Contamos com um certificado digital de criptográfica de sessão HTTPS(Hyper Text Transfer Protocol Secure) sobre SSL (Secure Sockets Layer). Estendendo essas informações
para o CloudHSM (Módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS, também agregando
backups separados entre clusters.
Ao utilizar da AWS para processar, armazenar e transmitir Protected Health Information (PHI – Informações de saúde protegidas), cobrimos a Amplimed e seus associados comerciais à lei
Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 dos EUA se beneficiem do ambiente seguro da
AWS para processamento, manutenção e armazenamento de informações protegidas relacionadas à saúde.
BASEADO NA NORMA ABNT 21:204.01-010
A Política de segurança da informação, na AMPLIMED, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da empresa, ou acesso a informações pertencentes à AMPLIMED. Todo e qualquer usuário de recursos computadorizados da empresa tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.
A violação desta política de segurança é qualquer ato que:
1. Exponha a empresa a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados /ou de informações ou ainda da perda de equipamento.
2. Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos.
3. Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.
● OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio da AMPLIMED.
● MISSÃO
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio da A AMPLIMED. Ser o gestor do processo de segurança e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade.
● OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio da A AMPLIMED.
● É DEVER DE TODOS NA EMPRESA
Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a A AMPLIMED e deve sempre ser tratada profissionalmente.
● CLASSIFICAÇÃO DA INFORMAÇÃO
É de responsabilidade do Gestor de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a tabela abaixo:
1 – Pública
2 – Interna
3 – Confidencial
4 – Restrita
Conceitos:
- Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes , fornecedores, prestadores de serviços e público em geral.
- Informação Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.
- Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro.
- Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo gestor deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas, assim como a assinatura no ato da contratação do TERMO DE CONFIDENCIALIDADE.
● DADOS DOS FUNCIONÁRIOS A AMPLIMED se compromete em não acumular ou manter intencionalmente Dados Pessoais de Funcionários além daqueles relevantes na condução do seu negócio. Todos os Dados Pessoais de Funcionários que porventura sejam armazenados, serão considerados dados confidenciais. Dados Pessoais de Funcionários sob a responsabilidade da AMPLIMED não serão usados para fins diferentes daqueles para os quais foram coletados. Dados Pessoais de Funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de endereços eletrônicos (e-mails) usados pelos funcionários da AMPLIMED. Por outro lado, os funcionários se comprometem a não armazenar dados pessoais nas instalações da empresa, sem prévia e expressa autorização por parte dos seus gestores e diretoria. Mesmo que seja autorizado o armazenamento destes dados, a empresa não se responsabiliza por eles, nem tampouco pelo seu conteúdo e pela segurança. Tais dados jamais poderão ser armazenados nos diretórios dos Servidores de empresa, e jamais poderão fazer parte da rotina de backup da empresa.
● ADMISSÃO E DEMISSÃO DE FUNCIONÁRIOS / TEMPORÁRIOS / ESTAGIÁRIOS
O setor de RH da empresa deverá informar ao setor de responsável, toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos no sistema da Companhia. Isto inclui o fornecimento de sua senha (“password”) e registro do seu nome como usuário no sistema (user-id), pelo setor de Informática. Cabe ao setor solicitante da contratação a comunicação ao setor de Informática sobre as rotinas a que o novo contratado terá direito de acesso. No caso de temporários e/ou estagiários deverá também ser informado o tempo em que o mesmo prestará serviço à Companhia, para que na data de seu desligamento possam também ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema. No caso de demissão, o setor de Recursos Humanos deverá comunicar o fato o mais rapidamente possível à Informática, para que o funcionário demitido seja excluído do sistema. Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da AMPLIMED. Nenhum funcionário, estagiário ou temporário, poderá ser contratado, sem ter expressamente concordado com esta política.
● TRANSFERÊNCIA DE FUNCIONÁRIOS
Quando um funcionário for promovido ou transferido de seção ou gerência, o setor de cargos e salários deverá comunicar o fato ao Setor de Informática, para que sejam feitas as adequações necessárias para o acesso do referido funcionário ao sistema informatizado da empresa.
● PROGRAMAS ILEGAIS
A empresa respeita os direitos autorais dos programas que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores da empresa. É terminantemente proibido o uso de programas ilegais (Sem licenciamento) na AMPLIMED. Os usuários não podem, em hipótese alguma, instalar este tipo de “software” (programa) nos equipamentos da empresa, mesmo porque somente o pessoal da área de TI tem autorização para instalação de programas previamente autorizados dentro da política de segurança da empresa. Periodicamente, o Setor responsável fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz. Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam perante a empresa por quaisquer problemas ou prejuízos causados oriundos desta ação, estando sujeitos a sanções previstas neste documento.
● PERMISSÕES E SENHAS
Todo usuário para acessar os dados da rede da AMPLIMED, deverá possuir um login e senha previamente cadastrados pelo pessoal de TI. Quem deve fornecer os dados referente aos direitos do usuário é o responsável direto pela sua chefia. Quando da necessidade de cadastramento de um novo usuário para utilização da “rede”, sistemas ou equipamentos de informática da empresa, o setor de origem do novo usuário deverá comunicar esta necessidade ao setor RH/TI, por meio de e-mail, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. A área fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada imediatamente após o primeiro login. Por segurança, a área recomenda que as senhas tenham sempre um critério mínimo de segurança para que não sejam facilmente copiadas, e não possam ser repetidas.
● BACKUP (CÓPIA DE SEGURANÇA DOS DADOS) Todos os dados da empresa são protegidos através de rotinas sistemáticas de Backup em nossos servidores. Cópias de segurança do sistema integrado e servidores de rede são de responsabilidade do Setor de desenvolvimento, e são realizadas diariamente.
● SEGURANÇA E INTEGRIDADE DOS DADOS
O gerenciamento do(s) banco(s) de dados é responsabilidade dos times usuários.
● PROPRIEDADE INTELECTUAL
É de propriedade da AMPLIMED, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a empresa.
● USO DO CORREIO ELETRÔNICO (E-MAIL) O correio eletrônico fornecido pela empresa é um instrumento de comunicação interna e externa para a realização do negócio da AMPLIMED. As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da empresa, não podem ser contrárias à legislação vigente e nem aos princípios éticos que seguimos.
O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que: ● Contenham declarações difamatórias e linguagem ofensiva;
● Possam trazer prejuízos a outras pessoas;
● Sejam hostis e inúteis;
● Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
● Possam prejudicar a imagem da organização;
● Possam prejudicar a imagem de outras empresas;
● Sejam incoerentes com as políticas da EMPRESA.
Para incluir um novo usuário no correio eletrônico, a respectiva Gerência deverá fazer um pedido formal ao setor de RH, que providenciará a inclusão do mesmo. A utilização do “e-mail” deve ser criteriosa, evitando que o sistema fique congestionado.
● NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS
Os gestores dos setores são responsáveis pela aplicação da Política da AMPLIMED em relação a definição de compra e substituição de “software” e “hardware”. Qualquer necessidade de novos programas (“softwares”) ou de novos equipamentos de informática (hardware) deverá ser discutida com o responsável do RH e Diretoria. Não é permitido a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários.
USO DE LAP TOPS (COMPUTADORES PESSOAIS) NA EMPRESA
Os usuários que tiverem direito ao uso de computadores pessoais (laptop ou notebook), ou qualquer outro equipamento computacional, de propriedade da AMPLIMED, devem estar cientes de que:
Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais.
A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário.
É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo.
O usuário não deve alterar a configuração do equipamento recebido. Alguns cuidados que devem ser observados:
Fora do trabalho:
Mantenha o equipamento sempre com você;
Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
Quando transportar o equipamento em automóvel utilize sempre o porta malas ou lugar não visível;
Atenção ao transportar o equipamento na rua.
Em caso de furto:
Registre a ocorrência em uma delegacia de polícia;
Comunique ao seu superior imediato e ao Setor de Informática;
Envie uma cópia da ocorrência para o Setor de Informática.
● RESPONSABILIDADE DOS GERENTES / SUPERVISORES
Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus funcionários aos sistemas e informações da empresa, cabendo a eles verificarem se os mesmos estão acessando exatamente as rotinas compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.
PENALIDADES
O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.