Política – Gestão Segurança da Informação

1.    Visão Geral

Esta política é um dos componentes de gestão da segurança da informação que tem a preocupação de garantir e proteger os dados criados e manuseados por todos os envolvidos no ambiente de tecnologia da MMCafé.

2.    Objetivo

Objetivo deste documento é definir os princípios e diretrizes gerais que visam a preservação da segurança da informação, primando pela confidencialidade, integridade, disponibilidade, autenticidade, bem como legalidade dos processos que amparam a operacionalização e gestão das atividades da MMCafé;

Estabelecer as responsabilidades e limites de atuação dos Dirigentes, Colaboradores, Prestadores de Serviços da MMCafé em relação à segurança da informação e comunicação, reforçando uma cultura interna baseada em integridade.

3.    Escopo

Esta seção define os princípios gerais da política de segurança, e estabelece o quadro em que cada um dos outros documentos de política de segurança deve ser interpretado, aprovado, comunicados e gerenciados. Há também uma descrição dos papéis e responsabilidades mais importantes para a governança da informação dentro da organização.

4.    Pessoa e Áreas Envolvidas

Todos os funcionários e parceiros que trabalham diretamente com atividades que utilizam os recursos de tecnologia da informação da MMCafé.

5.    Funções e responsabilidades da segurança da informação – Proteção da Informação

A informação é um importante ativo para a operação das atividades comerciais e para manter a vantagem competitiva no mercado. Tal como os ativos da MMCafé, a informação deve ser adequadamente manuseada e protegida.

A informação pode estar presente em diversas formas, tais como: sistemas de informação, diretórios de rede, bancos de dados, mídia impressa, magnética ou ótica, dispositivos eletrônicos, equipamentos portáteis e até mesmo por meio da comunicação oral.

Toda informação relacionada aos projetos da MMCafé, geradas ou desenvolvidas, durante a execução das atividades de prestador de serviços, constitui ativo da MMCafé, essencial à condução de negócios, e em última análise, à sua existência.

Independentemente da forma apresentada ou do meio pelo qual é compartilhada ou armazenada, a informação deve ser utilizada unicamente para a finalidade para a qual foi autorizada.

A modificação, divulgação e destruição não autorizadas e oriundas de erros, fraudes, vandalismo, espionagem ou sabotagem causam danos aos negócios da MMCafé.

É diretriz que toda informação de propriedade da MMCafé seja protegida de riscos e ameaças que possam comprometer a confidencialidade, integridade ou disponibilidade destas.

5.1.        Definições e Responsabilidades

O Sistema de Informação é definido como qualquer sistema eletrônico que armazena, processa ou transmite informações.

Dados institucionais são definidos como quaisquer dados que sejam de propriedade ou licenciados pelos nossos Funcionários.

É missão e responsabilidade de cada funcionário, estagiário, prestador de serviços, parceiro ou visitante, observar e seguir as políticas, padrões, procedimentos e orientações estabelecidas para o cumprimento da presente Política de Segurança da Informação.

É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias.

Todas as atividades executadas devem observar a legislação vigente e a normatização de órgãos e entidades reguladoras, com relação à segurança da informação.

Para auxiliar a todos os colaboradores nessa missão, a área de Infraestrutura e Segurança da Informação, dão o devido suporte.

A área de Infraestrutura e Segurança da Informação é responsável por editar as políticas e padrões que apoiam a todos na proteção dos ativos de informação, e está preparada para auxiliar na resolução de problemas relacionados ao tema.

5.2.        Informações Confidenciais

São consideradas informações confidenciais, para os fins desta Política, quaisquer informações das partes consideradas não disponível ao público ou reservadas, dados, especificações técnicas, desenhos, manuais, esboços, modelos, amostras, materiais promocionais, projetos, estudos, documentos e outros papéis de qualquer natureza, tangíveis ou em formato eletrônico, arquivos em qualquer meio, programas e documentação de computador, comunicações por escrito, verbalmente ou de outra forma reveladas pela MMCafé e/ou obtidas pelo Funcionários em decorrência da execução do contrato de prestação de serviços.

São responsáveis pela observância desta Política os diretores, funcionários, estagiários, (incluindo advogados, auditores e consultores financeiros).

O Funcionário que receber as informações confidenciais deverá mantê-las e resguardá-las em caráter sigiloso, bem como limitar seu acesso, controlar quaisquer cópias de documentos, dados e reproduções que porventura sejam extraídas da mesma. Nenhuma das informações confidenciais podem ser repassadas para terceiros sem consentimento por escrito da MMCafé.

Qualquer revelação das informações confidenciais deverá estar de acordo com os termos e condições estabelecidos pela MMCafé. As informações confidenciais somente poderão ser utilizadas para fins de execução das atividades estabelcidas entre as partes.

O Funcionário deverá resguardar as informações confidenciais de forma estrita, e jamais poderá revelá-las a não ser para os seus representantes legais. A parte que receber as informações será responsável por qualquer não cumprimento desta Política porventura cometido pelos seus representantes legais.

O Funcionário deverá informar prontamente a MMCafé sobre qualquer uso ou revelação indevida da informação ou qualquer outra forma que caracterize o descumprimento desta Política.

Se qualquer uma das partes ou seus representantes legais, que detém as informações confidenciais, for solicitado ou requerido, oralmente ou por escrito, solicitações de informações de documentos, mandados de investigações civis ou qualquer outro pedido similar, para revelar tais informações confidenciais, deverá notificar prontamente a outra parte para que esta tenha tempo hábil para verificação, inclusive, se for o caso, aplicar as ressalvas contidas nos termos desta Política.

As cláusulas de ciência, responsabilidade e confidencialidade quanto à política e diretrizes de segurança da informação visam alertar e responsabilizar o Funcionário de que o acesso e o manuseio de informação devem se restringir ao exercício da função ou processo que requer essa informação, sendo proibido o uso para qualquer outro propósito distinto do designado.

5.3.        Violação da Política, Normas e Procedimentos de Segurança da Informação

As violações de segurança devem ser informadas à área de Infraestrutura e Segurança da Informação, diretamente.

Toda violação ou desvio é investigado para a determinação das medidas necessárias, visando à correção da falha ou reestruturação de processos.

Exemplos que podem ocasionar sanções:

• uso ilegal de software; – introdução (intencional ou não) de vírus de informática;
• tentativas de acesso não autorizado a dados e sistemas;
• compartilhamento de informações sensíveis do negócio;
• divulgação de informações de Funcionários e das operações contratadas;

Os princípios de segurança estabelecidos na presente política possuem total aderência da administração da MMCafé e devem ser observados por todos na execução de suas funções.

A não-conformidade com as diretrizes desta política e a violação de normas derivadas da mesma, sujeita os funcionários às penas de responsabilidade civil e criminal na máxima extensão que a lei permitir e a rescisão de contratos.

Em caso de dúvidas quantos aos princípios e responsabilidades descritas nesta norma, o Funcionário deve entrar em contato com área de Infraestrutura e Segurança da Informação

5.4.        Usuário

Para efeitos de segurança da informação, um Usuário é qualquer empregado, contratado ou terceiro que possuir acesso a PLATAFORMA MMCAFÉ e aos documentos relacionados

5.5.        Princípios e Diretivas da Política de Segurança Informação

5.5.1.   Classificação da Informação

As informações e os sistemas de informação, diretórios de rede e bancos de dados são classificados como estritamente confidenciais. As informações, seja no período de geração, guarda, uso, transferência e destruição devem ser tratadas em conformidade com cada etapa do ciclo. As informações confidenciais necessitam de sigilo absoluto e devem ser protegidas de alterações não autorizadas e estarem disponíveis apenas às pessoas pertinentes e autorizadas a trabalhá-las, sempre que necessário.

Cabem aos funcionários todos os esforços necessários de segurança para protegê-las.

Falhas no sigilo da informação, integridade ou disponibilidade deste tipo de informação trazem grandes prejuízos à Organização, expressos em perdas financeiras diretas, perdas de competitividade e produtividade ou imagem da MMCafé, podendo levar à prejuízos graves ao crescimento.

São exemplos de informações confidenciais:

• Informações de Funcionários que devem ser protegidas por obrigatoriedade legal, incluindo dados cadastrais (CPF, RG etc.), situação financeira e movimentação bancária;
• Informações sobre produtos e serviços que revelem vantagens competitivas da MMCafé frente ao mercado;
• Todo o material estratégico da MMCafé (material impresso, armazenado em sistemas, em mensagens eletrônicas ou mesmo na forma de conhecimento de negócio da pessoa);
• Quaisquer informações da MMCafé, que não devem ser divulgadas ao meio externo antes da publicação pelas áreas competentes;
• Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações utilizadas na autenticação de identidades. Estas informações são também pessoais e intransferíveis.

5.5.2.   Acesso a Sistemas e Recursos de Rede

O Funcionários são totalmente responsáveis pela correta posse e utilização de suas senhas e autorizações de acesso a sistemas, assim como pelas ações decorrentes da utilização destes poderes.

O acesso e o uso de todos os sistemas de informação, diretórios de rede, bancos de dados e demais recursos devem ser restritos a pessoas explicitamente autorizadas e de acordo com a necessidade para o cumprimento de suas funções.

Acessos desnecessários ou com poder excessivo devem ser imediatamente retirados. A concessão de acesso às informações e sistemas deve ser autorizada com base na regra de mínimo acesso necessário para o desempenho da função.

Periodicamente, os acessos concedidos devem ser revistos pelo Funcionário.

5.5.3.   Utilização dos Recursos de Informação

Apenas os equipamentos e software disponibilizados e/ou homologados pela MMCafé podem ser instalados e conectados à rede da MMCafé. Todos os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis. Documentos não devem ser abandonados após a sua cópia, impressão ou utilização.

5.5.4.   Autenticação e Senha

Os Funcionários são responsáveis por todos os atos executados com seu identificador (login / sigla), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia.

O Funcionário deve:

• Manter a confidencialidade, memorizar e não registrar a senha em lugar algum. Ou seja, não contá-la a ninguém e não anotá-la em papel;
• Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;
• Selecionar senhas de qualidade, que sejam de difícil adivinhação;
• Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ “logado” com a sua identificação;
• Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del).

5.5.5.   Direito de Acesso (Autorização)

O Funcionário é o responsável pela utilização e eventuais usos inadequados dos direitos de acesso que são atribuídos aos seus funcionários, estagiários, prestadores de serviços, parceiros e visitantes, sendo intransferíveis.

A solicitação de acesso à informação deve decorrer da necessidade funcional do Funcionário.

5.5.6.   Direitos de Propriedade

Todo produto resultante do trabalho dos funcionários (coleta de dados e documentos, sistema, metodologia, dentre outros) é de propriedade da MMCafé.

Em caso de extinção ou rescisão do contrato de prestação de serviços do funcionário, por qualquer motivo, deverá o funcionário devolver todas as informações confidenciais geradas e manuseadas em decorrência da prestação dos serviços a MMCafé, ou emitir declaração de que as destruiu.

5.5.7.   Equipamentos particulares/privados

Equipamentos particulares/privados, como computadores ou qualquer dispositivo portátil que possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar informações relacionadas com o negócio, nem devem ser conectados às redes da Empresa.

5.6.        Mesa Limpa

Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos, eletrônicos ou não.

Ao usar uma impressora coletiva, recolher o documento impresso imediatamente.

5.7.        Conversas em Locais Públicos e registro de informações

Não discutir ou comentar assuntos confidenciais em locais públicos ou por meio de mensagens de texto, exceto quando encaminhadas a MMCafé.

5.8.        Leis e Regulamentos

É de responsabilidade do funiconário conhecer a legislação e cumprir os requisitos legais, normas e padrões locais vigentes.

5.8.1.   Divisão de Deveres, Autoridades, Responsáveis e grupos especiais

As informações detalhadas desta política estão reportadas dentro da planilha Controle de Reponsabidlidades.xlsx a mesma fica armazenada dentro da área de procedimento da intranet interna da MMCafé e disponível para todos os funcionários pertinentes.

5.8.2.   Segurança da Informação na Gestão de Projeto

A segurança da informação é integrada nos métodos de gerenciamento de projeto da MMCafé para assegurar que os riscos de segurança da informação estão identificados e considerados como parte de um projeto. Isto se aplica de um modo geral, para qualquer projeto.

Os métodos de gerenciamento de projetos usados requerem:

1. os objetivos de segurança da informação sejam contemplados nos objetivos do projeto;
2. uma avaliação dos riscos de segurança da informação seja conduzida em estágios iniciais do projeto para identificar os controles que são necessários;
3. a segurança da informação seja parte integrante de todas as fases da metodologia do projeto.

As questões de segurança da informação sejam consideradas e analisadas criticamente a intervalos planejados, em todos os projetos. Convém que as responsabilidades pela segurança da informação sejam definidas e alocadas para papéis específicos definidos dos métodos de gerenciamento de projeto.

6.    Politicas de Dispositivos Moveis

Os funcionários devem concordar com os termos e condições estabelecidos nesta política, a fim de ser capaz de conectar seus dispositivos à rede da empresa.

Esta política se destina a proteger a segurança e integridade dos dados e tecnologia. exceções limitadas a política podem ocorrer devido a variações de dispositivos e plataformas.

6.1.        Utilização aceitável

A empresa define o uso do negócio aceitável como atividades que apoiam direta ou indiretamente, a atividade de MMCafé.

A empresa define o uso pessoal aceitável no tempo da companhia como comunicação pessoal razoável e limitado ou recreação, tais como a leitura ou jogo de jogo.

Os funcionários são impedidos de acessar determinados sites durante as horas de trabalho / enquanto estiver conectado à rede corporativa, a critério da Companhia. Esses sites incluem, mas não estão limitados a todos os sites que não estão disponíveis em um computador empresa quando operado pelo usuário.

6.2.        Dispositivos

Armazenar ou transmitir materiais ilícitos, incluindo dados de clientes privados, a menos que esses dados são criptografados usando métodos aprovados pela empresa.

Armazenar ou transmitir informações confidenciais pertencentes a outra empresa assediar outros Etc.

Os funcionários podem usar seu dispositivo móvel para acessar os seguintes recursos de propriedade da empresa: e-mail, calendários, contatos, documentos, etc.

Os dispositivos devem ser apresentados para efeitos de instalação e configuração do software de segurança adequado antes que eles possam acessar a rede.

6.3.        Reembolso

A empresa não irá reembolsar o empregado para o custo do dispositivo e encargos a menos que acordado no contrato do empregado.

6.4.        Segurança

A fim de evitar o acesso não autorizado, os dispositivos devem ser protegidos usando os recursos de uma senha forte para acessar a rede da empresa, as senhas devem ser de no mínimo 4 caracteres.

O dispositivo deve bloquear-se com uma senha, se está inativo durante cinco minutos.

Depois de cinco tentativas falhas de login, o dispositivo irá travar. Contate TI para recuperar o acesso.

Os funcionários não são impedidos automaticamente de baixar, instalar e usar qualquer aplicativo que não aparece na lista de aplicativos aprovados da empresa, mas pode ser solicitado a remover aplicativos que têm o potencial para criar um risco de que a empresa se tornaria responsável.

Smartphones e tablets que não estão na lista de dispositivos suportados da empresa estão / não estão autorizados a se conectar à rede.

O acesso dos funcionários a dados da empresa é limitado com base em perfis de usuário definidos pela TI e automaticamente aplicadas.

O dispositivo do empregado pode ser remotamente limpo se

1. o dispositivo for perdido
2. o empregado termina seu emprego
3. detecta um dado ou política de violação, um vírus ou ameaça semelhante à segurança dos dados da empresa e infraestrutura tecnológica.

6.5.        Riscos, Passivo e Disclaimers

Enquanto isso vai levar todas as precauções para evitar que os dados pessoais do empregado sejam perdidos em caso deve apagamento remoto de um dispositivo, é responsabilidade do funcionário de tomar precauções adicionais, como backup de e-mail, contatos, etc.

A empresa reserva-se o direito de desligar dispositivos ou desativar serviços sem notificação.

Dispositivos perdidos ou roubados devem ser comunicada à empresa dentro de 24 horas.

Os funcionários são responsáveis por notificar sua operadora de celular imediatamente após a perda de um dispositivo.

O empregado é esperado para usar seus dispositivos de forma ética em todos os momentos e aderir à política de uso aceitável da empresa, conforme descrito acima.

O funcionário é pessoalmente responsável por todos os custos associados com o seu dispositivo.

O funcionário assume total responsabilidade por riscos, incluindo, mas não limitado a perda parcial ou total da empresa e dados pessoais devido a uma falha do sistema operacional, erros, vírus, malware, e / ou outro software ou falhas de hardware, ou programação erros que tornam o dispositivo inutilizável.

MMCafé reserva-se o direito de tomar medidas disciplinares apropriadas até e incluindo rescisão por descumprimento desta política.

7.    Política de Trabalho Remoto

Esta cláusula determina as diretrizes da organização e requisitos e responsabilidades do funcionário, sobre configuração home-office, instalação de equipamentos, segurança home-office, inspeções, e os custos de instalação.

7.1.        Tecnologias e meios de comunicação.

São considerados meios de comunicação fixos adotados pela MMCafé:

• HANGOUTS, GOOGLE MEATS e MICROSOFT TEAMS  – para comunicações internas gerais, reuniões virtuais e chat
• E-MAIL – para comunicações externas e com clientes
• TELEFONE – para comunicações em áudio interna e externas
• Plataforma MMCafé – para distribuição de prazos e tarefas, acompanhamento dos casos, controle de produtividade (lançamento de horas e agenda) e processamento financeiro do faturamento e despesas.

7.2.        Check-in.

O colaborador deverá anotar seu ponto no sistema e/ou enviar mensagem para a equipe avisando que está em sua mesa trabalhando remotamente. Nesse período, ele deve estar disponível para ligações, comunicações via chat e reuniões virtuais em situação de disponibilidade equivalente à quando está presente na empresa.

Reunião Semanal.

Todas as equipes precisam participar da reunião semanal via conferência para que digam as tarefas que foram executadas durante a semana, tarefas que planejam executar no próximo dia e eventuais bloqueios ou dificuldades.

Disponibilidade durante o dia.

Não necessariamente o colaborador que está em Home Office precisa cumprir os horários de quem não está. No entanto, é fundamental e obrigatório estar 100% disponível dentro do horário comercial por, pelo menos, [5 horas].

Requisitos mínimos no local onde você estiver trabalhando remotamente.

O colaborador precisa ter meios de comunicação e tecnológicos (link de internet, um telefone fixo ou celular com sinal) para se manter conectado de forma segura e estável. Você deve ser capaz de fazer uma ligação em vídeo com ambiente atrás de você apresentável para clientes e estar em um local em que consiga falar sem muito barulho ou bagunça externa.

• Tenha zelo e cuidado com o computador e/ou material fornecido pela MMCafé;
• Utilize os meios de comunicação adotados pela MMCafé para suas tarefas e contatos com outros colaboradores;

Casos urgentes ou emergência de clientes. Contatos de extrema urgência e/ou importância podem ocorrer fora do horário combinado.

Comunique o que está fazendo. Sempre que fizer sentido dar publicidade à determinada conversa/assunto, publique nos canais de comunicação oficiais para que os demais saibam

8.    Política de Segurança e Gerenciamento de Senhas

8.1.        Criação de senha

Todas as senhas do nível do usuário e do nível do sistema devem estar de acordo com as Diretrizes de Construção de Senhas.

Os usuários não devem usar a mesma senha para as contas da MMCafé como para outros acessos que não seja da MMCafé (por exemplo, conta ISP pessoal, negociação de opções, benefícios e assim por diante).

Sempre que possível, os usuários não devem usar a mesma senha para várias necessidades de acesso.

As contas de usuário que possuem privilégios de nível de sistema concedidos através de associações ou programas de grupo, devem ter uma senha exclusiva de todas as outras contas detidas por esse usuário para acessar privilégios de nível de sistema.

Quando o Protocolo de Gerenciamento de Rede Simples (SNMP) é usado, as cadeias da comunidade devem ser definidas como algo diferente dos padrões padrão de público, privado e sistema e devem ser diferentes das senhas usadas para fazer login de forma interativa. As cadeias da comunidade SNMP devem atender às diretrizes de construção de senha.

8.2.        Mudança de senha

Todas as senhas do nível do sistema (por exemplo, root, habilitação, administração do NT, contas de administração de aplicativos, etc.) devem ser alteradas pelo menos trimestralmente.

Todas as senhas do nível do usuário (por exemplo, e-mail, web, computador de mesa e assim por diante) devem ser alteradas pelo menos de seis em seis meses. O intervalo de mudança recomendado é de quatro em quatro meses.

O cracking ou descoberta de senha pode ser realizado de forma periódica ou aleatória pela equipe de segurança ou seus delegados. Se uma senha for descoberta ou quebrada durante uma dessas varreduras, o usuário será obrigado a alterá-lo para estar em conformidade com as Diretrizes de Construção de Senha.

8.3.        Proteção por senha

As senhas não devem ser compartilhadas com ninguém. Todas as senhas devem ser tratadas como informações confidenciais, confidenciais <nome da empresa>. A Segurança da Informação Corporativa reconhece que os aplicativos legados não suportam sistemas proxy no local. Consulte a referência técnica para obter detalhes adicionais.

As senhas não devem ser inseridas em mensagens de e-mail, casos de Aliança ou outras formas de comunicação eletrônica.

• As senhas não devem ser reveladas por telefone para ninguém.
• Não revele uma senha em questionários ou formulários de segurança.
• Não diga o formato de uma senha (por exemplo, “meu nome de família”).
• Não compartilhe senhas de <nome da empresa> com qualquer um, incluindo assistentes administrativos, secretários, gerentes, colegas de trabalho durante as férias e membros da família.
• Não escreva senhas para baixo e guarde-as em qualquer lugar em seu escritório. Não armazene senhas em um arquivo em um sistema de computador ou dispositivos móveis (telefone, tablet) sem criptografia.
• Não use o recurso “Lembrar senha” de aplicativos (por exemplo, navegadores da web).

Qualquer usuário que suspeite de que sua senha pode ter sido comprometida deve denunciar o incidente e alterar todas as senhas.

8.4.        Desenvolvimento de Aplicação

Os desenvolvedores de aplicativos devem garantir que seus programas contenham as seguintes precauções de segurança:

Os aplicativos devem suportar a autenticação de usuários individuais, não de grupos.

Os aplicativos não devem armazenar senhas em texto nítido ou em qualquer forma facilmente reversível.

Os aplicativos não devem transmitir senhas em texto claro na rede.

Os aplicativos devem fornecer algum tipo de gerenciamento de funções, de modo que um usuário possa assumir as funções de outro sem ter que saber a senha do outro.

8.5.         Uso de senhas e frase-senha

As frases de acesso geralmente são usadas para autenticação de chave pública e privada. Um sistema de chave público e privado define uma relação matemática entre a chave pública que é conhecida por todos e a chave privada, que é conhecida apenas pelo usuário. Sem a senha para “desbloquear” a chave privada, o usuário não pode acessar. As frases de acesso não são as mesmas que as senhas. Uma senha é uma versão mais longa de uma senha e, portanto, é mais segura.

Uma frase-senha geralmente é composta de várias palavras. Por causa disto, uma senha é mais segura contra “ataques de dicionário”. Uma boa frase secreta é relativamente longa e contém uma combinação de letras maiúsculas e minúsculas e caracteres numéricos e de pontuação.

Um exemplo de uma frase de senha boa:

“O *? #> * @ TrafficOnThe101Was * & #! # ThisMorning”

Todas as regras acima que se aplicam às senhas aplicam-se às frases de acesso.5. Conformidade com as Políticas

8.6.        Medição de Conformidade

A equipe de segurança da informação verificará a conformidade com esta política através de vários métodos, incluindo, entre outros, testes periódicos de caminhada, monitoramento de vídeo, relatórios de ferramentas de negócios, auditorias internas e externas e comentários ao proprietário da política.

8.7.        Exceções

Qualquer exceção à política deve ser aprovada antecipadamente pela equipe segurança da informação.

8.8.        Incumprimento

Um funcionário que tenha violado esta política pode estar sujeito a medidas disciplinares ou até demissão.

8.9.        Gerenciamento de Senhas

A MMCafé utiliza um software TeamPass para realizar a gerencia de suas senhas de administração de serviços, servidores, dispositivos internos e aplicações internas e clientes.

9.    Política sobre o uso de controles criptográficos

9.1.        Uso de criptográfico controla a política

Política para o uso de técnicas de criptografia para proteger dados sensíveis em repouso e em trânsito. Esta política define os controles e procedimentos relacionados para as diversas áreas onde a criptografia e outras técnicas criptográficas são empregados.

9.2.        Âmbito e Aplicação

Controles de criptografia pode ser usado para alcançar os objetivos de segurança da informação diferentes, por exemplo:

• Confidencialidade: usando a criptografia de informações para proteger as informações sensíveis ou críticas, ou armazenados ou transmitidos
• Integridade / autenticidade: usando certificados de assinatura digital ou códigos de autenticação de mensagens para verificar a autenticidade ou integridade das informações críticas ou sensíveis armazenadas ou transmitidos
• Não repúdio: utilizando técnicas criptográficas para fornecer a prova da ocorrência de um evento ou ação
• Autenticação: utilização de técnicas criptográficas para autenticar usuários e outras entidades do sistema solicita o acesso ou transacionar com usuários do sistema, entidades e recursos

9.3.        Definições

• Criptografia: um método de armazenar e transmitir dados de uma forma que apenas aqueles a que se destina pode ler e processar.
• Criptografia: o processo de conversão de dados de texto simples para uma forma que não é legível a partes não autorizadas, conhecido como texto cifrado.
• Key: a entrada que controla o processo de criptografia e descriptografia. Há duas chaves secretas e públicas usados ​​na criptografia.
• Certificado Digital: Um documento eletrônico que é utilizado para verificar a identidade do titular do certificado, quando a realização de transações eletrônicas. certificados SSL são um exemplo comum que identificar dados sobre um servidor na Internet, bem como a criptografia pública da autoridade proprietária

9.4.        chave

• Certificado de Assinatura Digital: um tipo de certificado digital que prova que o remetente de uma mensagem ou o proprietário de um documento é autêntico e a integridade da mensagem ou documento está intacta. Um certificado de assinatura digital utiliza criptografia assimétrica e não é uma versão digitalizada da assinatura manuscrita de alguém ou uma assinatura manuscrita gerada por computador (aka uma assinatura eletrônica).
• Chaves SSH: Um par de chaves pública / privada usada para autenticar a servidores SSH e estabelecer uma conexão de rede segura.

9.5.        Histórico de Revisões