A PSI é uma declaração formal acerca do compromisso da SETIC com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os envolvidos, internamente e externamente à Superintendência, sejam eles servidores, colaboradores, estagiários, prestadores de serviços, ou qualquer cidadão que tenha acesso a dados ou informações da rede de dados da SETIC.
O propósito da PSI é estabelecer diretrizes para as normas, procedimentos e instruções referentes à segurança da informação, atribuindo responsabilidades adequadas para o manuseio, tratamento, controle e proteção das informações.
Art. 45º A senha de acesso é confidencial, intransferível, individual, e não compartilhável, devendo ser trocada pelo usuário no primeiro acesso e, posteriormente, a cada 42 dias.
§ 1º A senha deverá conter no mínimo 7 (sete) caracteres, não sendo recomendados:
I.o mesmo nome do login de usuário para senha, por exemplo: Usuário: “maria”, Senha: “maria”;
II.o nome do usuário ou combinações deste;
III.nomes de familiares, animais de estimação, datas de aniversário ou número de telefone;
IV.nome de clubes de esportes;
V.informações pessoais ou fáceis de serem obtidas;
VI.repetição de números e/ou letras, por exemplo: “111111”, “aaabbb”;
VII.palavras que existam em dicionários, catálogos ou listas conhecidas, mesmo que escritas de trás para frente.
§ 2º São recomendados para uso em senhas:
I.caracteres alfanuméricos, por exemplo: “Ip253O4”;
II.caracteres mistos com maiúsculas e minúsculas, a exemplo de “IpSTmya”;
III.caracteres especiais, como “#”, “@”, “$”, “%”, “&”, “!”, “*”, “?”, “_”, “/”, “>”: “,”; “{“, “]”, “=”, “+”..
§ 3º Não será permitida a repetição das 4 (quatro) últimas senhas utilizadas.
§ 4º Não deverão ser reveladas senhas pelo telefone, e-mail ou por qualquer outro meio, mesmo que para o chefe, assistentes ou secretárias.
§ 5º Não deverão ser reveladas senhas para colegas de trabalho, nem mesmo quando o servidor estiver em férias ou licença.
Art. 46º A conta será bloqueada depois de 5 (cinco) tentativas inválidas de entrada, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI.
Art. 47º As contas inativas por mais de 90 (noventa) dias corridos serão bloqueadas, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI..
Art. 57º São deveres, responsabilidades do usuário e recomendações para o uso do correio eletrônico:
o usuário é o responsável pelas mensagens enviadas por intermédio do seu endereço de correio eletrônico;
o mau uso de uma conta de correio por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades de acordo com a legislação vigente;
não enviar mensagens não autorizadas, divulgando informações sigilosas e/ou de propriedade da SETIC;
não utilizar o e-mail corporativo para assuntos pessoais;
adotar o hábito de leitura dos e-mails diariamente;
enviar e-mails apenas para destinatários que realmente precisam da informação;
não acessar, quando não autorizado, a caixa postal de outro usuário e/ou ao Banco de Dados do correio eletrônico;
não enviar, armazenar nem manusear material que contrarie o disposto nesta PSI, a legislação vigente, a moral, os bons costumes e a ordem pública;
não enviar, armazenar nem manusear material que caracterize a divulgação, incentivo ou prática de atos ilícitos, proibidos pela lei ou pela presente PSI, lesivos aos direitos e interesses da SETIC ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnológicos, bem como os documentos e arquivos de qualquer tipo, do usuário ou de terceiros;
não enviar, armazenar nem manusear material que caracterize:
promoção, divulgação ou incentivo a ameaças, difamação ou assédio a outras pessoas;
assuntos de caráter obsceno;
prática de qualquer tipo de discriminação relativa à raça, sexo ou credo religioso;
distribuição de qualquer material que caracterize violação de direito autoral garantido por lei;
uso para atividades com fins comerciais e/ou o uso extensivo para assuntos pessoais ou privados;
não utilizar o sistema de correio eletrônico para envio de mensagens do tipo
“corrente”;
não utilizar as listas e/ou caderno de endereços da SETIC para a distribuição de mensagens que não sejam de estrito interesse funcional e/ou sem a devida permissão do responsável;
evitar todo e qualquer procedimento de uso do correio eletrônico não previsto nesta PSI, que possa afetar de forma negativa a SETIC ou o Governo do Estado de Rondônia;
caso receba uma mensagem de correio eletrônico originada na internet de um remetente não confiável ou suspeito, esta deverá ser descartada, antes mesmo de ser aberta;
garantir que cada um dos arquivos anexados possua o seu nível de confidencialidade, de acordo com a classificação da informação, em relação ao destinatário e aos copiados;
encaminhar arquivos anexados por correio eletrônico somente quando for imprescindível, principalmente, quando houver usuários externos envolvidos na troca de mensagens;
não enviar mensagens que representem sua opinião pessoal, colocando-a em nome da SETIC.
Art. 113º Todo projeto de sistema conterá um documento de especificação que descreva seus requisitos de segurança, os quais devem, entre outros, contemplar:
mecanismo de autenticação do usuário, que deve utilizar senhas com métrica mínima e exigir do usuário a troca periódica da senha, bem como bloquear o acesso após número definido de tentativas de login com falha;
mecanismo de autenticação do usuário bloqueado, que deve conter a verificação da senha por meio de mecanismo que impeça fraudes de repetição, interceptação ou quebra de integridade na comunicação entre o cliente e servidor;
armazenamento da senha pelo sistema, de forma criptografada e irreversível;
uniformidade do controle de acesso em todo o sistema, utilizando-se uma única rotina de verificação;
registro, pelo sistema, dos eventos significativos para a segurança, principalmente, início e fim de sessão e alterações realizadas;
registro, pelo sistema, das falhas de login, indicando origem e o número de tentativas;
registro, pelo sistema, da criação e bloqueio de usuários, bem como da atribuição e da remoção de direitos (permissões) do usuário;
proteção da trilha de auditoria contra remoção e alteração por parte de todos os usuários, exceto dos administradores de auditoria;
capacidade de tolerância do sistema à falhas e retorno a operação;
inexistência, em aplicações web, de dados sensíveis em campos ocultos ou cookies;
realização das verificações e validações de segurança no servidor, em aplicações web;
acesso aos desenvolvedores apenas aos códigos fontes necessários para a alteração, e desde que autorizados pelo chefe imediato;
maior semelhança possível do ambiente de homologação frente ao ambiente de produção;
exigência de que os aplicativos só passem do desenvolvimento para a homologação após verificação da existência e adequação de sua documentação;
existência de documentação de operação do sistema, ressaltando os aspectos de segurança.
Art. 42º A conta de acesso é o instrumento para identificação do usuário na rede de dados da SETIC e caracteriza-se por ser de uso individual e intransferível, vedando-se a sua divulgação sob qualquer hipótese.
§ 1º Contas para terceiros e estagiários deverão ser criadas com prazo final de atividade, prorrogável em caso de necessidade, sendo imediatamente bloqueadas após o vencimento assinalado.
§ 2º Contas para terceiros e estagiários deverão ser mantidas em Unidades Organizacionais - OU separadas das contas relativas ao órgão de lotação, mesmo nos casos de possuírem os mesmos privilégios.
Art. 43º A solicitação de criação de conta de acesso de usuário aos serviços de rede de dados da SETIC será feita pelo chefe imediato, via chamado registrado no sistema GLPI.
§ 1º O chamado informará o nome completo do usuário, CPF, e-mail particular, setor no qual desempenha suas atividades, matrícula, justificativa da necessidade da conta de acesso e quais serviços serão necessários, como rede local, internet, correio eletrônico, sistemas e/ou dados.
§ 2º A SETIC efetuará a análise do cadastro e, caso aprovado, informará ao interessado o seu usuário e a senha inicial provisória, bem como encaminhará Termo de Compromisso para assinatura, acompanhado de cópia desta Política de Segurança da Informação, tudo através do email particular informado.
Art. 13º Entende-se por “dispositivo móvel” qualquer equipamento eletrônico com atribuições de mobilidade, de propriedade da SETIC ou de propriedade particular, a exemplo de notebooks, smartphones, tablets, televisores e sistemas de assistentes virtuais inteligentes.
