Dispõe sobre normas e procedimentos internos para definir regras de acesso, utilização e proteção dos ativos de tecnologia da informação, assim considerando os hardwares, softwares, dados e informações armazenadas em qualquer mídia digital, que estão sob responsabilidade da Fundação Paulistana de Educação, Tecnologia e Cultura.
ORDEM INTERNA Nº 01/FPTEC/2022
Dispõe sobre normas e procedimentos internos para definir regras de acesso, utilização e proteção dos ativos de tecnologia da informação, assim considerando os hardwares, softwares, dados e informações armazenadas em qualquer mídia digital, que estão sob responsabilidade da Fundação Paulistana de Educação, Tecnologia e Cultura.
Maria Eugenia Ruiz Gumiel, Diretora Geral da Fundação Paulistana de Educação Tecnologia e Cultura, no uso de suas atribuições legais, previstas no artigo 14 da Lei Municipal 16.115/2015.
DETERMINA:
1.DEFINIÇÕES
1.1.Para fins de aplicação desta Ordem Interna, serão considerados:
1.1.1.Hardware – dispositivos tais como: equipamentos computacionais e periféricos, infraestrutura física e logica de rede, dispositivos de armazenamento de dados e instalações físicas;
1.1.2.Software – dispositivos tais como: banco de dados, aplicativos, sistemas operacionais e corporativos, navegadores, ferramentas de desenvolvimento e linguagens de programação;
1.1.3.Dados – unidade básica de informação, correspondente a um conteúdo quantificado que, isoladamente, não permite compreensão ou transmissão de conhecimento;
1.1.4.Informação – resultado do processamento de dados que permite a compreensão e a transmissão de conhecimento.
2.PREMISSAS DE SEGURANÇA DA INFORMAÇÃO
2.1.Para preservar a segurança da informação, devem ser consideradas as seguintes, premissa básicas:
2.1.1.Confidencialidade: garantia de que a informação é acessível apenas as pessoas ou processos devidamente autorizados;
2.1.2.Integridade: garantia de que os dados inseridos em sistema não sejam alterados inadvertidamente, independente do modo de processamento;
2.1.3.Disponibilidade: garantia de que os usuários ou processos devidamente autorizados obtenham acesso à informação e aos demais ativos correspondentes sempre que for necessário.
3.CLASSIFICAÇÃO DAS INFORMAÇÕES
3.1.As informações sob gestão e responsabilidade da Fundação Paulistana de Educação, Tecnologia e Cultura (FPECT) deverão ser classificadas como públicas ou confidenciais, sendo as da primeira categoria acessíveis a quaisquer pessoas, e as da segunda apenas por usuários devidamente autorizados.
3.1.1.As estipulações e obrigações relativas à confidencialidade não serão aplicadas a nenhum dado ou informação que:
3.1.1.1.Seja de domínio público no momento da revelação;
3.1.1.2.Já esteja em poder de outra parte, como resultado de sua própria pesquisa, desde que o fato seja comprovado;
3.1.1.3.Seja revelado em razão de uma autorização válida ou de uma ordem judicial, somente até que a extensão de tais atos;
3.1.1.4.Seja divulgado em cumprimento a exigência legal.
3.2.O Setor de Tecnologia da Informação deverá realizar, com o auxílio das demais setores, o mapeamento das informações.
3.2.1.O mapeamento deverá indicar no caso de confidencialidade, os procedimentos de compartilhamento e acesso;
3.2.2.O mapeamento e a classificação deverão ser atualizados sempre que necessário e, no mínimo, uma vez por ano.
4.NORMAS GERAIS PARA USO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO
4.1.Todos os usuários deverão firmar Termo de Compromisso relativo à Política de Tecnologia da Informação, conforme modelo constante do Anexo I desta Ordem Interna, com como proteger de danos e perdas os ativos de tecnologia da informação da FPETC.
4.1.1.Os usuários que receberem da FPETC algum equipamento de informática para execução de suas atividades profissionais também deverão firmar Termo de Responsabilidade, conforme modelo definido e disponibilizado pelo Setor de Bens Patrimoniais.
