Normas de Privacidade e
Segurança das Informações
Segurança das informações
• Por que a segurança das informações é importante?
o A capacidade de utilizar informações de maneira mais eficiente causou a sua
rápida valorização.
o A proteção das informações confidenciais da InnerWorkings e dos clientes é
um requisito empresarial, ético e jurídico.
o Na eventualidade de informações confidenciais sobre a InnerWorkings ou
nossos clientes caírem em mãos erradas, as consequências podem ser, dentre
outras, perda de contrato, publicidade negativa e processos judiciais.
o As informações armazenadas eletronicamente enfrentam ameaças novas e
com maior potencial de prejuízo da segurança:
podem ser furtadas a partir de um local remoto
é muito mais fácil interceptar e alterar comunicações eletrônicas do que as comunicações
antigas em papel
inwk | we make marketing happen
2
Segurança das informações
• Quem é responsável pela segurança das informações?
o Todo aquele que possui acesso às informações da InnerWorkings ou de
qualquer cliente é responsável por conhecer os requisitos e aceitar a sua
responsabilidade pessoal de proteção desse patrimônio valioso.
inwk | we make marketing happen
3
Segurança das informações
• Denúncia de incidentes relacionados à segurança das informações
o Um incidente de segurança das informações é quando uma informação
confidencial é compartilhada, obtida ou de outra forma acessada por partes
não autorizadas.
o Se tomar conhecimento, ou suspeitar que ocorreu, um incidente de segurança
de informação, denuncie-o no prazo de 1 (uma) hora da violação. Segue
abaixo uma relação das pessoas a serem contatadas:
Seus contactos directos InnerWorkings
Presidente Regional, Alex Castroneves, [email protected]
Diretor-gerente, Fabio Battaglia, [email protected]
o Mesmo que seja apenas uma suspeita de um incidente de segurança de
informação, a denúncia deve ser efetuada. Deixe que os peritos se
encarreguem de resolver a questão.
inwk | we make marketing happen
4
Segurança das informações
• A relação abaixo inclui alguns exemplos de tipos de incidentes de segurança de informação que
devem ser denunciados. Observe que esta relação não abrange todas as possibilidades. Se
suspeitar que uma atividade é uma violação da segurança das informações, denuncie.
o O compartilhamento de uma ID/senha individual de usuário (salvo se for um usuário/ID com aprovação
explícita de compartilhamento).
o O uso da ID de usuário de outra pessoa para executar uma tarefa em um sistema.
o A instalação de software não autorizado/ilegal em um dispositivo da empresa (estação de trabalho,
PDA ou outro dispositivo portátil).
o O uso abusivo da capacidade de um sistema para executar tarefas inicialmente não autorizadas para a
função.
o Quaisquer capacidades conflitantes não divulgadas de um sistema.
o Uso indevido do patrimônio de informações da empresa.
o Informação falsa ou falsificação dos registros, documentos, etc. da empresa.
o Divulgação imprópria/não autorizada de dados restritos ou confidenciais (intencionalmente ou não).
o Laptop/portátil sem trava de segurança/desacompanhado/sem proteção de senha.
o Furto ou perda de um dispositivo contendo quaisquer informações da InnerWorkings ou clientes
(laptop, Blackberry, iPhone, iPad ou qualquer outro dispositivo portátil).
o Uso não autorizado do sistema, de aplicativos ou dados.
o Informações compartilhadas de forma imprópria por meios eletrônicos.
o Uso impróprio de qualquer dispositivo ou material da InnerWorkings ou de cliente que tenha, ou possa
comprometer, nosso patrimônio de informações ou a integridade da empresa (uso indevido de um
laptop).
o Interrupções do sistema ou aplicativo devido a um código mal-intencionado (vírus, Trojan ou qualquer
tipo de malware).
o Interrupções significativas do sistema ou aplicativo após uma mudança/atualização do sistema ou
qualquer evento inesperado.
o Qualquer ação com POTENCIAL de causar a perda/alteração não autorizada de informações.
