Conceitos e Definições

Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a Postal Saúde.

Ativo: todo e qualquer bem da Posta Saúde que possui valor econômico, incluindo a informação, e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.

Ativo de Informação: é o conhecimento organizado e gerenciado como uma entidade única e que, como qualquer outro recurso corporativo, tem valor financeiro que aumenta em relação direta com o número de pessoas capazes de usá-lo. São considerados, assim, os meios de armazenamento, transmissão e processamento da informação, os equipamentos e os sistemas utilizados para tal, os locais onde se encontram esses meios e os recursos humanos aos quais eles têm acesso.

BlackList: Trata-se de uma lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam. Geralmente, utiliza-se este recurso para bloquear os e-mails suspeitos de serem spam, no servidor de e-mails.

Cavalo de Troia (Trojan horse): programa malicioso que cria abertura para outros programas e invasões indesejadas.

Código Executável: arquivo interpretado pelo computador como um comando de execução para determinadas funções.

Código Malicioso: programa que possibilita ações danosas, como vírus, worms, trojans, spywares, malware, botnet, ransomware, entre outros.

Colaborador: qualquer pessoa que execute atividade profissional e que possua algum tipo de contrato de trabalho com a Postal Saúde ou por empresa terceirizada que execute alguma profissional nas dependências da operadora.

Conformidade: processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas (mantenedores, patrocinadores, prestadores, empregados, credores etc.) e com aspectos legais e regulatórios, dentro de princípios éticos e de conduta estabelecidos pela Alta Administração da Postal Saúde.

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controle de Acesso: permissões concedidas por autoridade competente da Postal Saúde após o processo de credenciamento, que habilitem determinada pessoa, sistema ou organização ao acesso mediante a assinatura ou não de termo de responsabilidade ou outro instrumento formal, podendo a credencial ser física, como crachá, cartão, token, selo ou lógica para identificação de usuários.

Custodiante: quem detém a guarda da informação, mas não é necessariamente seu proprietário.

Dispositivos Móveis: consiste em equipamentos portáteis dotados de capacidade computacional e dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se limitando a estes, notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e cartões de memória

Dados Pessoais: informação relacionada a pessoa natural/física identificada ou identificável.

Dados Pessoais Sensíveis: dado pessoal sobre origem racial, ou étnica, convicção religiosa, opinião política, filiação à sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Disponibilidade: garantia de que os usuários autorizados obtenham, sempre que necessário, acesso à informação e aos ativos correspondentes.

Gestão da Continuidade de Negócios: procedimentos e informações necessárias para que as instituições mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes.

Incidente de Segurança da Informação: evento decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos princípios da segurança da informação, como a confidencialidade, a integridade, a autenticidade ou a disponibilidade.

Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para o uso restrito ou exposta ao público para consulta ou aquisição.

Informação Sensível: toda informação sigilosa que, se divulgada, pode resultar em danos e/ou, prejuízos de qualquer ordem, perda de vantagem competitiva, inclusive financeira, bem como impacto negativo para a Postal Saúde.

Integridade: capacidade de garantir que a informação esteja mantida em seu estado original, conforme foi concebida, a fim de protegê-la contra alterações indevidas, intencionais ou acidentais na guarda ou transmissão.

LGPD: é a Lei nº 13709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Parceiros: Empresas, órgãos públicos e demais instituições que possuem contrato com o Senac com objetivos em comum, unindo esforços em suas competências e expertises, sem que haja remuneração, mas apenas empenho de serviços por cada parte.

Phishing: é o crime de enganar as pessoas para que compartilhem informações confidenciais como senhas e número de cartões de crédito

Política de mesas limpas: prática de Segurança da Informação recomendada para evitar a exposição desnecessária de informações contidas em papéis e dispositivos eletrônicos no ambiente de trabalho ou inadequadamente armazenados.

Política de telas limpas: prática de Segurança da Informação recomendada para evitar a exposição desnecessária de informações na tela dos computadores e similares.

Risco de Segurança da Informação: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da Empresa.

Segurança da Informação: é o conjunto de ações e controles que têm como objetivo garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos da Operadora.

Serviço em Nuvem: modelo computacional que permite acesso por demanda, e independentemente da localização, a um conjunto compartilhado de recursos configuráveis de computação, rede de computadores, servidores, processamento, armazenamento, aplicativos e serviços, provisionados com esforços mínimos de gestão ou interação com o provedor de serviços.

Spam: e-mails não solicitados e normalmente enviado para muitos destinatários.

Usuário: todo funcionário, prestador de serviço, estagiário e afins que tenham acesso aos recursos tecnológicos oferecidos pela Postal Saúde

SIC: Segurança da Informação e Comunicações.

TIC: Tecnologia da Informação e Comunicações.

Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.

Vírus: programa malicioso que se propaga e infecta o computador.

Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em riscos para um sistema ou organização, os quais podem ser mitigados por uma ação interna de segurança da informação

Worm: programa semelhante ao vírus, que infecta o sistema, tendo como característica a autorreplicação.

Dos objetivos

Objetivo Geral

A Política de Segurança da Informação e Comunicações (PoSIC) tem como objetivo evidenciar o comprometimento da Direção da Postal Saúde com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio na implantação da gestão da segurança da informação e comunicações na operadora.

Busca garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de atuação da Postal Saúde, operadora dos planos de saúde dos empregados dos Correios.

Deve preservar os princípios da Confidencialidade, Integridade, disponibilidade e Autenticidade das informações da Postal Saúde.

Objetivos específicos

Estabelecer diretrizes para a disponibilização e utilização de recursos de informação, serviços de rede de dados, estações de trabalho, internet, telecomunicações e correio eletrônico institucional.

Prevenir possíveis incidentes e responsabilidade legal da operadora e de seus colaboradores, quanto ao uso das informações.

Designar, definir ou alterar papéis e responsabilidades do grupo responsável pela Segurança da Informação.

Apoiar a implantação das iniciativas relativas à Segurança da Informação.

Possibilitar a criação de controles e promover a otimização dos investimentos em tecnologia da informação, contribuindo com a minimização dos riscos associados

Garantir que todas as responsabilidades da Segurança da Informação sejam claramente definidas preservadas.

Da Abrangência

As diretrizes, normas complementares e manuais de procedimentos aqui estabelecidos deverão ser aplicados por toda a rede da Postal Saúde e devem ser seguidas por todos os usuários dos ativos de informação da operadora

As diretrizes estabelecidas nesta Política de Segurança da Informação serão aplicadas em toda a Postal Saúde; deverão ser observadas por todos os conselheiros, diretores, empregados, colaboradores, fornecedores e prestadores de serviço e se aplicam à informação em qualquer meio ou suporte.

Esta PoSIC compromete e responsabiliza cada usuário a manter-se atualizado sobre este documento e as normas relacionadas, buscando orientação do gestor ou da Gerência de Tecnologia da Informação (GETEC) sempre que não estiver absolutamente seguro quanto à aquisição e/ou ao descarte de informações.

Este documento, entre outras diretrizes, dá ciência a cada envolvido de que os ambientes, os sistemas, os recursos computacionais e as redes informacionais da Postal Saúde poderão ser monitorados e gravados, com prévia informação, conforme previsto na legislação brasileira

Dos princípios

Os princípios da segurança da informação são diretrizes fundamentais que orientam a proteção das informações e sistemas contra ameaças e riscos. Esses princípios formam a base de uma estratégia eficaz de segurança da informação.

São princípios da Segurança da Informação:

1. Confidencialidade – Garante que as informações sejam acessadas apenas por pessoas autorizadas. Para manter a confidencialidade, é essencial implementar controles de acesso, criptografia e limitar o compartilhamento de informações sensíveis.
2. Integridade – Certifica-se de que as informações permaneçam íntegras, precisas e confiáveis. Isso envolve prevenir alterações não autorizadas nas informações. É a propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental

• Disponibilidade – Garante que as informações e sistemas estejam disponíveis quando necessário. Isso envolve proteção contra interrupções, falhas e ataques que possam prejudicar o acesso às informações.

1. Autenticidade – Assegura que a origem das informações seja verificável e confiável. A autenticação é fundamental para garantir que os usuários sejam realmente quem afirmam ser. Visa a assegurar que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa, equipamento, sistema, órgão ou entidade
2. Não Repúdio – Evita que uma parte negue a autoria ou ação realizada em relação a uma transação.
3. Legalidade – Certifica-se de que a coleta, o processamento e o armazenamento de informações estejam em conformidade com leis e regulamentos.

