Política de segurança da informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
MARTRAVEL VIAGENS E TURISMO LTDA.
CNPJ/ME nº 30.485.559/0001-10
Sigilo: Uso Público

 

1. Objetivo

1.1. A Política de Segurança da Informação é uma declaração formal da MarTravel acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus Colaboradores, Estagiários, Prestadores de Serviços e Fornecedores.

2. Abrangência

2.1. Válida para todos os Colaboradores, Estagiários, Prestadores de Serviços, Consultores, Auditores e Fornecedores da MarTravel e públicos que se relacionam com a empresa, tais como, mas não se limitando, a Terceiros e Clientes.

3. Missão

3.1. Garantir a integridade, confidencialidade, legalidade e autenticidade das informações necessárias para a realização dos negócios da MarTravel.

4. Documentos de referência

• NBR ISO/IEC 17799:2005
• ABNT 21:204.01-010
• Lei Federal nº 9.609/98 - Lei do Software
• Lei Federal nº 13.709/2018 - LGPD

5. Termos e definições

• TI: Tecnologia da Informação
• Software: É a parte lógica, o conjunto de instruções e dados processados nos servidores e computadores. Toda interação dos usuários de computadores é realizada através de softwares.
• Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possa ser restaurado em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados.
• Mídias Removíveis: Dispositivos que permitem a leitura e gravação de dados tais como: CD, DVD, Disquete, Pen Drive, cartão de memória entre outros.
• USB: É um tipo de conexão "ligar e usar" que permite a conexão de periféricos sem a necessidade de desligar o computador.
• VPN (Virtual Private Network): Modalidade de acesso à rede corporativa, que possibilita a conectividade, via internet, de um equipamento externo à rede interna da corporação, provendo funcionalidades e privilégios como se o mesmo estivesse conectado física e diretamente à rede interna. Comumente é utilizado por funcionários em trânsito.
• Softwares de Mensageria: São programas que permitem a usuários se comunicarem remotamente (à distância), através de conexão com a Internet. Por meio destes programas, é possível enviar mensagens de texto entre equipamentos fisicamente distantes. Também é possível enviar arquivos ou iniciar sessões de conversação com áudio e/ou com vídeo, em tempo real.
• Firewall: É um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede a fim de realizar a segurança de trafego de dados.

6. Diretrizes

6.1. Conforme definição da norma NBR ISO/IEC 17799: 2005, a informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. A Política de Segurança da Informação objetiva proteger a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

6.2. A segurança da informação é aqui caracterizada pela preservação da:
a) Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
b) Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento; e,
c) Disponibilidade, a Política de Segurança da Informação deve ser divulgada a todos os funcionários e dispostas de maneira que seu conteúdo possa ser consultado a qualquer momento.

6.3. Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não-intencional, acidentes e outras ameaças.

6.4. É fundamental para a proteção e salvaguarda das informações que os usuários adotem a ação de comportamento seguro e consistente com o objetivo de proteção das informações, devendo assumir atitudes próativas e engajadas no que diz respeito à proteção das informações.

7. Atribuições e responsabilidades

7.1. Cabe a todos (Colaboradores, Estagiários, Prestadores de Serviços, Consultores, Auditores e Fornecedores da MarTravel e públicos que se relacionam com a empresa, tais como, mas não se limitando, a Terceiros e Clientes) cumprirem fielmente a Política de Segurança da Informação; buscar orientação do gestor imediato em caso de dúvidas relacionadas à segurança da informação; proteger as informações contra acesso, modificação, destruição ou divulgação não-autorizados; assegurar que os recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela MarTravel; cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; e comunicar imediatamente quando do descumprimento ou violação desta política.

7.2. Cabe às Diretorias, Gerências e Coordenações cumprirem e fazerem cumprir esta Política; assegurar que suas equipes possuam acesso e conhecimento desta Política de Segurança da Informação; e comunicar imediatamente eventuais casos de violação de segurança da informação.

8. Segurança dos equipamentos

8.1. As máquinas (servidores) que armazenam sistemas da MarTravel estão em área protegida.

8.2. As entradas à área de armazenamento dos servidores devem ter acesso devidamente controlado. A entrada nestas áreas ou partes dedicadas, por pessoas não autorizadas (visitantes, prestadores de serviço, terceiros e até mesmo funcionários, sem acesso liberado), que necessitarem ter acesso físico ao local, sempre o farão acompanhados de pessoas autorizadas.

