SUMÁRIO

1. PROPÓSITO
2. DEFINIÇÕES E SIGLAS
3. ABRANGÊNCIA
4. CONCEITOS
5. COMPROMISSO
6. RESPONSABILIDADES
7. LOCALIZAÇÃO
8. NORMAS E DIRETRIZES

8.1. BACKUP

8.2. ATIVOS DE TI

8.3. ACESSO À INTERNET

8.4. PROCESSAMENTO DE DADOS PESSOAIS

8.5. DISPOSITIVOS DE ARMAZENAMENTO EXTERNO

8.6. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

8.7. IMPRESSÃO E REPROGRAFIA (FOTOCÓPIAS)

8.8. REGISTRO E MONITORAMENTO

8.9. GESTÃO DE ACESSOS

8.10. GESTÃO DE SENHAS

8.11. MESA E TELA LIMPA

8.12. USO DA IA GENERATIVA

8.13. TRABALHO REMOTO E ACESSO REMOTO

8.14. DISPOSITIVOS MÓVEIS E BYOD

PENALIDADES POR VIOLAÇÃO

GESTÃO DA POLÍTICA

PROPÓSITO

Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores do Grupo Pirasa adotar padrões de comportamento seguro, adequados às metas e necessidades do Grupo Pirasa;

Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;

Resguardar as informações do Grupo Pirasa, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;

Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus funcionários, clientes, parceiros e terceiros;

Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio do Grupo Pirasa como resultado de falhas de segurança;

O objetivo do Sistema de Gestão de Segurança da Informação do Grupo Pirasa é garantir a gestão sistemática e efetiva de todos aspectos relacionados à segurança da informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos à instituição.

A Alta Direção, os integrantes do Comitê LGPD, os integrantes do Departamento de Tecnologia, e os Gestores estão comprometidos com a gestão efetiva de Segurança da Informação no Grupo Pirasa. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, compreendida e respeitada em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua evolução e adequação às necessidades do Grupo Pirasa.

DEFINIÇÕES E SIGLAS

ATICs – Ativos de Tecnologia da Informação e Comunicação, como equipamentos, softwares e recursos físicos e digitais;

SGSIP – Sistema de Gestão de Segurança da Informação e Privacidade;

LGPD – Lei Geral de Proteção de Dados;

PSI – Política de Segurança da Informação;

BACKUP – Cópia de segurança de dados digitais ou físicos;

RESTORE – Recuperação de dado de um Backup (cópia de segurança);

DOWNLOAD – Transferência de dados da internet para o equipamento local;

UPLOAD – Transferência de dados do equipamento local para a internet;

EVENTO – Ocorrência de um acontecimento;

INCIDENTE – Ocorrência de um evento com efeitos negativos indesejáveis, com capacidade de comprometer a confidencialidade, integridade e disponibilidade dos ativos de Informação e Dados Pessoais do Grupo Pirasa (ex.: compartilhamento, acesso, alteração ou eliminação de Dados Pessoais ou Informações, sem a devida autorização, entre outras ações humanas ou não);

RISCO – Probabilidade da ocorrência de incidentes em razão de ameaças que venham a explorar vulnerabilidades;

AMEAÇAS – Fato ou ação, internas ou externas, que possam causar incidente;

VULNERABILIDADES – Fragilidades nos ambientes físicos ou digitais;

CONTROLADOR – Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

OPERADOR – Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

ENCARREGADO – Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

TITULAR – Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

USUÁRIO – Toda pessoa contratada ou terceirizada, que tenha credencial válida para utilização dos sistemas informacionais;

CONTA DE USUÁRIO – É um nome que serve para identificar o usuário no meio digital;

SENHA – Conjunto de caracteres que fornece acesso a algo que, sem esse código, seria inacessível;

CREDENCIAL – É o conjunto composto da conta de usuário e senha;

ACESSO – Toda e qualquer forma de interação com informações e dados, desde a simples visualização ou consulta até a extração de cópias, alteração, exclusão, etc., contidos em qualquer meio, seja ele físico, digital ou verbal;

IA GENERATIVA – Sistemas baseados em modelos de aprendizado profundo capazes de criar textos, imagens, códigos, áudio ou outros conteúdos de forma autônoma.

