•  
  • SAC: 103 12 Atendimento
    Para você
    103 12
    Whatsapp: (34) 9 9664‑9400 (34) 9 9664‑9400
    Micro e pequenas empresas
    0800 942 1212
    Whatsapp: (34) 9 9884 0123 (34) 9 9884 0123
    Médias e grandes empresas
    0800 941 2822
    Whatsapp: (34) 9 9889 2822 (34) 9 9889 2822
    Autoatendimento
    Conta detalhada
    Reparo
    Desbloqueio
    Saldo pré
    Ativar conta online
    Segunda via
    Quer comprar?
    Para você
    0800 942 2009
    Whatsapp: (34) 9 8414-7072 (34) 9 8414-7072
    Micro e pequenas empresas
    0800 942 2009
    Whatsapp: (34) 9 9888-7072 (34) 9 9888-7072
    Médias e grandes empresas
    0800 942 1200
    Se precisar de algo mais estamos aqui
    Para você
    103 12
    Whatsapp: (34) 9 9664‑9400 (34) 9 9664‑9400
    Micro e pequenas empresas
    0800 942 1212
    Whatsapp: (34) 9 9884 0123 (34) 9 9884 0123
    Médias e grandes empresas
    0800 941 2822
    Whatsapp: (34) 9 9889 2822 (34) 9 9889 2822
  • Vendas
    Para você
    0800 942 2009
    Whatsapp: (34) 9 8414-7072 (34) 9 8414-7072
    Micro e pequenas empresas
    0800 942 2009
    Whatsapp: (34) 9 9888-7072 (34) 9 9888-7072
    Médias e grandes empresas
    0800 942 1200
menu Ver menu

Segurança da Informação

Data de Criação/Alteração: 19/10/2021
Versão: 20


1 – OBJETIVO

Prover orientação e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações aplicáveis, de forma a preservar a confidencialidade, integridade e disponibilidade das informações do negócio.

2 - ESCOPO

Esta política de segurança da informação foi construída a partir das estratégias do negócio, requisitos contratuais e legislação vigente e é aplicável a todas as unidades da Algar Telecom, independente de regional, incluindo o Data Center.

As diretrizes aqui estabelecidas devem ser seguidas por todos os associados, prestadores de serviços, fornecedores, estagiários e parceiros que utilizam de alguma forma os processos, instalações e informações da Algar Telecom e também por seus clientes, quando aplicável, para garantia do serviço.

Nota 01: Exceções somente quando aprovado pela equipe de gestão de segurança da informação.

3 - DOCUMENTOS REFERENCIAIS

● Constituição Federal de 1988, em especial o artigo 5º, incisos IV, V, X, XII, XIV;
● Lei nº 10.406, de 10 de janeiro de 2002, Código Civil, em seus artigos 186, 187, 538, 927, 932, 933, 1016 e 1052;
● Lei nº 13.105, de 16 de março de 2015, Código de Processo Civil, em especial o artigo 369;
● Decreto-lei nº 2.848, de 7 de dezembro de 1940, Código Penal, artigos 139, 138, 140, 151, 152, 153, 154, 154-A, 184, 297, 299, 305, 307 e 308;
● Decreto-lei nº 3.689, de 3 de outubro de 1941, Código de Processo Penal, artigos 231, 232 e 233;
● Decreto-lei nº 5.452, de 1º de maio de 1943, Consolidação das Leis do Trabalho, artigos 2º, 3º, 6º. 482 e alíneas;
● Lei nº 13.467, de 13 de julho de 2017, especialmente artigos 75-A e seguintes;
● Decreto-lei nº 4.657, de 4 setembro de 1942, Lei de Introdução às normas do Direito Brasileiro;
● Lei nº 9.279, de 14 de maio de 1996, Lei de Propriedade Industrial (Marcas e Patentes);
● Lei nº 9.296, de 24 de julho de 1996, Lei de Interceptação;
● Lei nº 9.609 de 19 de fevereiro de 1998, Lei de Software;
● Lei nº 9.610, de 19 de fevereiro de 1998, Lei de Direitos Autorais;
● Leis nº 12.735 e 12.737, de 30 de novembro de 2012, Leis de Delitos Informáticos;
● Lei nº 12.846, de 1º de agosto de 2013, Lei Anticorrupção;
● Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais;
● Decreto nº 8.420, de 18 de março de 2015 – Regulamenta a Lei Anticorrupção;
● Portaria CGU nº 909, de 7 de abril de 2015 - Dispõe sobre a avaliação de programas de integridade de pessoas jurídicas;
● Portaria CGU nº 910, de 7 de abril de 2015 - Define os procedimentos para apuração da responsabilidade administrativa e para celebração do acordo de leniência de que trata a Lei nº 12.846, de 1º de agosto de 2013;
● Instrução Normativa nº 1, de 7 de abril de 2015 - Estabelece metodologia para a apuração do faturamento bruto e dos tributos a serem excluídos para fins de cálculo da multa a que se refere o art. 6º da Lei nº 12.846, de 1º de agosto de 2013;
● Instrução Normativa nº 2, de 7 de abril de 2015 - Regula o registro de informações no Cadastro Nacional de Empresas Inidôneas e Suspensas – CEIS e no Cadastro Nacional de Empresas Punidas – CNEP;
● Lei nº 12.850, de 2 de agosto de 2013, Lei de Provas Eletrônicas;
● Lei nº12.965, de 23 de abril de 2014 – Marco Civil da Internet;
● Decreto nº 8.771, de 11 de maio de 2016 – Regulamenta o Marco Civil da Internet;
● Súmula 341 do Supremo Tribunal Federal;
● Súmula 428 do Tribunal Superior do Trabalho;
● Norma NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de gestão da segurança da informação – Requisitos;
● Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação;
● Norma NBR 16167 – Segurança da Informação – Diretrizes para classificação, rotulação e tratamento da informação;
● Norma ISO/IEC 27014– Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da Informação;
● COBIT 5 – Control Objectives for Information and related Technology. ISACA, ITGI, 2012.

