Compliance Digital

 Regulamento de Proteção de Dados e Uso de Redes

 

Sumário

Apresentação: 1

1 – E-MAIL. 1

2  – SPAM… 2

3 –  MALWARES. 3

4 –  MACROS. 3

5 –  ARQUIVOS CRIPTOGRAFADOS. 3

6 – ARMAZENAMENTO E COMPARTILHAMENTO DE ARQUIVOS. 4

7 – SERVIÇO DE NUVEM CEPP. 4

8 – TREINAMENTOS. 5

9 – REDES SOCIAIS. 7

10 – PROCESSOS SELETIVOS. 8

11 – WHATSAPP. 9

 

Apresentação:

O presente regulamento tem por escopo definir as regras de Proteção de dados e de conduta em ambiente digital, de todos os membros do CEPP.

1 – E-MAIL

1.1 – Não é permitido o uso, por funcionários e prestadores de serviços,  de e-mails pessoais ou criados em nome do CEPP, que não sejam os e-mails corporativos oficiais, para troca de mensagens entre funcionários, clientes, fornecedores, candidatos, e público em geral.

1.2 – Consideram-se mensagens corporativas todas aquelas que são trocadas em função das atividades do CEPP, e que não têm relação com assuntos particulares dos funcionários.

1.3 – Não é permitido o uso de e-mails corporativos para enviar e receber mensagens pessoais e particulares, compra de produtos e serviços, e inscrição em eventos e promoções sem relação com as atividades do usuário junto ao CEPP.

1.4 – O e-mail corporativo deve ser solicitado pelo próprio funcionário, em www.novocepp.org.br/cadastro-e-mail

1.5 – No ato da solicitação do e-mail em www.novocepp.org.br/cadastro-e-mail, todos os funcionários devem ler e assinar o termo de responsabilidade de uso do sistema de informação e de e-mail corporativo, em conformidade com a lei geral de proteção de dados.

1.6 – Não é permitida a exclusão de mensagens de e-mail. Se o funcionário desejar manter a caixa de entrada limpa, deverá criar uma pasta denominada ARQUIVO e mover as mensagens para ela, sempre que julgar necessário.

1.7 – Não é permitido o uso de computadores do CEPP para armazenamento de mensagens pessoais, através de ferramentas de gerenciamento de e-mails, como Outlook, Filezilla, etc.

1.8 – A conta de e-mail corporativo deve ser acessada exclusivamente pelo painel WEBMAIL, através do link: dominio/webmail . Exemplo: www.novocepp.org.br/webmail ou www.hmmr.org.br/webmail .

1.9 – Os usuários devem acessar a área de treinamento em www.novocepp.org.br/treinamento/curso/e-mail a partir de 22/3, para aprender a criar atalhos no painel, trocar senhas, inserir assinatura, importar contatos, etc.

1.10 – Falhas de envio e recebimento de e-mails devem ser relatadas através do formulário www.novocepp.org.br/erro ou em casos urgentes, no canal de atendimento.

2  – SPAM

2.1 – Não é permitida a criação de listas de transmissão, nem o envio de mensagens para grupos maiores que 10 (dez) destinatários. Quando um setor ou departamento necessitar enviar uma mensagem a mais de dez destinatários, deverá solicitar ao TI através do canal de atendimento CEPP

2.2 – Não é permitido o envio de mensagens por e-mails pessoais (Gmail, Outlook, Hotmail, Live, Yahoo, etc.) através dos computadores do CEPP, ou por celular usando as redes WIFI do CEPP.

2.3 – Todos devem acessar o treinamento em www.novocepp.org.br/treinamento/curso/spam,  a partir de 22/3, para conhecer as medidas de segurança para identificar e evitar recebimento de SPAM e para que suas mensagens não sejam interpretadas como SPAM.

3 –  MALWARES

3.1 – Nunca é recomendável abrir anexos de e-mails, se não houverem razões e fontes confiáveis para fazer isso. Se o usuário receber junto com a mensagem um arquivo que não estava esperando, ou parece inapropriado, então é melhor não abrir e encaminhar (com anexos)  para seguranca@novocepp.org.br . Após a varredura da mensagem, ela será devolvida ao destinatário original, se for segura, ou eliminada, se for identificado algum perigo.

