Emissão Classificação

GESTÃO DE IDENTIDADE E 25/01/2018 Uso interno

Código CONTROLE DE ACESSO Versão Aprovado por:

N-SI-003 1.03 Albert Solus

1. Introdução

1.1. A Norma de segurança da informação N-SI-003 complementa Política Geral de Segurança da

Informação, definindo as diretrizes para garantir que o acesso às aos ativos de informação ou
sistemas de informação da SOLUS METAL DO BRASIL garanta níveis adequados de proteção.

2. Propósito

2.1. Estabelecer diretrizes para gestão de identidade e acesso aos ativos e sistemas de informação
da SOLUS.

3. Escopo

3.1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação.

4. Diretrizes

4.1. Acesso a ativos e sistemas de informação

4.1.1. A SOLUS fornece a seus usuários autorizados contas de acesso que permitem o
uso de ativos de informação, sistemas de informação e recursos computacionais
como, por exemplo, rede corporativa;

4.1.2. As referidas contas de acesso são fornecidas exclusivamente para que os usuários
possam executar suas atividades laborais;

4.1.3. Toda conta de acesso é pessoal do usuário a qual foi delegada e intransferível.
Desta forma, o usuário é integralmente responsável por sua utilização,
respondendo por qualquer violação ou ato irregular/ilícito, mesmo que exercido por
outro indivíduo e/ou organização de posse de sua conta de acesso.

4.1.4. Os usuários deverão adotar medidas de prevenção para garantir o acesso seguro
a ativos e serviços de informação, incluindo:

4.1.4.1. Não anotar ou registrar senhas de acesso em qualquer local, exceto nas
ferramentas oficialmente fornecidas pela SOLUS;

4.1.4.2. Não utilizar sua conta, ou tentar utilizar qualquer outra conta, para violar
controles de segurança estabelecidos pela SOLUS;

4.1.4.3. Não compartilhar a conta de acesso e senha com outro usuário, colaborador
e/ou terceiro;

4.1.4.4. Informar imediatamente a equipe de segurança caso identifique qualquer

falha ou vulnerabilidade que permita a utilização não autorizada de ativos
de informação, sistemas e/ou recursos computacionais da SOLUS;

4.1.5. Usuários que tem acesso autorizado a privilégios administrativas em sistemas de

informação devem possuir uma credencial específica para este propósito. A
credencial privilegiada deverá ser utilizada somente para a execução de atividades

Solus Metal do Brasil – Norma de gestão de identidade e controle de acesso – Uso interno 1
 Emissão Classificação

GESTÃO DE IDENTIDADE E 25/01/2018 Uso interno

Código CONTROLE DE ACESSO Versão Aprovado por:

N-SI-003 1.03 Albert Solus

administrativas que requeiram esse nível de acesso, enquanto a conta de acesso

comum deverá ser utilizada em atividades do dia a dia;

4.1.6. Qualquer utilização não autorizada ou tentativa de utilização não autorizada de

credenciais e senhas de acesso a ativos/serviços de informação ou recursos
computacionais será tratada como um incidente de segurança da informação,
cabendo uma análise da infração pelo CGSI e aplicação das sanções e punições
previstas na Política Geral de Segurança da Informação, conforme a gravidade da
violação.

4.2. Senha de acesso

4.2.1. As senhas associadas às contas de acesso a ativos/serviços de informação ou

recursos computacionais da SOLUS são de uso pessoal e intransferível, sendo
dever do usuário zelar por sua guarda e sigilo;

4.2.2. A SOLUS adota os seguintes padrões para geração de senhas de acesso a seus
ativos/serviços de informação ou recursos computacionais:

4.2.2.1. A equipe de tecnologia da informação será responsável por fornecer senhas

de acesso inicial ao usuário, que deverá proceder com a troca imediata da
mesma;

4.2.2.2. As senhas possuem validade de 90 (noventa) dias. Passado este prazo, os

sistemas solicitarão automaticamente a troca da senha;

4.2.2.3. As senhas associadas a contas com privilégio não-administrativo serão

compostas usando uma quantidade mínima de 08 (oito) dígitos, combinando
letras maiúsculas e minúsculas, números e caracteres especiais;

4.2.2.4. As senhas associadas a contas que possuem privilégio administrativo serão

compostas usando uma quantidade mínima de 15 (quinze) dígitos,
combinando letras maiúsculas e minúsculas, números e caracteres
especiais;

4.2.2.5. Após 05 (cinco) tentativas de acesso com senhas inválidas, a conta do

usuário será bloqueada, assim permanecendo assim por, no mínimo, 30
(trinta) minutos;

4.2.2.6. Os sistemas de informação manterão um histórico das últimas 12 (doze)

senhas utilizadas, não permitindo sua reutilização;

4.2.2.7. Quando efetuada uma troca da senha, o usuário não poderá realizar nova
alteração dentro de um prazo mínimo de 7 (sete) dias. Caso seja necessário
realizar alteração dentro deste período, o usuário deverá solicitar o apoio da
equipe de tecnologia da informação;

4.2.3. Quando criando uma nova senha, usuários devem estar atentos as seguintes
recomendações:

Solus Metal do Brasil – Norma de gestão de identidade e controle de acesso – Uso interno 2
 Emissão Classificação

GESTÃO DE IDENTIDADE E 25/01/2018 Uso interno

Código CONTROLE DE ACESSO Versão Aprovado por:

N-SI-003 1.03 Albert Solus

4.2.3.1. Não utilizar nenhuma parte de sua credencial na composição da senha;

4.2.3.2. Não utilizar qualquer um de seus nomes, sobrenomes, nomes de familiares,

colegas de trabalho ou informação a seu respeito de fácil obtenção como,
por exemplo, placa do carro, data de aniversário, ou endereço;

4.2.3.3. Não utilizar repetição ou sequencia de caracteres, números ou letras;

4.2.3.4. Qualquer parte ou variação do nome SOLUS METAL DO BRASIL;

4.2.3.5. Qualquer variação dos itens descritos acima como duplicação ou escrita
invertida.

4.3. Autorização de acesso (privilégios de acesso)

4.3.1. A autorização e o nível permitido de acesso ativos/serviços de informação da

SOLUS é feita com base em perfis que definem o nível de privilégio dos usuários.

4.3.2. O acesso à ativos/serviços de informação é fornecido a critério da SOLUS, que

define permissões baseadas nas necessidades laborais dos usuários;

4.3.3. Autorizações de acesso a perfis são fornecidas e/ou revogadas com base na
solicitação dos gestores de cada colaborador. Solicitações deverão ser
encaminhadas a equipe de tecnologia da informação.

4.3.4. Os usuários devem ainda observar as seguintes diretrizes:

4.3.4.1. A seu critério exclusivo, a SOLUS poderá ativar uma cota para
armazenamento de arquivos em sua infraestrutura computacional local ou
serviços de armazenamento remoto (nuvem). Caso o usuário necessite de
mais espaço, deverá realizar uma solicitação ao departamento de tecnologia
da informação;

4.3.4.2. É expressamente proibido o armazenamento de informações de caráter

pessoal, que infrinjam direitos autorais ou que não sejam de interesse da
SOLUS tanto na infraestrutura computacional local ou serviços de
armazenamento remoto (nuvem);

4.3.4.3. Usuários não devem ter expectativa de privacidade quanto aos arquivos
armazenados na infraestrutura computacional local ou serviços de
armazenamento remoto (nuvem) da SOLUS.

Solus Metal do Brasil – Norma de gestão de identidade e controle de acesso – Uso interno 3
 Emissão Classificação

GESTÃO DE IDENTIDADE E 25/01/2018 Uso interno

Código CONTROLE DE ACESSO Versão Aprovado por:

N-SI-003 1.03 Albert Solus

5. Papéis e Responsabilidades

5.1. GESTOR DA INFORMAÇÃO

5.1.1. É responsabilidade dos colaboradores apontados como Gestor da Informação:

5.1.1.1. Autorizar a concessão e revogação de acesso a ativos/sistemas de

informação sob sua responsabilidade;

5.1.1.2. Autorizar a concessão e o controle de acesso administrativo a

ativos/sistemas de informação sob sua responsabilidade;

5.1.1.3. Realizar a revisão periódica de autorizações de acesso e credenciais de

acesso a ativos/sistemas de informação sob sua responsabilidade.

5.2. DEPARTAMENTO PESSOAL

5.2.1. É responsabilidade do departamento pessoal (Recursos Humanos):

5.2.1.1. Reportar em tempo hábil o desligamento de empregados da SOLUS a

equipe de tecnologia da informação para que contas de acesso possam ser
revogadas;

5.2.1.2. Apoiar a gestão de identidades enviando relatórios periódicos sobre

colaboradores desligados ou que mudaram de posição na SOLUS;

5.2.1.3. Apoiar a revisão periódica da validade de credenciais de acesso a

ativos/sistemas de informação fornecendo informações sobre os
empregados.

5.3. GESTORES E COORDENADORES

5.3.1. É responsabilidade dos gestores e coordenadores:

5.3.1.1. Solicitar a equipe de tecnologia da informação a concessão de acesso novos

empregados ou empregados que necessitem de novos acessos conforme
mudanças em suas atividades laborais;

5.3.1.2. Solicitar a equipe de tecnologia da informação concessão de acesso a

terceiros/prestadores de serviços contratados justificando a necessidade de
acesso a ativos/sistemas de informação;

5.3.1.3. Informar a equipe de tecnologia da informação quando ao encerramento do

contrato com terceiros/prestadores de serviços contratados que tenham a
ativos/sistemas de informação.

Solus Metal do Brasil – Norma de gestão de identidade e controle de acesso – Uso interno 4
 Emissão Classificação

GESTÃO DE IDENTIDADE E 25/01/2018 Uso interno

Código CONTROLE DE ACESSO Versão Aprovado por:

N-SI-003 1.03 Albert Solus

5.4. GERENCIA DE TECNOLOGIA DA INFORMAÇÃO

5.4.1. É responsabilidade da gerencia de tecnologia da informação:

5.4.1.1. Receber e analisar solicitações para criação de contas de acesso ou

fornecimento de privilégios para usuários de empregados,
terceiros/prestadores de serviços;

5.4.1.2. Conceder, quando autorizado, o acesso aos usuários de empregados,

terceiros/prestadores de serviço, conforme indicado pelos gestores da
informação;

5.4.1.3. Revogar, quando solicitado, o acesso dos usuários de empregados,

terceiros/prestadores de serviço, conforme indicado pelos gestores da
informação;

5.4.1.4. Apoiar a revisão periódica da validade de credenciais de acesso a

ativos/sistemas de informação dos usuários de empregados,
terceiros/prestadores de serviço fornecendo informações sobre os
privilégios atualmente efetivados em ativos/sistemas de informação.

6. Sanções e Punições

6.1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da
Informação.

7. Revisões

7.1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê
Gestor de Segurança da Informação.

8. Gestão da Norma

8.1. A norma N-SI-003 é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto
com a Diretoria da SOLUS METAL DO BRASIL.

8.2. A presente norma foi aprovada no dia 25/01/2017

Albert Solus – Presidente Alfredo Solus – Vice-Presidente

Solus Metal do Brasil – Norma de gestão de identidade e controle de acesso – Uso interno 5