8.3. O acesso às dependências com quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só pode ser feito a partir de autorização do Diretor e mediante supervisão.

9. Requisitos de segurança

9.1. Todo acesso às informações e aos ambientes lógicos deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas. As autorizações devem ser revistas, confirmadas e registradas continuadamente. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. Os dados, as informações e os sistemas de informação devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.

9.2. É terminantemente vedado:
a) utilizar os recursos computacionais ou quaisquer outros de propriedade da MarTravel, colocados à disposição do colaborador em razão do exercício de sua função, para constranger, assediar, prejudicar ou ameaçar a mesma ou terceiros, sejam eles indivíduos ou organizações;
b) passar-se por outra pessoa ou esconder, por qualquer meio, a própria identidade quando utilizar os recursos computacionais ou quaisquer outros de propriedade da MarTravel, colocados à disposição do colaborador em razão do exercício de sua função;
c) divulgar quaisquer informações confidenciais para concorrentes e/ou qualquer pessoa não ligada às atividades da MarTravel;
d) efetuar qualquer tipo de acesso ou alteração não autorizada a dados dos recursos computacionais pertencentes à MarTravel;
e) violar os sistemas de segurança dos recursos computacionais, no que tange à identificação de usuários, senhas de acesso, bloqueios automáticos, sistemas de alarme e demais mecanismos de segurança e restrição de acesso;
f) utilizar quaisquer recursos ou equipamentos da empresa para fins contrários daqueles necessários ao desempenho da função contratada.

10. Diretrizes específicas de segurança

10.1 Os sistemas da MarTravel possuem controle de acesso de modo a assegurar o uso apenas por usuários autorizados. O responsável pela autorização deve ser claramente definido e ter registrado a aprovação concedida.

10.1.1. A cópia de segurança (Backup) deve ser testada e mantida atualizada para fins de recuperação em caso de desastres.

10.2. É vedado a todos que tenham acesso à rede da MarTravel:
a) executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilidade de serviços;
b) executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da MarTravel; e,
c) enviar informações confidenciais (autorizadas) para e-mails externos sem proteção.

10.3. As estações de trabalho, incluindo equipamentos portáteis e informações, são protegidos contra danos ou perdas, bem como o acesso, uso ou exposição indevidos.

10.3.1. As estações de trabalho possuem códigos internos, os quais permitem a identificação na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do colaborador.

10.3.2. O acesso à estação de trabalho deverá ser encerrado no final do expediente, desligando o equipamento.

10.3.3. É obrigação do colaborador, quando se ausentar da mesa, bloquear a estação de trabalho com senha, bem como arquivar, em local seguro, documentos de trabalho. Esta ação aplica-se a todos os colaboradores com estações de trabalho, incluindo equipamentos portáteis.

10.4. Eventuais documentos impressos pelos colaboradores devem ser, imediatamente, retirados da impressora.

10.4.1. A impressão de documentos sigilosos deve ser feita sob supervisão do responsável. Os documentos impressos devem ser protegidos contra perda, reprodução e uso não-autorizado. Isto é, documentos esquecidos nas impressoras, ou com demora para retirada, ou até mesmo em cima da mesa, podem ser lidos, copiados ou levados por outro funcionário ou por alguém de fora da empresa.

10.5. Não é permitido, em nenhuma hipótese, o reaproveitamento de páginas já impressas e contendo informações classificadas como confidenciais, devendo as mesmas ser descartadas posteriormente.

10.6. Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser comunicado a área de Suporte Técnico – Infraestrutura TI, para que o mesmo possa ser homologado pelos responsáveis de TI e só assim serem disponibilizados para a área requerente.

10.7. A MarTravel respeita os direitos autorais dos softwares que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores da empresa. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) na MarTravel.

10.8. Os responsáveis pelo TI poderão valer-se deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à Lei Federal nº 9.609/98 (Lei do Software).

10.9. Material sexualmente explícito, bem como aqueles de conteúdo ilegal, pornográfico, discriminatório, homofóbico, racista, que faça apologia ao crime ou que violem a lei de direitos autorais (copyright), não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede corporativa.

10.10. Somente os funcionários que estão devidamente autorizados a falar em nome da MarTravel para os meios de comunicação podem escrever em nome da empresa em sites de Bate Papo (Chat Room), Redes Sociais (Facebook, Instagram, LinkedIn) ou Grupos de Discussão (fóruns, newsgroups).

10.11. Não é permitida a gravação de arquivos particulares (músicas, filmes, fotos e etc..) nos drivers de rede, pois ocupam espaço comum limitado do departamento.

