555-555-5555
meuemail@email.com.br
Objetivo
Estabelecer procedimentos de manutenção de informações e registros em todos os sistemas utilizados pela Instituição, incluindo medidas para o controle e monitoramento das Políticas, normas e regulamentos da Instituição, nos termos do art. 37 da LGPD.
Visão geral
Os registros de todas as ações realizadas nas plataformas e sistemas da Instituição são importantes para garantir o rastreio de quaisquer condutas danosas ou para fins de auditoria. A LGPD dispõe, em seu art. 37, que: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”. Portanto, para os fins desta Política, poderão ser rastreados e monitorados (i) os acessos individuais do usuário a sistemas que contêm toda e qualquer tipo de informação da Instituição; (ii) os acessos individuais do usuário com credenciais de acesso nos sistemas da Instituição; (iii) os acessos e pausas dos registros de auditoria; (iv) tentativas e falhas de acesso nos sistemas da Instituição; (v) as alterações, adições ou exclusões realizadas em contas com credenciais e sem credenciais.
1. Diretrizes de Manutenção de Registros
Todos os sistemas de controle e tratamento de informações confidenciais, controle de conexões de rede, controle de acessos e controle de procedimentos de autenticação e autorização devem registrar as informações de:
• Quais atividade foram realizadas;
• Quem realizou a atividade, incluindo em que sistema foi realizada a atividade;
• Quando a atividade foi realizada;
• Determinar se a atividade realizada foi bem sucedida ou não;
• Sistemas e ativos tecnológicos envolvidos.
Para fins de controle e auditoria, seguindo as diretrizes da Política de Auditoria Interna (PAI), o Responsável pela Segurança da Informação deve implementar uma infraestrutura de registro adequada a abranger todos os dispositivos, sistemas e aplicativos utilizados pela Instituição.
Deste modo, o software de análise de integridade e detecção de alterações da Instituição deve revisar periodicamente os registros e emitir alertas se os dados de registro forem alterados.
2. Procedimentos de Registro
Os registros devem necessariamente monitorar as seguintes atividades:
3. Procedimentos de Revisão de Registro
Cada integrante ou equipe da Instituição é responsável por revisar e monitorar os registros de sistemas sob seu controle. Os registros devem ser revisados periodicamente pelo Responsável pela Segurança da Informação.
A frequência de revisão também deve ser determinada pelo Responsável pela Segurança da Informação, de acordo com a sensibilidade das informações armazenadas.
Os procedimentos de revisão devem verificar se:
4. Elementos de Registro
As entradas de registro podem conter uma série de informações, dentre as quais:
5. Formatação e Armazenamento de Registros
O sistema deve garantir a formatação e o armazenamento dos registros para garantir a integridade e a legibilidade dos relatórios gerados para fins de auditoria. Assim, para a adequação dos registros com a Política de Auditoria Interna (PAI), deve-se centralizar as entradas de registro dos bancos de dados da Instituição em um único servidor, respeitando-se as diretrizes da Política de Backup (PBAC), com a respectiva padronização dos registros e também dos protocolos de envio a um servidor centralizado.
6. Gerenciamento de Ameaças de Segurança da Informação
O sistema de registros é a principal ferramenta utilizada pela Instituição para detectar e investigar atividades não autorizadas e para solucionar eventuais problemas em seus sistemas. Portanto, devem ser desenvolvidos procedimentos para proteger e mitigar ameaças de segurança aos registros da Instituição, tais como:
7. Responsabilidades no Gerenciamento de Registros
O Responsável pela Segurança da Informação deve:
(11) 3355-3320
ad@adasses.com.br
Rua Doutor Bráulio Gomes, nº 25 | 6º Andar | Conjunto 602 | Bairro República | São Paulo – SP | CEP 01047-020
Informações de Contato
Política de Privacidade / LGPD
Serviços
© Todos os Direitos Reservados |
Política de Privacidade
Desenvolvido por
Conta Plena