A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação, sendo de vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia da informação. A IPNET Growth Partner, baseada tanto na família ISO/IEC 27.000 quanto na NIST 800 e CIS CSAT, define sua Política de Segurança da Informação – PSI, como segue abaixo.

2. ESCOPO

Definir responsabilidades e orientar a conduta dos usuários de TI, visando a continuidade dos negócios através da confidencialidade, da integridade e da disponibilidade das informações da IPNET Growth Partner. 

Estabelecer uma estrutura para a proteção dos ativos de informação da IPNET Growth Partner: 

• Para proteger as informações da IPNET Growth Partner de todas as ameaças, sejam internas ou externas, deliberadas ou acidentais;
• Para permitir o compartilhamento seguro de informações;
• Para encorajar o uso consistente e profissional da informação;
• Para garantir que todos tenham clareza sobre suas funções no uso e proteção das informações;
• Para garantir a continuidade e minimizar os danos aos negócios;
• Para proteger a IPNET Growth Partner  de responsabilidades legais e do uso inadequado de informações.

As instalações de tratamento de informações críticas ou confidenciais dar-se-ão em áreas seguras. Estas áreas serão protegidas por perímetros delimitados com barreiras de segurança e controles de entrada apropriados. 

As informações críticas e sensíveis serão fisicamente protegidas contra acesso não autorizado, danos e interferências.

A Política de Segurança da Informação – PSI é um documento de alto nível que adota uma série de controles para proteger as informações. Os controles são entregues por políticas, normas, processos, procedimentos e são amparados por treinamentos e ferramentas.

3. APLICAÇÃO

Esta PSI aplica-se a todos os utilizadores de TI e a qualquer colaborador ou pessoa custodiante de informações da IPNET Growth Partner ou de seus clientes.

4. PRINCÍPIOS

A informação produzida como resultado de atividade profissional, pertence à IPNET Growth Partner. Dados recebidos de clientes para implantação ou manipulação de um projeto, são de responsabilidade da IPNET durante a vigência da prestação dos serviços. 

Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual, industrial (Lei nº 9279) e de direitos autorais (Lei nº 9610). 

A segurança da informação depende de pessoas comprometidas, processos gerenciais de controle e sistemas de segurança.

São reconhecidos como usuários da infraestrutura de TI todos os colaboradores, profissionais autônomos, temporários, estagiários, menores aprendizes ou de empresas prestadoras de serviço que obtiverem a aprovação formal por escrito ou por e-mail do responsável hierárquico e da gestão de liberações da área de TI, para acesso aos recursos computacionais da IPNET Growth Partner.

5. RESPONSABILIDADES

A IPNET Growth Partner entende que o sistema de segurança da informação somente será eficaz com o comprometimento de todos.

5.1 Do Responsável pela Governança de TI

1. O Responsável pela Governança de TI é o proprietário designado da Política de Segurança da Informação – PSI e é responsável pela sua manutenção e revisão, além dos processos e procedimentos de Segurança da Informação;
2. Os requisitos de segurança da IPNET Growth Partner serão revisados pelo menos anualmente pelo Responsável pela Governança de TI, previamente apresentados à Comissão de Privacidade, hoje composta por Vinícius Almeida, David Garrana e Felipe Correa, em reunião ordinária e aprovado pelo DPO (Data Protection Officer). Quaisquer alterações substanciais aos requisitos de segurança deverão ser submetidas à avaliação e aprovação pelo(a) Conselho/Diretoria. Solicitações formais de mudanças serão feitas para incorporação na Política de Segurança da Informação – PSI, normas, processos e procedimentos;
3. Para fins desta PSI, serão consideradas “alterações substanciais” aquelas que, a critério da Comissão de Privacidade, impliquem em alterações relevantes aos processos e tecnologias adotados e/ou que, de qualquer forma, possa alterar ou de algum modo influenciar a tomada de decisão da administração da companhia em razão da alteração dos riscos previamente considerados.

