Política completa

Dos Objetivos

• Estabelecer diretrizes, responsabilidades e procedimentos a serem seguidas pela instituição no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação, garantindo que os recursos de informática e a informação estejam sendo utilizados de maneira adequada;
• Disciplinar e normatizar os procedimentos relativos à conduta dos profissionais e usuários de informática, visando proteger a disponibilidade, integridade e confidencialidade das informações, e manter a continuidade operacional.

As Diretrizes

A UNIMED RECIFE é responsável pela criação, manutenção, divulgação e execução de toda estrutura normativa de segurança da informação, respeitando as orientações contidas neste documento, resolve através da superintendência de tecnologia da informação aprovar as seguintes diretrizes das políticas de segurança da informação.

Da Estrutura Normativa da Segurança da Informação

A estrutura normativa da segurança da informação é composta por um conjunto de documentos com níveis hierárquicos distintos, relacionados a seguir:

• Política de segurança da informação (política): constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à segurança da informação;
• Normas de segurança da informação (normas): estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da política, a serem seguidos em diversas situações em que a informação é tratada;
• Procedimentos de segurança da informação (procedimentos): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da UNIMED RECIFE. 

Da Divulgação e Acesso à Estrutura Normativa

• A política e as normas de segurança da informação devem ser divulgadas a todos os colaboradores da UNIMED RECIFE e das unidades próprias, sejam elas: Através de Integração aos novos colaboradores, Informativos através de e-mail, Disponível no portal da UNIMED RECIFE na área do colaborador ou nos Desktops/Notebooks das estações de trabalho como Documentos Institucionais de maneira que seu conteúdo possa ser consultado a qualquer momento.

Aprovação e Revisão

Os documentos integrantes da estrutura normativa da segurança da informação da UNIMED RECIFE deverão ser aprovados e revisados conforme os seguintes critérios;

Política:

Aprovação: Diretoria e Superintendência de TI da UNIMED RECIFE.

-  Periodicidade de Revisão: Anual

-  Normas:

-  Aprovação: Comitê Gestor de Segurança e Privacidade.

-  Periodicidade de Revisão: Bienal.

-  Procedimentos:

-  Aprovação: Superintendência e Gerência de TI.

-  Periodicidade de Revisão: Bienal.

-  Abrangência:

-   UNIMED RECIFE e suas unidades próprias.

Da Finalidade dos Recursos Computacionais

• Os recursos da tecnologia de informação disponibilizados pela UNIMED RECIFE e as demais unidades próprias, são destinados exclusivamente às atividades da instituição:
• Responsabilidade: A eficácia da implementação de uma maior segurança da informação, será atingida com o comprometimento e a cooperação de TODOS os profissionais envolvidos nos processos: equipe de tecnologia de informação e comunicação, diretores, gestores das unidades próprias, coordenadores, cooperados e colaboradores;

- Diretrizes:

• Controlar emissão de documentos internos garantindo utilização de versões atualizadas;
• Controlar consulta de documentos externos à organização;
• Controlar identificação, armazenamento, proteção, recuperação, retenção e disposição dos registros;
• Assegurar acesso às informações eletrônicas (internet, intranet e portais) através da utilização controlada com senhas;
• Garantir acesso às informações de acordo com a responsabilidade de cada cargo/função;
• Informar aos colaboradores o dever de manter sigilo e confidencialidade quanto às informações referentes ao processo assistencial (termo de responsabilidade e confidencialidade);
• Definir critérios para o uso dos e-mails, notebooks ou celulares pessoais;
• Estabelecer critérios para acesso remoto e o trabalho home Office conforme PL.032 - Politica Home Office;
• Estabelecer critérios para acesso remoto e o trabalho home office;
• Definir critérios para uso de mídias removíveis (Pendrive, CD, DVD, entre outros);
• Definir critérios para uso de aparelhos móveis (celular, tablet, entre outros);
• Estabelecer mecanismos para mitigar os riscos de ataques aos sistemas informatizados;
• Garantir realização de cópias de segurança das informações eletrônicas (backups);
• Garantir recursos para manter prontuários dos pacientes íntegros e seguros durante o período que estipula legislação relacionada;
• Estabelecer mecanismos para garantir que informações confidenciais e sigilosas não sejam divulgadas;
• Validar a rastreabilidade das informações;
• As estações de trabalho possuem códigos internos, conhecidos como HostNames, os quais permitem que seja identificada na rede da UNIMED RECIFE, estes códigos deverão manter um padrão definido apenas pela área de tecnologia da informação. Desta forma, tudo que for executado na estação de trabalho que foge conhecimento e controle do setor de tecnologia é de responsabilidade do colaborador.

