A presente política atribui à área de Segurança da Informação a responsabilidade pela proteção dos recursos tecnológicos da ONDA LIVRE FIBRA, ou simplesmente ONDA LIVRE FIBRA pelo desenvolvimento, disseminação e a manutenção dessa política, normativas e procedimentos complementares.
Essa política estabelece diretrizes e responsabilidades com base nas melhores práticas de mercado, além da norma ABNT NBR ISO/IEC 27002, com o objetivo de proteger as informações da ONDA LIVRE FIBRA contra perdas, danos ou uso inapropriado. Refere-se às informações obtidas, criadas, armazenadas, processadas, transportadas ou descartadas nos sistemas e ambiente da ONDA LIVRE FIBRA ou de terceiros que sejam relacionados a ONDA LIVRE FIBRA.
Lembramos que os Termos de Uso, assim como os conteúdos e as funcionalidades dos nossos canais, poderão ser atualizados a qualquer momento por razões legais, pelo uso de novas tecnologias e funcionalidades e sempre que ONDA LIVRE FIBRA entender que as alterações são necessárias.
Ao continuar a acessar nossos Sites, Plataformas e Aplicativos após as alterações, que serão publicadas nos nossos canais, você concorda com as alterações também.
Acesso remoto: forma de acesso às redes corporativas por usuários autorizados por meio da internet.
Ativo de Informação: –qualquer informação, dispositivo ou outro componente do ambiente que seja utilizado para a entrega de serviços e objetivos do negócio ONDA LIVRE FIBRA. Usualmente os ativos são recursos tecnológicos, processos, software, documentos e informações.
Autenticidade: princípio pelo qual uma informação é identificada como autêntica, legítima e verdadeira, garantindo sua origem ou procedência.
Base autoritativa: referência primária para consultas e atualizações de perfis de acesso com base nos cargos, nível hierárquico e atribuições entre outros, para colaboradores, parceiros, fornecedores, clientes e terceiros.
Colaborador: funcionários e estagiários contratados para trabalhar na ONDA LIVRE FIBRA.
Confidencialidade: princípio que limita o acesso à informação apenas às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
Criptografia: forma de codificar uma informação de maneira que apenas usuários autorizados tenham acesso à informação original.
Custodiante: área de Tecnologia da informação ou empresa contratada, que realiza a guarda e proteção das informações e recursos computacionais da ONDA LIVRE FIBRA.
Disponibilidade: princípio que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Equipamentos de TI: recursos que processam, armazenam e/ou transmitem informações, tais como aplicações, sistemas de informação e de acesso, estações de trabalho, notebooks, monitores, teclados, mouse, servidores de rede, equipamentos de conectividade e infraestrutura, equipamentos de videoconferência, chips, celulares, tablets e/ou qualquer dispositivos móveis que venham acessar a rede sem fio ou rede estruturada;
Gestor da Informação: delegado pelo proprietário da Informação, para administrar, armazenar, processar, transportar e destruir informações sob sua responsabilidade.
Governo e demais Entidades Externas: fazem parte deste grupo os funcionários de empresas privadas, governos, instituições não governamentais, entre outros.
Incidentes de Segurança da Informação: qualquer ocorrência de evento que viole os princípios de segurança da informação (confidencialidade, integridade, disponibilidade e autenticidade).
Informação: todo e qualquer conteúdo de conhecimento (em meio digital ou não) que trate de assuntos relacionados a ONDA LIVRE FIBRA.
Integridade: princípio que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (criação, obtenção, armazenamento, processamento, transporte e descarte).
LGPD: Lei Geral de Proteção de Dados, a Lei nº 13.709, de 14 de agosto de 2018, regulamenta qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.
Parceiros/fornecedores: empresas parceiras ou fornecedores que complementam a força de trabalho.
Proprietário da Informação: gestores das áreas funcionais da ONDA LIVRE FIBRA responsáveis pela classificação de um conjunto específico de informações, determinando os acessos e os requerimentos de proteção.
Risco de Segurança da Informação: possibilidade de que eventos não desejados ocorram com as informações ou com os sistemas de informação.
Segurança da Informação (SI): competência que visa proteger a informação contra ameaças e vulnerabilidades buscando garantir a continuidade do negócio e minimização de riscos, alinhado com os objetivos estratégicos de negócio. Adicionalmente, zela pelos princípios de confidencialidade, integridade, disponibilidade e autenticidade.
Sistemas de Informação: sistemas desenvolvidos internamente e/ou adquiridos, softwares e aplicações utilizados para criar, obter, armazenar, processar, transportar e destruir informação.
Terceiros: empresas/funcionários terceirizados contratados para trabalhar na ONDA LIVRE FIBRA.
TI: área de Tecnologia da Informação da ONDA LIVRE FIBRA;
Usuário: colaboradores, parceiros, consultores, auditores, fornecedores, clientes, terceiros, governo e demais entidades externas da GIGA+ FIBRA que tenha acesso a qualquer informação relacionada a ONDA LIVRE FIBRA seja em ambiente próprio ou terceirizado, localizado dentro ou fora das instalações da ONDA LIVRE FIBRA.
As informações, sistemas e redes da Onda Livre Fibra devem ser classificados, protegidos e utilizados de maneira responsável, de forma a manter os princípios de confidencialidade, autenticidade, integridade e disponibilidade.
É obrigação de todos zelar pela segurança, integridade e preservação das informações e dados tratados pela Onda Livre Fibra para garantir a continuidade dos negócios, minimizando riscos e maximizando o retorno dos investimentos e as oportunidades de negócio.
As informações e recursos tecnológicos da Onda Livre Fibra devem somente ser utilizados pelos usuários autorizados, para execução de suas funções e atribuições profissionais. É permitido o uso para fins pessoais desde que não causem impacto em recursos tecnológicos ou na segurança da informação da Onda Livre Fibra.
Para acessos e privilégios, os usuários devem ter apenas o essencialmente necessário para a execução de suas funções respeitando, portanto, o princípio do mínimo privilégio.
Todo ambiente deve ser monitorado, auditado, e as informações obtidas podem ser utilizadas para procedimentos disciplinares ou legais.
É explicitamente proibido o uso dos recursos tecnológicos disponibilizados para acessar, transmitir, obter, apresentar, publicar, divulgar ou requerer os seguintes tipos de conteúdo:
A base autoritativa de fornecedores, parceiros e terceiros deverá ser mantida em base centralizada pela área de Suprimentos e deve ser a referência primária para informações de parceiros, fornecedores e terceiros em processos, sistemas e recursos computacionais.
O parceiro/ fornecedor devolverá os ativos de TI por ele utilizados nas mesmas condições que recebeu, observado o desgaste natural decorrente do uso, ao final do seu contrato com ONDA LIVRE FIBRA mediante baixa do Termo de Responsabilidade, Uso e Cautela de Ativos de TI na área de Suprimentos e/ou TI.
Não importa como a informação aparece (se impressa, escrita, guardada no computador, enviada por e-mail, imagens ou áudios), todo mundo precisa cuidar do compartilhamento, da integridade, do armazenamento e até do descarte dela.
Se você perceber que alguém não autorizado está por perto, sem identificação ou fazendo algo que vai contra as regras de segurança, é melhor avisar na hora as equipes de segurança patrimonial ou de segurança da informação.
Toda comunicação eletrônica, que ocorra fora de ambientes controlados pela ONDA LIVRE FIBRA ou utilizando meios externos, deve permitir a implementação de recursos e ferramentas que possibilitem a segurança destas informações de forma a não depender de iniciativas de terceiros. O responsável pela segurança da informação deverá apoiar na definição e implementação desses recursos.
Toda disponibilização ou implantação de acesso remoto, seja individual ou dedicado, deve estar em conformidade com todos os requisitos de segurança definidos. No caso de funcionários, deverá ser autorizada pelo responsável de Segurança da Informação e pelo gestor da área funcional. Para fornecedores, terceiros ou parceiros, é necessária, além das aprovações mencionadas anteriormente, a aprovação do gestor do contrato.
Todo serviço de suporte contratado deverá disponibilizar recursos de acesso remoto supervisionado via internet pelo custodiante, sem a necessidade de liberação de acessos remotos adicionais.
Devem existir mecanismos formais de controle de acesso às informações, recursos tecnológicos e dependências físicas da ONDA LIVRE FIBRA que sejam capazes de identificar, autenticar, autorizar e rastrear as atividades de usuários legítimos ou não.
Todos os privilégios de acessos concedidos, alterados ou revogados devem ocorrer de forma controlada e formalizada, conforme os princípios de mínimo privilégio, segregação de funções e estando devidamente autorizado, de acordo com as funções definidas a cada indivíduo.
São definidos três níveis de identidades, conforme listado abaixo:
O responsável pela Segurança da Informação é o responsável pela gestão de contas de administração e de serviços.
Todas as informações devem ser classificadas e protegidas de acordo com seus requisitos específicos durante o ciclo de vida da informação (criação, obtenção, processamento, armazenamento, transporte e destruição), conforme Política de Classificação, Rotulação e Tratamento da Informação. O Encarregado deve avaliar de forma criteriosa toda classificação que envolva dados pessoais.
Toda informação classificada em qualquer nível diferente de pública, que venha a ser disponibilizada, armazenada ou acessada por outros ambientes que não os de produção, deverá impreterivelmente ter os dados envolvidos mascarados e descaracterizados de forma a preservar a confidencialidade destas.
É de extrema importância evitar que qualquer tipo de informação, principalmente as confidenciais, fiquem expostas ou de fácil acesso para uso indevido. A ONDA LIVRE FIBRA preza pelo conceito de tela e mesa limpa ao fim do seu expediente como boa prática para assegurar que a informação, tanto em formato digital quanto físico (anotações em papel e impressos), e equipamentos (notebooks, celulares corporativos, tablets etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso ou o responsável esteja ausente.
Todas as aplicações, sistemas e recursos tecnológicos deverão ser avaliados pela área de Segurança da Informação quanto a controles e impactos em segurança e em tempo de projeto, permitindo a implantação de ajustes e correções que se façam necessárias antes da entrada em produção.
Os sistemas desenvolvidos ou adquiridos devem ser analisados em relação ao impacto à LGPD e a Segurança da Informação, incluindo a necessidade de planos de contingência, que devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades em todos os pontos e sistemas em que a ONDA LIVRE FIBRA julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela ONDA LIVRE FIBRA ou por terceiros.
Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
Um incidente de segurança pode ser definido como um simples ou uma série de eventos de segurança da informação indesejados ou inesperados que tenham capacidade de comprometer as operações do negócio e ameaçar a segurança da informação. Em geral, indica uma possível violação desta Política, falha de controles ou uma situação anteriormente desconhecida que possa ter efeito adverso para a segurança da informação.
O responsável pela Segurança da Informação deve viabilizar a metodologia para a resposta a incidentes de segurança da informação, contemplando procedimentos para a preparação, detecção, resposta, contenção, correção e avaliação posterior de incidentes de segurança. Além disso, também deve definir diretrizes para a custódia de evidências e planos de comunicação.
O responsável de Segurança da Informação poderá intervir sem aviso prévio, em casos de incidentes que comprometam a disponibilidade, autenticidade, integridade e confidencialidade dos ativos da ONDA LIVRE FIBRA e posteriormente notificar os gestores da informação e encarregado.
Todos os incidentes que afetem a segurança deverão ser comunicados à Gerência de Infraestrutura de TI, tais como, mas não limitados a:
Devem ser testados os principais recursos tecnológicos da ONDA LIVRE FIBRA para assegurar que os controles de segurança continuem refletindo um ambiente seguro e que suporte seu crescimento.
Todos os sistemas sob a responsabilidade ou contratados pela ONDA LIVRE FIBRA estão sujeitos a testes de segurança sem aviso prévio. A equipe de segurança da informação ou parceiro apontado por essa é responsável pela realização de testes periódicos dos recursos tecnológicos da ONDA LIVRE FIBRA.
Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Se alguém desviar da política, precisa avisar o responsável pela Segurança da Informação. Depois de uma análise inicial, quem cometeu o desvio deve apresentar uma justificativa por escrito, que precisa ser aprovada e assinada pelo gestor da área. Esses desvios devem ser encaminhados ao Comitê de Segurança da Informação e Governança de Dados, para que as medidas necessárias sejam tomadas.
Quando se trata de investigações da Comissão de Ética da ONDA LIVRE FIBRA, algumas coisas estão autorizadas sem precisar da aprovação do CEO: (i) analisar qualquer arquivo em equipamentos de TI fornecidos pela ONDA LIVRE FIBRA; (ii) revisar imagens de câmeras de segurança; e (iii) fazer entrevistas com as pessoas envolvidas ou outros usuários, até mesmo terceiros, se necessário, para ajudar a investigar os relatos. Então, é bom lembrar que os usuários não devem esperar privacidade em assuntos tratados por e-mail corporativo ou armazenados nos equipamentos de TI da ONDA LIVRE FIBRA.
Se alguém quebrar alguma regra dessa Política, vai enfrentar algumas consequências, como a possibilidade de suspensão sem salário ou até demissão. Isso pode incluir também ações nas áreas administrativa, civil ou criminal.
Além das punições que estão nesta Política, se a infração for considerada crime, a ONDA LIVRE FIBRA pode informar as autoridades ou tomar outras medidas necessárias. As regras do Código de Ética da ONDA LIVRE FIBRA também se aplicam aqui.
Lei nº 8.078 de 11 de setembro de 1990, o Código de Defesa do Consumidor;
Lei nº 9.296 de 1996, que trata sobre a interceptação das comunicações telefônicas;
Lei nº 12.737 de 30 de novembro de 2012, dispõe sobre a tipificação de delitos informáticos;
Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet;
Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais;
Já é cliente e precisa de atendimento? Tenha acesso fácil a tudo que precisa.
Ainda não é isso? Acesse:
