Visando a manutenção de sua excelência, a Sumitomo Rubber do Brasil Ltda. estabelece a presente Política de Segurança da Informação (“Política”) a fim de demonstrar seu empenho em buscar a conformidade com as normativas relacionadas à privacidade e proteção de dados pessoais, bem como evidenciar como são tratados os dados pessoais de seus colaboradores, clientes e demais terceiros com os quais se relacione.
Através da presente Política, a Sumitomo Rubber do Brasil Ltda. busca estabelecer normas e diretrizes que garantam a segurança da informação, prezando pela integridade digital, física e verbal dos ativos de informação que circulam na Empresa.
Dessa forma, este documento tem como objetivo garantir a gestão da informação para alcançar os resultados desejados, no que se refere à mitigação de riscos, prevenção e redução de efeitos indesejados e contínua melhoria no acesso às informações disponíveis nos ambientes da Sumitomo Rubber do Brasil Ltda.
De forma a garantir a segurança desses ativos, esta Política será pautada nos pilares da confidencialidade, integridade e disponibilidade, que podem ser assim definidos:
▪ Confidencialidade: informação acessível apenas para pessoas autorizadas;
▪ Integridade: informação correta, confiável, sem a ocorrência de mudanças não autorizadas;
▪ Disponibilidade: informação sempre acessível para uso legítimo de pessoas autorizadas.
A presente Política se aplica a todos os colaboradores - em todos os âmbitos de sua atuação, independentemente da função ou cargo, aos prestadores de serviços e terceiros que tenham acesso às informações internas da Sumitomo Rubber do Brasil Ltda.
- NORMATIVAS APLICÁVEIS
As normativas aplicáveis a essa Política são:
- Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD);
- Lei nº 12.965/2014, o Marco Civil da Internet;
- NBR ISO/IEC 27.001, 27.002 e 27.701;
- Norma VDA ISA, está especificamente orientada para a indústria automotiva, centra-se no desenvolvimento de medidas de proteção de informação e protótipos;
- Normas e procedimentos internos que são constantemente revisados e aprovados pelas alçadas competentes e disponibilizados a todos os colaboradores, prestadores de serviços e terceiros.
- RESPONSABILIDADE E ACESSO
A presente Política poderá passar por atualizações a fim de adequar sua redação aos procedimentos internos ou às disposições legais quando constatada a necessidade. Desse modo, é fundamental, visando a preservação e proteção das informações, que os usuários sigam a ação de comportamento seguro, verificando constantemente a Política, para assumir atitudes proativas e engajadas no que diz respeito à proteção das informações.
Em qualquer hipótese, a Política e suas atualizações estarão disponíveis na intranet ou fisicamente junto ao Setor de Tecnologia da Informação. Para prestadores de serviços ou terceiros, o documento será disponibilizado no momento da integração.
- DIRETRIZES GERAIS
Com o objetivo de preservar a integridade, confidencialidade e disponibilidade das informações, a Sumitomo Rubber do Brasil Ltda. determina padrões e diretrizes que orientam a todos que, eventualmente, tenham acesso às informações, dados pessoais e sistemas da Empresa.
Todos os colaboradores e terceiros devem observar as seguintes diretrizes:
5.1. GESTÃO DE USUÁRIOS
O controle de acesso é norteado sob o Princípio da Necessidade (art. 6º, III, da Lei Geral de Proteção de Dados – LGPD), que determina que o acesso à informação, aos dados pessoais e informações de titulares terceiros só poderá e deverá ocorrer quando constatar que a permissão de acesso é indispensável para o desempenho das funções e atividades laborais.
A concessão de acesso será definida tanto de acordo com a necessidade como pela análise da atividade desempenhada pelo colaborador ou pelo prestador de serviço. Desse modo, a concessão será realizada mediante solicitação do Setor de HR Manager ou do gestor do respectivo colaborador ou terceiro ao Setor de Tecnologia da Informação, podendo, inclusive, se dar por um período limitado, para realizar atividades pontuais que não estão no escopo de atuação do funcionário.