Do Direito de Propriedade

• Os programas homologados e instalados (linha base) nos computadores e nos servidores de rede são propriedades exclusivas da UNIMED RECIFE, sendo vedada a sua cópia parcial ou integral dos sistemas e das informações geradas;
• Todos os documentos desenvolvidos dentro da UNIMED RECIFE são de propriedade intelectual da mesma, não devendo ser copiado, deletado, compartilhado ou divulgado sem autorização.

Dos Usuários de Informática

São reconhecidos como usuários de informática:

• Diretores e conselheiros;
• Cooperados;
• Funcionários/colaboradores da UNIMED RECIFE e das unidades próprias;
• Profissionais autônomos, temporários ou de empresas prestadoras de serviço que obtiverem a aprovação, por escrito, do gestor da empresa para prescrição de senhas de acesso aos recursos computacionais;
• Estagiários e Jovens Aprendizes (com a devida autorização da chefia).

Das Atribuições do Departamento de TI

- Definir e divulgar as medidas de segurança da informação:

• Instalar ou remover componentes;
• Fazer a homologação, manutenção e controle de hardware e software;
• Autorizar tecnicamente a aquisição de hardware e software;
• Realizar auditorias de hardware e software, com finalidade de garantir a proteção dos recursos computacionais e seu uso exclusivo nas atividades das unidades próprias;
• Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho;
• Responder pelo uso exclusivo e intransferível de suas senhas de acesso. Em caso de dúvidas, solicitar orientação a superintendência de TI;
• Adquirir conhecimento técnico necessário para a correta utilização dos recursos;
• Relatar prontamente a superintendência de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, vírus, acesso indevido ou desnecessário a pastas/diretórios de rede, acesso indevido à internet, programas instalados sem conhecimento do superintendente de TI, entre outros;
• Assegurar que as informações e dados de propriedade das unidades próprias não sejam disponibilizados a terceiros, a não ser com autorização por escrito da presidência da UNIMED RECIFE;
• Relatar a superintendência de TI a possibilidade de instalação de um novo software ou aquisição de novo hardware para a melhoria dos serviços prestados;
• Todo sistema operacional adquirido para os usuários de informática dentro da estrutura UNIMED RECIFE deverá ser Windows Professional;
• Todos equipamentos eletrônicos adquiridos pela UNIMED RECIFE e que necessitarão estar dentro do domínio e políticas de segurança da empresa, com exceção de alguns que deverão de forma prévia avisar e justificar o motivo no qual deverá sair do active directory (AD);
• Adotar procedimento de segurança preventiva;
• Atuar no processo investigativo nos casos de incidentes de segurança e de violação de Dados pessoais;
• Se reportar ao Encarregado de Proteção de Dados quando houver incidentes de Violação de Dados;
• Fazer coleta de evidências.

Das Atribuições das Lideranças

• Zelar pelo cumprimento destas normas e procedimentos e notificar imediatamente a superintendência de TI da UNIMED RECIFE quaisquer vulnerabilidades e ameaças de quebra de segurança;
• Promover a capacitação dos funcionários sobre os princípios/procedimentos de segurança da informação e política de privacidade de dados, bem como lhes assegurar treinamento para o uso correto dos recursos, visando evitar falhas e danos ao funcionamento dos sistemas;
• Solicitar a superintendência de TI autorização e/ou revogação de acesso do usuário aos sistemas de informação, bem como atualizar as solicitações de autorização sempre que houver alterações nos sistemas ou funções nas áreas de atuação;
• Informar a superintendência de TI com antecedência, quando cabível, sobre o desligamento de funcionário para que seus acessos sejam bloqueados.
• Advertir formalmente o usuário e aplicar as sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente fato a superintendência de TI;
• Antes de aprovar a solicitação de compra ou alteração de hardware e software, assegurar que o profissional responsável do superintendente de TI foi consultado e efetuou a autorização técnica;
• Quando um colaborador é transferido de setor, o superior imediato que realizou a transferência é responsável em informar a superintendência de TI através do helpdesk se todos os direitos de acesso ao sistema e outros controles de segurança ainda serão necessários em sua nova função;
• Solicitar via sistema de helpdesk (ou outro que esteja em funcionalidade) toda solicitação referente a área de TI para que se possa ter indicadores futuros e ações a serem aplicadas em alguma unidade/departamento.

