SGSI

Política de Segurança da Informação Rede SciELO

image-1629211350090.pngPolítica de Segurança da Informação Rede SciELO

Esta política se aplica a todos os usuários (funcionários, prestadores de serviços e estagiários) que utilizam a informação das instituições membro da Rede SciELO.

  1. A informação é um bem para as instituições e deve ser protegida.
  2. Somente pessoas autorizadas pelo Gestor da informação podem acessar a informação.
  3. Toda informação deverá ser classificada em relação ao seu grau de sigilo.
  4. O processo  de Segurança da Informação é de responsabilidade do Gestor da Segurança da Informação.
  5. Os usuários acessarão as informações das Instituições membro da Rede SciELO apenas para o desempenho das suas atividades profissionais.
  6. A instituição membro da Rede SciELO utilizará apenas recursos de informação adequadamente legalizados e em conformidade com as leis e demais normativos que a instituição é obrigada a seguir.
  7. A instituição membro da Rede SciELO desenvolverá, implantará e manterá planos de continuidade de negócio que devem proteger contra situações de indisponibilidade de recursos, ambientes e pessoas.
  8. O acesso à informação pelo usuário é individual. A forma de autenticação deve ser adequada à criticidade e ao grau de sigilo da informação.
  9. O usuário será treinado periodicamente em segurança da informação para sempre estar ciente das suas responsabilidades.
  10. É obrigação de cada usuário cumprir esta política e os demais regulamentos de segurança da informação, sob pena de sofrer sanções administrativas ou contratuais.

 

 

REPORTAR INCIDENTE DE SEGURANÇA

HOME

PERGUNTAS FREQUENTES:

O que é um incidente de segurança da informação?

Um incidente de segurança é um evento de segurança ou um conjunto deles, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação da Política de Segurança da Informação.

São exemplos de incidentes de segurança da informação: furto de equipamentos que contenham informações institucionais, vazamento de informações não públicas (considerar que esta propriedade pode variar durante o ciclo de vida da informação), e-mails enviados sem autorização do remetente a partir do e-mail institucional (@scielo.org), e-mails suspeitos não classificados como SPAM que principalmente tenham por finalidade coletar informações pessoais, comprometimento da integridade da informação, perda de informações institucionais, etc.

Por que devo reportar incidentes?

Reportar incidentes de segurança desempenha um papel importante na segurança da informação dentro do SciELO, bem como na segurança da Internet de modo geral. Quanto mais se sabe sobre os principais incidentes, melhor será a compreensão sobre as ameaças existentes. Isso aumenta a capacidade de responder a casos futuros e fortalece os planos e procedimentos de contingência do SciELO, nos auxiliando na análise dos riscos de segurança oferecendo dados para o estabelecimento dos projetos em torno do assunto. Em outras palavras, a notificação de incidentes permite gerar estatísticas, correlacionar dados e identificar tendências que ajudarão a elaborar recomendações e materiais de apoio, a orientar campanhas para adoção de boas práticas e a estabelecer ações em cooperação.

Para quem devo notificar os incidentes ocorridos no SciELO?

É possível reportar um incidente de segurança no SciELO enviando um e-mail para helpdesk@scielo.org, ou utilizando o Suporte SciELO.

Um incidente de segurança da informação está sempre relacionado à TI?

Não. No entanto, como há um grande volume de informações armazenadas em meio eletrônico, boa parte dos incidentes de segurança reportados estão relacionados aos serviços e soluções de tecnologia da informação.

Quais informações devo incluir em uma notificação de incidentes?

A ideia principal que deve-se ter em mente é a coleta e o armazenamento de evidências. Para que os responsáveis pela rede de onde partiu o incidente possam identificar a origem da atividade é necessário que a notificação contenha dados que permitam esta identificação.

São dados essenciais a serem incluídos em uma notificação:

Observa-se que para cada tipo de incidente existem informações específicas que podem ser coletadas. Estes detalhes serão apresentados ao usuário no momento que selecionar a categoria do incidente a ser reportado no Suporte SciELO.

Onde posso encontrar outras informações a respeito de notificações de incidentes?

O CERT.br mantém uma FAQ (Frequently Asked Questions) com respostas para as dúvidas mais comuns relativas ao processo de notificação de incidentes. A FAQ pode ser encontrada em: http://www.cert.br/docs/faq1.html.

CARTILHAS DE SEGURANÇA DA INFORMAÇÃO

HOME
CARTILHA DE SEGURANÇA DA INTERNET
FASCÍCULO BACKUP
FASCÍCULO CÓDIGOS MALICIOSOS
FASCÍCULO SENHAS
FASCÍCULO INTERNET BANKING
FASCÍCULO DISPOSITIVOS MÓVEIS
FASCÍCULO PRIVACIDADE


REFERÊNCIA

https://cartilha.cert.br/cc/

https://cartilha.cert.br/


CONTATO DE AUTORIDADES E GRUPOS DE SEGURANÇA DA INFORMAÇÃO

HOME

AUTORIDADES

ANPD

A Autoridade Nacional de Proteção de Dados é uma autarquia federal de natureza especial do Brasil que, atualmente, se encontra vinculada ao Ministério da Justiça e Segurança Pública e possui atribuições relacionadas a proteção de dados pessoais e da privacidade e, sobretudo, deve realizar a fiscalização do cumprimento da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Comunicar incidentes relacionados a proteção de dados: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis

CERT.BR

O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo responsável por receber, analisar e responder a incidentes de segurança em computadores, envolvendo redes conectadas à Internet brasileira. Contato: https://www.cert.br/contato/

GRUPO DE DISCUSSÃO

CERT.BR

O forúm do cert.br tem como objetivo divulgar informações sobre eventos, treinamentos e informação sobre segurança da informação.

certbr-anuncios@listas.cert.br

RHSA-announce Digest

O forúm do RHSA tem como objetivo informar as vulnerabilidades encontradas nos produtos da Red Hat.

rhsa-announce@redhat.com

Red Hat Security Advisory

Site da Red Hat onde é possível consultar todas as CVEs encontradas nos produtos da Red Hat.

https://access.redhat.com/errata-search/#/

CVE

Site onde é possível consultar a base de dados CVE.

https://www.cve.org

https://www.cvedetails.com





PLANOS

Portal do Sistema de Gestão de Segurança da Informação do SciELO

 Apoio Operacional Quem Somos Governança SGSI LGPD Glossário



image.png

Sobre Nós

O SciELO é uma biblioteca eletrônica que abrange um acervo selecionado de revistas científicas brasileiras. A biblioteca faz parte de um projeto que está sendo desenvolvido pela FAPESP – Fundação de Amparo à Pesquisa do Estado de São Paulo, em parceria com o BIREME – Centro Latino-Americano e Caribenho de Informação em Ciências da Saúde.

Desde 2002, o Projeto também conta com o apoio do CNPq – Conselho Nacional de Desenvolvimento Científico e Tecnológico.

O Projeto prevê o desenvolvimento de uma metodologia comum para a elaboração, armazenamento, divulgação e avaliação da literatura científica em formato eletrônico.


Missão

Missão

Desenvolver capacidades e infraestruturas de comunicação científica em Ciência Aberta em prol do aperfeiçoamento, visibilidade, uso e impacto das pesquisas comunicadas pelo Programa SciELO por meio de artigos de periódicos, livros, preprints e dados de pesquisa.

Visão

Visão

Ser líder em ciência aberta em prol de equidade social.

Valores

Valores

Organograma

Organograma

Estrutura hierárquica da empresa, que representa simultaneamente os diferentes elementos do grupo e as suas ligações.

Glossário SGSI

 Apoio Operacional Quem Somos Governança SGSI LGPD Glossário

Lista de termos com definições, utilizados no portal e na LGPD.

