1. OBJETIVO

Garantir que os ativos de informação da Totalpower recebam um nível adequado de proteção, visando a preservação de sua confidencialidade, integridade e disponibilidade.

2. ABRANGÊNCIA

Todos os colaboradores que utilizam serviços e recursos tecnológicos disponibilizados e de propriedade da Totalpower, incluindo terceiros, parceiros de
negócios e prestadores.

3. TERMOS E DEFINIÇÕES 

• Informação: é qualquer dado processado ou não que tenha importância significativa para a Totalpower, que possa ser contido em meio, suporte ou formato.

• Gestores: é responsável por fazer com que a norma se cumpra dentro da sua área.

• Dono da Informação: Deve classificar as informações e apontar quem tem o devido acesso para acessar a informação e quais tipos de acesso
cada pessoa tem.

• Segurança da Informação: Deve manter este documento atualizado e reavaliá-lo periodicamente de forma que ele reflita a necessidade do
negócio, busque as aprovações, crie treinamentos e que publique a norma para todo o grupo.

4. CLASSIFICAÇÃO DA INFORMAÇÃO

4.1 REGRAS GERAIS

O CEO é proprietário de toda informação e é responsável pela delegação da e definir os perfis de acesso. A informação de extrema confiabilidade é armazenada em servidor local e as demais informações deve possuir uma identificação, grau de proteção exigido para armazenamento, cópia, transmissão e destruição. 

Todos os documentos e/ou informações, mesmo que em meio não impresso, devem estar de acordo com os padrões de distribuição e devem possuir uma identificação que facilite o reconhecimento imediato do seu grau de sigilo. Esta regra aplica-se a projetos, desenvolvimento de sistemas,  atualização de versões, manutenções, geração de novos documentos e/ou arquivos, impressos etc. 

Se um sistema, relatório ou qualquer conjunto de informações possuírem diferentes níveis de classificação, deve se tomar como base a informação de maior grau de sigilo do conjunto para definir a proteção necessária. 

Todo arquivo recepcionado seja ele por FTP, softwares de transmissão de arquivo ou mídia, será classificado como “Restrita” e podendo ser manuseadas
apenas por pessoal autorizado, todo e qualquer outro tipo de acesso fica proibido, podendo acarretar as penalidades pela violação do acesso. Toda informação que não possuir uma classificação explícita quanto ao sigilo, deve ser considerada “Restrita”.

A classificação deve periodicamente ser revisada, refletindo de forma atualizada a importância que a informação representa para a empresa.

4.2 CLASSIFICAÇÃO DA INFORMAÇÃO APLICADA

A informação deve ser classificada para indicar sua importância e o nível de proteção necessário. Os seguintes rótulos devem ser utilizados:

4.2.1 CONFIDENCIAL

As informações classificadas como ‘Confidenciais’ são de natureza sensível e extremamente valiosas para o desempenho, estratégia ou transações específicas da empresa. A revelação dessas informações pode causar impactos negativos significativos nos negócios da empresa ou danos à sua imagem. Portanto, estas informações requerem medidas excepcionais de controle e proteção para prevenir  acessos não autorizados ou danos à própria informação. Em geral, o acesso às informações Confidenciais é restrito ao CEO, gerentes, área jurídica e a outros indivíduos previamente designados em projetos específicos, ou àqueles que, devido à natureza de suas funções, são obrigados a ter conhecimento dessas informações. 

4.2.2 RESTRITA

As informações classificadas como ‘Restritas’ são pertinentes ao escopo interno de um departamento ou área da Totalpower. Esta categoria inclui todas as informações que, isoladamente ou de forma agregada, permitem a identificação individual de clientes, funcionários ou outras entidades ligadas à empresa, ou qualquer outra informação desses indivíduos que possa implicar uma violação do seu direito constitucional à privacidade. Quando as informações Restritas envolvem mais de uma área, as áreas envolvidas devem garantir o devido tratamento da informação.

4.2.3 INTERNA

As informações classificadas como ‘Internas’ têm valor para a empresa, mas representam um baixo impacto caso sejam utilizadas ou divulgadas indevidamente. Estas informações devem estar disponíveis para todas as áreas e departamentos da empresa, mas, em geral, não devem ser divulgadas externamente. A divulgação indevida pode resultar em impactos negativos para os negócios, embaraços administrativos com empregados, clientes e fornecedores, ou oferecer vantagens a terceiros, bem como ameaçar colaboradores. Estas informações requerem controle e proteção contra acessos não autorizados.

4.2.4 PÚBLICA

Informações classificadas como ‘Públicas’ são aquelas que podem ou devem ser divulgadas ao público interno ou externo sem restrições. A Informação Pública deve receber um tratamento especial quanto à sua apresentação e conteúdo, para não prejudicar a imagem da empresa. 

5. TRATAMENTO DA INFORMAÇÃO

O usuário é responsável por garantir a segurança da informação sob sua guarda. Toda informação e/ou documento deve ser tratado de acordo com sua
classificação durante todo o seu ciclo de vida. Em caso de dúvida sobre a classificação, consulte a área de segurança da informação através do e-mail suporte@totalpower.com.br.

5.1 CONFIDENCIAL

Armazenamento:

a) Os documentos, mídias (disquetes, CDs, fitas, cartuchos etc.), mensagens de correio eletrônico e arquivos devem ser rotulados como “Confidencial” e confinados em gavetas com chaves se houver necessidade de descarte, será feito um descarte seguro.

b) As áreas onde as informações estão armazenadas, seja de forma lógica ou em mídias físicas, devem possuir controle de acesso restrito a pessoas autorizadas pelo dono da informação, mediante identificação e autenticação. Estas áreas estão sujeitas a auditorias internas e externas. 

c) Informações confidenciais não devem ficar disponíveis em locais de acesso público, como mesas, corredores, salas de reunião, impressoras, quadros de avisos ou áreas públicas da rede.

d) Quando armazenadas em meio eletrônico, estas informações podem estar criptografadas, seguindo a Política de Criptografia da empresa. 

e) A transmissão dessas informações deve ser autorizada pelo CEO, ser relevante para os interesses da empresa e amparada por Termo de Confidencialidade assinado. A transmissão em formato eletrônico deve seguir as especificações do procedimento de Criptografia.

f)Documentos impressos devem ser retirados imediatamente das áreas de impressão.

g) Em armazenamento interno, as informações Confidenciais devem ser mantidas seguindo a Política de Criptografia.

h) Para o transporte externo de documentos confidenciais, deve-se utilizar envelope lacrado com confirmação de recebimento pelo destinatário e envio por portador confiável. 

i) As informações armazenadas em ambiente externo devem seguir regras de segurança estabelecidas em contrato e avaliadas pela área de Segurança da Informação, preferindo-se, sempre que possível, o armazenamento interno.

Descarte:

a) Cópias de informações em quaisquer mídias (como CDs, pen drives, fitas etc.) devem ser inutilizadas ou sobrescritas assim que seu uso for concluído, a fim de evitar qualquer acesso não autorizado ou recuperação das informações.

b) Documentos impressos contendo informações sensíveis ou confidenciais devem ser triturados assim que não forem mais necessários, garantindo que as informações neles contidas não possam ser recuperadas ou acessadas por pessoas não autorizadas.

5.2 RESTRITA

Armazenamento:

a) Documentos, mídias (disquetes, CDs, fitas, cartuchos etc.), mensagens de correio eletrônico e arquivos devem ser rotulados como “Restrita”.

b) Em áreas onde informações “Confidenciais” e “Restritas” são armazenadas juntas, física ou logicamente, é necessário implementar controle de acesso restrito, limitado apenas a pessoas autorizadas pelo responsável pelas informações, mediante identificação e autenticação.

c) A informação classificada como “Restrita” deve ser transmitida apenas dentro da organização e nunca deve ser divulgada ou acessada por pessoas ou empresas externas, a menos que estejam cobertas por um Termo de Confidencialidade assinado. A transmissão de informações “Restritas” dentro da empresa pode ocorrer sem criptografia. No entanto, para transmissões autorizadas para fora da empresa, a Política de Criptografia deve ser observada.

d) Informações armazenadas em ambiente externo devem seguir regras de segurança estabelecidas em contrato e ser avaliadas previamente pela área de Segurança da Informação.

Descarte:

a) Cópias de informações em quaisquer mídias devem ser inutilizadas ou sobrescritas assim que seu uso for concluído, para evitar qualquer recuperação ou acesso não autorizado às informações. 

b) Documentos impressos contendo informações “Restritas” devem ser triturados assim que não forem mais necessários, garantindo que as informações neles contidas não possam ser recuperadas ou acessadas por pessoas não autorizadas.

5.3 INTERNA

Armazenamento: 

a) Documentos, mídias (disquetes, CDs, fitas, cartuchos etc.), mensagens de correio eletrônico e arquivos devem ser rotulados como “Interna”. 

b) Em áreas onde informações “Confidenciais” e “Internas” são armazenadas juntas, física ou logicamente, é implementado controle de acesso restrito, limitado apenas a pessoas autorizadas pelo responsável pelas informações, mediante identificação e autenticação.

c) A informação classificada como “Interna” deve ser transmitida apenas dentro da organização e nunca deve ser divulgada ou acessada por pessoas ou empresas externas, a menos que estejam cobertas por um Termo de Confidencialidade assinado. A transmissão de informações “Internas” dentro da empresa pode ocorrer sem criptografia. Para transmissões autorizadas para fora da empresa, a Política de Criptografia deve ser observada.

d) Informações armazenadas em ambiente externo devem seguir regras de segurança estabelecidas em contrato e ser avaliadas previamente pela área de Segurança da Informação.

Descarte:

a) Cópias de informações em quaisquer mídias devem ser inutilizadas ou sobrescritas assim que seu uso for concluído, para evitar qualquer recuperação ou acesso não autorizado às informações.

b) Documentos impressos contendo informações “Internas” devem ser triturados assim que não forem mais necessários, garantindo que as informações neles contidas não possam ser recuperadas ou acessadas por pessoas não autorizadas.

5.4 PÚBLICA

Armazenamento:

a) Documentos, mídias (disquetes, CDs, fitas, cartuchos etc.), mensagens de correio eletrônico e arquivos individuais devem ser rotulados como “Público”. Em casos onde várias informações e/ou documentos estão armazenados na mesma mídia, deve-se manter a rotulagem interna individualizada, conforme sua origem. Na ausência de um rótulo, a informação será tratada como “Restrita”, conforme item 4.4 deste manual.

b) As informações e/ou documentos classificados como “Público” podem ser armazenados em diretórios públicos, sites da Intranet e mídias removíveis,
conforme necessário.

Transmissão e Transporte:

a) A informação classificada como “Público” pode ser transmitida por e-mail sem necessidade de proteção adicional por senha, criptografia ou outros dispositivos de segurança.

b) Apenas os Responsáveis designados e autorizados pela administração da Totalpower estão habilitados a falar com a imprensa em nome da empresa, de acordo com sua expertise e cargo.

Descarte:

a) Não se aplica.

6. DESCARTE DE INFORMAÇÕES ELETRÔNICAS

Todos os dados e softwares licenciados armazenados em equipamentos (notebooks e desktops) e mídias de armazenamento móvel (CD, DVD, pen drives
USB, cartões de memória, etc.) devem ser apagados e descartados de maneira segura antes de serem reutilizados por outro usuário. 

A área de infraestrutura é responsável por apagar os dados de forma segura para evitar o acesso indevido a eles em discos rígidos. Os arquivos são permanentemente excluídos e um código é reescrito no lugar no disco rígido. 

Para fitas de backup, CDs, DVDs, pen drives USB e cartões de memória, o procedimento de descarte inclui destruição física e envio para empresas de descarte devidamente homologadas.

7. PERDA OU ROUBO DE INFORMAÇÕES 

Em caso de suspeita de comprometimento, roubo, adulteração ou perda de informações, a área de Segurança da Informação deve ser  formal e imediatamente notificada através dos e-mails suporte@totalpower.com.br e info@totalpower.com.br.

É responsabilidade destas áreas comunicar a suspeita aos responsáveis, investigar os fatos, tomar providências necessárias e recomendar controles adicionais para prevenir a recorrência do incidente.

Colaboradores não devem, sob nenhuma circunstância, tentar investigar uma falha de segurança ou uma atividade suspeita. A investigação de uma  fragilidade pode ser interpretada como uso impróprio do sistema ou da informação,sendo tais investigações restritas à Equipe de Segurança.

8. INFRAÇÕES DA POLÍTICA DA SEGURANÇA DA INFORMAÇÃO

8.1 PROCEDIMENTOS PARA TRATAMENTO DA INFORMAÇÃO

Falta Grave:

• Revelar a informação sem a devida autorização.

Falta Média:

• Não tratar adequadamente a informação.

8.2 ACESSO À INFORMAÇÃO

Falta Grave:

• Acessar, sem a devida autorização informação confidencial.

Falta Média:

• Acessar, sem a devida autorização informação restrita.

8.3 CÓPIA DE INFORMAÇÃO

Falta Grave:

• Copiar, sem a devida autorização informação confidencial.

Falta Média:

• Copiar, sem a devida autorização informação restrita.

8.4 ARMAZENAMENTO E DESTRUIÇÃO DE INFORMAÇÃO

Falta Grave:

• Eliminar incorretamente ou sem autorização informações.

Falta Média:

• Armazenar ou proteger de forma insegura informações reservadas. 

8.5 TRANSMISSÃO DE INFORMAÇÃO CONFIDENCIAL 

Falta Grave:

• Transmitir informações confidenciais sem autorização ou obedecendo ao procedimento de Criptografia. 

8.6 DIVULGAÇÃO DE INFORMAÇÕES PÚBLICAS 

Falta Grave:

•  Divulgar informação para a imprensa, ou para veículo de comunicação de massa, sem a autorização.