“Institui a ‘Política de Segurança da Informação – PSI’ a ser aplicada a todos os órgãos da Administração Direta do Município de Santa Bárbara d´Oeste”.

Rafael piovezan, Prefeito do Município de Santa Bárbara d’Oeste, Estado de São Paulo, no uso das atribuições legais e conforme o que consta no Memorando nº 7.586/2023:

DECRETA:

Art. 1º Fica instituída a “Política de Segurança da Informação – PSI” no Município de Santa Bárbara d‘Oeste, a ser aplicada a todos os órgãos da administração pública direta, conforme detalhado no Anexo I deste Decreto e nos modelos contidos nos Anexos II e III.

Art. 2º Compete à Diretoria de Gestão da Tecnologia da Informação, vinculada à Secretaria Municipal de Administração, a adoção de ações de acompanhamento e orientação para a implantação da PSI junto aos órgãos da Administração Municipal.

Art. 3º Este Decreto entrará em vigor na data de sua publicação, revogadas as disposições em contrário.

Santa Bárbara d’Oeste, 18 de outubro de 2023

RAFAEL PIOVEZAN

Prefeito Municipal

ANEXO I

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

1. APRESENTAÇÃO

Sobre a “informação" podemos afirmar que:

Como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. (ABNT NBR ISO/IEC 27002:2005)

O Município de Santa Bárbara d’Oeste tem conhecimento da importância da informação como ativo imprescindível a esta Municipalidade e ao contribuinte em geral, estabelecendo dessa forma a presente Política de Segurança, comprometendo-se com a devida proteção da informação nos seus mais diversos formatos. Embora o comprometimento da Administração na implantação da presente norma seja uma ação importante, não é suficiente se não houver a conscientização e engajamento por parte dos funcionários, prestadores de serviços e demais pessoas que tenham acesso à informação, conforme a seguinte definição:

Desde 1989, tenho me dedicado ao assunto "segurança da informação". Aprendi na prática, com acertos e erros, que a implementação de regras, regulamentos, políticas, normas, bem como o uso de programas de proteção da informação, são ações importantes. No entanto, são apenas parte da solução. Essas ações conseguem construir apenas metade da ponte que nos leva à efetiva proteção. A parte restante, crucial, para que a ponte cumpra seu objetivo é construída quando as pessoas da organização (funcionários, prestadores de serviço, executivos e acionistas) tornam-se conscientes desse assunto. (FONTES, 2006, Segurança da Informação)

Assim sendo, esta Política de Segurança da Informação (PSI) tem a finalidade de estabelecer a racionalização na utilização dos recursos computacionais no âmbito do Município de Santa Bárbara d’Oeste, bem como determinar as diretrizes de segurança da informação adequada ao ambiente desta municipalidade e respectivos setores. A utilização desses recursos está relacionada às funções dos usuários e à prestação de serviços das Unidades Administrativas, sendo necessário seu cumprimento por todos os funcionários/terceiros que se utilizarem dos recursos computacionais disponibilizados para a execução de suas atividades laborais.

2. OBJETIVO

Este documento tem por finalidade conduzir as atividades da área de Tecnologia da Informação no âmbito do Município de Santa Bárbara d’Oeste com o intuito de preservar as informações pertencentes e/ou processadas por esta municipalidade. Para consecução desse objetivo se faz necessária a preservação da confidencialidade, integridade e disponibilidade das informações sob a tutela deste órgão. Para maior elucidação do que vem a ser esses pilares da segurança da informação, segue um breve conceito de cada um:

O que é Confidencialidade de informações?

Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações, sejam estas armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.

O que é Integridade de informações?

Consiste na fidedignidade da informação. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.

O que é Disponibilidade de informações?

Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de tecnologia. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito.

3. PÚBLICO ALVO

Esta Política de Segurança da Informação (PSI), aplica-se a todos os servidores municipais, estagiários, terceiros e quaisquer outros que se utilizam ou venham a utilizar-se dos recursos computacionais deste Município.

4. USUÁRIOS

Para os efeitos desta PSI, são considerados “usuários” dos recursos computacionais e de rede desta municipalidade: servidores, estagiários, prestadores de serviços e visitantes.

É de responsabilidade da Diretoria de Gestão da Tecnologia da Informação (DGTI), desde que acionada, conceder os acessos a que se refere esta PSI, ainda que por tempo determinado ou com características especiais, uma vez que os acessos solicitados estejam dentro dos padrões aqui estabelecidos.

5.1 Dos usuários

Os usuários devem observar as seguintes condutas:

I. arquivos de terceiros somente poderão ser acessados mediante explícita autorização do usuário detentor da informação.

II. cabe a cada usuário proteger suas credenciais de acesso à rede e sistemas para que terceiros não venham se utilizar desses logins de forma indevida.

III. os logins fornecidos são individuais, não podendo ser compartilhados, sendo os usuários responsabilizados por atos que venham a ocorrer a partir de suas credenciais.

IV. quando necessário, deverá solicitar a DGTI a instalação/configuração/modificação de software ou hardware, sendo proibido aos usuários tais atividades nos equipamentos sob sua responsabilidade.

V. ferramentas de mídia social (Facebook, Youtube, etc.) poderão ser acessadas, desde que tenham relação com a atividade profissional do usuário e mediante expresso consentimento do responsável pelo setor.

VI. o usuário é responsável pela preservação e uso correto dos logins e senhas, visando evitar o acesso aos sistemas por terceiros não habilitados.

alterar sua senha, quando houver suspeita de comprometimento da mesma.

VII. em nenhuma hipótese o usuário poderá usar os recursos computacionais do Município para difamar, caluniar ou molestar outras pessoas, ou utilizar-se de “logins falsos” para essas ações.

IX. o usuário não poderá conectar qualquer equipamento à rede, sem expressa autorização da DGTI, tais como notebooks, roteadores e outros.

X. cada usuário precisa ter conhecimento de quão sensíveis são as informações a que tem acesso, bem como de sua correta utilização e do possível potencial, caso tais informações sejam manipuladas indevidamente.

XI. o usuário deve observar que o e-mail corporativo ostenta a natureza jurídica de ferramenta de trabalho, motivo pelo qual deve usá-lo de maneira adequada, ou seja, para ações voltadas especificamente ao trabalho.

XII. usar os recursos computacionais de forma adequada, ou seja, para atender às necessidades corporativas.
 

5.2 Da Diretoria de Gestão de Tecnologia da Informação

      Os computadores e demais equipamentos deverão estar configurados para os usuários de modo a cumprir os requisitos desta PSI.

      Após solicitação formal dos responsáveis pelos setores, efetuar o bloqueio de acesso de usuário por motivo de transferência, licença, desligamento, entre outros.

     A instalação de softwares nos computadores será de acordo com as funções dos usuários.

     Nas manutenções realizadas nos computadores, verificar a integridade do software de antivírus que está instalado no referido equipamento.

    Configurar os computadores para que os usuários não tenham direitos administrativos sobre os equipamentos.
 

5.3 Do Setor de Recursos Humanos / DP

    Quando da contratação de novo funcionário, garantir que o mesmo esteja ciente do conteúdo desta PSI. O colaborador deverá assinar o Termo de Compromisso, estando ciente de que deverá seguir as normas estabelecidas, conforme o Anexo II.

5.4 Dos Chefes de Setores / Departamentos / Divisões

     Informar aos terceiros que estejam trabalhando nos respectivos setores sobre a existência desta PSI, bem como colher a assinatura dos mesmos no Termo de Compromisso, comprometendo-se a seguir os procedimentos dispostos no presente documento.

    Alinhar com a DGTI sobre os acessos necessários (internet, sistemas, compartilhamento de rede, etc.) aos funcionários sob sua responsabilidade.

     Comunicar à DGTI e à Secretaria Municipal de Controle Geral (Divisão de Corregedoria) sobre qualquer irregularidade cometida por algum dos funcionários sob sua responsabilidade, quando este venha a se utilizar de forma inadequada dos recursos de software e hardware, devendo esta promover a competente apuração de responsabilidade.

     O chefe imediato de usuários com afastamento superior a 30 dias e de usuários desligados do quadro de servidores deverá informar essa ocorrência à DGTI para que tome as medidas de segurança necessárias acerca dos logins de acesso. O tempo máximo de inatividade de uma conta é de 3 (três) meses, sendo excluída após esse período, salvo mediante solicitação justificando os motivos para a não exclusão.

      A DGTI deverá ser informada também quando algum usuário assumir novo cargo ou quando algum prestador de serviço não exercer mais essa atividade no município.

5.5 Dos Equipamentos Particulares e dos Prestadores de Serviços

      Quando não autorizados pela DGTI, equipamentos particulares e de prestadores de serviços não poderão ser conectados à rede local desta municipalidade.

       Quando autorizados pela DGTI, os proprietários dos equipamentos particulares e prestadores de serviço se responsabilizam legalmente por seus softwares e recursos de tecnologia conectados à rede local, bem como por eventuais danos causados a esta municipalidade pelo uso dos mesmos.

      Os prestadores de serviços deverão assinar o acordo de não divulgação de dados sigilosos, conforme Anexo III.
 

6. ACESSO ÀS INFORMAÇÕES

    Para garantir o correto acesso dos usuários aos sistemas e demais recursos disponibilizados, será necessária a observância dos seguintes requisitos:

Quando o usuário estiver em novo Setor, não poderá fazer uso de benefícios, contas, senhas de acesso, direitos especiais ou informações aos quais não está autorizado em sua nova situação.

    A DGTI suspenderá os acessos do usuário, quando do infringimento desta norma, ou por razões relacionadas à segurança dos dados, visando o bem da Administração Pública.

     Todos os computadores conectados à rede da municipalidade ou das unidades administrativas devem obedecer aos procedimentos padronizados pela DGTI.

    A DGTI terá acesso a qualquer equipamento que esteja conectado à rede, seja para fins de manutenção ou de outra ordem que se fizer necessário.

7. PROIBIÇÕES

    É proibido:

    I – disseminar qualquer tipo de praga virtual;

   II – intencionalmente, causar danos aos equipamentos, softwares e arquivos pertencentes ao Município;

   III – tentar acessar ou obter acesso a qualquer recurso não autorizado;

   IV – instalar software não autorizado;

   V – acessar sites que contenham referência à nudez total ou parcial, sexo, pornografia ou pedofilia, racismo ou outros conteúdos impróprios ao desenvolvimento de suas atividades;

   VI – acessar jogos on-line, bate-papo e de conteúdo diverso que não tenha relação com suas atribuições;

  VII – utilizar tecnologia de compartilhamento de arquivos chamada “Torrent” ou similares;

  VIII – interceptar informações de qualquer natureza, seja pela utilização de software ou outros equipamentos;

  IX – enviar equipamentos de informática para manutenção de terceiros sem prévio conhecimento e autorização da DGTI;

  X - autorizar acesso aos equipamentos ou sistemas a terceiros sem conhecimento e autorização da DGTI;

  XI – fornecer credenciais de acessos a terceiros;

  XII – conectar equipamentos não autorizados à rede local da municipalidade.
 

8. PROCEDIMENTOS E SANÇÕES

    Qualquer usuário, ao tomar conhecimento sobre qualquer violação a esta norma, deverá:

    I. informar à DGTI e ao chefe imediato;

    II. para garantir a segurança, manter o sigilo.

    É de responsabilidade de todas as Secretarias, juntamente com os seus Departamentos, observarem o disposto nesta PSI.

    O acesso aos recursos computacionais do Município de Santa Bárbara d’Oeste são para assuntos profissionais, podendo sofrer fiscalização por parte dos superiores imediatos pelo uso indevido.

    Os casos de violações a esta PSI, que caracterizem infração, serão analisados pela Divisão de Corregedoria para apuração preliminar.

    Os casos omissos serão analisados pela DGTI.

8.1 Auditoria

     Com a finalidade de assegurar as regras aqui definidas, a DGTI poderá:

      I. disponibilizar-se de sistemas de monitoramento, nos mais variados segmentos, o qual gerará logs para identificação dos acessos;

      II . inspecionar fisicamente os equipamentos do Município.
 

9. CONSIDERAÇÕES FINAIS

    Esta Política foi elaborada pelas chefias da Divisão de Infraestrutura e Hardware e da Divisão de Desenvolvimento de Software, revisada pela Diretoria de Gestão de Tecnologia da Informação e aprovação da Secretária Municipal de Administração. Sua principal finalidade, juntamente com a Política de Tratamento de Dados Pessoais, regulamentada no Município pelo Decreto Municipal nº 7.242/2021, é assegurar a proteção da informação, um dos ativos fundamentais de qualquer organização, de acordo com os parâmetros estabelecidos pela Segurança da Informação. Esta política estabelece diretrizes para garantir que todos utilizem e façam um uso consciente e seguro dos recursos computacionais.

ANEXO II

Modelo de Termo de Compromisso de utilização dos Recursos de Tecnologia da Informação

Eu, [NOME COMPLETO], CPF [CPF], declaro que tomei conhecimento dos termos desta PSI do Município de Santa Bárbara d’Oeste, cujo conteúdo encontra-se disponível no Portal do Servidor, estando ciente de todas as responsabilidades que a mim competem como usuário dos recursos de tecnologia da informação desta Municipalidade, bem como das penalidades que estarei sujeito em caso de utilização inadequada.

Declaro estar ciente também de que o uso dos recursos de tecnologia da informação é passível de monitoramento, nos termos da mencionada PSI, por se tratarem de ferramentas de trabalho a mim disponibilizadas pelo Município de Santa Bárbara d’Oeste, não cabendo, portanto, a presunção de que tal monitoramento viola o que dispõe o inciso XII, do artigo 5º da Constituição Federal de 1988.

Santa Bárbara d’Oeste-SP, ____ de ______________________ de _______.

___________________

Nome do funcionário

Setor

ANEXO III

MODELO DE ACORDO DE CONFIDENCIALIDADE

O presente acordo é celebrado entre:

A EMPRESA CONTRATADA, inscrito no CNPJ/MF sob o n.º xx.xxx.xxx/xxxx-xx, com sede na ENDERECO, aqui denominado EMPRESA CONTRATADA (“compromitente”); e CONTRATANTE, inscrito no CNPJ sob o n.º 46.422.408/0001-52, com sede Avenida Monte Castelo, 1000 Jardim Primavera – Santa Bárbara d’Oeste, aqui denominado CONTRATANTE (“Município”); sendo compromitente e município doravante denominados em conjunto como PARTES e isoladamente como PARTE.

CONSIDERANDO que qualquer das Partes em razão das perspectivas e proposta de trabalho a ser desenvolvida conjuntamente não poderá divulgar informações que dizem respeito a, entre outras coisas, novos clientes, projetos, propostas, abertura de mercado, segredos comerciais, credenciais, direitos autorais, desenhos, planos de negócios, oportunidades de negócios, finanças, pesquisa, desenvolvimento, know-how, produtos e ferramentas de sua propriedade ou de terceiros, de natureza sigilosa e estratégica, que dizem respeito à proposta.

As Partes aqui representadas por seus prepostos e por toda pessoa que vier a ser designada para execução dos serviços objeto deste contrato, acordam o que se segue:

1. Todas as informações privilegiadas as quais as Partes terão acesso são consideradas de propriedade exclusiva e de caráter rigorosamente confidencial (Informação confidencial) das Partes, podendo ser utilizadas somente no desenvolvimento de estudo, proposta, contrato, análise de prestação de serviços, cujo sigilo absoluto reconhece ser essencial para a preservação dos direitos das Partes.

2. Cada Parte se compromete por si, por suas coligadas, prepostos, empregados e profissionais designados a jamais utilizar as informações recebidas para efetivar qualquer tipo de abordagem, proposta, trabalho ou estudo para quaisquer terceiros, em particular, aos clientes cujos dados foram mencionados entre outra parte.

Qualquer utilização das informações e conhecimentos trocados entre as partes, somente poderá ser realizada com autorização escrita da Parte Reveladora, isto é, da parte que originalmente divulgou ou compartilhou as informações, e participação efetiva desta no eventual negócio/proposta/abordagem que venham a ser concretizados.

3. As Partes obrigam-se a manter todas as informações a que tiverem acesso, por qualquer meio e sob qualquer forma, em caráter de absoluta confidencialidade, desde o momento em que lhes forem reveladas, ainda que verbalmente, desde que sejam de qualquer forma reduzidas a escrito, quer estejam contidas em documentos de qualquer espécie, tais como relatórios, memorandos, contratos, correspondências e quaisquer outros papéis entregues pelas Partes, bem como quaisquer outros que vierem a ser produzidos, em decorrência dos entendimentos, e identificados como confidenciais, comprometendo-se a não as divulgar a terceiros, em quaisquer circunstâncias e sob quaisquer condições e ainda a protegê-las de qualquer uso ou revelação não autorizados.

4. As Partes reconhecem que a violação das obrigações decorrentes deste Acordo de Confidencialidade acarretará prejuízos que deverão ser devidamente ressarcidos, além de sujeitar-se os representantes legais da infratora às sanções de ordem criminal aplicáveis à espécie.

5. Exceto no tocante ao compromisso constante do Item 2, que deverá ser observado em qualquer hipótese, as restrições, acima, ao uso e revelação de uma Informação Confidencial recebida não se aplicam com respeito a informações que, ao tempo em que forem recebidas, já tenham sido consideradas como de domínio público, sejam previamente conhecida pela Parte receptora, seja(m) independentemente desenvolvida pela Parte receptora, seja(m) adquiridas(s) pela Parte receptora de terceiros que não sejam, dentro de seu conhecimento, obrigados a guardar sigilo com respeito a tal informação, ou ainda, que seja ou torne-se disponível publicamente, sem infração ao disposto neste Acordo.

6. As partes comprometem-se a devolver, no prazo máximo de 10 (dez) dias contados do recebimento de pedido escrito, todo e qualquer documento recebido, contendo informações confidenciais, bem como, as respectivas cópias, se houver, certificando, por escrito, a ocorrência de destruição de quaisquer documentos que eventualmente tenha sido verificada.

7. A Parte receptora deverá notificar prontamente a Parte reveladora, por escrito, em caso de qualquer utilização ou divulgação não autorizada de Informação Confidencial que tenha conhecimento, e deverá prover a assistência necessária para que tal utilização ou divulgação venha a cessar. Da mesma forma, a Parte receptora deverá informar imediatamente a Parte reveladora na eventualidade de ter recebido qualquer ordem de autoridade judicial ou administrativa determinando a revelação de informação confidencial transmitida sob este instrumento. Não obstante, a Parte receptora estará livre para satisfazer tal ordem judicial ou administrativa na medida em que for necessário ao seu cumprimento.

8. O Destinatário aqui reconhece que a divulgação ou uso não autorizado das informações confidenciais poderá causar dano irreparável e significante à Parte reveladora, e de difícil determinação. Dessa forma, concorda que a Parte reveladora terá o direito de procurar e obter medidas cautelares imediatas para executar as obrigações decorrentes do presente Acordo, além de quaisquer outros direitos e medidas que possa ter.

9. O presente Acordo de Confidencialidade não poderá ser cedido sem prévia e escrita autorização da outra Parte e deverá ser observado, por prazo indeterminado, mesmo após eventual rompimento da relação jurídica mantida entre as Partes.

10. Fica eleito o foro da comarca de ... (Cidade/estado) como competente para dirimir quaisquer dúvidas ou litígios oriundos deste contrato.

As PARTES declaram que leram, compreenderam e aceitaram todos os termos do presente instrumento. E por assim se estarem justos e contratados, assinam as Partes o presente Acordo de confidencialidade em 2 (duas) vias.

Local e data.

CONTRATADA

CONTRATANTE

Testemunhas:

Nome / CPF