1. OBJETIVO
Este documento tem como objetivo definir as diretrizes que nortearão as normas e padrões que tratam da proteção da informação, por meio da orientação, para comportamentos relacionados à segurança da informação adequados às necessidades do negócio e, também de proteção legal da empresa e de seus colaboradores.
2. RESPONSABILIDADE
Esta Política é de reponsabilidade da Diretoria de Tecnologia da Informação da Millenium. Quaisquer mudanças nesta Política devem ser aprovadas pela Diretoria.
A alta gestão tem o comprometimento com a melhoria contínua dos procedimentos relacionados com a segurança da informação e cibernética.
3. PÚBLICO ALVO
Esta Política se aplica à toda empresa.
4. APLICAÇÕES DA PSI
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador manter-se atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência de Sistemas sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
5. PRINCÍPIOS DA PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada por parte da Millenium pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
A Millenium, por meio da Diretoria de Operações, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
6. DEFINIÇÕES
No contexto deste Código, são adotadas as definições a seguir.
6.1. Informação
Resultado da produção, manipulação, organização ou processamento de dados que represente uma modificação no conhecimento do sistema que a recebe.
Um dado não é considerado informação quando, sem o devido processamento, for insuficiente para conferir sentido ou significado a uma determinada matéria.
Porém, será considerado como informação o dado que, mesmo não processado, for suficiente para produzir modificações no conhecimento de sistemas humanizados ou informatizados.
6.2. Equipamento
Todo dispositivo utilizado para processamento, produção, transformação, manipulação, organização ou transmissão de informações no ambiente da Millenium ou que seja de sua propriedade. Essa denominação engloba computadores, impressoras, scanners, smartphones, roteadores, switches, servidores, centrais telefônicas, aparelhos telefônicos, câmeras, monitores, dentre outros. No contexto deste Código, os equipamentos podem ser referenciados como hardware.
6.3. Aplicativo
Qualquer programa ou grupo de programas que instrui o hardware sobre a execução de uma tarefa. No contexto deste Código, os aplicativos podem ser referenciados como sistema, aplicativo interno ou software, e podem estar instalados localmente ou disponibilizados na internet.
6.4. Aplicativo Externo
Programas, serviços, assinaturas ou contratos disponibilizados por outra empresa de forma eletrônica, seja por meio de aplicativos ou de sítios virtuais.
6.5. Recurso de TI ou Ativo de TI
Refere-se genericamente aos equipamentos e aplicativos, internos e externos.
6.6. Colaborador
Denominação dada à pessoa contratada cujo vínculo de cunho empregatício é regido pela CLT - Consolidação das Leis do Trabalho ou contrato de trabalho devidamente registrado.
6.7. Prestador de Serviço ou Parceiro
Parte contratada pela Millenium que tem acesso às instalações, recursos e informações necessárias para o cumprimento de suas obrigações profissionais.
7. RESPONSABILIDADES ESPECÍFICAS
7.1. Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.
Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar à Millenium e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
7.2. Colaboradores em Regime de Exceção (Temporários)
Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido nesta PSI.
A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.
7.3. Gestores de Pessoas e/ou Processos
Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.
Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI.
Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da Millenium.
Antes de conceder acesso às informações da instituição, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.
Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
7.4. Área de Tecnologia da Informação
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI e pelas Normas de Segurança da Informação complementares.
Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
Monitorar o ambiente de TI, gerando indicadores e históricos de:
7.5. Área de Segurança da Informação
Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação.
Propor e apoiar iniciativas que visem à segurança dos ativos de informação da Millenium.
Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação.
Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da Millenium, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação.
Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria.
Manter comunicação efetiva com o Comitê de Segurança da Informação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a Millenium.
Buscar alinhamento com as diretrizes corporativas da empresa.
7.6. Comitê de Segurança da Informação
Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo pelo período de um ano.
A composição mínima deve incluir um colaborador de cada uma das áreas: RH, DP, GD e GO.
Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a Millenium.
O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.
Cabe ao CSI:
8. SEGURANÇA E MONITORAMENTO DA INFORMAÇÃO
Visando garantir a segurança das suas informações, a Millenium pode estabelecer procedimentos de inspeção e monitoração de seus sistemas e equipamentos. Os procedimentos de inspeção e monitoramento devem abranger todos os usuários, inclusive os alocados na equipe de TI. Para isso, uma auditoria técnica anual deverá ser realizada ou sempre que se julgar necessário.
8.1. Correio Eletrônico
A Millenium disponibiliza aos seus funcionários a tecnologia necessária a fim de facilitar a comunicação interna, comunicação com clientes, fornecedores e outros grupos que tenham relação comercial com a mesma. É de responsabilidade do usuário a utilização da tecnologia de forma adequada, prudente, e de modo compatível com as leis e princípios aplicáveis aos negócios.
Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da Millenium:
✓ contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da
Millenium;
✓ contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
✓ contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl,
.reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
✓ vise obter acesso não autorizado a outro computador, servidor ou rede;
✓ vise interromper um serviço, servidores ou rede de computadores por meio de
qualquer método ilícito ou não autorizado;
✓ vise burlar qualquer sistema de segurança;
✓ vise vigiar secretamente ou assediar outro usuário;
✓ vise acessar informações confidenciais sem explícita autorização do proprietário;
✓ vise acessar indevidamente informações que possam causar prejuízos a qualquer
pessoa;
✓ inclua imagens criptografadas ou de qualquer forma mascaradas;
✓ contenha anexo(s) superior(es) a 7 MB para envio (interno e internet) e 7 MB para
recebimento (internet)
✓ tenha conteúdo considerado impróprio, obsceno ou ilegal;
✓ seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento,
ameaçador, pornográfico entre outros;
✓ contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou
mental ou outras situações protegidas;
✓ tenha fins políticos locais ou do país (propaganda política);
✓ inclua material protegido por direitos autorais sem a permissão do detentor dos direitos
As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte formato:
8.2. Internet
A Internet abrange vários aspectos e serviços (websites de serviços governamentais, prestadores de serviço e outros) que devem ser disponibilizados de forma restrita ou controlados conforme as necessidades de negócio. A restrição a websites não relativos aos negócios da organização deve ser implementada, garantindo o uso efetivo da rede de Internet.
O acesso à Internet deve ser rastreado a fim de permitir o monitoramento do uso indevido da tecnologia (Nome do usuário e endereço acessado são informações obrigatórias no rastreamento).
O usuário deve restringir o acesso aos websites ainda não bloqueados que possam denegrir a imagem da organização (por exemplo: pornografia, pedofilia, racismo etc.) e que não têm relação com os objetivos de negócio da organização (Webmail, jogos etc.). Deve também comunicar o endereço eletrônico desses websites à área de Segurança da Informação, que deverá realizar seu imediato bloqueio.
O acesso à Internet deve ser feito através de “Servidores de Acesso” protegidos por sistemas de Firewall. Quando for necessário o acesso utilizando uma segunda conexão através de modem ou rede wi-fi, a configuração da máquina deve garantir o isolamento da rede normal de serviço da empresa, evitando assim que uma contaminação seja propagada. Os requisitos de segurança
destas máquinas em particular devem ser respeitados (antivírus e firewall local). Casos específicos como esses devem ser aprovados pelos responsáveis da área de Segurança da Informação.
Não é permitido acesso a sites de proxy.
8.3. Identificação
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a Millenium e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade). Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.
Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
É proibido o compartilhamento de login para funções de administração de sistemas.
Devem ser distintamente identificados os visitantes, estagiários, colaboradores temporários, colaboradores regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de
Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.
Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
8.4. Segurança Lógica de Computadores, Redes e Sistemas Aplicativos
Este item trata do controle de acesso aos sistemas e às informações pertencentes ou de posse da Millenium.
Todo sistema aplicativo define um conjunto de operações aplicáveis às informações sob seu domínio. Tipicamente estas operações são: consulta, inclusão, alteração, exclusão, liberação etc.
Um perfil de acesso define que operações podem ser executadas por certa classe de usuários, usando um determinado tipo de informação.
Caso as operações e suas respectivas informações envolvam quantias, poderão ser criadas alçadas, que definem a quantia máxima envolvida em operações executadas por cada classe de usuários.
As regras de acesso às informações de um sistema aplicativo devem incluir a definição dos perfis, alçadas e classe de usuários, bem como os processos operacionais a serem utilizados para sua administração e controle.
8.4.1. Segurança lógica de computadores e redes:
Os acessos aos serviços e dados devem ser controlados com base nos requisitos de cada negócio, devem estar claramente definidos e documentados e todos os sistemas aplicativos devem estar direcionados para a implementação e manutenção desses controles.
Cada gestor da informação deve definir e manter atualizada uma política de acesso aos seus aplicativos.
8.4.2. Acesso aos sistemas aplicativos:
As informações devem ser analisadas pelos respectivos gestores da informação, de forma a permitir que sejam definidas as regras de acesso, através de perfis e alçadas. Os sistemas aplicativos devem possuir recursos que possibilitem a administração dos acessos, através dos perfis e alçadas definidos pelos respectivos gestores da informação.
8.4.3. Acesso de usuários:
Devem existir procedimentos formais que contemplem todas as atividades ligadas à administração de acessos, desde a criação de um usuário novo, passando pela administração de privilégios e senhas e incluindo a desativação de usuários.
8.4.4. Acesso a computadores e redes:
Deve ser assegurado que usuários de computadores, conectados ou não a uma rede, não comprometam a segurança de qualquer sistema ou produto.
O acesso a serviços computacionais deve ocorrer sempre através de um procedimento seguro, pelo qual o usuário conecta-se a um determinado sistema ou rede, que deve ser planejado para minimizar as oportunidades de acessos não autorizados.
Os ambientes de produção, homologação e desenvolvimento devem estar segregados entre si, de forma a impedir acessos indevidos.
8.4.5. Dispositivos móveis
A Millenium deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que eles usem equipamentos portáteis.
Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido por sua Gerência de Sistemas, como: notebooks, smartphones e pendrives.
Este tópico visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.
A Millenium, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na empresa, mesmo depois de terminado o vínculo contratual mantido com a instituição.
Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, ou seja, não carregá-los juntos.
O suporte técnico aos dispositivos móveis de propriedade da Millenium e aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela instituição.
Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.
Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da Gerência de Sistemas.
O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da Gerência de Sistemas da Millenium
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes.
É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela empresa, notificar imediatamente seu gestor direto e a Gerência de Sistemas. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar à Millenium e/ou a terceiros.
O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da Millenium deverá submeter previamente tais equipamentos ao processo de autorização da Gerência de Sistemas.
Equipamentos portáteis, como smartphones, palmtops, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela instituição, não serão validados para uso e conexão em sua rede corporativa.
8.4.6. Backup e Restore
Este tópico se destina aos usuários e administradores, visando administrar e utilizar os recursos de informática de maneira segura, tomando medidas adequadas que garantam recursos alternativos de processamento na eventualidade de perda dos dados, softwares ou sistemas.
Para a elaboração de um plano de backup devem ser considerados os “backups” do tipo Operacional, Contingencial e Histórico.
Backup Operacional: é a cópia das informações estratégicas que fazem parte do quotidiano do usuário e que são importantes para garantir a continuidade de suas tarefas. Destina-se à recuperação instantânea.
Backup Contingencial: é a cópia das informações sensíveis, softwares e sistemas vitais à continuidade dos negócios da Millenium e deve ser guardado em local externo. Destina-se a permitir a recuperação em situações catastróficas.
Backup Histórico: é a cópia das informações determinadas por exigência legal ou normas internas e deve ser guardado em local externo.
É de responsabilidade do administrador, manter e documentar o plano de backups e garantir a execução de seus procedimentos.
9. LEI GERAL DE PROTEÇÃO DE DADOS - LGPD
Para assegurar que as informações e dados sob propriedade da Millenium estejam gerenciadas e protegidas contra roubo, fraude, espionagem, perda e quaisquer outras ameaças, tornam-se objetivos:
a) Confidencialidade: é a garantia que as informações e dados sejam acessíveis somente ao pessoal especificamente autorizado;
b) Integridade: é a garantia de exatidão e inteireza das informações e dados, sem modificações indevidas (sejam intencional ou não);
c) Disponibilidade: é a garantia que as pessoas autorizadas a tratar as informações e dados tenham acesso ao seu conteúdo e possam consultá-las a qualquer momento;
O direito à privacidade dos colaboradores, gestores, fornecedores, clientes, conveniados, acionistas, e demais partes interessadas nas atividades da empresa é respeitado, mantendo os dados pessoais (sensíveis ou não) protegidos, em conformidade com a LGPD.
Adicionalmente, os dados pessoais eventualmente coletados observarão as hipóteses de tratamento previstas na legislação vigente. Nestes casos, os titulares de dados serão devidamente informados sobre a finalidade dos tratamentos que serão realizados e o armazenamento respeitará padrões rígidos de segurança e confidencialidade, sendo providas todas as medidas técnicas, administrativas e institucionais cabíveis.
O tratamento dos dados pessoais é permitido somente nas seguintes situações:
a) se houver consentimento expresso do titular do dado;
b) para execução de contratos;
c) se decorrer de exigências legais e/ou regulatórias;
d) exercício regular de direitos em processos judiciais e administrativos;
Os direitos dos titulares serão devidamente observados, sendo possível que acessem, retifiquem, solicitem a exclusão de dados, transfiram, limitem ou se oponham ao tratamento, bem como retirem eventual consentimento concedido.
10. SEGURANÇA CIBERNÉTICA
Crimes cibernéticos (“crimes eletrônicos”, “crimes digitais”, “crimes da informática”): são fraudes eletrônicas ou delitos computacionais criminosos. Referem-se à prática delituosa no meio digital, conforme definido na Lei nº 12.737/2012, resultando em dano, prejuízo ou transtorno à vítima, que pode ser um indivíduo ou uma empresa.
A Política está construída sob diretrizes orientativas que instruem a construção dos processos e atividades executadas, a saber:
a) Toda informação – online ou offline - que seja propriedade da Millenium deve ser protegida de qualquer ameaça que possa comprometer sua confidencialidade, integridade ou disponibilidade;
b) No que tange à Cibersegurança e proteção de dados, a Millenium, deve empregar esforços compatíveis com a natureza das operações e complexidade de seus produtos e/ou serviços;
c) A Millenium deve disseminar cultura de Cibersegurança e proteção de dados a todos seus stakeholders;
d) A Millenium deve adotar postura prospectiva no gerenciamento de Cibersegurança e proteção de dados, atuando com procedimentos e controles que reduzam sua vulnerabilidade a falhas e incidentes;
e) Independentemente da forma como é gerada, tratada ou compartilhada, toda informação sob propriedade da Millenium deve ser utilizada unicamente para finalidade com a qual foi autorizada;
f) A Gestão de Continuidade de Negócios (GCN) deve considerar o tratamento de incidentes cibernéticos e definir protocolos de ação para cenários de interrupção dos serviços de processamento e armazenamento de dados e de computação em nuvem;
g) É de propriedade da Millenium, todos os designs, criações ou procedimentos desenvolvidos por qualquer funcionário ou terceiro durante o curso de seu vínculo com a Millenium;
h) A Millenium deve indicar um Responsável pela Cibersegurança e Proteção de Dados e este pode acumular funções, desde que não configure conflito de interesse.
11. DOCUMENTOS DE REFERÊNCIA
CCE-MBRA - Código de Conduta Ética da Millenium;
ABNT NBR ISO / IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos;
ABNT NBR ISO / IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Controles de Segurança da Informação;
Lei nº 12.965 (Marco Civil da Internet);
Lei nº 12.737/2012 (“Lei Carolina Dieckmann”);
Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados ou LGPD”).