inwk | we make marketing happen
5
Classificação das informações
• Quatro classificações são utilizadas para identificar as informações:
o Restrita
o Confidencial
o Uso interno
o Dado público
inwk | we make marketing happen
6
Classificação das informações
• Quatro classificações são utilizadas para identificar as informações:
o Restrita
A informação proprietária mais sigilosa
Sua perda ou divulgação não autorizada causaria:
o Dano à competitividade da InnerWorkings ou dos nossos clientes
o Impacto financeiro acima de US$200 milhões
Exemplos (não inclusivos):
o Documentos estratégicos regionais e globais
o Informações sobre aquisições e desapropriações
o Informações financeiras da empresa que não foram divulgadas ao público
o Confidencial
o Uso interno
o Dado público
inwk | we make marketing happen
7
Classificação das informações
• Quatro classificações são utilizadas para identificar as informações:
o Restrita
o Confidencial
Informação sigilosa competitiva
Sua perda ou divulgação não autorizada causaria:
o Dano ao desempenho da InnerWorkings ou dos nossos clientes
o Impacto financeiro maior que US$2 milhões, mas menor que US$200 milhões
Exemplos (não inclusivos):
o Documentos sobre as estratégias de marca
o Informações sobre contas a receber
o Contratos e declarações de trabalho
o Uso interno
o Dado público
inwk | we make marketing happen
8
Classificação das informações
• Quatro classificações são utilizadas para identificar as informações:
o Restrita
o Confidencial
o Uso interno
Não destinada à distribuição ao público
Sua perda ou divulgação não autorizada causaria:
o Impacto mínimo sobre a posição da InnerWorkings ou dos nossos clientes
o Impacto financeiro de menos de US$2 milhões
Exemplos (não inclusivos):
o Organogramas
o Processos de trabalhos corporativos
o Dado público
inwk | we make marketing happen
9
Classificação das informações
• Quatro classificações são utilizadas para identificar as informações:
o Restrita
o Confidencial
o Uso interno
o Dado público
Informação disponível fora da InnerWorkings e dos nossos clientes
Exemplos (não inclusivos):
o Relatórios anuais
o Comunicados à imprensa
o Manuais de fornecedores
inwk | we make marketing happen
10
11
Classificação das informações
Área
Restrita
Treinamento
Treinamento inicial sobre privacidade e segurança das informações;
posteriormente, cursos periódicos de atualização completados por
todos os funcionários
Acesso
Restrito a quem
precisar ter o
conhecimento
Restrito a quem
precisar ter o
conhecimento
Disponível a todos os
funcionários
Demarcação de
documentos
Marcar “Restrito” ou
“Confidencial” em
toda página de
documentos
impressos e cópias
impressas
Marcar “Restrito ou
Confidencial” em toda
página de
documentos
impressos e cópias
impressas
Nenhuma
demarcação
obrigatória
Transmissão
interna (para email @inwk.com )
Criptografia
recomendada, porém
não obrigatória.
Somente endereços
de e-mail individuais,
mas não listas de
distribuição
Criptografia
recomendada, porém
não obrigatória.
Listas de distribuição
são permitidas
Criptografia não é
obrigatória.
Listas de distribuição
são permitidas
inwk | we make marketing happen
Confidencial
Uso interno
12
Classificação das informações
Área
Restrita
Precisa ser
Transmissão
criptografada
externa (não para
e-mail @inwk.com)
Confidencial
Uso interno
Criptografia
recomendada e pode
ser obrigatória
Criptografia não é
obrigatória
Postar/carregar é
permitido no site da
equipe ou de cliente
no InnerCom se os
critérios de acesso
estiverem bem
definidos e forem
rigidamente aplicados
Postar/carregar no
InnerCom é permitido
Armazenamento:
InnerCom
(Intranet)
Não postar/carregar
no InnerCom a
menos que o site
tenha aprovação para
dados altamente
restritos
Armazenamento:
Internet
Não postar/carregar em nenhum site público da internet
Descarte
Fragmentar
documentos ou usar
fragmentadoras
trancadas
inwk | we make marketing happen
Fragmentar
documentos ou usar
fragmentadoras
trancadas
Usar lixo e processo
de reciclagem
normais
Gerenciamento de registros
• O que é gerenciamento de registros?
o Um método sistemático de manter e controlar os registros criados e
recebidos durante o curso normal dos negócios.
o O sistema assegura que as necessidades da empresa, bem como os
requisitos legais, fiscais ou regulatórios sejam atendidos.
inwk | we make marketing happen
13
Gerenciamento de registros
• Por que o gerenciamento de registros é importante?
o Os registros criados durante o curso normal dos negócios são um ativo da
empresa, independentemente do meio pelo qual são mantidos, dentre
eles:
Arquivos em papel
Arquivos eletrônicos (bancos de dados, documentos eletrônicos, e-mails,
etc.)
CDs/DVDs, microfilmes, microfichas, vídeos, etc.
Registros da InnerWorkings ou de clientes mantidos em depósito fora da
empresa
o O cumprimento da Política de Gerenciamento de Registros da
InnerWorkings e de todos os requisitos legais, fiscais e/ou regulatórios é
necessário para garantir a integridade da empresa.
inwk | we make marketing happen
14
Gerenciamento de registros
• Expectativas quanto ao gerenciamento de registros
o Operação de acordo com a letra ou o espírito da lei.
o Todos os funcionários, prestadores de serviços e fornecedores são
obrigados a identificar, manter e proteger todos os registros de maneira
eficiente e eficaz.
o Os registros devem ser controlados de acordo com a Política de
Gerenciamento de Registros da InnerWorkings e todos os requisitos
legais, fiscais e/ou regulatórios.
inwk | we make marketing happen
15
Gerenciamento de registros
• Responsabilidades da InnerWorkings quanto ao gerenciamento dos
registros dos clientes
o Executar todas as etapas sob a orientação dos representantes do cliente e
de acordo com o contrato com o cliente.
o Controlar os registros do cliente durante o decorrer do negócio.
o Examinar os registros do cliente pelo menos uma vez por ano.
o Descartar os registros do cliente de maneira apropriada e de acordo com
leis internacionais ou específicas do país.
o Para obter mais informações sobre gerenciamento de registros, consulte
[email protected].
inwk | we make marketing happen
16
Tecnologias para segurança das informações
• Senhas/Acesso
• Siga estas sugestões para proteger a sua ID de usuário e senha (esta lista não é totalmente abrangente):
o Nunca compartilhe a sua ID de usuário e senha (se necessário para suporte técnico interno, elas podem ser
compartilhadas, mas devem ser mudadas imediatamente após o término do serviço)
o Nunca forneça a sua senha pelo telefone ou e-mail
o Nunca compartilhe a sua senha durante uma sessão de suporte técnico on-line
o Nunca escreva a sua ID de usuário e senha
o Os usuários são responsáveis por escolher senhas de qualidade, contendo pelo menos 6 caracteres
que sejam:
fáceis para o usuário lembrar;
não sejam baseadas em nada que outra pessoa possa facilmente adivinhar ou obter usando informações conhecidas,
como por exemplo, ID de logon, ID de funcionário, endereço de e-mail, nomes, números de telefone, etc.;
diversificadas: uma combinação de caracteres alfanuméricos não repetidos, letras maiúsculas e minúsculas;
diferentes de senhas usadas para acesso a contas pessoais na internet pública;
os usuários são responsáveis em preservar a confidencialidade de suas senhas.
inwk | we make marketing happen
17
Tecnologias para segurança das informações
• Estações de trabalho compartilhadas
o Você é responsável por todas as atividades nas estações de trabalho que
acessa com a sua ID de usuário
o Faça sempre o logoff após o uso compartilhado de uma estação de
trabalho, para assegurar que ninguém mais possa usar o seu acesso na
estação de trabalho
• Segurança de estações de trabalho que ficam sem supervisão
o Sempre trave o seu computador antes de deixá-lo sem supervisão (por
ex., ‘CTRL+ALT+Delete’, ou ‘Tecla Windows logo +L’)
inwk | we make marketing happen
18
Tecnologias para segurança das informações
• Dispositivos portáteis: computador laptop
o Não armazene informações confidenciais em um laptop sem criptografia
do disco rígido.
o Proteja fisicamente o dispositivo quando deixá-lo em algum lugar (por ex.,
cabo com cadeado, armário/gaveta trancado, escritório trancado).
o Informe a perda ou o furto do seu laptop imediatamente, seguindo o
protocolo de incidente de segurança de informação.
inwk | we make marketing happen
19
Tecnologias para segurança das informações
• Dispositivos portáteis: telefone móvel e PDA/Smartphone
o A política da empresa não permite que informações confidenciais sejam
armazenadas em dispositivos pessoais móveis - o dispositivo deve ser de
propriedade da InnerWorkings e por ela controlado.
o O dispositivo deve estar protegido com senha e todas as informações
confidenciais devem ser criptografas através do WinZip antes de serem
armazenadas no dispositivo.
o Remova todas as informações confidenciais do dispositivo assim que
terminar de usá-las.
o Nunca deixa um telefone móvel sem supervisão em local onde possa ser
visto e furtado facilmente.
o Informe a perda ou o furto do seu telefone móvel da InnerWorkings
imediatamente enviando e-mail ao seu contato local.
inwk | we make marketing happen
20
Tecnologias para segurança das informações
• Phishing (fraude eletrônica que consiste em um fraudador se fazer
passar por outra pessoa para adquirir informações confidenciais)
o Exclua imediatamente todos os e-mails com suspeita de phishing
o Não abra nem encaminhe anexos ou links de e-mails desconhecidos
inwk | we make marketing happen
21
Tecnologias para segurança das informações
• E-mail
o Sempre confirme se o endereço de e-mail está correto (muitas pessoas
têm nomes iguais)
o Não envie informações restritas ou confidenciais para uma lista de
distribuição
inwk | we make marketing happen
22
Tecnologias para segurança das informações
• Áreas compartilhadas de documentos
o A pessoa responsável pelo gerenciamento de uma área compartilhada
deve assegurar que o acesso seja concedido somente para quem tenha
uma necessidade legítima de negócios, e remover o acesso quando ele
não for mais necessário
o As informações classificadas como ‘Restrita’ devem ficar armazenadas em
um espaço de equipe com a designação ‘Restritas’
inwk | we make marketing happen
23
Tecnologias para segurança das informações
• Dispositivos invasores
o Todo dispositivo não autorizado/sem controle conectado à rede da
InnerWorkings ou de cliente é considerado um dispositivo invasor
o Dispositivos invasores são proibidos na rede da InnerWorkings
o Dispositivos invasores são proibidos na rede de qualquer cliente
inwk | we make marketing happen
24
Segurança das informações na área de trabalho
• “Política de mesa limpa” na sua área de trabalho
o Mantenha o seu espaço de trabalho desobstruído e seguro
o Deixe em cima da mesa somente as informações necessárias para o dia
o Toda mídia de papel e eletrônica contendo informações da InnerWorkings
ou de clientes e classificadas como restritas ou confidenciais devem ser
armazenadas em gaveta, escritório ou armário trancado e seguro fora do
expediente de trabalho
o Quando a mesa de um funcionário da InnerWorkings ficar sem supervisão
durante o dia, todas as informações restritas e confidenciais devem estar
guardadas:
Documentos físicos guardados em gavetas, armários ou escritórios trancados
Documentos eletrônicos protegidos com a trava da tela do computador
inwk | we make marketing happen
25
Segurança das informações na área de trabalho
• Salas de reuniões
o Feche a porta antes de discutir informações confidenciais
o Informe as pessoas antes de compartilhar informações confidenciais
durante uma reunião, e tenha certeza de que elas sabem como proteger
as informações de forma apropriada
o Antes de sair de uma sala de conferência, quer seja dentro da
InnerWorkings ou não, recolha todas as informações e leve-as com você
o Apague todos os quadros brancos após a reunião e antes de sair da sala
de reunião
inwk | we make marketing happen
26
Segurança das informações na área de trabalho
• Áreas públicas
o Não discuta tópicos confidenciais em áreas públicas, quer sejam em uma
instalação da InnerWorkings ou fora
o Não mostre protótipos de produtos, embalagens, publicidades, maquetes
ou outros itens que possam revelar planos futuros/estratégicos da
InnerWorkings ou de cliente
inwk | we make marketing happen
27
Fora do escritório
• Transporte público
o Mantenha todas as informações confidenciais junto a você o tempo todo,
bem como dispositivos que contenham informações da InnerWorkings ou
de seus clientes, não permitindo que estejam fora do seu alcance
Não as guarde em áreas de uso comum, como compartimentos elevados para
bagagem
Não despache como bagagem, nem coloque dentro de malas que serão vistoriadas
o Se precisar colocar o seu laptop, pasta ou outro dispositivo portátil no chão
de um local público, coloque-o entre os pés para sentir caso alguém tente
removê-lo
o Tome cuidado para não conversar sobre informações da InnerWorkings ou
de clientes, pois esses locais são públicos
inwk | we make marketing happen
28
Fora do escritório
• Automóveis
o Nunca deixe o seu laptop dentro de um veículo sem supervisão
o Guarde todas as informações confidenciais e mídias portáteis no portamalas do carro ou dentro de um compartimento trancado antes de sair –
não espere até chegar ao destino pretendido
o Evite transferir itens de dentro do carro para o porta-malas quando estiver
em lugares públicos
o Não deixe nenhuma informação confidencial, dispositivos portáteis ou
outros itens de valor dentro do carro durante a noite - leve tudo com você
quando chegar ao local onde passará a noite
inwk | we make marketing happen
29
Fora do escritório
• Trabalho na própria residência
o Tome as mesmas precauções que tomaria se estivesse trabalhando no
escritório (por ex., tranque as informações da InnerWorkings e do cliente e
proteja mídias portáteis quando não estiverem em uso)
o Não compartilhe os dispositivos de propriedade da InnerWorkings ou de
clientes (por ex., computador laptop, pen drive USB, telefone móvel) com
parentes ou amigos
o Não instale software de propriedade da InnerWorkings ou de cliente, pois
ele pode prejudicar a execução correta do software da empresa ou
introduzir algum malware, como um vírus
inwk | we make marketing happen
30
O que lembrar sobre segurança das informações
• Melhores práticas para a segurança das informações
o Proteja as informações classificadas: restritas, confidenciais, uso interno
o Proteja as sua senhas
o Proteja a sua área de trabalho
o Proteja as mídias portáteis
o Cumpra sempre as normas da InnerWorkings
o Entenda a sua responsabilidade
o Denuncie os incidentes de segurança das informações
o Em caso de dúvida, entre em contato com [email protected]
inwk | we make marketing happen
31
O que lembrar sobre segurança das informações
• O que deve ser evitado
o Não use um site como FTP, Drop-Box, Google docs, etc. para transferir ou
compartilhar informações.
o Não compartilhe as suas IDs ou senhas.
o Quando fornecidas, a ID de usuário e a senha não devem estar no mesmo email.
o Não use endereços pessoais de e-mail (por ex., Yahoo, g-mail) para enviar
informações da InnerWorkings ou de clientes.
o Não use IDs compartilhadas.
o Não compartilhe nenhuma informação restrita ou confidencial com outros
funcionários da InnerWorkings e/ou de terceiros a menos que tenham
necessidade de conhecimento da à informação e o autor tenha dado
permissão para o compartilhamento.
