Política de segurança informática

1. Introdução

Este documento define as medidas a serem tomadas por todos os funcionários da SocialPilot Technologies Inc. e pela Empresa como um todo para proteger os sistemas informáticos, dispositivos, infra-estruturas, ambiente informático e todos os outros equipamentos relevantes da Empresa (coletivamente, “Sistemas de TI”) contra danos e ameaças internas, externas, deliberadas ou acidentais.

2. Introdução Princípios fundamentais

  • 2.1 Todos os sistemas informáticos devem ser protegidos contra o acesso não autorizado.
  • 2.2 Todos os sistemas informáticos só devem ser utilizados em conformidade com as políticas relevantes da empresa.
  • 2.3 Todos os dados armazenados nos sistemas de TI devem ser geridos de forma segura, em conformidade com todas as partes relevantes do RGPD e todas as outras leis que regem a proteção de dados, quer estejam em vigor agora ou no futuro.
  • 2.4 Todos os funcionários da Empresa e todos os terceiros autorizados a utilizar os Sistemas de TI, incluindo, mas não se limitando a, contratantes e subcontratantes (coletivamente, “Utilizadores”), devem certificar-se de que estão familiarizados com esta Política e devem aderir e cumpri-la sempre.
  • 2.5 Todos os sistemas de TI devem ser protegidos contra o acesso não autorizado. Todos os gestores de linha devem garantir que todos os Utilizadores sob o seu controlo e direção aderem e cumprem esta Política em todas as circunstâncias, conforme exigido no ponto 2.4
  • 2.6 Todos os sistemas informáticos devem ser instalados, mantidos, assistidos, reparados e actualizados por Jimit Bagadiya (o “Departamento Informático”) ou por terceiros que o Departamento Informático possa autorizar ocasionalmente.
  • 2.7 A responsabilidade pela segurança e integridade de todos os sistemas informáticos e dos dados neles armazenados (incluindo, entre outros, a segurança, a integridade e a confidencialidade desses dados) cabe ao departamento informático, salvo indicação expressa em contrário
  • 2.8 Todas as violações de segurança relativas aos sistemas informáticos ou a quaisquer dados neles armazenados devem ser comunicadas e subsequentemente investigadas pelo departamento informático.
  • 2.9 Todos os utilizadores devem comunicar imediatamente ao serviço informático todas e quaisquer preocupações de segurança relacionadas com os sistemas informáticos ou com os dados neles armazenados.

3. Responsabilidades do departamento de TI

  • 3.1 O diretor informático, Jimit Bagadiya, é responsável pelo seguinte
    • a) assegurar que todos os sistemas informáticos são avaliados e considerados adequados para cumprir os requisitos de segurança da empresa;
    • b) assegurar que as normas de segurança de TI na Empresa são efetivamente implementadas e regularmente revistas, através de auditorias periódicas e avaliações de risco, com relatórios regulares a serem apresentados à direção interna da Empresa sobre o estado da segurança da informação da Empresa e a conformidade com esta Política;
    • c) assegurar a gestão organizacional e o pessoal dedicado responsável pelo desenvolvimento, implementação e manutenção da presente política;
    • d) Efetuar avaliações de vulnerabilidade e gestão de patches utilizando tecnologias de proteção contra ameaças e procedimentos de monitorização programados concebidos para identificar, avaliar, atenuar e proteger contra ameaças à segurança identificadas, vírus e outros códigos maliciosos; e
    • e) assegurar que todos os Utilizadores estão cientes dos requisitos da presente Política e de toda a legislação, regulamentos e outras regras relevantes, actuais ou futuras, em vigor, incluindo, entre outros, o RGPD e a Lei sobre a Utilização Indevida de Computadores de 1990.
  • 3.2 O serviço informático é responsável pelo seguinte
    • a) ajudar todos os Utilizadores a compreender e a cumprir a presente Política;
    • b) prestar a todos os utilizadores o apoio e a formação adequados em matéria de segurança informática e de utilização dos sistemas informáticos;
    • c) assegurar que são concedidos a todos os utilizadores níveis de acesso aos sistemas informáticos adequados a cada utilizador, tendo em conta as suas funções, responsabilidades e eventuais requisitos especiais de segurança;
    • d) Receber e tratar todos os relatórios relativos a questões de segurança informática e tomar as medidas adequadas em resposta;
    • e) tomar medidas proactivas, sempre que possível, para estabelecer e aplicar procedimentos de segurança informática e sensibilizar os utilizadores;
    • f) assistir o Gestor de TI no controlo de toda a segurança informática na Empresa e tomar todas as medidas necessárias para implementar a presente Política e quaisquer alterações que lhe sejam introduzidas no futuro;
    • g) assegurar que são efectuadas cópias de segurança regulares de todos os dados armazenados nos sistemas informáticos, com intervalos não inferiores a 24 horas, e que essas cópias de segurança são armazenadas num local adequado fora das instalações da Empresa; e
    • h) Assegurar a conformidade com todas as normas de segurança informática definidas na norma ISO 27001, na medida em que essas normas não estejam abrangidas pelas obrigações estabelecidas nas alíneas a) a g) da cláusula 3.2.

4. Responsabilidades dos utilizadores

  • 4.1 Todos os Utilizadores devem cumprir sempre todas as partes relevantes da presente Política quando utilizam os Sistemas de TI.
  • 4.2 Todos os utilizadores devem utilizar os sistemas informáticos apenas dentro dos limites da legislação indiana e não devem utilizar os sistemas informáticos para qualquer fim ou atividade suscetível de infringir qualquer legislação indiana, atual ou futura, em vigor.
  • 4.3 Os utilizadores devem informar imediatamente o serviço informático de todas e quaisquer preocupações de segurança relacionadas com os sistemas informáticos.
  • 4.4 Todos os Utilizadores devem cumprir todas as partes relevantes desta Política em todos os momentos em que utilizam os Sistemas de TI. Os Utilizadores devem informar imediatamente o Departamento de TI de quaisquer outros problemas técnicos (incluindo, mas não se limitando a, falhas de hardware e erros de software) que possam ocorrer nos Sistemas de TI.
  • 4.5 Todas e quaisquer violações deliberadas ou negligentes desta Política por parte dos Utilizadores serão tratadas de acordo com os procedimentos disciplinares da Empresa.

5. Medidas de segurança do software

  • 5.1 Todos os programas informáticos utilizados nos sistemas informáticos (incluindo, entre outros, os sistemas operativos e as aplicações informáticas individuais) serão mantidos actualizados e todas e quaisquer actualizações, correcções, reparações e outras versões intermédias de programas informáticos relevantes serão aplicadas segundo o critério exclusivo do departamento informático. Esta disposição não abrange a atualização de software para novas ‘versões principais’ (por exemplo, da versão 1.0 para a versão 2.0), mas apenas as actualizações no âmbito de uma determinada versão principal (por exemplo, da versão 1.0 para a versão 1.0.1, etc.). A menos que uma atualização de software esteja disponível gratuitamente, será classificada como uma versão principal e, por conseguinte, será abrangida pelo âmbito da aquisição de novo software e não será abrangida pela presente disposição.
  • 5.2 Se for identificada uma falha de segurança em qualquer software, essa falha será imediatamente corrigida ou o software poderá ser retirado dos sistemas informáticos até que a falha de segurança possa ser efetivamente corrigida.
  • 5.3 Nenhum Utilizador pode instalar qualquer software próprio, quer esse software seja fornecido em suporte físico (por exemplo, DVD-Rom) quer seja descarregado, sem a aprovação do Gestor de TI. Qualquer software pertencente aos Utilizadores tem de ser aprovado pelo Gestor de TI e só pode ser instalado se não representar um risco de segurança para os Sistemas de TI e se a instalação não violar quaisquer acordos de licença a que esse software possa estar sujeito.
  • 5.4 Todo o software será instalado nos sistemas informáticos pelo departamento de TI, a menos que um utilizador individual receba autorização escrita do gestor de TI para o fazer. Essa autorização escrita deve indicar claramente qual o software que pode ser instalado e em que computador(es) ou dispositivo(s) pode ser instalado.

6.Medidas de segurança do hardware

  • 6.1 Sempre que possível, os sistemas de TI estarão localizados em salas que podem ser trancadas de forma segura quando não estão a ser utilizadas ou, em casos apropriados, sempre que estejam a ser utilizadas ou não (sendo o acesso concedido aos utilizadores autorizados através de uma chave, cartão inteligente, código de porta ou similar). Quando o acesso a esses locais for restrito, os Utilizadores não devem permitir o acesso de qualquer indivíduo não autorizado a esses locais, seja por que motivo for.
  • 6.2 Todos os sistemas informáticos que não se destinem a ser utilizados normalmente pelos utilizadores (incluindo, entre outros, servidores, equipamento de rede e infra-estruturas de rede) e quaisquer outras áreas onde possam ser armazenados dados pessoais (por exemplo, centros de dados ou salas de servidores) devem ser concebidos de modo a (i) proteger as informações e os bens físicos contra o acesso físico não autorizado, (ii) gerir, controlar e registar os movimentos de entrada e saída de pessoas das instalações em causa e (iii) proteger contra riscos ambientais como o calor, o fogo e a água.
  • 6.3 Nenhum utilizador pode ter acesso a sistemas informáticos que não se destinem a uma utilização normal pelos utilizadores (incluindo os dispositivos acima referidos) sem a autorização expressa do gestor informático. Em circunstâncias normais, sempre que um Utilizador identifique um problema com esses sistemas informáticos, esse problema deve ser comunicado ao Departamento de TI. Em circunstância alguma deve um Utilizador tentar retificar tais problemas sem a autorização expressa (e, na maioria dos casos, instrução e/ou supervisão) do Gestor de TI.
  • 6.4 Todos os dispositivos não móveis (incluindo, entre outros, computadores de secretária, estações de trabalho e monitores) devem, sempre que possível e prático, ser fisicamente fixados com um mecanismo de bloqueio adequado. Sempre que a conceção do equipamento o permita, as caixas dos computadores devem ser fechadas à chave para impedir a manipulação ou o roubo de componentes internos.
  • 6.5 Todos os dispositivos móveis (incluindo, mas não se limitando a computadores portáteis, netbooks, tablets, PDAs e telemóveis) fornecidos pela Empresa devem ser sempre transportados de forma segura e manuseados com cuidado. Em circunstâncias em que esses dispositivos móveis devam ser deixados sem vigilância, devem ser colocados dentro de uma mala com fechadura ou outro recipiente adequado. Os utilizadores devem envidar todos os esforços razoáveis para evitar que esses dispositivos móveis sejam deixados sem vigilância em qualquer local que não seja a sua residência privada ou as instalações da Empresa. Se um dispositivo móvel deste tipo for deixado num veículo, deve ser guardado fora da vista.
  • 6.6 O serviço informático deve manter um registo completo dos bens de todos os sistemas informáticos. Todos os sistemas informáticos devem ser etiquetados e os dados correspondentes devem ser mantidos no registo de bens.

7. Segurança de acesso

  • 7.1 Todos os sistemas informáticos (e, em especial, os dispositivos móveis, incluindo, entre outros, computadores portáteis, netbooks, tablets, PDA e telemóveis) devem ser protegidos por uma palavra-passe segura ou por qualquer outra forma de sistema de início de sessão seguro que o serviço informático considere adequado. Essas formas alternativas de início de sessão seguro podem incluir a identificação por impressões digitais e o reconhecimento facial.
  • 7.2 Controlos de acesso lógico concebidos para gerir o acesso eletrónico aos dados e à funcionalidade do sistema informático com base nos níveis de autoridade e nas funções do posto de trabalho (por exemplo, concessão de acesso com base na necessidade de conhecer e no mínimo privilégio, utilização de ID e palavras-passe únicas para todos os utilizadores, revisão periódica e revogação/alteração imediata do acesso quando o emprego termina ou ocorrem alterações nas funções do posto de trabalho).
  • 7.3 Todas as palavras-passe devem, sempre que o software, computador ou dispositivo o permita:
    • 7.3.1 ter pelo menos 5 caracteres;
    • 7.3.2 ser diferente da palavra-passe anterior;
    • 7.3.3 não ser óbvios ou fáceis de adivinhar (por exemplo, aniversários ou outras datas memoráveis, nomes, acontecimentos ou locais memoráveis, etc.);
    • 7.3.4 ser criados por Utilizadores individuais; e
    • 7.3.5 as palavras-passe recentemente emitidas devem ser alteradas após a primeira utilização
  • 7.4 As palavras-passe devem ser mantidas secretas por cada utilizador. Em circunstância alguma deve um Utilizador partilhar a sua palavra-passe com alguém, incluindo o Gestor de TI e o pessoal de TI. A palavra-passe não deve ser legitimamente pedida a nenhum utilizador em momento algum e deve ser recusada. Se um Utilizador tiver razões para crer que outra pessoa obteve a sua palavra-passe, deve alterá-la imediatamente e comunicar a suspeita de violação da segurança ao Departamento de TI.
  • 7.5 Se um utilizador se esquecer da sua palavra-passe, deve comunicar o facto ao serviço informático. O serviço informático tomará as medidas necessárias para restabelecer o acesso do utilizador aos sistemas informáticos, o que pode incluir a emissão de uma senha temporária que pode ser total ou parcialmente conhecida pelo membro do pessoal informático responsável pela resolução do problema. O utilizador deve definir uma nova palavra-passe imediatamente após o restabelecimento do acesso aos sistemas informáticos
  • 7.6 Todos os sistemas informáticos com ecrãs e dispositivos de entrada do utilizador (por exemplo, rato, teclado, ecrã tátil, etc.) devem ser protegidos, sempre que possível, com um protetor de ecrã protegido por palavra-passe que será ativado após 30 minutos de inatividade. Este período de tempo não pode ser alterado pelos Utilizadores e os Utilizadores não podem desativar o protetor de ecrã. A ativação do protetor de ecrã não interromperá ou perturbará quaisquer outras actividades que decorram no computador (por exemplo, processamento de dados).
  • 7.7 O serviço informático efectua auditorias regulares aos sistemas ou ao registo de eventos e procedimentos de controlo conexos para registar proactivamente o acesso e a atividade dos utilizadores nos sistemas informáticos, para efeitos de análise de rotina.
  • 7.8 Os utilizadores não podem utilizar qualquer software que permita o acesso de terceiros aos sistemas informáticos sem o consentimento expresso do gestor informático. Esse software deve ser razoavelmente necessário ao utilizador para o desempenho das suas funções e deve ser totalmente inspeccionado e autorizado pelo gestor de TI.

8. Proteção de dados

  • 8.1 Todos os dados pessoais (tal como definidos no Regulamento Geral de Proteção de Dados (“RGPD”)) recolhidos, mantidos e processados pela Empresa serão recolhidos, mantidos e processados estritamente de acordo com o RGPD e a Política de Proteção de Dados da Empresa.
  • 8.2 O serviço informático deve garantir a existência de controlos de segurança dos dados que incluam, no mínimo, mas não exclusivamente, a separação lógica dos dados, o acesso e a monitorização restritos (por exemplo, com base em funções) e a utilização de tecnologias de cifragem comercialmente disponíveis e normalizadas para os dados pessoais:
    • a) transmitidos através de redes públicas (ou seja, a Internet) ou quando transmitidos sem fios; ou
    • b) em repouso ou armazenados em suportes portáteis ou amovíveis (ou seja, computadores portáteis, CD/DVD, unidades USB, cassetes de cópia de segurança).
  • 8.3 Todas as mensagens de correio eletrónico que contenham dados pessoais devem ser encriptadas.
  • 8.4 Os dados pessoais contidos no corpo de uma mensagem de correio eletrónico, enviada ou recebida, devem ser copiados do corpo da mensagem e guardados em segurança. A própria mensagem de correio eletrónico deve ser apagada. Todos os ficheiros temporários associados devem também ser eliminados.
  • 8.5 Se os dados pessoais tiverem de ser enviados por fax, o destinatário deve ser previamente informado da transmissão e deve estar à espera no aparelho de fax para receber os dados.
  • 8.6 Se os dados pessoais estiverem a ser visualizados no ecrã de um computador e este for deixado sem vigilância durante um período de tempo, o utilizador deve bloquear o computador e o ecrã antes de o deixar.
  • 8.7 Nenhum dado pessoal deve ser transferido para qualquer dispositivo que pertença pessoalmente a um funcionário e os dados pessoais só podem ser transferidos para dispositivos que pertençam a agentes, contratantes ou outras partes que trabalhem em nome da Empresa quando a parte em questão tiver concordado em cumprir integralmente a letra e o espírito desta Política e do RGPD (o que pode incluir a demonstração à Empresa de que foram tomadas todas as medidas técnicas e organizacionais adequadas).
  • 8.8 O serviço informático deve assegurar procedimentos e controlos operacionais que permitam a eliminação segura de qualquer parte dos sistemas informáticos ou de qualquer suporte, de modo a tornar indecifráveis ou irrecuperáveis todas as informações ou dados neles contidos, antes da sua eliminação definitiva ou libertação da posse da empresa.
  • 8.9 Quando os dados pessoais tiverem de ser apagados ou eliminados por qualquer motivo (incluindo quando tiverem sido feitas cópias que já não sejam necessárias), devem ser apagados e eliminados de forma segura. As cópias em papel devem ser destruídas e as cópias electrónicas devem ser eliminadas de forma segura.
  • 8.10 O serviço informático deve assegurar que dispõe de medidas técnicas e organizativas adequadas para proteger contra o tratamento não autorizado ou ilícito de dados pessoais e a perda ou destruição acidental ou danificação de dados pessoais, adequadas aos danos que possam resultar do tratamento não autorizado ou ilícito ou da perda, destruição ou danificação acidental e à natureza dos dados a proteger, Tendo em conta o estado do desenvolvimento tecnológico e o custo da aplicação de quaisquer medidas (essas medidas podem incluir, se for caso disso, a pseudonimização e a cifragem de dados pessoais, a garantia da confidencialidade, integridade, disponibilidade e resiliência dos seus sistemas e serviços, a garantia de que a disponibilidade e o acesso aos dados pessoais podem ser restabelecidos em tempo útil após um incidente e a avaliação regular e a avaliação da eficácia das medidas técnicas e organizativas por si adoptadas).
  • 8.11 Todos os dados pessoais armazenados eletronicamente devem ser objeto de cópias de segurança diárias, sendo as cópias de segurança armazenadas no AWS, que faz cópias de segurança de BD na nuvem do AWS. Todas as cópias de segurança devem ser encriptadas.
  • 8.12 Todas as cópias electrónicas de dados pessoais devem ser armazenadas de forma segura, utilizando palavras-passe e encriptação de dados.
  • 8.13 Apenas os Utilizadores que necessitem de aceder e utilizar os dados pessoais para desempenhar corretamente as funções que lhes são atribuídas terão acesso aos dados pessoais detidos pela Empresa.
  • 8.14 Todos os Utilizadores que tratam dados pessoais para e em nome da Empresa estão sujeitos e devem cumprir as disposições da Política de Proteção de Dados da Empresa.

9. Utilização da Internet e do correio eletrónico

  • 9.1 Todos os Utilizadores estão sujeitos e devem cumprir as disposições da Política de Comunicações, Correio Eletrónico e Internet da Empresa quando utilizam os Sistemas de TI.
  • 9.2 Sempre que as disposições da presente política exijam a tomada de medidas adicionais para garantir a segurança informática na utilização da Internet ou do correio eletrónico, para além dos requisitos impostos pela política de comunicações, correio eletrónico e Internet, os utilizadores devem tomar as medidas necessárias.

10. Comunicação de violações da segurança informática

  • 10.1 Todas as preocupações, questões, suspeitas de infração ou infracções conhecidas devem ser imediatamente comunicadas a Jimit Bagadiya
  • 10.2Ao receber uma pergunta ou notificação de uma violação, o serviço informático deve, no prazo de 24 horas, avaliar o problema, incluindo, entre outros, o nível de risco associado, e tomar todas e quaisquer medidas que considere necessárias para responder ao problema.
  • 10.3 O Utilizador não deve, em caso algum, tentar resolver sozinho uma violação da segurança informática sem consultar previamente o Serviço de Informática. Os Utilizadores só podem tentar resolver as violações da segurança informática sob a instrução e com a autorização expressa do Departamento de Informática.
  • 10.4 Todas as violações da segurança informática, quer sejam resolvidas pelo serviço informático ou por um utilizador sob a direção do serviço informático, devem ser devidamente documentadas.

11. Continuidade das actividades

A Empresa deve ter em vigor procedimentos adequados de resiliência/continuidade da atividade e de recuperação de desastres concebidos para manter qualquer informação e o fornecimento de qualquer serviço e/ou recuperação de situações de emergência ou desastres previsíveis.

12. Aplicação da política

O presente documento produz efeitos a partir de 25-5-2018. Nenhuma parte da presente política terá efeito retroativo e, por conseguinte, aplicar-se-á apenas a questões que ocorram em ou após esta data.

Nome: Jimit Bagadiya
Posição: Diretor Executivo e Responsável pela Proteção de Dados
Data: 15/05/2018
Assinatura: Assinatura

Empresa

Produtos

Gestão de redes sociais

Funcionalidades

Tools & modelos

Recursos

  • linkedin
  • Instagram
  • Youtube
  • © 2026 SocialPilot Technologies Inc. Todos os direitos reservados.