4 - ÁREA RESPONSÁVEL PELO DOCUMENTO

ASI - Assessoria de Segurança da Informação.

5 - RESPONSABILIDADES

5.1

A Algar Telecom, por intermédio da sua Presidência e Diretoria, assegura às partes interessadas que riscos de segurança da informação são gerenciados, e afirma seu compromisso para com a segurança da informação, leis e regulamentações aplicáveis ao negócio, a partir desta Política de Segurança da Informação, a qual deve ser analisada criticamente no mínimo uma vez a cada 12 meses ou sempre que mudanças significativas forem realizadas no ambiente;

5.2

As principais funções e responsabilidades envolvidas na administração e controle da Segurança da informação estão formalizadas por meio do Procedimento “Funções e Responsabilidades pela Segurança da Informação” disponível para consulta na biblioteca de documentos da Algar Telecom por meio do link https://book.algarnet.com.br;

5.3

Cabe a todo associado ou terceiro a serviço a responsabilidade de observar todas as regras de segurança da informação aqui estabelecidas e nos documentos complementares que dão suporte a esta política, inclusive em trabalho remoto, sendo o descumprimento destas sujeito à aplicação da gestão disciplinar ou ação judicial quando for o caso.

6 - DEFINIÇÕES

6.1 - Segurança da Informação

É a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação. Ou seja, são os esforços contínuos para a proteção dos ativos de informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco à empresa, maximizar o retorno sobre os investimentos e as oportunidades de negócios. É obtida a partir da implementação de objetivos de controle e controles adequados incluindo políticas, processos, procedimentos, estruturas organizacionais e tecnologia para garantir que os objetivos do negócio e de segurança da empresa sejam atendidos.

6.2 - Confidencialidade

Garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento dos não autorizados.

6.3 - Integridade

Garantia de que as informações estejam fidedignas em relação à última alteração desejada durante o seu ciclo de vida.

6.4 - Disponibilidade

Garantia de que as informações e os Recursos de TIC (6.13) estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

6.5 - Legalidade

Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.

6.6 - Autenticidade

Garantia de que a informação foi criada, editada ou emitida por quem se disse ter sido, sendo capaz de gerar evidências não repudiáveis em relação ao criador, editor ou emissor.

6.7 - Informação

É o conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.

6.8 - Privacidade

Controle da exposição, distribuição e uso de informações pessoais disponibilizadas pelo próprio dono da informação.

6.9 - Tratamento

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

6.10 - Ativo de Informação

É qualquer coisa que tenha valor para a Algar Telecom e precisa ser adequadamente protegido.

6.11 - Homologação

Processo de avaliação e aprovação técnica de Recursos de TIC para serem utilizados dentro do ambiente da Algar Telecom.

6.12 - Shadow It

Dispositivos, softwares ou serviços que estejam fora do controle da área de TI e que não possuem aprovação formal das áreas competentes para utilização.

6.13 - Recursos de TIC (Tecnologia da Informação e Comunicações)

São todos os recursos físicos e lógicos utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar a informação. Entre os tipos de recursos podemos destacar: computadores de mesa ou portáteis, smartphones, tablets, pen drive, discos externos, mídias, impressoras, scanner, entre outros. Sempre que mencionados de forma a não identificar seu possuidor ou proprietário, os Recursos de TIC compreenderão tanto os pertencentes à Algar Telecom quanto aos particulares em proveito corporativo. Caso contrário, haverá declinação de posse ou propriedade no próprio texto.

6.14 - Violação

Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da Algar Telecom.

6.15 - Incidente de Segurança da Informação

É a perda de um ou mais princípios da segurança da informação, ou seja, uma quebra na confidencialidade, integridade e/ou disponibilidade das informações. Pode ser considerada também como uma ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede que indica possível violação à Política de Segurança da Informação ou documentos complementares, falha de controles ou situação previamente desconhecida e que possa ser relevante à segurança da informação.

7 - PRINCIPAIS ÁREAS DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

● Presidência e demais diretores;
● TI Corporativa;
● Planejamento;
● Engenharia;
● Estação Algar Telecom;
● Infraestrutura;
● Áreas de Entrega/Implantação de Clientes;
● Operações de Clientes;
● Talentos Humanos

8 - OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO

● Manter os fatores de risco dentro do limite de probabilidade aceitável pela organização;
● Garantir a aderência dos associados aos treinamentos de segurança da informação.

Nota 02: Conforme metas previamente estabelecidas e formalizadas nos documentos de suporte à gestão de segurança da informação.

9 - DIRETRIZES GERAIS

9.1 - Esta política de segurança da informação tem como intenções:

9.1.1. Preservar e proteger as informações da Algar Telecom e os recursos de TIC que as contêm, ou que estejam sob sua responsabilidade, dos diversos tipos de ameaça em todo o seu ciclo de vida, contidas em qualquer suporte ou formato;
9.1.2. Estabelecer as responsabilidades e limites de atuação dos associados, prestadores de serviços, fornecedores, estagiários, parceiros e clientes que utilizam de alguma forma informações da Algar Telecom em relação à segurança da informação e comunicação, reforçando a cultura interna e priorizando as ações necessárias conforme a criticidade do ativo;
9.1.3. Definir as melhores práticas, padrões, recomendações e uso dos Recursos de TIC por meio de suas diretrizes e normas complementares, resguardando a segurança das informações da Algar Telecom e utilizando controles de acordo com os níveis de riscos envolvidos;
9.1.4. Prevenir e reduzir impactos gerados por incidentes de segurança da informação e de privacidade de dados, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade no desenvolvimento das atividades profissionais.

9.2

A Política de Segurança da Informação e seus documentos complementares devem ser interpretados de forma restritiva, ou seja, as atividades que não estão tratadas na normativa só devem ser realizadas após análise prévia da equipe de gestão de segurança da informação e formal autorização do executivo responsável pelo associado ou diretor/comitê executivo da Algar Telecom, conforme o aplicável;

9.3

A Política de Segurança da Informação deve ser divulgada a todos os associados, clientes, fornecedores e parceiros, visando dar sua publicidade para todos que se relacionam profissionalmente com a Algar Telecom;

9.4

As informações geradas, acessadas, manuseadas, armazenadas ou descartadas no exercício das atividades realizadas pelos associados, fornecedores ou prestadores de serviços, bem como os demais ativos intangíveis e tangíveis disponibilizados para a prestação de serviço, são de propriedade da Algar Telecom ou estão sob a responsabilidade e direito de uso exclusivo desta, devendo ser empregadas unicamente para fins profissionais exclusivos da Algar Telecom e somente ela pode determinar seu destino e finalidade;

9.5

Toda criação, invenção e desenvolvimento de ideias, processos, sistemas, produtos e serviços, criados no âmbito do trabalho ou das responsabilidades e missão da função ou cargo do associado ou prestador de serviço na empresa, devem ser transferidos à Algar Telecom, com as exceções definidas em acordos especiais, conforme previsto no Código de Conduta Algar;

9.6

As contratações em que ocorram o compartilhamento de informações de propriedade ou sob a responsabilidade da Algar Telecom ou a concessão de acesso aos seus ambientes ou ativos devem ser precedidas por termos de confidencialidade e cláusulas contratuais relacionadas à segurança da informação, além de preverem a realização de auditorias eventuais ou periódicas para certificar a conformidade com esta Política de Segurança da Informação e seus documentos complementares;

9.7

É proibido ao associado e prestador de serviço instalar, utilizar, copiar, reproduzir, transmitir ou compartilhar software ou quaisquer conteúdos protegidos por lei através dos recursos de TIC internos ou a serviço, devendo somente fazê-lo quando houver licença, autorização ou permissão pelo autor ou proprietário para tanto ou quando a lei expressamente permitir;

9.8

A Algar Telecom também deve possuir um “Programa de Conscientização” em Segurança da Informação para disseminação da cultura de Segurança da Informação junto aos seus associados e prestadores de serviço.

10 - PROTEÇÃO DE DADOS PESSOAIS

10.1. A Algar Telecom respeita a privacidade. Assim, deve garantir a disponibilidade, integridade e confidencialidade dos dados pessoais em todo o seu ciclo de vida, em qualquer formato de armazenamento ou suporte, por meio de:

10.1.1. Tratamento autorizado nos termos da legislação de proteção de dados pessoais vigente;
10.1.2. Adoção de medidas de segurança para proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito;
10.1.3. Armazenamento de modo seguro, controlado e protegido;
10.1.4. Processos de anonimização e pseudonimização, sempre que necessário;
10.1.5. Protocolos de criptografia na transmissão e armazenamento, sempre que necessário;
10.1.6. Registro lógico das operações de tratamento;
10.1.7. Descarte seguro dos dados pessoais ao término de sua finalidade, ou quando solicitado pelo titular dos dados pessoais, e sua conservação de acordo com as hipóteses legais e regulatórias;
10.1.8. Transferência a terceiros de modo seguro e contratualmente previsto;
10.1.9. Avaliação de impacto e sistemática à privacidade dos titulares de dados;
10.1.10. Gestão e tratamento adequado de incidentes que envolvam dados pessoais;
10.1.11. Testes, monitoramento e avaliações periódicas de sua efetividade


11 - ESTRUTURA PARA A SEGURANÇA DA INFORMAÇÃO

A segurança da informação da Algar Telecom é composta por objetivos de controles e controles específicos para Pessoas, Ativos, Informação, Sistemas e Aplicativos.

11.1 - Pessoas

11.1.1 - Associados Algar Telecom
a) Todo associado deve ter conhecimento de todas as políticas vigentes na empresa, em especial a Política de Segurança da Informação, Código de Conduta Algar, Treinamentos de Conscientização em Segurança da Informação e ser coerente com os mesmos;
b) Todos os associados devem assinar o Termo de Compromisso e Responsabilidade e Acordo de Confidencialidade no ato de sua admissão ou sempre que solicitado pela empresa;
c) É vedado a qualquer associado a utilização indevida de informações da empresa e/ou de seus clientes, transmitirem-nas para a concorrência, utilizá-las para benefício próprio e/ou armazenar arquivos e e-mails de forma imprópria;
d) A Algar Telecom pode receber e armazenar automaticamente informações sobre as atividades de qualquer pessoa que utilize seus recursos, incluindo endereço IP, usuário, aplicativos, tela/página e conversação efetuada dentro ou por meio desta empresa;
e) Qualquer ID de autenticação (usuário e senha) na rede corporativa ou em aplicativos fornecidos pela Algar Telecom é de uso pessoal e intransferível e cada usuário será responsável pelo armazenamento e uso do mesmo;
f) Ao final do vínculo empregatício e/ou contratual de associados Algar Telecom, a mesma realizará imediatamente a desativação dos ID’s de autenticação utilizados durante o vínculo ou prestação de serviço.

11.1.2 – Fornecedores, Terceiros e Visitantes
a) É vedado a qualquer pessoa prestadora de serviço utilizar sem autorização ou indevidamente informações da empresa e de seus clientes, transmiti-las para concorrência, utilizá-las para benefício próprio e/ou armazenar arquivos e e-mails de forma imprópria;
b) Recebendo acesso a qualquer recurso da Algar Telecom, o prestador de serviço estará sujeito às políticas e diretrizes internas da empresa e a todos os critérios estabelecidos pelo “contrato de prestação de serviços” assinado no ato da contratação e, se for o caso, ser penalizado conforme previsto neste documento;
c) Qualquer ID de autenticação (usuário e senha) na rede corporativa ou em aplicativos fornecidos pela Algar Telecom é de uso pessoal e intransferível e cada usuário será responsável pelo armazenamento e uso do mesmo;
d) Ao final do vínculo contratual, o responsável pelo contrato dos prestadores de serviço da Algar Telecom deve garantir que os ID’s de autenticação utilizados durante os trabalhos sejam devidamente desabilitados.

11.2 - Ativos

11.2.1 - Bens e Serviços Disponibilizados
a) Todo associado, fornecedor e terceiro é responsável por zelar pelo bom funcionamento e pela integridade de qualquer recurso provido pela empresa para realização de suas atividades e, quando aplicável deve assinar um termo de compromisso de uso de recurso;
b) A gestão dos ativos na Algar Telecom deve atender às recomendações dos fabricantes ou desenvolvedores, sendo que qualquer necessidade de manutenção, atualização ou correção de falhas técnicas somente poderão ser realizadas pela equipe de service desk corporativa;
c) Não é permitido aos associados e terceiros à serviço, a violação de hardware dos computadores da empresa bem como formatação do sistema operacional. É necessário acionar o Service Desk Algar Telecom quando quaisquer ações nos computadores forem necessárias;
d) Todos os servidores, desktops, notebooks, tablets, smartphones, etc, que permitam a instalação de ferramenta de inventário corporativo licenciado para Algar Telecom, devem tê-los instalados e atualizados de forma automática, não podendo o usuário desabilitar ou desinstalar;
e) Todo produto ou equipamento da Algar Telecom que se faça necessário transportar, deve ser acomodado de forma segura, garantindo assim a integridade física e lógica quando aplicável;
f) Dispositivos móveis devem ser utilizados quando fornecidos ou autorizados prévia e expressamente pelo gestor do associado e pela área de segurança da informação conforme as necessidades do negócio;
g) Na rede corporativa, não é permitida a utilização de computadores pessoais, salvo mediante aprovação executiva e aprovação da equipe de gestão de segurança da informação cumprindo os requisitos 7.2.2
h) Nenhum dispositivo conectado à rede corporativa deve fazer uso de gadgets/IOT conectados a linhas dedicadas ou discadas que forneçam acesso a outras redes ou à internet, salvo os casos analisados e aprovados pela equipe de gestão de segurança da informação;
i) A Algar Telecom deve analisar seus processos e recursos de TIC em intervalos regulares, visando assegurar que estejam devidamente inventariados e com seus gestores identificados e cientes, assim como suas vulnerabilidades e ameaças de segurança mapeadas;
j) É vedado a qualquer associado à utilização da rede ALGARTELECOM_VISITANTES. Esta rede concede acesso somente a internet e deve ser utilizada exclusivamente por profissionais de empresas parceiras e por um período determinado;
k) Toda entrada, movimentação e saída de ativos das unidades da Algar Telecom devem obedecer aos procedimentos internos da empresa.

11.2.2 – Acesso remoto à rede corporativa e a outras redes
a) O acesso remoto à rede corporativa, a partir de outra empresa ou de algum ponto da Internet, deve ser realizado somente por meio de projeto elaborado e implementado pela equipe de engenharia ou dos meios de VPN já implantados e disponíveis aos usuários;
b) O acesso remoto para fornecedores e terceiros só pode ser feito por intermédio de projeto específico da equipe de soluções de rede, considerando que terão acesso apenas ao que for necessário e não a todo o ambiente;
c) Onde existir disponibilidade da rede ALGARTELECOM_VISITANTES, o visitante deverá usar apenas esta rede que lhe confere acesso à Internet no período máximo de 5 dias corridos, sem qualquer conexão com a rede corporativa;
d) Quando o acesso à rede de visitantes não for possível e o acesso estritamente necessário, deve ser solicitado à equipe de gestão de segurança avaliação específica do equipamento para posterior aprovação;
e) Não é permitida a conexão de equipamentos de terceiros à rede da Algar Telecom, salvo quando expressamente autorizado pela equipe de gestão de segurança da informação, sendo que para a autorização o terceiro deve ser cadastrado previamente no sistema de controle de acesso;
f) Qualquer dispositivo conectado à rede corporativa fica condicionado à obediência desta política e poderá ser desconectado a qualquer momento, caso seja necessário.

Nota 3: Exceções somente quando aprovado pela equipe de gestão de segurança da informação.

11.3 - Informação

11.3.1. O acesso às informações da Algar Telecom e/ou seus clientes em seu ambiente empresarial e computacional é restrito e será disponibilizado somente ao perfil de pessoas formalmente autorizadas;
11.3.2. É expressamente proibido, para todo usuário que não possua autorização formal de uso, o acesso a quaisquer sistemas e aplicativos da empresa ou mesmo a simples tentativa;
11.3.3. Todas as cláusulas de confidencialidade acordadas com os clientes em relação às suas informações devem ser respeitadas por todos os associados Algar Telecom ou terceiros a serviço que a elas porventura venham a ter acesso;
11.3.4. Toda e qualquer informação gerada dentro da Algar Telecom ou em seu nome, que seja decorrente do trabalho dos associados, fornecedores ou prestadores de serviço são de direito da Algar Telecom e somente ela pode determinar seu destino e finalidade;
11.3.5. Todas as informações de propriedade ou sob a responsabilidade da Algar Telecom devem ser classificadas e protegidas com controles específicos, em todo o seu ciclo de vida;
11.3.6. É vedada a revelação de qualquer informação de propriedade ou sob a responsabilidade da Algar Telecom sem a prévia e formal autorização do gestor da informação, excetuando-se a hipótese de que a informação seja pública;
11.3.7. É proibida a divulgação de qualquer informação da empresa ou de seus clientes para outrem que não pertença ao mesmo grupo de trabalho, em meios de comunicação públicos (incluindo redes sociais, Whatsapp, Telegram, etc.) ou internos, sem autorização prévia, ou que esteja vinculado ao termo de compromisso e responsabilidade e/ou acordo de confidencialidade, salvo exceções, quando previstas em contrato;
11.3.8. A divulgação em canais públicos inclui comentários em redes sociais de uso particular do associado ou terceiro a serviço. Qualquer divulgação deve ser aprovada previamente pela área de comunicação;
11.3.9. A informação gerada no âmbito da empresa deve ser armazenada em um processo de salvaguarda com garantia de recuperação em local seguro, validado por equipe competente;
11.3.10. As informações devem estar em locais onde existem mecanismos de redundância, controle e registro de acesso, bem como cópias de segurança;
11.3.11. Nenhuma informação importante/vital ao negócio deve ser armazenada no próprio computador ou notebook. Estas devem estar em locais nos quais existam mecanismos de redundância, controle e registro de acesso, bem como cópias de segurança;
11.3.12. Arquivos e informações não relacionados ao meio corporativo não devem ser armazenados em servidores, recursos de rede e computadores da empresa, nem tampouco equipamentos não autorizados pelas áreas competentes podem ser plugados/acoplados aos equipamentos/sistemas da empresa;
11.3.13. Nenhuma informação estratégica deve ser armazenada em mídias removíveis e repassadas a entidades externas sem a prévia autorização da equipe de segurança;
11.3.14. Não é permitido o uso de pendrive, HD externo ou qualquer outro tipo de dispositivo removível para o transporte, inserção na empresa ou armazenamento de informações e/ou dados importantes/vitais e confidenciais. Exceções devem ser formalmente autorizadas pela área de segurança da informação;
11.3.15. Ao final do vínculo empregatício e/ou contratual, os associados e/ou prestadores de serviço devem eliminar quaisquer arquivos/documentos físicos ou lógicos de informações geradas ou adquiridas dentro da Algar Telecom em equipamentos e mídias de armazenamento.

11.4 - Sistemas e Aplicativos

11.4.1. Todos os sistemas desenvolvidos com caráter departamental (Shadow it) devem seguir procedimento apropriado e ser formalmente autorizados pela área de Gestão de Segurança da Informação;
11.4.2. Todos os softwares instalados em equipamentos de propriedade ou uso da Algar Telecom devem possuir licença de uso previamente adquiridas, devendo a área usuária solicitar a autorização para sua instalação e uso;
11.4.3. Não será permitida a instalação de software que não esteja validado com o Service Desk;
11.4.4. Não é permitido o armazenamento de software ou arquivos com conteúdo pornográfico, racista, preconceituoso, hacker ou outros conteúdos inadequados em qualquer tipo de mídia ou dispositivo, mesmo que para uso pessoal, dentro das dependências, dispositivos e sistemas da Algar Telecom, podendo o responsável responder civil e criminalmente pelo ato;
11.4.5. O desenvolvimento interno e externo de softwares, tal qual aquisição destes no mercado devem garantir o cumprimento dos requisitos de segurança da informação e controles de acesso previstos nesta política e demais documentos complementares, além de serem realizadas somente pela área de Tecnologia da Informação;
11.4.6. Os sistemas e recursos de TIC que suportam os processos e as informações da Algar Telecom devem ser confiáveis, íntegros, seguros e disponíveis a quem deles necessite para a execução de suas atividades profissionais; 11.4.7. De modo a garantir a segurança lógica do ambiente, a Algar Telecom deve contar com sistema de proteção contra:
a. Programas Maliciosos, sempre ativo e atualizado;
b. Acessos indevidos utilizando firewall, sempre ativo e atualizado;
c. Sistemas de Detecção a Intrusão (Intrusion Detection Systems) ou IPS (Intrusion Protection Systems);
d. Excessos de permissões utilizando os critérios do mínimo conjunto necessário (least privilege) e estritamente necessários (need to know) ao definir os acessos de cada Associado aos Recursos de TIC.
11.4.8. O acesso aos servidores com privilégios administrativos deve ser realizado somente por administradores especialistas em sua área de atuação, cujo acesso esteja devidamente comprovado e autorizado;
11.4.9. Todos os computadores da empresa conectados à rede corporativa da Algar Telecom devem estar incluídos no domínio de rede, de outra forma não são elegíveis a suporte técnico e conectividade na rede;
11.4.10. Todos os computadores e servidores da empresa devem utilizar os sistemas operacionais homologados pela Algar Telecom;
11.4.11. Todos os servidores, desktops, notebooks, tablets, smartphones, etc, que permitam a instalação de antivírus licenciado para Algar Telecom, devem tê-los instalados e atualizados de forma automática, não podendo o usuário desabilitar ou desinstalar;
11.4.12. O e-mail corporativo da Algar Telecom deve ser utilizado apenas para tratar de assuntos relacionados à empresa, sendo as informações armazenadas ou transmitidas de propriedade da empresa;
11.4.13. Nenhum acesso aos sistemas e aplicativos da Algar Telecom, de seus clientes ou fornecedores, pode ser compartilhado, sendo o associado individualmente responsável por manter a confidencialidade de suas senhas, usuários de rede, internet, arquivos de trabalho e demais aplicativos da Algar Telecom;
11.4.14. É vedado o uso de ferramentas de Instant Messaging não homologadas pela equipe de colaboração da Algar Telecom, salvo exceções autorizadas formalmente, não obstante deve-se comprovar o uso efetivo nas atividades desempenhadas pelo associado ou cliente;
11.4.15. É vedada a transferência de arquivos por qualquer ferramenta não corporativa ou via sistemas de compartilhamento em nuvem não homologados.

11.5 - Risco

11.5.1. A Algar Telecom deve seguir metodologia de risco conforme estabelecido na política corporativa de riscos a qual estabelece a necessidade de revisão periódica dos riscos, incluindo os riscos de segurança da informação;
11.5.2. A avaliação de riscos deve ser capaz de identificar as vulnerabilidades, ameaças, impactos e níveis de risco aceitáveis para o negócio da Algar Telecom de acordo com as estratégias e contexto da empresa, legislação vigente e requisitos contratuais;
11.5.3. Uma nova avaliação de risco deve ser realizada sempre que mudanças significativas ocorrerem no ambiente da Algar Telecom.

12 - AUDITORIAS E MONITORAMENTO

12.1 - A Algar Telecom reserva-se o direito de monitorar e manter registros de todos os tipos de acesso aos seus sistemas ou a sistemas de terceiros a partir do ambiente e/ou equipamentos da empresa e/ou de terceiros durante todo o período de prestação de serviços. Estes registros são utilizados para análises estatísticas e para verificação pontual em casos relacionados com incidentes de segurança;
12.2 - A Algar Telecom reserva-se também no direito de executar auditorias internas para a verificação do atendimento dos itens que compõem esta política, sem prévio aviso;
12.3 - Havendo descumprimento das recomendações da presente política, e também nos casos de não conformidade em auditorias internas, medidas disciplinares podem ser tomadas conforme Política de Gestão de Consequências do grupo Algar, disponível para conhecimento na biblioteca de documentos da Algar Holding;
11.4 - Cada caso identificado deve ser avaliado pela equipe de Gestão de Segurança da Informação, em conjunto com a equipe de Talentos Humanos para tomada de decisão.

13 – DOCUMENTOS DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

13.1 - Para suportar a implementação dos requisitos de segurança e determinações da presente política são considerados os seguintes documentos complementares:

● Política - Privacidade de Dados;
● Política - Governança de Dados Pessoais;
● Política - Controle de Acesso Lógico;
● Política - Uso de Cookies;
● Procedimento - Acordos para Transferência de Informações entre a Algar Telecom e Partes Externas;
● Procedimento - Ambientes de Desenvolvimento, Homologação e Produção;
● Procedimento - Aquisição, Desenvolvimento e Manutenção de Sistemas de Tecnologia;
● Procedimento - Funções e Responsabilidades pela Segurança da Informação;
● Procedimento - Uso de Correio Eletrônico;
● Procedimento - Uso e Guarda de Dispositivos Corporativos;
● Procedimento - Gestão de Incidentes de Segurança da Informação
● Procedimento - Liberação e Utilização de VPN.

13.2 - Com exceção das políticas de Privacidade de Dados e Uso de Cookies, que também estão disponíveis para o público externo por meio da página da Algar Telecom na internet, os demais documentos acima mencionados são de uso interno e estão disponíveis somente aos associados da Algar Telecom por meio da biblioteca oficial de documentos Algarnet (https://book.algarnet.com.br.).

