POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A presente Política de Segurança da Informação (PSI) do escritório de advocacia PONTES PINTO & PIGNANELI SOCIEDADE DE ADVOGADOS, inscrito na OAB/RO sob n. 006/2012, CNPJ n. 15.202.498/0001-42, sediado na Rua Herbert de Azevedo, 1333, Bairro Olaria, CEP 76.801-267, Porto Velho - RO, doravante denominado DPLAW, aplica-se à todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, doravante denominados USUÁRIOS, que utilizem o ambiente de processamento, ou acesso a informações pertencentes ao DPLAW.

OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Política de Segurança da Informação (PSI) do DPLAW tem por objetivo garantir a disponibilidade, integridade, confidencialidade, legalidade e autenticidade das informações necessárias para a realização da atividade jurídica realizada pelo escritório. Documentar e disseminar conhecimento das regras e critérios da segurança da informação de qualquer ameaça, respeitando a confidencialidade, a integridade, a disponibilidade e o uso adequado dos recursos tecnológicos, preservar o patrimônio, mitigando riscos e mantendo o nível de segurança da Instituição aderente as boas práticas de mercado utilizadas no âmbito geral de TI (ITIL, Cobit, ABNT NBR ISO/IEC) e demais normativos aplicáveis.

DO CPSEG: COMITÊ DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO

O Comitê de Privacidade e Segurança da Informação do DPLAW, denominado CPSEG é o órgão responsável pela organização, manutenção, atualização e execução do PSI, bem como das normas de proteção de dados e segurança da informação, mantendo-se os padrões e diretrizes pela ANPD e demais órgãos que tratem da respectiva matéria.

EDSON ANTÔNIO SOUSA PONTES PINTO

Sócio fundador

E-mail: edson@dplaw.com.br

GERSON PAES DOS SANTOS

Segurança da Informação

E-mail: ti@dplaw.com.br | dpo@dplaw.com.br

DIRETRIZES GERAIS DE SEGURANÇA DA INFORMAÇÃO

No cumprimento das atividades do DPLAW, tanto a sociedade de advogados, como os colaboradores (sócios, associados e empregados) observarão as seguintes diretrizes: Dados dos colaboradores: O DPLAW e seus colaboradores não manterão ou acumularão intencionalmente dados pessoais de colaboradores além daqueles relevantes na condução do seu negócio. Todos os dados pessoais dos colaboradores que porventura sejam armazenados, serão considerados dados confidenciais e tais dados pessoais sob a responsabilidade do DPLAW não serão usados para fins diferentes daqueles para os quais foram coletados. Os dados pessoais serão tratados em conformidade com a legislação e normativas vigentes.

Dados Pessoais de colaboradores não serão transferidos para terceiros, exceto quando exigido pelo negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de correios eletrônicos utilizados pelos colaboradores do DPLAW.

Política de Segurança da Informação

Correio Eletrônico

O correio eletrônico fornecido pelo DPLAW é um instrumento de comunicação interna e externa para a realização dos objetivos do negócio. As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da sociedade de advogados, não podem ser contrárias à legislação vigente e nem aos princípios éticos profissão em exercício. O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Recursos de Tecnologia da Informação

Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais. A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário. É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo. O usuário não deve alterar a configuração do equipamento recebido.

Softwares e Sistemas Computacionais

É terminantemente proibido o uso de programas ilegais (sem licenciamento) nos equipamentos e ambientes virtuais do DPLAW. Os usuários/colaboradores não podem, em hipótese alguma, instalar este tipo de software nos equipamentos da Sociedade, ressaltando-se que somente os responsáveis pela área de TI possuem tal autorização, dentro da política periódica de segurança corporativa. Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam por quaisquer problemas ou prejuízos causados oriundos desta ação, estado sujeitos às sanções previstas neste instrumento. O uso não autorizado de qualquer software não licenciado no ambiente corporativo será considerado uma violação da Política de Segurança da Informação (PSI) e tratado como um incidente de segurança da informação, estando o responsável sujeito às sanções e punições previstas neste instrumento.

Antivírus e Segurança de Mídia

Todo arquivo em mídia proveniente de entidade externa ao DPLAW deve ser verificado por programa antivírus. Todo arquivo recebido/obtido através do ambiente Internet deve ser verificado por programa antivírus. Todas as estações de trabalho devem ter um antivírus instalado. A atualização do antivírus será automática, agendada pelo setor de Informática, via rede. O usuário não pode em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.

Deveres e Responsabilidades

É dever de todo colaborador (sócio, associado e empregado) do DPLAW tratar a informação como um bem da organização, um elemento e recurso importante para a realização do negócio, e que necessita dos cuidados legais e corporativos, dentre eles a garantia de sua segurança. Todos os contratos firmados com o DPLAW possuirão cláusula de confidencialidade que assegure o sigilo e a segurança da informação nos termos da presente Política (PSI). É dever de todo integrante da Sociedade reportar quaisquer riscos à Segurança da Informação ao CPSEG, bem como à área de TI da Sociedade.

Controle de Acessos

A gestão de acessos envolve a definição, monitoramento de funções e privilégios de acesso de cada usuário, esses usuários podem ser colaboradores, conselheiros, diretores, sócios, estagiários e/ou prestadores de serviços e os demais stakeholders, garantindo que o usuário acesse apenas o necessário, de acordo com a sua função.

As solicitações devem ocorrer preferencialmente por e-mail ou através da plataforma de solicitação de chamados.

Acessos e Senhas

Os sistemas informatizados utilizados no DPLAW exigem a autenticação por senhas e/ou outros mecanismos de segurança e controle de acesso. As senhas podem ser classificadas em dois tipos: fracas e fortes. Esses dois tipos correspondem ao nível de dificuldade da senha:

Senhas Fracas (que não devem ser utilizadas):

• meufilho2022 (nome)
• 6932218032 (telefone fixo ou celular)
• 14011988 (data de nascimento)

Senhas Fortes:

• @Pa$SW0rd1
• #Law2OS2
• C4$a852369741

A utilização de senha FRACA é frágil, de fácil memorização e facilita ações de fraudadores, portanto, NÃO deve ser utilizada.

Toda senha é individual e intransferível, ou seja, não deve ser repassada para nenhum outro usuário. Todos os registros encontrados com a senha de um colaborador serão de responsabilidade dele, deste modo o colaborador deve tomar todas as precauções possíveis para mantê-la secreta. As senhas devem ser alteradas com o prazo máximo de 45 (quarenta e cinco) dias pelo próprio usuário, caso contrário, serão bloqueadas aguardando alteração.

Permissões de Acesso

Solicitações de permissões de acessos às soluções tecnológicas do DPLAW deverão ser aprovadas pelo gestor direto e/ou um dos diretores executivos.

Novos Acessos:

Solicitações de novos acessos às soluções tecnológicas corporativas do DPLAW (e-mail, usuário de rede) para início de atividade do colaborador, devem ser efetuadas pelo Departamento Pessoal à Área de Tecnologia da Informação, formalmente via e-mail.

Bloqueios e Desbloqueios:

Os bloqueios, desbloqueios e inativação de acessos aos sistemas do DPLAW deverão ser comunicados à Unidade de Tecnologia da Informação pelo Departamento Pessoal, formalmente via e-mail.

Rede Virtual Privada (VPN) e MPLS

A VPN ou rede virtual privada permite o acesso seguro à rede do DPLAW, trafegando os dados de forma criptografada através da internet. A utilização do serviço de VPN aos colaboradores será concedida com autorização formalizada à Área de Tecnologia da Informação pelo gestor direto da sua área ou pela diretoria executiva quando houver ausência da gestão.

Não é permitida a instalação da VPN em computadores particulares. Não é permitido uso de computadores em nossa rede privada e MPLS.

Armazenamento de Arquivos

O DPLAW disponibiliza um servidor de arquivos em nuvem compartilhado no Sharepoint do Office 365 e One Driver, local de armazenamento de todos os documentos, pastas e demais informações exclusivas inerentes aos negócios do escritório DPLAW. As aplicações do Office 365 do DPLAW estarão disponíveis para acesso 24 horas, inclusive em regime Home Office (teletrabalho).

Estrutura de Diretórios Sharepoint (servidor de arquivos):

• Não é possível a criação de pastas pelos colaboradores no diretório raiz do servidor Sharepoint.
• O diretório deve ser organizado por gerência e área, sendo que as pastas filhas são de livre criação.
• A soma dos caracteres dos nomes dos diretórios (pastas) e arquivos não deve ultrapassar 255 caracteres (letras, números e espaços).

Prevenção Contra Vírus e Ataques Cibernéticos

As estações de trabalho (computadores) do DPLAW possuem antivírus instalados. Esta ferramenta é atualizada de forma automática através de um gerenciador centralizado e a Área de Tecnologia da Informação monitora semanalmente o status da proteção, atualização, banco de dados e demais atividades que possam comprometer a segurança das estações. Algumas estações de trabalho (computadores) utilizam ainda uma subproteção, um segundo endpoint de segurança com maior restrição.

Gerenciamento de Mídias Removíveis

O uso de mídias de armazenamento removível (HD externo, pendrive, Cartão de Memória, CD, DVD etc.) são bloqueados nos computadores do DPLAW, exceto os certificados digitais token usb do tipo A3.

A exceção dos demais colaboradores deve ser formalizada preferencialmente via e-mail com deliberação de um dos diretores executivos do escritório DPLAW, bem como deverá passar por aprovação do CPSEG.

Acesso à Internet

Os colaboradores devem priorizar a utilização da internet em suas estações de trabalho como ferramenta de trabalho.

O acesso a sites considerados inadequados, impróprios ou que não estejam alinhados aos negócios serão bloqueados.

Caso haja um site alinhado aos negócios do DPLAW que esteja bloqueado, será necessária a autorização do Gestor da Área demandante para que a Área de Tecnologia da Informação possa realizar o desbloqueio.

A exceção deve ser deliberada por um dos diretores executivos do DPLAW.

Rede de Internet WI-FI e Acesso

O DPLAW dispõe de uma rede de internet WI-FI sem filtros de controle web para a utilização do público em geral devidamente autenticado.

O acesso à internet sem filtros com tecnologia sem fio (WI-FI) não pode ser acessado da estação de trabalho, sendo assim bloqueado para não haver modificações.

Software de Comunicação

Os softwares de comunicação servem para facilitar a troca de informação interna e externa à empresa. Essas ferramentas podem ser classificadas como: correio eletrônico (e-mail), chat, videoconferência, aplicativos de mensagens instantâneas etc.

Microsoft Teams

Aplicativo de comunicação instantânea utilizado pelo DPLAW. Esta ferramenta é fornecida através da assinatura do Office 365 e tem o objetivo de troca de informações, realização de chamadas por áudio ou vídeo, voltadas para os interesses internos.

Os assuntos a serem abordados nesse canal de comunicação devem ser relacionados ao trabalho desenvolvido no DPLAW e a comunicação deve ser feita de forma clara e objetiva. O conteúdo das mensagens instantâneas enviadas e recebidas a partir da conta corporativa, de uso individual ou compartilhado, independentemente do local de armazenamento, poderão ser acessados pela Instituição com fins de averiguações e/ou auditoria.

Microsoft Outlook

É uma ferramenta de comunicação que permite o envio de texto e de diversos tipos de arquivos de forma rápida e simples, interna ou externamente. Não é permitido o cadastramento do e-mail do DPLAW em sites que não sejam relacionados ao trabalho.

Para a realização das atividades de trabalho, o colaborador deve utilizar somente o e-mail corporativo (@DPLAW.com.br) e é expressamente proibido o envio e o armazenamento de mensagens contendo abaixo-assinados, anúncios publicitários, assuntos ofensivos, entretenimentos, "correntes", material de natureza político-partidária, material obsceno, ilegal ou antiético, material preconceituoso ou discriminatório, material protegido por leis de propriedade intelectual e vírus ou qualquer outro tipo de programa danoso.

Não é permitido a utilização do e-mail pessoal para executar atividades inerentes ao DPLAW.

Hardware e Software

O hardware são os componentes físicos do computador e o software são aplicações desenvolvidas por códigos e linguagens de programação.

Manutenção de Hardware

Para garantir a segurança dos dados do DPLAW, somente é permitida a manutenção dos equipamentos de informática pela Área de Tecnologia da Informação. Os equipamentos passarão pelo processo de manutenção quando solicitado pelo colaborador através de registro preferencialmente através do e-mail ou quando for identificado pela Área de Tecnologia da Informação que determinado componente precisa de reparo e/ou substituição.

Conservação de Hardware

Para colaboradores, diretores, estagiários, sócios e em situações pontuais para prestadores de serviços, será disponibilizado um computador, não sendo permitida a abertura, alteração, troca, desconexão e descaracterização física ou técnica do equipamento.

Retirada de Equipamentos

A retirada de equipamentos das dependências do DPLAW somente será permitida, mediante autorização do gerente e/ou um dos diretores executivos e o termo de autorização para utilização externa do equipamento, devidamente assinado pelo colaborador retirante, não sendo permitido a retirada por terceiros.

Instalação de Software

Somente a Área de Tecnologia da Informação possui privilégios administrativos para instalar ou desinstalar qualquer tipo de software. Caso ocorra a necessidade da instalação de um novo software, o usuário deve solicitar preferencialmente por e-mail direcionado à Área de Tecnologia da Informação, entretanto a solicitação será avaliada, não sendo permitido a instalação de aplicações que comprometam a segurança dos dados internos.

É proibida a instalação de softwares não licenciados nos computadores, uma vez que a Lei 9.609/98 tipifica como crime a violação de direitos autorais de software.

Sala Segura

Sala que concentra os dispositivos relacionados à infraestrutura de rede do escritório DPLAW.

Acesso à Sala Segura

O acesso à Sala Segura é restrito aos colaboradores da Área de Tecnologia da Informação. O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador da Área de Tecnologia da Informação e deverão assinar o Termo de Responsabilidade.

O acesso à sala segura por funcionário não autorizado somente poderá ocorrer em emergências, quando a segurança física da sala segura for comprometida, como por incêndio, inundação ou abalo da estrutura predial. Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência, preferencialmente via e-mail direcionado à Área de Tecnologia da Informação, que avaliará o pleito.

Infraestrutura da Sala Segura

A infraestrutura da sala segura é composta pelo cabeamento estruturado, Nobreak, baterias estacionárias, switches, roteadores de borda, PABX e equipamentos secundários.

Resposta a Incidentes Cibernéticos

Estabelecer um procedimento claro e eficiente para a comunicação e notificação de incidentes de segurança da informação, incluindo vazamento de dados pessoais, conforme as exigências da Lei Geral de Proteção de Dados (LGPD) e a Resolução CD/ANPD nº 15, de 24 de abril de 2024. Este procedimento visa assegurar que todas as partes envolvidas possam agir de forma rápida e adequada para mitigar os riscos, proteger os dados pessoais e cumprir com as obrigações legais e regulatórias.

Definições

Incidente de Segurança da Informação: Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de informações, sistemas, redes ou dados.

Vazamento de Dados Pessoais

Acesso, divulgação ou utilização indevida de dados pessoais, resultando em danos ou riscos para os titulares dos dados.

Notificação à ANPD

A comunicação formal à Autoridade Nacional de Proteção de Dados sobre um incidente de segurança ou vazamento de dados pessoais, conforme os requisitos estabelecidos pela ANPD.

Classificação do Incidente

Antes da notificação, todos os incidentes de segurança ou suspeitas de vazamento de dados devem ser classificados de acordo com sua gravidade, conforme as orientações da ANPD e as melhores práticas do ITIL:

• Incidente Crítico: Vazamento de dados sensíveis ou que envolvam grandes quantidades de dados pessoais. Deve ser comunicado à ANPD em até 72 horas.
• Incidente de Médio Impacto: Vazamento de dados pessoais não sensíveis ou com impacto limitado. Deve ser analisado caso a caso.
• Incidente de Baixo Impacto: Incidentes que não resultam em risco significativo para os dados pessoais.

Processo de Notificação

A notificação de incidentes ou vazamentos de dados será realizada de acordo com as seguintes etapas:

Detecção do Incidente

Qualquer colaborador que identificar um incidente ou suspeita de vazamento de dados pessoais deve reportar imediatamente ao Responsável pela Segurança da Informação (RSI) ou à Equipe de Resposta a Incidentes (ERI).

Avaliação Inicial

A RSI ou ERI deve avaliar a natureza e o impacto do incidente, determinando se há vazamento de dados pessoais.

Identificação dos Dados Vazados

Caso confirmado o vazamento de dados pessoais, a equipe responsável deve identificar o tipo de dados afetados, os titulares envolvidos e o impacto potencial.

Mitigação e Contenção

A equipe deve tomar as medidas imediatas para mitigar o impacto e prevenir a propagação do incidente. Isso pode incluir, mas não se limita a, a desconexão de sistemas afetados, a alteração de credenciais de acesso e a contenção de acessos não autorizados.

Notificação à ANPD

Para incidentes de alto impacto, a notificação à ANPD deve ser feita no prazo de até 72 horas, conforme estabelecido na Resolução CD/ANPD nº 15/2024. A notificação deve conter as seguintes informações:

• Descrição do incidente: Resumo detalhado sobre o que ocorreu, como ocorreu e o que foi afetado.
• Dados pessoais envolvidos: Tipo de dados vazados, quantidades e categorias afetadas.
• Impacto: Avaliação do impacto nos titulares dos dados e na organização.
• Medidas adotadas: Ações corretivas e mitigadoras realizadas para conter o incidente e proteger os dados.
• Plano de resposta: Descrição das ações planejadas para remediar os efeitos do incidente e prevenir ocorrências futuras.

Notificação aos Titulares dos Dados

Caso o incidente represente um risco elevado para os direitos e liberdades dos titulares dos dados, a organização deve notificar os titulares afetados, explicando a natureza do incidente, os dados pessoais envolvidos, os riscos associados e as medidas que estão sendo tomadas para mitigar os impactos.

Documentação e Registro

Todos os incidentes devem ser registrados, com documentação detalhada, incluindo as ações tomadas e os resultados das medidas de contenção. Esses registros devem ser mantidos por no mínimo 5 anos para auditoria e conformidade regulatória.

Responsabilidades

Responsável pela Segurança da Informação (RSI): Coordenar a detecção, análise, mitigação e notificação dos incidentes. Garantir o cumprimento das obrigações legais.

Equipe de Resposta a Incidentes (ERI): Realizar a investigação técnica do incidente, implementar as medidas de contenção e mitigação e fornecer suporte à RSI.

Diretoria e Gestores: Garantir os recursos necessários para a implementação deste procedimento e apoiar a comunicação interna e externa.

Treinamento e Conscientização

Todos os colaboradores devem receber treinamento periódico sobre como identificar e reportar incidentes de segurança e vazamento de dados. A conscientização contínua sobre a importância da proteção de dados pessoais deve ser promovida.

Acompanhamento e Melhoria Contínua

Após a resolução do incidente, a organização deve revisar o incidente, analisar os pontos de falha e atualizar os procedimentos, políticas e controles internos conforme necessário, com base nas lições aprendidas.

As respostas serão feitas pelo DPO do escritório DPLAW

As tratativas correlatas deverão ser respondidas e contactadas através do e-mail dpo@dplaw.com.br.

CONTINGENCIAMENTO E BACKUP

Os serviços essenciais estão no Office365 e Azure (Computação em nuvem) com redundâncias, como dispõe as boas práticas.

O backup de dados do Sharepoint são geodistribuídos (em diferentes regiões geográficas) e tolerantes a falhas, os dados são espelhados em pelo menos 2 (dois) datacenters para reduzir o impacto de um desastre natural ou paralisação de impacto no serviço.

Por questões de segurança, as informações sobre a localização dos datacenters não são divulgadas.

O DPLAW conta com equipamentos/soluções de comunicação redundantes em caso de eventuais sinistros, devidamente guardados em área segura, que garante a continuidade da operacionalização dos serviços.

Ocorrências relacionadas ao funcionamento da Política de Segurança da Informação

Ocorrências não contempladas nesta política serão avaliadas pelo CPSEG, Área de Tecnologia da Informação em conjunto com a diretoria executiva, e sendo considerada relevante e pertinente, será submetido ao conhecimento e deliberação.

PENALIDADES E SANÇÕES

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, rescisão de contrato de associação, outra ação disciplinar e/ou processo civil ou criminal.

Todos os casos serão analisados pelo Comitê de Privacidade e Segurança da Informação (CPSEG), devendo ser respeitados todos os direitos e garantias processuais inerentes a qualquer cidadão.

ALTERAÇÃO E DISPOSIÇÕES GERAIS

O presente documento será revisado e atualizado anualmente ou em prazo inferior, decorrentes de mudanças legais/regulatórias ou se o DPLAW entender que é necessário, a fim de incorporar medidas relacionadas a atividades e procedimentos não abordados.

Como forma de manter a transparência habitual, tal alteração será comunicada pelos meios eletrônicos disponibilizados.

Os casos omissos não previstos, pois, no PSI, serão analisados pelo Comitê de Privacidade e Segurança da Informação (CPSEG) para posterior deliberação.

As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças.