INTERMAIL SEU PARCEIRO LOGÍSTICO Transporte e intermediação de fretes, manuseio, embalagem, gestão de documentos, armazenagem e gestão de estoques, integração

    encomenda-Intermail_ecommerce LOGÍSTICA PARA
    E-COMMERCE
    Fulfillment, administração de estoque, manuseio, transporte, embalagem e rastreio. Soluções personalizadas do tamanho da sua necessidade.

      MODA / BELEZA Administração de estoque, manuseio, transporte, embalagem e rastreio. Uma solução na medida certa para atender seu negócio.

        INTRODUÇÃO

        Com o objetivo de realizar com sucesso as operações, a AS Serviços Postais e empresas do grupo utiliza informações para a prestação de serviços, devendo então desenvolver políticas e procedimentos visando assegurar a correta proteção das informações.

        POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

        Objetivo

        A Política de Segurança da Informação tem como objetivo estabelecer, manter e desenvolver a cultura organizacional nos conceitos de segurança da informação.

        Abrangência e Vigência

        Este documento é destinado a todos os colaboradores também prestadores de serviço, que de alguma forma mantenham contato de qualquer natureza com informações da AS Serviços Postais demais empresas do grupo, considerando três aspectos básicos:

        * Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

        * Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

        * Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

        Estrutura Organizacional responsável

        A Presidência é a responsável, em primeiro plano, por todos os ativos de informação, administrando a política de segurança da Informação, incluindo leis e regulamentações. A Gerência e encarregados de produção organiza e gerencia a segurança da informação. Avalia a segurança no processo operacional, sendo responsável pela gestão dos padrões e procedimentos de segurança da informação. Os funcionários e prestadores de serviço devem observar e garantir o cumprimento desta política e outros documentos relacionados à segurança da Informação da AS Serviços Postais e empresas do grupo.

        Princípios de Segurança da Informação

        O que é a Segurança da Informação?

        Informação é o conjunto de conhecimento sobre algo. Assim como qualquer outro ativo importante de uma empresa, ela é necessária para realização dos negócios em uma organização e naturalmente deve ser protegida. A informação pode existir de diversas formas:

        – Impressa ou escrita em papel;

        – Armazenada eletronicamente;

        – Transmitidas pelos correios;

        – Falada em conversas;

        – Apresentada em vídeos, etc

        Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais.. A AS Serviços Postais e empresas do grupo, por meio da Gerência de Sistemas, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

        Requisitos da Política de Segurança da Informação

        Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores da AS Serviços Postais e empresas do grupo a fim de que a política seja cumprida na empresa. Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente. Termos de confidencialidade devem constar nos contratos de trabalhos dos colaboradores e prestadores de serviço. A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Sistemas Deverão ser criados e instituídos controles apropriados e trilhas de auditoria-logs.

        RESPONSABILIDADES

        Dos Colaboradores em Geral

        Entende-se por colaborador toda e qualquer pessoa física, contratado efetivo ou temporário, ou prestador de serviço, por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da AS Serviços Postais e empresas do grupo. Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar ao em decorrência da não obediência às diretrizes e normas aqui referidas.

        Dos Gerentes, supervisores e profissionais que exercem funções de liderança

        Cabe a estes profissionais ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão. Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da AS Serviços Postais e empresas do grupo, bem como dos demais procedimentos e normas internas. Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da AS Serviços Postais e empresas do grupo.

        Da área de tecnologia da informação

        O responsável pela área de Tecnologia da Informação deverá testar a eficácia dos controles utilizados e informar aos gestores os riscos que porventura venham surgir, procurando então eliminar qualquer risco relacionado à tecnologia da informação. Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, deverão, na medida do possível ser implantados controles de integridade para torná-las juridicamente válidas como evidências. Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a AS Serviços Postais e empresas do grupo. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que: * os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.

        Fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança das informações. Deverá ainda monitorar o ambiente de TI, gerando históricos de:

        * incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);

        * atividade de todos os colaboradores durante os acessos às redes, incluindo a internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos).