Ação corretiva

Ação para eliminar a causa de uma não-conformidade identificada ou outra situação indesejável e prevenir a repetição.

Ataque

Tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso a um ativo ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo.

Autenticidade

Propriedade que uma entidade é o que ela alega ser.

Autenticação

Provisão de garantia de que uma característica alegada de uma entidade está correta.

Auditoria

Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos.

Ativos

Bens tangíveis e intangíveis que têm valor para a organização.

Ativo da Informação

Qualquer dado, informação ou conhecimento a que esteja associado um valor para o negócio do SciELO/FAPUNIFESP. São também ativos de informação os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e os recursos humanos que a eles têm acesso.

Atividade Crítica

Atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade de tal forma que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo.

Atividade

Ação ou conjunto de ações executados por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços.

Ataque de Força Bruta

Em criptografia, um ataque de força bruta, ou busca exaustiva de chave, é um ataque criptoanalítico que pode, em teoria, ser usado contra quaisquer dados criptografados. (WIKIPÉDIA)

Acesso Remoto

Acesso ao ambiente computacional do SciELO/FAPUNIFESP por meio de uma rede de comunicações privada, utilizando a internet como meio, conforme norma específica.

Armazenamento Remoto

Serviço de armazenamento e sincronização de arquivos . Exemplo: Google Drive.

Anti-Malware

Ferramenta de detecção que procura anular ou remover os códigos maliciosos de um computador.

ANS (Acordo de Nível de Serviço)

É o compromisso assumido pelo prestador de serviços de TI perante os usuários. Diz respeito à definição de prazo, norma de conduta e escopo dos serviços. É o mesmo que SLA (Service Level Agreement) na tradução para o português.

Análise de Impacto de Privacidade (PIA)

Processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de risco da organização.

Análise Crítica

Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado para alcançar os objetivos estabelecidos.

Ameaças

Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.

Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente identificadas. 

Ambiente Tecnológico

É formado pelos conhecimentos e informações relativos aos processos e produtos de seu ramo de negócios e pelas organizações que o produz. As organizações utilizam alguma forma de tecnologia para executar suas operações e realizar suas tarefas. [WIKIPÉDIA].

Ambiente Operacional

Local, físico ou virtual, em que são realizados os procedimentos necessários à operacionalização dos processos de uma unidade.

Alta Direção

Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.

Antivírus

Ferramenta desenvolvida para detectar, anular e eliminar de um computador vírus e outros tipos de códigos maliciosos.

Banco de Dados de Erros Conhecidos

Um banco de dados que contém todos os registros de erros conhecidos.

Broken Authentication

A autenticação é “quebrada” quando os invasores conseguem comprometer senhas, chaves ou tokens de sessão, informações de contas de usuários e outros detalhes para assumir identidades de usuários. Devido ao design e implementação inadequados de controles de identidade e acesso, a prevalência de autenticação quebrada é generalizada.

BIA – Business Impact Analysis – Análise de Impacto nos Negócios

Processo de analisar o impacto de uma disrupção na organização ao longo do tempo os processos / atividades e os efeitos que uma disrupção de negócio pode ter sobre elas.

Backup Incremental

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup realizado.

Backup ou cópia de segurança

Conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada.

Cópias de segurança dos dados de um dispositivo ou local de armazenamento para outro. Tornando o dado redundante.

Backup Off-Site

Estratégia de backup que abrange a replicação de dados do backup em um local geograficamente separado do local dos sistemas de produção.

Backup Diferencial

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup completo são copiados.

Backup Completo

Modalidade de backup na qual todos os dados são copiados integralmente.

Conformidade

Atendimento a um requisito.

Cross-Site Scripting

Cross-site scripting é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro de páginas web vistas por outros usuários. (WIKIPÉDIA)

Crise

Qualquer evento ou situação que representa uma ameaça significativa à integridade física das pessoas, à missão, operação e aos recursos da instituição.

Controle de Acesso

Significa assegurar que o acesso físico e lógico aos ativos seja autorizado e restrito com base em requisitos de negócio e de segurança da informação.

Continuidade de Negócios

Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido.

Controle

Medida que mantém e/ou modifica o risco.

Confidencialidade

Propriedade de que a informação não esteja disponível ou revelada a indivíduos, sistemas, órgãos, entidades ou processos não autorizados nem credenciados.

Competência

Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.

Colaborador

Funcionário celetista, estagiário e aprendiz.

Cifrador Assimétrico

Criptografia de chave pública, também conhecida como criptografia assimétrica, é qualquer sistema criptográfico que usa pares de chaves: chaves públicas, que podem ser amplamente disseminadas, e chaves privadas que são conhecidas apenas pelo proprietário. (WIKIPÉDIA)

Certificado Digital

É uma identidade digital de pessoa física e jurídica no meio eletrônico. Ele garante autenticidade, confidencialidade, integridade e não repúdio nas operações que são realizadas por meio dele, atribuindo validade jurídica.

Canal de Comunicação

Em comunicação, canal designa o meio usado para transportar uma mensagem do emissor ao receptor. (WIKIPEDIA)

Cage

É uma gaiola que subdivide áreas dentro do Datacenter com o objetivo de prover um nível de segurança.

Disponibilidade

Propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.

Duplo Fator de Autenticação

É uma camada extra de segurança na conta, que tem como objetivo confirmar a identidade do usuário. Ao ativar a verificação em duas etapas, o usuário precisa fornecer uma segunda informação após inserir login e senha, e só então terá acesso à conta.

Disrupção

Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

Dispositivo Endpoint do Usuário

Dispositivo endpoint usado pelos usuários para acessar serviços de tratamento de informação.

Dispositivo Endpoint

Dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede.

Danos

São as consequências de um incidente. Os danos podem ser diretos ou indiretos.

Descontinuidade

Falta de continuidade, descontínuo, cronológica ou fisicamente. Interrupção, falta de contiguidade.

Datacenter (DC)

É um local onde estão concentrados os sistemas computacionais do SciELO/FAPUNIFESP, como um sistema de telecomunicações e sistema de armazenamento de dados, além do fornecimento de energia para a instalação.

Data Definition Language (DDL)

É uma linguagem de computador usada para a definição de estruturas de dados. O termo foi inicialmente introduzido em relação ao modelo de banco de dados Codasyl, onde o esquema de banco de dados era escrito em uma Linguagem de Definição de Dados descrevendo os registros, campos e “conjuntos” que constituíam o Modelo de dados do usuário. Inicialmente referia-se a um subconjunto da SQL, mas hoje é usada em um sentido genérico para referir-se a qualquer linguagem formal para descrição de estruturas de dados ou informação, assim como esquemas. (WIKIPÉDIA)

Dados Pessoais (DP)

Qualquer informação que possa ser usada para identificar a pessoa natural à qual tal informação se relaciona ou pode ser direta ou indiretamente vinculada a uma pessoa natural.

Desastre

Evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, causando perda para toda ou parte da organização e gerando sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação.

Estratégia de Continuidade de Negócios

Abordagem de um órgão ou entidade que garante a recuperação dos ativos da informação e a continuidade dos processos críticos ao se confrontar com um desastre, uma disrupção ou com outro incidente maior.

Evento de Segurança da Informação

Ocorrência indicando uma possível violação de segurança da informação ou falha de controles.

Evento

Qualquer ocorrência detectável que tenha importância para a gestão dos serviços de TI, podendo indicar alguma operação anormal do serviço.

Equipe de Backup

Equipe técnica responsável pelos procedimentos de configuração, execução, monitoramento e testes de backup e restauração.

Erro Conhecido

Um problema que possui causa raiz e solução de contorno documentadas.

Empregado Chave

Empregado previamente designado para execução dos processos/atividades críticas.

Endomarketing

Ações de marketing voltadas exclusivamente aos colaboradores.

Função Hash

É um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. Os valores retornados por uma função hash são chamados valores hash, códigos hash, somas hash (hash sums), checksums ou simplesmente hashes. (WIKIPÉDIA)

Fornecedor Crítico

Entidade ou grupo de entidades provedoras de recursos críticos e cujo encerramento das operações pode ameaçar a existência da organização.

Filtro Antispam

Ferramenta que permite separar e-mails de acordo com regras pré-definidas. Utilizado tanto para o gerenciamento das caixas postais como para a seleção de e-mails válidos dentre os diversos spams recebidos.

Firewall

Dispositivo de segurança usado para dividir e controlar o acesso entre redes de computadores.

Ferramenta de Gerenciamento de Senha

Basicamente, o gerenciamento de senhas é um sistema capaz de memorizar a sua senha e preencher automaticamente suas informações de login. Além disso, algumas dessas ferramentas são capazes de gerar senhas mais complexas e salvá-las, o que garante a segurança dos seus dados e acessos. (CANALTECH)

Ferramenta de Gerenciamento de Backup

Software usado para gerenciar as cópias de dados e máquinas virtuais, apoiado no princípio de integridade.

Gestão de Crise

Processo no qual são gerenciadas as situações de crise, onde são necessárias tomadas de decisões urgentes e coordenadas, com vistas à proteção de pessoas e à redução dos possíveis impactos financeiros, operacionais e de imagem.

Gestão de Incidentes de Segurança da Informação

Exercício de uma abordagem consistente e eficaz para o manuseio de incidentes de segurança da informação.

Grupos Funcionais

Grupos estruturados em níveis hierárquicos, compostos por empregados com responsabilidades específicas, para atuação em situações de crise.

Gestão de Continuidade de Negócios

Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado.

Hardening

Processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de tornar a empresa preparada para enfrentar tentativas de ataque.

Informação Documentada

Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.

Integridade

Propriedade de salvaguarda da exatidão e completeza dos ativos.

Infraestrutura Crítica de Informação

Sistemas de TIC que suportam ativos e serviços chaves da Infraestrutura Crítica.

Infraestrutura Crítica

Instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança.

Informação Sensível

Informação que precisa ser protegida contra indisponibilidade, acesso, modificação ou divulgação pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança nacional ou segurança pública.

Incidente de Segurança da Informação e Privacidade

Um ou mais eventos de segurança da informação e privacidade indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Informação Confidencial

Informação que não se destina a ser disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.

Incidente de Segurança

Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Incidente

Evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

Segundo ITIL, é uma interrupção não planejada de um serviço em TI ou a redução de sua qualidade. Qualquer evento que cause ou possa causar uma interrupção ou uma redução da qualidade do serviço de TI prestado é considerado um incidente.

Impacto

Resultado que um determinado evento pode provocar na organização, nos requisitos de avaliação de confidencialidade, integridade e disponibilidade.

Mudança adversa no nível obtido dos objetivos do negócio.

Identidade de Acesso

É o conjunto de atributos que caracterizam alguma pessoa ou coisa, ou seja, é a soma de caracteres que individualizam uma pessoa, distinguindo-a das demais.

Informação

Dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.

Melhoria Contínua

Atividade recorrente para melhorar o desempenho.

Método Criptográfico

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação. Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta). (EVALTEC)

Microsoft Active Directory

É uma implementação de serviço de diretório que armazena informação sobre objetos em rede de computadores e disponibiliza essa informação a usuários e administradores desta rede.

Mitigação

Limitação das consequências negativas de um determinado evento.

Normas da Familia ISO IEC 27000

As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos necessários para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança, controles e gerenciamento de risco.

Normas

São documentos estabelecidos por consenso e aprovado que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.

Não Repúdio

Capacidade de comprovar a ocorrência de um evento ou ação declarada e sua entidades originárias.

Não Conformidade

Não atendimento a um requisito.

Operação Normal do Serviço

A operação de serviço está dentro dos limites de qualidade estabelecidos.

Operador de DP

Parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em benefício e de acordo com as instruções de um controlador de DP.

PRD – Plano de Recuperação de Desastres

Documento que relaciona os componentes da estratégia de recuperação de desastre.

Protocolo Stateless

Em computação, um protocolo sem estado é um protocolo de comunicação que considera cada requisição como uma transação independente que não está relacionada a qualquer requisição anterior, de forma que a comunicação consista de pares de requisição e resposta independentes. Exemplo: HTTP e IP. (WIKIPÉDIA)

Protocolo de Rede

São regras definidas e precisas de como algo deve acontecer. Protocolo de rede, são portanto, o conjunto de regras de como as coisas devem acontecer na rede.

Processos Críticos

Conjunto de processos priorizados pela Alta Administração, cuja urgência é determinada de forma a evitar impactos inaceitáveis aos negócios, durante uma disrupção.

Processo

Conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido.

Procedimento

Modo especificado de realizar uma atividade ou um processo.

Problema

A causa raiz de um ou mais incidentes.

Probabilidade

Consiste na medição de o quão provável é a ocorrência do risco.

Prepared Statements

Em sistemas de gerenciamento de banco de dados, uma instrução preparada, instrução parametrizada ou consulta parametrizada é um recurso usado para pré-compilar o código SQL, separando-o dos dados. Os benefícios das declarações preparadas são: eficiência, porque eles podem ser usados repetidamente sem recompilar. (WIKIPÉDIA)

PCTIC – Programa de Continuidade de TIC

Diretrizes, estratégias, processos, normas e documentos dedicados à manutenção dos serviços / sistemas de TIC que suportam os processos críticos do SciELO/FAPUNIFESP.

Política Específica por Tema

Intenções e direção sobre um assunto ou tema específico, como formalmente expressos pelo nível apropriado de gestão.

Política

Intenções e direção de uma organização, expressa formalmente por sua Alta Direção.

Phishing

Tática de enganar as pessoas com o objetivo de obter informações pessoais como números de conta, senhas de acesso, de cartões, são os mais comuns.

PGC – Plano de Gestão de Crise

Documento que contém informações e procedimentos que preparam e orientam todas as unidades ou um conjunto de unidades do SciELO/FAPUNIFESP no enfrentamento de uma crise.

Pessoal

Pessoas que executam atividades sob a direção da organização.

PCOTIC – Plano de Continuidade Operacional de Tecnologia da Informação e Comunicação

Planos e procedimentos relacionados à recuperação de ativos de infraestrutura de TI que suportam os processos / atividades e serviços / sistemas críticos de TIC.

PCO – Plano de Continuidade Operacional

Documentação dos procedimentos e informações necessários à manutenção dos processos críticos, que descreve de forma detalhada os procedimentos e atividades de resposta, comunicação, proteção das pessoas e redução de danos, no caso de uma disrupção. Busca eliminar a lacuna entre o prazo para restauração ou substituição do componente cuja falha acionou o plano e a retomada do processo de negócio afetado.

PCN SciELO/FAPUNIFESP – Programa de Continuidade de Negócios do SciELO/FAPUNIFESP

Processo contínuo de gestão e governança suportado pela alta direção e que recebe recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de continuidade viáveis e garantir a continuidade de fornecimento de produtos e serviços por intermédio de análises críticas, testes, treinamentos e manutenção.

Partes Interessadas (Stakeholder)

Pessoas ou organização interessada que pode afetar, ser afetada ou percebe-se afetada por uma decisão ou atividade.

Parceiro

Empresa comercial que nos dá suporte às operações.

QR Code

É um código de barras, ou barrametrico, bidimensional, que pode ser facilmente escaneado usando a maioria dos telefones celulares equipados com câmera. [WIKIPÉDIA]

Retenção

Período de tempo em que o conteúdo da mídia de backup deve ser preservado.

RTO – Recovery Time Objective – Tempo Objetivo de Recuperação

Período após um incidente em que o produto ou serviço ou o processo / atividade deve ser retomada, ou os recursos devem ser recuperados.

Diz respeito à quantidade de tempo que as operações levam para estarem acessíveis, após uma indisponibilidade.

RPO – Recovery Point Objective – Ponto Objetivo de Recuperação

Ponto em que a informação usada por um processo / atividade deve ser restaurada para permitir a operação da atividade na retomada. Também pode ser referido como “perda máxima de dados”.

Diz respeito à quantidade de informação que é tolerável perder, no caso de indisponibilidade nos serviços.

Risco Residual

Risco remanescente após o tratamento do risco.

Risco de Segurança da Informação e Privacidade

Potencial de que ameaças possam explorar vulnerabilidades de um ativo da informação ou grupo de ativos de informação, causando assim dano para a organização.

Recuperação de Desastre

Estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica.

Responsável pelo Serviço

Colaborador da Infraestrutura de TI e/ou Desenvolvimento de Sistemas responsável pela operação de determinados serviços ou recursos computacionais do SciELO.

Requisitos

Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.

Recursos

Todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos), locais, suprimentos e informação (eletrônica ou não) que uma organização deve ter disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos.

Recurso Crítico

Produto e/ou serviço obtidos de fornecedor crítico que, se indisponível, causará disrupção nos processos críticos da organização, ameaçando sua existência.

Resiliência

Capacidade de uma organização ou de uma infraestrutura de resistir aos efeitos de um incidente, ataque ou desastre e retornar à normalidade de operações.

Sistema de Gestão de Segurança da Informação

É um sistema de gestão corporativo/institucional (não necessariamente um sistema automatizado) voltado para a Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade, Disponibilidade e Autenticidade. O SGSI é composto por estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

Suporte

Grupo de suporte envolvidos na resolução de incidentes e investigação de problemas.

Storage

Hardware que contém um conjunto de discos com componentes altamente redundantes onde é armazenado os dados com segurança.

SQL

Structured Query Language, ou Linguagem de Consulta Estruturada ou SQL, é a linguagem de pesquisa declarativa padrão para banco de dados relacional. Muitas das características originais do SQL foram inspiradas na álgebra relacional. (WIKIPÉDIA)

Spam

Palavra comumente utilizada para se referir aos e-mails não solicitados, que normalmente são enviados em larga escala.

Sistema Eletrônico de Acesso

A principal função é liberar ou bloquear, automaticamente, a entrada de pessoas a um determinado ambiente. Fazendo uso de leitura biométrica por impressão digital ou reconhecimento facial. Uma fechadura eletrônica é um exemplo de sistema eletrônico de acesso.

SQL Injection

Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que trabalham com bases de dados realizando ataques com comandos SQL; onde o atacante consegue inserir uma instrução SQL personalizada e indevida através da entrada de dados de uma aplicação, como formulários ou URL de uma aplicação online. (WIKIPÉDIA)

Sistema de Informação

Conjunto de aplicações, serviços, ativos de tecnologia da informação ou outros componentes de manuseio da informação.

Sistema de Controle de Versão

Um sistema de controle de versões, é um software que tem a finalidade de gerenciar diferentes versões no desenvolvimento de um documento qualquer. Exemplo: GIT. (WIKIPÉDIA)

Serviço de Backup

Todo ativo que possui informações ou dados e foi incluído nos serviços de backup em conformidade com as regras de inclusão.

Serviço Crítico de TIC

Serviço de TIC que suporta um ou mais processos críticos.

Segurança da Informação e Privacidade

Preservação da confidencialidade, integridade e disponibilidade da informação.

Salt

Em criptografia, salt é um dado aleatório que é usado como uma entrada adicional para uma função unidirecional que “quebra” os dados, uma senha ou frase-passe. Os salts são usados para proteger as senhas no armazenamento.(WIKIPÉDIA)

Sala de Infraestrutura

É uma sala localizada na matriz onde fica concentrado os sistemas computacionais de Recuperação e Desastre do SciELO/FAPUNIFESP.

Tratamento do Risco

Processo para modificar um risco.

Tratamento

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Trabalho Remoto

É uma das categorias dos novos modelos de trabalho, abrangida no conceito legal de Teletrabalho, e permite que o colaborador exerça de forma autônoma, em ambiente externo, suas atividades com registro de ponto on-line.

Titular de DP

Pessoa natural a quem se referem os dados pessoais (DP)

Token

É um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que é capaz de realizar as mesmas tarefas do token. [WIKIPÉDIA]

Teste Funcional

Atividades projetadas para examinar a capacidade da organização para responder, recuperar, e continuar eficazmente a executar funções, pelas áreas de negócio, atribuídas quando confrontados com cenários de disrupção específicos. Os exercícios e os resultados são documentados para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios. Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los. São normatizados em PCO.

Teletrabalho / Trabalho Remoto

Prestação de serviços preponderantemente fora das dependências do SciELO/FAPUNIFESP, com a utilização de tecnologias de informação e de comunicação.

Tarefa Automatizada

É uma etapa que consiste em identificar tarefas repetitivas, que poderiam ser realizadas sem a intervenção humana, e substituí-las por softwares, aplicativos e interfaces, trazendo mais assertividade, eficiência e controle aos processos.

Unidade de origem

Ambiente normal, regular de trabalho de unidade gestora do PCO.

Usuário

Funcionário celetista, prestador de serviço, estagiário, aprendiz ou parceiro, autorizado a acessar os ativos de informação do SciELO/FAPUNIFESP para desempenho de suas atribuições.

Violação De Segurança Da Informação

Comprometimento de segurança da informação que leva à destruição indesejada, perda, alteração, divulgação ou acesso a informações protegidas transmitidas, armazenadas ou tratadas de diversas formas.

VPN (Virtual Private Network)

Rede virtual privativa implementada sobre redes públicas, como a Internet, que utiliza mecanismos de criptografia que garantem o sigilo e a integridade da informação trafegada.

Vulnerabilidade

Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.

Falhas, fraquezas na segurança que podem ser exploradas por uma ou mais ameaças para obter acesso não autorizado a um ativo.

Lei Geral de Proteção de Dados - LGPD

 Apoio Operacional Quem Somos Governança SGSI LGPD Glossário


image.png

A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados. As novas medidas englobam documentos em formato digital e também no papel. Entrou em vigência em setembro de 2020.

A LGPD foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores.

Para saber mais sobre a LGPD, acesse as perguntas abaixo:

Qual a aplicação e objetivos da LGPD?

A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

A LGPD é fundamentada em diversos valores e tem como principais objetivos:

Quando a LGPD entrou em vigor?

A Lei entrou em vigor de maneira escalonada:

Quais são os princípios gerais da LGPD?

A LGPD é uma lei de cunho principio lógico e, assim, traz em seu texto 10 princípios que devem ser considerados e observados nas atividades de tratamento de dados pessoais. São eles:

O que muda para as empresas?

Todas as empresas, sejam PMEs (Pequenas e Médias Empresas) ou de grande porte, terão que atender às exigências da LGPD. Um das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações e as empresas deverão deixar claro para quê as informações serão usadas, com formulários nas páginas de internet e avisos eletrônicos mais transparentes.

Com isso, fica vetado o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade. A LGPD garante aos clientes o direito de responsabilizar as empresas caso seus dados sejam roubados por terceiros.

O que é a Autoridade Nacional de Proteção de Dados – ANPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal criado em 2019, responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos. O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:

A ANPD pode aplicar sanções pelo descumprimento da Lei?

Os dispositivos da LGPD que tratam de sanções administrativas somente entrarão em vigor em 1º de agosto de 2021. A partir dessa data, a ANPD poderá aplicar, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:  

A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa.  Tais  metodologias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD. Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas. 

O que são dados pessoais?

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos seus aspectos biométricos. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

O que são dados pessoais sensíveis?

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referente à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Quais dados são protegidos pela LGPD?

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei. 

O que é tratamento de dados pessoais?

Tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Em que hipóteses pode ser realizado o tratamento de dados pessoais?

Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis. Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

Quais são as bases legais para o tratamento de dados pessoais?

O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7o da LGPD:

As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. 

Em quais hipóteses poderá ocorrer o tratamento de dados pessoais sensíveis?

De acordo com o artigo 11 da LGDP, o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas

II – Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) Cumprimento de obrigação legal ou regulatória pelo controlador

b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos

c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis

d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

e) proteção da vida ou da incolumidade física do titular ou de terceiro

f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência

g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais

Quem são considerados agentes de tratamento de dados?

São considerados agentes de tratamento: o “controlador” (pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais) e o “operador” (pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador).

Quando ocorrerá o término do tratamento de dados pessoais?

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

O que as empresas e o setor público precisam fazer para se adequar?

A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais. A Lei determina que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação.

O que é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Semelhante ao DPIA (Data Privacy Impact Assessment, previsto na GDPR), refere-se à documentação do controlador que contém a descrição das atividades de processamento de dados que podem gerar riscos aos titulares de dados, bem como informações sobre a implementação de medidas, salvaguardas e instrumentos de mitigação de danos. Nada mais é que uma ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD, quando o tratamento tiver como fundamento o legítimo interesse do controlador.

Quando não se aplica a LGPD?

A LGPD não se aplica ao tratamento de dados pessoais:

I – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos

II – Realizado para fins exclusivamente:

a) Jornalístico e artísticos ou

b) Acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da LGPD

III – Realizado para fins exclusivos de:

a) Segurança pública

b) Defesa nacional

c) Segurança do Estado ou

d) Atividades de investigação e repressão de infrações penais ou

IV – Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD

POLÍTICAS E NORMAS COMPLEMENTARES

POLÍTICAS E NORMAS COMPLEMENTARES

Política de Segurança de Informação e Privacidade

Introdução

Este documento define a política de segurança da informação e privacidade do Projeto  SciELO/FapUnifesp com o objetivo de proteger as fontes de informação de sua propriedade, sob sua responsabilidade ou em seu uso, que são utilizadas na gestão e operação de seus produtos e serviços. A política se aplica a todos os colaboradores do projeto, aos parceiros, usuários e apoiadores. Ela é referida doravante como PSI.

A PSI é definida e gerida pela direção do Projeto SciELO/FAPESP. Ela orienta o funcionamento e atualização do Sistema de Gestão de Segurança da Informação do Projeto SciELO/FapUnifesp, com as seguintes funções que objetivam assegurar a continuidade dos processos e qualidade dos seus produtos e serviços:

  1. Garantir a integridade, disponibilidade e, quando se aplicar, a confidencialidade das fontes de informação de propriedade Projeto SciELO/FapUnifesp, sob sua responsabilidade ou em seu uso; 

  2. Garantir o atendimento à legislação vigente e requisitos contratuais;

  3. Promover a capacitação de seus colaboradores;

  4. Promover a melhoria contínua do Sistema de Gestão da Segurança da Informação.

Abrangência

A PSI aplica-se a todos os colaboradores e terceiros que utilizem as fontes de informação de propriedade do SciELO/FapUnifesp ou operadas sob sua responsabilidade.

Legislação Aplicável


Correlacionam-se com a PSI e sua aplicação as leis abaixo relacionadas, mas não limitadas às mesmas: 

  1. Lei Federal 8159, de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)

  2. Lei Federal 9610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)

  3. Lei Federal 9279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)

  4. Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)

  5. Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Código Civil)

  6. Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Código Penal)

  7. Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providências)

  8. Lei Federal 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)

Informação Documentada – Estrutura Normativa

Os documentos que compõem a estrutura normativa da PSI são divididos em  categorias: 

  1. Política/ Normas / Diretrizes (nível estratégico): Contidas neste documento, definem as regras de alto nível de segurança da informação que o Projeto SciELO/FapUnifesp incorpora à sua gestão de acordo com sua estratégia programática. Servem de base para que os procedimentos sejam criados e detalhados;

  2. Processos / Procedimentos (nível operacional): Instrumentalizam o disposto na PSI, permitindo a direta aplicação nas atividades do Projeto SciELO/FapUnifesp;

  3. Guias (nível operacional);

  4. Templates (nível operacional).

Todos os documentos são disponibilizados por meio do Portal do Sistema de Gestão de Segurança da Informação do Projeto SciELO/FapUnifesp e depositados em seus repositórios de documentos. Novos documentos ou revisões devem ser aprovadas pelos gestores das áreas responsáveis antes de serem disponibilizados.

Cópias impressas de conteúdos do Portal do Sistema de Gestão de Segurança da Informação não são consideradas válidas e são proibidas.

Os documentos integrantes da estrutura são divulgados a todos os colaboradores, estagiários, aprendizes e prestadores de serviços do Projeto SciELO/FapUnifesp quando de sua admissão, bem como, por seus meios oficiais de divulgação interna e, também, publicadas no Portal do Sistema de Gestão de Segurança da Informação, de maneira que seu conteúdo possa ser consultado a qualquer momento. 

Toda alteração realizada na PSI deverá ser repassada ao Diretor do Programa SciELO, responsável pelo Projeto SciELO/FapUnifesp, para aprovação e, após aprovação, divulgada na nova baseline organizacional. 

Classificação das fontes de Informação

As fontes de informação e informação que delas se derivam, que são de propriedade do Projeto SciELO/FapUnifesp ou que estão sob sua custódia, são classificadas de maneira proporcional ao seu valor e impactos na estratégia e negócios para o SciELO/FapUnifesp.

A informação abarcada pela PSI deve ser classificada conforme a  Norma de Classificação e Manuseio da Informação (NCMI).

Os acessos à informação são controlados por níveis de permissão conforme as definições da Norma de Controle de Acessos, limitando o acesso apenas às pessoas autorizadas em sistemas ou pastas de arquivos.

As seguintes regras se aplicam no tratamento da informação de acordo com seu nível de classificação:

  1. Fonte de informação sem um rótulo de nível de classificação deve ser considerada por padrão como nível Pública;

  2. É obrigatório rotular todas as fontes de informação de nível Confidencial ( documentos, planilhas e outros arquivos);

  3. Quando necessária a impressão, documentos Confidenciais ou Internos devem ser impressos apenas em impressoras localizadas em salas de acesso restrito e retiradas imediatamente pelos responsáveis;

  4. Deve-se evitar o envio de documentos Confidenciais por e-mail, porém caso seja necessário deve-se utilizar algum tipo de criptografia no documento ou na mensagem;

  5. Caso tenha acesso a uma fonte de informação ou informação confidencial, privada ou interna (conforme a NCMI) fora do seu escopo de trabalho, comunique imediatamente a Unidade de Infraestrutura do Projeto SciELO/FapUnifesp. Se for um documento devolver ao responsável ou à Infraestrutura.

Competências Necessárias para Segurança da Informação

As pessoas responsáveis pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada e garantir assim o sucesso do SGSI. As competências exigidas devem:

  1. Estar formalmente previstas mediante justificativa que demonstre a devida compatibilidade com o SGSI baseado na ISO 27001:2013;

  2. Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriadas;

  3. Reter informação documentada adequadamente, como prova de competência.

Diretrizes de Segurança da Informação

A PSI define as seguintes diretrizes que norteiam as atividades profissionais de cada colaborador, estagiário, aprendiz ou prestador de serviços do Projeto SciELO/FapUnifesp:

  1. Os colaboradores devem assumir uma postura proativa de proteção das fontes de informação de propriedade ou sob responsabilidade do Projeto SciELO/FapUnifesp e de informação delas derivada, que compreende, entre outros posicionamentos, estar atentos a ameaças externas, fraudes, roubos e acesso indevido; 

  2. Assuntos confidenciais não devem ser expostos publicamente;

  3. Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados;

  4. Somente softwares homologados, podem ser utilizados no ambiente computacional do Projeto SciELO/FapUnifesp;

  5. Fontes de informação confidenciais (documentos impressos, arquivos, sistemas) devem ser armazenados apropriadamente e protegidos. O descarte deve ser feito respeitando o procedimento de descarte conforme as definições da Norma de Classificação e Manuseio de Informação;

  6. Todas as fontes de informação e qualquer informação delas derivada que são considerados imprescindíveis ao desenvolvimento e operação do Projeto  SciELO/FapUnifesp devem ser protegidas por meio de rotinas sistemáticas e documentadas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação;

  7. O acesso às dependências do Projeto SciELO/FapUnifesp deve ser controlado e assegurada e integridade, disponibilidade e, quando se aplica, a confidencialidade das fontes de informação ali armazenadas ou operadas de modo a garantir a rastreabilidade e efetividade dos acessos autorizados;

  8. O acesso via sistemas computacionais disponibilizados pelo Projeto SciELO/FapUnifesp devem ser controlados e assegurada a integridade, disponibilidade e, quando se aplica, a confidencialidade das fontes de informação  da informação de modo a garantir a rastreabilidade e a efetividade dos acessos autorizados.

  9. São de propriedade do Projeto SciELO/FapUnifesp todas as criações, códigos ou procedimentos desenvolvidos por qualquer colaborador, estagiário, aprendiz ou prestador de serviço durante o curso de seu vínculo com o Projeto.

Os riscos à segurança das fontes de informação do Projeto SciELO/FapUnifesp são identificados seguidamente por meio de mapeamento de vulnerabilidades, ameaças, impacto e probabilidade de ocorrência e de controles que mitigam estes riscos junto dos donos de riscos responsáveis. Duas instâncias são sistematicamente mapeadas e controladas: o ambiente físico e atuação de fornecedores.

  1. Ambiente físico

O acesso aos ambientes físicos do Projeto SciELO/FapUnifesp deve ser controlado e monitorado. Acesso a ambientes críticos deve ter o acesso restrito conforme declaração na Norma de Controle de Acessos.

  1. Fornecedores

Fornecedores, que podem ter acesso a fontes de informação confidenciais e a dados pessoais, devem possuir cláusulas de segurança e sigilo de informação em seus contratos. Os fornecedores devem ser avaliados quanto ao nível de segurança, conforme os requisitos estabelecidos nesta política, quanto à gestão de acesso, análise de vulnerabilidades e continuidade de negócios e devem possuir em seus contratos SLA estabelecido.

O compartilhamento de fontes de informação não é permitido em equipamentos pessoais. Todas as fontes de informação devem ser armazenadas em servidores das redes do Projeto SciELO/FapUnifesp. 

Todos os colaboradores do Projeto SciELO/FapUnifesp devem considerar as fontes e informação delas derivadas como bens essenciais para o desenvolvimento e operação do Projeto SciELO/FapUnifesp.

A privacidade das fontes e informação delas derivada sob custódia do Projeto SciELO/FapUnifesp, armazenadas ou operadas nos meios que o Projeto SciELO/FapUnifesp detém total controle administrativo, físico, lógico e legal, é assegurada por meio das seguintes diretivas:

  1. são coletadas de forma ética e legal, para propósitos específicos e devidamente informados;

  2. são recebidas pelo SciELO/FapUnifesp, tratadas e armazenadas de forma segura e íntegra;

  3. são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;

  4. podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados;

  5. é fornecida a terceiros somente mediante autorização prévia ou para o atendimento de exigência legal ou regulamentar;

  6. são fornecidas somente aos próprios interessados e mediante solicitação formal, seguindo os requisitos legais vigentes os cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais.

A criação de acessos ou contas de e-mail é restrita aos colaboradores, exceto estagiários e jovens aprendizes, mediante solicitação do coordenador responsável e aprovação da Unidade Infraestrutura. 

As listas de distribuição e/ou pastas públicas do SciELO/FapUnifesp que possam conter informação destinada à colaboradores não podem ter a participação de terceiros.

Todos os tipos de sistemas que necessitam de acesso a fontes de informação do Projeto SciELO/FapUnifesp deverão ser rastreados por meio de um controle formal desde a liberação de acesso até a revogação do acesso conforme a Norma  de Controle de Acessos na seção "Gerenciamento de Identidade".

  1. Testes de vulnerabilidade devem ser realizados periodicamente, ou quando houver mudança no ambiente, em equipamentos de rede ou aplicações críticas a fim de detectar possíveis falhas;
  2. Softwares desenvolvidos, principalmente os que operam na Web, deverão contemplar em seu projeto tanto testes de vulnerabilidade quanto de autenticação, controle de sessão e injeção de código conforme a Norma de Desenvolvimento Seguro.

A PSI considera os logs de transações como ferramentas úteis para auditoria de riscos, incidentes, invasões ou para detecção de desvios em privilégios de acesso. Nesse sentido, as seguintes diretrizes são aplicadas: 

  1. As aplicações e processos devem gerar logs que permitam o monitoramento das atividades realizadas;

  2. Os logs devem possuir a operação realizada, data e hora e IP de acesso;

  3. Auditoria dos logs deve ser realizada periodicamente a fim de verificar acessos indevidos de usuários;

  4. Os registros de log de uso das fontes de informação científicas do Projeto SciELO/FapUnifesp devem ser mantidos indefinidamente;

  5. Os registros de log de uso das fontes administrativas devem ser mantidos por no mínimo 12 meses, devendo ser definido em conjunto com o responsável do recurso o prazo a ser mantido. Aplicações de clientes, gerenciados pelo Projeto SciELO/FapUnifesp, devem armazenar informação crítica por no mínimo 5 anos de log;

  6. Os logs devem ser mantidos por meios seguros.

Os recursos, aplicativos corporativos devem possuir um procedimento formal de atualização de patches de segurança, sendo que: 

  1. Deve ser definida a forma de identificação dos patches divulgados pelos fabricantes;

  2. O prazo para atualização dos patches;

  3. Procedimento para atualização dos patches.

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários. 

Considera-se a internet meio essencial para busca de informação e produtividade do trabalho, portanto, o uso da mesma, em estações de trabalho está liberado sob monitoramento. Sendo que o monitoramento deve ser capaz de: 

  1. Detectar os acessos que estão sendo realizados;

  2. Detectar as fontes de informação baixadas e enviadas por meio da internet;

  3. Identificar possíveis desvios de conduta ou vazamento de informação.

Acesso a sites deverá passar por filtro de conteúdo. Torrent, Pornografia e jogos online são bloqueados. 

O manual do colaborador deve conter regras de boa conduta e ética quanto ao uso da internet.

Acesso à Internet em servidores deverá ser bloqueado

Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes. 

  1. Toda conexão de rede, entrada ou saída deve passar pelo Firewall;

  2. As regras do Firewall devem ser analisadas periodicamente a fim de verificar mudanças. 

  3. O acesso à rede Wireless para visitantes deve estar em uma rede separada da rede corporativa. O acesso dos colaboradores a rede WiFi deve seguir os mesmos critérios de segurança do acesso à rede por fio. 

A conexão à rede de terceiros deverá ser analisada previamente quanto a sua segurança e necessidade. E quando necessário deverá seguir todos os critérios de segurança, assim como testes de vulnerabilidade, a fim de mitigar riscos quanto à segurança da informação e continuidade do negócio. 

  1. Estação de trabalho e servidores deverão ter controle de sessão inativa. Deverá ser feito o bloqueio automaticamente após um período de inatividade, sendo no máximo 3 minuto para servidores e 5 minutos para colaboradores;

  2. Estações de trabalho e servidores deverão possuir antivírus instalados e atualizados, e não podem ser desabilitados por usuários comuns;

  3. Estações de trabalho deverão possuir acesso através de um controlador de domínio ou um centralizador de autenticação;

  4. Não é permitido o compartilhamento de pastas nos computadores de colaboradores do Projeto SciELO/FapUnifesp. Os dados que necessitam de compartilhamento devem ser alocados nos servidores apropriados, atentando às permissões de acesso aplicáveis aos referidos dados

  1. Mídias removíveis deverão ser gerenciadas quanto ao uso e sua liberação;

  2. Fontes de informação confidenciais somente poderão ser armazenadas em mídias removíveis quando esta for criptografada. 

  1. Para o desenvolvimento seguir a Norma de Desenvolvimento Seguro.

Deve existir um padrão de blindagem dos equipamentos hardening para proteção dos recursos. A TI deverá criar os procedimentos para hardening de estação de trabalho, servidores e equipamentos onde possa ser aplicado.

O intercâmbio de informação com clientes ou fornecedores deve ser realizado por canais seguros. 

  1. Adotar sempre a prática da criptografia nos meios de comunicação (E-mail, SFTP, gerenciadores de arquivos); 

  2. Informação confidencial deve ser transferida somente por meios seguros.

Para garantia da integridade dos sistemas e dados, a área de Infraestrutura é responsável pela realização de cópias de segurança (Backup), conforme a Norma de Backup e Restauração que garante:

  1. As aplicações e informação lógicas devem possuir backup de dados realizados de forma periódica

  2. Deve ser considerada a utilização de ambientes standby para aplicações críticas;

  3. Os backups devem ser armazenados em locais físicos diferentes do ambiente de produção.

É proibida a utilização de pen drives e/ou acesso. Caso a utilização seja estritamente necessária para atividades, o colaborador deverá justificar ao gestor responsável, que avaliará a possibilidade de liberação seguindo as premissas e necessidades previstas nesta Política. 

A utilização de armazenamento em nuvem é permitido apenas no serviço contratado pelo Projeto SciELO/FapUnifesp.

O Projeto SciELO/FapUnifesp detém a propriedade intelectual de todos os projetos, criações ou procedimentos desenvolvidos por qualquer colaborador durante o curso de seu vínculo empregatício.

O correio eletrônico fornecido pela Projeto SciELO/FapUnifesp é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem do Projeto SciELO/FapUnifesp, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem

enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que:

  1. Contenham declarações difamatórias e linguagem ofensiva;

  2. Possam trazer prejuízos a outras pessoas;

  3. Sejam hostis e inúteis;

  4. Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;

  5. Possam prejudicar a imagem da organização;

  6. Possam prejudicar a imagem de outras empresas;

  7. Sejam incoerentes com as políticas do Projeto SciELO/FapUnifesp.

  8. O serviço de e-mail deve observar:

    1. E-mails deverão ser trafegados por canal seguro;

    2. A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam e controle de conteúdo.

A utilização de mensageria instantânea  é permitida apenas no serviço contratado pelo Projeto SciELO/FapUnifesp.

O Projeto SciELO/FapUnifesp respeita os direitos autorais dos programas, ou seja, não permite o uso de programas não licenciados. Assim, é terminantemente proibido o uso de programas ilegais (sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário acessar o sistema de suporte da Unidade Infraestrutura para solicitar qualquer tipo de instalação. 

Periodicamente, a Unidade Infraestrutura fará auditoria nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta norma. Caso sejam encontrados programas não autorizados, estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam perante o Projeto SciELO/FapUnifesp por quaisquer problemas ou prejuízos causados oriundos desta ação.

Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento do Projeto SciELO/FapUnifesp. Deve ter um procedimento com pontos críticos a serem monitorados, por exemplo, espaço para armazenamento do log, espaço para crescimento do banco de dados, espaço para recuperação e testes de banco de dados ou aplicativos, capacidade de rede, energia, internet para acesso dos usuários ou colaboradores. 

  1. Todos os softwares e recursos da empresa devem ser inventariados e controlados pela Unidade Infraestrutura;

  2. Não é permitida a instalação de nenhum software sem o consentimento da Unidade Infraestrutura;

  3. Não é permitido contratar e utilizar nenhum software para uso organizacional, nas nuvens, sem o consentimento da Unidade Infraestrutura;

  4. Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento da Unidade Infraestrutura;

  5. A Unidade Infraestrutura deverá ter processos para detecção de softwares instalados;

  6. Ativos em posse de colaboradores e fornecedores deve ser controlado, em caso de desligamento ou encerramento de contrato o ativo deverá ser devolvido conforme procedimento estabelecido pela Unidade Infraestrutura;

  7. Software devem possuir gestão de suas licenças e uso controlado pela Unidade Infraestrutura. 

  8. Não é permitido a instalação de software não licenciado.

Todas as mídias utilizadas na operação dos processos do SGSI devem ser guardadas,  reutilizadas e destruídas de forma segura e protegida, conforme Norma de Classificação e Manuseio da Informação, seção "Sanitização de Mídias".

Todos os profissionais colaboradores e prestadores de serviços são responsáveis pelas fontes de informação armazenados em seus postos de trabalho (mesa e computador) e devem garantir a segurança das mesmas sendo consideradas boas práticas:

  1. Os equipamentos devem ser utilizados com cuidado visando garantir sua preservação e seu funcionamento adequado;

  2. Computadores de mesa (desktops) ou dispositivos móveis (notebooks; tablets) devem ser desligados no final do expediente ou sempre que um usuário estiver ausente por um período prolongado;

  3. O bloqueio de tela deve ser protegido por senha e deverá ser ativado sempre que o usuário se afastar do computador de mesa ou móvel que esteja utilizando, e realizar (logoff) quando não for mais fazer uso, ou se ausentar por um longo período;

  4. Devem ser retirados da mesa de trabalho: papéis, anotações e lembretes que contenham informação ou dados relativos a clientes, senhas e informação interna e restrita. Deve adotar sistema de gerenciamento de senhas;

  5. Armazenar informação confidencial em local apropriado;

  6. Deixar todos os documentos e dispositivos eletrônicos, no final do dia de trabalho devidamente guardados/organizados.

É dever de todos – colaboradores, estagiários, aprendizes e prestadores de serviços do Projeto SciELO/FapUnifesp – cumprir com as seguintes obrigações: 

Define-se como necessária a classificação de toda a informação de propriedade do Projeto SciELO/FapUnifesp ou sob sua custódia, de maneira proporcional ao seu valor, para possibilitar o controle adequado da mesma: 

  1. Zelar continuamente pela proteção das fontes de informação do Projeto SciELO/FapUnifesp contra acesso, modificação, destruição ou divulgação não autorizada;

  2. Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias do Projeto SciELO/FapUnifesp;

  3. Garantir que os sistemas e fontes de informação sob sua responsabilidade estejam adequadamente protegidos;

  4. Garantir a continuidade do processamento da informação crítica para os negócios do Projeto SciELO/FapUnifesp;

  5. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual e licenças CC-BY;

  6. Atender às leis e regras que regulamentam as atividades do projeto;

  7. Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;

  8. Comunicar imediatamente à Unidade Infraestrutura qualquer descumprimento da PSI e/ou dos procedimentos de Segurança da Informação;

  9. Manter total sigilo sobre informação obtida em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso de tal informação em relação a terceiros ou para uso pessoal; 

O Gestor de Segurança da Informação (GSI) corresponde a um representante indicado e aprovado pela Direção do Programa SciELO (Direção), com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI. 