3.2 – Quando o funcionário recebe um e-mail com anexo ou link, é muito importante verificar sempre se o remetente é conhecido e confiável, mas atenção: apenas como primeira etapa de verificação, pois uma das maiores ameaças aos dados da instituição é o spear-phishing, que usa de engenharia social para atacar, usando o nome e o e-mail de remetentes conhecidos, que podem propagar malwares sem intenção.

3.3 – A segunda etapa é verificar se o arquivo é potencialmente perigoso, observando qual a extensão dele. É proibida a abertura/execução de anexos de e-mails com as extensões “.exe”, “.msi”, “.bat”, “.com”, “.cmd”, “.hta”, “.scr”, “.pif”, “.reg”, “.js”, “.vbs”, “.wsf”, “.cpl”, “.jar”. No caso de recebimento de mensagens com alguma dessas extensões, repetimos: o arquivo  não deve ser aberto/executado e deve ser encaminhado para seguranca@novocepp.org.br .

3.4 – Nosso servidor WEBMAIL dispõe de uma ferramenta de visualização prévia de arquivos PDF, de imagem, e outros, e deve ser sempre utilizada antes de baixar o arquivo.

3.5 – Todos devem acessar o treinamento em www.novocepp.org.br/treinamento/curso/malwares para conhecer as medidas de segurança contra spear-phishing, worms, trojans, vírus e outros malwares.

4 –  MACROS

4.1 – Arquivos corporativos com macros também podem ser potencialmente perigosos. Arquivos com extensões “.docx”, “.xlsx” e “.pptx” normalmente são seguros, mas extensões como “.docm”, “.xlsm” e “.pptm” podem conter conteúdo nocivo.

5 –  ARQUIVOS CRIPTOGRAFADOS

5.1 – Arquivos com extensão “.zip”, “.rar” ou “.7z” que solicitam uma senha, não podem ser verificados pelo sistema de segurança do servidor, e são potencialmente perigosos, eles devem ser encaminhados para seguranca@novocepp.org.br

5.2 – Da mesma forma, os funcionários do CEPP não devem comprimir e enviar arquivos por criptografia através de solicitação de senha, para não serem classificados como SPAM por algum destinatário, provocando a inclusão de nosso IP em uma blacklist.

5.3 – Quando algum funcionário do CEPP precisar criptografar arquivos, deve solicitar o serviço, justificando a necessidade, em www.novocepp.org.br/seguranca

 

6 – ARMAZENAMENTO E COMPARTILHAMENTO DE ARQUIVOS

6.1 – Não é permitida a criação e o uso de serviços de compartilhamento (como Google Drive, ONE Drive, Flickr, DropBox, Icloud, MediaFire, etc) para armazenar, compartilhar, editar online e receber qualquer tipo de arquivo do CEPP.

6.2 – Gestores de unidades, e seus delegados, são operadores dos dados sensíveis apenas dos funcionários da unidade, e não é permitido o compartilhamento com eles de arquivos com dados sensíveis de funcionários de outras unidades ou de todo o CEPP.

6.3 – Não é permitido o compartilhamento entre setores do CEPP e/ou gestores de unidades, ou qualquer outro funcionário de:

 6.3.1 –  planilhas prontas, enviadas por e-mail; impressas e entregues em mãos; ou compartilhadas por whatsapp, que contenham dados sensíveis de todos os funcionários de um projeto, ou de todo o CEPP.

6.3. 2 – planilhas online para edição colaborativa, que contenham dados sensíveis de todos os funcionários de um projeto, ou de todo o CEPP.

7 – SERVIÇO DE NUVEM CEPP

7.1 – O CEPP dispõe de seu próprio serviço de nuvem, e todos os arquivos corporativos devem ser armazenados dentro de nossos próprios servidores, que dispõe de certificados e protocolos que garantem a segurança dos nossos dados.

7.2 – As contas de armazenamento são dividas por setores, e sempre que algum funcionário precisar enviar ou compartilhar arquivos para dentro da nuvem do seu setor e não tiver acesso ainda, deverá procurar o chefe do setor para obtenção das informações de login.

7.3 – Todas os acessos à nuvem do CEPP, para subida de arquivos, criação de pastas, movimentação ou compartilhamento de arquivos, geram logs de segurança, e devem ser realizados exclusivamente pelo terminal de trabalho do funcionário, em sua unidade de trabalho.

