555-555-5555
meuemail@email.com.br
Objetivo
Estabelecer os requisitos, procedimentos e protocolos para o controle de acesso aos dados, visando a proteção da confidencialidade de todas as informações da Instituição e de seus clientes.
Visão geral
O gerenciamento de credenciais de acesso aos sistemas da Instituição deve ser realizado de maneira a assegurar a confidencialidade das informações retidas pela Instituição. Para tal, devem ser realizados procedimentos de proteção e autenticação relacionados a todos os acessos aos sistemas e plataformas utilizados pela Instituição.
1. Gerenciamento de Contas de Usuário
Todo integrante da Instituição deve possuir uma conta de usuário única e que seja pessoal, intransferível e rastreável. Contas genéricas, compartilhadas, de serviço ou de grupo são de uso proibido nos sistemas e plataformas da Instituição, a não ser nas exceções definidas pelo Responsável pela Segurança da Informação.
Na criação de novas contas de usuários nos sistemas e plataformas da Instituição, o Responsável pela Segurança da Informação deve definir as credenciais de acesso adequadas, conforme as classificações da informação contidas na Política de Segurança da Informação.
As solicitações de inclusão, exclusão ou alteração de credenciais de acesso serão endereçadas ao Responsável pela Segurança da Informação.
Ao se conceder credenciais de acesso a uma determinada conta de usuário, deve-se criar um ID e senha únicos e separados da conta de usuário regular do integrante.
Nos casos em que um integrante da Instituição for demitido, o seu acesso aos sistemas e plataformas da Instituição será encerrado de forma imediata pelo Responsável pela Segurança da Informação.
As credenciais de acesso serão revisadas periodicamente de acordo com cronograma estabelecido pelo Responsável pela Segurança da Informação, e as contas inativas serão devidamente removidas dos bancos de dados e servidores da Instituição.
2. Gerenciamento de Senhas
As senhas dos integrantes da Instituição devem ser estabelecidas com o fim de garantir a confidencialidade das informações. Assim, devem ser realizados treinamentos periódicos para a conscientização dos integrantes da Instituição sobre a necessidade de memorização das senhas, para evitar que elas sejam anotadas em meios físicos ou eletrônicos.
O Responsável pela Segurança da Informação deve determinar as situações em que as senhas serão complementadas com controles de acesso adicionais, tais como smart cards, tokens ou outros procedimentos de autenticação suplementar de dois ou três fatores.
Todas as senhas de usuário-padrão serão alteradas no primeiro login do usuário. Já as contas de usuário-padrão devem ser desativadas ou alteradas após a instalação de um novo software, ou aplicativo.
Todos os usuários devem selecionar as senhas que atendam aos requisitos abaixo elencados, a fim de garantir complexidade e resiliência as suas senhas. Deste modo, as senhas dos usuários devem conter:
Deve-se evitar a utilização de senhas vulneráveis, consideradas aquelas que contenham os seguintes atributos:
Os treinamentos de segurança da informação devem incluir as seguintes disposições:
3. Procedimentos para Redefinição de Senha
As senhas devem ser alteradas regularmente de acordo com o seguinte cronograma:
4. Procedimentos de Senha nas Aplicações de Software
Os desenvolvedores de softwares e aplicativos devem garantir que os programas contenham as seguintes precauções de segurança:
(11) 3355-3320
ad@adasses.com.br
Rua Doutor Bráulio Gomes, nº 25 | 6º Andar | Conjunto 602 | Bairro República | São Paulo – SP | CEP 01047-020
Informações de Contato
Política de Privacidade / LGPD
Serviços
© Todos os Direitos Reservados |
Política de Privacidade
Desenvolvido por
Conta Plena