SECTION 1 – INTRODUCTION
The Information Security Policy, also referred to as ISP, is the document that guides and establishes the corporate guidelines regarding the protection of information assets and the prevention of legal liability for all users. In other words, it is a manual that determines the most important measures to certify the organization’s data security.
SECTION 2 – OBJECTIVE
SECTION 3- APPLICATION
SECTION 4 – PRINCIPLES
SECTION 5 – COMPUTER USERS:
SECTION 6 – RESPONSIBILITIES
The Meta RH Group understands that the information security system will only be effective with the commitment of ALL!
Users
- Respect this Information Security Policy
- Be responsible for the safekeeping and protection of the computer resources made available to them for their work;
- Respond for the exclusive and non-transferable use of their access passwords;
- Activate their protection passwords for Email and Operating System, under the guidance of the IT Release Manager;
- Search for the necessary knowledge for the correct use of the hardware and software resources corresponding to their work area;
- Promptly report to the IT area and its direct manager any fact or threat to the security of resources, such as breach of security, fragility, malfunction, presence of viruses, etc.;
- Ensure that the information and data owned by the holders are not made available to third parties, unless authorized in writing by their direct manager.
- Report to your direct manager, the emergence of the need for new software for your activities.
- Respond for the loss or damage that may be caused to Meta RH Group or third parties, as a result of non-compliance with the guidelines and rules referred to herein.
SECTION 7 – IDENTIFICATION – LOGIN AND PASSWORD
- Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro, art. 307 – falsa identidade.
- Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado.
- Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 (seis) caracteres alfanuméricos, com variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo). Recomendamos que contenha ao menos um caractere especial.
- É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras. - Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros.
- O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
- Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica se identificada será alvo de ação disciplinar.
SECTION 8 – COMPUTATIONAL RESOURCES
- Login and password systems protect the user’s identity, avoiding and preventing one person from impersonating another person. Brazilian Penal Code, art. 307 – false identity.
- If there is a login being shared by more than one employee, the responsibility will be of the users who use it. If the manager’s request for shared use is identified, he/she shall be held responsible.
- Users must have a password of variable length, having at least 8 (six) alphanumeric characters, with a variation between uppercase and lowercase. We recommend that it contain at least one special character.
- It is the responsibility of each user to remember their own password, as well as the protection and custody of the identification devices assigned to them.
Passwords should not be annotated or stored in electronic files (Word, Excel, etc.), should not be based on personal information, such as own name, family, birth, address, vehicle registration plate, company name, and/or should not be constituted of obvious keyboard combinations such as “abcdefgh”, “87654321”, among others. - Users must proceed to change passwords if they suspect a third party of knowing it.
- Login and Password should be immediately blocked when they become unnecessary.
- Attempt to breach and circumvent access passwords, encryption or biometric identification if identified will be subject to disciplinary action.
SECTION 9 – TELA LIMPA
- A partir desta data, o papel de parede e proteção de tela de todos os micros deverá seguir a padronização do Grupo Meta RH.
- O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostas ao acesso não autorizado.
Utilizar protetor de tela com senha para acesso. - Os computadores deverão ser bloqueados por senha quando não estiverem sendo utilizados. Os colaboradores não devem manter em sua mesa de trabalho/posto de trabalho, sem a sua supervisão, quaisquer arquivos físicos que contenham dados pessoais.
SECTION 10 – CLEAN TABLE
Informações deixadas sobre as mesas de trabalho são passíveis de serem danificadas ou destruídas em um desastre tipo incêndio, enchente ou explosão, bem como possibilitarão o acesso indevido a dados pessoais ou dados pessoais sensíveis.
Dos Usuários:
- Ao final do dia, limpar a mesa de trabalho, organizando e guardando devidamente documentos e meios eletrônicos. Documentos contendo quaisquer dados pessoais, informações de negócio do Grupo Meta RH e de clientes, devem estar trancados em gavetas ou armários.
- Informações sensíveis ou confidenciais, quando impressas, devem ser retiradas da impressora imediatamente.
- Retirar papéis, anotações e lembretes da sua mesa de trabalho ou tela do computador.
- Não deixar papéis, livros ou qualquer informação na mesa de trabalho quando não estiver no local.
- Armazenar informações confidenciais em local apropriado.
- Garantir que todos os documentos importantes e mídias eletrônicas, em caso de uma evacuação de emergência (como um alarme de incêndio), estejam em locais estrategicamente e de fácil recuperação.
- Devolver prontamente todos os documentos obtidos de outros departamentos, quando eles não são mais necessários.
SECTION 11 – MEDIA DISPOSAL
- Mídias contendo informações referentes ao Grupo Meta RH deverão ser destruídas antes de seu descarte.
- CD’s, DVD’s, e documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao lixo, HD’s deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização.
SECTION 12 – ANTIVIRUS
O Grupo Meta RH por intermédio da área de TI disponibiliza software corporativo de antivírus instalado para todos os usuários.
O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor; A área de TI do Grupo Meta RH proíbe que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona.
As checagens periódicas do disco rígido, HD, da estação de trabalho estão programadas para execução periódica automática conforme definições da área de TI no aplicativo servidor.
Mesmo com a instalação do antivírus, a eventual verificação de qualquer anormalidade nos sistemas utilizados pela Meta deverá ser imediatamente comunicada à área de T.I., para as providências que a empresa julgar necessárias.
SECTION 13 – FILE STORAGE
Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse do Grupo Meta RH.
É proibida a criação de pastas pessoais nos servidores de rede.
A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional do Grupo Meta RH e ser solicitada pelo responsável hierárquico a área
Comentado [MF3]: Estava escrito “Não recomenda”, alterei para proíbe de TI.
O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e do gestor de liberações para o controle do acesso de cada usuário.
A partir da implantação desta Política, todos os arquivos que não sejam do interesse do Grupo Meta RH deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.
SECTION 14 – FILE SAFEGUARD
Compete a área de TI criar e manter cópias de segurança (backups) apenas dos dados armazenados nos servidores de rede;
Os usuários devem manter obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos, e outros dados críticos do Grupo Meta RH, nas pastas departamentais dos servidores de rede;
SECTION 15 – INTERNET USE
A Internet foi instalada para viabilizar a busca de informações e agilizar determinados processos do Grupo Meta RH, sendo proibido o uso pessoal durante o horário de trabalho.
O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos causados.
A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos, relatórios com nomes dos usuários, páginas consultadas, tempo de consulta, e o conteúdo navegado.
SECTION 16 – PIRATED SOFTWARE AND GAMES:
- Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva do Grupo Meta, sendo proibidas as cópias integrais, ou mesmo as parciais, bem como a instalação de softwares piratas.
- Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais além de difamar a imagem da Instituição. Por esta razão, estão terminantemente proibidos.
- A instalação de softwares não autorizados (Pirataria) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa;
Jogos estão terminantemente proibidos
SECTION 17 – EMAIL AND INSTANT MESSAGING
- It is prohibited to use emails, electronic mail or instant messages in a manner contrary to the law, morals, good customs, public order or that infringe the intellectual or industrial property rights belonging to third parties.
- The content and use of emails, electronic mail or instant messages must be exclusively professional in nature.
- The safeguarding of the emails and attached content is the sole responsibility of the user, and the Meta RH Group is exempt from such obligation.
- The use of email, instant messaging and internal mail software not approved by the IT area is the responsibility of the user and can pose risks to information security, in addition to making technical support difficult.
- Any mass communications, advertisements, newsletters, images, etc., must be previously approved by the IT area, in order not to be treated as Spam or compromise the functioning of the email systems.
- Messages received from unknown sources should be previewed and deleted immediately, without reading its content, to avoid contamination by viruses and other risks.
- The misuse of the email is the sole responsibility of the user, and the user may be liable for any damages caused.
- Messages trafficked under the domain of the Meta RH Group may be audited upon request, as defined by the TST – Superior Labor Court. Therefore, the use for private purposes is prohibited.
- The delivery of messages containing personal data and/or sensitive personal data should be limited to the strictly necessary and legal purpose.
- The broadcast of instant messages via personal WhatsApp is forbidden, among employees of the Meta RH Group and in the performance of their functions, with personal data and/or sensitive personal data in its content.
- Under no hypothesis shall Meta RH Group be liable to any users or third parties for the loss of messages and/or their content.
SECTION 18 – AUDITS
Audits will be carried out and reports will be generated periodically.
The Directors Board of the Meta RH Group may request from the IT area, audit reports containing the name, trafficked messages, internet access and other user information as determined by the TST.
SECTION 19 – SANCTIONS FOR NON-COMPLIANCE OF THIS POLICY
GRUPO META RH ao gerir seus dados, pretende garantir a integridade ao acesso, o controle e a transmissão correta de suas informação e recursos. O descumprimento ou inobservância de qualquer regra prevista nesse instrumento e em suas normas complementares constituem falta grave, às quais o GRUPO META RH responderá com a aplicação de todas as medidas administrativas, cíveis e judiciais cabíveis.
Toda tentativa de alteração das definições de segurança, sem a devida autorização para tal, será considerada ilícita e os riscos relacionados serão informados ao respectivo gestor.
O uso de qualquer recurso em inobservância das normas vigentes ou para prática de atividades ilícitas poderá acarretar ações administrativas e penalidades decorrentes de processos administrativo, civil e criminal, em que o GRUPO META RH cooperará ativamente com as autoridades competentes.
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante o GRUPO META RH e/ou terceiros. Portanto, o usuário vinculado a tais dispositivos identificadores será responsável pelo seu uso correto perante O GRUPO META RH e às autoridades competentes.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa viola as regras de segurança e poderá resultar na aplicação de medidas administrativas, cíveis e judiciais cabíveis.
O descumprimento de todas as regras e diretrizes impostas nesta política, poderá ocasionar ao usuário a aplicação das penalidades abaixo previstas, além de outras punições cíveis ou criminais cabíveis, inclusive perdas e danos:
1) Advertência simples;
2) Advertência com suspensão não remunerada;
3) Demissão.
As sanções acima estabelecidas não representam uma ordem a ser seguida, sendo que a Diretoria do GRUPO META RH, a seu exclusivo critério, adotará a que julgar mais adequada.
Ademais, se o descumprimento das regras e diretrizes impostas nesta política acarretar qualquer prejuízo a terceiros cuja reparação venha a ser exigida do grupo Meta, serão tomadas as medidas necessárias, em direito de regresso, para reparação dos danos causados.
SECTION 20 – FINAL PROVISIONS
All practices that threaten the security of information will be treated with the application of disciplinary actions, from a verbal warning to contractual termination for just cause, taking into consideration factors such as: function exercised by the employee, period used, place of use, time of use, actual or potential damage caused to the Meta RH Group, among others. For the resolution of disputes arising from this instrument the Brazilian Law will be applied in full.
SECTION 21 – TERM AND AMENDMENTS
This policy takes effect on the date of its publication on the META RH GROUP website (https://metarh.com.br/).
META RH GROUP reserves the right to change all established policies, to adapt them to legislative changes, norms relating to the use of new technologies, or even whenever it deems necessary.
Avenida Adolfo Pinheiro, 1.001 – Santo Amaro – 04733-100 – São Paulo – SP