• Responsabilidade – Define claramente as responsabilidades das partes envolvidas na gestão da segurança da informação.

Das diretrizes Gerais

A Postal Saúde é detentora de todas as informações geradas, acessadas, manuseadas, armazenadas ou descartadas pelos dirigentes, colaboradores e terceiros no exercício de suas atividades profissionais com a operadora, bem como os demais recursos tangíveis e intangíveis disponibilizados a esses atores e devem ser empregados exclusivamente em atividades de interesse institucional.

Todos os recursos de informação da Postal Saúde devem ser projetados para que seu uso seja consciente e responsável. Os recursos comunicacionais e computacionais da Operadora devem ser utilizados para a consecução de seus objetivos finalísticos.

A Gerência de Tecnologia (GETEC) da Postal Saúde é responsável por controles apropriados, trilhas de auditoria e registros de atividades, em todos os pontos e sistemas em que a Operadora julgar necessário, com vistas à redução dos riscos dos seus ativos de informação.

Sempre que necessário os gestores poderão solicitar acesso aos arquivos gerados pelos usuários, bem como a suas caixas postais de e-mail, Teams ou quaisquer outros sistemas disponibilizados pela operadora para a execução de suas atividades profissionais. A solicitação deverá ser realizada por meios oficiais, sendo necessário descrever a justificativa do pedido de acesso.

Todo o acesso a redes e sistemas da Operadora deverá ser feito, por meio de login de acesso único, com senha pessoal e intransferível.

A Postal Saúde pode utilizar tecnologias e ferramentas para monitorar e controlar o conteúdo e o acesso a quaisquer tipos de informação alocadas na infraestrutura provida pela Operadora.

Cada usuário é responsável pela segurança das informações dentro da Postal Saúde, principalmente daquelas que estão sob sua responsabilidade.

Com o objetivo de reduzir o risco de descontinuidade das atividades da Operadora e de comprometimento dos princípios da Segurança da Informação a GETEC é responsável pela criação e implantação plano de contingência dos serviços de TIC.

Todos os projetos de desenvolvimento de sistemas devem incluir em seu escopo a criação do plano de contingência, e os mesmos devem ser implantados durante a execução do projeto.

Deverá constar em todos os contratos da Postal Saúde, quando o objetivo for pertinente, cláusula de confidencialidade e de obediência às normas de segurança da informação por empresas fornecedoras e por todos os profissionais que desempenham suas atividades na Operadora.

Deverá estar prevista, por parte das empresas e profissionais prestadores de serviço, entrega de declaração expressa de compromisso em relação à confidencialidade e de termo de ciência das normas vigentes, como condição imprescindível para que possa ser concedido acesso aos ativos de informação disponibilizados pela Operadora.

A postal saúde por meio desta PoSIC afirma o compromisso de que seus colaboradores pratiquem o uso da política de mesas limpas, ou seja, papéis, anotações e lembretes deverão ser mantidos, sempre que possível, fora da superfície da mesa de trabalho. Informações do negócio, em qualquer mídia, deve ser guardada em local seguro, com chave, quando não estiver em uso.

O acesso as informações autenticadas são de responsabilidade do usuário detentor das credenciais de acesso (login/senha). Computadores e notebooks não devem ser deixados autenticados ou registrados quando não houver um operador junto dele. Desta forma os colaboradores estarão utilizando da política de de telas limpas.

A GETEC deve configurar bloqueio automático de tela para períodos de inatividades nos computadores dos usuários.

Informações corporativas da Postal Saúde não podem ser transportadas em qualquer meio sem as devidas autorizações e proteções. Atenção especial deve ser aplicada no uso de dispositivos móveis.

A implementação e utilização desta PoSIC, normas e manuais correlatos é obrigatória a todos os conselheiros, diretores e empregados, independentemente do nível hierárquico ou função, bem como de vínculo empregatício temporário ou de prestação de serviço.

Das Diretrizes Especificas

Do Tratamento da Informação

O tratamento da informação está relacionado a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação, em qualquer grau de sigilo, exigindo, sempre, zelo em seu manuseio.

O tratamento deve ser feito de forma a viabilizar os princípios da segurança da informação, observada a legislação em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo.

O tratamento de dados pessoais deve nortear-se pelo objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Considerando as atividades da Postal Saúde, devem-se observar os procedimentos previstos na LGPD, em especial o tratamento de dados sensíveis, desde o consentimento dos titulares.

Diretrizes específicas e procedimentos próprios de tratamento da informação corporativa deverão ser fixados na Politica de resposta a incidentes e na política de privacidade e tratamento de dados as Postal Saúde Manual de Segurança da Informação.

Monitoramento e Auditoria do Ambiente

Visando a garantia ao cumprimento das regras mencionadas nesta PoSIC objetivando a melhoria da qualidade na segurança e prevenção a fraudes a Postal Saúde reserva-se o direito de:

1. Implantar sistemas de monitoramento nas estações de trabalho, servidores internos e externos, e-mail corporativo, navegação com a internet, dispositivos móveis ou wireless, dentre outros componentes da rede, de modo que a informação gerada por esses sistemas possa ser usada para identificar usuários e respectivos acessos efetuados, bem como o material manipulado;
2. Inspecionar qualquer arquivo hospedado ou trafegado em sua rede, seja ele armazenado no disco local da estação de trabalho ou em qualquer outro ambiente, visando assegurar o rígido cumprimento desta PoSIC

• Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, nos casos previstos na LGPD e outros normativos;

1. Realizar, a qualquer tempo, inspeção física nos equipamentos de sua propriedade ou sob sua responsabilidade;
2. Instalar sistemas de proteção, preventivos e detectáveis, para garantir segurança das informações e dos perímetros de acesso; e
3. Desinstalar, a qualquer tempo, software ou sistema que represente risco ou esteja em desconformidade com as políticas, as normas e os procedimentos vigentes.

Tratamento de incidentes de Segurança

É o serviço responsável por receber, filtrar, classificar e responder aos alertas e solicitações. Também é responsável por realizar a análise dos incidentes de segurança reportados e/ou identificados, procurando encontrar informações necessárias a impedir a continuidade da ação maliciosa.

É de responsabilidade da GETEC:

1. Monitorar o ambiente e recursos de TIC, com a finalidade de identificar possíveis incidentes de segurança da informação;
2. Registrar todos os incidentes notificados ou detectados, a fim de assegurar registro histórico das atividades desenvolvidas e avaliações estatísticas;

• Realizar a investigação do incidente de segurança da informação, executando medidas de contenção; e

1. Realizar a análise do incidente de segurança da informação, de forma a propor medidas para eliminar ou solucionar os problemas que causaram o incidente.

As ações podem ser realizadas por colaboradores lotados na Gerência de Tecnologia ou por parceiro contratado, desde que o mesmo seja supervisionado pela GETEC.

Do e-mail funcional

O uso do e-mail institucional deve seguir diretrizes específicas para garantir a segurança, a eficiência e a conformidade com as políticas da organização. Abaixo, estão algumas regras comuns para o uso de e-mail institucional:

1. Somente funcionários autorizados devem ter acesso às contas de e-mail institucional, o usuário é responsável por toda mensagem enviada pelo seu endereço.
2. O e-mail institucional deve ser utilizado apenas para fins profissionais e relacionados ao trabalho exercido na Postal Saúde.

• O Colaborador deve relatar imediatamente qualquer e-mail suspeito ou de phishing à equipe da GETEC.

1. O correio eletrônico é um recurso de comunicação corporativa da Postal Saúde. As regras de acesso e utilização de e-mail devem atender a todas as orientações deste documento e das Normas Internas Complementares a esta Política de Segurança da Informação.
2. Todos os colaboradores devem utilizar uma assinatura de e-mail profissional e padronizada que inclua seu nome, cargo e informações de contato. Conforme definido pela Postal Saúde.
3. O correio eletrônico fornecido pela Postal Saúde é um instrumento de comunicação interna e externa para a realização do negócio da Postal Saúde. As mensagens devem ser escritas em linguagem profissional, e não devem comprometer a imagem da Operadora, não podem ser contrárias à legislação vigente e nem aos princípios éticos da Postal saúde.

• A Postal Saúde pode a qualquer momento acessar a caixa de e-mail corporativa dos seus colaboradores, para isto o pedido deve ser realizado de maneira formal por um o gestor, justificando a necessidade do pedido. Caso a justificativa não seja aceita a GETEC informará o motivo formalmente, respeitando esta política e as normas vigentes.
• A Gerência de Gestão de Pessoas é responsável por informar a GETEC o desligamento de quaisquer colaboradores para que a Gerência de Tecnologia tome as medidas para desativar o acesso ao e-mail institucional.

Uso e acesso à internet

As regras de acesso à Internet de maneira segura são fundamentais para proteger informações pessoais e corporativas, prevenir ameaças cibernéticas e garantir uma navegação online segura. Serão regidas por Normas Internas Complementares, atendendo às determinações desta Política, demais orientações governamentais e legislação em vigor.

Embora a utilização da internet seja de grande importância nas atividades da Operadora, faz-se mister o uso de sistemas de monitoramento, a fim de conceder melhor acesso aos que a utilizam corretamente.

O uso da Internet será monitorado pela GETEC, inclusive através de “logs” (arquivos gerados no servidor) que informam qual usuário está conectado, o tempo que usou a Internet e qual página acessou.

A definição dos funcionários que terão permissão para uso (navegação) da Internet é atribuição do Gestor imediato, com base em Normas Internas.

É de responsabilidade da GETEC a implantação das regras de bloqueios necessárias a manter as diretrizes desta PoSIC. Devem ser bloqueados os acessos aos sites maliciosos contidos em BlackList Internacional.

Uso de mídias sociais

As mídias sociais podem otimizar a comunicação. É importante que as mídias sociais sejam usadas adequadamente e mantidas nesse contexto. Caso contrário, pode levar à perda de produtividade, distrações ou, até mesmo, infrações.

O uso das redes sociais, disponíveis internamente e na Internet, objetiva prestar atendimento e serviços púbicos, divulgando ou compartilhando informações da Postal Saúde; deve ser regido por Norma Complementar, observando as determinações desta Política, demais orientações governamentais e a legislação em vigor.

A norma complementar de uso de mídias sociais deve ser criada em conjunto entre a Gerência de Comunicação e a Gerência de Tecnologia da Informação.

A definição dos funcionários que terão permissão para uso de mídias sociais através de ativos da Postal Saúde para desempenharem suas funções é atribuição do Gestor imediato, justificando a solicitação.

Do serviço em nuvem

O uso dos serviços em nuvem apresenta vantagens como escalabilidade e redução de investimentos em infraestrutura, porém um dos principais fatores identificados como risco em sua utilização é a segurança da informação.

O uso de recursos desse serviço para suprir demandas de transferência e armazenamento de documentos, processamento de dados, aplicações, sistemas e demais tecnologias, deve ser regido por Normas Complementares, atendendo às determinações desta Política, demais orientações governamentais e a legislação em vigor, visando a garantir os princípios da segurança da informação.

Do Teletrabalho

Diretrizes específicas e procedimentos próprios de controle deverão ser fixados no Manual de Segurança da Informação.

Dentre alguns requisitos a serem observados para o uso do teletrabalho, destacam-se: a segurança física do local de trabalho remoto, incluindo o trânsito de outras pessoas; as proteções de acesso ao equipamento utilizado; e a classificação das informações, os sistemas internos e os serviços que o usuário esteja autorizado a acessar.

Do Sistema de Gestão Eletrônica de Documentos

Diretrizes específicas e procedimentos próprios de controle deverão ser fixados no Manual de Segurança da Informação.

O Sistema de Gestão Eletrônica de Documentos é uma ferramenta de elevada importância, contribuindo acentuadamente para a gestão do conhecimento da Operadora. Embora a acessibilidade, a facilidade de consultas e a otimização dos fluxos de trabalho, entre outras possibilidades desses sistemas, sejam notórias, a segurança é requisito fundamental para a seleção de um produto com essa finalidade.

Do Controle de Acesso

As regras de controle de acesso aos sistemas corporativos, à Intranet, à Internet, às informações, aos dados e às instalações da Postal Saúde deverão ser definidas e regulamentadas, por meio de Normas Complementares, com o objetivo de garantir a segurança dos usuários e a proteção dos ativos da Operadora. A norma complementar deve prever no mínimo:

1. Que seja concedido aos usuários somente privilégios de acesso necessários para a realização de suas funções, evitando desta forma privilégios excessivos.
2. Prever a utilização de requisitos de complexidade para a geração de senhas fortes;

• Prever a expiração periódica das senhas e a proibição do seu compartilhamento;

1. Implementar auditoria e registro de eventos para monitorar e registrar atividades de acesso e uso de recursos.
2. Prever a implementação de medidas adicionais de controle de acesso, como criptografia, para dados sensíveis.

Quando da necessidade de cadastramento ou atualização de um novo usuário para utilização da “rede”, dos sistemas ou dos equipamentos de informática, o setor de origem do usuário deverá comunicar esta necessidade à Gerência de Tecnologia, por meio de chamado, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. A Gerência de Tecnologia fará o cadastramento e informará apenas ao usuário qual será a sua senha, solicitando troca de mesma ao primeiro acesso. Essa solicitação é de responsabilidade do Gestor imediato do colaborador.

Sala de Servidores

Os procedimentos para administração da sala de servidores deverão ser fixados no Manual de Segurança da Informação.

Os controles do restrito acesso a esse ambiente são de vital importância para o atendimento dos princípios de segurança da informação.

E de responsabilidade da Gerência de Tecnologia a criação e manutenção do Manual de Segurança da Informação.

Gestão de Riscos da Segurança da Informação

Gestão de Riscos consiste em atividades coordenadas para direcionar e controlar a Operadora no que se refere aos riscos. Entende-se risco como perigo ou possibilidade de perigo, ou seja, a possibilidade de perda ou exposição à perda. Deve ser avaliado como uma combinação da probabilidade de um evento e a sua consequência.

A gestão de riscos da segurança da informação deverá considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura da Postal Saúde, direta e indiretamente, além de estarem alinhadas a esta Política de Segurança da Informação.

O processo deverá ser contínuo e aplicado na implementação e na operação da Gestão de Segurança da Informação, contemplando inclusive as contratações de soluções de TIC, para as quais deverá ser elaborado um Plano de Tratamento de Riscos, a cargo da Gerência de Tecnologia da Informação.

Serviço de Backup

Os procedimentos próprios ao serviço de backup (cópia de segurança) deverão ser fixados na Política de Backup da Postal Saúde.

As garantias de rápida recuperação do material contido nos repositórios devem ser buscadas a fim de capacitar a operadora ao enfrentamento de ataques e panes.

Cópias de segurança dos sistemas integrados e servidores de rede, hospedados fisicamente na Postal Saúde, são de responsabilidade da Gerência de Tecnologia e deverão ser feitos diariamente.

Uso de dispositivos móveis

As diretrizes gerais de uso de dispositivos móveis para acesso às informações, aos sistemas, às aplicações e ao correio eletrônico da Postal Saúde devem considerar, prioritariamente, os requisitos legais e a estrutura da Operadora, atendendo a esta Política de Segurança da Informação e regidas por Normas Complementares, as quais contemplarão as recomendações sobre o uso desses dispositivos.

Admissão/Demissão de Funcionários/Temporários/ Estagiários

A Gerência de Pessoal deverá informar à Gerência de Tecnologia toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos. Cabe ao setor solicitante da contratação a comunicação Gerência de Tecnologia sobre as rotinas às quais o novo contratado terá direito de acesso. No caso de demissão, a Gerência de Pessoal deverá comunicar o fato o mais rapidamente possível, para que o funcionário demitido seja excluído do sistema.

 Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação ao Manual da Segurança da Informação. Nenhum funcionário, estagiário ou temporário poderá ser contratado sem ter expressamente concordado com este Manual.

Equipamentos de Impressão e reprografia

O uso de equipamento de impressão e reprografia devem ser feitos exclusivamente para serviços de interesse da Postal Saúde ou que estejam relacionados com o desempenho das atividades profissionais do usuário.

