Política de Segurança da Informação
A Evlos preparou as políticas e termos que resumem as condições de utilização deste site e nosso serviços. Leia cuidadosamente e, em caso de dúvida, entre em contato com nosso atendimento.
Política de Segurança
da Informação
A Evlos preparou as políticas e termos que resumem as condições de utilização deste site e nosso serviços. Leia cuidadosamente e, em caso de dúvida, entre em contato com nosso atendimento.
Políticas de Segurança da Informação
A Política de Segurança da Informação, também conhecida como PSI, é uma declaração formal sobre nosso comprometimento em seguir e manter padrões, normas e diretrizes para com todos os colaboradores que utilizam de alguma forma os ativos de informações sob nossa guarda. A Evlos4u, que lida com todos os tipos de dados, sendo esses sensíveis ou não, conectividade com os nossos parceiros e acervos tecnológicos em Cloud, tem como objetivo a implantação e a conscientização com nossos colaboradores para que as normas sejam seguidas por todos, garantindo a proteção de dados e a privacidade dos titulares de dados pessoais seguindo os principais pilares da PSI, sendo eles: confidencialidade, integridade, disponibilidade, resiliência, autenticidade e privacidade das informações. Neste documento, apresentaremos esses procedimentos para normatizar nossa visão e atuação para com a PSI.
A Evlos4u tem como principal objetivo, com a implantação da PSI, garantir a segurança dos dados aos quais são nossa responsabilidade, que as informações trafegadas de fontes internas e externas através de sistemas desenvolvidos e fornecidos pelas Evlos4u, estejam protegidos a fim de evitar qualquer tipo de intercepção, fraude ou perda. Garantir que as demandas decorrentes do dia a dia sejam executadas de maneira segura e confidencial, tanto para com os nossos colaboradores quanto para os clientes.
3.1. Princípios da Segurança da Informação
3.1.1. Princípios Básicos
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação não estará disponível ou será divulgada a indivíduos, entidades ou aplicativos sem autorização.
Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.
Resiliências: garantia de que o sistema estará disponível para acesso às informações pelo tempo necessário, utilizando de redundância e escalabilidade sempre que possível.
Autenticidade: garantia de veracidade da autoria das informações, com veracidade do autor que de fato produziu tal informação, está por si trazendo o subproduto do Não Repúdio onde o autor da informação não tem como recusar que ele é o verdadeiro autor. Em outras palavras, a incapacidade da negação de autoria da informação.
Privacidade: garantia de que os dados pessoais apenas sejam tratados de forma adequada e nos estritos limites de sua necessidade.
3.2. Ativos de Informação
Os Ativos de Informação são os meios de armazenamento, transmissão e processamento da informação. Os sistemas de informação bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso. Conforme a norma ABNT NBR ISO/IEC 27002 – Código de Prática de Gestão de Segurança da Informação, são considerados Ativos de Informação para efeito desta Política:
▪ Recursos de Tecnologia da Informação;
▪ Recursos referentes a estrutura em nuvem;
▪ Informações pertencentes, concedidas ou relacionadas aos clientes;
▪ Informações pertencentes ou relacionadas aos colaboradores da Evlos4u; ▪ Processos internos da Evlos4u; e
▪ Informações financeiras, contábeis ou de uso exclusivo da Evlos4u.
3.2.1. Acesso aos Ativos de Informação
A Evlos poderá fornecer ao colaborador acesso a ferramentas de comunicação e produtividade para a dinamização do trabalho. O uso destas ferramentas está sujeito a esta Política e a restrição de acessos conforme o nível delegado pela equipe de Segurança da Informação. Será aplicada a política conforme a premissa de “menor privilégio possível” para que seja mantida a segurança e a restrição a informações sigilosas
3.3. Incidentes de Segurança da Informação
Incidentes de Segurança podem ser definidos como qualquer evento adverso, que seja de fato confirmado ou sob suspeita, relacionado à segurança dos recursos de tecnologia levando a perda de um dos princípios de Segurança da Informação. São classificados como incidentes:
▪ Indisponibilidade da informação para a execução de tarefas, rotinas e processos; ▪ Ataques de DDOS (negação de serviço);
▪ Toda e qualquer modificação do sistema ou de informação sem prévio conhecimento, instrução e consentimento de um gestor;
▪ Descumprimento das políticas de segurança ou à política de uso dos sistemas e ativos;
▪ Qualquer tipo de tentativa de ganhar, burlar ou obter acesso não autorizado aos sistemas =, dados e informações;
▪ Fazer uso indevido ou impróprio dos Ativos de Informação tais como: uso indevido de e-mail corporativo para spam, promoção de negócios ou utilização pessoal, impressão de documentos que contenham informações sigilosas pertencentes a clientes, colaboradores de forma não autorizada;
▪ Introduzir códigos maliciosos nos sistemas de TI;
▪ Revelar códigos de identificação, autenticação e autorização de uso pessoal (senhas, usuários, chaves de criptografia ou qualquer outro tipo) ou permitir o uso de terceiros por intermédio deles;
▪ Divulgar ou comercializar produtos, serviços ou soluções a partir de qualquer recurso do sistema de TI;
▪ Tentativa de interferir sem prévia autorização, consentimento ou supervisão em um serviço, desativando, sobrecarregando ou cooperando com ataques aos sistemas de informação; e
▪ Alterar registros de eventos dos sistemas de informação.
