PORTARIA Nº 09, DE 15 DE FEVEREIRO DE 2021.

Dispõe sobre a Política de Segurança da Informação do Instituto de Previdência Municipal de São Paulo.

A Superintendente do Instituto de Previdência Municipal de São Paulo – IPREM, no uso das atribuições que lhes são conferidas pela legislação em vigor:

Considerando que o IPREM gera, adquire ou absorve informações no exercício de suas competências constitucionais, legais e regulamentares, e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com o sigilo resguardado;

Considerando que as informações no IPREM são armazenadas em diferentes suportes, veiculadas por diferentes formas, tais como meio impresso, eletrônico e microforma, e, portanto, vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

Considerando que a adequada gestão da informação precisa nortear todos os processos de trabalho e unidades do IPREM e deve ser impulsionada pela Política Corporativa de Segurança da Informação;

RESOLVE:

Art. 1°. Instituir a Política Corporativa de Segurança da Informação do Instituto de Previdência Municipal de São Paulo – IPREM, que observará os princípios, objetivos e diretrizes estabelecidos nesta portaria bem como as disposições constitucionais, legais e regimentais vigentes.

Parágrafo único. Para os efeitos desta portaria, entende-se por:

I - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

II - segurança da informação: proteção da informação contra ameaças para garantir sua continuidade, minimizar os riscos e maximizar a eficiência e a efetividade das ações do negócio;

III - gestor da informação: a Área de Tecnologia da Informação, unidade do IPREM que, no exercício de suas competências, produz ou obtém e guarda, seja de fonte externa ou interna ao Instituto, informações de propriedade de pessoa física ou jurídica, dentro de seus servidores de arquivos ou banco de dados;

IV - incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações ou ameaçar a segurança da informação.

Dos princípios, diretrizes e objetivos

Art. 2º. A segurança da informação no IPREM abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos seguintes princípios:

I - confidencialidade: garantir que a informação seja acessada somente pelas pessoas ou processos que tenham autorização para tal;

II – disponibilidade: garantir que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;

III - integridade: garantir a não violação das informações com intuito de protegê-las contra alteração, gravação ou exclusão acidental ou proposital.

Art. 3º. O IPREM deve observar as seguintes diretrizes:

I - toda informação produzida ou recebida pelos servidores, colaboradores, fornecedores e prestadores de serviço, em resultado da função exercida e/ou atividade profissional contratada, pertence ao IPREM.

As exceções devem ser explícitas e formalizadas entre as partes;

II - todos os recursos de informação devem ser projetados para que seu uso seja consciente e responsável. Os recursos comunicacionais e computacionais da instituição devem ser utilizados para a consecução de seus objetivos finalísticos;

III - deverão ser criados e instituídos controles apropriados, registros de atividades, em todos os pontos e sistemas em que a Instituição julgar necessário, com vistas à redução dos riscos dos seus ativos de informação;

IV - os gestores, administradores e operadores dos sistemas computacionais poderão, pela característica de suas credenciais como usuários (privilégios diferenciados associados a cada perfil), acessar arquivos e dados de outros usuários. Tal operação só será permitida quando necessária e com previa solicitação por escrito para a execução de atividades operacionais sob sua responsabilidade;

V - todo o acesso a redes e sistemas do Instituto deverá ser feito, preferencialmente, por meio de login de acesso único, pessoal e intransferível;

VI - o IPREM pode utilizar tecnologias e ferramentas para monitorar e controlar o conteúdo e o acesso a quaisquer tipos de informação alocada na infraestrutura provida pelo Instituto;

VII - cada usuário é responsável pela segurança das informações dentro do IPREM, principalmente daquelas que estão sob sua responsabilidade;

VIII - esta Política Corporativa de Segurança da Informação será implementada no IPREM, por meio de normas e procedimentos específicos, obrigatórios para todos os usuários, independentemente do nível hierárquico ou função, bem como de vínculo empregatício ou de prestação de serviço.

Art. 4º. Para os efeitos desta Portaria, os objetivos do IPREM, além de buscar preservar as informações, são:

I - estabelecer diretrizes para a disponibilização e utilização de recursos de informação, serviços de redes de dados, estações de trabalho, internet, telecomunicações e correio eletrônico institucional;

II - designar, definir ou alterar papéis e responsabilidades do grupo responsável pela Segurança da Informação;

III - apoiar a implantação das iniciativas relativas à Segurança da Informação;

IV - possibilitar a criação de controles e promover a otimização dos recursos e investimentos em tecnologia da informação, contribuindo com a minimização dos riscos associados.