4.2.O suporte aos usuários e a manutenção dos ativos de tecnologia da informação serão restritos a técnicos do Setor de Tecnologia da Informação ou as empresas contratadas pela FPETC especificamente para esse fim;
4.3.É proibido o uso de qualquer ativo de tecnologia da informação para:
4.3.1.Obter acesso não autorizado ou interromper o acesso ao serviço, computador, rede de computadores, servidores físicos ou virtuais;
4.3.2.Acessar informações confidenciais sem autorização formal;
4.3.3. Produzir, transmitir, copiar, acessar ou armazenar arquivo ou qualquer forma de comunicação que contenha:
4.3.3.1.Ameaças eletrônicas, tais como: spam, mail bombing, trojans, vírus, phishing, malware;
4.3.3.2.Mala direta ou propaganda de interesse pessoal ou comercial;
4.3.3.3.Imagens criptografadas ou mascaradas de qualquer forma;
4.3.3.4.Conteúdo ilegal, obsceno, calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, preconceituoso ou improprio;
4.3.3.5.Ferramentas, configurações ou técnicas que tenham por objetivo infringir as regras de segurança da informação.
4.4.Os usuários deverão adotar precauções para evitar ameaças eletrônicas aos ativos de tecnologia da informação, comprometendo-se a:
4.4.1.Não executar programas de fontes desconhecidas;
4.4.2.Comunicar imediatamente o Setor de Tecnologia da Informação qualquer incidente ocorrido e adotar as orientações que lhes forem dadas.
4.5.Quando o acesso aos ativos de informação exigir a adoção de senha, esta deverá ser escolhida criteriosamente, memorizada, nunca ser compartilhada e trocada periodicamente ou imediatamente, se comprometida.
5.NORMAS ESPECÍFICAS PARA USO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO
5.1.Para utilização de hardware
5.1.1.A utilização de dispositivos móveis não pertencentes a FPETC, para realização de trabalhos de interesse corporativo, deverá ser feita conforme disposto na Ordem Interna nº 3/FPETC/2021 (SEI: 050111043).
5.1.2.É vedado aos usuários instalar hardwares ou alterar suas configurações sem autorização prévia do Setor de Tecnologia da Informação.
5.2.Para utilização de softwares
5.2.1.A instalação de softwares e a liberação de licenças deverá ser feita exclusivamente por meio do Setor de Tecnologia da Informação.
5.2.2.Qualquer software não autorizado que se encontre instalado em equipamentos dentro dos domínios da FPETC será excluído pela Setor de Tecnologia da Informação, sem aviso prévio.
5.2.3.É vedado aos usuários:
5.2.3.1.Instalar qualquer tipo de software ou alteras suas configurações;
5.2.3.2.Utilizar softwares sem a devida licença ou infringindo patentes ou direitos autorais;
5.2.3.3.Utilizar softwares peer-to-peer (Kaza, BitTorrent e afins).
5.3.Para utilização de correio eletrônico corporativo
5.3.1.O uso do correio eletrônico da FPETC é para fins exclusivamente corporativos e relacionados às atividades de trabalho.
5.3.2.Os usuários do correio eletrônico deverão obedecer ao formato de assinatura disponibilizado para o Setor de Assessoria de Comunicação.
5.3.3.É vedado aos usuários:
5.3.3.1.Utilizar o correio eletrônico corporativo para fins pessoais;
5.3.3.2.Enviar mensagens não solicitadas para múltiplos destinatários, exceto quando relacionadas a rotinas de trabalho;
5.3.3.3.Utilizar o correio eletrônico de terceiros, compartilhar senhas, bem como utilizar, sem a prévia autorização, os endereços criados especificamente para os setores ou grupos de usuários;
5.3.3.4.Adulterar informações de endereçamento de mensagens para esconder, alterar ou dificultar a identificação de remetentes ou destinatários;
5.3.3.5.Apagar mensagens pertinentes a assuntos que sejam objeto de procedimento de apuração de responsabilidade ou de qualquer tipo de investigação.
5.4.Para utilização da internet
5.4.1.Os recursos de internet serão disponibilizados aos usuários mediante a definição de grupos de segurança, disponibilizados pela PRODAM e divulgados pela Setor de Tecnologia da Informação.
5.4.1.1.Servidores da alta gestão da FPETC e servidores que necessitem do acesso para executar seu trabalho terão acesso a rede executiva disponibilizada pela PRODAM;
5.4.1.2.Os servidores em geral terão acesso a rede corporativa comum disponibilizada pela PRODAM;
5.4.1.3.A alteração de parâmetros dos grupos de segurança somente poderá ser realizada pela Setor de Tecnologia da Informação após autorização da chefia direta.
5.4.2.A internet disponibilizada pela FPETC aos seus servidores poderá ser utilizada eventualmente para fins pessoais, desde que não prejudique o andamento dos trabalhos nos Setores.
5.4.2.1.A FPETC não se responsabilizará por problemas ocasionados em virtude do fornecimento de informações pessoais dos usuários na internet, tais como número de documentos, dados de cartão de crédito e de conta bancária e senhas para acesso a sistemas de internet banking.
5.4.3.É vedado aos usuários
5.4.3.1.Divulgar ou o compartilhar informações corporativas em listas de discussão, sites, comunidades de relacionamento, salas de bate-papo, chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet;
5.4.3.2.Acessar sites ou programas de proxy;
5.4.3.3.Utilizar a internet sem o proxy oficial da PRODAM.
5.5.Para utilização de servidores
5.5.1.Nos servidores de arquivos na Nuvem deverão ser gravados apenas documentos relacionados às atividades profissionais que demandem compartilhamento ou resguardo institucional.
5.5.2.As permissões de acesso aos servidores serão concedidas no nível de grupos, correspondentes aos setores da estrutura organizacional em que os usuários estiverem locados.
5.5.2.1.O acesso de um usuário a qualquer pasta ou arquivo do servidor, relativo a outro setor, deverá ser solicitado à Setor de Tecnologia da Informação, após autorização do seu superior imediato, bem como do gerente do setor detentora da informação a ser acessada.
5.5.3.Os usuários deverão armazenar os arquivos inerentes ao serviço de cada setor no diretório do respectivo setor, para que se garanta a realização de backup.
5.5.4.Documentos de interesse comum deverão ser armazenados na pasta de Controle Interno, de modo a permitir o compartilhamento por todos os setores da FPETC.
5.5.5.É vedado criar ou remover do servidor arquivos fora da área alocada ao usuário ou arquivos que venham a comprometer o desempenho e funcionamento dos sistemas.
5.6.Para utilização da VPN (Rede Privada Virtual) ou acesso remoto
5.6.1.Só terão acesso a VPN os servidores autorizados pelo responsável da área em que atuará, mediante ao preenchimento no Termo de Compromisso.
5.6.2.É vedado, sob qualquer circunstância, a transferência de arquivos e documentos da VPN para qualquer hardware ou computador que não pertença a Fundação Paulistana.
6.MONITORAMENTO
6.1.Para garantir o cumprimento das disposições desta Ordem Interna, visando especialmente à segurança dos ativos de tecnologia da informação de sua propriedade, a FPETC poderá:
6.1.1.Implantar sistemas de monitoramento nos equipamentos e serviços disponibilizados para uso corporativo, tais como estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede, com registro e identificação das informações acessadas, transmitidas, recebidas ou produzidas pelos usuários;
6.1.2.Utilizar as informações obtidas pelos sistemas de monitoramento em procedimentos de auditoria, processos administrativos disciplinares e processos judiciais;
6.1.3.Realizar inspeções físicas, a qualquer tempo, nos equipamentos;
6.1.4.Instalar sistemas de proteção preventivos e detectives.
7.VIOLAÇÃO DE SEGURANÇA
7.1.Será considerado como violação de segurança todo descumprimento de dispositivo ou premissa da Política de Tecnologia da Informação, bem como qualquer ato que ponha em risco os ativos de tecnologia da informação da FPETC.
7.2.Todos os usuários que tiverem ciência de possível violação de segurança deverão informar o fato ocorrido ao Setor de Tecnologia da Informação.
7.3.As violações de segurança deverão ser analisadas pela Setor de Tecnologia da Informação, que poderá solicitar a apreciação do Gabinete e a apuração de responsabilidade para a adoção de medidas disciplinares, sem prejuízo da adoção de eventuais medidas judiciais, a serem avaliadas pela Setor de Acessória Jurídica.
7.4.A Setor de Tecnologia da Informação poderá adotar medidas emergenciais para preservar a segurança dos ativos de tecnologia da informação, tais como suspender, cancelar, bloquear ou alterar autorizações de acesso, excluir ou isolar arquivos, remover hardwares e softwares, bem como requisitar a devolução de equipamentos da FPETC.
8.RESPONSABILIDADES ESPECIFICAS DA SETOR DE TECNOLOGIA DA INFORMAÇÃO
8.1.A Setor de Tecnologia da Informação é a custodiante dos sistemas de informação e dos servidores de Backup e Nuvem da FPETC, sendo responsável por:
8.1.1.Zelar pela segurança das informações e dados custodiados;
8.1.2.Propor a classificação de confidencialidade das informações e dados custodiados;
8.1.3.Propor matriz de segregação de funções dos usuários de sistemas de informação;
8.1.4.Realizar auditorias de configurações técnicas, de análise de riscos e de perfil de acesso a sistemas e redes;
8.1.5.Testar a eficácia dos controles utilizados para o gerenciamento de riscos;
8.1.6.Acordar com os gestores das informações o nível de serviço e os procedimentos para resolução de incidentes;
8.1.7.Configurar os equipamentos, ferramentas e sistemas disponibilizados aos usuários com todos os controles necessários para o cumprimento das regras de segurança estabelecidas nesta Ordem Interna;
8.1.8.Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para o FPETC;
8.1.9.Comunicar, com antecedência, o fim do prazo de custódia das informações, permitindo aos gestores a adoção de medidas antes do descarte definitivo;
8.1.10.Quando ocorrer movimentação interna dos ativos de tecnologia da informação, adotar medidas para evitar que as informações não sejam removidas de forma irrecuperável antes da disponibilização para outro usuário;
8.1.11.Planejar, fornecer, implantar, e monitorar as capacidades de armazenagem, processamento e transmissão de informações necessárias para garantir a segurança requerida pelos setores da FPETC;
8.1.12.Realizar backups periódicos e testes de restauração dos dados dos principais sistemas de informação;
8.1.13.Garantir que todos os servidores, estações de trabalho e demais dispositivos com acesso à rede corporativa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro;
8.2.Monitorar o ambiente de tecnologia da informação, gerando indicadores e históricos de:
8.2.1.Uso da capacidade instalada da rede e dos equipamentos;
8.2.2.Tempo de resposta no acesso à internet e aos sistemas de informação críticos do FPETC;
8.2.3.Períodos de indisponibilidade no acesso à internet e aos sistemas críticos;
8.2.4.Incidentes de segurança envolvendo ativos de tecnologia da informação;
9.RESPONSABILIDADES GERAIS
9.1.Cada conta ou dispositivo de acesso a ativos de tecnologia da informação deverá ser atribuído pela Setor de Tecnologia da Informação a um responsável identificável como pessoa física, sendo que:
9.1.1.Cada servidor será responsável por seu próprio login;
9.1.2.A Setor de Tecnologia da Informação será responsável pelos logins de acesso a bancos de dados, operação de servidores;
9.1.3.Os administradores e operadores dos sistemas de informação poderão, pelas características de suas atribuições, acessar os arquivos e dados de outros usuários. No entanto, tais acessos só serão permitidos quando necessários à execução de atividades operacionais específicas como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes.
9.2.Todas os setores demandantes de projetos ou contratações que envolvam recursos de tecnologia da informação serão responsáveis por solicitar, como parte do planejamento e dimensionamento de suas necessidades, a avaliação prévia da Setor de Tecnologia da Informação.
9.3.Cada setor deverá zelar pela gestão das informações por si produzidas.
9.4.Cada usuário será responsável pelos prejuízos ou danos que causar à FPETC ou a terceiros em decorrência da não obediência às diretrizes e normas estipuladas nesta Ordem Interna.
9.5.Caberá à Setor de Gestão de Pessoas providenciar a assinatura do Terno de Compromisso dos servidores, temporários, estagiários e aprendizes, encaminhando uma via para a Setor de Tecnologia da Informação.
9.6.Em caso de demissão de um coordenador, caberá à Diretoria solicitar ao Setor de Gestão de Pessoas as providências para a exclusão do acesso aos ativos de tecnologia da informação e a assinatura do Termo de Devolução de equipamentos.
10.COMPETÊNCIAS RELATIVAS À SOLICITAÇÃO DE ACESSOS E EQUIPAMENTOS
10.1.Caberá à Setor de Gestão de Pessoas solicitar:
10.1.1.Para servidores, temporários, estagiários e aprendizes
10.1.1.1.Criação, exclusão, alteração, bloqueio e desbloqueio da credencial de acesso aos ativos de tecnologia da informação.
10.2.Caberá a qualquer servidor solicitar:
10.2.1.Para si, outros servidores, temporários, estagiários e aprendizes:
10.2.1.1.Acesso de dispositivo móvel não pertencente a FPETC à rede corporativa, com a aprovação do superior hierárquico e do gerente da Setor de Tecnologia da informação. A aprovação do superior hierárquico não será necessária para as solicitações feitas por gerentes e assessores;
10.2.1.2.Criação, exclusão ou alteração de grupo de correio eletrônico, com aprovação do responsável pelo grupo;
10.3.Caberá ao responsável do setor administrativo de contrato solicitar:
10.3.1.Para prestadores de serviços, com aprovação do gerente da Setor de Tecnologia da Informação e Chefe de Gabinete ou superior:
10.3.1.1.Criação, exclusão, alteração, bloqueio e desbloqueio de acesso a ativos de tecnologia da informação;
10.3.1.2.Liberação e devolução de equipamentos de informática;
10.3.1.3.Acesso de dispositivo móvel não pertencente A FPETC à rede corporativa.
11.PROCEDIMENTOS PARA SOLICITAÇÃO DE ACESSOS E EQUIPAMENTOS
11.1.Todas as solicitações relativas a acessos e equipamentos de tecnologia da informação deverão ser realizadas por meio de solicitação para o Setor de Bens Patrimoniais e Setor de Tecnologia da Informação.
12.DISPOSIÇÕES COMPLEMENTARES
12.1.As situações não previstas nesta Ordem Interna deverão ser submetidas à deliberação do(a) Diretor(a) Geral da FPETC.
Maria Eugenia Ruiz Gumiel Diretora Geral
FUNDAÇÃO PAULISTANA DE EDUCAÇÃO TECNOLOGIA E CULTURA
Anexo I da Ordem Interna nº 01/FPETC/2022
TERMO DE COMPROMISSO
Declaro que tenho pleno conhecimento da Política de Tecnologia da Informação definida nos termos da Ordem Interna nº 01/FPETC/2022, disponibilizada pelo E-mail e pelo OneDrive da Fundação Paulistana.
Declaro estar ciente de que atos contrários à Política de Tecnologia da Informação poderão resultar na aplicação de medidas administrativas, inclusive na exoneração, bem como na aplicação de medidas judiciais pertinentes.
Comprometo-me a preservar a integridade, a disponibilidade e a confidencialidade das informações obtidas durante meu vínculo jurídico estatutário em comissão com a Fundação Paulistana de Educação, Tecnologia e Cultura, mesmo após minha exoneração.
São Paulo, de de .
DADOS DO SERVIDOR
Nome:
CPF:
RF:
Cargo:
Setor:
ACESSOS E PERMISSÕES
FUNDATEC/AC
FUNDATEC/CFCCT/BP
FUNDATEC/ADM
FUNDATEC/CHG
FUNDATEC/ADM/COMPRAS E LICITAÇÕES
FUNDATEC/ETSP
FUNDATEC/AJ
FUNDATEC/ETSP/BP
FUNDATEC/CAF
FUNDATEC/FIN
FUNDATEC/CAF/BP
FUNDATEC/FIN/CONTB
FUNDATEC/CAF/TI
FUNDATEC/FIN/NLP
FUNDATEC/CEPC
FUNDATEC/GAB
FUNDATEC/CEPC/ADM
FUNDATEC/GP
FUNDATEC/CFCCT
VPN/ACESSO REMOTO: □ SIM □NÃO
Assinatura Servidor/Estagiário
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo