Você tem seus serviços de IT fora da sua empresa? Precisa ter garantias contratuais para que não tenha problema de COMPLIANCE ou Ética Empresarial? Sim. E estes cuidados são fundamentais.
Os conceitos aqui descritos são genéricos e exemplificativos de como garantir sua ética e a Política de Informática. Lembre-se sempre. Um Programa de COMPLIANCE e os respectivos Códigos que o sustentam são específicos do seu negócio e qualquer regra de uso de recurso de Informática deve preferencialmente estar sustentada por aplicativos para este fim. O cuidado com o custo do gerenciamento é fundamental para o sucesso do programa de COMPLIANCE ou Ética Empresarial.
Seu contrato, além das cláusulas comerciais e de performance deve considerar (lista exemplificativa, depende do seu negócio e dos riscos associados):
· Divulgação. Caso queira proibir que o fornecedor indique sua empresa em uma lista pública de cliente e de referências, deixe isso por escrito e considere multas por não cumprimento específico deste item;
· Identificação única do usuário. O sistema precisa garantir a identificação única do usuário bem como a regra de senhas fortes e da periodicidade da troca. Além disto, garanta um log indicando usuário, data, hora, equipamento utilizado (endereço ip ou nome da máquina) e a informação “troca de senha”. A razão é simples. Muitas trocas de senha fora do período normal ou troca de senha em dia ou horário que não é normal ao trabalho do usuário indicam falhas e devem ser averiguados;
· Log de alteração de dados. Todos os dados incluídos, excluídos e alterados devem ser registrados em logs apropriados com a informação mínima de quem (userid[1]), o local (endereço IP ou nome da máquina), data e hora e o dado antes e depois do processo executado. Isto permite que no caso de uma auditoria legal por fraude, por exemplo, seja possível identificar o autor. Isto é necessário também para as trocas de senha ou mudança de perfil de acesso;
· Monitoramento. Se contratado considere que logs e avisos devem seguir uma cadeia de risco;
· Logs de acesso ao sistema. Registrar todas as vezes que um usuário acessa o sistema com userid, o local do acesso (endereço ip ou nome da máquina) e data e hora do acesso;
· Sigilo dos dados. Todos os dados devem ser considerados como sigilosos e o acesso aos mesmos deve prever uma cláusula específica de sigilo. Quem acessar o dado precisa ter em sua descrição de cargo ou em forma externa, uma cláusula de confidencialidade;
· Criptografia de dados. Alguns dados são mais sensíveis do que outros. Informações sobre preços, composições de produtos, fórmulas, acordos logísticos, dados pessoais de funcionários como telefone particular, endereço, nome do cônjuge e filhos, dentre outros, requerem cuidados adicionais. Criptografia dificulta o acesso ao dado puro no caso de um vazamento de informações;
· Comprometimento com o acesso aos dados de bancos de dados. O administrador do banco de dados possui ferramentas para acesso direto ao dado sem a necessidade de uma aplicação. Este(s) funcionário(s) deve ter um acordo de confidencialidade reforçado pois, pode ser o elo mais fraco da corrente de segurança da organização. Como pode inclusive apagar Logs ou registros de Logs a segurança está baseada na confiança estabelecida;
· Backups e archieves. Os processos de backup e archieve devem ser definidos em contrato com periodicidade de retenção, quantidade de cópias. Emails devem ser tratados de modo especial e com backup por no mínimo de 18 meses;
· Acesso à aplicativos de mídias sociais. Se não permitir o acesso de Youtube, Linkdin, Facebook e outros aplicativos do tipo defina a regra restritiva;
· Sistemas seguros. Por sistema seguro entenda desde o acesso ao dado, interno e externo bem como mecanismos de redundância em discos e dispositivos de rede além de nobreaks, cofres para dados em mídia externa e sites de contingência;
· Procedimento em caso de incidente de segurança. No caso de vazamento de informação, acesso indevido, perda de dados, indisponibilidade do site e outros defina qual a regra a ser utilizada bem como os tempos máximos de contorno e de solução dos problemas; Vazamento de dados devem ser tratados com rigor absoluto;
· Uso de licenças de Software do fornecedor. Se esta for a opção, garanta o atendimento do contrato junto aos fornecedores de software;
· Manutenção de hardware. As empresas utilizam manutenção de hardware através de contratos. Verifique sua validade e cumprimento. Dependendo do valor do contrato contate o fornecedor do serviço para verificar pagamentos ou problemas;
· Auditoria de processos. Só as regras escritas não garantem o cumprimento do contrato. Deixe registrado o seu direito de fazer uma auditoria nos processos contratados. Todos os tópicos descritos acima precisam de uma validação no momento da auditoria. Inclua multas e eventual rescisão do contrato em caso de descumprimento. Contrate um especialista para a validação da condição apresentada pelo fornecedor. Lembre-se de requerer o cumprimento de cláusulas de COMPLIANCE nos contratos dos fornecedores do seu fornecedor. Uma cadeia de suprimentos segura é benéfica para todos.
No próximo post veremos como se processa um pedido judicial de identificação de um usuário na rede.
Quer saber mais sobre COMPLIANCE ou ÉTICA EMPRESARIAL visite meu site www.victormachadoadv.com ou por e-mail victor.machado@victormachadoadv.com
Victor Machado Advocacia
Av. Rudolf Dafferner, 400, Cep 18085-005, Sorocaba, SP
Tel (15)998330765
www.victormachadoadv.com www.compliance.sorocaba.br
[1] Userid – Identificação do usuário na rede. É a forma que se identifica de maneira única, cada usuário no sistema.