inwk | we make marketing happen
32
Privacidade
• Definição de privacidade
o Privacidade é o direito da pessoa de proteção contra a intrusão não
autorizada. Ela trata do respeito e da confiança na coleta e no uso de
dados pessoais ou informações de identificação pessoal (“PII”).
o PII é qualquer informação que identifique uma pessoa de forma exclusiva,
como por exemplo:
Nome e sobrenome,
Uma fotografia,
Endereço físico,
Endereço de e-mail,
ID de funcionário,
ID do governo,
Número de telefone,
Número do telefone móvel/celular,
Um endereço IP, ou
Qualquer combinação de dados que possa identificar um indivíduo (por ex., data de
nascimento combinada com o sexo e o código postal é uma forma confiável de
identificar uma pessoa)
inwk | we make marketing happen
33
34
Privacidade
• Definição de PII confidencial
o Algumas PIIs são ainda classificadas como confidenciais. PII confidencial é a informação que
pode ser prejudicial se for divulgada ou usada indevidamente, como:
•
•
•
•
•
•
•
•
Origem racial ou étnica,
Opiniões políticas,
Crenças religiosas,
Filiação em sindicatos,
Vida sexual,
Condenação por crime,
Informações do cartão de débito/crédito,
Números de contas financeiras ou de
conta bancária,
• Senha de conta, PIN ou outro código de
acesso,
• Número eletrônico de identificação
exclusivo, número do banco ou qualquer
número/informação usado para acesso
aos recursos financeiros de uma pessoa,
• Dados biométricos como impressão
digital, impressão da voz, imagem da
retina/íris ou qualquer outra representação
física exclusiva,
inwk | we make marketing happen
•
•
•
•
•
•
•
•
•
•
•
•
•
Informações do seguro de saúde,
Número da Previdência Social,
Número da carteira de habilitação,
Número da carteira de identidade
estadual,
Número do passaporte,
Qualquer outro número de ID do
governo (nacional, federal, estadual,
tribal),
Data de nascimento,
Sobrenome de solteira da mãe,
Informações específicas do funcionário,
dentre outras: no. de ID do funcionário,
classificação, faixa salarial, salário,
Número de contribuinte,
Número da apólice de seguro,
Informações de saúde, e
Assinatura digital/eletrônica.
Privacidade
• Aplicação da política
o De acordo com a sua política, a InnerWorkings não coleta nem armazena PII
confidencial dos nossos clientes
o Os fornecedores que lidam com PII dos clientes são obrigados a agir com a
devida diligência
A PII deve estar criptografa quando em trânsito e fora de uso
A PII não pode ser armazenada durante mais de 30 dias após a conclusão do projeto
A PII limita-se a quem tem “necessidade de conhecimento da informação”
Regras, políticas e práticas de segurança adicionais devem ser seguidas
Uma auditoria de segurança das informações deve ser realizada periodicamente
o Se a sua atividade envolve a PII, entre em contato com [email protected]
para obter ajuda e garantir que as etapas de devida diligência para o
cumprimento da PII sejam seguidas
inwk | we make marketing happen
35
Privacidade – Perspectiva internacional
Informações de outros países
o As leis de privacidade variam de um país para o outro
o Algumas informações não podem ser enviadas ou armazenadas através
de fronteiras
o Se informações pessoais forem coletadas ou fornecidas para uma parte
que não esteja no mesmo país, entre em contato com
[email protected] para obter ajuda
inwk | we make marketing happen
36
Específico ao cliente
• Requisitos adicionais
o Alguns dos clientes da InnerWorkings exigem a adoção de medidas de
segurança mais restritas,
o Como transferência segura de arquivos e uso de um provedor préaprovado para armazenagem de dados.
o Se você for um fornecedor para um desses clientes:
A InnerWorkings o informará sobre os procedimentos adicionais.
Você deverá seguir esses procedimentos ao manusear informações do cliente em
questão.
Você deverá treinar todos os seus sub-fornecedores e assegurar que eles sigam esses
procedimentos.
inwk | we make marketing happen
37