Responsabilidades Gerais

Art. 5º. As responsabilidades gerais no IPREM são de todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais e incluem:

I - promover a segurança de seu usuário corporativo, departamental ou de rede local, bem como de seus respectivos dados e credenciais de acesso;

II - seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais do Instituto;

III - utilizar de forma ética, legal e consciente os recursos computacionais e informacionais do IPREM;

IV - manter-se atualizado em relação às normas e procedimentos relacionados, buscando informação junto ao Gestor de Segurança da Informação da Instituição sempre que não estiver absolutamente seguro quanto à obtenção, uso e/ou descarte de informações.

Responsabilidades Específicas

Art. 6º. As responsabilidades específicas são definidas de acordo com o perfil estabelecido:

I - usuários internos e externos:

a) será de inteira responsabilidade de cada usuário (interno ou externo) todo prejuízo ou dano que vier a sofrer ou causar ao IPREM em decorrência da não obediência às diretrizes e normas e procedimentos específicos dela decorrentes;

b) os usuários externos devem entender os riscos associados à sua condição e cumprir rigorosamente as políticas, normas e procedimentos específicos vigentes. O IPREM poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento das normas e procedimentos específicos dela decorrentes.

II - gestores de pessoas e processos:

1. os gestores executivos do IPREM devem ter postura exemplar em relação à segurança da informação, diante, sobretudo, dos usuários sob sua gestão;

2. cada gestor deverá manter os processos sob sua responsabilidade aderentes às políticas, normas e procedimentos específicos de segurança da informação, tomando as ações necessárias para cumprir tal responsabilidade.

III - gestores e usuários da Área de Tecnologia da Informação:

a) zelar pela eficácia dos controles de Sistemas da Informação utilizados e informar aos gestores e demais interessados os riscos residuais;

b) negociar e acordar com os gestores os níveis de serviço relacionados a Sistemas da Informação, incluindo os procedimentos de resposta a incidentes;

c) garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação;

d) zelar pela segregação de funções gerenciais e operacionais, a fim de restringir ao mínimo necessário os privilégios de cada indivíduo e eliminar a existência de pessoas que possam excluir logs e trilhas de auditoria das suas próprias ações;

e) implantar controles que gerem registros auditáveis para retirada e transporte de mídias que contenham informações custodiadas pela NTI, nos ambientes totalmente controlados por ela;

f) informar previamente ao Gestor de Sistemas da Informação sobre o fim do prazo de retenção de informações, para que este tenha a alternativa de alterá-lo ou postergá-lo, antes que a informação seja definitivamente descartada pelo custodiante;

g) atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a uma pessoa física identificável como responsável pelo uso da conta (a responsabilidade pela gestão dos logins de usuários externos é do gestor do contrato de prestação de serviços ou do gestor do setor em que o usuário externo desempenha suas atividades);

h) proteger continuamente todos os ativos de informação do Instituto contra código malicioso e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código mal-intencionado e/ou indesejado;

i) assegurar-se de que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção do IPREM ou em fase de mudança de ambiente de desenvolvimento, teste, homologação ou produção de sistemas (quando tais ambientes forem acessados por terceiros, a responsabilização deve ser explicitada nas cláusulas dos instrumentos contratuais);

j) definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, bem como em ambiente exclusivamente educacional e/ou dedicados à visitação externa, exigindo o seu cumprimento dentro da Autarquia;

k) garantir, da forma mais rápida possível, com recebimento de solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguarda dos ativos do instituto;

l) o Gestor da Informação é a pessoa responsável pela autorização de acesso, validação de uso e definição dos demais controles sobre a informação;

m) a destruição de dados sigilosos deve ser feita por método que sobrescreva as informações armazenadas. Se não estiver ao alcance do Órgão a destruição lógica, deverá ser providenciada a destruição física por incineração dos dispositivos de armazenamento;

n) toda informação crítica para o funcionamento do IPREM deve possuir, pelo menos, uma cópia de segurança atualizada e guardada em local remoto, com proteção adequada. O Gestor da Informação é responsável pela definição dessas criticidade.

Controles de Acesso

Art. 7º. Fica estabelecido o controle de acesso físico e lógico no ambiente computacional do IPREM:

I - dos Controles de Acesso Físico:

a) os controles de acesso físico visam restringir o acesso aos equipamentos, documentos e suprimentos do IPREM e à proteção dos recursos computacionais, permitido apenas às pessoas autorizadas;

b) devem ser adotados controles que restrinjam a entrada e saída de visitantes, pessoal interno, equipamentos e mídias, estabelecendo perímetros de segurança e habilitando o acesso apenas de pessoal autorizado. No caso de sistemas críticos, convém que sejam criados ambientes reservados, de uso exclusivo, para abrigá-los;

c) todo o pessoal envolvido em trabalhos de apoio, tais como a manutenção das instalações físicas, deve ser orientado e capacitado para manter a adoção de medidas de proteção ao acesso;

d) todas as pessoas devem portar algum tipo de identificação visível que informe se é um servidor ou não, bem como o nível de autorização de acesso;

e) o ingresso de visitantes deve ser controlado de tal forma a impedir o acesso destes às áreas de armazenamento ou processamento de informações sensíveis, salvo acompanhados e com autorização do responsável.

