Diretriz de Segurança da Informação para Terceiros

 

  

  1. OBJETIVO

Estabelecer requisitos de segurança da informação aplicáveis a terceiros, tais como prestadores de serviço, empresas conveniadas e empresas parceiras, nas situações relacionadas com a Transpetro.

  1. APLICAÇÃO E ABRANGÊNCIA    

 

 Petrobras Transporte S.A. – Transpetro

  1. DOCUMENTOS DE REFERÊNCIA E COMPLEMENTARES
    1. Documentos de referência   

 

 PL-0TPR-00019-0 CÓDIGO DE CONDUTA ÉTICA

  1. Documentos complementares  
 

 N/A

  1. DEFINIÇÕES  

 Aplicativos - São os sistemas de informações utilizados pela empresa, ex: SAP.

Autenticação Multifatores - É um recurso que solicita dois ou mais fatores para permitir acesso a uma informação e/ou sistema, como por exemplo: algo conhecido pelo usuário (senha), mais algo que está em poder do usuário ( token ou código enviado por SMS para um smartphone ).

Autenticidade - Garantia de que a origem da informação é procedente e capaz de gerar evidências da autoria, origem e legitimidade da entidade atribuída como criadora, editora e/ou emissora.

Chave - Código composto de quatro a doze posições através da qual é identificado e autorizado o acesso os ambientes da rede corporativa.

Ciclo de Vida da Informação - São as fases de geração, manutenção, distribuição e descarte de informação.

Colaboradores - Membros do Conselho de Administração e seus comitês de assessoramento, membros do Conselho Fiscal, membros da Diretoria Executiva, empregados, estagiários, prestadores de serviço e qualquer pessoa que atue em nome da Transpetro.

Computação Móvel - Equipamentos portáteis com a capacidade de armazenar, processar e compartilhar informações, ex: Notebooks , Smartphones , ultrabooks , tablets , etc.

Confidencialidade - Garantia de que a informação é acessível apenas a pessoas autorizadas e que está devidamente protegida do conhecimento público.

Contratada - Pessoa natural ou jurídica que tenha celebrado Contrato na condição de prestadora de serviços ou fornecedora de bens.

Criptografia - É a ciência de escrever mensagens em forma cifrada ou em código. Utilizada, dentre outras finalidades, para: autenticar a identidade do usuário, autenticar transações bancárias, proteger a integridade de transferências eletrônicas e proteger o sigilo de transações pessoais e comerciais.

Disponibilidade - Garantia de que a informação está acessível sempre que necessário.

Dispositivos de Terceiros - São aqueles cujo gerenciamento seja realizado por terceiros, sejam estes empresas ou pessoas físicas, tais como notebooks, tablets , telefones celulares e outros.

Dispositivos Móveis - Dispositivos capazes de armazenar informações (dados) para posterior consulta ou uso. Podem ser disquetes, CDs, DVDs, fitas, discos rígidos, pen drive , cartões de memória, smartphones , celulares e simulares.

Dispositivos Móveis de Armazenamento - Dispositivos capazes de armazenar informações (dados) para posterior consulta ou uso. Podem ser disquetes, CDs, DVDs, fitas, discos rígidos, pen drive , cartões de memória, smartphones , celulares e simulares.

Empresa Conveniada - Empresa relacionada à Transpetro por meio de Convênio.

Empresa Parceira - Empresa relacionada à Transpetro por meio de parceria (forma associativa que visa convergência de forças para a realização de uma oportunidade de negócio).

Ferramenta de Solicitação de Acesso - Ferramenta disponível na Intranet, utilizada para solicitações e aprovações eletrônicas de acessos e criação de perfis para os sistemas utilizados na empresa, tal como o GRC-AC.. Os registros de solicitação/aprovação (criação, alteração, manutenção, bloqueio e exclusão) de acessos devem ser mantidos por prazo mínimo de 24 (vinte e quatro) meses.

Força de Trabalho - Conjunto de empregados próprios e de empregados de empresas prestadoras de serviços que trabalham numa mesma organização/empresa.

Gestor da Informação - É o colaborador com autoridade e responsabilidade pela gestão da informação e dos recursos de informação utilizados na execução ou gestão das atividades de processos de negócios. Gerentes, Diretores, Vice-presidentes e Presidentes.

Incidente de Segurança - Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores, bem como toda situação onde uma entidade de informação está sob risco.

Informação - É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento de quem a recebe. A informação pode existir em várias formas. Pode ser: impressa, armazenada eletronicamente, transmitida por meios eletrônicos, mostrada em filmes digitais, entre outras. Qualquer forma que a informação tenha, ou meios pelos quais seja compartilhada e armazenada sempre deverá ser protegida.

Informação Crítica - Informação considerada essencial para a continuidade do negócio, podendo ou não ser confidencial e restrita.

Informação Privilegiada - Informação relevante (Confidencial ou Secreta) que possibilita obter vantagens para si ou para terceiros, a qual deva manter-se em sigilo.

Integridade - Garantia de que a informação é correta, verdadeira e está mantida em seu estado original.

Invasão - É a ação de burlar controles de prevenção previamente adotados, com objetivo de obter acesso indevido à informação e/ou sistema computacional.

Legalidade - Garantia de que a informação atende aos requisitos de conformidade da legislação, especialmente quando a informação for necessária para fins de prova em processos administrativos ou judiciais.

Mídia Removível - É uma forma de armazenamento de computador projetada para ser inserida e removida facilmente de um sistema. Exemplo: pen drive , cartão de memória, HD externo e etc.

Monitoramento - Atividade que consiste em manter o nível de segurança da informação, visando garantir que os controles de segurança da informação considerados apropriados sejam aplicados corretamente; que os incidentes de segurança sejam detectados e tratados tempestivamente; e que o desempenho do sistema de gerenciamento de segurança da informação seja regularmente monitorado.

Transpetro - Para fins desta diretriz são as sociedades em que a Petrobras detém participação societária de forma direta ou indireta.

Privilégios - Permite a um terceiro gerenciar um sistema ou equipamento, alterando seus parâmetros e/ou suas configurações. Permitem também a um terceiro definir ou alterar ID de usuários, aplicar controles de segurança ou alterar componentes do sistema ou ainda ter acesso a informações privilegiadas.

Recursos tecnológicos - Pode ser recurso físico ou lógico, software , hardware ou informação (microcomputador, diretórios de arquivos eletrônicos, links , etc.). São todos os ativos utilizados para guarda ou manipulação das informações, tais como: sistemas, equipamentos, dados e arquivos.

RIC - Rede Integrada Corporativa da Petrobras.

Segregação de Funções - Consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum colaborador detenha poderes e atribuições sobre uma parcela significativa de qualquer processo. É uma das formas de aumentar significativamente a segurança em processos, com o objetivo de separar responsabilidades e atividades, sejam elas executadas por áreas ou pessoas. Tem como uma das finalidades, a de garantir a independência entre requisição e autorização de acesso à informação.

Segurança da Informação - É a proteção dada às Informações para preservá-las de ações não autorizadas relativas à manipulação, transferência ou destruição.

Sistema de Gestão de Segurança da Informação - Sistema composto por processos e tecnologias que auxiliam no gerenciamento e operação de Segurança da informação.

Usuário com Perfil Privilegiado - Usuário que tenha privilégios administrativos para criar, alterar, bloquear, excluir parâmetros e configurações sistêmicas dos recursos tecnológicos e/ou contas de usuários nos sistemas aplicativos e sistemas operacionais e/ou criar/alterar/excluir dados diretamente nas tabelas em banco de dados.

Usuário Comum - Usuário sem nenhuma permissão administrativa ou privilégios de alteração de configurações no ambiente computacional. Qualquer pessoa apta a acessar lógica ou fisicamente as informações da empresa, desde que autorizada e posteriormente cadastrada pela área de Gestão de Acessos.

Vulnerabilidade - Qualquer característica de um equipamento, sistema ou processo que permita que uma ameaça afete sua normalidade.

  1. AUTORIDADE E RESPONSABILIDADE  

 N/A

  1. DESCRIÇÃO  

 Segurança da Informação (SI) é a proteção dos atributos de disponibilidade, integridade, confidencialidade, autenticidade e legalidade das informações, e visa garantir o sigilo, a propriedade e o uso adequado das informações e dos recursos tecnológicos. A Transpetro adota requisitos de segurança da informação nos processos e tecnologias, desde a concepção.

A Transpetro dispõe de um Sistema de Gestão de Segurança da Informação, aplicável a toda Companhia, ancorado em sua Política e em sua Diretriz de Segurança da Informação e nos demais padrões internos a elas associados.

A presente Diretriz se une aos padrões supracitados de forma a garantir que os terceiros (para este documento definidos como Prestadores de Serviço, Empresas Conveniadas, Empresas Parceiras e quaisquer pessoas que em nome destes realizem atividades ou interajam com o sistema Petrobras) adotem controles de SI em conformidade com aqueles exigidos pelos processos da Transpetro nas atividades desenvolvidas para e com a empresa.

As informações e os recursos tecnológicos da Transpetro devem ser utilizados para o desempenho das atividades profissionais de acordo com o que estabelece a legislação vigente, o Código de Conduta Ética e os valores da Transpetro.

Todas as informações produzidas, recebidas, acessadas, armazenadas, manipuladas ou distribuídas em razão das atividades profissionais ou que tenham relação com a Transpetro, bem como os demais ativos intangíveis e tangíveis disponibilizados, são de propriedade ou estão sob a responsabilidade e direito de uso exclusivo da Petrobras. A Companhia possui e reserva-se no direito de auditar e controlar o uso de todas as informações geradas nos seus processos, bem como de qualquer informação que seja recebida, transmitida ou armazenada em sua infraestrutura ou em seus provedores de nuvem e em arquivos físicos ou dispositivos eletrônicos de qualquer natureza.

6.1. Orientações

As orientações presentes nesta Diretriz estão divididas em temas, conforme o que se segue:

6.1.1. Classificação da Informação

As informações devem ser classificadas quanto ao grau de sigilo necessário, de acordo com a importância da informação para os negócios da Transpetro. O tratamento e a classificação das informações devem ser realizados conforme as orientações constantes em padrão interno corporativo.

6.1.2. Segurança de Redes e Computadores

6.1.2.1. Uso de recursos tecnológicos

A Transpetro disponibiliza recursos tecnológicos para o cumprimento das atividades profissionais.

O uso destes recursos, a que título for, deverá sempre se dar dentro dos limites da boa-fé, da ética e da legislação e jamais poderá constituir prática ilícita, gerar risco ou ser contrária aos valores da Transpetro, sendo concedido por mera liberalidade e estando sujeito a alterações e revisões periódicas de acordo com os riscos identificados e com o acompanhamento da conduta da força de trabalho, podendo ser revogado ou alterado a qualquer tempo.

As conexões realizadas, a partir de recursos tecnológicos disponibilizados pela Transpetro, para ambientes de tecnologia e computadores externos devem ser aprovadas conforme critérios definidos pelas áreas de segurança cibernética, a qual pode monitorar, auditar e controlar as conexões realizadas, incluindo redes sociais e tecnologias de mensagens instantâneas.

Todos os recursos tecnológicos devem ser homologados e controlados pela área de tecnologia da informação e telecomunicações e pela área de segurança cibernética. Não é permitido instalar e/ou utilizar-se de recursos tecnológicos que não foram devidamente autorizados e/ou homologados por essas áreas.

Cada integrante da força de trabalho é identificado por meio de uma chave (ID único) e uma senha individual, secreta e intransferível que configura sua identidade digital. Cada colaborador é responsável pelas ações ou incidentes de segurança quando da utilização de sua identidade digital.

O uso de mídias removíveis para cópia/armazenamento de informações não é permitido, a não ser em casos excepcionais, mediante aprovação expressa do gerente da área, bem como do gerente do contrato.

É vedada a retirada de informações, inclusive para seu próprio e-mail , equipamento pessoal, e conta de armazenamento em nuvem particulares, sem a prévia autorização do gestor da informação.

É responsabilidade de cada integrante da força de trabalho utilizar somente softwares e hardwares disponibilizados pela Transpetro devidamente homologados, licenciados e/ou com autorização de uso ou equipamentos de terceiros que contem com a imagem Transpetro.

Não é permitido instalar ou utilizar em recursos tecnológicos disponibilizados pela Transpetro softwares para os quais a Transpetro não possua licença, mesmo sendo softwares de uso gratuito.

6.1.2.2. Acesso de Computadores à Rede Computacional

Todo novo computador, seja servidor ou estação de trabalho, antes de ser liberado para o ambiente de produção ou acesso de força de trabalho, deve possuir somente recursos tecnológicos previamente homologados e devidamente licenciados pela área de tecnologia da informação e telecomunicações. O acesso aos recursos computacionais da Transpetro, inclusive de forma remota, somente é permitido através de recursos tecnológicos de propriedade da Transpetro ou devidamente autorizados pelas áreas de segurança da informação e segurança cibernética.

6.1.2.3. Acessos lógicos por terceiros

O acesso à informação e aos recursos tecnológicos somente será concedido a terceiros mediante autorização expressa da Transpetro.

Os acessos concedidos, pela área de tecnologia da informação e telecomunicações, devem observar o princípio de privilégio mínimo, e o uso de acesso privilegiado é exclusivo para atividades que justifiquem a necessidade.

Toda conexão externa com a rede corporativa deve ser autenticada, hipótese em que as portas de diagnóstico remotas serão protegidas e as conexões com redes de terceiros serão controladas pela área de tecnologia da informação e telecomunicações da Transpetro.

6.1.2.4. Uso de senhas por terceiros

As senhas corporativas devem ser de uso pessoal e intransferíveis, sendo vedado o compartilhamento.

Não devem ser utilizadas senhas-padrão fornecidas pelos fabricantes, após a instalação em ambiente Transpetro de qualquer recurso tecnológico. Sempre devem ser seguidos requisitos de complexidade de senha com base em padrões e boas práticas internacionais de forma a minimizar o risco de violação de credenciais.

As senhas devem ser trocadas periodicamente, imediatamente em caso de dúvida sobre seu comprometimento, ou no caso de qualquer ocorrência incomum nos sistemas de dispositivos.

6.1.2.5. Gestão de identidades e acessos de terceiros

Trata das identidades de terceiros a partir do seu cadastro de modo a garantir que tenham acesso aos recursos devidos.

A gestão de identidades e acessos na Transpetro é operacionalizada através de uma série de atividades executadas automaticamente.

Todo usuário será unicamente identificável de forma a garantir rastreabilidade de ações.

O fiscal do contrato e o preposto devem zelar pela correção e atualização da informação cadastral dos dados de terceiros e para que os acessos concedidos sejam o mínimo necessário ao desempenho das atividades requeridas e sejam revogados tempestivamente quando não mais necessários.

6.1.3. Restrição de Conteúdos

Não é permitido transferir e/ou armazenar informações corporativas por meio de webmail (Gmail, Hotmail etc.) particular ou em sites públicos (Google drive, iCloud, DropBox etc.) fora do domínio Transpetro.

As informações corporativas devem ser armazenadas somente em recursos tecnológicos fornecidos pela Companhia sendo vedado o compartilhamento com terceiros sem devida autorização.

Não é permitida a utilização ou instalação de recursos de processamento da informação (software , hardware , sistemas aplicativos e outros) da Transpetro, para acesso, guarda e/ou transmissão de informações (inclusive envio de e-mail para seu próprio e-mail particular) que contenham os seguintes itens:

  • Material pornográfico e/ou linguagem obscena, grosseira ou ofensiva; 
  • Informação sobre atividades ilegais e/ou incitação ao crime;
  • Divulgação como próprio ou sem a devida autorização de nomes, contatos e demais informações de terceiros;
  • Conteúdo político e/ou religioso;
  • Programas e arquivos que contenham código malicioso ou que tenham o objetivo de explorar vulnerabilidades;
  • Material que viole a legislação local, tais como: crime virtual, pirataria, prática, indução ou incitação de preconceito ou qualquer forma de discriminação, material calunioso, abusivo ou que invada a privacidade de alguém, material protegido por direitos autorais, ou publicação de sons, fotos ou textos sem autorização do autor ou de seu representante legal, publicação de fotos sem autorização dos fotografados e distribuição de arquivos sem autorização de pessoas ou empresas responsáveis, afirmações injuriosas ou difamatórias.

Não é permitido armazenar informações particulares na infraestrutura de armazenamento de dados da Transpetro, exceto aqueles que porventura tenham sido requeridos pela própria companhia para, por exemplo, o atendimento de necessidades cadastrais.

6.1.4. Computação em Nuvem

Para acesso às informações, aplicativos ou sistemas que estejam em nuvem, a partir de ambiente externo à rede corporativa, é necessária a utilização de autenticação multifatores, devidamente homologado pela área de Segurança da Informação e TIC.

Os ambientes disponibilizados em nuvem, sejam Infraestrutura como serviço (IaaS), Plataforma como serviço (PaaS) ou Software como serviço (SaaS), devem previamente passar pelo processo de homologação da área de segurança cibernética e da área de tecnologia da informação e telecomunicações como um todo, estando em acordo com as diretrizes e requisitos estabelecidos.

6.1.5. Segurança dos Sistemas

Quaisquer contratações de sistemas, plataformas e/ou aplicativos que armazenem, modifiquem ou transmitam informações da Transpetro devem seguir os requisitos desta Diretriz.

Sistemas desenvolvidos para os propósitos da Transpetro devem passar previamente por análises de segurança, das áreas de segurança cibernética e de tecnologia da informação e telecomunicações.

A segurança dos sistemas que tratam informações sensíveis ou que sejam críticos para a operação da Transpetro devem ser testados periodicamente, conforme requisitos definidos pela Transpetro.

Estes sistemas e aplicações devem possuir trilhas de auditorias, que deverão ser enviadas à área de segurança cibernética, contendo no mínimo:

  1. A hora em que o evento ocorreu;
  1. Informações sobre o evento ou a falha;
  1. Conta responsável pelo evento;
  1. Responsável pela solicitação e aprovação.

6.1.5.1. Controle de Acesso Físico aos Recursos Tecnológicos

O acesso físico às áreas onde se localizam recursos tecnológicos da Transpetro é restrito apenas às pessoas autorizadas.

6.1.6. Mobilidade e Acesso Remoto

6.1.6.1. Mobilidade

O uso de computação móvel é permitido aos profissionais de empresa parceira de negócio ou terceirizada da Transpetro, quando houver previsão específica em contrato e aprovação do gestor Transpetro.

É responsabilidade do usuário de recursos da computação móvel (notebooks , telefones celulares, tablets , smartphones e similares) zelar para que as informações contidas nos dispositivos corporativos não sejam comprometidas.

O acesso da força de trabalho a informações empresariais a partir de dispositivos particulares será condicionado à permissão expressa das áreas de segurança cibernética e, se for o caso, de segurança da informação, à instalação de aplicações e configurações de segurança específicas definidas pela Transpetro.

6.1.6.2. Acesso Remoto

O acesso remoto deve ser disponibilizado ao colaborador somente mediante comprovação de necessidade, de aprovação gerencial e utilizado para fins profissionais.

Para acesso remoto ao ambiente computacional da Transpetro é necessária a utilização recurso de autenticação multifatores, devidamente homologado pelas áreas de segurança da informação, de segurança cibernética e de tecnologia da informação e telecomunicações, bem como a aprovação gerencial.

6.1.7. Tratamento de dados pessoais de terceiros

O tratamento de dados pessoais sensíveis ou não, pela Transpetro ou partes relacionadas, é permitido, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD), somente mediante expressa autorização do gestor Transpetro e observando instruções e limites estabelecidos em cada caso.

Qualquer parte relacionada em alguma interação com a Transpetro também está obrigada ao atendimento dos requisitos e princípios referentes à Proteção de Dados Pessoais e Privacidade, elencados na LGPD.

Os contratos entre a Transpetro e terceiros que, de forma direta ou indireta, envolvam o tratamento de dados pessoais, estão sujeitos a cláusula(s) contratual(is) que estipula(m) as responsabilidades e deveres de cada uma das partes contratantes no tratamento e na proteção de dados pessoais.

6.1.8. Conexão de equipamentos de terceiros à rede corporativa

Não é permitida a conexão de equipamento de terceiros à rede corporativa. Quando previsto em contrato, os equipamentos da contratada devem receber a imagem Transpetro de forma que sejam administrados e sigam os padrões desta.

A conexão de equipamentos de terceiros para acesso exclusivamente à internet pode ser feita através de qualquer outra conexão independente da rede corporativa, disponibilizada pela área de tecnologia da informação e telecomunicações para este fim. Esta conexão não pode utilizar os ramais telefônicos internos da Transpetro.

6.1.9. Conexão de rede de terceiros à rede corporativa

Toda conectividade de extranet deve ser submetida a uma avaliação técnica de segurança pela área de tecnologia da informação e telecomunicações. A avaliação técnica é realizada com o objetivo de garantir que a solução atenda às necessidades de negócio e de segurança da informação da Transpetro. 6.1.10. Integração de sistemas e compartilhamento com terceiros

Todo ambiente tecnológico ou sistema de informação compartilhado com parceiros de negócio, clientes, terceiros ou externos à Petrobras deve estar situado em uma Zona Desmilitarizada (DMZ) .

É considerado modelo de DMZ o compartilhamento de dados entre a Transpetro e as empresas parceiras, ou clientes externos, em que um se dá por meio da Internet, ou rede pública e o outro por meio de ambiente privado com parceiros de negócios.

6.1.11. Acesso ao ambiente de automação por terceiros

Em caso de necessidade de acesso externo, por terceiros que não tenham acesso à rede corporativa, este deve ser sempre acompanhado e monitorado por um colaborador da área de automação responsável pelo ambiente. Este acesso deve ser feito pela ferramenta oficial de colaboração da Transpetro ou pela solução de acesso remoto.

O transporte de dados de automação em redes externas de terceiros ou parceiros deve ser realizado através de Rede Virtual Privada (VPN IPSec ) especificada pela área de tecnologia da informação e telecomunicações.

6.2. Papéis e responsabilidades

6.2.1. Compete aos terceiros

  • Manter sigilo profissional e confidencialidade de todas as informações que tiver conhecimento em função das atividades desenvolvidas na Transpetro;
  • Fazer uso adequado e autorizado dos recursos tecnológicos, das informações e das redes sociais relacionados à Transpetro, independentemente do nível hierárquico, disposição física ou geográfica ou da atividade desenvolvida;
  • Adotar os devidos cuidados em caso de necessidade de delegação de atividade, caso em que a responsabilidade por quaisquer incidentes de segurança permanecerá com o terceiro delegante juntamente com o colaborador a quem a atividade foi delegada;
  • Reportar à área de segurança da informação, imediatamente, quaisquer suspeitas de falhas, vulnerabilidades e/ou incidentes de segurança e em quaisquer controles de segurança da informação, por meio de abertura de chamado no GeticWeb ou por envio de mensagem para geticweb@transpetro.com.br.

6.2.2. Compete às áreas de segurança cibernética e de segurança da informação:

  • Definir a estratégia de proteção tecnológica e das informações da Transpetro utilizadas por terceiros;
  • Desenvolver e implantar programa de segurança da informação na Transpetro, incluindo treinamento, conscientização e plano de comunicação para toda força de trabalho, incluindo os terceiros;
  • Gerir os incidentes de segurança da informação na companhia e seus respectivos tratamentos.

6.3. Sanções

A inobservância desta Diretriz enseja a aplicação de sanções, bem como de penalidades previstas na legislação em vigor, nos contratos, convênios e termos de cooperação e nas normas da Companhia, sem prejuízo de outras medidas cabíveis, de natureza administrativa, judicial ou extrajudicial.

  1. REGISTROS  
 

 Não Aplicável