São diretrizes gerais que devem ser observadas no controle de acesso:
- Somente usuários previamente identificados e autorizados podem ter acesso aos ativos de informação da Sumitomo Rubber do Brasil Ltda.;
- Para acessar os sistemas, aplicativos ou demais ativos de informação, os usuários deverão digitar seu login e senha, servindo como modo de identificação e autenticação;
- Para a definição dos critérios a serem usados no controle de acesso, deve-se considerar o seguinte:
c.1) A natureza do utilizador (isto é, colaborador ou terceiros relacionados à Empresa);
c.2) As funções existentes na Empresa (por exemplo, diretores, gerentes, colaboradores etc.).
- As aplicações controlarão o acesso do usuário através de mecanismos que regulem o acesso, evitando permissões privilegiadas;
- Não se deve permitir o acesso anônimo a qualquer recurso dentro da plataforma de tecnologia disponível na Sumitomo Rubber do Brasil Ltda.;
- As telas de abertura de programas/aplicativos que solicitam credenciais devem mostrar o mínimo de informação na tela de login, além disso, as senhas não devem ser exibidas no procedimento de entrada;
- Os identificadores serão automaticamente bloqueados após três tentativas de acesso fracassadas. Bloqueios automáticos podem ser mais restritivos se as aplicações os garantem com base na importância dos ativos de informação que gerenciam;
- Todas as tentativas de conexão, sejam autorizadas ou falhas, devem gerar um registro.
5.1.1 PAPÉIS E RESPONSABILIDADES
5.1.1.A. SETOR DE TECNOLOGIA DA INFORMAÇÃO
O Setor de Tecnologia da Informação será o responsável pela criação e atualização dos acessos, separados por função (evidenciando o cargo e a necessidade) ou prestação de serviço. É imprescindível que o Setor de Tecnologia da Informação mantenha um diálogo horizontal com o Setor de HR Manager e com gestores internos para garantir que todos os acessos sejam concedidos, alterados ou bloqueados de forma regular e em conformidade com as diretrizes impostas.
Desse modo, o setor também será responsável por conceder, alterar e cancelar os acessos de usuários a diretórios e sistemas após o recebimento da solicitação, constatando informações para realizar os ajustes das permissões quando verificado que o acesso é excessivo e não condiz com a necessidade do usuário – como pode ocorrer, por exemplo, quando há uma mudança interna de cargo/função e o acesso tenha se tornado desnecessário.
Devem ser estabelecidos pelo Setor de Tecnologia da Informação procedimentos para o controle do uso de recursos computacionais e de acesso à rede local por clientes, prestadores de serviços, fornecedores ou terceiros que, eventualmente, estejam realizando algum serviço nas instalações da Sumitomo Rubber do Brasil Ltda.
Estes procedimentos devem definir barreiras lógicas, procedimentos de vigilância e outras medidas que se façam necessárias para controlar ou impedir o acesso de pessoas não pertencentes ao quadro de colaboradores ou prestadores de serviços da Empresa, como orientações a respeito dos crimes cibernéticos e da forma correta de utilização para evitar infiltrações de malwares.
5.1.1.B. SETOR DE HR MANAGER
Caberá ao Setor de HR Manager comunicar, através do sistema interno, ao Setor de Tecnologia da Informação sobre a necessidade de criação, concessão, alteração ou cancelamento de acessos de usuários, além de informar, de forma imediata, a alteração de cargo ou o desligamento de colaboradores, como uma medida de controlar de forma célere o acesso aos sistemas de informações.
5.1.1.C. GERENTES OU GESTORES
Os gerentes ou gestores deverão solicitar ao Setor de HR Manager que, por sua vez, solicitará ao Setor de Tecnologia da Informação, mediante prévia justificativa e por tempo determinado, a liberação de acessos privilegiados aos usuários, em casos específicos em que se julgue necessária a liberação de tal acesso.
Ainda, os gerentes ou gestores deverão, em conjunto com o Setor de Tecnologia da Informação, controlar os prazos de higienização dos bancos de dados de clientes, fornecedores, terceiros e colaboradores, mantendo atualizada a classificação destes dados em ativos, intermediários ou arquivados.
5.1.1.D. USUÁRIOS (COLABORADORES OU TERCEIROS)
O usuário terá o acesso necessário para executar as suas funções laborais ou prestação de serviço, devendo informar ao gestor responsável ou ao Setor de HR Manager caso sejam constatadas permissões excedentes.
