1. Objetivo

A Política de Segurança da Informação (PSI) estabelece diretrizes e responsabilidades para proteger os ativos de informação da Fundação Pró-Tocantins, garantindo confidencialidade, integridade e disponibilidade, e prevenindo perdas ou violações.

2. Responsabilidade

Área de Tecnologia da Informação (TI).

3. Aplicação

Aplica-se a todas as áreas da Fundação Pró-Tocantins, aos usuários e a qualquer colaborador ou pessoa custodiante de informações.

4. Documentos de Referência

• ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão de Segurança da Informação – Requisitos.
• ABNT NBR ISO/IEC 27002:2013 – Código de prática para a Gestão da Segurança da Informação.
• ABNT NBR ISO/IEC 27701:2019 – Gestão da privacidade da informação — Requisitos e diretrizes.
• Lei nº 9.610/1998 – Legislação sobre direitos autorais.
• Lei nº 12.551/2011 – Meios telemáticos e informatizados.
• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).
• Lei nº 10.695/2003 – Contra Software Pirata.
• Decreto-lei nº 2.848/1940 – Código Penal Brasileiro.
• Políticas de Privacidade e Proteção de Dados da Fundação Pró-Tocantins.

5. Princípios da Política

A informação é um ativo da Fundação Pró-Tocantins — um bem que possui valor e que deve ser protegido, independentemente de estar escrito ou falado, impresso em papel, armazenado eletronicamente ou transmitido por meios eletrônicos.

Diretrizes Gerais

• A informação gerada ou recebida em decorrência das atividades é propriedade da Fundação Pró-Tocantins.
• Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual e industrial (Lei nº 9.279) e de direitos autorais (Lei nº 9.610).
• A segurança da informação depende de pessoas comprometidas, processos de controle gerencial e sistemas adequados.
• Cumprir a legislação vigente no Brasil e demais instrumentos regulamentares pertinentes às atividades da Instituição.

6. Classificação da Informação

As informações sob a responsabilidade da Fundação Pró-Tocantins devem ser classificadas e protegidas com controles adequados durante todo o seu ciclo de vida, conforme os níveis:

Avaliação de Riscos

Os riscos devem ser avaliados para identificar ameaças e impactos sobre os ativos de informação, estabelecendo controles de proteção e respostas proporcionais às necessidades de segurança da informação e cibernéticos.

7. Papéis e Responsabilidades

8. Controle de Acesso

Acesso Físico

• Somente pessoas autorizadas podem acessar o Datacenter, servidores e áreas restritas.
• A TI deve estabelecer controles para prevenir o acesso físico indevido.

Gestão de Acesso à Rede e Sistemas

• Acesso ao ambiente lógico ocorre exclusivamente por usuário e senha individuais.
• O acesso é liberado pela TI mediante autorização da Fundação.
• Usuário e senha são intransferíveis. Em caso de suspeita de violação, a troca deve ser imediata.
• Senha padrão deve ser alterada no primeiro acesso.

Bloqueio de Credenciais

As credenciais podem ser bloqueadas nas seguintes situações: rescisão contratual; mudança de função ou área; tentativas consecutivas sem sucesso; suspeita de violação; solicitação do gestor imediato, Direção ou do próprio colaborador.

9. Acesso Remoto

O acesso remoto à rede administrativa da Fundação Pró-Tocantins só será permitido por dispositivos e ferramentas homologadas pela área de TI, devendo ser criptografado, autenticado por usuário e senha, podendo ser monitorado ou auditado.

10. Recursos Computacionais

• Os recursos de TI são destinados exclusivamente às atividades de trabalho — proibido o uso pessoal.
• Proibido o uso de equipamentos particulares (computadores, tablets, notebooks) nas dependências, exceto cargos de confiança.
• Proibida a intervenção do usuário para manutenção, instalação ou modificação de software (pirataria).
• Equipamentos em desuso devem ser encaminhados à TI para remoção das informações.

11. Mesa Limpa

• Fora do expediente, guardar documentos impressos e mídias em armários, cofres ou mobília com chave.
• Desligar todas as estações de trabalho ao final do expediente.
• Bloquear a tela sempre que se ausentar da estação.
• Evitar impressões de documentos sensíveis sempre que possível.

12. Descarte de Documentos e Mídias

• Todo documento físico ou digital sem utilidade deverá ser destruído antes do descarte.
• Dispositivos portáteis e papéis devem passar pelo triturador.
• HDs devem ser encaminhados à TI para destruição da informação antes do descarte ou reutilização.
• Observar a temporalidade de guarda exigida por requisitos legais.

13. Antivírus

• As estações possuem antivírus homologado, instalado e gerenciado pela TI.
• O usuário não pode remover ou alterar configurações do antivírus.
• As checagens periódicas são programadas automaticamente pela TI.

14. Armazenamento de Arquivos

• Todos os arquivos em servidores e estações devem ser exclusivamente de interesse da Fundação.
• Criação de pastas departamentais deve ser solicitada pelo responsável hierárquico.
• Acessos exigem autorização do responsável hierárquico e do gestor de liberações.
• Arquivos sem interesse institucional devem ser excluídos.

15. Uso e Armazenamento em Nuvem

• Recursos institucionais autorizados: Google, Google Drive, biblioteca compartilhada e grupos de trabalho, administrados pela TI.
• Outras plataformas podem ser bloqueadas. O uso requer solicitação justificada pelo gestor imediato e validação da TI.
• Ao término do contrato, os acessos são revogados. O backup deve ser solicitado pelo gestor em até 15 dias após o desligamento.

16. Salvaguarda e Recuperação de Arquivos

• A TI mantém rotinas de backup, preferencialmente com redundância.
• Backups são realizados em intervalos de no máximo 1 hora para pastas compartilhadas e sistemas de produção.
• A recuperação exige solicitação formal e aprovação do dono da informação ou gestor imediato.

17. Utilização de Internet

• O acesso é autorizado apenas para fins profissionais.
• Todos os acessos podem ser monitorados e auditados pela TI.
• Visitantes e prestadores acessam por meio de rede isolada e segmentada (Wi-Fi).
• É proibido download/upload de softwares, vídeos, áudios ou conteúdo delituoso.

Categorias de Acesso Proibido

O acesso a redes sociais e conteúdo multimídia só será autorizado mediante solicitação justificada do gestor da unidade demandante. O uso indevido é de inteira responsabilidade do usuário.

18. Softwares, Mensagens e Web Conferência

• Softwares instalados são propriedade exclusiva da Fundação. Proibida a cópia ou instalação de softwares piratas.
• A pirataria é crime conforme Lei 9.609/98, sujeita a detenção e multa.
• O conteúdo de e-mails e mensagens deve ser exclusivamente profissional.
• Comunicados em massa devem ser previamente aprovados pela TI.
• Mensagens de origem desconhecida devem ser eliminadas sem leitura.
• As mensagens podem ser auditadas conforme definição do TST.
• Responder e-mail fora do expediente não configura hora extra (salvo demanda expressa).

19. Mídias Removíveis e Portas USB

• O acesso a mídias removíveis é controlado especificamente pela TI para evitar vazamentos e malwares.
• Os funcionários são responsáveis por garantir que dispositivos USB usados estejam em conformidade com as políticas.
• Em alguns casos, pode ser restringido o acesso físico aos computadores para evitar conexões não autorizadas.

20. Auditorias e Acesso Remoto

• Auditorias são realizadas periodicamente conforme procedimentos da TI.
• O acesso remoto ou auditoria local — mediante autorização da diretoria — não caracteriza invasão, pois o equipamento e suas informações são propriedade da empresa.
• A Diretoria pode solicitar relatórios contendo nome, mensagens, acessos e demais informações, conforme resolução do TST.

21. Disposições Finais

Todas as práticas que ameacem a segurança da informação estabelecida nesta PSI estarão sujeitas às medidas disciplinares, aplicadas conforme as penalidades previstas na Política de Consequências.

Anexo I — Glossário de Termos