5.2 Dos Usuários

1. Respeitar esta PSI – Política de Segurança da Informação;
2. Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho;
3. Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
4. Ativar senhas de proteção para E-mail, acesso à sua Estação de Trabalho, Sistema Operacional e demais plataformas, sob orientação da área de Suporte Técnico;
5. Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
6. Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus ou ainda quaisquer fatos que denotem vulnerabilidade aos dados e informações por ele manipulados;
7. Assegurar que as informações e dados de propriedade da IPNET Growth Partner não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico;
8. Relatar para o seu responsável hierárquico e ao Responsável pela Governança de TI, o surgimento da necessidade de um novo software para suas atividades;
9. Responder pelo prejuízo ou dano que vier a provocar a IPNET Growth Partner ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

5.3 Dos Responsáveis Hierárquicos

1. Apoiar e zelar pelo cumprimento desta PSI, servindo como modelo de conduta para os colaboradores sob a sua gestão;
2. Atribuir na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI;
3. Autorizar o acesso e definir o perfil do usuário junto à área de Suporte Técnico;
4. Autorizar as mudanças no perfil do usuário junto à área de Suporte Técnico;
5. Educar os usuários sobre os princípios e procedimentos de Segurança da Informação;
6. Notificar imediatamente à área de Suporte Técnico quaisquer vulnerabilidades e ameaças à quebra de segurança;
7. Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação;
8. Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato à área de Suporte Técnico;
9. Obter aprovação técnica da área de Suporte Técnico antes de solicitar a compra de hardware, software ou serviços de informática;
10. Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.

5.4 Da Área de TI

1. Configurar os equipamentos e sistemas para cumprir os requerimentos desta PSI;
2. Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais;
3. Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
4. Garantir segurança do acesso público e manter evidências que permitam a rastreabilidade para auditoria ou investigação;
5. Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes;
6. Administrar, proteger e testar as cópias de segurança dos programas e dados ao negócio da IPNET Growth Partner;
7. Gerenciar o descarte de informações a pedido dos custodiantes;
8. Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário;
9. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio;
10. Criar a identidade lógica dos colaboradores na empresa;
11. Atribuir contas e senhas identificáveis à pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação;
12. Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção;
13. Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da IPNET Growth Partner;
14. Realizar inspeções periódicas de configurações técnicas e análise de riscos;
15. Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais;
16. Garantir assim que solicitado o bloqueio de acesso de usuários por motivo de desligamento da empresa;
17. Propor as metodologias sistemas e processos específicos que visem aumentar a segurança da informação;
18. Promover a conscientização dos colaboradores em relação a relevância da segurança da informação;
19. Apoiar a avaliação e a adequação de controles de segurança da informação para novos sistemas ou serviços;
20. Buscar alinhamento com as diretrizes corporativas da empresa;
21. Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;
22. Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, todo e qualquer ativo computacional e outros componentes da rede ‒ a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
23. Monitorar o ambiente de TI, a capacidade instalada da rede e dos equipamentos, tempo de resposta no acesso à internet e aos sistemas críticos da IPNET Growth Partner, indisponibilidade aos sistemas críticos, incidentes de segurança como: vírus, trojans, furtos, acessos indevidos, e assim por diante;
24. Ainda, monitorar atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet, por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros;
25. Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente ou superior;
26. Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.

6. GESTÃO DE ACESSOS

1. Os sistemas de login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro art. 307 – falsa identidade;
2. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado;
3. Manter um inventário de contas e níveis de permissão dos colaboradores;
4. Gerenciar e auditar contas de serviço, fornecendo o nível de permissão adequado;
5. Gerenciar de maneira centralizada as de contas de acesso;
6. Garantir que o perfil de trabalho seja o único no dispositivo ou minimamente separado do perfil particular do colaborador;
7. Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 12 (doze) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo);
8. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados;
9. As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e não devem ser constituídas de combinações obvias de teclado, como “abcdefgh”, “87654321”, entre outras;
10. Os usuários devem proceder a troca de senha, caso suspeite de quebra por terceiros;
11. O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários;
12. Garantir o uso de MFA – Múltiplo Fator de Autenticação – verificação em duas etapas, também chamada de autenticação de dois fatores, pois esta adiciona uma camada extra de segurança à conta caso a senha seja roubada;
13. A autenticação multifator (MFA) deve ser exigida principalmente para contas com acesso administrativo;
14. Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica se identificada será alvo de ação disciplinar;
15. A gestão das contas e concessão de acessos dar-se-á pelo setor de TI nomeado para tal;
16. A gestão e controle de acessos deverá ser centralizada e com responsável definido para seu gerenciamento;
17. A criação dos acessos devem ser seguidas da configuração de revogação automática após o prazo determinado na solicitação;
18. É permitido à área de TI gerenciar as contas padrão nos ativos e softwares da IPNET Growth Partner;
19. Os níveis de permissão devem ser atribuídos de acordo com a função desempenhada, seguindo o princípio do menor privilégio.

