Política de Segurança da Informação

RESOLUÇÃO Nº 034, DE 24 DE JULHO DE 2025

 Aprova a Política de Segurança da Informação do Itupeva Previdência.

A Diretora Presidente do INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES MUNICIPAIS DE ITUPEVA – ITUPEVA PREVIDÊNCIA, no uso de suas atribuições legais, e

CONSIDERANDO que a informação é um ativo essencial da organização e precisa ser protegida quanto a eventuais ameaças, preservando e minimizando os riscos para a continuidade dos serviços prestados pelo RPPS;

CONSIDERANDO que o ITUPEVA PREVIDÊNCIA produz e recebe informações no exercício de suas competências constitucionais, legais e regulamentares, e que tais informações devem permanecer íntegras e disponíveis, bem como seu eventual sigilo deve ser resguardado; 

CONSIDERANDO que as informações do ITUPEVA PREVIDÊNCIA são armazenadas em diferentes suportes e veiculadas por diversas formas, tais como meio impresso, eletrônico, estando, portanto, vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto,

CONSIDERANDO o disposto no Manual da certificação institucional “PRÓ-GESTÃO RPPS”;

CONSIDERANDO a Lei Federal n^o 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto na Constituição Federal, e a Lei Federal nº 13.709, de 14 de agosto de 2018, que aprova a Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO, por fim, a aprovação do Conselho Deliberativo na reunião ordinária realizada em 23 de julho de 2025;

R E S O L V E:

Art. 1º Fica aprovada a Política de Segurança da Informação do Instituto de Previdência Social dos Servidores Municipais de Itupeva – ITUPEVA PREVIDÊNCIA, na forma do Anexo Único desta Resolução.

Art. 2º Fica revogada a Resolução nº 04, de 17 de abril de 2018.

Art. 3º. Esta Resolução entrará em vigor na data de sua publicação.

ITUPEVA PREVIDÊNCIA, aos vinte e quatro dias do mês de julho de 2025

JULIANE BONAMIGO

Diretora Presidente

Itupeva Previdência

Política de Segurança da Informação do Instituto de Previdência Social dos Servidores Municipais de Itupeva – ITUPEVA PREVIDÊNCIA

ÍNDICE

CAPÍTULO I - OBJETIVOS DA PSI

CAPÍTULO II - APLICAÇÕES DA PSI

CAPÍTULO III - DAS RESPONSABILIDADES ESPECÍFICAS

CAPÍTULO IV – DA PROTEÇÃO, DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

CAPÍTULO V - CORREIO ELETRÔNICO

CAPÍTULO VI - INTERNET

CAPÍTULO VII - COMPUTADORES E OUTROS DISPOSITIVOS

CAPÍTULO VIII - IDENTIFICAÇÃO E CONTROLE DE ACESSO

CAPÍTULO IX – PROCEDIMENTOS DE CONTINGÊNCIA

CAPÍTULO X – DISPOSIÇÕES FINAIS

CAPÍTULO I - OBJETIVOS DA PSI

Art. 1º A Política de Segurança da Informação (PSI) do Instituto de Previdência Social dos Servidores Municipais de Itupeva - ITUPEVA PREVIDÊNCIA, é o documento que orienta e estabelece as diretrizes corporativas do Itupeva Previdência para a proteção dos ativos de informação e a responsabilidade legal para todos os usuários.

• 1º A PSI deverá ser cumprida e aplicada em todas as áreas da Autarquia e por todos os colaboradores e prestadores de serviço que tenham acesso às informações de propriedade do ITUPEVA PREVIDÊNCIA.

• 2º A proteção de dados pessoais do ITUPEVA PREVIDÊNCIA deverá respeitar o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018.

Art. 2º Constituem objetivos desta PSI:

I - promover o alinhamento das ações de segurança da informação com as estratégias de planejamento estratégico do ITUPEVA PREVIDÊNCIA;

II - estabelecer diretrizes que permitam aos colaboradores e fornecedores do ITUPEVA PREVIDÊNCIA seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da Autarquia e do indivíduo;

III - nortear a definição de normas e procedimentos específicos de proteção e de segurança da informação, bem como a implementação de controles e processos para seu atendimento; e

IV - Estabelecer mecanismos de controle para garantir a efetiva proteção dos dados, informações e conhecimentos gerados, preservando a:

1. a) integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
2. b) confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas; e
3. c) disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Parágrafo único. As ações de segurança da informação do ITUPEVA PREVIDÊNCIA são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:

1. continuidade dos processos e serviços essenciais para o funcionamento do ITUPEVA PREVIDÊNCIA;
2. economicidade da proteção dos ativos de informação;

• respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

1. observância da publicidade como preceito geral e do sigilo como exceção;
2. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;
3. alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do ITUPEVA PREVIDÊNCIA, assim como demais normas específicas de segurança da informação da Administração Pública;

• conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis; e
• educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.

CAPÍTULO II - APLICAÇÕES DA PSI

Art. 3º As diretrizes estabelecidas nesta Política deverão ser seguidas e respeitadas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

• 1º É obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
• 2º Deverão ser realizados eventos de capacitação aos servidores do ITUPEVA PREVIDÊNCIA, com temas relativos à segurança da informação e à LGPD, com periodicidade mínima anual.

CAPÍTULO III - DAS RESPONSABILIDADES ESPECÍFICAS

Art. 4º Entende-se por colaborador toda e qualquer pessoa física, contratada no regime estatutário, CLT ou temporário, e os prestadores de serviço, contratados por intermédio de pessoa jurídica ou não, que exerça alguma atividade para o ITUPEVA PREVIDÊNCIA.

• 1º Os colaboradores deverão:

I - manter sigilo das informações do ITUPEVA PREVIDÊNCIA;

II - zelar pelos ativos de informação do ITUPEVA PREVIDÊNCIA, sejam eles físicos (processos, documentos e outros) ou digitais (arquivos, sistemas e outros); e

III - obedecer às diretrizes e procedimentos definidos pela Diretoria Executiva.

• 2º Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar ao ITUPEVA PREVIDÊNCIA e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas
• 3º Compete ao servidor responsável pela área de Tecnologia da Informação:

I – Notificar a Diretoria Executiva periodicamente sobre novos riscos identificados no ambiente ou que tenham surgido na tecnologia utilizada no momento;

II – Elaborar e manter Normas e Procedimentos alinhados com essa PSI.

III – Planejar e promover a implementação, manutenção e atualização de toda a infraestrutura de Tecnologia de Informação - TI do Instituto;

IV – Gerir os sistemas de proteção do Instituto e seus ativos, notificando a Diretoria Executiva a respeito de suas deficiências, fatores de riscos e possíveis soluções;

V – Implementar os controles necessários para vulnerabilidades potenciais e necessidades de proteção; e

VI – Planejar, executar e verificar a execução de rotinas de backups dos sistemas, dos bancos de dados e dos documentos do ITUPEVA PREVIDÊNCIA, bem como dos planos de contingência.

• 4º Compete à Diretoria Executiva:

I – Revisar e aprovar a PSI e suas atualizações, de acordo com as necessidades específicas de cada área;

II – Promover e conscientizar sobre a adoção da PSI, no âmbito do Instituto como um todo, assim como nas suas respectivas áreas de atuação;

III – Decidir pelas ações a serem tomadas quando de ocorrências de descumprimento da política de segurança.

• 5º Compete ao Setor de Recursos:

I – Assegurar-se de que os servidores, estagiários e prestadores de serviços comprovem, por escrito, estar cientes do conteúdo da PSI;

II – Comunicar o servidor responsável pela área de Tecnologia da Informação qualquer mudança no quadro de colaboradores que implique em alteração de acessos aos sistemas e ferramentas tecnológicas do Instituto.

CAPÍTULO IV – DA PROTEÇÃO, DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Art. 5º Para garantir as regras mencionadas neste documento, o ITUPEVA PREVIDÊNCIA poderá:

I - implantar sistemas de monitoramento e de controle de acesso nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;

II - tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou solicitação do superior hierárquico;

III - realizar, a qualquer tempo, inspeção física nos equipamentos de sua propriedade; e

IV - instalar sistemas de proteção, a exemplo de antivírus e firewall, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

Parágrafo Único. O ITUPEVA PREVIDÊNCIA deverá implementar ações visando a proteção dos dados pessoais armazenados em seu ambiente, em conformidade com a Lei Geral de Proteção de Dados Pessoais.

CAPÍTULO V - CORREIO ELETRÔNICO

Art. 6º O uso do correio eletrônico do ITUPEVA PREVIDÊNCIA é para fins corporativos e relacionados às atividades do colaborador usuário da Autarquia, sendo terminantemente proibido:

I - enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da Autarquia;

II - enviar mensagens por correio eletrônico usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

III - enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o ITUPEVA PREVIDÊNCIA vulneráveis a ações civis ou criminais;

IV - divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

V - falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas; e

VI - apagar mensagens pertinentes de correio eletrônico quando o ITUPEVA PREVIDÊNCIA estiver sujeito a algum tipo de investigação.

CAPÍTULO VI - INTERNET

Art. 7º Exige-se dos colaboradores comportamento ético e profissional com o uso da internet disponibilizada pelo ITUPEVA PREVIDÊNCIA.

Art. 8º Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade do ITUPEVA PREVIDÊNCIA, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

• 1º Qualquer informação acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria, tendo o ITUPEVA PREVIDÊNCIA, em total conformidade legal, o direito de monitorar e registrar todos os acessos a ela.
• 2º Qualquer alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo superior hierárquico.
• 3º O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a Autarquia cooperará ativamente com as autoridades competentes.
• 4º A ausência de bloqueio de sites e serviços na internet pelos mecanismos de proteção estabelecidos pelo ITUPEVA PREVIDÊNCIA não valida seu acesso, devendo ser observadas as restrições estabelecidas pela PSI, pelas regras do Estatuto do Servidor e outras regras aplicáveis ao exercício do cargo ou prestação de serviços.

Art. 9º Somente os colaboradores que estão devidamente autorizados a falar em nome do ITUPEVA PREVIDÊNCIA para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros.

Art. 10. Apenas os colaboradores autorizados pela Autarquia poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

Art. 11. Os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades no ITUPEVA PREVIDÊNCIA e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela Diretoria.

• 1º. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos.
• 2º. Os colaboradores não poderão em hipótese alguma utilizar os recursos do ITUPEVA PREVIDÊNCIA para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.

Art. 12. É proibido o acesso, exposição, armazenamento, distribuição, edição, impressão ou gravação por meio de qualquer recurso, de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.

Art. 13. Os colaboradores não poderão utilizar os recursos do RPPS para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

Art. 14. As regras aqui definidas se aplicam no uso de computadores e outros dispositivos de propriedade do ITUPEVA PREVIDÊNCIA, bem como a dispositivos particulares dos usuários que estiverem conectados à internet do ITUPEVA PREVIDÊNCIA (cabeada ou sem fio).

CAPÍTULO VII - COMPUTADORES E OUTROS DISPOSITIVOS

Art. 15. Os computadores disponibilizados pelo ITUPEVA PREVIDÊNCIA aos colaboradores, constituem instrumento de trabalho para execução das atividades de negócio do RPPS.

• 1º. Cada colaborador deve zelar para segurança e bom uso dos equipamentos, reportando à área competente qualquer incidente que tenha conhecimento.
• 2º. Em caso de mau uso, ou uso em desacordo com as instruções desta norma, o colaborador poderá ser responsabilizado.
• 3º. Os computadores deverão ser providos de aplicativos contra vírus e outras pragas virtuais que possam comprometer a segurança ou a integridade dos dados.
• 4º. Os computadores deverão ser instalados, sempre que possível, juntamente com nobreaks, evitando danos causados por oscilações na rede elétrica.