7.4 – Uma conta de nuvem pode ser acessada por vários funcionários do setor, mas não é permitido o acesso e uso da nuvem através de terminais de colegas do setor ou da unidade, por terminais de outras unidades, ou por outros terminais não pertencentes ao CEPP, salvo autorização expressa do departamento de TI ou Compliance, através de solicitação de cadastro de terminal externo, realizada em www.novocepp.org.br/seguranca  

7.5 – Funcionários que atuam em home office, ou em outros ambientes externos ao CEPP, ainda que esporadicamente, devem cadastrar seu computador em www.novocepp.org.br/seguranca. O cadastro deve ser realizado quando estiver no ambiente externo de trabalho, e seguir as instruções da ferramenta de cadastro de terminal, para a realização das verificações automáticas de segurança, geolocalização e identificação de IP.

7.6 – Todas as contas de e-mail e armazenamento não corporativas, criadas por funcionários em nome do CEPP, devem ter suas atividades encerradas até o dia 22/3/2021, e devem ser informadas ao TI e ao Compliance através do formulário em www.novocepp.org.br/migracao, para migração de conteúdos à nuvem CEPP, e posterior desativação.

7.7 – Todos funcionários e terceirizados que se utilizam de e-mails pessoais para troca de correspondências corporativas, relacionadas com as atividades do CEPP, no escritório central e nos projetos e unidades deverão encerrar o uso de suas contas para envio e recebimento de mensagens corporativas, e deverão obter e-mail corporativo, caso ainda não tenham, em www.novocepp.org.br/e-mail.

Após a criação do e-mail corporativo, caso ainda não tenham uma conta, deverão acessar a ferramenta de migração em www.novocepp.org.br/migracao .

7.8 – A utilização de conta não corporativa de e-mail e/ou nuvem, para troca e armazenamento de mensagens e arquivos, após às 17h do dia 22/3/2021, será considerada como atividade ilegal, não autorizada, de uso de dados do CEPP, sujeita a todas as sanções previstas por lei e pelo Programa de Integridade do CEPP.

7.9 – Dúvidas sobre forma de acesso, compartilhamento, armazenamento e solicitação de arquivos pela nuvem podem ser dirimidas em www.novocepp.org.br/treinamento/curso/uso-de-nuvem , a partir de 22/3.

8 – TREINAMENTOS

8.1 – O CEPP está lançando uma plataforma de treinamentos à distância em www.novocepp.org.br/treinamento, e todos os funcionários deverão realizar os treinamentos classificados como obrigatórios para todos, e também os treinamentos obrigatórios ao seu setor ou função.

8.2 – Alguns treinamentos têm prazo de conclusão e os funcionários serão notificados por e-mail e pelo canal CEPP, sobre o inicio do treinamento, e o período em que ele estará disponível, e no qual ele deverá ser concluído pelo funcionário.

8.3 – O CEPP detém direito editorial sobre todos os conteúdos educativos produzidos no CEPP e em função das atividades exercidas pelos funcionários no CEPP, e todos os treinamentos, cursos, tutoriais e outras formas de capacitação e educação continuada, do núcleo e das unidades dos projetos, devem ser cadastrados na plataforma de treinamentos do CEPP para publicação, divulgação e acesso remoto de todos os funcionários, inclusive os treinamentos que forem realizados presencialmente para um grupo limitado de funcionários.

8.4 – Os treinamentos específicos que porventura sejam restritos a um grupo de trabalho, ficaram disponíveis com restrição de acesso, se a direção entender necessário. Os gestores e treinadores que desejarem realizar um treinamento presencial ou publicar um treinamento EAD, deverão fazer o cadastro das atividades de educação continuada em www.novocepp.org.br/treinamento/cadastro

8.5 – Não é permitida a criação e emissão de certificados em nome do CEPP, ou de um setor dele. Todos os certificados emitidos pelo CEPP devem ser emitidos pelo setor de Comunicação, de acordo com nosso manual de marcas, e após registro no setor de Compliance em www.novocepp.org.br/certificados. No certificado constarão as assinaturas do diretor do CEPP, do responsável pelo setor, e pelo ministrador do curso.

8.6 – HIPAA é um conjunto de conformidades que organizações de saúde passaram a seguir para proteger suas informações digitais internas.

8.7 – Em adequação à Lei Geral de Proteção de Dados, o servidor de formulários de dados do CEPP dispõe deste conjunto de conformidades e de outras ferramentas de segurança necessárias, que identificam dados PHI e fazem as devidas criptografias quando necessário;  e em virtude da sensibilidade de dados pessoais trocados pelo setor de RH do CEPP, todos os processos que envolvem solicitação de serviços de RH, com envio e recebimento de dados,  devem ser trocados exclusivamente dentro deste servidor, sendo solicitados e atendidos através da ferramenta www.novocepp.org.br/rh

8.8 – Visando mitigar custos de proteção de dados e riscos jurídicos por eventuais quebras de segurança de dados pessoais de terceiros, o CEPP não aceita currículos, nem mantém bancos de talentos ou qualquer outra forma de armazenamento de dados sensíveis de pessoas não pertencentes aos quadros da instituição.

8.9 – Envios não solicitados de currículos por e-mail devem ser respondidos (com a devolução do currículo anexo), através de uma devolução formal, com solicitação de acusação de recebimento, e com o Título de “Exclusão ou devolução de dados pessoais não solicitados” e o texto:  “ Obrigado por entrar em contato conosco, mas infelizmente o CEPP não recebe currículos ou qualquer documento com dados pessoais não solicitados. Seu documento não foi aberto, e será excluído de nossos bancos de dados, com toda a segurança, em respeito a você e à segurança de seus dados. Acompanhe e inscreva-se em nossos processos seletivos em www.novocepp.org.br ou siga nossa página em www.facebook.com/novocepp e você ficará sempre por dentro de nossos processos seletivos. Boa sorte!”

9 – REDES SOCIAIS

9.1 – Não é permitido o uso de redes sociais através dos computadores do CEPP, sem autorização expressa do TI e/ou da direção. A solicitação deve ser feita através da ferramenta em www.novocepp.org.br/ti

9.2 – O CEPP realiza e-clipping e monitoramento de publicações relacionadas com seu nome e o nome das unidades e projetos dos quais é responsável pela gestão. Temos a responsabilidade corporativa de zelar não só por nosso nome e imagem, mas pelo nome e imagem das unidades e projetos que fazemos gestão, e das respectivas prefeituras, governos, e outros parceiros nos contratos de gestão.

9.3 – De acordo com o artigo 4822, alínea k , da Consolidação das Leis do Trabalho, “todo ato lesivo da honra ou da boa fama ou ofensas contra o empregador e superiores hierárquicos constitui demissão” .

9.4 – Portanto, os funcionários precisam atentar para a tênue linha divisória entre liberdade de expressão e violação de leis, normas e valores da instituição, nas publicações em perfis pessoais que possam colocar o funcionário em uma situação difícil diante de sua instituição, de seus colegas, e diante da justiça. Citamos como exemplos:

9.4.1 – Zombar de colegas de trabalho.

9.4.2 – Ofender chefes ou subordinados

9.4.3 – Criar “fakes” sobre fatos que não ocorreram ou que não dizem respeito ao ambiente do trabalho.

9.4.4 – Ofender a reputação de qualquer membro da empresa, caracterizando crime contra a honra e que atingem a integridade moral do indivíduo.

9.5 – Também são práticas malvistas denegrir a imagem da instituição por:

9.5.1 – Insatisfação salarial

9.5.2 – Discordância de pensamento

9.5.3 – Falta de perspectiva de crescimento profissional

9.5.4 – Ou ainda, por desavença com o chefe, utilizando a rede social como um meio de manifestar a sua indignação.

 9.5.5 – O funcionário deve evitar também colocar o CEPP  em risco jurídico e de imagem, com apologias a qualquer tipo de atividade ilícita, opiniões e afirmações com cunho racista, xenofóbico, homofóbico, antivacina, depreciativas do SUS, das medidas de prevenção ao COVID-19, como uso de máscaras e medidas restritivas (quando determinadas por autoridade).

9.6 – É proibido publicar e compartilhar em redes sociais:

9.6.1 – Imagens de colegas de trabalho em situação vexatória, sem a devida autorização de uso de imagem.

9.6.2 – Fotos e vídeos de aniversários e confraternizações em unidades de saúde, com bebidas, refrigerantes e alimentos, balões e faixas, uniformizados ou não, independente do dia e horário.

9.6.3 – Fotos e vídeos de danos em estruturas e equipamentos, e outros riscos, como:

9.6.3.1     – Vazamentos de esgotos e instalações hidráulicas.