10.12. Não é permitido copiar qualquer informação (arquivos, e-mails, fotos, documentos, entre outros) pertencentes a MarTravel para qualquer tipo de mídia externo (anexo de e-mails, papel, HD externo, pen drive, celulares, smartphone, smartwatch, etc.).

10.13. Não é permitido o uso de qualquer solução de armazenamento na nuvem, que não seja a oficialmente adotada pela empresa, homologada de acordo com critérios de cargo/departamento, pré-definidos pelos Gestores/Líderes.

10.14. O uso de mídias removíveis na empresa não é estimulado, devendo ser tratado como exceção à regra.

10.15. A porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais, neste caso, os modens 3G/4G e os pendrives merecem a atenção. Tal vulnerabilidade não pode ser contida com firewalls ou com programas antivírus já que os dispositivos são acoplados aos equipamentos pelos próprios empregados.

10.16. É vedado aos usuários utilizarem as mídias removíveis como meio preferencial de armazenamento de informações corporativas.

10.17. Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que o uso de tais dispositivos possa vir a causar nos ativos de informação, pois este tipo de mídia pode conter vírus e softwares maliciosos podendo danificar e corromper dados.

10.18. A internet deve ser utilizada para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa vir a contribuir para o desenvolvimento de atividades relacionadas a MarTravel.

10.19. O uso da internet para assuntos pessoais deve ser restrito, sem comprometer as atividades dos usuários, com liberações limitadas parar necessidade gerais (como exemplo, banco, sites de saúde e educativos), estes serão listados como liberados e apresentados de forma posterior, atendendo sempre as diretrizes de liberação/validação de gestor/lider direto e diretoria.

10.20. Os acessos à internet serão monitorados através de identificação e autenticação do usuário. O acesso às páginas e web sites é de responsabilidade de cada usuário ficando vedado o acesso a sites com conteúdos impróprios e de relacionamentos.

10.21. É vedado o uso de sistemas webmail externo. O uso do correio eletrônico para envio e recepção de e-mail deverá ocorrer apenas através do correio eletrônico da MarTravel.

10.22. É proibido o uso do Correio Eletrônico para envio de mensagens que possam comprometer a imagem da MarTravel perante seus Clientes, Fornecedores e a comunidade em geral, que possam causar prejuízo moral e financeiro.

10.23. É vedada a:
a) utilização do e-mail da MarTravel para assuntos pessoais; e,
b) execução ou abertura arquivos anexados enviados por remetentes desconhecidos ou suspeitos.

10.24. Todo usuário deve ter uma identificação única, pessoal e intransferível, qualificando-o como responsável por qualquer atividade desenvolvida sob esta identificação. O titular assume a responsabilidade quanto ao sigilo da sua senha pessoal.

10.25. É vedada a inclusão de senhas em processos automáticos de acesso ao sistema, por exemplo, armazenadas em macros ou teclas de função.

10.26. A distribuição de senhas aos usuários de TI (inicial ou não) deve ser feita de forma segura. A senha inicial, quando gerada pelo sistema, deve ser trocada, pelo usuário de TI no primeiro acesso.

10.27. A troca de uma senha bloqueada só deve ser liberada por solicitação do próprio usuário.

11. Violações

11.1. As violações de segurança devem ser informadas à área de Segurança da Informação. Toda violação ou desvio é investigado para a determinação das medidas necessárias, visando à correção da falha ou reestruturação de processos.

11.2. Poderão ocasionar sanções, incluindo, mas não se limitando:
a) descumprimento das regras desta política;
b) uso ilegal de software;
c) introdução (intencional ou não) de vírus de informática;
d) tentativas de acesso não autorizado a dados e sistemas;
e) compartilhamento de informações sensíveis do negócio; e,
f) divulgação de informações de clientes e das operações contratadas.

11.3. Os princípios de segurança estabelecidos na presente política possuem total aderência da administração da MarTravel e devem ser observados por todos na execução de suas funções. A não conformidade com as diretrizes desta política e a violação de normas derivadas cabe aos envolvidos às penas de responsabilidade civil e criminal, na máxima extensão que a lei permitir e a rescisão de contratos.

12. Disposições Finais

12.1. Havendo qualquer dúvida com os termos constantes nesta Política, entre em contato pelo telefone 11 3197-4882 ou envie um e-mail para contato@martravel.com.br.

12.2. Esta Política pode ser alterada de tempos e tempos, a critério da MarTravel.