Este é o segundo post sobre o tema COMPLIANCE e IT. O primeiro foi publicado aqui.

Hoje veremos os aspectos relevantes quando a operação de IT possui ativos administrados na própria organização e como os definir dentro do Código de Ética e Conduta visando o atendimento das regras para os usuários.

Inicialmente preciso reafirmar que uma POLÍTICA DE COMPLIANCE e seus códigos que detalham a política (como o Código de Ética e Conduta) são desenvolvidos conforme a realidade da empresa e que precisam ser revistos sempre que uma mudança na organização aconteça. Não existe uma POLÍTICA DE COMPLIANCE ou seus códigos disponíveis numa prateleira pois, uma POLÍTICA DE COMPLIANCE precisa abraçar todos os VALORES da Organização (aqui).

Vamos identificar alguns tópicos relevantes para a definição de regras de IT de uma operação com ativos internos, dentro de um Código de Ética e Conduta ou uma Política de Informática. Os exemplos abaixo consideram que as práticas descritas são proibidas. Considere como USUÁRIO todo e qualquer funcionário, terceiro, visitante e estagiário que utiliza os recursos de informática da empresa. Considere estes pontos no seu código:

· Que cada usuário do sistema possui uma identificação (userid) e uma senha de uso exclusivo, que deverá ser mudada a cada 4 meses, sem repetição, com regra de formação com necessidade de letras maiúsculas, minúsculas, caracteres especiais e números, com tamanho mínimo de 8 caracteres.

· Que a combinação USUÁRIO e SENHA identifica de forma única um usuário na rede da empresa e que o seu compartilhamento implica em fraude;

· Que o acesso ao sistema é registrado com base em usuário e senha e que toda mudança de dado (inclusão, exclusão e alteração) será registrada;

· Que a empresa é proprietária dos recursos incluindo todo e qualquer tipo de informação e que seu uso é exclusivo da empresa e para as atividades lá executadas;

· Que os endereços de e-mail com a extensão @nomedaempresa são para uso exclusivo da empresa e que podem ser monitorados em seu conteúdo[1];

· Que o uso de celulares e aparelhos de multimídia não é permitido no interior da empresa;

· Que a intranet é de uso exclusivo da empresa, não podendo ser utilizadas para uso pessoal e /ou particular;

· Que os arquivos baixados, gravados e ou criados nos servidores ou equipamentos pessoais são de propriedade da empresa e que serão monitorados;

· Que a empresa possui antivírus, antispyware e outros mecanismos para garantir a segurança dos dados e que a atualização destes softwares é monitorada;

· Que as impressoras, links de acesso e outros recursos de hardware são monitorados e que o seu uso é exclusivo para as atividades descritas nas atividades dos funcionários, terceiros e estagiários;

· Que o uso de dispositivos como pen drive é restrita e deve obrigatoriamente ser autorizado o seu uso;

· Que a troca de informação digital entre a empresa e seus clientes ou fornecedores deve seguir as regras descritas em seus contratos[2];

· Que o uso de chat, redes sociais e sites de reprodução de arquivos de vídeo, filmes, séries, desenhos, vinhetas, propagandas/ comerciais, etc., exemplos: MSN, ICQ, Skype, Whatsapp Facebook, Twitter, Orkut, Myspace, Youtube, Netflix e/ou qualquer outro tipo de site, com o mesmo conteúdo, estão proibidos;

· Que para o uso pessoal, fora da empresa, de mídias sociais, deverá ser observada as regras descritas no manual de mídias sociais[3];

· Que todos os acessos à internet[4], navegações em sites, e-mail’s, chat’s, intranet, redes sociais, Whatsapp, enfim, tudo que se diz respeito à internet, são monitoradas pela empresa e não poderá, em hipótese alguma, ser imputado ou sequer aventado, como invasão de privacidade;

· Que as páginas empresariais da empresa nas mídias sociais não devem ser respondidas pelos funcionários ou estagiários da empresa visto que existe um departamento responsável por esse processo;

· Que os funcionários e estagiários não devem entrar em discussões envolvendo a empresa nas mídias sociais;

· Que as mídias sociais são monitoradas e são utilizadas nas avaliações de funcionários e no momento de admissão;

· Que as regras de etiqueta[5] para e-mails internos e externos são seguidas;

· Que a empresa possui licenças para uso de determinados softwares, provenientes de diversos fornecedores e que a cópia ou a instalação de software não oficial é proibida, respeitando as regras de COPYRIGHT;

· Que os usuários utilizarão os softwares disponíveis apenas de acordo com os contratos de licença de uso;

· Que os usuários que tomarem conhecimento de qualquer irregularidade ou ilegalidade de algum uso inadequado de softwares ou de sua respectiva documentação, independentemente deste uso se dar dentro ou fora empresa, deverão imediatamente notificar seu superior imediato e/ou a direção da empresa;

· E finalmente, que os empregados, estagiários ou terceiros que utilizam recursos de IT da organização que deixam de seguir os preceitos são inteiramente responsáveis pela reparação dos danos resultantes de tais atos, quer no âmbito jurídico, quer no âmbito financeiro e, quando empregados ou estagiários estarão também sujeitos às demais penalidades previstas em lei, inclusive e especialmente à rescisão do contrato de trabalho por justa causa, com base no artigo 482 da CLT.

No próximo post veremos alguns tópicos que podem fazer parte do seu Código de Ética e Conduta específicas para as atividades internas de sua área de IT.

Quer saber mais sobre COMPLIANCE ou ÉTICA EMPRESARIAL visite meu site www.victormachadoadv.com ou por e-mail victor.machado@victormachadoadv.com

[1] Se você utiliza cópia obrigatória em todos os e-mails recebidos e enviados ao seu domínio @nomedaempresa, deixe claro que esta atividade é executada.

[2] Regras de troca de dados devem ser definidas. Dentre elas qual a criptografia, tipo de documento (extensão), tamanhos, servidores de FTP ou de troca de arquivos dentre outros.

[3] Manual de Mídias Sociais descreve os comportamentos pessoais dos funcionários e estagiários quando utilizam este meio de comunicação e contato. Cuidados ao escrever, privacidade, divulgação de informações confidenciais, reforçar que as mensagens nas mídias sociais são difíceis de serem removidas, o risco de comportamentos que impactem o futuro do funcionário ou estagiário, os riscos de segurança que se corre, que o comportamento nas mídias sociais podem e normalmente são verificados por empregadores e futuros empregadores, que dados devem ser omitidos, fotos comprometedoras, o que a empresa sugere que seja divulgado, o cuidado com os posts, dentre outros

[4] Considere que os registros de acesso devem ser armazenados por 12 meses visto que quem fornece acesso à internet é assemelhado ao provedor de acesso da Lei da Internet (Lei 12.965/14 ).

[5] Regra de etiqueta indica por exemplo como deve ser utilizada a cópia, cópia oculta, utilizar corretor ortográfico, “dia sem e-mail interno”, formas de organizar os assuntos e outros que sejam relevantes ao negócio