DADOS SENSÍVEIS – Informações pessoais, financeiras, estratégicas ou qualquer dado classificado como confidencial pela empresa.

PROMPT – Instrução ou comando fornecido à IA para gerar uma resposta ou conteúdo.

ABRANGÊNCIA

Aplica-se a todos os administradores, funcionários, estagiários, fornecedores e prestadores de serviços, incluindo, trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações pertencentes a EMPRESA, a seus FUNCIONÁRIOS E COLABORADORES e aos seus CLIENTES.

CONCEITOS

Todos devem considerar a informação como sendo um ativo da organização, um dos recursos críticos para a realização do negócio, e possui grande valor para a empresa e deve sempre ser tratado profissionalmente, não podendo ser replicada ou compartilhada para finalidades que não estejam autorizadas pela empresa ou inerentes ao desempenho da respectiva função.

Por princípio, a segurança da informação deve abranger três aspectos básicos, destacados a seguir:

Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;

Integridade: inclusões, alterações ou exclusões de informações serão efetuadas somente por pessoas autorizadas pela empresa;

Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Para assegurar estes três itens mencionados, a informação deve ser adequadamente gerenciada e protegida para mitigar os riscos de roubos, vazamentos de dados, fraudes, espionagens, perdas e outras ameaças.

COMPROMISSO

De forma geral, todos os administradores, funcionários, estagiários e prestadores de serviços assumem compromissos de:

1. Cumprir fielmente a Política de Segurança da Informação;
   B. Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados;
   C. Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela empresa;
   D. Cumprir as leis e as normas que regulamentam a propriedade intelectual e a proteção de dados pessoais tal como a LGPD;
   E. Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, home offices etc.), incluindo a emissão de comentários em páginas e blogs e redes sociais da empresa, passando ou não a imagem da empresa;
   F. Comunicar imediatamente à área de Tecnologia da Informação, ou setor responsável, sobre qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos complementares;
   G. Adotar comportamentos que evitem se tornarem vítimas de incidentes de segurança, tais como contaminação por vírus ou ataques de phishing (onde uma mensagem falsa, por exemplo, encaminha o usuário a uma página idêntica a de um banco para captura de suas informações pessoais), clicar em links recebidos em e-mails, etc.

RESPONSABILIDADES

O Departamento de Tecnologia da Informação será o responsável pela elaboração e atualização desta Política;

O Departamento de Tecnologia da Informação será responsável por disponibilizar e comunicar esta Política dentro da organização, bem como disponibilizar para as demais partes interessadas;

A Alta Direção do Grupo Pirasa será responsável pela aprovação desta Política.

LOCALIZAÇÃO

Este documento pode ser consultado em sua via digital na Intranet do Grupo Pirasa (https://kelbersilva.sharepoint.com/sites/IntranetGrupoPirasa).

NORMAS E DIRETRIZES

Define as normas de segurança da informação a serem aplicadas no âmbito do Grupo Pirasa.

8.1. BACKUP

O Departamento de Tecnologia da Informação deverá configurar backup dos dados necessários e documentá-los na rotina de backup a serem definidos pelo próprio departamento.

8.2. ATIVOS DE TI

Todos os ATICs do Grupo Pirasa, como computadores, notebooks, e-mail, telefone, internet, comunicadores instantâneos, etc. devem ser utilizados exclusivamente para o desempenho de atividades relacionadas à operação da organização. Jamais poderão ser utilizados para fins indevidos ou ilegais, como:

1. Utilizar dos ATICs em caráter pessoal ou para fins que não sejam de interesse do Grupo Pirasa;
2. Enviar mensagens com ofensas, injúrias, calúnias ou que conflitem com os interesses do Grupo Pirasa;
3. Enviar mensagens cujo conteúdo incite uso de drogas, terrorismo, práticas subversivas, violência, aborto, práticas racistas, assim como qualquer outro que possa infringir a legislação vigente ou as normas éticas do Grupo Pirasa;
4. Enviar informações para pessoas que não a devida permissão conforme a classificação atribuída em consonância com a Política de Classificação da Informação;
5. Enviar mensagens utilizando assinatura ou endereço falso, com fins de falsificar ou adulterar o conteúdo da mensagem, fazendo-se passar por outra pessoa;
6. Enviar mensagens para múltiplos destinatários, salvo nos casos em que o conteúdo do e-mail seja relacionado aos legítimos interesses do Grupo Pirasa e mediante prévia autorização do Gestor do Departamento;
7. Enviar ameaças eletrônicas como: phishing, spam, vírus e outros malwares ou com arquivos contendo códigos executáveis (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que apresente riscos à segurança;
8. Acessar ou tentar acessar conta de outra pessoa sem autorização;
9. Acessar ou tentar acessar informações confidenciais sem autorização ou monitorar de forma secreta outros Colaboradores;
10. Inscrever o endereço de e-mail ou números telefônicos do Grupo Pirasa em listas de distribuição e grupos de discussão que não estejam relacionadas com atividades laborais ou de interesse da organização;
11. Atribuir-se ou atribuir a terceiros falsa identidade para envio de mensagens;
12. Tentar a interceptação ou alteração do conteúdo da mensagem de outros usuários ou terceiros, a menos que devidamente autorizado;
13. Ao final do contrato de trabalho, os equipamentos disponibilizados para a execução de atividades profissionais devem ser devolvidos em estado de conservação adequado (processo gerência);
14. Qualquer dano aos equipamentos do Grupo Pirasa será devidamente analisado pela área de tecnologia da informação. Havendo a constatação de que tal dano decorreu de ação direta ou omissão do usuário, caberá ao Grupo Pirasa exercer seu direito de reparação ao prejuízo, através da tomada das medidas cabíveis (processo de bom estado, senhas de aplicativos, zeldos)

Não é permitido o uso de qualquer serviço de e-mail, comunicadores instantâneos ou qualquer meio de comunicação que não seja o oficialmente fornecido pelo Grupo Pirasa;

O Departamento de Tecnologia da Informação é responsável pela homologação de softwares e definição de lista de softwares permitidos.

É proibido o uso de qualquer tipo de programa não homologado e não licenciado em qualquer dispositivo utilizado no ambiente da empresa.

O departamento de tecnologia da informação será o responsável pela instalação de softwares, que o fará após aprovação mediante abertura de solicitação por meio sistema de chamado.

O departamento de tecnologia da informação deverá manter inventário dos softwares e licenças instalados na infraestrutura do Grupo Pirasa, devendo remover qualquer programa que não esteja de acordo com esta política.

8.3. ACESSO À INTERNET

O Grupo Pirasa fornece acesso à Internet aos seus usuários autorizados, conforme as necessidades inerentes ao desempenho de suas atividades profissionais.

O acesso à internet pode ser fornecido tanto através da rede corporativa do Grupo Pirasa quanto através da disponibilização de serviços de internet móvel, prestados por terceiros, contratados pelo Grupo Pirasa.

Durante o acesso à Internet fornecido pelo Grupo Pirasa não será permitido o download, upload, a inclusão, a disponibilização, a visualização, a edição, a instalação, o armazenamento e/ou a cópia de qualquer conteúdo relacionado expressa ou subjetivamente, direta ou indiretamente, com:

1. Qualquer espécie de exploração sexual;
   B. Qualquer forma de conteúdo pornográfico;
   C. Qualquer forma de ameaça, chantagem e assédio moral ou sexual;
   D. Qualquer ato calunioso, difamatório, infamante, vexatório, aviltante ou atentatório à moral aos bons costumes da sociedade;
   E. Preconceito baseado em cor, sexo, opção sexual, raça, origem, condição social, crença, religião, deficiência e necessidades especiais;
   F. Incentivo ao consumo excessivo ou recorrente de bebidas alcoólicas, e substâncias entorpecentes, sejam estas lícitas ou não;
   G. A prática e/ou a incitação de crimes ou contravenções penais;
   H. A prática de propaganda política nacional ou internacional;
   I. A prática de quaisquer atividades comerciais desleais;
   J. O desrespeito à imagem ou aos direitos de propriedade intelectual do Grupo Pirasa;
   K. A disseminação de códigos maliciosos e ameaças virtuais;
   L. Tentativa de expor a infraestrutura computacional do Grupo Pirasa a ameaças virtuais;
   M. Divulgação não autorizada de qualquer informação do Grupo Pirasa classificada como confidencial ou de uso interno;
   N. Uso de sites ou serviços que busquem contornar controles de acesso à internet;
   O. Softwares ou programas não licenciados ou não homologados pelo Departamento de Tecnologia da Informação;
   P. streaming

8.4. PROCESSAMENTO DE DADOS PESSOAIS

Ao processar dados pessoais para o desempenho das atividades da empresa, os funcionários, estagiários e prestadores de serviços devem respeitar as diretrizes da Lei 13.709/18, devendo atentar-se às seguintes condutas:

1. proteger os dados pessoais que tiverem acesso para o desempenho das atividades da empresa, prezando por sua confidencialidade;
2. utilizar apenas os dados pessoais estritamente necessários para as finalidades informadas pela empresa, respeitando sempre que a operação de consentimento do titular de dados;
3. se necessário realizar o compartilhamento de dados pessoais com terceiros (ex.: escritórios externos, contabilidade, escritório de advocacia, agência de marketing, fornecedores, entre outros), deverá ser avaliado e firmado o respectivo aditivo contratual LGPD com a empresa parceira e a assinatura do respectivo Protocolo de Tratamento de Dados Pessoais, podendo compartilhar os dados pessoais após a sua assinatura, e havendo dúvida, consultar o superior, pessoa responsável ou o DPO;

C.1) verificar se a empresa parceira já assinou o respectivo aditivo contratual LGPD com a sua empresa e o Protocolo de Tratamento de Dados Pessoais, podendo compartilhar os dados pessoais após a sua assinatura, e havendo dúvida, consultar o superior, pessoa responsável ou o DPO;

C.2) se a base legal do compartilhamento for o consentimento, conferir a prévia existência de expresso consentimento para este compartilhamento no respectivo sistema de gestão de consentimentos;

C.3) se a base legal do compartilhamento for uma das outras hipóteses do art. 7º da LGPD, deve-se verificar sua legitimidade e necessidade, e havendo dúvida, consultar o superior, pessoa responsável ou o DPO;

1. participar de cursos e de capacitação e treinamentos em LGPD, disponibilizados pela empresa e seus parceiros conforme instruções do departamento de RH.

8.5. DISPOSITIVOS DE ARMAZENAMENTO EXTERNO

Entende-se por dispositivo externo de armazenamento todo dispositivo capaz de armazenar informações (dados) para posterior consulta ou uso. Um dispositivo de armazenamento pode guardar informação, processar informação, ou ambos. (exemplo: HD externo, pen-drives, celulares com função de transferência de arquivos, CDs, DVDs, etc);

É proibida a gravação de informações relacionadas às atividades do Grupo Pirasa em dispositivos externos de armazenamento de dados sem permissão prévia do Departamento de Tecnologia da Informação com aprovação do Gestor da área e do Comitê LGPD nos casos em que envolver dados pessoais. Os dispositivos de armazenamentos externos permitidos serão exclusivamente de propriedade do Grupo Pirasa e deverão ser criptografados com senha;

O usuário é o responsável direto pela segurança física e lógica dos dispositivos móveis sob sua guarda. Portanto, os mesmos não devem ficar fora de seu alcance em locais públicos onde haja acesso não controlado de pessoas;

Durante o deslocamento o usuário deverá estar alerta e ter uma conduta discreta, dando preferência para compartimentos de armazenamento resistentes e não chamativos e nunca deixando o dispositivo móvel desacompanhado;

Em caso de perda ou furto de um dispositivo de armazenamento removível, o usuário deve comunicar imediatamente o departamento de TI para que possam ser tomadas as medidas cabíveis e registrar Boletim de Ocorrência do fato.

8.6. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Todos os Incidentes devem ser tratados de acordo com o Procedimento de Gestão de Incidentes, observando-se as definições de evento, incidente e risco;

Incidentes de segurança devem ser priorizados com base no seu grau de risco, conforme a tabela de criticidade definida no Procedimento de Gestão de Incidentes;

Todos os incidentes ou suspeitas de incidentes de segurança da informação devem ser imediatamente comunicados à área de segurança da informação;

A área de segurança da informação deverá, quando pertinente, comunicar as partes interessadas como, por exemplo, membros do time de resposta a incidentes de segurança da informação e encarregado de proteção de dados pessoais quando envolver este tipo de informação;

O encarregado deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

Após a erradicação completa do incidente, deve ser realizada uma revisão completa da ocorrência, identificando o nível de impacto, vulnerabilidades exploradas, a efetividade do tratamento aplicado e a necessidade de maiores ações para evitar a recorrência do incidente.

8.7. IMPRESSÃO E REPROGRAFIA (FOTOCÓPIAS)

O uso de equipamentos de impressão e reprografia (fotocopiadoras) deve ser feito exclusivamente para a impressão/reprodução de documentos que sejam de interesse do Grupo Pirasa ou que estejam relacionados com o desempenho das atividades profissionais do usuário.

O usuário deve observar as seguintes disposições específicas quanto ao uso de equipamentos de impressão e reprografia:

1. O usuário deve retirar imediatamente da impressora ou fotocopiadora os documentos que tenham encaminhado à impressão, transmissão ou cópia que contenham informações do Grupo Pirasa ou por ela tratada;
2. A impressão ou cópia de documentos deve ser limitada à quantidade exata necessária para a tarefa demandada;
3. A impressão ou cópia de documentos deve ser feita somente se for indispensável para a atividade;
4. Não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas, devendo as mesmas serem descartadas de acordo com a Política de Classificação da Informação.

8.8. REGISTRO E MONITORAMENTO

Os dados registrados podem ser utilizados em monitoramento da infraestrutura para propostas de melhoria contínua da segurança dos sistemas e na investigação de eventos ou incidentes de segurança.

Toda informação que é acessada, transmitida, recebida, produzida ou manipulada através de acesso à Internet, serviço de e-mail, comunicadores instantâneos corporativos, sistema CFTV, equipamentos de controle de acesso ou ATICs do Grupo Pirasa está sujeita a monitoramento.

A atividade de auditoria é de competência dos departamentos de tecnologia da informação e segurança da informação.

Todos os ATICs que armazenam ou processam dados ou informações relevantes para o desempenho da atividade do Grupo Pirasa, ou dados pessoais de titulares, devem ter seus eventos e logs gerados e armazenados de acordo com a política corporativa.

A equipe responsável deve selecionar os eventos e respectivos tempos de guarda destes em LOGs, bem como as demais características de uso dos eventos.

Usuários e componentes ativos de informação devem ser monitorados continuamente em busca de comportamento anômalo ou suspeito.

Devem ser registrados os eventos de:

tentativas de logon (do sistema ou domínio) bem-sucedidas e malsucedidas;
encerramento de contas de usuários;
acesso, gravação e exclusão no serviço de diretório;
uso privilegiado;
acompanhamento de processos;
sistema;
destruir arquivo de log de auditoria;
direcionamento de acessos externos;
consumo da banda de entrada e saída;
navegação web.

Os registros de informação, bem como conteúdos dos serviços devem possuir logs de auditoria detalhados, incluindo, mas não se limitando, a elementos úteis que possam ajudar em uma eventual investigação forense como origem do evento, data e hora do evento, nome de usuário, endereços de origem e destino.

Registros de auditoria devem ser retidos por pelo menos 05 anos. Uma vez que o período mínimo de retenção tenha sido atingido, o Grupo Pirasa pode continuar a reter registros de auditoria até que seja determinado que eles não sejam mais necessários para fins administrativos, legais, de auditoria ou outros fins operacionais.

Os registros de log de auditoria e outros logs de eventos de segurança devem ser retidos e revisados de maneira segura.

Deve se realizar análises de logs de auditoria pelo menos a cada 45 dias para detectar e mitigar anomalias ou eventos anormais que possam indicar uma ameaça potencial.

As recomendações de coleta de logs podem incluir a coleta de logs de auditoria de linhas de comando (CLI) tais como PowerShell, BASH e terminais administrativos remotos.

O comportamento dos ativos de informação deve ser analisado para detectar e mitigar a execução de comandos scripts que possam indicar ações maliciosas.

Deve-se implementar medidas de salvaguarda para os logs, bem como controles específicos para registro das atividades dos administradores e operadores dos sistemas relacionados ao objeto de forma que estes não tenham permissão de exclusão ou desativação dos registros (log) de suas próprias atividades.

8.9. GESTÃO DE ACESSOS

Os gestores de área serão responsáveis por definir os níveis de acesso à informação que seus subordinados terão.

Os gestores de áreas serão solidariamente responsáveis pelos acessos excessivos que seus subordinados, porventura, venham a ter e pelas violações por estes cometidos.

O Departamento de Tecnologia da Informação é responsável por conceder, alterar e cancelar os acessos de usuários aos sistemas do Grupo Pirasa, mediante solicitação do Departamento de Recursos Humanos ou respectivos gestores de áreas.

Os acessos dos colaboradores ou fornecedores que não possuam mais vínculo contratual com o Grupo Pirasa, deverão ser removidos, podendo ser bloqueado por determinado prazo de tempo e depois permanentemente excluído.

Os colaboradores que se ausentarem no período de férias deverão ter seus acessos bloqueados até a data de seu retorno às atividades laborais.

8.10. GESTÃO DE SENHAS

Os Usuários de Ativos de Informações e de Dados Pessoais devem utilizar seus Logins e Senhas de acordo com as seguintes diretrizes:

Os logins e senhas são de uso pessoal e intransferível, sendo vedado seu compartilhamento;

É obrigação do Usuário manter o sigilo de seus logins e senhas de acesso aos sistemas do Grupo Pirasa, sob pena de incorrer em sanções disciplinares solidariamente com o terceiro com o qual tenha compartilhado suas credenciais;

As senhas utilizadas em sistemas computacionais do Grupo Pirasa deverão ser diversas das senhas particulares dos Usuários;

Logins e senhas não deverão ser transmitidos por e-mail, chamados ou aplicativos de mensagens (ex. WhatsApp), nem deixados em exposição em qualquer forma de anotação, como papéis e notas adesivas (post-its);

As senhas deverão, preferencialmente, ser compostas por no mínimo 8 (oito) caracteres e conter no mínimo 01 (uma) letra maiúscula, 1 (uma) letra minúscula, 1 (um) caractere especial e 1 (um) número. Caso o sistema ou diretório exija uma configuração de senha mais rígida, esta deverá ser seguida;

Não poderá integrar as senhas: o nome do Usuário, sua data de nascimento, nomes relacionados ao Grupo Pirasa ou outras informações de fácil dedução;

As senhas não poderão coincidir com as 4 últimas utilizadas. Caso o sistema ou diretório exija uma abrangência maior, esta deverá ser seguida;

Todas as senhas deverão ser alteradas na periodicidade mínima de 90 (noventa) dias;

Caso o Usuário receba uma senha temporária, esta deverá ser alterada no primeiro acesso ao respectivo sistema;

As senhas deverão ser imediatamente alteradas caso haja qualquer indício de comprometimento de seu sigilo, com subsequente comunicação ao departamento de Tecnologia da Informação;

O Departamento de Segurança da Informação poderá implementar sistemas de gerenciamento de senhas, destinados a garantir o cumprimento desta Política.

8.11. MESA E TELA LIMPA

Os Usuários devem adotar práticas de mesa limpa e tela limpa, garantindo que informações confidenciais não fiquem expostas indevidamente, conforme as seguintes diretrizes:

1. Não deixar documentos físicos contendo informações do Grupo Pirasa expostos sobre mesas, armários ou locais de fácil visualização por terceiros;
2. Guardar documentos físicos em locais seguros, preferencialmente trancados, quando não estiverem em uso;
3. Bloquear o computador sempre que se ausentar da estação de trabalho, ainda que por curtos períodos;
4. Configurar o bloqueio automático de tela nos equipamentos utilizados, conforme diretrizes do Departamento de Tecnologia da Informação;
5. Evitar a exposição de informações confidenciais em telas visíveis a terceiros não autorizados;
6. Descartar documentos físicos de acordo com a Política de Classificação da Informação.

8.12. USO DA IA GENERATIVA

O uso de ferramentas de Inteligência Artificial Generativa deve observar as seguintes diretrizes:

1. É proibido inserir, compartilhar ou processar dados pessoais, dados sensíveis ou informações confidenciais do Grupo Pirasa em ferramentas de IA não aprovadas pela empresa;
2. A utilização de ferramentas de IA deve ser previamente autorizada pelo Departamento de Tecnologia da Informação;
3. Os resultados gerados por ferramentas de IA devem ser revisados criticamente antes de sua utilização, a fim de evitar erros, vieses ou inconsistências;
4. É vedado o uso de IA para gerar conteúdos que possam violar leis, normas internas ou princípios éticos do Grupo Pirasa;
5. O uso de IA deve respeitar integralmente a legislação vigente, especialmente no que se refere à proteção de dados pessoais e propriedade intelectual.

8.13. TRABALHO REMOTO E ACESSO REMOTO

O trabalho remoto e o acesso remoto aos sistemas do Grupo Pirasa devem observar as seguintes diretrizes:

1. O acesso remoto deve ser realizado por meio de ferramentas seguras e aprovadas pelo Departamento de Tecnologia da Informação;
2. Deve-se utilizar, obrigatoriamente, mecanismos de autenticação forte, como múltiplos fatores de autenticação (MFA), quando disponíveis;
3. É proibido o acesso aos sistemas corporativos por meio de redes públicas não seguras;
4. Os dispositivos utilizados para acesso remoto devem estar devidamente atualizados e protegidos por soluções de segurança, como antivírus e firewall;
5. O usuário deve garantir que o ambiente remoto seja seguro e que não haja acesso de terceiros não autorizados às informações do Grupo Pirasa.

8.14. DISPOSITIVOS MÓVEIS E BYOD

O uso de dispositivos móveis e práticas de BYOD (Bring Your Own Device) deve observar as seguintes diretrizes:

1. O uso de dispositivos pessoais para acesso a informações do Grupo Pirasa deve ser previamente autorizado;
2. Os dispositivos móveis devem possuir mecanismos de proteção, como senha, biometria ou outro método de autenticação;
3. Sempre que possível, deve-se utilizar soluções de gerenciamento de dispositivos móveis (MDM);
4. É obrigatória a criptografia de dados armazenados nos dispositivos móveis que contenham informações do Grupo Pirasa;
5. Em caso de perda, roubo ou comprometimento do dispositivo, o usuário deve comunicar imediatamente o Departamento de Tecnologia da Informação;
6. O acesso a dados corporativos deve ser segregado dos dados pessoais do usuário, sempre que tecnicamente possível.

PENALIDADES POR VIOLAÇÃO

O não cumprimento desta Política de Segurança da Informação poderá resultar na aplicação de medidas disciplinares, que poderão incluir advertência, suspensão ou desligamento, sem prejuízo das sanções civis e penais cabíveis.

GESTÃO DA POLÍTICA

Esta Política foi aprovada pela Alta Direção do Grupo Pirasa.

Esta Política deve ser comunicada a todos os colaboradores e partes interessadas.

Esta Política deve ser revisada periodicamente, de forma a garantir sua adequação às necessidades do Grupo Pirasa e às exigências legais e regulatórias.