        Da Coordenação da Segurança da Informação

        Cabe a gerência administrativa a coordenação da segurança da informação. Deverá propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação. Propor e apoiar iniciativas que visem à segurança dos ativos de informação da AS Serviços Postais e empresas do grupo. Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da AS Serviços Postais e empresas do grupo, mediante palestras e treinamentos. Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços. Buscar alinhamento com as diretrizes corporativas da empresa

        Do Monitoramento e da auditoria no ambiente

        Para garantir as regras mencionadas nesta PSI, a AS Serviços Postais e empresas do grupo poderá: * implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados; * tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior). * realizar, a qualquer tempo, inspeção física nas máquinas; * instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso. 

        DIRETRIZES GERAIS

        Correios Eletrônico

        O objetivo desta norma é informar aos colaboradores quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo. O correio eletrônico deverá ser utiilizado para fins corporativos e relacionados às atividades do colaborador usuário dentro da AS Serviços Postais e empresas do grupo. A utilização desse serviço para fins pessoais é permitida desde que feita com ética e bom senso, e também não cause impacto no tráfego da rede. É proibido aos colaboradores o uso do correio eletrônico para os seguintes fins:

        * enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

        * enviar qualquer mensagem por meios eletrônicos que torne seu remetente vulneráveis a ações civis ou criminais;

        * divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

        * falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

        * mensagens que contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador;

        * mensagens que contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;

        * mensagens que tenham conteúdo considerado impróprio, obsceno ou ilegal;

        * mensagens que sejam de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;

        Utilização da Internet

        Todas as regras atuais visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela. Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da AS Serviços Postais e empresas do grupo que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação. A AS Serviços Postais e empresas do grupo, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. A internet disponibilizada pela AS Serviços Postais e empresas do grupo aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nas unidades. É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela Gerência. Os colaboradores não poderão utilizar os recursos da AS Serviços Postais e empresas do grupo para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores. O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos específicos. Porém, os serviços de comunicação instantânea (MSN, ICQ e afins) serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso a gerência julgue necessário.

        Identificação dos equipamentos

        Os dispositivos de identificação e senhas protegem a identidade do colaborador/usuário, Todos os dispositivos de identificação utilizados na AS Serviços Postais e empresas do grupo, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira. O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a empresa e a legislação (cível e criminal). 9 Versão 5.0 Março 2018 Classificação da Informação: Documento interno Cópia Controlada Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado. A Gerência responde pela criação da identidade lógica dos colaboradores na AS Serviços Postais e empresas do grupo. Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas. Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) . Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo 06 (seiscaracteres), alfanumérica, utilizando caracteres especiais (@ # $ %). É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados. As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a AS Serviços Postais e empresas do grupo e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado. Arquivos pessoais e/ou não pertinentes ao negócio da AS Serviços Postais e empresas do grupo (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário. Documentos imprescindíveis para as atividades dos colaboradores da AS Serviços Postais e empresas do grupo deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.

        Regras que devem ser atendidas:

        * Os colaboradores devem informar ao departamento técnico ou chefia direta qualquer identificação de dispositivo estranho conectado ao seu computador. 

        * É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico.

        * É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e próximo aos equipamentos.

        * Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador quando não estiverem sendo utilizados.

        * Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.

        NORMAS E PROCEDIMENTOS INTERNOS

        Ativos de informação

        Ativos de informação são todos os ativos que possuem informações ou dados, tais como rede de comunicação de dados, a rede de telefonia, computadores, sistemas de informações, equipamentos e dispositivos elettrônicos, materiais impressos e as pessoas, com suas habilidades, qualificações e experiências. Responsabilidades pelos ativos de informação: Os ativos de informação possuem diversos responsaveis, cada qual com seus respectivos papéis e responsabilidades quanto à proteção, gestão, operação, utilização e manutenção.

        Inventários de ativos

        O inventário consiste em identificar, agrupar e classificar os ativos. Esta atividade é fundamental para a correta gestão dos ativos, servindo de subsídio em diversas etapas do processo, de forma recorrente. Por isso, deve ser constantemente atualizado, de forma a refletir a situação mais atual possível dos ativos de informação da AS Serviços Postais e empresas do grupo.

        Perímetros de segurança Física

        Devem ser definidos os perímetros de segurança física, através de portões e portas de entradas controlados, para proteger as áreas que contenham informações ou instalações de processamento da informação.