Art. 16. A rede de computadores do ITUPEVA PREVIDÊNCIA deverá ser protegida com:

I - Solução de segurança tipo “firewall”, que implemente regras e instruções para garantir que somente a recepção ou envio de dados autorizados sejam trafegados pela rede; e

II - Sistema de proteção para o acesso à internet (proxy), que implemente regras e instruções que impeçam o acesso a sites e recursos da internet que possam prejudicar a integridade ou a segurança da rede e dos dados armazenados.

Parágrafo único. Os sistemas operacionais dos computadores e servidores deverão ser mantidos atualizados e devidamente licenciados.

CAPÍTULO VIII - IDENTIFICAÇÃO E CONTROLE DE ACESSO

Art. 17. Para o acesso aos recursos tecnológicos do ITUPEVA PREVIDÊNCIA será exigido, sempre que possível, identificação e senha exclusiva de cada colaborador, permitindo assim o controle de acesso.

• 1º. É proibido o compartilhamento de login entre os colaboradores.
• 2º. Recomenda-se como boa prática de segurança que, ao realizar o primeiro acesso ao ambiente de rede local, o usuário seja direcionado a trocar imediatamente a sua senha.
• 3º. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
• 4º. Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.

Art. 18. Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.

Parágrafo único. É condição para acesso aos recursos de tecnologia da informação do RPPS a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas na PSI e normas complementares e correlatas.

CAPÍTULO IX – PROCEDIMENTOS DE CONTINGÊNCIA

Art. 19. Para garantir a segurança da informação, deverão ser realizadas cópias de segurança de:

I - Sistemas informatizados;

II – Bancos de dados utilizados pelos sistemas adotados no RPPS; e

III – Arquivos (documentos, planilhas, etc).

• 1º. As rotinas de cópia de segurança deverão, sempre que possível, ser realizadas de forma automatizada, em horários pré-definidos, devendo ainda ser realizadas verificações periódicas da sua execução e integridade.
• 2º. O armazenamento das cópias de segurança deverá ser planejado de forma que impeça o acesso a pessoas não autorizadas.
• 3º. O processo de realização de cópias de segurança deverá ser devidamente mapeado e manualizado.
• 4º. Nas contratações que contemplam serviços de armazenamento de dados, a empresa contratada deverá apresentar ao RPPS seu plano de backup / cópias de segurança.
• 5º. O departamento Administrativo é responsável pelos procedimentos de contingência.

CAPÍTULO X – DISPOSIÇÕES FINAIS

Art. 20. Na rede de computadores do ITUPEVA PREVIDÊNCIA, não é permitida instalação de programas sem aquisição da devida licença de uso.

Art. 21. As ações de segurança da informação devem ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação.

Art. 22. A Política de Segurança da Informação e suas atualizações, bem como normas complementares eventualmente editadas pelo ITUPEVA PREVIDÊNCIA, devem ser divulgadas amplamente a todos os Colaboradores, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

• 1º. Os colaboradores devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
• 2º. As ações de capacitação previstas no § 1º devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.

Art. 23. Todos os contratos de prestação de serviços firmados pelo ITUPEVA PREVIDÊNCIA conterão cláusula específica sobre a obrigatoriedade de atendimento à esta Política de Segurança da Informação, bem como a normas complementares e/ou correlatas.

Art. 24. Havendo descumprimento da presente Política de Segurança da Informação, poderão ser aplicadas as penalidades previstas no Estatuto dos Funcionários Públicos, no caso de servidor, ou no contrato de prestação de serviços, no caso de contratado.

Art. 25. Os casos omissos serão resolvidos pela Diretoria Executiva.

JULIANE BONAMIGO

Diretora Presidente

Itupeva Previdência

JULIANE BONAMIGO

Diretora Presidente do Itupeva Previdência

Publicada no Diário Oficial dos Municípios e registrada no Instituto de Previdência Social dos Servidores Municipais de Itupeva – Itupeva Previdência, aos dezessete dias do mês de abril de dois mil e dezoito.

KATTIA RODRIGUES DO MORAES

Diretora do Departamento Administrativo