POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Governança de TI
Clique aqui para baixar o nosso Questionário de Segurança e Privacidade da Informação completo, em PDF: https://www.centralserver.com/pdf/CentralServer_Questionario_Seguranca_Informacao.pdf
Governança de TI
| Existe uma política de segurança da informação aplicada aos funcionários e terceiros? | Política de Segurança da Informação existente e apresentada aos colaboradores internos e a prestadores de serviço quando aplicável. A política é avaliada e auditada periodicamente pelo Comitê de Segurança e Privacidade da Informação. Aborda temas relevantes relacionados à proteção de dados, como Senhas, Controle de Acesso, Gestão de Incidentes, Backups, Comunicação, Acesso e Comportamento na Internet, Privacidade, Testes de Segurança, Transferência de Informações, Registro e Auditoria de Eventos, Auditoria, Descarte e Destruição de Informações, entre outros. |
| Os colaboradores da CentralServer assinam um documento formal com cláusulas de privacidade e confidencialidade dos dados e informações? | Acordo de privacidade e confidencialidade assinado por todos os colaboradores e fornecedores que têm acesso a dados e sistemas da CentralServer. |
| Existe um processo de análise de riscos e formas definidas de mitigação de problemas de segurança? | Comitê interno de Segurança e Privacidade da Informação para análise de riscos e impactos sobre segurança e privacidade com reuniões mensais ou em caráter extraordinário quando necessário. |
| A equipe recebe treinamentos periódicos de boas práticas de segurança da informação e privacidade de dados? | Treinamentos dos novos colaboradores e reuniões regulares com a equipe para apresentação de normas e orientações sobre boas práticas de segurança da informação e privacidade de dados. |
| As credenciais são individuais para garantir que os acessos sejam identificados? | Uso de credenciais individuais para colaboradores internos, operadores de data center e usuários do console de autosserviço, exceto em sistemas que não permitam a individuação de logins administrativos. |
| Onde ficam armazenadas as credenciais individuais? | Em controladores de domínio e registros criptografados em bases de dados de sistemas. Colaboradores internos, incluindo operadores do data center, usam cofre de senhas para armazenamento das credenciais. |
| Qual a política de senha adotada? | Senhas com tamanho mínimo de 12 caracteres no console de autosserviço. Colaboradores internos, incluindo operadores de data center, usam senhas com, no mínimo, 16 caracteres renovadas em períodos de até 60 dias. |
| O acesso ao console de autosserviço é protegido por diferentes perfis de acesso e autenticação multifator? | Login no console de autosserviço com suporte a autenticação de dois fatores (2FA) e níveis diferenciados de acesso: gestor da conta, técnico total, leitor total, técnico leitura e leitor faturas. Uso de 2FA nos demais sistemas utilizados pela CentralServer sempre que disponível. |
| A CentralServer possui ferramentas para administração de solicitações de IT? | Uso de ferramenta de ITSM para envio e controle de solicitações de TI, incluindo autorizações de acesso mediante aprovação. |
| A CentralServer faz bloqueio de acesso do colaborador que está em período de férias ou em licença? | Bloqueio dos acessos à rede interna de colaboradores que estão em férias ou licença para evitar possíveis brechas de segurança. |
| A CentralServer faz bloqueio de acesso de colaboradores que encerram o contrato de trabalho? | O bloqueio dos acessos é realizado antecipadamente para usuários com acesso a sistemas críticos Para os demais, em até 2 horas após o encerramento do contrato de trabalho. |
| A CentralServer possui processo de revisão de permissões de acessos aos sistemas de tecnologia? | Revisão semestral, ou em menor período quando necessário, das permissões de acesso aos sistemas críticos ou que contenham dados pessoais. |
| A CentralServer possui os papéis e responsabilidades de Segurança da Informação definidas? | Comitê de Segurança e Privacidade da Informação (CSPI) estabelecido e com normas definidas para orientar suas atividades, equipe técnica especializada em segurança de TI e colaboradores treinados sobre suas responsabilidades quanto à segurança da informação. |
| A CentralServer define e comunica ações disciplinares a que estão sujeitos colaboradores que violem as determinações de Segurança da Informação? | Sanções cabíveis aos colaboradores que venham a infringir as normas de Segurança da Informação são definidas e divulgadas. |
| A CentralServer faz gestão de vulnerabilidades técnicas identificadas em sistemas? | Acompanhamento automatizado e manual das divulgações de correções de segurança (patches) de fornecedores, instalação de patches e monitoramento de sistemas para gestão de vulnerabilidades técnicas. |
| A CentralServer possui inventário dos ativos associados com segurança da informação? | Inventário e controle dos ativos associados à segurança da informação realizado regularmente (Desktops, Notebooks, Servidores, Componentes de Redes, etc.) |
| A CentralServer possui um plano para atualização de software dos equipamentos e sistemas nos notebooks, desktops, servidores, bancos de dados, etc.)? | Procedimento existente para atualização regular de firmware, sistemas operacionais e aplicações. |
| A CentralServer permite gravar dados em mídias removíveis (flash-drive, CD/DVD, HD externo, etc.)? | É bloqueado acesso de leitura e escrita em mídias removíveis em desktops, notebooks e servidores. |
| A CentralServer utiliza ambientes de Produção, Homologação e Testes para sistemas desenvolvidos ou adquiridos de terceiros? | Uso de ambientes de Produção, Homologação e Testes para os sistemas utilizados internamente pela CentralServer. |
| Na CentralServer, a identificação e autenticação do usuário na rede e em sistemas de tecnologia é individual? | Uso de autenticação individual baseada em Active Directory, LDAP e sistemas Single Sign-On (SSO) para garantir a segurança dos acessos aos sistemas de tecnologia. |
| A CentralServer possui uma política de desenvolvimento seguro de código? | A CentralServer possui uma política de desenvolvimento seguro de código que é revisada regularmente. |
| Como a CentralServer analisa a qualidade e segurança dos códigos produzidos? | A CentralServer utiliza metodologias de análise de qualidade de códigos para garantir que os sistemas sejam seguros e livres de vulnerabilidades. |
| A CentralServer fornece treinamentos de desenvolvimento seguro para os desenvolvedores? | Disponibilidade de treinamentos para desenvolvedores de códigos com o objetivo de garantir que o desenvolvimento seguro seja uma prática comum. |
| Como é feito o registro e a auditoria de acessos ao ambiente? | Acessos e operações feitos no console de autosserviço são registrados no log da aplicação e disponibilizados para consulta pelos operadores do data center. Os clientes podem consultar os acessos e operações feitos pelos usuários da sua entidade. Os acessos aos recursos gerenciados pela CentralServer são registrados em logs de serviço, exceto quando este registro é impossibilitado pelo fabricante. |