9.6.3.2    – Infiltrações e goteiras em forros, paredes.

9.6.3.3     – Pessoas acidentadas em local de trabalho.

9.6.3.4    – Insetos e ratos.

9.6.3.5   – Cadeiras, mesas e mobiliários em geral danificados.

9.6.3.6   – Equipamentos danificados.

9.7 – Quando for necessário notificar um dano a um gestor ou responsável por manutenção, ele deverá ser notificado em www.novocepp.org.br/informe

 

10 – PROCESSOS SELETIVOS

 

10.1 – Como medida de proteção contra SPAMRUN e para não prejudicar nossos servidores com filas de mensagens de domínios sem chave SPF configurada, não é permitida a divulgação de e-mail do CEPP para envio de inscrições, currículos, documentos, etc.

10.2 – Os processos Seletivos do CEPP devem ser realizados em adequação à nova Lei Geral de Proteção de Dados, e todos os processos devem ser realizados através dos servidores do CEPP, em ambiente seguro, através da plataforma Jotform.

10.3 – Todos os candidatos deverão ler e assinar o termo de ciência das nossas políticas de privacidade e uso de dados, no ato da inscrição, através do servidor.

10.4 – Ao término do processo seletivo, após à promulgação dos resultados, e expirados os prazos de contestação, os dados de todos que não forem contratados deverão ser excluídos, através de aviso legal de destruição de dados, que será enviado a todos os candidatos titulares de dados sensíveis.

10.5 – A definição de datas de processos seletivos , tipo e número de vagas, documentação exigida, a análise, seleção dos candidatos, promulgação dos resultados são atribuições exclusivas do RH, que solicitará a formulação do processo de inscrições ao TI e à Comunicação e Transparência.

10.6 – A definição das ferramentas do processo de inscrições, e os mecanismos de proteção e segurança dos dados, devem ser realizadas pelo TI e Compliance.

10.7 – As formas, mecanismos e produtos de divulgação, e o atendimento aos candidatos deve, ser relizados pela Comunicação, atendendo as necessidades do RH, a orientação do Compliance e o acompanhamento da Comissão de Proteção de Dados.

11 – WHATSAPP

 

11.1 – Todas as normas de conduta do capítulo 9 de redes sociais, se aplicam também aos grupos de trabalho de Whatsapp.

11.2 – Grupos de trabalho criados para trocas de mensagens entre departamentos, unidades, ou projetos devem ser cadastrados em www.novocepp.org.br/cadastro-grupo (essa norma não se aplica a grupos internos criados para comunicação exclusiva entre membros do mesmo setor e a chefia)

11.3 – O Whatsapp não deve ser utilizado para:

– Busca de fornecedores

– Consultas de preços

– Orçamentos

– Troca de informações relativas a processos seletivos, licitações, editais, etc.

O Whatsapp não deve ser utilizado para envio e recebimento de:

– Notas fiscais, contas a pagar e receber, ordens de pagamento, ordens de serviço, faturas e documentos financeiros em geral.

– Atestados Médicos, notificações de férias, PPP, e documentos de RH em geral.

– Resultados de processos seletivos, vencedores de compras, listas de fornecedores e dados de funcionários.

11.4 – O Whatsapp não deve ser utilizado para cobranças e reclamações relacionadas com prazos de entrega, cumprimento de metas, qualidade de produtos, serviços, conduta de funcionários e qualquer outra desconformidade com compras e contratos de prestação de serviço, que deverão ser feitas exclusivamente através de e-mail corporativo.

11.5 – Os usuários podem utilizar weblinks da CloudCepp para solicitar ou enviar arquivos através do Whatsapp desde que sejam intercâmbios internos entre funcionários da instituição, mas todos os arquivos devem ter destino ou partida na CloudCepp

 

GLOSSÁRIO

– PHI – (Protected Health Information) informações de saúde protegidas pela lei

– HIPAA – (Health Insurance Portability and Accountability Act) conjunto de normas que organizações de saúde norte-americanas devem cumprir

– Spear-phishing – é um golpe de e-mail direcionado com o objetivo de obter acesso não autorizado a dados sigilosos

– Blacklist – lista de e-mails, endereços IP ou domínios classificados como nocivos, por prática de SPAM ou disseminação de Malwares e vírus.