Política de Gerenciamento de Acessos da WebPeak
Introdução
A WebPeak entende que o controle rigoroso de acesso às informações e sistemas é essencial para proteger a confidencialidade, integridade e disponibilidade dos ativos da empresa. Esta política de gerenciamento de acessos define as diretrizes e procedimentos para garantir que o acesso aos sistemas e dados seja concedido apenas a indivíduos autorizados, de acordo com suas responsabilidades e necessidades operacionais. A política está em conformidade com as melhores práticas de segurança e as normas internacionais, incluindo a ISO 27001.
Objetivo
O objetivo desta política é estabelecer um processo de gerenciamento de acessos que proteja os sistemas e informações da WebPeak contra acessos não autorizados, garantindo que apenas indivíduos com a devida autorização possam acessar recursos específicos. A política visa minimizar os riscos associados ao acesso inadequado ou não autorizado aos sistemas de informação da empresa.
Escopo
Esta política se aplica a todos os sistemas de informação, redes, aplicativos e dados controlados pela WebPeak. Inclui, mas não se limita a:
Diretrizes de Gerenciamento de Acessos
Princípio do Menor Privilégio
O acesso aos sistemas e dados da WebPeak será concedido com base no princípio do menor privilégio, garantindo que os indivíduos tenham apenas os acessos necessários para realizar suas funções específicas. Acesso a informações sensíveis ou sistemas críticos será restrito a um número limitado de pessoas com base em suas responsabilidades.
Controle de Acesso Baseado em Funções
A WebPeak utilizará um modelo de Controle de Acesso Baseado em Funções para gerenciar permissões de acesso. Os acessos serão concedidos com base nas funções de trabalho dos usuários, assegurando que todos os indivíduos tenham acesso apenas aos recursos necessários para desempenhar suas funções.
Processos de Solicitação e Aprovação de Acesso
Todo acesso aos sistemas e dados deve ser formalmente solicitado e aprovado. O processo de solicitação de acesso inclui:
Revisão e Auditoria de Acessos
Os acessos concedidos serão revisados periodicamente para garantir que ainda sejam necessários e estejam alinhados com as funções do colaborador. A equipe de segurança da informação realizará auditorias regulares para identificar e revogar acessos desnecessários ou não autorizados.
Gerenciamento de Senhas
As senhas utilizadas para acessar os sistemas da WebPeak devem ser fortes e únicas, com requisitos mínimos de complexidade definidos pela empresa. A troca periódica de senhas é obrigatória, e o reuso de senhas anteriores é proibido. O uso de autenticação multifator (MFA) é obrigatório, especialmente para acesso a sistemas críticos.
Desativação de Acessos
O acesso de colaboradores que deixam a empresa ou mudam de função deve ser desativado imediatamente. Processos automatizados e manuais serão implementados para garantir que os acessos sejam revogados de forma oportuna, evitando qualquer risco de acesso não autorizado após a saída do colaborador.
Acesso de Terceiros
Os acessos concedidos a terceiros, parceiros e fornecedores serão limitados ao mínimo necessário para cumprir suas obrigações contratuais. Todos os acessos de terceiros devem ser monitorados e revisados regularmente, e devem estar sujeitos às mesmas diretrizes de segurança aplicadas aos colaboradores internos.
Monitoramento de Acessos
O acesso aos sistemas e dados será monitorado continuamente para detectar atividades suspeitas ou não autorizadas. Logs de acesso serão mantidos e revisados regularmente para garantir a conformidade com esta política e identificar possíveis ameaças à segurança.
Treinamento e Conscientização
Todos os colaboradores da WebPeak, bem como terceiros com acesso a sistemas da empresa, receberão treinamento sobre as práticas de segurança de acesso, incluindo o uso adequado de credenciais e a importância de proteger as informações de acesso. A conscientização contínua será promovida para reforçar as políticas de segurança.
Revisão da Política
Esta política será revisada anualmente ou sempre que houver mudanças significativas na infraestrutura de TI, nos sistemas de informação ou nas regulamentações aplicáveis. Quaisquer revisões serão aprovadas pela alta direção e comunicadas a todos os colaboradores relevantes.
Acesso Seguro
Todos os acessos ao ambiente Webpeak são realizados via VPN, com credenciais de acesso gerenciadas em nosso diretório de usuários.
Fabricantes e Soluções
Zoho Vault - Cofre de senhas e Controle de uso de Senhas
Microsoft Active Directory - Diretório de usuários
AD360 - Gerenciador de auditorias de acessos.
Aprovado por
Marcos Vinicius Custódio
Responsável Legal