INSTRUÇÃO NORMATIVA FUNPREV Nº 02/2024

Institui a Política de Segurança da Informação no Âmbito do Fundo de Previdência dos Servidores Municipais de Corumbá - Funprev.

O SECRETÁRIO MUNICIPAL DE GESTÃO E PLANEJAMENTO E A SUPERINTENDENTE DE PREVIDÊNCIA SOCIAL, no uso de suas atribuições legais,

CONSIDERANDO a necessidade de adoção de procedimentos que garantam a segurança das informações com vistas a reduzir os riscos de falhas, danos e prejuízos que possam comprometer os objetivos do Regime Próprio de Previdência do Município;

CONSIDERANDO o interesse do Regime Próprio de Previdência do Município em atender, voluntariamente, aos critérios determinados pela PORTARIA MPS nº 185/2015, para a certificação Pró-Gestão RPPS;

RESOLVE:

Art. 1º. Fica instituída a Política de Segurança da Informação no âmbito do Regime Próprio de Previdência do Município de Corumbá, na forma do Anexo I desta INSTRUÇÃO NORMATIVA.

Art. 2º. Esta INSTRUÇÃO NORMATIVA entrará em vigor na data de sua publicação.

Corumbá/MS, 28 de novembro de 2024.

ÁLVARO BERNARDO DE LIMA

Secretário Municipal de Gestão e Planejamento

GABRIELA WINKLER DA COSTA SILVA

Superintendente de Previdência Social

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

(Anexo I da INSTRUÇÃO NORMATIVA FUNPREV Nº 02/2024)

Capítulo I

OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI

Art. 1º. A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas do Regime Próprio de Previdência Social - RPPS para a proteção dos ativos de informação e a responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada por todos os colaboradores e prestadores de serviço que tenham acesso às informações de propriedade do RPPS.

Art. 2º. Constitui objetivo da PSI:

I- estabelecer diretrizes que permitam aos colaboradores e fornecedores do RPPS seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal do RPPS e do indivíduo;

II- nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento; e

III- preservar as informações do RPPS quanto à:

IV- integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;

V- confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

VI- disponibilidade: garantia de que os usuários autorizados e os interessados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Capítulo II

APLICAÇÕES DA PSI

Art. 3º. As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

Parágrafo único. É obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

Capítulo III

DAS RESPONSABILIDADES ESPECÍFICAS

Art. 4º. Entende-se por colaborador toda e qualquer pessoa física, contratada no regime estatutário, CLT ou temporário, e os prestadores de serviço, contratados por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora do RPPS, ressalvados os níveis mínimos de acesso para cada atuação (consulta, cadastro e master).

§ 1º. Os colaboradores deverão:

I- manter sigilo das informações do RPPS;

II- zelar pelos ativos de informação do RPPS, sejam eles físicos (processos, documentos, etc) ou digitais (arquivos, sistemas, etc); e

III- seguir as diretrizes e recomendações da Superintendência de Previdência Social quanto ao uso, divulgação e descarte de dados e informações.

§ 2º. Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar ao RPPS e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

Capítulo IV

DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Art. 5º. Para garantir as regras mencionadas nesta PSI, o RPPS poderá:

I- implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;

II- tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou solicitação do superior hierárquico;

III- realizar, a qualquer tempo, inspeção física nos equipamentos de sua propriedade; e

IV- instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

Capítulo V

CORREIO ELETRÔNICO

Art. 6º. O uso do correio eletrônico é para fins corporativos e relacionados às atividades do RPPS, sendo terminantemente proibido:

I- enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo do RPPS;

II- enviar mensagem por correio eletrônico usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

III- enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o RPPS vulneráveis a ações civis ou criminais;

IV- divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

V- falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas; e

VI- apagar mensagens pertinentes de correio eletrônico quando o RPPS estiver sujeito a algum tipo de investigação.

Capítulo VI

INTERNET

Art. 7º. Exige-se dos colaboradores comportamento ético e profissional com o uso da internet disponibilizada pelo RPPS.

Art. 8º. Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade do RPPS, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

§ 1º. Qualquer informação acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria, tendo o RPPS, em total conformidade legal, o direito de monitorar e registrar todos os acessos a ela.

§ 2º. Qualquer alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo superior hierárquico.

§ 3º. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos o RPPS cooperará ativamente com as autoridades competentes.

Art. 9º. Somente os colaboradores que estão devidamente autorizados a falar em nome do RPPS para os meios de comunicação, poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros.

Art. 10. Apenas os colaboradores autorizados poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal, LGPD e demais dispositivos legais.

Art. 11. Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de programas ligados diretamente às suas atividades no RPPS e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela Superintendência de Previdência Social.

§ 1º. A instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos.

Art. 12. É proibido o acesso, exposição, armazenamento, distribuição, edição, impressão ou gravação por meio de qualquer recurso, de materiais de cunho sexual e/ou ilícitos.

Art. 13. Os colaboradores não poderão utilizar os recursos do RPPS para deliberadamente propagar qualquer tipo de vírus, programas independentes, spam, assédio, perturbação ou programas de controle de outros computadores.

Art. 14. As regras expostas neste capítulo se aplicam no uso de computadores e outros dispositivos de propriedade do RPPS, bem como a dispositivos particulares dos usuários que estiverem conectados à internet do RPPS (cabeada ou sem fio).

Capítulo VII

COMPUTADORES E OUTROS DISPOSITIVOS

Art. 15. Os computadores disponibilizados pelo RPPS aos colaboradores constituem instrumento de trabalho para execução das atividades de negócio do RPPS.

§ 1º. Cada colaborador deve zelar para segurança e bom uso dos equipamentos, reportando à área competente qualquer incidente que tenha conhecimento.

§ 2º. Em caso de mau uso, ou uso em desacordo com as instruções desta norma, o colaborador poderá ser responsabilizado.

Capítulo VIII

IDENTIFICAÇÃO E CONTROLE DE ACESSO

Art. 16. Para o acesso aos recursos tecnológicos do RPPS será exigido, sempre que possível identificação e senha exclusiva de cada colaborador, permitindo assim o controle de acesso.

§ 1º. É proibido o compartilhamento de login e senhas entre os colaboradores.

§2º. Recomenda-se como boa prática de segurança que, ao realizar o primeiro acesso ao ambiente de rede local, o usuário seja direcionado a trocar imediatamente a sua senha.

§ 3º. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

§ 4º. Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.

Capítulo IX

TRATAMENTO DE DADOS PESSOAIS

Art. 17. O FUNPREV compromete-se a não acumular ou manter intencionalmente dados pessoais além daqueles relevantes a realização de suas atividades. Todos os dados pessoais serão considerados confidenciais. Dados pessoais sob a responsabilidade do RPPS não serão usados para fins diferentes daqueles para os quais foram coletados. Dados pessoais não serão transferidos para terceiros, exceto quando autorizados, devendo seus receptores manterem a confidencialidade.

Capítulo X

PROCEDIMENTOS DE CONTINGÊNCIA

Art. 18. Para garantir a segurança da informação, deverão ser realizadas cópias de segurança dos sistemas e respectivos bancos de dados utilizados pelo RPPS.

§1º. As rotinas de cópia de segurança deverão, sempre que possível, ser realizadas de forma automatizada, em horários pré-definidos, devendo ainda ser realizadas verificações periódicas da sua execução e integridade.

§2º. O armazenamento das cópias de segurança deverá ser planejado de forma que impeça o acesso a pessoas não autorizadas.

§3º. O processo de realização de cópias de segurança deverá ser devidamente mapeado e manualizado.

§4º. Os procedimentos de cópias de segurança e de contingência é de responsabilidade da Superintendência de Previdência Social.

Capítulo XI

DISPOSIÇÕES FINAIS

Art. 19. Havendo descumprimento da presente Política de Segurança da Informação, poderão ser aplicadas as penalidades previstas no Estatuto dos Servidores Públicos do Município de Corumbá, no caso de servidor, ou no contrato de prestação de serviços, no caso de contratado.

Art. 20. Os casos omissos deverão ser submetidos à apreciação do Conselho Deliberativo.