Política de Segurança da Informação e Proteção de Dados da
Prefeitura Municipal de Ubatuba
1. Objetivo
Esta Política de Segurança da Informação e Proteção de Dados (PSI) estabelece as diretrizes, responsabilidades e princípios que devem ser seguidos por todos os servidores, funcionários, estagiários, prestadores de serviço e quaisquer outros agentes públicos no âmbito da Prefeitura Municipal de Ubatuba. O objetivo é garantir a confidencialidade, integridade, disponibilidade e privacidade das informações e dos dados pessoais sob a guarda do Município, em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) e as melhores práticas de segurança.
2. Abrangência
Esta política se aplica a todos os ativos de informação da Prefeitura, incluindo, mas não se limitando a:
• Dados armazenados em formato digital (computadores, servidores, bancos de dados, e-mails) e físico (documentos em papel, arquivos).
• Sistemas de informação, aplicativos e softwares utilizados.
• Infraestrutura de tecnologia da informação (redes, servidores, dispositivos móveis).
• Todos os indivíduos que, por força de suas atribuições, tenham acesso a informações da Prefeitura.
3. Princípios Fundamentais
A Segurança da Informação na Prefeitura de Ubatuba é regida pelos seguintes princípios:
• Confidencialidade: Garantir que a informação seja acessível apenas por pessoas autorizadas.
• Integridade: Assegurar a exatidão e a completude da informação e dos métodos de seu processamento.
• Disponibilidade: Garantir que os usuários autorizados tenham acesso à informação e aos ativos associados sempre que necessário.
• Legalidade: Cumprir todas as leis, regulamentações e obrigações contratuais aplicáveis.
• Responsabilização e Rastreabilidade: Criar e manter registros que permitam auditar ações realizadas nos sistemas e identificar os responsáveis.
4. Diretrizes Específicas de Segurança
4.1. Gestão de Acessos
O acesso aos sistemas e informações será concedido com base no princípio do menor privilégio, ou seja, cada usuário terá apenas as permissões estritamente necessárias para o desempenho de suas funções. As solicitações, concessões, alterações e revogações de acesso deverão ser formalmente registradas e aprovadas pelo gestor da área.
4.2. Segurança de Senhas
• Complexidade: As senhas devem possuir um nível de complexidade mínimo (combinação de letras maiúsculas, minúsculas, números e símbolos).
• Troca Periódica: As senhas devem ser alteradas em intervalos regulares, conforme definido pelo departamento de TI.
• Confidencialidade: É vedado o compartilhamento de senhas. Cada usuário é responsável por sua credencial.
• Autenticação de Múltiplos Fatores (MFA): O uso de MFA será implementado e incentivado para acesso a sistemas críticos e dados sensíveis.
4.3. Classificação da Informação
Toda informação produzida ou custodiada pela Prefeitura deve ser classificada de acordo com seu nível de sensibilidade: Pública, Interna, Confidencial, Sensível, determinando os controles de segurança apropriados para seu manuseio, armazenamento e descarte.
4.4. Uso de Ativos de Tecnologia
Os equipamentos, sistemas e redes da Prefeitura devem ser utilizados para fins estritamente profissionais. É proibido o uso para atividades ilegais, não autorizadas ou que violem esta política. A instalação de softwares não homologados pelo departamento de TI é vedada.
4.5. Gestão de Backups e Recuperação de Dados (Adicionado)
• Escopo: Dados críticos para a continuidade dos serviços públicos, bancos de dados de sistemas essenciais e dados pessoais sensíveis devem ser incluídos nas rotinas de backup.
• Frequência: A frequência dos backups será definida com base na criticidade e no volume de alteração dos dados, variando de diária a semanal.
• Armazenamento e Segurança: As cópias de segurança devem ser armazenadas em local fisicamente e/ou logicamente seguro e distinto do ambiente de produção. As mídias de backup devem ser criptografadas.
• Testes de Restauração: Procedimentos de restauração de dados serão testados periodicamente (no mínimo, semestralmente) para garantir a eficácia e a integridade dos backups.
• Retenção: O período de retenção das cópias de segurança seguirá os requisitos legais e as necessidades operacionais do Município.
4.6. Monitoramento, Logs e Auditoria (Ampliado)
• Geração de Logs: Os sistemas de informação críticos deverão gerar logs (registros de eventos) detalhados sobre acessos, tentativas de acesso (bem-sucedidas ou falhas), alterações de dados e outras ações relevantes.
• Conteúdo dos Logs: Os logs devem conter, no mínimo, a identificação do usuário, a data e hora da ação, o endereço de origem e o recurso acessado.
• Retenção e Proteção: Os logs de auditoria devem ser armazenados de forma segura, protegidos contra adulteração.
• Monitoramento Proativo: A equipe de TI realizará o monitoramento contínuo das redes e sistemas em busca de atividades suspeitas ou anômalas, utilizando ferramentas automatizadas para a detecção de ameaças em tempo real.
• Auditorias: Auditorias de segurança, internas ou externas, serão realizadas periodicamente para verificar a conformidade com esta política e a eficácia dos controles implementados.
4.7. Descarte Seguro de Mídias e Informações (Adicionado)
• Mídias Físicas: Documentos em papel contendo dados pessoais ou confidenciais devem ser destruídos por meio de fragmentadoras antes do descarte. Mídias eletrônicas (HDs, SSDs, pen drives, CDs) devem ser fisicamente destruídas ou ter seus dados permanentemente apagados (sanitização) antes de serem descartadas ou reutilizadas.
• Dados Digitais: A exclusão de arquivos digitais de sistemas ativos deve ser seguida por procedimentos que garantam que os dados não possam ser recuperados.
• Registro: O descarte de ativos contendo informações sensíveis deve ser documentado, registrando o item descartado e o método utilizado.
4.8. Uso de Serviços em Nuvem (Adicionado)
• Homologação: A contratação e o uso de quaisquer serviços de computação em nuvem (SaaS, IaaS, PaaS) para armazenar ou
processar dados da Prefeitura devem ser previamente analisados e homologados pela equipe de TI e pelo setor jurídico.
• Due Diligence: A escolha de um provedor de nuvem deve considerar sua reputação, certificações de segurança (como ISO 27001) e conformidade com a LGPD.
• Contratos e Localização dos Dados: Os contratos devem incluir cláusulas específicas de proteção de dados
• e dar preferência a provedores que garantam o armazenamento e processamento dos dados em território nacional.
• Responsabilidade Compartilhada: Deve estar claro quais controles de segurança são de responsabilidade do provedor de nuvem e quais são de responsabilidade da Prefeitura.
5. Gestão de Incidentes de Segurança
Qualquer evento que indique uma possível violação da segurança da informação ou da privacidade de dados deve ser imediatamente reportado ao departamento de TI ou ao Encarregado de Proteção de Dados (DPO). A Prefeitura manterá um Plano de Resposta a Incidentes que define os procedimentos para contenção, análise, erradicação e recuperação de incidentes, bem como a comunicação às partes afetadas e à Autoridade Nacional de Proteção de Dados (ANPD), quando necessário.
6. Treinamento e Conscientização
A Prefeitura promoverá programas contínuos de treinamento e conscientização em segurança da informação e proteção de dados para todos os seus agentes públicos, garantindo que compreendam suas responsabilidades e os riscos associados ao manuseio de informações.
7. Responsabilidades
• Todos os Usuários: Cumprir esta política, zelar pela segurança das informações que acessam e reportar qualquer incidente.
• Gestores de Área: Garantir que suas equipes cumpram a política e gerenciar as permissões de acesso.
• Departamento de TI: Implementar, manter e monitorar os controles técnicos de segurança.
• Encarregado de Proteção de Dados (DPO): Orientar sobre a conformidade com a LGPD e atuar como canal de comunicação com os titulares de dados e a ANPD.
8. Como Exercer Seus Direitos e Contato do Encarregado (DPO)
Para exercer seus direitos ou tirar dúvidas sobre esta política, entre em contato com nosso Encarregado pela Proteção de Dados (DPO):
• Nome do Encarregado: Mara Cristhiane Venditti Borges
• Cargo: Advogada e DPO
• E-mail para contato: dpoubatuba@prefeitura.sp.gov.br
9. Disposições Finais
O descumprimento das diretrizes estabelecidas nesta política sujeitará o infrator às sanções disciplinares cabíveis, conforme o estatuto dos servidores públicos e a legislação vigente, sem prejuízo de eventuais responsabilidades
civis e criminais.
Esta política será revisada anualmente ou sempre que mudanças significativas no ambiente tecnológico ou na legislação o exigirem.