II - dos Controles de Acesso Lógico:

a) os controles de acesso lógico são um conjunto de procedimentos, recursos e meios utilizados com a finalidade de prevenir e/ou obstruir ações de qualquer natureza que possam comprometer recursos computacionais, redes corporativas, aplicações e sistemas de informação;

b) os trechos que abrigam os meios de comunicação devem ser protegidos para evitar a interceptação e/ou interferência de dados;

c) os computadores e sistemas do IPREM devem possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado;

d) os sistemas devem ser avaliados com relação aos aspectos de segurança antes de serem disponibilizados para a produção. As vulnerabilidades do ambiente devem ser avaliadas periodicamente e as recomendações de segurança devem ser adotadas;

e) o acesso remoto aos recursos computacionais deve ser realizado adotando os mecanismos de segurança definidos para evitar ameaças à integridade e sigilo do serviço;

f) a Área de Tecnologia da Informação do IPREM terá permissão de acesso remoto às estações de trabalho dos usuários das unidades quando necessário.

Art. 8º. Ficam estabelecidos critérios para a disponibilização e administração do acesso aos serviços de tecnologia da informação do IPREM, assim como critérios relativos às senhas das respectivas contas.

I - o controle de acesso deverá considerar e respeitar o princípio do menor privilégio para configurar as credenciais ou contas de acesso dos usuários aos ativos de informação do IPREM;

II - a criação e administração de contas serão realizadas de acordo com procedimento específico para todo e qualquer usuário. Para o usuário que não exerce funções de administração de rede será privilegiada a criação de uma única conta institucional de acesso, pessoal e intransferível.

III – para a criação da Conta de Acesso:

a) todo cadastramento de conta de acesso à rede do IPREM deve ser efetuado mediante solicitação formal;

b) contas de acesso de terceirizados do IPREM devem ter prazo de validade no máximo igual ao período de vigência do contrato ou período de duração de suas atividades;

c) as solicitações relativas à criação de cada conta devem ser registradas e armazenadas de forma segura pela NTI;

d) todos os usuários devem assinar Termo de Responsabilidade pela utilização da conta de acesso, ao qual deverá ser entregue junto com a solicitação de criação da conta de acesso;

e) a nomenclatura das contas de acesso de usuários deve seguir padrão definido pela PRODAM;

f) a chefia imediata da área a qual pertence o usuário deve ser informada formalmente, pela Área de Tecnologia da Informação, a respeito de qualquer evento relacionado a falhas de segurança referente à conta do usuário e senha;

g) qualquer anormalidade percebida pelo usuário quanto ao privilégio de seu acesso aos recursos de tecnologia da informação deve ser imediatamente comunicada à Área de Tecnologia da Informação.

IV - para a utilização de Contas de Acesso e Senhas:

a) a conta de acesso é o instrumento para identificação do usuário na rede IPREM e caracteriza-se por ser de uso individual e intransferível e sua divulgação é vedada sob qualquer hipótese;

b) qualquer utilização, por meio da identificação e da senha de acesso, é de responsabilidade do usuário, ao qual as informações estão vinculadas;

c) a Diretoria Administrativa do IPREM deve comunicar à Área de Tecnologia da Informação, no prazo de dois dias úteis, os desligamentos, as aposentadorias, os afastamentos e as movimentações de usuários que impliquem mudanças de lotação;

d) o acesso aos serviços de tecnologia da informação deve ser disponibilizado aos membros, servidores, estagiários e demais agentes públicos ou particulares que, oficialmente, executem atividade vinculada à atuação institucional do IPREM;

Art. 9º. Os serviços de correio eletrônico (e-mail) devem observar os seguintes critérios:

I - o correio eletrônico é uma ferramenta disponível e obrigatória para todos os usuários do IPREM;

II - o serviço de correio tem como finalidade o envio e o recebimento eletrônico de mensagens e documentos relacionados com as funções institucionais do IPREM;

III - são usuários do serviço de correio eletrônico corporativo os membros e servidores do IPREM, seus órgãos e unidades, os estagiários e os demais agentes públicos que oficialmente executem atividade vinculada à atuação institucional do IPREM;

IV - é vedado o acesso ao conteúdo das mensagens tramitadas por meio do serviço de correio eletrônico corporativo, salvo nas hipóteses previstas em lei;

V - o acesso indevido às informações tramitadas por meio do serviço de correio eletrônico corporativo do IPREM, ou contidas em seus ambientes, será punido na forma da lei;

VI - o acesso ao serviço de correio eletrônico dar-se-á por meio de senha de uso pessoal e intransferível, vedada sua divulgação;

VII - é vedado ao usuário o uso do serviço de correio eletrônico corporativo com o objetivo de:

a) praticar crimes e infrações de qualquer natureza;

b) executar ações nocivas contra outros recursos computacionais do IPREM ou de redes externas;

c) distribuir material obsceno, pornográfico, ofensivo, preconceituoso, discriminatório, ou de qualquer forma contrário à lei e aos bons costumes;

d) disseminar anúncios publicitários, mensagens de entretenimento e mensagens do tipo “corrente”, vírus ou qualquer outro tipo de programa de computador que não seja destinado ao desempenho de suas funções ou que possam ser considerados nocivos ao ambiente de rede do IPREM;

e) emitir comunicados gerais com caráter eminentemente associativo, sindical ou político-partidário;

f) enviar arquivos de áudio, vídeo ou animações, salvo os que tenham relação com as funções institucionais desempenhadas pelo IPREM;

g) divulgar, no todo ou em parte, os endereços eletrônicos corporativos constantes do catálogo de endereços do serviço;

h) enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;

i) enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

j) enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o IPREM ou suas unidades vulneráveis a ações civis ou criminais;

k) divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

l) falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

m) apagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades do IPREM estiver sujeita a algum tipo de investigação;

n) fornecer orientação que conflite ou contrarie os interesses do IPREM;

o) disseminar ameaças eletrônicas, como: spam, email bombing, vírus de computador;

p) Distribuir ou fazer uso de arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;

q) obter acesso não autorizado a outro computador, servidor ou rede;

r) interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;

s) burlar qualquer sistema de segurança;

t) vigiar secretamente ou assediar outro usuário;

u) acessar informações confidenciais sem explícita autorização do proprietário ou acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;

v) incluir imagens criptografadas ou de qualquer forma mascaradas;

w) distribuir conteúdo considerado impróprio, obsceno ou ilegal, de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;

x) distribuir conteúdo de perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas ou, ainda, distribuir conteúdo que tenha fins políticos locais ou do país (propaganda política);

y) incluir material protegido por direitos autorais sem a permissão do detentor dos direitos;

z) executar outras atividades lesivas, tendentes a comprometer a intimidade de usuários, a segurança e a disponibilidade do sistema, ou a imagem institucional.

Art. 10.  Estabelece procedimentos de contingência, referente às cópias de segurança dos sistemas informatizados e dos bancos de dados:

I - considera-se Backup qualquer cópia de segurança, quer seja feita em outro dispositivo. A finalidade do Backup é a recuperação de dados para restaurar informações em caso de perda dos arquivos originais, ou em caso de acidentes operacionais com os equipamentos;

II - para os Bancos de Dados e arquivos que estão sendo armazenados nos servidores do IPREM, as cópias de segurança e restauração são de responsabilidade da Área de Tecnologia da Informação;

III - para os Bancos de Dados e arquivos que são hospedados na PRODAM, a contingência de cópias e restauração é de responsabilidade da supracitada, conforme contrato de sustentação de TIC (defina a sigla), firmado entre os 2 (dois) Órgãos.

Art. 11. Ficam estabelecidos os procedimentos de controle de uso e acesso à Internet no âmbito do IPREM:

I) todas as regras corporativas sobre uso de Internet visam basicamente ao desenvolvimento de um comportamento eminentemente ético e profissional. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, a proteção dos ativos de informação do IPREM deverá sempre ser privilegiada;

II) perfis institucionais mantidos nas redes sociais devem, preferencialmente, ser administrados e gerenciados exclusivamente por servidores públicos ocupantes de cargo efetivo ou comissionado;

III) qualquer informação que seja acessada, transmitida, recebida ou produzida na internet está sujeita à divulgação e auditoria. Portanto, o IPREM, em total conformidade legal, reserva-se o direito de solicitar à PRODAM o monitoramento e registro dos acessos à rede mundial de computadores;

IV) os equipamentos, tecnologias e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, caixa postal de correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento do IPREM;

V) os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades no IPREM e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela Área de Tecnologia da Informação;

VI) é proibida a divulgação e/ou o compartilhamento indevido de informações em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.

Penalidades

Art. 12. O não cumprimento das determinações ora apresentadas sujeita o infrator às penalidades previstas na legislação;

Parágrafo único. O descumprimento das disposições constantes nessa Portaria sobre segurança da informação caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal e civil.

Art. 13.  Esta Portaria entrará em vigor na data de sua publicação.