        Controle de acesso físico

        Os perímetros de segurança devem ser protegidos por controles apropriados de entrada e saída para assegurar que somente as pessoas autorizadas tenham acesso às dependências. Todos os colaboradores ou prestadores de serviço devem manter em locais visíveis os crachás.

        Devolução de ativos

        Todos os colaboradores e prestadores de serviços devem devolver os ativos da AS Serviços Postais e empresas do grupo, que porventura estejam em sua posse., durante ou após o encerramento de suas atividades.

        Retirada de permissões de acesso

        É necessário que as permissões de acesso de todos os usuários aos ativos ou recursos de processamento de informações sejam retiradas após o encerramento de suas atividades ou contrato, impedindo a continuidade dos acessos, sejam físicos ou lógicos.

        Mesa limpa e Tela limpa

        A política de mesa limpa deve ser considerada para os departamentos e utilizada pelos funcionários de modo que papéis e mídias removíveis não fiquem expostas à acessos não autorizado. A política de tela limpa deve considerar que se o usuário não estiver utilizando a informação ela não deve ficar exposta, reduzindo o risco de acesso não autorizado, perda e danos à informação.

        Gestão de Mudanças

        Trata a necessidade de controlar as modificações nos recursos de processamento da informação, sistemas e atividades relacionadas ao processo produtivo, se aplicável neste caso. Ítens que devem constar em um processo de gestão de mudanças:

        – Identificação e registro das mudanças;

        – Planejamento e testes das mudança; – Avaliação de impactos potenciais de tais mudanças;

        – Aprovação das mudanças propostas;

        – Divulgação dos detalhes das mudanças aos envolvidos;

        Sincronização dos relógios

        O correto estabelecimento dos relógios dos computadores é importante para assegurar a exatidão dos registros (logs) de auditoria, que podem ser requeridos por investigações ou como evidências em casos legais ou disciplinares. Deverá ser levado em conta caracteristicas locais, como o horário de verão, e que todos os relógios sem sincronizados de acordo com uma hora oficial. Os relógios dos equipamentos devem ser sincronizados com o servidor central.

        Datacenter (CPD)

        O acesso ao Datacenter somente deverá ser feito por pessoas autorizadas. O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de posse do coordenador responsável pelo Datacenter, a outra, de posse do coordenador de infraestrutura. O Datacenter deverá ser mantido limpo e organizado. Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável. A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará acesso. 13 Versão 5.0 Março 2018 Classificação da Informação: Documento interno Cópia Controlada

        Backup

        Os backups devem ser realizados periodicamente, garantindo a continuidade das operações quanto às informações da AS Serviços Postais e empresas do grupo, As mídias de backup (HDs externos ou pen-drives) devem ser acondicionadas em local seco, climatizado, seguro e distantes o máximo possível do Datacenter. As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas. O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante. Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Testes de restauração (restore) de backup devem ser executados por seus responsáveis, periodicamente. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos. Para formalizar o controle de execução de backups e restores, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo gerente da AS Serviços Postais.

        Descarte

        Os materiais/documentos resultantes de perda natural do processo são devolvidos através de protocolo, ou seja, a empresa não retém documentos impressos de clientes.

        DISPOSIÇÕES FINAIS

        Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da empresa.

        SANÇÕES

        O descumprimento do que está estabelecido nesta política será tratado com processo administrativo interno e ou sanção. Em caso de faltas, poderão incorrer a suspensão ou encerramento do contrato de trabalho, de acordo com legislação brasileira vigente.

         


        GLOSSÁRIO

        Antivírus: Programa ou software especificamente desenvolvido para detectar, anular e eliminar de um computador vírus e outros tipos de código malicioso.

        Cavalo de tróia: Programa, normalmente recebido como um “presente” (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.

        Engenharia social: Método de ataque onde uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

        Malware: Do Inglês Malicious software (software malicioso). Veja Código malicioso.

        Senha: Conjunto de caracteres, de conhecimento único do usuário, utilizado no processo de verificação de sua identidade, assegurando que ele é realmente quem diz ser.

        Spam: Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do Inglês Unsolicited Commercial E-mail).

        Vírus: Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.