LGPD-politica

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

  1. O QUE É E PARA QUEM SERVE

Esta Política define as regras não negociáveis para proteger as informações da Autarquia contra roubo, vazamento, alteração indevida ou indisponibilidade.

  • Abrangência: Aplica-se obrigatoriamente a todos os conselheiros, colaboradores, estagiários e prestadores de serviço que acessem dados ou recursos da entidade.
  • Base Normativa: Fundamenta-se na ABNT NBR ISO/IEC 27002:2022, nos controles técnicos do CIS Controls v8 e na legislação vigente (LGPD, LAI e normas do GSI/PR).
  1. PRINCÍPIOS FUNDAMENTAIS
  1. Patrimônio Institucional: Toda informação produzida ou custodiada no exercício da função pertence à Autarquia, não ao usuário.
  2. Menor Privilégio: O usuário terá acesso apenas ao estritamente necessário para realizar seu trabalho.
  3. Segurança Baseada em Risco: As medidas de proteção serão proporcionais à criticidade e ao valor da informação.
  4. Monitoramento: Não há expectativa de privacidade no uso de recursos corporativos (e-mail, internet, computadores), que são monitorados para garantir a segurança e conformidade.
  1. DIRETRIZES DE PROTEÇÃO E USO

3.1. Identidade e Acesso

  • Credenciais: Login e senha são pessoais e intransferíveis. O compartilhamento é proibido.
  • Autenticação Forte (MFA): O uso de Autenticação Multifator é obrigatório para acessos remotos (VPN), contas administrativas e sistemas críticos.
  • Contas Privilegiadas: Acessos administrativos são restritos, monitorados e não devem ser usados para tarefas cotidianas (como ler e-mail).

3.2. Tratamento da Informação

  • Classificação: Toda informação deve ser classificada quanto ao sigilo (Pública, Reservada ou Secreta) e protegida conforme essa classificação.
  • Prevenção de Vazamento (DLP): É proibido enviar dados sensíveis ou estratégicos para meios não autorizados (e-mails pessoais, nuvem pública não homologada, etc.). Ferramentas de monitoramento (DLP) estão ativas para bloquear essas ações.
  • Dados Pessoais (LGPD): O tratamento de dados pessoais deve obedecer estritamente à finalidade legal e às diretrizes de privacidade da entidade.

3.3. Ativos e Dispositivos

  • Inventário: Todos os dispositivos e softwares conectados à rede devem ser identificados e autorizados. Dispositivos não autorizados serão bloqueados.
  • Softwares Permitidos: É adotado o regime de “Lista de Permissão” (Application Whitelisting). Apenas softwares homologados podem ser instalados ou executados. A pirataria é crime e proibida.
  • Dispositivos Móveis: Notebooks e smartphones corporativos devem ter criptografia de disco ativada e proteção por senha/biometria.

3.4. Uso de Internet e E-mail

  • Finalidade: O uso é prioritariamente profissional. O acesso a sites maliciosos ou de conteúdo impróprio é bloqueado.
  • E-mail Seguro: É proibido abrir anexos ou links suspeitos (phishing). O e-mail corporativo não deve ser usado para cadastros em sites de interesse pessoal.
  1. DEFESA CIBERNÉTICA E CONTINUIDADE

4.1. Gestão de Ameaças

  • Vulnerabilidades: A Autarquia realiza varreduras contínuas em seus sistemas. Correções de segurança (patches) são aplicadas compulsoriamente conforme o risco.
  • Proteção contra Malware: Antivírus/EDR devem estar sempre ativos. Mídias removíveis (pen-drives) têm execução automática bloqueada.

4.2. Auditoria e Incidentes

  • Registros (Logs): Todas as ações críticas nos sistemas geram registros que são preservados por, no mínimo, 6 meses para fins de auditoria e investigação.
  • Incidentes: Qualquer suspeita de violação de segurança (perda de senha, computador infectado, e-mail estranho) deve ser comunicada imediatamente aos canais de suporte/CESIP.

4.3. Continuidade de Negócios

  • Backups: Cópias de segurança são realizadas periodicamente e testadas a cada 90 dias. Para proteção contra ransomware, cópias críticas são mantidas isoladas (offline/imutáveis).
  1. CONFORMIDADE TÉCNICA

A segurança do ambiente é mensurada continuamente utilizando os parâmetros do framework CIS Controls (Center for Internet Security). O não cumprimento dos índices de conformidade exige plano de ação imediato.

  1. SANÇÕES

A violação desta política é considerada falta grave. O infrator está sujeito a medidas disciplinares administrativas (advertência, suspensão, demissão), sem prejuízo das responsabilidades civis e penais cabíveis.