7. GESTÃO DE ATIVOS E SOFTWARES

1. Os recursos de TI alocados pela IPNET Growth Partner aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho;
2. Quando o colaborador utilizar dispositivos de sua propriedade como ferramenta de trabalho na  IPNET Growth Partner, seu uso será disciplinado por esta PSI e suas Normas publicadas. Nestes casos a instalação de softwares de controle e monitoramento pode ser necessária;
3. É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria);
4. Todo ativo computacional em desuso, deverá ser encaminhado à área de TI para a remoção das informações, descarte ou reuso;
5. O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostas ao acesso não autorizado;
6. Os computadores, celulares e tablets deverão ser bloqueados por senha quando não estiverem sendo utilizados;
7. Todos os ativos computacionais pertencentes à IPNET Growth Partner deverão constar em inventário;
8. Os softwares que dependem de licença deverão constar em inventário;
9. Garantir que os softwares utilizados em ativos computacionais contam com suporte por parte dos seus fornecedores;
10. Gerenciar e manter atualização do Sistema Operacional e dos softwares instalados nos ativos computacionais.

8. RETENÇÃO E DESCARTE DE DADOS E MÍDIAS

Os dados coletados pela IPNET Growth Partner devem ser utilizados e armazenados apenas durante o tempo necessário para a prestação do serviço ou para que suas devidas finalidades sejam atingidas, considerando os direitos dos titulares dos dados e dos controladores.

  De modo geral, os dados serão mantidos enquanto a relação contratual com a IPNET Growth Partner perdurar. Findado o período de armazenamento dos dados, estes serão excluídos de nossas bases de dados ou anonimizados, ressalvadas as hipóteses legalmente previstas no artigo 16° da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados.

Os dados devem ser descartados de maneira que proteja os direitos e liberdades dos Titulares dos Dados, por exemplo, picotamento, descarte como lixo confidencial, exclusão eletrônica segura, e em consonância com as orientações para a eliminação segura de mídia de armazenamento.

1. Mídias contendo informações referentes a IPNET Growth Partner deverão ser destruídas antes de seu descarte;
2. CDs, DVDs e documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao lixo. HDs, pendrives e cartões de memória deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização.
3. Arquivos mantidos em Drives virtuais devem ser rastreáveis e mantidos os logs de  manipulação.

9. CLASSIFICAÇÃO DA INFORMAÇÃO

O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área em: Pública, Confidencial ou Interna.

10. ANTIVÍRUS

A IPNET Growth Partner por intermédio do Gestor de Liberação da área de TI disponibiliza software corporativo de antivírus instalado para todos os usuários. O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor.

1. Fica proibido que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona;
2. As checagens periódicas do disco rígido, HD, da estação de trabalho estão programadas para execução automática conforme definições da área de TI no aplicativo servidor, assim como a verificação de mídias removíveis;
3. O gerenciamento do software antivírus / antimalware de ser centralizado;
4. O firewall do Sistema Operacional deverá ser ativado quando a ferramenta de antivírus e monitoramento não fornecer este tipo de proteção.

11. ARMAZENAMENTO DE ARQUIVOS

1. Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da IPNET Growth Partner;
2. É proibida a criação de pastas pessoais nos servidores de rede;
3. A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da IPNET Growth Partner e ser solicitada pelo responsável hierárquico à área de Suporte Técnico;
4. O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e do gestor de liberações para o controle do acesso de cada usuário;
5. A partir da implantação desta Política, todos os arquivos que não sejam do interesse da IPNET Growth Partner deverão ser excluídos dos equipamentos.

12. CÓPIA DE SEGURANÇA DE ARQUIVOS

1. Criar e manter cópias de segurança, também chamadas de backup, preferencialmente de maneira automática;
2. Os usuários devem manter obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos, e outros dados críticos da IPNET Growth Partner, nas pastas departamentais dos Drives Virtuais ou de rede conforme adotado pelo time;
3. É de responsabilidade exclusiva do usuário a cópia de segurança, backup, e a guarda dos dados gravados em seus ativos computacionais;
4. Rotinas de teste de recuperação de dados devem ser criadas e validadas pela equipe de TI.

13. JOGOS E SOFTWARES PIRATAS

1. Os jogos estão terminantemente proibidos;
2. Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva da IPNET Growth Partner, sendo proibidas as cópias integrais, ou mesmo as parciais, bem como a instalação de softwares piratas;
3. A instalação de softwares não autorizados, pirataria, constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa, além de denegrir a imagem da Instituição. Por esta razão, estão terminantemente proibidos;
4. É permitido à área de TI realizar a remoção ou desativação de softwares não autorizados ou desnecessários encontrados nos ativos da IPNET;
5. Fica a cargo da área de TI realizar a limpeza remota dos ativos, se for possível, caso estes sejam extraviados.

14. E-MAIL E MENSAGENS INSTANTÂNEAS

1. É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária à lei, à moral, aos bons costumes, à ordem pública ou que infrinjam os direitos de propriedade intelectual ou industrial pertencente à terceiros;
2. O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas deve ser de caráter exclusivamente profissional;
3. Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pela hierarquia da IPNET Growth Partner;
4. A salvaguarda dos e-mails e conteúdo anexo é de responsabilidade exclusiva do usuário, ficando a IPNET Growth Partner isenta de tal obrigação;
5. Usar apenas navegadores e clientes de e-mail suportados e aprovados, pois estes apresentam bloqueio de arquivos desnecessários e proteções anti malware. O uso de software de e-mail, mensagens instantâneas e correio interno não homologado são de responsabilidade do usuário e podem trazer riscos à segurança da informação além de dificultar o suporte técnico;
6. Quaisquer comunicados em massa, propagandas, informativos, imagens, etc., deverão ser previamente aprovados pelo gestor de capacidades da área de TI, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail;
7. Mensagens recebidas de origem desconhecida deverão, sempre que possível, serem pré-visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos;
8. O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados;
9. As mensagens trafegadas sob o domínio da IPNET Growth Partner poderão ser auditadas, mediante solicitação, conforme definição do TST – Tribunal Superior do Trabalho. Desta forma é proibida a utilização particular;
10. Em nenhuma hipótese a IPNET Growth Partner será responsabilizada perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo;
11. O fato de o colaborador responder a um e-mail fora do horário de expediente não configura hora extra. Para que isto ocorra é necessário que a IPNET Growth Partner tenha exigido na demanda enviada por e-mail, a realização de uma tarefa fora do horário de trabalho.

15. AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO

1. Os itens de segurança da informação serão definidos durante o desenvolvimento dos requisitos de negócios para novos sistemas de informação ou mudanças nos sistemas de informação existentes;
2. Controles para mitigar quaisquer riscos identificados serão implementados quando apropriado;
3. Definir padrões de design para aplicativos seguros bem como práticas de codificação seguras;
4. Realizar treinamentos dos desenvolvedores nas boas práticas de desenvolvimento seguro de aplicativos;
5. Definir e manter uma rotina de verificação de códigos de terceiros a fim de manter uma segurança mínima aceitável;
6. Definir um modelo para que os desenvolvedores possam relatar vulnerabilidades em aplicativos e ou softwares;
7. Ao encontrar uma vulnerabilidade a equipe de desenvolvimento deverá realizar a análise da causa raiz da mesma;
8. Estabelecer e manter um inventário de componentes de terceiros utilizados no desenvolvimento, também conhecido como biblioteca ou lista de materiais. É imprescindível constar neste inventário quaisquer riscos que cada componente pode apresentar;
9. Ao usar softwares ou bibliotecas de terceiros, é fundamental que a escolha seja pelos que são atualizados e de fontes confiáveis;
10. Definir um nível  mínimo de aceitabilidade de segurança, este padrão deve ser seguido e sempre que possível ser acompanhado de um relatório de classificação de riscos e vulnerabilidades;
11. Definir uma estrutura com modelos de proteção padrão;
12. Manter e gerir ambientes separados para desenvolvimento, homologação e produção;
13. Manter a equipe de desenvolvimento treinada e qualificada para realizar entregas seguras e concisas;
14. Sempre que possível aplicar e manter o conceito do design seguro que inclui o princípio do menor privilégio e a imposição de validação de entrada de dados;
15. Utilizar mecanismos para criar e manter logs de auditoria;
16. Sempre que possível aplicar o uso de ferramentas de análise estática e dinâmica no ciclo de vida do aplicativo, validando assim se as práticas de codificação segura estão sendo seguidas;
17. Sempre que se decidir necessário, fazer uso de testes de penetração;
18. Usar a modelagem de ameaças, ou seja, um processo para identificar e tratar falhas de design de segurança antes mesmo que o código seja criado e ou finalizado.

16. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

1. Incidentes de segurança da informação e vulnerabilidades associados aos sistemas de informação serão comunicados em tempo hábil. Ações corretivas apropriadas serão tomadas;
2. Relatórios formais de incidentes e escalonamento serão implementados. Gerir estes mecanismos e atualizá-los sempre que houver necessidade;
3. Todos os colaboradores, contratados e usuários terceirizados serão informados dos procedimentos para relatar os diferentes tipos de incidentes de segurança ou vulnerabilidade que podem ter um impacto na segurança dos ativos da IPNET Growth Partner;
4. Incidentes e vulnerabilidades de segurança da informação serão relatados o mais rápido possível ao Líder de Governança de TI;
5. Os líderes de cada time deverão designar um responsável mais um suplente, pelo menos, para gerenciar o tratamento de incidentes do time. A equipe de gerenciamento é responsável pela coordenação e documentação dos esforços de resposta e recuperação de incidentes e pode contar com funcionários internos da empresa, fornecedores terceirizados, inclusive equipe jurídica ou uma abordagem híbrida;
6. Criar e manter um catálogo com as informações de contato das partes integrantes das equipes responsáveis pela Gestão de Incidentes;
7. Criar e manter um plano de comunicação para que sejam reportados os incidentes. Este plano deve conter mecanismos primários e secundários de comunicação. Estes mecanismos podem incluir telefonemas, e-mail ou mensageiros instantâneos internos;
8. Revisar e testar periodicamente os mecanismos criados para gestão de incidentes, minimamente uma vez por ano. Os testes devem contar com relatórios de execução;
9. Em caso de incidentes, realizar análises pós-incidentes para que possam ser evitadas as recorrências deste incidente;
10. Para ajudar a mitigar vulnerabilidades, programas de penetração deverão ser instaurados. As características do programa de teste de penetração incluem escopo, como rede, aplicativo da Web, interface de programação de aplicativos (API), serviços hospedados e controles de instalações físicas;
11. Corrigir as descobertas dos testes de penetração com base na política da empresa para escopo e priorização de correção, validando as medidas de segurança após cada teste;
12. Realizar testes periódicos de penetração interna com base nos requisitos do programa, preferencialmente uma vez por ano;

17. GESTÃO DE CONTINUIDADE DE NEGÓCIOS

1. A IPNET Growth Partner estabelecerá arranjos para proteger os processos críticos de negócios, dos efeitos de grandes falhas de sistemas de informação ou desastres e para garantir sua retomada oportuna;
2. Um processo de gerenciamento de continuidade de negócios será implementado para minimizar o impacto na IPNET Growth Partner e agilizar a recuperação da perda de ativos de informação. Processos de negócios críticos serão identificados;
3. Será realizada uma análise de impacto nos negócios referente às consequências de desastres, falhas de segurança, perda de serviço e falta de disponibilidade de serviço.

18. TREINAMENTOS E COMUNICAÇÃO

1. Treinar qualificar e manter atualizados os colaboradores sobre as boas práticas de segurança a fim de reduzir os riscos e ameaças cibernéticas;
2. Treinar e qualificar colaboradores quanto ao uso seguro dos ativos computacionais da IPNET Growth Partner;
3. Treinar e qualificar colaboradores para reconhecer ataques de engenharia social, como phishing, pré-envio de mensagens de texto e uso não autorizado;
4. Treinar e qualificar colaboradores para identificar, armazenar, transferir, arquivar e destruir dados confidenciais de maneira adequada;
5. Orientar os colaboradores para que estejam cientes das causas da exposição não intencional de dados virtuais ou físicos, exposição e bloqueio de tela e cuidados correlatos;
6. Treinar e qualificar colaboradores sobre boas práticas de manipulação de senhas e MFAs. Orientar na criação de senhas fortes;
7. Orientar quanto às maneiras para  relatar incidentes de segurança e comportamento inadequado dos ativos computacionais, deixando claro os canais oficiais para isso;
8. A IPNET deve fornecer canais oficiais de comunicação e treinar seus colaboradores quanto ao uso correto destes canais. Entretanto, é de responsabilidade do colaborador o conteúdo publicado nesses canais;
9. Realizar treinamentos de habilidades e conscientização de segurança específicos da função;
10. Qualificar para administração de sistemas seguros para profissionais de TI, treinamento de conscientização e prevenção para desenvolvedores de aplicativos da Web seguindo o top 10 OWASP® em https://owasp.org/Top10/ e treinamento avançado de conscientização de engenharia social para funções de alto nível;
11. Treinar e orientar os colaboradores quanto às boas práticas para o uso de redes públicas ou inseguras. Para colaboradores remotos, o treinamento deve incluir orientação para garantir que todos saibam configurar com segurança sua infraestrutura de rede doméstica;

19. AUDITORIAS

1. Auditorias internas serão realizadas nos prazos determinados e relatórios serão gerados periodicamente;
2. A Diretoria e presidência da IPNET Growth Partner poderá solicitar à Gerência de TI, relatórios de auditoria contendo o nome, mensagens trafegadas, acessos à Internet e demais informações do usuário conforme resolução do TST – Tribunal Superior do Trabalho;
3. Manter um processo para gerenciamento de logs de auditoria;
4. Gerenciar logs de auditoria de maneira centralizada.

20. INFRAESTRUTURA DE REDE

1. Gerenciar e manter atualizada a infraestrutura de rede a fim de impedir a exploração de vulnerabilidades;
2. Manter os ativos de rede atualizados;
3. Gerir a autenticação, autorização e auditoria de rede de forma centralizada;
4. Realizar coleta de logs para auditoria de segurança;
5. Centralizar alertas e logs de auditoria.

21. PRESTADORES DE SERVIÇO E FORNECEDORES

1. Criar e gerir um inventário de prestadores de serviço. Manter registros de classificação e contatos.
2. Realizar o controle e gestão de acessos, registrando o nível de permissões concedidas, respeitando o princípio do menor privilégio;
3. Treinar e qualificar os prestadores de serviços seguindo as mesmas políticas aplicadas aos colaboradores da IPNET Growth Partner;
4. Redigir  e manter atualizados os contratos de prestadores de serviços com as principais políticas de segurança adotadas pela IPNET Growth Partner;
5. Manter uma avaliação periódica das atividades prestadas com o intuito de garantir entregas minimamente satisfatórias;
6. Gerir e monitorar a revogação de acessos quando se fizer necessário.

22. DISPOSIÇÕES FINAIS

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da IPNET Growth Partner. 

Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado a IPNET Growth Partner, entre outros.