Sobre a Propriedade e o Acesso aos Dados

• Todos os dados gerados e transitados pela rede e armazenados nos servidores computacionais da UNIMED RECIFE, pertencem a UNIMED RECIFE;
• Compete a presidência da UNIMED RECIFE a definição do organograma organizacional, como também compete a TI, a replicação (criar e manter atualizado) deste organograma organizacional dentro do AD (active directory), visando garantir a organização de acesso aos dados;
• Cabe a TI da UNIMED RECIFE zelar pela manutenção dos acessos garantindo através de artifícios tecnológicos a salvaguarda das informações pertencentes a UNIMED RECIFE;
• Os fornecedores que necessitem de acesso aos dados de produção de qualquer natureza, devem assinar o termo de responsabilidade e confidencialidade da UNIMED RECIFE;
• Sempre que possível deverá se evitar o envio de dados para fornecedores, especialmente os bancos de dados de produção que suportam os principais sistemas da UNIMED RECIFE;
• Os fornecedores devem ser compelidos a resolver problemas dentro dos ambientes da UNIMED RECIFE para suporte aos sistemas;
• Caso seja necessário acesso remoto do fornecedor, o mesmo deverá ser feito através da VPN disponibilizada pela UNIMED RECIFE no qual se conectará a um computador que será acompanhado por algum colaborador da TI, quando necessário. A VPN é habilitada apenas por demanda e será fechada às 18 horas, sempre de segunda a sexta-feira;
• Nenhum fornecedor pode retirar dados da UNIMED RECIFE sem prévia autorização por escrito da UNIMED RECIFE;
• Para que os dados sejam enviados ao fornecedor, se faz necessário uma solicitação formal por parte do gestor da área a presidência da UNIMED RECIFE, que deverá autorizar o procedimento formalmente para a TI da UNIMED RECIFE;
• Será de responsabilidade da TI apoiar a presidência da UNIMED RECIFE na avaliação da solicitação dos dados a enviar ao fornecedor, indicando em todos os casos os procedimentos de segurança a se observar para o envio dos dados.=

Da Salvaguarda de Arquivos

• Compete à TI da UNIMED RECIFE, criar e manter cópias de segurança (backups) dos dados de softwares críticos, armazenados nos servidores de suporte às atividades das unidades da UNIMED RECIFE;
• Os usuários devem manter, obrigatoriamente, os dados críticos da empresa nos servidores de redes (nas pastas compartilhadas);
• É de responsabilidade exclusiva do usuário a cópia e a guarda dos dados gravados na estação local de trabalho (que não foram gravados nos servidores de rede e pastas compartilhadas), sendo proibido salvar arquivos de cunho não profissional nos servidores de rede, como fotos de confraternização do setor, vídeos, músicas ou qualquer outro arquivo que não tenha fins profissionais, podendo estes arquivos serem removidos sem prévia comunicação aos usuários;
• Os backups devem ser guardados em local seguro, separados dos equipamentos, para viabilizar a recuperação dos dados.

Das Regras de Utilização de Contas e Senhas da Rede Corporativa

• Todos os usuários da rede de dados corporativa da UNIMED RECIFE e unidades próprias receberão login (exclusivos e intransferíveis), com as respectivas senhas para sua utilização - chamamos de credenciais, sendo obrigatório que todos os usuários tenham acessos individuais para que não ocorra o não-repúdio. Será obrigatório que sejam trocadas as senhas no prazo máximo de seis meses, através de procedimento eletrônico e automático, utilizando o sistema de alteração de senhas disponível;
• É importante que os usuários não utilizem senhas de fácil identificação, tais como uma sequência numérica simples, data de nascimento - próprio ou de parentes próximos - nomes próprios, datas comemorativas - nacionais ou pessoais - iniciais de nomes próprios, números de telefones ou até o nome ou parte do nome da empresa, tal como Unimed como parte da senha, dentre outros;
• Não é permitida a utilização de computadores, laptops e outros equipamentos na rede sem senha ou com usuário local no sistema operacional. Em caso de dúvidas, solicitar orientação do superintendente de TI;
• A relação dos usuários desligados deve ser enviada com prazo de 24 horas de antecedência a superintendência, gerência e as supervisões de suporte técnico e infraestrutura de TI para que todas as suas contas de acesso dos mesmos, sejam bloqueadas, a fim de inibir qualquer vazamento de dados ou ataque interno a qualquer recurso da rede;
• Reserva-se a UNIMED RECIFE o direito de auditar a utilização de contas de rede fornecidas aos usuários de sua rede corporativa, sem se caracterizar invasão de privacidade;
• Não compartilhe sua credencial com ninguém. Não crie senhas dedutíveis - simples demais. As senhas são utilizadas pela grande maioria dos sistemas e são consideradas necessárias como meio de autenticação. Precisamos ser criteriosos ao criá-las;
• As solicitações de acesso aos sistemas serão realizadas pelos gestores, supervisores e encarregados contemplando as informações como: nome completo, matrícula, setor, função, unidade e perfil e solicitados através de nosso help-desk em https://helpdesk.unimedrecife.com.br;
• As senhas serão bloqueadas após cinco tentativas sem sucesso e o log deste evento será registrado e enviado ao administrador da rede, como também será apresentada na tela do usuário uma notificação sobre essas tentativas malsucedidas e o alerta de bloqueio do acesso que terá um tempo mínimo de dez minutos;
• As responsabilidades do administrador do sistema incluem o cuidado na criação e alteração das credenciais dos usuários, além da necessidade de manter atualizados os dados dos mesmos;
• As responsabilidades do usuário incluem, principalmente, os cuidados para manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de sua conta para que não aconteça a sua utilização indevida. As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em hipótese alguma. Não as anote, nem em caderno, nem em folhas avulsas ou adesivos autocolantes. Em caso de suspeita, de que mais alguém saiba sua credencial, altere-a imediatamente. Nunca responda ou digite suas credenciais em algum link oriundo de e-mails ou SMS - desconfie. Relate o ocorrido ao setor de infraestrutura. Não reutilize credenciais de um sistema para outro, ou de um site para outro, exceto se estiverem integrados;
• Suas senhas devem conter letras maiúsculas, minúsculas, números, caracteres especiais (símbolos) e ter no mínimo 8 caracteres ou mais;
• Reserva-se apenas ao setor de tecnologia da informação acessar qualquer computador de sua propriedade que esteja na rede da Unimed Recife sem aviso prévio, sem se caracterizar invasão de privacidade.

Das Regras de Utilização de Rede Corporativa

• Todos os recursos de rede de computadores deverão ser utilizados exclusivamente para fins profissionais, que envolvam atividades relacionadas ao bom andamento dos serviços e processos da UNIMED RECIFE;
• Sites de conversão de arquivos são bloqueados, a exemplo de (ilovepdf, Validadores XML, Aconvert, Small DPF entre outros), para que as informações enviadas a estes e demais sites não se torne um tormento posteriormente com o vazamento de dados;
• Todos os arquivos que não tenham fins profissionais devem ser apagados dos equipamentos para evitar problemas futuros com auditorias;
• Todos os computadores da UNIMED RECIFE, devem ter antivírus instalado e atualizado periodicamente, é proibido desinstalar e utilizar computadores sem antivírus instalado;
• É proibida a abertura de computadores para qualquer tipo de reparo, caso seja necessário o reparo deverá ocorrer pelo departamento técnico, também sendo expressamente vedado aos usuários a instalação ou remoção de programas de computador, componentes e periféricos;
• É proibido aos usuários conectar computadores pessoais, de terceiros ou qualquer outro equipamento à rede corporativa da UNIMED RECIFE, sendo orientada a conexão e utilização através da rede sem fio “WIFI-CONVIDADOS / HUR-INTERNET”, com autorização prévia;
• É proibido realizar conexões dial-up, usar de mini modems, usar conexão sendo roteadas para a internet por celulares ou ativação de hotspot - roteamento - a partir de computadores conectados à rede da UNIMED RECIFE, exceto com expressa autorização pelo superintendente de TI;
• É proibido o uso de dispositivo móvel pessoal conectado ao computador para carregar bateria, transferência de arquivos ou qualquer outra finalidade, apenas é liberado caso o dispositivo móvel seja de propriedade da UNIMED RECIFE e tenha sua autorização solicitada pelo gestor da área;
• Em caso de uso indevido para armazenamento de informações pessoais a TI não terá como responsabilidade avisar de forma prévia a exclusão dos dados pessoais como: músicas, fotos, trabalhos de faculdade e/ou colegial, entre outros;
• Caso venha a ocorrer a inclusão de algum equipamento pessoal em nossa rede tanto pela parte do colaborador final e/ou alguém da TI sem aviso prévio e/ou autorização, o mesmo deverá sofrer as penalidades administrativas da instituição de acordo com o nível de risco;
• Não serão permitidas tentativas de obter acesso não autorizado, tais como tentativa de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta. Isso inclui acesso aos dados não disponíveis ao usuário, conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar a prova à segurança de outras redes. O mesmo deverá sofrer as penalidades administrativas da instituição de acordo com o nível de risco;
• Não será permitida tentativa de interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataques, tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor ou tentativa de danificar um servidor. O mesmo deverá sofrer as penalidades administrativas da instituição de acordo com o nível de risco;
• Antes de ausentar-se do seu local de trabalho, o usuário deverá bloquear sua sessão, evitando assim, o acesso dos sistemas usando sua credencial por outras pessoas;
• O usuário deve fazer a manutenção no seu diretório pessoal, excluindo arquivos desnecessários. Não é permitido armazenar, enviar, baixar (download) ou manter arquivos de imagens, músicas, vídeo e arquivos executáveis em geral ou quaisquer outros de caráter pessoal;
• Materiais de natureza pornográfica e/ou racista não podem ser expostos, armazenados, distribuídos, editados ou gravados através do uso de recursos computacionais da rede. O mesmo deverá sofrer as penalidades administrativas da instituição de acordo com o nível de risco caso seja identificada a prática;
• Jogos de qualquer tipo de software/aplicativo não podem ser gravados ou instalados no diretório pessoal do usuário, no computador local ou em qualquer outro diretório da rede, podem ser utilizados apenas os softwares previamente instalados no computador;
• Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas;
• As pastas públicas ou compartilhadas não deverão ser utilizadas para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza sensível, nestas pastas devem ser apenas armazenadas as informações comuns a todos. É obrigado o armazenamento dos arquivos inerentes à UNIMED RECIFE no servidor de arquivos para garantir uma cópia de segurança dos mesmos;
• Não é permitida a alteração das configurações da rede e inicialização das máquinas bem como modificações que possam trazer algum problema futuro, sendo uma prática apenas liberada para a equipe de TI;
• Não é permitido transcrever em meio físico (papel) ou meio eletrônico (foto através de celular ou qualquer outro aparelho eletrônico, digitação em qualquer editor de texto) informações dos sistemas que sejam pertinentes aos dados pessoais e/ou sensíveis de paciente (beneficiário), médico ou colaborador, estando sujeito a punições administrativas;
• Todo o acesso à internet será através da rede corporativa, de forma controlada e auditada. Serão desenvolvidos relatórios com nomes, páginas consultadas, tempo de consulta. Estes relatórios, os superiores de cada área e a diretoria, gerência e superintendência de TI, terão acesso para acompanhamento quando necessário/solicitado;
• A internet é uma ferramenta de trabalho e deve ser usada para esse fim pelos colaboradores da UNIMED RECIFE, não é permitido o uso para fins recreativos durante o horário de trabalho. Poderá ser utilizada para atividades não relacionadas com os negócios durante o horário de almoço, ou fora do expediente, desde dentro das regras de uso definidas nesta política;
• Os usuários são responsáveis por toda a utilização da internet em computadores iniciados com seu login e IP associado, por isto será uma boa prática, encerrar a sessão através do logoff, reiniciar ou desligar o sistema, para que registros de acesso à internet por outros usuários não sejam registrados na sua credencial;
• Por padrão é liberado o acesso apenas a sites conhecidos e de cunho profissional ligado a UNIMED RECIFE, qualquer outro portal tem seu acesso moderado ou bloqueado. Caso algum site bloqueado precise ser liberado deve ser aberto um chamado no helpdesk com a justificativa e aguardar o atendimento conforme o acordo de nível de serviço (service level agreement - SLA);
• É proibido o acesso a sites voltados à redes, Proxy, VPN, mídias sociais, serviço de streaming, tais como rádios online ou canais de filmes online. Também fica proibido acesso a sites de relacionamento, bate papo, chat, mensagens instantâneas, blogger, cartoon, apostas, música, hacker ou que contenha ferramentas ou regras para invasões de rede, quebra de criptografia, senhas ou outros eventos de segurança, sites para armazenamento de arquivos nas nuvens, tais como dropbox, google drive, onedrive sem a prévia autorização pelo superintendente de TI;
• Sempre que os usuários, utilizando a internet, tiverem acesso a materiais criminosos como pornografia infantil (arte, textos, figuras, cenas, imagens) e outros, mesmo que de maneira involuntária, deverão entrar em contato imediatamente com a superintendência de TI e relatar o ocorrido para as providências cabíveis de bloqueio ser tomadas;
• Somente a navegação de sites é permitida. Casos específicos que exijam outros tipos de serviços como: download ou upload de arquivos deverão ser solicitados diretamente à equipe de segurança com autorização do coordenador do usuário que deseja este tipo de acesso;
• É proibida a divulgação de informações confidenciais da UNIMED RECIFE, em grupos ou listas de discussão, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei;
• Os usuários são os responsáveis pela correta observância deste manual e do uso ético da internet quando utilizam a rede da UNIMED RECIFE e serão identificados e responsabilizados em caso de qualquer descumprimento dos itens desta política.

Das Utilizações de Rede sem fio (wifi)

WIFI-Convidados / HUR - Internet

• É a rede Wifi dos Convidados e é uma rede corporativa sem acesso aos servidores computacionais, servindo apenas de ponto de gateway para a internet dos dispositivos conectados passando pelas mesmas políticas de segurança;
• Os usuários autorizados pelo do superintendente de TI poderão conectar notebooks, celulares e tablets (portáteis) de cunho pessoal à internet, utilizando a rede sem fio WIFI-CONVIDADOS ou HUR-INTERNET da UNIMED RECIFE, através de acessos controlados e auditados;
• Os usuários são os responsáveis pela correta observância deste manual e do uso ético da internet quando utilizam as redes WIFI-CONVIDADOS / HUR-INTERNET da UNIMED RECIFE e serão identificados e poderão ser responsabilizados em caso de acesso indevido;
• Serão realizados os serviços de manutenção e suporte, exceto quando em cumprimento de determinações da superintendência de TI da UNIMED RECIFE para efeitos de auditoria.

Das Regras de Retenção do e-mail Corporativo

• O tempo de retenção dos e-mails deverá ser de no máximo 90 dias apenas para quem utiliza a ferramenta Webmail/Zimbra (ou a ferramenta atual de gerenciamento de e-mail que encontrar ativa) para que a privacidade de dados esteja em conformidade, haja vista que muitas das informações contidas nos e-mails já estão replicadas em algum sistema. Caso a informação seja necessária ser armazenada por mais tempo, use o GED para armazenar o seu conteúdo;
• Existe uma pasta específica no GED para cada usuário, vinculada ao login do active directory e disponível para todos os usuários. Os arquivos copiados para estas pastas em modo privado devem ser criptografados, compactados e protegidos por senha, caso contenham quaisquer dados pessoais. Também deve ser analisado se o dado a ser armazenado não está em duplicidade em algum outro local e também ser analisado o tempo em que será armazenada essa informação no GED, deverá ser identificado o prazo máximo de retenção segundo a política interna de privacidade de proteção de dados, PL.012, homologada em julho de 2021.

Das Regras para Criação de Conta de e-mail Corporativo

• Todo colaborador pode obter uma conta de acesso à rede de computadores da UNIMED RECIFE, para isto, o supervisor do setor a que o colaborador pertence deverá fazer uma solicitação via helpdesk sobre a criação da conta, e ao final do processo de criação pela equipe de infraestrutura, será informado ao supervisor solicitante às informações sobre a conta criada, por e-mail ou pelo próprio helpdesk;
• É de inteira responsabilidade do usuário o manuseio dos e-mails, sendo assim exclusões ou qualquer outra ação que acarrete na perda de e-mails a TI não se responsabiliza, pois, e-mails excluídos que não se encontram mais na pasta lixeira não podem ser mais recuperados;
• O e-mail deve ser utilizado de forma consciente, evitando qualquer tipo de perturbação à outra pessoa seja através de linguagem utilizada, frequência ou tamanho das mensagens;
• É proibido o envio de grande quantidade de e-mail (spam) que, de acordo com a capacidade técnica da rede, seja prejudicial ou gere reclamações de outros usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade, comercial ou não, anúncios e informativos, ou propaganda política;
• É obrigatória a utilização de assinatura nos e-mails seguindo o padrão estabelecido pelo superintendente de TI;
• O acesso a e-mails não corporativos nos equipamentos de propriedade da UNIMED RECIFE é proibido, sendo vetado o acesso por qualquer meio, exceto nos casos em que para viabilizar o uso de alguma ferramenta ou aplicativo autorizado pela Superintendência de Tecnologia, seja necessário o acesso a alguma conta de e-mail pessoal.

Das Regras para Desativação de Contas

É reservado o direito de desativar uma conta de usuário, por parte da equipe de TI UNIMED RECIFE, caso verifique-se a ocorrência de algum dos critérios abaixo elencados:

- Incidentes suspeitos de quebra de segurança nas contas dos usuários;

- Reincidência na quebra de senhas por programas utilizados pela equipe de segurança;

- Bloqueio de contas sem acesso por mais de 90 dias;

- Em contas sem acesso por mais de 12 meses, exceto daqueles usuários comunicados previamente pela área de recursos humanos;

- Na ocasião do desligamento do usuário.

Das Regras para WhatsApp e outros chats

• O uso de algumas aplicações de chat (bate-papo) e redes sociais que podem receber links externos, tais como WhatsApp/Web, Telegram/Web, Skype, Facebook (e similares) são bloqueadas, exceto casos particulares onde usuários e prestadores de serviço (PJ) serão devidamente liberados com aprovação da Superintendência de TI;
• Por isso, se faz necessário adotar medidas e regras para que a ferramenta de comunicação não prejudique o desempenho dos usuários de informática da cooperativa. Pensando nisso, aplicam-se nesta política de segurança da informação (PSI) as medidas e regras.

Cuidados Especiais de Segurança

• NÃO ACESSE LINKS DESCONHECIDOS, pois além de violar a privacidade são portas de invasão de vírus para a captura de informações sigilosas como: Lista de contatos, senhas salvas, informações financeiras entre outras.

Vazamento de Informações

• Ainda que o aplicativo seja seguro em relação à criptografia das mensagens, as informações devem ser mantidas na esfera profissional, jamais compartilhe com terceiros conteúdo corporativo. Além disso, evite mencionar dados sigilosos (Áudios, Fotos, Vídeos, Textos entre outras). Lembre-se um dado divulgado de maneira equivocada pode prejudicar os resultados de uma empresa.

Grupos com Colaboradores e Prestadores de Serviço (PJ) Para Fim Corporativo

• Grupos criados por algumas áreas da Unimed Recife deverão manter apenas colaboradores e prestadores de serviço (PJ) com autorização prévia na área responsável por criação deste(s) grupo(s), para isso, o mesmo preencherá um formulário (link a ser criado) contendo informações como: Nome completo, Matrícula, Número do telefone, Unidade, Setor, Função, E-mail, Nome do Grupo que deseja participar e quem é a área e o administrador deste grupo, após cruzamento de informações o mesmo serão adicionados ao grupo criado;
• Em caso do número telefônico ser de uso pessoal, o mesmo deverá preencher um formulário de consentimento com as regras e políticas da empresa voltadas para ferramentas de comunicação como tais como WhatsApp/Web, Telegram/Web, Skype, Facebook (e similares).

Incidentes e Medidas Disciplinares

• A violação das regras pode acarretar em incidentes de segurança da informação e será analisado pelo Comitê de Segurança da Informação da cooperativa baseando-se na PL.040 _ Política de Medidas Disciplinares.

Das Regras para Uso da Ferramenta de Mensagem (UniCom)

UniCom é a plataforma oficial da UNIMED RECIFE para compartilhamento de mensagens, arquivos e agendamento de atividades individuais ou em equipe de forma segura, prática e dinâmica. O UniCom poderá ser acessado através do Atalho na área de trabalho dos computadores ou pelo endereço: https://unicom.unimedrecife.com.br

- A Ferramenta é utilizada apenas de forma intranet (rede interna), não podendo ser utilizada de forma externa e/ou através de aplicativos.

- Todo colaborador pode obter uma conta de acesso à ferramenta UniCom, para isto, o supervisor do setor a que o colaborador pertence deverá fazer uma solicitação via helpdesk sobre a criação da conta, e ao final do processo de criação pela equipe de infraestrutura, será informado ao supervisor solicitante às informações sobre a conta criada, por e-mail ou pelo próprio helpdesk;

- Recomenda-se a utilização UniCom como ferramenta de comunicação para atividades de negócio sendo proibida a utilização para relacionamento pessoais, e , podendo ser monitorado a qualquer momento por ser propriedade da UNIMED RECIFE e até mesmo vistoriado por direitos de verificação e auditoria com o seus histórico de troca de conversas e arquivos. Sem se caracterizar invasão de privacidade.

Das Regras para Home Office

• As regras para o teletrabalho (Home Office) estão contidas na PL.032_Politica Home Office.

Do Comitê de Segurança da Informação

• Propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos;
• Propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares;
• Avaliar os incidentes de segurança e propor ações corretivas;
• Avaliar os pedidos de acesso aos sistemas e dados dentro da Rede UIMED RECIFE solicitados por terceiros ou mesmo nos casos em solicitações de origem interna para compartilhamento de dados;
• Definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementar em conjunto com o setor de Recursos Humanos, baseando-se a PL.040 _ Política de Medidas Disciplinares. As regras para o teletrabalho (Home Office) estão contidas na PL.032_Politica Home Office.

Das Regras para Utilização de Impressoras

• Documento enviado para a impressão deverá ser retirado imediatamente;
• Todas as impressoras têm histórico de impressões que são associadas ao usuário do AD (Active Directory) para nível de auditorias futuras identificando assim as impressões consideradas como devida e indevida associadas aos usuários de informática;
• Só será permitido o uso das impressoras para atender as necessidades relacionadas às atividades da UNIMED RECIFE, não sendo permitido o uso das mesmas para fins pessoais;
• Utilize a impressora colorida somente para versão final de trabalhos e não para teste e rascunhos;
• Documentos importantes devem ser destruídos em máquina de picote (picotadora) para que informações sensíveis não sejam jogadas diretamente no lixo;
• Impressões antigas (folhas impressas) não devem ser utilizadas como rascunhos, pois podem conter informações sensíveis.

Das Regras para Dispositivos Móveis

Dos celulares

- Todo celular corporativo deve ter instalado o app MaaS 360 da IBM como MDM (Mobile Device Management) para garantir a conformidade da gestão dos dispositivos empresariais.

Dos Tablets

- Todo tablet corporativo deve ter instalado o app MaaS 360 da IBM como MDM (Mobile Device Management) para garantir a conformidade da gestão dos dispositivos empresariais.

Das mídias removíveis

- Todo computador deverá ter bloqueado o uso das mídias removíveis (Pendrive, HD externo, CD, DVD e etc.), excluindo casos autorizados pela superintendência de TI.

Das Regras para Acesso às Áreas Consideradas Restritas

• Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas, estas áreas são departamentos que contém informações ou equipamentos que devem ser protegidos, tais como sala de servidores, sala de diretoria, entre outros;
• Apenas pessoas autorizadas podem acessar as instalações da equipe de TI, sendo que os colaboradores devem usar crachá de identificação e ter seu acesso previamente solicitado à superintendência de TI;
• A temperatura, umidade e ventilação das instalações que abrigam equipamentos de informática e de comunicação, devem estar de acordo com os padrões técnicos especificados pelo fabricante dos equipamentos.

Da Verificação de Utilização da Política

Para garantir as regras mencionadas acima, a superintendência de TI se reserva o direito de:

• Implantar softwares e sistemas que podem monitorar e gravar todos os usos de internet através da rede e das estações de trabalho da empresa;
• Inspecionar qualquer arquivo armazenado na rede esteja no disco local ou em áreas privadas da rede, visando assegurar o rígido cumprimento desta política;
• Deverá ser instalada uma série de softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewalls de borda (principal), que é a primeira, mas não a única barreira entre a rede interna e a internet. Também deve-se utilizar os firewalls perimetrais para mitigar e ajudar no processamento do firewall de borda.

Violação da Política, Advertências e Penalidades

O superintendente de TI alerta todos os usuários que a instalação ou utilização de softwares não autorizados constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/1998, sujeitando os infratores à pena de detenção e multa.

Os usuários são responsáveis pelo uso correto das ferramentas eletrônicas de propriedade da UNIMED RECIFE. Todas as práticas que representam ameaça à segurança da informação serão tratadas com a aplicação de ações disciplinares.

Portanto, na ocorrência de infrações ou às determinações constantes de comunicações internas, externas, ou mesmo às ordens de superiores hierárquicos, quando for o caso, ficam os infratores sujeitos às seguintes penalidades: advertência verbal; advertência por escrito; suspensão; demissão com ou sem justa causa e/ou outras medidas judiciais cabíveis.

Todos os usuários de informativa devem ter acesso a está política de segurança da informação, para ter a ciência deste conteúdo, e que sejam elas disponibilizadas na: Integração aos novos colaboradores, Informativos através de e-mail, Disponível no portal da UNIMED RECIFE na área do colaborador ou nos Desktops/Notebooks das estações de trabalho como Documentos Institucionais de maneira que seu conteúdo possa ser consultado a qualquer momento.

Ao identificar uma violação da política de segurança da informação, a primeira coisa a se fazer é determinar a sua razão, ou seja, a violação pode ter ocorrido por negligência, acidente ou erro; por desconhecimento da política ou por ação previamente determinada, ignorando a política estabelecida. Um processo de investigação deve determinar as circunstâncias da violação, como e porque ela ocorreu.

Nos termos da política, a UNIMED RECIFE procederá ao bloqueio do acesso ou o cancelamento do usuário caso seja detectado uso não conforme com o que foi estabelecido ou de forma prejudicial à rede.

O não cumprimento, pelo colaborador, das normas estabelecidas neste documento seja isolado ou cumulativo, poderá causar, de acordo com a infração cometida, as seguintes punições: comunicação de descumprimento, advertência ou suspensão, demissão por justa causa.

Comunicação de descumprimento: será encaminhado ao funcionário, por e-mail, comunicado informando o descumprimento da norma, com a indicação precisa da violação praticada. A cópia deste documento permanecerá arquivada junto ao Departamento de Recursos Humanos na respectiva pasta do funcionário.

Advertência ou suspensão: A pena de advertência ou suspensão será aplicada, por escrito, somente nos casos de natureza grave ou na hipótese de reincidência na prática da infração de menor gravidade.

Demissão por justa causa: nas hipóteses previstas no artigo 482 da consolidação das leis trabalhistas - CLT, fica desde já estabelecido que não há progressividade como requisito para a configuração da dispensa por justa causa, podendo a diretoria, no uso do poder diretivo e disciplinar que lhe é atribuído, aplicar a pena que entender devida quando tipificada a falta grave.

A superintendência de TI reserva-se o direito de atualizar, alterar, anular toda ou em parte as normas aqui contidas, a qualquer momento e sem aviso. Uma versão atualizada deste manual deverá ser apresentada ao Conselho de Administração da UNIMED RECIFE para aprovação, posteriormente será disponível nos ambientes supracitados nesta PSI.