Art. 14º Os dispositivos móveis corporativos serão regidos pelas seguintes regras:
quando fornecidos pela SETIC, serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
serão utilizados única e exclusivamente por aqueles usuários que assumiram a responsabilidade pelo seu uso;
será expressamente vedado aos usuários instalar aplicativos ou recursos não disponibilizados inicialmente no dispositivo sem permissão da CPSI;
serão implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
os usuários serão orientados a respeito dos procedimentos de segurança acerca dos dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.
Art. 15º Os dispositivos móveis de propriedade de particulares serão regidos pelas seguintes regras:
o usuário proprietário de dispositivo móvel particular deverá solicitar ao seu chefe imediato a autorização para acesso aos recursos corporativos, conforme necessário;
o chefe imediato definirá a quais recursos ou dados corporativos o dispositivo móvel particular terá acesso;
serão individualmente autorizados pela CPSI, mediante solicitação expressa;
serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
serão utilizados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
os usuários serão orientados a respeito dos procedimentos de segurança para os recursos e acessos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.
Art. 16º Os dispositivos móveis de visitantes serão regidos pelas seguintes regras:
a concessão de seu uso estará vinculada à conscientização do usuário acerca das normas internas de utilização da rede;
obedecerão a procedimentos de controle e concessão de acesso a serem estabelecidos para visitantes que, durante sua permanência nas instalações da SETIC, necessitem conectar seus dispositivos móveis à internet.
Parágrafo único. Considerar-se-á visitante todo e qualquer usuário de rede que não integre o quadro de servidores públicos da SETIC.
Art. 17º O uso indevido do dispositivo móvel caracteriza que o usuário assumiu todos os riscos por sua conduta, tornando-se o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha a causar à SETIC ou a terceiros.
Art. 65º São consideradas práticas inaceitáveis de acesso à internet, não se restringindo a estas:
elaborar, utilizar, propagar, acessar ou de qualquer maneira manusear material de propaganda política, racismo, terrorismo, hacker, assédio sexual, pornografia, pedofilia, incentivo a violência, discriminação e outros não condizentes com os objetivos de trabalho corporativo, as leis vigentes e a ética;
acessar ou fazer uso de sites de conversação (bate-papo) e redes sociais;
acessar ou fazer uso de sites de proxy online;
acessar ou fazer uso de quaisquer tipos de jogos, inclusive online;
acessar ou fazer uso de programas que implementem P2P, onde o computador do usuário atua como servidor;
acessar ou fazer uso de web rádio e web TV (sessões de transmissão contínua de vídeo e áudio);
baixar arquivos (downloads) ou executar arquivos do tipo “.exe”, “.dat”, “.sys”, “.bat” e outros tipos de arquivos executáveis;
distribuir software ou conteúdo não autorizado (“pirataria”);
disseminar vírus, worms, cavalos de tróia ou qualquer outro tipo de código malicioso.
A Segurança da Informação não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer formato.
Segurança da informação é um conjunto de ações e boas práticas que têm como finalidade proteger um grupo de dados, se baseia em três pilares que sustentam todas as medidas tomadas para garantir a proteção dos dados, que são:
Confidencialidade
A informação, fonte ou sistema é acessível apenas às pessoas previamente autorizadas a terem acesso
Integridade
Mantenha a sua legitimidade e consistência, condizendo exatamente com a realidade.
Disponibilidade
A garantia de acesso aos dados sempre que necessário. Acessar os dados de maneira fluida, segura e eficiente.
Comissão Permanente de Segurança da Informação
A CPSI tem como finalidade implantar e garantir a compliance com as políticas internas de segurança da informação e comunicação, atuar como responsável pelo funcionamento do Plano de Continuidade de Tecnologia da Informação (PCTI), determinar a gestão das informações de guarda da SETIC no âmbito do Governo do Estado e monitorar o uso da informação e níveis de acessos, bem como garantir a aplicação da Política de Segurança da Informação (PSI), instituída pela Portaria nº 97, de 09 de junho de 2021.
Superintendência Estadual de Tecnologia da Informação e Comunicação