3.3.1. Comunicação de Incidentes
Qualquer evento de perda, extravio ou roubo de informações, devem ser reportados imediatamente à área de tecnologia e aos seus respectivos responsáveis através do e-mail: tecnologia@evlos4u.com.
3.3.2. Alçada de Comunicação de Incidentes:
▪ Equipe de atendimento;
▪ Desenvolvedor;
▪ Líder Técnico
▪ CTO;
▪ CEO.
3.4. Controle de Acesso
É responsabilidade da Evlos4u controlar todo e qualquer acesso lógico aos seus sistemas e ferramentas de trabalho. Para isso, ela deve garantir que casa colaborador possua uma credencial de uso pessoal, intransferível e de uso exclusivo. Os acessos devem ser autorizados por um gestor e entregues ao colaborador, que passa a ter responsabilidade sobre o armazenamento dela.
3.4.1. Alçada de Publicação
A Evlos4u utiliza ferramentas de Pipelines CI/CD (Integração Contínua/Entrega Contínua), que automatiza e dá controle às rotinas de deploy na seguinte ordem de ocorrência:
▪ Desenvolvedor abre uma pull request com o trecho de código a ser enviado;
▪ Líder técnico avalia o código e seus impactos no funcionamento do sistema e libera o bloco para ser enviado à nuvem;
▪ Gestor aprova execução do deploy após aprovação das validações automáticas.
3.4.2. Autenticação de Multi Fator (Dois Fatores)
É obrigatório o uso de autenticação de multi-fatores (2FA ou MAF; Two Factor Authentication ou MultiFactor Authentication) para todos os serviços onde a opção estiver disponível.
3.4.3. Correio Eletrônico
O correio eletrônico fornecido pela Evlos4u, assim como outras ferramentas de comunicação são classificadas como ferramentas de trabalho e não devem ser utilizadas para fins pessoais. Todas as informações contidas nas mensagens eletrônicas são de propriedade da Evlos4u podendo ser monitoradas a fins de auditoria sem notificação prévia. É expressamente proibido o envio de informações classificadas como confidenciais e/ou internas para endereços eletrônicos pertencentes a qualquer outro domínio diferente da evlos4u.com, salvo em casos para terceiros (clientes e parceiros) diretamente envolvidos no respectivo assunto/processo.
3.5. Gestão de Continuidade de Negócios
Com objetivo de inibir, mitigar riscos de interrupção parcial ou total de seus serviços, aplicações e ferramentas por incidentes de segurança e manter os níveis de serviço e disponibilidade, são elaboradas ações e testes de prevenção e recuperação dos sistemas, estrutura e serviços, sempre condizentes com esta Política e com as Normas de Continuidade de Negócio. É de responsabilidade da equipe de Segurança da Informação detectar e conhecer as ameaças e riscos que podem afetar o negócio referente a crises causadas por incidentes de segurança da informação, tal como conhecer de quais formas essas ameaças podem impactar o negócio. O Plano de Continuidade de Negócios (PCN) deve conter 4 tópicos referentes a etapas de repercussão desses incidentes:
▪ Plano de Contingência e/ou Emergência: tratado como último recurso em situações em que todas as outras etapas de recuperação preventivas tiverem falhado;
▪ Plano de Recuperação de Desastres: planejamento de ações referentes aos momento pós-crise ou de contingência. Tem como objetivo principal retomar à normalidade das operações;
▪Plano de Gerenciamento de Crise: plano responsável por definir a responsabilidade de cada equipe no processo para executar as ações de emergência durante o período de crise; e
▪ Plano de Continuidade Operacional: plano responsável por ações para a retomada do funcionamento dos serviços, sistemas que sustentam as atividades principais do negócio. Além de reduzir a indisponibilidade das informações e impactos causados pela intermitência parcial ou total do serviço/sistema. Fica responsável à área da Segurança da Informação a identificação de possíveis obstáculos da recuperação de desastres como por exemplo: ▪ Falta ou falha dos backups do sistema e serviços; ▪ Falha nos scripts de recuperação de infraestrutura;
▪ Ausência do Plano de Recuperação de Falhas; e
▪ Falha na frequência de backups e procedimentos de testes.
3.6. Políticas de Segurança da Informação Remoto/Home-Office
A Evlos4u oferece aos seus colaboradores a jornada de trabalho home-office, onde o colaborador pode executar remotamente suas tarefas e demandas, todavia deve-se cumprir por parte do colaborador a utilização de boas práticas na utilização e manuseio da informação a fim de garantir a segurança das informações e respeitar, contudo, as diretrizes de segurança contidas nesta Política. O colaborador deve adotar e manter ações juntamente com a área de Segurança da Informação para manter total segurança e integridade das informações, são elas:
▪ Configurar o bloqueio automático da estação de trabalho utilizando o procedimento de configuração de bloqueio de tela armazenado em nossa biblioteca lógica https://github.com/evlos4u/EVLOS_DOC/blob/main/HelpDesk/Bloqueio%20Tela; ▪ Fica expressamente proibido o armazenamento de qualquer informação, dados ou procedimentos em HD’s externo, pendrives, cartão de memória ou qualquer outro dispositivo para estes fins;
▪ O uso de senhas por parte do colaborador para acesso aos nossos repositórios e e-mail devem seguir padrões de senhas fortes (contendo letras maiúsculas e minúsculas, números e caracteres especiais). Deve ser utilizado também o fator de dupla autenticação sempre que disponível conforme descrito nas normas de Controle de Acesso (procure por Autenticação de Multi Fator (Dois Fatores) em 2.4 Controle de Acesso);
▪ É imprescindível o uso de Anti-vírus, Anti-Malware e Firewall por parte do colaborador garantindo proteção contra vazamento, invasões e possível interceptação de dados;
▪ Em caso de pesquisas e busca de soluções na internet optar por referências que contenham o protocolo de segurança HTTPS;
▪ Não conectar dispositivos externos aos ativos cedidos pela Evlos4u ou do próprio colaborador durante a jornada de trabalho;
▪ Todo conteúdo produzido durante a jornada de trabalho deve ser salvo e resguardado nos repositórios da Evlos ao final do expediente, a fim de manter a disponibilidade, integridade e backup das informações. Utilize o procedimento; https://github.com/evlos4u/EVLOS_DOC/tree/main/Fluxo_GitHub/Rotina_GitBash ▪ O acesso aos sistemas e suas funcionalidades serão realizados através da injeção do endereço de IP do colaborador dentro da regra de firewall do respectivo servidor, serviço ou aplicação e será revogado logo após a utilização dele;
▪ O colaborador deve evitar acessar banners de promoções e links suspeitos conforme instrução da área de Segurança da Informação, qualquer dúvida ou desconfiança o colaborador deve entrar em contato com um responsável pela área de segurança da informação para saná-las. O colaborador deve se informar sobre Phishing e possíveis ataques pertinentes a este tipo de ameaça;
▪ O colaborador não deve compartilhar sua estação de trabalho com terceiros durante seu expediente, garantindo o sigilo das informações. O colaborador é totalmente responsável por qualquer tipo de vazamento ou exposição deles;
▪ O colaborador deve entrar em contato diretamente com a equipe de Segurança da Informação para realizar solicitações de acesso de qualquer tipo, este contato deve ocorrer por meio de nossa ferramenta corporativa, justificando o tipo de acesso e a finalidade para que este seja realizado. Conforme as normas descritivas neste documento, o acesso será revogado assim que for concluída a tarefa do colaborador, sendo necessário renovação do acesso por meio da repetição do processo aqui descrito; e
▪ O colaborador deve manter sigilo das informações, conversas e reuniões para com terceiros ao menos que este faça parte do projeto, reunião ou atividade;
3.7. Conformidade e Melhoria Contínua
Este documento deve ser revisado e deve ser atualizado periodicamente a fim de garantir que todas as normas e diretrizes contidas aqui devem ser seguidas e respeitadas. Auditoria Interna e a área de Segurança da Informação devem incluir em seu planejamento trimestral a revisão dos controles internos descritos nesta Política. A Evlos4u encoraja seus colaboradores a contribuir cada vez mais com a construção e conscientização das responsabilidades descritas nesse, prezando pela integridade de seus colaboradores e de seus sistemas trazendo um ambiente seguro e transparente para todos.
A Política de Segurança da Informação, também conhecida como PSI, é uma declaração formal sobre nosso comprometimento em seguir e manter padrões, normas e diretrizes para com todos os colaboradores que utilizam de alguma forma os ativos de informações sob nossa guarda. A Evlos4u, que lida com todos os tipos de dados, sendo esses sensíveis ou não, conectividade com os nossos parceiros e acervos tecnológicos em Cloud, tem como objetivo a implantação e a conscientização com nossos colaboradores para que as normas sejam seguidas por todos, garantindo a proteção de dados e a privacidade dos titulares de dados pessoais seguindo os principais pilares da PSI, sendo eles: confidencialidade, integridade, disponibilidade, resiliência, autenticidade e privacidade das informações. Neste documento, apresentaremos esses procedimentos para normatizar nossa visão e atuação para com a PSI
A Evlos4u tem como principal objetivo, com a implantação da PSI, garantir a segurança dos dados aos quais são nossa responsabilidade, que as informações trafegadas de fontes internas e externas através de sistemas desenvolvidos e fornecidos pelas Evlos4u, estejam protegidos a fim de evitar qualquer tipo de intercepção, fraude ou perda. Garantir que as demandas decorrentes do dia a dia sejam executadas de maneira segura e confidencial, tanto para com os nossos colaboradores quanto para os clientes.
3.1. Princípios da Segurança da Informação
3.1.1. Princípios Básicos
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão]ao, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação não estará disponível ou será divulgada a indivíduos, entidades ou aplicativos sem autorização.
Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.
Resiliências: garantia de que o sistema estará disponível para acesso às informações pelo tempo necessário, utilizando de redundância e escalabilidade sempre que possível. Autenticidade: garantia de veracidade da autoria das informações, com veracidade do autor que de fato produziu tal informação, está por si trazendo o subproduto do Não Repúdio onde o autor da informação não tem como recusar que ele é o verdadeiro autor. Em outras palavras, a incapacidade da negação de autoria da informação. Privacidade: garantia de que os dados pessoais apenas sejam tratados de forma adequada e nos estritos limites de sua necessidade.
3.2. Ativos de Informação
Os Ativos de Informação são os meios de armazenamento, transmissão e processamento da informação. Os sistemas de informação bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso. Conforme a norma ABNT NBR ISO/IEC 27002 – Código de Prática de Gestão de Segurança da Informação, são considerados Ativos de Informação para efeito desta Política:
▪ Recursos de Tecnologia da Informação; ▪ Recursos referentes a estrutura em nuvem; ▪ Informações pertencentes, concedidas ou relacionadas aos clientes;
▪ Informações pertencentes ou relacionadas aos colaboradores da Evlos4u;
▪ Processos internos da Evlos4u;
▪ Informações financeiras, contábeis ou de uso exclusivo da Evlos4u.
3.2.1. Acesso aos Ativos de Informação
A Evlos poderá fornecer ao colaborador acesso a ferramentas de comunicação e produtividade para a dinamização do trabalho. O uso destas ferramentas está sujeito a esta Política e a restrição de acessos conforme o nível delegado pela equipe de Segurança da Informação. Será aplicada a política conforme a premissa de “menor privilégio possível” para que seja mantida a segurança e a restrição a informações sigilosas.
3.3. Incidentes de Segurança da Informação
Incidentes de Segurança podem ser definidos como qualquer evento adverso, que seja de fato confirmado ou sob suspeita, relacionado à segurança dos recursos de tecnologia levando a perda de um dos princípios de Segurança da Informação. São classificados como incidentes:
▪ Indisponibilidade da informação para a execução de tarefas, rotinas e processos;
▪ Ataques de DDOS (negação de serviço);
▪ Toda e qualquer modificação do sistema ou de informação sem prévio conhecimento, instrução e consentimento de um gestor;
▪ Descumprimento das políticas de segurança ou à política de uso dos sistemas e ativos;
▪ Qualquer tipo de tentativa de ganhar, burlar ou obter acesso não autorizado aos sistemas =, dados e informações; ▪ Fazer uso indevido ou impróprio dos Ativos de Informação tais como: uso indevido de e-mail corporativo para spam, promoção de negócios ou utilização pessoal, impressão de documentos que contenham informações sigilosas pertencentes a clientes, colaboradores de forma não autorizada;
▪ Introduzir códigos maliciosos nos sistemas de TI;
▪ Revelar códigos de identificação, autenticação e autorização de uso pessoal (senhas, usuários, chaves de criptografia ou qualquer outro tipo) ou permitir o uso de terceiros por intermédio deles;
▪ Divulgar ou comercializar produtos, serviços ou soluções a partir de qualquer recurso do sistema de TI;
▪ Tentativa de interferir sem prévia autorização, consentimento ou supervisão em um serviço, desativando, sobrecarregando ou cooperando com ataques aos sistemas de informação; e
▪ Alterar registros de eventos dos sistemas de informação.
3.3.1. Comunicação de Incidentes
Qualquer evento de perda, extravio ou roubo de informações, devem ser reportados imediatamente à área de tecnologia e aos seus respectivos responsáveis através do e-mail: tecnologia@evlos4u.com.
3.3.2. Alçada de Comunicação de Incidentes:
▪ Equipe de atendimento;
▪ Desenvolvedor;
▪ Líder Técnico
▪ CTO;
▪ CEO.
3.4. Controle de Acesso
É responsabilidade da Evlos4u controlar todo e qualquer acesso lógico aos seus sistemas e ferramentas de trabalho. Para isso, ela deve garantir que casa colaborador possua uma credencial de uso pessoal, intransferível e de uso exclusivo. Os acessos devem ser autorizados por um gestor e entregues ao colaborador, que passa a ter responsabilidade sobre o armazenamento dela.
3.4.1. Alçada de Publicação
A Evlos4u utiliza ferramentas de Pipelines CI/CD (Integração Contínua/Entrega Contínua), que automatiza e dá controle às rotinas de deploy na seguinte ordem de ocorrência:
▪ Desenvolvedor abre uma pull request com o trecho de código a ser enviado;
▪ Líder técnico avalia o código e seus impactos no funcionamento do sistema e libera o bloco para ser enviado à nuvem;
▪ Gestor aprova execução do deploy após aprovação das validações automáticas.
3.4.2. Autenticação de Multi Fator (Dois Fatores)
É obrigatório o uso de autenticação de multi-fatores (2FA ou MAF; Two Factor Authentication ou MultiFactor Authentication) para todos os serviços onde a opção estiver disponível.
3.4.3. Correio Eletrônico
O correio eletrônico fornecido pela Evlos4u, assim como outras ferramentas de comunicação são classificadas como ferramentas de trabalho e não devem ser utilizadas para fins pessoais. Todas as informações contidas nas mensagens eletrônicas são de propriedade da Evlos4u podendo ser monitoradas a fins de auditoria sem notificação prévia. É expressamente proibido o envio de informações classificadas como confidenciais e/ou internas para endereços eletrônicos pertencentes a qualquer outro domínio diferente da evlos4u.com, salvo em casos para terceiros (clientes e parceiros) diretamente envolvidos no respectivo assunto/processo.
3.5. Gestão de Continuidade de Negócios
Com objetivo de inibir, mitigar riscos de interrupção parcial ou total de seus serviços, aplicações e ferramentas por incidentes de segurança e manter os níveis de serviço e disponibilidade, são elaboradas ações e testes de prevenção e recuperação dos sistemas, estrutura e serviços, sempre condizentes com esta Política e com as Normas de Continuidade de Negócio. É de responsabilidade da equipe de Segurança da Informação detectar e conhecer as ameaças e riscos que podem afetar o negócio referente a crises causadas por incidentes de segurança da informação, tal como conhecer de quais formas essas ameaças podem impactar o negócio. O Plano de Continuidade de Negócios (PCN) deve conter 4 tópicos referentes a etapas de repercussão desses incidentes:
▪ Plano de Contingência e/ou Emergência: tratado como último recurso em situações em que todas as outras etapas de recuperação preventivas tiverem falhado;
▪ Plano de Recuperação de Desastres: planejamento de ações referentes aos momento pós-crise ou de contingência. Tem como objetivo principal retomar à normalidade das operações;
▪ Plano de Gerenciamento de Crise: plano responsável por definir a responsabilidade de cada equipe no processo para executar as ações de emergência durante o período de crise; e ▪ Plano de Continuidade Operacional: plano responsável por ações para a retomada do funcionamento dos serviços, sistemas que sustentam as atividades principais do negócio. Além de reduzir a indisponibilidade das informações e impactos causados pela intermitência parcial ou total do serviço/sistema. Fica responsável à área da Segurança da Informação a identificação de possíveis obstáculos da recuperação de desastres como por exemplo:
▪ Falta ou falha dos backups do sistema e serviços;
▪ Falha nos scripts de recuperação de infraestrutura;
▪ Ausência do Plano de Recuperação de Falhas; e
▪ Falha na frequência de backups e procedimentos de testes.
3.6. Políticas de Segurança da Informação Remoto/Home-Office
A Evlos4u oferece aos seus colaboradores a jornada de trabalho home-office, onde o colaborador pode executar remotamente suas tarefas e demandas, todavia deve-se cumprir por parte do colaborador a utilização de boas práticas na utilização e manuseio da informação a fim de garantir a segurança das informações e respeitar, contudo, as diretrizes de segurança contidas nesta Política.
O colaborador deve adotar e manter ações juntamente com a área de Segurança da Informação para manter total segurança e integridade das informações, são elas:
▪ Configurar o bloqueio automático da estação de trabalho utilizando o procedimento de configuração de bloqueio de tela armazenado em nossa biblioteca lógica
▪ Fica expressamente proibido o armazenamento de qualquer informação, dados ou procedimentos em HD’s externo, pendrives, cartão de memória ou qualquer outro dispositivo para estes fins;
▪ O uso de senhas por parte do colaborador para acesso aos nossos repositórios e e-mail devem seguir padrões de senhas fortes (contendo letras maiúsculas e minúsculas, números e caracteres especiais). Deve ser utilizado também o fator de dupla autenticação sempre que disponível conforme descrito nas normas de Controle de Acesso (procure por Autenticação de Multi Fator (Dois Fatores) em 2.4 Controle de Acesso);
▪ É imprescindível o uso de Anti-vírus, Anti-Malware e Firewall por parte do colaborador garantindo proteção contra vazamento, invasões e possível interceptação de dados;
▪ Em caso de pesquisas e busca de soluções na internet optar por referências que contenham o protocolo de segurança HTTPS; ▪ Não conectar dispositivos externos aos ativos cedidos pela Evlos4u ou do próprio colaborador durante a jornada de trabalho;
▪ Todo conteúdo produzido durante a jornada de trabalho deve ser salvo e resguardado nos repositórios da Evlos ao final do expediente, a fim de manter a disponibilidade, integridade e backup das informações. Utilize o procedimento;
▪ O acesso aos sistemas e suas funcionalidades serão realizados através da injeção do endereço de IP do colaborador dentro da regra de firewall do respectivo servidor, serviço ou aplicação e será revogado logo após a utilização dele;
▪ O colaborador deve evitar acessar banners de promoções e links suspeitos conforme instrução da área de Segurança da Informação, qualquer dúvida ou desconfiança o colaborador deve entrar em contato com um responsável pela área de segurança da informação para saná-las. O colaborador deve se informar sobre Phishing e possíveis ataques pertinentes a este tipo de ameaça
▪ O colaborador não deve compartilhar sua estação de trabalho com terceiros durante seu expediente, garantindo o sigilo das informações. O colaborador é totalmente responsável por qualquer tipo de vazamento ou exposição deles;
▪ O colaborador deve entrar em contato diretamente com a equipe de Segurança da Informação para realizar solicitações de acesso de qualquer tipo, este contato deve ocorrer por meio de nossa ferramenta corporativa, justificando o tipo de acesso e a finalidade para que este seja realizado. Conforme as normas descritivas neste documento, o acesso será revogado assim que for concluída a tarefa do colaborador, sendo necessário renovação do acesso por meio da repetição do processo aqui descrito; e
▪ O colaborador deve manter sigilo das informações, conversas e reuniões para com terceiros ao menos que este faça parte do projeto, reunião ou atividade;
3.7. Conformidade e Melhoria Contínua
Este documento deve ser revisado e deve ser atualizado periodicamente a fim de garantir que todas as normas e diretrizes contidas aqui devem ser seguidas e respeitadas. Auditoria Interna e a área de Segurança da Informação devem incluir em seu planejamento trimestral a revisão dos controles internos descritos nesta Política. A Evlos4u encoraja seus colaboradores a contribuir cada vez mais com a construção e conscientização das responsabilidades descritas nesse, prezando pela integridade de seus colaboradores e de seus sistemas trazendo um ambiente seguro e transparente para todos.
© 2023 Evlos4U- Todos os direitos reservados