5.2. USO DO E-MAIL
O e-mail corporativo é a forma oficial de comunicação da Sumitomo Rubber do Brasil Ltda. Assim, o e-mail deve ser utilizado pelos usuários exclusivamente para fins relacionados ao desempenho de suas funções e atividades laborais, obedecendo às seguintes regras:
▪ Deve-se utilizar o e-mail corporativo como meio de comunicação oficial com agentes externos (fornecedores, prestadores de serviços, terceiros etc.);
▪ O usuário deve verificar, sempre que uma nova mensagem for recebida, a origem dela e, em caso de suspeita de ação irregular, deverá comunicar, via e-mail ou sistema interno de chamados, imediatamente o Setor de Tecnologia da Informação;
▪ E-mails suspeitos, com mensagens ou imagens inadequadas e/ou spams não devem ser respondidos;
▪ E-mails que contenham links suspeitos, devem ser ignorados. Na dúvida, o colaborador deve consultar a equipe do Setor de Tecnologia da Informação.
É expressamente vedado:
▪ Enviar mensagens de e-mail em nome de seu setor, colegas ou quaisquer terceiros que não tenham autorizado essa comunicação;
▪ Enviar mensagens de e-mail não solicitadas divulgando informações a terceiros sem autorização ou ainda para múltiplos destinatários, exceto se relacionadas a uso legítimo da Sumitomo Rubber do Brasil Ltda.;
▪ Falsificar ou adulterar o conteúdo de mensagens de e-mails ou endereço do remetente, fazendo-se passar por outra pessoa;
▪ Acessar sem autorização os e-mails de outros usuários, incluindo a caixa de backup;
▪ Utilizar o e-mail para prática de crimes e infrações de qualquer natureza;
▪ Emitir comunicados que representem a opinião pessoal do colaborador em nome da Sumitomo Rubber do Brasil Ltda.;
▪ Reproduzir, transmitir ou divulgar mensagens que contenham qualquer ato ou orientação que conflite com os interesses da Sumitomo Rubber do Brasil Ltda.;
▪ Reproduzir e/ou encaminhar mensagens que contenham ameaças eletrônicas, tais como: vírus, spam e demais malwares;
▪ Abrir, executar ou compartilhar mensagens que contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf, .wsf etc.) ou qualquer outra extensão que apresente riscos à segurança dos equipamentos, sistemas e redes internas da Sumitomo Rubber do Brasil Ltda.
5.3. USO DA INTERNET E OUTROS MEIOS VIRTUAIS
O uso da internet deve acatar os princípios acima mencionados, em consonância com as funções dos colaboradores e a devida finalidade do acesso. Todas as tecnologias, ferramentas, equipamentos e serviços disponibilizados para acesso à internet são de propriedade da Sumitomo Rubber do Brasil Ltda.
Desse modo, a Sumitomo Rubber do Brasil Ltda. poderá, sempre que julgar necessário e a seu exclusivo critério, suspender ou bloquear o acesso a quaisquer arquivos, domínios, aplicações, websites e/ou correios eletrônicos, por exemplo.
As redes de internet, servidores e sistemas internos devem ser controlados com acessos privados por meio de usuário e senha dos colaboradores, os quais precisam moderar sua utilização no bom senso, principalmente no que se refere aos sites acessados, tempo de utilização e conteúdo baixado.
O acesso à internet, por meio da rede corporativa, deve ser efetuado por usuários autorizados pelo Setor de Tecnologia da Informação. Ademais, as solicitações de liberação de sites que sejam úteis às tarefas diárias deverão ser feitas através de chamado para análise e liberação do Setor de Tecnologia da Informação.
É expressamente vedado:
- Acessar, armazenar, divulgar e repassar qualquer material ilícito ligado à pornografia, pedofilia, jogos, racismo, homofobia, religião, bitcoins, formatos de áudio e vídeos (mp3, mp4, AVI etc.), entre outros;
- Efetuar tentativas de lograr os controles de internet, usando software, plug-in ou outros métodos;
- Utilizar programas (como por exemplo: µTorrent, BitTorrent, eMule etc.) para download/upload de arquivos peer-to-peer (sistema de compartilhamento sem necessidade de um servidor centralizado) de qualquer natureza;
- Divulgar ou compartilhar informações internas pertencentes à Sumitomo Rubber do Brasil Ltda. e referentes às suas operações, sobretudo em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que utilize a internet.
5.4. CUIDADOS COM O AMBIENTE DIGITAL E DOCUMENTOS ELETRÔNICOS
Todos os arquivos relativos ao desempenho da função do colaborador e à atividade da Sumitomo Rubber do Brasil Ltda. deverão ser armazenados no diretório adequado de cada setor, sendo necessária a realização de backups rotineiros para evitar risco de perda dos arquivos. De tal forma, é expressamente proibido armazenar arquivos nos diretórios dos computadores de cada colaborador (exemplo: “Área de Trabalho” ou pasta “Downloads”).
As instalações da Empresa, especialmente as áreas de maior criticidade, deverão ser monitoradas por meio de circuito interno de câmeras de segurança, sendo estes ambientes devidamente sinalizados a respeito das gravações de vídeo. Os arquivos de imagem também serão armazenados internamente com segurança e possuirão acesso restrito ao Setor de GA Manager e ao Setor de Tecnologia da Informação, além de haver eliminação periódica.
Ademais, todos os usuários devem observar as seguintes regras em seu dia a dia:
- Ao se ausentar da sua estação de trabalho, o colaborador ou o prestador de serviço que esteja alocado nas dependências da Sumitomo Rubber do Brasil Ltda. deverá bloquear a tela ou guardar os dispositivos que não for levar consigo, de modo que não seja possível outros usuários visualizarem informações expostas nos dispositivos;
- Todo e qualquer tipo de mídia removível deve ser desconectada ao término do uso e permanecer armazenada em ambiente seguro e controlado;
- Na eventualidade de permissão do uso de computadores particulares para o desenvolvimento das funções de determinados colaboradores, fica estabelecido que os computadores devem estar bloqueados caso o colaborador responsável não esteja presente;
- Na eventualidade de utilização de computadores corporativos pelos colaboradores em modalidade home office, deverão ser tomadas as mesmas medidas de segurança que seriam tomadas nas dependências da Empresa, ficando proibida a utilização desses equipamentos para fins pessoais.
5.5. CUIDADOS COM AMBIENTE DE TRABALHO E DOCUMENTOS FÍSICOS
Os acessos físicos aos ativos de informação da Sumitomo Rubber do Brasil Ltda. e seus respectivos usos também devem ser pautados pela devida necessidade. Além de observar o correto manuseio das informações em locais físicos como, por exemplo, a própria estação de trabalho do colaborador, exige a adoção das seguintes diretrizes:
- Documentos em papéis ou mídias impressas não devem permanecer sobre a estação de trabalho enquanto o colaborador não estiver realizando o manuseio;
- Os documentos escaneados, após utilizados pelos usuários, devem ser imediatamente deletados das pastas destinadas para este fim. De igual forma, os usuários deverão esvaziar as lixeiras eletrônicas diariamente;
- Todo o material deve ser recolhido e armazenado em armários locais ou gavetas – preferencialmente com chave. Ao final do expediente, ou no caso de ausência prolongada do local de trabalho, o colaborador deve limpar a estação de trabalho, guardar os documentos, trancar as gavetas e armários, e desligar o computador;
- Durante o expediente, o computador deverá ser bloqueado, caso o colaborador se ausente da sua estação de trabalho, independente do período de ausência;
- Caso seja necessário o uso de documentos de outras áreas, estes deverão ser devolvidos, descartados ou excluídos ao término de sua utilização, preferencialmente mediante protocolo formal;
- Papéis do tipo lembrete devem ser evitados, ficando expressamente proibido concentrar informações pessoais, senhas, ou outros dados que identifiquem ou possam identificar uma pessoa;
- Não devem ser utilizados quadros de aviso, editais ou outros meios físicos para anotação de senhas, lembretes, informações confidenciais e sensíveis;
- Crachás de identificação devem ser mantidos em posse do próprio colaborador, que deve notificar o Setor de HR Manager e o Setor de Qualidade Assegurada (QA), imediatamente, em caso de suspeita ou extravio;
- O colaborador deve dar preferência à leitura de documentos em formato digital, ficando vedado o uso de impressoras e fotocopiadoras não autorizadas (ou seja, aquelas que não sejam de uso da Empresa), durante e fora do horário de expediente;
- Documentos impressos devem ser eliminados de maneira adequada. É vedado o uso de rascunhos para impressão de documentos, inclusive aqueles que sejam apenas para uma rápida conferência;
- O responsável pela ordem de impressão deve retirar o documento da impressora imediatamente. Documentos não retirados da impressora deverão ser descartados de forma adequada.
5.6. CUIDADOS COM USUÁRIOS E SENHAS
Os cuidados com os usuários e senhas utilizados pelos colaboradores ou prestadores de serviços para acesso à internet, redes e sistemas internos da Sumitomo Rubber do Brasil Ltda. são de total e exclusiva responsabilidade do próprio colaborador ou prestador de serviço, por isso, as seguintes diretrizes deverão ser observadas:
- O compartilhamento, divulgação e/ou empréstimo de qualquer forma da senha de cada usuário é expressamente proibido, devendo o responsável pelo Setor de Tecnologia da Informação e o Encarregado pelo Tratamento de Dados Pessoais serem informados imediatamente caso haja suspeita de descumprimento da diretriz;
- A senha inicial será desenvolvida pelo Setor de Tecnologia da Informação logo na admissão do colaborador, devendo ser fornecida ao próprio colaborador pessoalmente sem mostrar ou informar a terceiros e deverá ser alterada no primeiro processo de autenticação realizado;
- É expressamente vedada a anotação de usuários e senhas de logins em locais de fácil acesso, principalmente perto das estações de trabalho do colaborador (ex.: anotações no monitor do computador, embaixo do teclado ou até anotações na tela do computador);
- As senhas da Empresa, especialmente as utilizadas em órgãos públicos e aquelas que permitem acesso a informações confidenciais, deverão ser armazenadas em um gerenciador de senhas ou internamente no servidor de forma que apenas as pessoas responsáveis pelas referidas senhas possam acessá-las, sendo utilizadas todas as medidas de segurança possíveis;
- Ao criar uma senha, o colaborador deve observar: o tamanho mínimo de 08 (oito) caracteres, a utilização de letras/caracteres minúsculos e maiúsculos, caracteres especiais e números, sendo proibida a utilização de informações públicas e pessoais (ex.: data de aniversário ou nome do cônjuge). Não será permitida a reutilização das últimas 04 (quatro) senhas;
- As alterações de senha deverão ocorrer, obrigatoriamente, a cada 30 (trinta) dias. Após este período, não será possível que o colaborador acesse o sistema sem alterar a sua senha de acesso, devendo acionar o Setor de Tecnologia da Informação pelos canais de suporte para regularização;
O cancelamento de usuários deverá ocorrer, obrigatoriamente, de maneira imediata ao desligamento, devendo o Setor de HR Manager informar, via sistema interno, o Setor de Tecnologia da Informação para que este proceda com a inativação do usuário.
- VIOLAÇÕES E SANÇÕES
Deverão ser analisadas quaisquer violações a esta Política, suas normas e princípios correlatos, enquanto incidentes de segurança da informação. Tais incidentes serão tratados de acordo com o processo de gestão de incidentes e com apoio do Setor de Tecnologia da Informação, do Encarregado pelo Tratamento de Dados Pessoais e demais áreas que sejam necessárias.
Ao colaborador ou prestador de serviços envolvido na violação à Política e/ou respectivas diretrizes ou normas será assegurado tratamento justo, correto e confidencial, de modo que qualquer medida tomada deverá ser proporcional e aplicada de acordo com o contrato de trabalho ou prestação de serviços, com a presente Política e com as normas e legislação vigente.
As violações que impliquem em atividades ilegais ou que possam incorrer em riscos aos titulares de dados pessoais ou danos à Sumitomo Rubber do Brasil Ltda. ensejarão a responsabilização pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.
- FALE COM O NOSSO ENCARREGADO
- HISTÓRICO DAS REVISÕES E CONTROLE DE VERSÕES
Data da elaboração | Data da revisão atual | Elaborador/Aprovador | Versão |
09.02.2024 | 30.04.2024 | Comitê Interno de Privacidade e Proteção de Dados | V.01 |