14 – SANÇÕES E PENALIDADES

14.1. Qualquer associado (executivo e não executivo) que violar ou descumprir qualquer item desta política está sujeito a sanções e penalidades previstas na Política de Gestão de Consequências do grupo Algar, disponível para consulta na biblioteca de documentos da Algar Holding;
14.2. Sendo identificada violação e/ou descumprimento das regras aqui estabelecidas por fornecedores e prestadores de serviço, a situação deve ser tratada conforme estabelecido em contrato ou por meio de ação judicial quando aplicável;
14.3. A não observância das regras aqui estabelecidas serão classificadas da seguinte forma:

TIPO DE FALTA DESCRIÇÃO DA FALTA
GRAVÍSSIMA Utilizar indevidamente informações da empresa e/ou de seus clientes, transmitir para a concorrência, utilizá-las para benefício próprio e/ou armazenar arquivos e e-mails de forma imprópria.
GRAVÍSSIMA Compartilhar qualquer ID de autenticação (usuário e senha).
GRAVÍSSIMA Fazer uso de modems conectados a linhas dedicadas ou discadas que forneçam acesso a outras redes ou à Internet
GRAVÍSSIMA O responsável pelo contrato dos prestadores de serviço da Algar Telecom não garantir que os ID’s de autenticação utilizados durante os trabalhos sejam devidamente desabilitados ao final do vínculo contratual
GRAVÍSSIMA É expressamente proibido para todo usuário que não possua autorização formal de uso, o acesso a quaisquer sistemas e aplicativos ou mesmo a simples tentativa
GRAVÍSSIMA Divulgar qualquer informação da empresa ou de seus clientes para outrem que não pertença ao mesmo grupo de trabalho, em meios de comunicação públicos (incluindo redes sociais) ou internos, sem autorização prévia ou que esteja vinculado ao Termo de Compromisso e Responsabilidade e Acordo de Confidencialidade
GRAVÍSSIMA Armazenar software ou arquivos com conteúdo pornográfico, racista, preconceituoso, hacker ou outros conteúdos inadequados em qualquer tipo de mídia ou dispositivo, mesmo que para uso pessoal, dentro das dependências e sistemas da Algar Telecom
GRAVÍSSIMA Armazenar informação estratégica em mídias removíveis e repassar a entidades externas sem a prévia autorização da equipe de segurança
GRAVE Utilizar pendrive, HD externo ou qualquer outro tipo de dispositivo removível para o transporte ou armazenamento de dados importantes/vitais e confidenciais sem a prévia autorização da equipe de segurança
GRAVE Utilização de softwares não licenciados em computadores/notebooks ou equipamentos de propriedade ou uso da Algar Telecom.
GRAVE Utilização de computadores da empresa fora do domínio de rede e/ou sem software de antivírus corporativo.
GRAVE Violação de hardware dos computadores da empresa e/ou a formatação do sistema operacional que não sejam executados pelo Service Desk
GRAVE Remover/desabilitar a ferramenta de inventário corporativa da Algar Telecom.
GRAVE Remover/desabilitar a ferramenta de antivírus corporativo da Algar Telecom.
GRAVE Armazenar informação importante/vital ao negócio localmente nos computadores ou notebooks
GRAVE Armazenar arquivos não relacionados ao meio corporativo em servidores, recursos de rede e computadores/notebooks da empresa.

15 - DISPOSIÇÕES FINAIS

15.1 - O presente documento deve ser lido e interpretado sob o amparo das leis locais, no idioma português;
15.2 - Esta Política bem como as demais políticas e diretrizes da empresa encontram-se disponíveis na biblioteca de documentos da Algar Telecom por meio do link https://book.algarnet.com.br.

16 - ANEXOS

Ata de Reunião com aprovação Redir e Conselho Administrativo https://drive.google.com/drive/folders/1lzaXJpJA4zeqoyaGmxJHHTjBWx9kZ348

17 - HISTÓRICO DE ALTERAÇÕES

VERSÃO DATA ALTERAÇÕES
16 21/01/2019 Revisão geral a partir dos requisitos da norma ISO 27001:2013.
17 16/05/2019 Inclusão do tema gestão de riscos no conteúdo da política de segurança da informação - Item 7.5 do documento e Revisão do item 7.4 para inclusão do tema shadow it.
18 28/02/2020 Revisão geral a partir da nova Lei no 13709 - Lei Geral de Proteção de Dados.
19 17/05/2020 Atualização item 8.2 a partir da orientação do CAGR.
20 19/10/2021 Atualização da área responsável pelo documento e dos itens 1, 2, 5, 6.15, 8, 9.7, 9.8, 11.1.1 f), 11.5,13 e 15.1; Inclusão do item 5.3, 6.8, 13.2, 14.2, Revisão Geral do Conteúdo do Documento.
Olá,
Pra melhorar a sua experiência,
nos diga aqui em qual cidade você está.