das redes virtuais e dos componentes virtuais do  sistema. As plataformas de virtualização deverão ter a capacidade de aplicar a  separação de tarefas e de privilégios menores, de forma a separar o  gerenciamento de rede virtual do gerenciamento de servidor virtual.  

Deve-se ter atenção especial ao implantar os controles de autenticação, de forma  a garantir que a autenticação dos usuários seja realizada nos componentes de  sistema virtual adequados e que haja distinção entre as máquinas virtuais (VMs  - virtual machines) do visitante e o hipervisor."  

Atualizações de Sistemas  

Todos os sistemas devem ser mantidos atualizados quando novas atualizações  forem disponibilizadas pelos fornecedores;  

Para atualizações consideradas Altas e Críticas essas mesmas devem ser  analisadas pela equipe de TI da M2S INTERATIVIDADE com relação a sua  implementação e impacto no trabalho, não ultrapassando 3 (três) meses.  

Para atualizações de antivírus, que é considerado um sistema crítico de suma  importância para a proteção e monitoramento dos componentes de sistemas,  este deve ser mantido atualizado constantemente. Entretanto, não havendo a  atualização deve se identificar o problema e acionar a equipe de TI, segurança e  caso necessário o fornecedor do produto.  

Gestão de Incidentes de Segurança  

Muitas vezes, não existe um único padrão determinado para o tratamento de  incidente, pois diferentes ações podem ser disparadas dependendo da situação  ao qual a ameaça expôs o negócio. No entanto, para a gestão de incidentes ser  bem-sucedida, atendendo as partes interessadas, os requisitos de segurança e os  procedimentos de monitoramento e resposta, seguirão, mas também não se  limitando, os processos relacionados no documento Norma de Resposta à  Incidentes de Segurança.  

Revisão da Política  

Esta Política deve ser revisada todo ano após o Levantamento Anual de Riscos,  de modo a verificar se existe a necessidade de alteração de alguma política ou  processo, seja por alguma vulnerabilidade encontrada e causadora de impacto  considerado críticos para o negócio, alteração na estrutura de rede e regras  internas. 

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |  

M2S INTERATIVIDADE – Política de Segurança da Informação
PL.20.01.16.001.V14  Uso Interno e Externo  Versão 1.4  Página 11 de 11

 

Toda alteração de versão será registrada na tabela histórico das versões, constante na via  original, em poder do Gerente do Departamento.

M2S SOLUÇÕES EM TECNOLOGIA SPE LTDA 

CNPJ 44.283.712/0001-30 | Avenida Paraíba, 2091 3º andar Sala 319- Zona 03 - Cianorte – PR  +55 (44) 3351-4444 |