normas de privacidade e segurança das informações · o divulgação imprópria/não autorizada...

Normas de Privacidade e Segurança das Informações

inwk | we make marketing happen

Segurança das informações

• Por que a segurança das informações é importante?

oA capacidade de utilizar informações de maneira mais eficiente causou a sua rápida valorização.

oA proteção das informações confidenciais da InnerWorkings e dos clientes é um requisito empresarial, ético e jurídico.

oNa eventualidade de informações confidenciais sobre a InnerWorkings ou nossos clientes caírem em mãos erradas, as consequências podem ser, dentre outras, perda de contrato, publicidade negativa e processos judiciais.

oAs informações armazenadas eletronicamente enfrentam ameaças novas e com maior potencial de prejuízo da segurança:

podem ser furtadas a partir de um local remoto

é muito mais fácil interceptar e alterar comunicações eletrônicas do que as comunicações antigas em papel

2



• Quem é responsável pela segurança das informações?

oTodo aquele que possui acesso às informações da InnerWorkings ou de

qualquer cliente é responsável por conhecer os requisitos e aceitar a sua

responsabilidade pessoal de proteção desse patrimônio valioso.

3



• Denúncia de incidentes relacionados à segurança das informações

oUm incidente de segurança das informações é quando uma informação confidencial é compartilhada, obtida ou de outra forma acessada por partes não autorizadas.

oSe tomar conhecimento, ou suspeitar que ocorreu, um incidente de segurança de informação, denuncie-o no prazo de 1 (uma) hora da violação. Segue abaixo uma relação das pessoas a serem contatadas:

Seus contactos directos InnerWorkings

Presidente Regional, Alex Castroneves, [email protected]

Diretor-gerente, Fabio Battaglia, [email protected]

oMesmo que seja apenas uma suspeita de um incidente de segurança de informação, a denúncia deve ser efetuada. Deixe que os peritos se encarreguem de resolver a questão.

4

mailto:[email protected]




• A relação abaixo inclui alguns exemplos de tipos de incidentes de segurança de informação que devem ser denunciados. Observe que esta relação não abrange todas as possibilidades. Se suspeitar que uma atividade é uma violação da segurança das informações, denuncie.

o O compartilhamento de uma ID/senha individual de usuário (salvo se for um usuário/ID com aprovação explícita de compartilhamento).

o O uso da ID de usuário de outra pessoa para executar uma tarefa em um sistema. o A instalação de software não autorizado/ilegal em um dispositivo da empresa (estação de trabalho,

PDA ou outro dispositivo portátil). o O uso abusivo da capacidade de um sistema para executar tarefas inicialmente não autorizadas para a

função. o Quaisquer capacidades conflitantes não divulgadas de um sistema. o Uso indevido do patrimônio de informações da empresa. o Informação falsa ou falsificação dos registros, documentos, etc. da empresa. o Divulgação imprópria/não autorizada de dados restritos ou confidenciais (intencionalmente ou não). o Laptop/portátil sem trava de segurança/desacompanhado/sem proteção de senha. o Furto ou perda de um dispositivo contendo quaisquer informações da InnerWorkings ou clientes

(laptop, Blackberry, iPhone, iPad ou qualquer outro dispositivo portátil). o Uso não autorizado do sistema, de aplicativos ou dados. o Informações compartilhadas de forma imprópria por meios eletrônicos. o Uso impróprio de qualquer dispositivo ou material da InnerWorkings ou de cliente que tenha, ou possa

comprometer, nosso patrimônio de informações ou a integridade da empresa (uso indevido de um laptop).

o Interrupções do sistema ou aplicativo devido a um código mal-intencionado (vírus, Trojan ou qualquer tipo de malware).

o Interrupções significativas do sistema ou aplicativo após uma mudança/atualização do sistema ou qualquer evento inesperado.

o Qualquer ação com POTENCIAL de causar a perda/alteração não autorizada de informações.

5


Classificação das informações

• Quatro classificações são utilizadas para identificar as informações:

oRestrita

oConfidencial

oUso interno

oDado público

6




o Restrita

A informação proprietária mais sigilosa

Sua perda ou divulgação não autorizada causaria:

o Dano à competitividade da InnerWorkings ou dos nossos clientes

o Impacto financeiro acima de US$200 milhões

Exemplos (não inclusivos):

o Documentos estratégicos regionais e globais

o Informações sobre aquisições e desapropriações

o Informações financeiras da empresa que não foram divulgadas ao público

o Confidencial

o Uso interno

o Dado público

7




o Restrita

o Confidencial

Informação sigilosa competitiva


o Dano ao desempenho da InnerWorkings ou dos nossos clientes

o Impacto financeiro maior que US$2 milhões, mas menor que US$200 milhões


o Documentos sobre as estratégias de marca

o Informações sobre contas a receber

o Contratos e declarações de trabalho

o Uso interno

o Dado público

8




oRestrita

oConfidencial

oUso interno

Não destinada à distribuição ao público


o Impacto mínimo sobre a posição da InnerWorkings ou dos nossos clientes

o Impacto financeiro de menos de US$2 milhões


o Organogramas

o Processos de trabalhos corporativos

oDado público

9




oRestrita

oConfidencial

oUso interno

oDado público

Informação disponível fora da InnerWorkings e dos nossos clientes


o Relatórios anuais

o Comunicados à imprensa

o Manuais de fornecedores

10



Área Restrita Confidencial Uso interno

Treinamento Treinamento inicial sobre privacidade e segurança das informações;

posteriormente, cursos periódicos de atualização completados por

todos os funcionários

Acesso Restrito a quem

precisar ter o

conhecimento

Restrito a quem

precisar ter o

conhecimento

Disponível a todos os

funcionários

Demarcação de

documentos

Marcar “Restrito” ou

“Confidencial” em

toda página de

documentos

impressos e cópias

impressas

Marcar “Restrito ou

Confidencial” em toda

página de

documentos

impressos e cópias

impressas

Nenhuma

demarcação

obrigatória

Transmissão

interna (para e-

mail @inwk.com )

Criptografia

recomendada, porém

não obrigatória.

Somente endereços

de e-mail individuais,

mas não listas de

distribuição

Criptografia

recomendada, porém

não obrigatória.

Listas de distribuição

são permitidas

Criptografia não é

obrigatória.

Listas de distribuição

são permitidas

11



Área Restrita Confidencial Uso interno

Transmissão

externa (não para

e-mail @inwk.com)

Precisa ser

criptografada

Criptografia

recomendada e pode

ser obrigatória

Criptografia não é

obrigatória

Armazenamento:

InnerCom

(Intranet)

Não postar/carregar

no InnerCom a

menos que o site

tenha aprovação para

dados altamente

restritos

Postar/carregar é

permitido no site da

equipe ou de cliente

no InnerCom se os

critérios de acesso

estiverem bem

definidos e forem

rigidamente aplicados

Postar/carregar no

InnerCom é permitido

Armazenamento:

Internet

Não postar/carregar em nenhum site público da internet

Descarte Fragmentar

documentos ou usar

fragmentadoras

trancadas

Fragmentar

documentos ou usar

fragmentadoras

trancadas

Usar lixo e processo

de reciclagem

normais

12


Gerenciamento de registros

• O que é gerenciamento de registros?

oUm método sistemático de manter e controlar os registros criados e

recebidos durante o curso normal dos negócios.

oO sistema assegura que as necessidades da empresa, bem como os

requisitos legais, fiscais ou regulatórios sejam atendidos.

13



• Por que o gerenciamento de registros é importante?

oOs registros criados durante o curso normal dos negócios são um ativo da empresa, independentemente do meio pelo qual são mantidos, dentre eles:

Arquivos em papel

Arquivos eletrônicos (bancos de dados, documentos eletrônicos, e-mails, etc.)

CDs/DVDs, microfilmes, microfichas, vídeos, etc.

Registros da InnerWorkings ou de clientes mantidos em depósito fora da empresa

oO cumprimento da Política de Gerenciamento de Registros da InnerWorkings e de todos os requisitos legais, fiscais e/ou regulatórios é necessário para garantir a integridade da empresa.

14



• Expectativas quanto ao gerenciamento de registros

oOperação de acordo com a letra ou o espírito da lei.

oTodos os funcionários, prestadores de serviços e fornecedores são

obrigados a identificar, manter e proteger todos os registros de maneira

eficiente e eficaz.

oOs registros devem ser controlados de acordo com a Política de

Gerenciamento de Registros da InnerWorkings e todos os requisitos

legais, fiscais e/ou regulatórios.

15



• Responsabilidades da InnerWorkings quanto ao gerenciamento dos

registros dos clientes

oExecutar todas as etapas sob a orientação dos representantes do cliente e

de acordo com o contrato com o cliente.

oControlar os registros do cliente durante o decorrer do negócio.

oExaminar os registros do cliente pelo menos uma vez por ano.

oDescartar os registros do cliente de maneira apropriada e de acordo com

leis internacionais ou específicas do país.

oPara obter mais informações sobre gerenciamento de registros, consulte

[email protected].

16



Tecnologias para segurança das informações

• Senhas/Acesso

• Siga estas sugestões para proteger a sua ID de usuário e senha (esta lista não é totalmente abrangente):

o Nunca compartilhe a sua ID de usuário e senha (se necessário para suporte técnico interno, elas podem ser compartilhadas, mas devem ser mudadas imediatamente após o término do serviço)

o Nunca forneça a sua senha pelo telefone ou e-mail

o Nunca compartilhe a sua senha durante uma sessão de suporte técnico on-line

o Nunca escreva a sua ID de usuário e senha

o Os usuários são responsáveis por escolher senhas de qualidade, contendo pelo menos 6 caracteres que sejam:

fáceis para o usuário lembrar;

não sejam baseadas em nada que outra pessoa possa facilmente adivinhar ou obter usando informações conhecidas, como por exemplo, ID de logon, ID de funcionário, endereço de e-mail, nomes, números de telefone, etc.;

diversificadas: uma combinação de caracteres alfanuméricos não repetidos, letras maiúsculas e minúsculas;

diferentes de senhas usadas para acesso a contas pessoais na internet pública;

os usuários são responsáveis em preservar a confidencialidade de suas senhas.

17



• Estações de trabalho compartilhadas

oVocê é responsável por todas as atividades nas estações de trabalho que

acessa com a sua ID de usuário

oFaça sempre o logoff após o uso compartilhado de uma estação de

trabalho, para assegurar que ninguém mais possa usar o seu acesso na

estação de trabalho

• Segurança de estações de trabalho que ficam sem supervisão

oSempre trave o seu computador antes de deixá-lo sem supervisão (por

ex., ‘CTRL+ALT+Delete’, ou ‘Tecla Windows logo +L’)

18



• Dispositivos portáteis: computador laptop

oNão armazene informações confidenciais em um laptop sem criptografia

do disco rígido.

oProteja fisicamente o dispositivo quando deixá-lo em algum lugar (por ex.,

cabo com cadeado, armário/gaveta trancado, escritório trancado).

o Informe a perda ou o furto do seu laptop imediatamente, seguindo o

protocolo de incidente de segurança de informação.

19



• Dispositivos portáteis: telefone móvel e PDA/Smartphone

oA política da empresa não permite que informações confidenciais sejam armazenadas em dispositivos pessoais móveis - o dispositivo deve ser de propriedade da InnerWorkings e por ela controlado.

oO dispositivo deve estar protegido com senha e todas as informações confidenciais devem ser criptografas através do WinZip antes de serem armazenadas no dispositivo.

oRemova todas as informações confidenciais do dispositivo assim que terminar de usá-las.

oNunca deixa um telefone móvel sem supervisão em local onde possa ser visto e furtado facilmente.

o Informe a perda ou o furto do seu telefone móvel da InnerWorkings imediatamente enviando e-mail ao seu contato local.

20



• Phishing (fraude eletrônica que consiste em um fraudador se fazer

passar por outra pessoa para adquirir informações confidenciais)

oExclua imediatamente todos os e-mails com suspeita de phishing

oNão abra nem encaminhe anexos ou links de e-mails desconhecidos

21



• E-mail

oSempre confirme se o endereço de e-mail está correto (muitas pessoas

têm nomes iguais)

oNão envie informações restritas ou confidenciais para uma lista de

distribuição

22



• Áreas compartilhadas de documentos

oA pessoa responsável pelo gerenciamento de uma área compartilhada

deve assegurar que o acesso seja concedido somente para quem tenha

uma necessidade legítima de negócios, e remover o acesso quando ele

não for mais necessário

oAs informações classificadas como ‘Restrita’ devem ficar armazenadas em

um espaço de equipe com a designação ‘Restritas’

23



• Dispositivos invasores

oTodo dispositivo não autorizado/sem controle conectado à rede da

InnerWorkings ou de cliente é considerado um dispositivo invasor

oDispositivos invasores são proibidos na rede da InnerWorkings

oDispositivos invasores são proibidos na rede de qualquer cliente

24


Segurança das informações na área de trabalho

• “Política de mesa limpa” na sua área de trabalho

oMantenha o seu espaço de trabalho desobstruído e seguro

oDeixe em cima da mesa somente as informações necessárias para o dia

oToda mídia de papel e eletrônica contendo informações da InnerWorkings

ou de clientes e classificadas como restritas ou confidenciais devem ser

armazenadas em gaveta, escritório ou armário trancado e seguro fora do

expediente de trabalho

oQuando a mesa de um funcionário da InnerWorkings ficar sem supervisão

durante o dia, todas as informações restritas e confidenciais devem estar

guardadas:

Documentos físicos guardados em gavetas, armários ou escritórios trancados

Documentos eletrônicos protegidos com a trava da tela do computador

25



• Salas de reuniões

oFeche a porta antes de discutir informações confidenciais

o Informe as pessoas antes de compartilhar informações confidenciais

durante uma reunião, e tenha certeza de que elas sabem como proteger

as informações de forma apropriada

oAntes de sair de uma sala de conferência, quer seja dentro da

InnerWorkings ou não, recolha todas as informações e leve-as com você

oApague todos os quadros brancos após a reunião e antes de sair da sala

de reunião

26



• Áreas públicas

oNão discuta tópicos confidenciais em áreas públicas, quer sejam em uma

instalação da InnerWorkings ou fora

oNão mostre protótipos de produtos, embalagens, publicidades, maquetes

ou outros itens que possam revelar planos futuros/estratégicos da

InnerWorkings ou de cliente

27


Fora do escritório

• Transporte público

oMantenha todas as informações confidenciais junto a você o tempo todo,

bem como dispositivos que contenham informações da InnerWorkings ou

de seus clientes, não permitindo que estejam fora do seu alcance

Não as guarde em áreas de uso comum, como compartimentos elevados para

bagagem

Não despache como bagagem, nem coloque dentro de malas que serão vistoriadas

oSe precisar colocar o seu laptop, pasta ou outro dispositivo portátil no chão

de um local público, coloque-o entre os pés para sentir caso alguém tente

removê-lo

oTome cuidado para não conversar sobre informações da InnerWorkings ou

de clientes, pois esses locais são públicos

28


Fora do escritório

• Automóveis

oNunca deixe o seu laptop dentro de um veículo sem supervisão

oGuarde todas as informações confidenciais e mídias portáteis no porta-

malas do carro ou dentro de um compartimento trancado antes de sair –

não espere até chegar ao destino pretendido

oEvite transferir itens de dentro do carro para o porta-malas quando estiver

em lugares públicos

oNão deixe nenhuma informação confidencial, dispositivos portáteis ou

outros itens de valor dentro do carro durante a noite - leve tudo com você

quando chegar ao local onde passará a noite

29


Fora do escritório

• Trabalho na própria residência

oTome as mesmas precauções que tomaria se estivesse trabalhando no

escritório (por ex., tranque as informações da InnerWorkings e do cliente e

proteja mídias portáteis quando não estiverem em uso)

oNão compartilhe os dispositivos de propriedade da InnerWorkings ou de

clientes (por ex., computador laptop, pen drive USB, telefone móvel) com

parentes ou amigos

oNão instale software de propriedade da InnerWorkings ou de cliente, pois

ele pode prejudicar a execução correta do software da empresa ou

introduzir algum malware, como um vírus

30


O que lembrar sobre segurança das informações

• Melhores práticas para a segurança das informações

oProteja as informações classificadas: restritas, confidenciais, uso interno

oProteja as sua senhas

oProteja a sua área de trabalho

oProteja as mídias portáteis

oCumpra sempre as normas da InnerWorkings

oEntenda a sua responsabilidade

oDenuncie os incidentes de segurança das informações

oEm caso de dúvida, entre em contato com [email protected]

31



O que lembrar sobre segurança das informações

• O que deve ser evitado

oNão use um site como FTP, Drop-Box, Google docs, etc. para transferir ou compartilhar informações.

oNão compartilhe as suas IDs ou senhas.

oQuando fornecidas, a ID de usuário e a senha não devem estar no mesmo e-mail.

oNão use endereços pessoais de e-mail (por ex., Yahoo, g-mail) para enviar informações da InnerWorkings ou de clientes.

oNão use IDs compartilhadas.

oNão compartilhe nenhuma informação restrita ou confidencial com outros funcionários da InnerWorkings e/ou de terceiros a menos que tenham necessidade de conhecimento da à informação e o autor tenha dado permissão para o compartilhamento.

32


Privacidade

• Definição de privacidade

oPrivacidade é o direito da pessoa de proteção contra a intrusão não autorizada. Ela trata do respeito e da confiança na coleta e no uso de dados pessoais ou informações de identificação pessoal (“PII”).

oPII é qualquer informação que identifique uma pessoa de forma exclusiva, como por exemplo:

Nome e sobrenome, Uma fotografia, Endereço físico, Endereço de e-mail, ID de funcionário, ID do governo, Número de telefone, Número do telefone móvel/celular, Um endereço IP, ou Qualquer combinação de dados que possa identificar um indivíduo (por ex., data de nascimento combinada com o sexo e o código postal é uma forma confiável de identificar uma pessoa)

33


• Origem racial ou étnica,

• Opiniões políticas,

• Crenças religiosas,

• Filiação em sindicatos,

• Vida sexual,

• Condenação por crime,

• Informações do cartão de débito/crédito,

• Números de contas financeiras ou de

conta bancária,

• Senha de conta, PIN ou outro código de

acesso,

• Número eletrônico de identificação

exclusivo, número do banco ou qualquer

número/informação usado para acesso

aos recursos financeiros de uma pessoa,

• Dados biométricos como impressão

digital, impressão da voz, imagem da

retina/íris ou qualquer outra representação

física exclusiva,

Privacidade

• Definição de PII confidencial

o Algumas PIIs são ainda classificadas como confidenciais. PII confidencial é a informação que pode ser prejudicial se for divulgada ou usada indevidamente, como:

• Informações do seguro de saúde,

• Número da Previdência Social,

• Número da carteira de habilitação,

• Número da carteira de identidade

estadual,

• Número do passaporte,

• Qualquer outro número de ID do

governo (nacional, federal, estadual,

tribal),

• Data de nascimento,

• Sobrenome de solteira da mãe,

• Informações específicas do funcionário,

dentre outras: no. de ID do funcionário,

classificação, faixa salarial, salário,

• Número de contribuinte,

• Número da apólice de seguro,

• Informações de saúde, e

• Assinatura digital/eletrônica.

34


Privacidade

• Aplicação da política

oDe acordo com a sua política, a InnerWorkings não coleta nem armazena PII confidencial dos nossos clientes

oOs fornecedores que lidam com PII dos clientes são obrigados a agir com a devida diligência

A PII deve estar criptografa quando em trânsito e fora de uso

A PII não pode ser armazenada durante mais de 30 dias após a conclusão do projeto

A PII limita-se a quem tem “necessidade de conhecimento da informação”

Regras, políticas e práticas de segurança adicionais devem ser seguidas

Uma auditoria de segurança das informações deve ser realizada periodicamente

oSe a sua atividade envolve a PII, entre em contato com [email protected] para obter ajuda e garantir que as etapas de devida diligência para o cumprimento da PII sejam seguidas

35




Privacidade – Perspectiva internacional

Informações de outros países

oAs leis de privacidade variam de um país para o outro

oAlgumas informações não podem ser enviadas ou armazenadas através

de fronteiras

oSe informações pessoais forem coletadas ou fornecidas para uma parte

que não esteja no mesmo país, entre em contato com

[email protected] para obter ajuda

36




37

Específico ao cliente

• Requisitos adicionais

oAlguns dos clientes da InnerWorkings exigem a adoção de medidas de

segurança mais restritas,

oComo transferência segura de arquivos e uso de um provedor pré-

aprovado para armazenagem de dados.

oSe você for um fornecedor para um desses clientes:

A InnerWorkings o informará sobre os procedimentos adicionais.

Você deverá seguir esses procedimentos ao manusear informações do cliente em

questão.

Você deverá treinar todos os seus sub-fornecedores e assegurar que eles sigam esses

procedimentos.

normas de privacidade e segurança das informações · o divulgação imprópria/não autorizada...

Documents