Não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas e contendo informações classificadas como confidenciais da Postal Saúde ou de beneficiários

Das Competências

Estão envolvidos na gestão de segurança da informação da Postal Saúde:

1. Área de Tecnologia da Informação (GETEC): unidade organizacional responsável pela gestão e operação dos recursos de TIC na Postal Saúde e custodiante da informação;
2. Equipe Técnica de Segurança da Informação: equipe composta pelos gestores da área de TIC da Postal Saúde, responsável por implementar e administrar as soluções de segurança da informação;

• Gestor de Segurança da Informação: empregado responsável pela gestão da segurança da informação em todos os seus aspectos, designado pelo Diretor-Presidente;

1. Gestores: aqueles que exercem funções de gestão no âmbito da Operadora, administrando pessoas ou processos;
2. Usuários externos: prestadores de serviços contratados, direta ou indiretamente, pela Postal Saúde e demais colaboradores externos que fazem uso de seus recursos informacionais e computacionais; e
3. Usuários internos: todos os empregados, diretores e conselheiros que fazem uso dos recursos informacionais e computacionais da Postal Saúde.

Das Responsabilidades

Responsabilidades gerais

São responsabilidades de todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais da Postal Saúde:

1. Manter-se atualizado em relação a esta Política e aos manuais e procedimentos relacionados, buscando informação junto à Área de Tecnologia da Informação sempre que não estiver absolutamente seguro quanto à obtenção, o uso ou o descarte de informações;
2. Promover a segurança de seu usuário corporativo, setorial ou de rede local, bem como de seus respectivos dados e credenciais de acesso;

• Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais da Postal Saúde; e

1. Utilizar de forma ética, legal e consciente os recursos computacionais e informacionais da Postal Saúde.

Responsabilidades específicas

Usuários internos e externos:

1. Os usuários externos devem entender os riscos associados à sua condição e cumprir rigorosamente as políticas, as normas e os procedimentos vigentes. A Postal Saúde poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento da Política de Segurança da Informação ou das normas e dos procedimentos específicos dela decorrentes; e
2. Será de inteira responsabilidade de cada usuário todo prejuízo ou dano que vier a sofrer ou causar à Postal Saúde em decorrência da não obediência às diretrizes referidas nesta Política de Segurança da Informação e nas normas e procedimentos específicos decorrentes.

Gestores:

1. Cada gestor deverá manter os processos sob sua responsabilidade aderentes às políticas, às normas e aos procedimentos específicos de segurança da informação da Postal Saúde, tomando todas as ações necessárias para cumprir tal responsabilidade;
2. Classificar as informações tratadas em sua área e avaliar os riscos que podem afetá-las; e
3. Os gestores da Postal Saúde devem ter postura exemplar em relação à segurança da informação, diante, sobretudo, dos usuários sob sua gestão.

Gerência de de Tecnologia da Informação:

1. Zelar pela eficácia dos controles de segurança da informação e informar aos gestores e demais interessados os riscos residuais;
2. Negociar e acordar com os gestores níveis de serviço relacionados à segurança da informação, incluindo os procedimentos de reposta a incidentes;

• Configurar os recursos informacionais e computacionais concedidos aos usuários com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos pelos procedimentos, pelas normas e pela Política de Segurança da Informação;

1. Gerar e manter trilhas para auditoria com nível de dados suficientes para rastrear possíveis falhas e fraudes; para as trilhas geradas ou mantidas em meio eletrônico, devem ser implantados controles de integridade, de modo a torná-las juridicamente válidas como evidências;
2. Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria e investigação;
3. Zelar pela segregação de funções gerenciais e operacionais, a fim de restringir ao mínimo necessário os privilégios de cada indivíduo e eliminar a existência de pessoas que possam excluir logs e trilhas de auditoria das suas próprias ações;

• Administrar, proteger e testar cópias de segurança de sistemas e dados relacionados aos processos considerados críticos para a Postal Saúde;
• Implantar controles que gerem registros auditáveis para retirada e transporte de mídias que contenham informações custodiadas pela TIC, nos ambientes totalmente controlados por ela

1. Nas movimentações internas dos ativos de TIC, assegurar-se de que as informações de determinado usuário não sejam removidas de forma irrecuperável antes de disponibilizar o ativo par
2. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessária para garantir a segurança e a manutenção dos serviços requeridos pelas áreas internas da Postal Saúde;
3. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável. A responsabilidade pela gestão dos logins de usuários externos é do gestor do contrato de prestação de serviços ou do gestor da área em que o usuário externo desempenha suas atividades;

• Proteger continuamente todos os ativos de informação da Postal Saúde contra código malicioso e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso ou indesejável;
• Assegurar-se de que não sejam introduzidas vulnerabilidades ou fragilidades nos ambientes de desenvolvimento, teste, homologação ou produção de sistemas. Quando tais ambientes forem acessados por terceiros, a responsabilização dever ser explicitada nas cláusulas contratuais;
• Definir, exigindo seu cumprimento, as regras formais para instalação de software e hardware em ambiente de produção corporativo, bem como em ambiente exclusivamente dedicado à visitação externa;

1. Definir metodologia e realizar auditorias periódicas de configurações técnicas e análise de riscos;

• Garantir, de forma mais rápida possível, com recebimento de solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento, incidente, investigação ou outra situação que exija medida restritiva, a fim de salvaguardar os ativos da Postal Saúde;
• Garantir que todos os servidores, as estações e demais dispositivos com acesso à rede operem com o relógio sincronizado com os servidores de tempo oficiais do Governo Brasileiro;
• Monitorar o ambiente de TIC, gerando indicadores e histórico de: uso da capacidade instalada da rede dos equipamentos; tempo de resposta no acesso à internet e aos sistemas críticos; períodos de indisponibilidade no acesso à internet e aos sistemas críticos; incidentes de segurança; e atividade de todos os usuários durante os acessos às redes externas, inclusive internet;
• Elaborar, propor e atualizar o manual de operacionalização desta Política e os Planos relacionados; e

1. Designar a Equipe Técnica de Segurança da Informação.

Gestor de Segurança da Informação:

1. Promover cultura de segurança da informação e comunicações no âmbito de suas atribuições dentro da Postal Saúde;
2. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

• Propor recursos necessários às ações de segurança da informação;

1. Acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação;
2. Assessorar a Diretoria-Executiva da Postal Saúde na implementação das ações de segurança da informação;
3. Propor a constituição de grupos de trabalho para tratar de temas e propor soluções sobre segurança da informação;

• Propor alterações e revisar periodicamente a Política de Segurança da Informação da Postal Saúde, em conformidade com a legislação existente sobre o tema; e
• Revisar e propor a alteração de normas complementares e procedimentos internos de segurança da informação.

Equipe Técnica de Segurança da Informação:

1. Propor à GETEC manuais, normas internas e planos relativos à segurança da informação;
2. Propor e apoiar iniciativas que visem à segurança dos ativos de informação da Postal Saúde;

• Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços

1. Atuar na mitigação ou resolução dos incidentes, analisando-os criticamente, em conjunto com a GETEC e o Gestor de Segurança da Informação;
2. Manter comunicação efetiva com o Gestor de Segurança da Informação sobre assuntos relacionados ao tema segurança da informação que afetem ou tenham potencial para afetar a Operadora; e
3. Buscar alinhamento das práticas de segurança da informação com as diretrizes corporativas da Postal Saúde.

Do Compromisso e Penalidades

Todas as garantias necessárias ao cumprimento desta Política devem ser estabelecidas formalmente com os colaboradores da Postal Saúde, por meio de Termo de Compromisso constante de normativos sobre o tema.

O descumprimento desta Política é considerado infração disciplinar e poderá acarretar a aplicação de sanções previstas em regramentos corporativos e disposições contratuais.

Das atualizações

Fica estabelecida a periodicidade de um ano para a revisão desta Política, sendo encaminhada ao CODEL, via relatório técnico, suas possíveis alterações ou ausência delas, no contexto da Segurança da Informação para aprovação.

Esta Política de Segurança da Informação, juntamente com o Código de Conduta Ética e de Integridade, com a Política de Pessoal, a Política de Privacidade e Proteção de Dados, o Manual Disciplinar, e outros, compõe o conjunto de normativos da Postal Saúde que tratam de atitudes e comportamentos exigidos dos colaboradores, devendo ser rigorosamente observados.

Das Disposições Finais

O conteúdo desta Política é amplo e regularmente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deverá ser feita periodicamente para integral compreensão