Compete ao GSI.: 

  1. Propor ajustes, aprimoramentos e modificações na estrutura normativa do SGSI., submetendo à aprovação da Direção;

  2. Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Direção;

  3. Requisitar informação das demais áreas do Projeto SciELO/FapUnifesp, por meio das diretorias, gerências, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação; 

  4. Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação;

  5. Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como, de não conformidades com a política, as normas ou os procedimentos de segurança da informação;

  6. Notificar as gerências e diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação;

  7. Receber sugestões dos gestores da informação para implantação de normas e procedimentos de segurança da informação;

  8. Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;

  9. Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da informação;

  10. Propor a relação de gestores da informação;

  11. Realizar, sistematicamente, a gestão dos ativos da informação;

  12. Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa, Planos de Continuidade dos Negócios, validando-os periodicamente. O Plano de Continuidade de Negócios deve ser definido, implementado e testado a fim de garantir a disponibilidade dos sistemas de informação;

  13. Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação;

  14. Adotar mecanismos automatizados, sempre que possível, para gerenciamento, prevenção e detecção de eventos de segurança;

  15. Implementar mecanismos para proteção da segurança física a fim de prevenir danos e acessos não autorizados à informação;

  16. Adotar processos de autenticação e controle de acesso seguro para os sistemas de informação;

  17. Deliberar sobre o uso de ferramentas de proteção contra softwares maliciosos, vírus, spam, phishing scan e outros dispositivos que possam ameaçar os sistemas de informação da organização.

Cabe a cada coordenador e ao diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade, seja este de propriedade do Projeto SciELO/FapUnifesp ou sob sua custódia. 

Os mesmos podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo dele a responsabilidade final pela sua proteção. 

Compete a este papel: 

  1. Classificar, com o apoio do GSI, a informação sob sua responsabilidade, inclusive aquela gerada pelos periódicos, fornecedores ou outras entidades externas, que devem participar do processo de definição do nível de sigilo da informação;

  2. Utilizar o Sistema de Gestão de Riscos como instrumento gerencial estratégico para assegurar os requisitos de negócio da organização;

  3. Inventariar todos os ativos de informação sob sua responsabilidade;

  4. Enviar ao GSI, quando solicitado, relatórios sobre a informação e ativos de informação sob sua responsabilidade. Os modelos de relatórios serão definidos pelo GSI. e aprovados pela Diretoria;

  5. Sugerir procedimentos ao GSI. para proteger os ativos de informação, conforme a classificação realizada, além da estabelecida pela Política de Segurança da Informação e Privacidade e pelas Normas de Segurança da Informação;

  6. Manter um controle efetivo do acesso à informação, estabelecendo, documentando e fiscalizando a política de acesso à mesma. Tal política deve definir quais usuários ou grupos de usuários têm real necessidade de acesso à informação, identificando os perfis de acesso;

  7. Reavaliar, periodicamente, as autorizações dos usuários que acessam as informação sob sua responsabilidade, solicitando o cancelamento do acesso dos usuários que não tenham mais necessidade de acessar a informação;

  8. Participar da investigação dos incidentes de segurança e privacidade relacionados à informação sob sua responsabilidade;

  9. Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da informação e privacidade;

  10. Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade;

  11. Sugerir ao GSI, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas;

  12. Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segurança da informação e privacidade relacionados às suas áreas, quando solicitado pelo GSI;

  13. Comunicar imediatamente ao GSI. eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade.

A Diretoria do SciELO/FapUnifesp está comprometida com o sistema de gestão de segurança da informação e privacidade devendo:

  1. Estabelecer as responsabilidades e atribuições pertinente à Gestão da Segurança da Informação;

  2. Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos, de forma compatível com a orientação estratégica do Projeto SciELO/FapUnifesp;

  3. Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos do Projeto SciELO/FapUnifesp;

  4. Prover os recursos necessários para o sistema de gestão de segurança da informação estão disponíveis;

  5. Comunicar a importância da gestão eficaz da segurança da informação, e do cumprimento dos requisitos do sistema de gestão da segurança da informação e privacidade;

  6. Certificar que o sistema de gestão de segurança da informação alcança seus resultados pretendidos;

  7. Coordenar e incentivar as pessoas a contribuir com a eficácia do sistema de gestão da segurança da informação e privacidade;

  8. Promover a melhoria contínua do SGSI e;

  9. Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade.

  10. Aprovar a política e as normas de segurança da informação e suas revisões;

  11. Aprovar quem assumirá o papel de GSI;

  12. Receber, por intermédio do GSI, relatórios de violações da política e das normas de segurança da informação, quando aplicável;

  13. Tomar decisões referentes aos casos de descumprimento da política e das normas de segurança da informação, mediante a apresentação de propostas do GSI;

Cabe, adicionalmente, à Consultoria Jurídica, intermediada pelo setor de Administração. 

  1. Manter o GSI. informado sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e ações envolvendo a gestão de segurança da informação;

  2. Incluir na análise e elaboração de contratos, sempre que necessárias cláusulas específicas relacionadas à segurança da informação;

  3. Avaliar, quando solicitado, a política, as normas e os procedimentos de segurança da informação.

Cabe, adicionalmente, à Área Administrativa:

  1. Assegurar-se de que os colaboradores, estagiários, aprendizes e prestadores de serviços comprovem, por escrito, estar cientes da estrutura normativa do GSI. e dos documentos que a compõem;

  2. Para os novos colaboradores, prestadores de serviços e estagiários deve ser aplicado o treinamento em segurança da informação em até 15 dias após o início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante este período;

  3. Ter planos de reciclagem das normas internas do SciELO/FapUnifesp;

  4. Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional do SciELO/FapUnifesp.

Coordenada pela área de Infraestrutura. Cabe à área de Qualidade: 

  1. Consolidar e coordenar a implantação, execução, monitoramento e melhoria do SGSI.;

  2. Prover a informação de gestão de segurança da informação;

  3. Coordenar as reuniões de análise crítica do SGSI bem como acompanhar os planos de ação resultantes deste fórum;

  4. Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação;

  5. Efetuar auditorias e inspeções de conformidades periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua;

  6. Desenvolver um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação;

  7. Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação;

  8. Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação, e a necessidade de seguir a Política, Normas, Procedimentos e Instruções referentes ao Sistema de Gestão de Segurança da Informação (SGSI);

  9. Estabelecer normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento deste objetivo;

  10. Executar projetos e iniciativas visando aprimorar a segurança da informação no SciELO/FapUnifesp.

O setor de infraestrutura de TI é responsável por garantir a disponibilidade, confiabilidade e desempenho dos recursos tecnológicos e de rede necessários para suportar as operações do SciELO/FapUnifesp. As principais responsabilidades do setor de infraestrutura de TI incluem:

Todo ativo de informação sob responsabilidade do SciELO/FapUnifesp é passível de auditoria em data e horários determinados pelo GSI. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Diretoria e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informação pessoal, desde que estas não esteja disposta em ambiente físico ou lógico de propriedade do SciELO/FapUnifesp de forma que se misture ou impeça o acesso à informação de propriedade ou sob sua responsabilidade. 

Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, a área de TI poderá realizar monitoramento e controle proativos, mantendo a confidencialidade do processo e da informação obtidas. 

Em ambos os casos, a informação obtida poderá servir como indício ou evidência em processo administrativo e/ou legal.

As auditorias internas são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores. 

As auditorias internas devem ser realizadas uma vez ao ano, por auditores internos ou externos, capacitados e treinados, com conhecimento nas normas ISO 27001 e LGPD e conhecimento dos processos do SciELO/FapUnifesp. Deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos.

As auditorias externas devem ser realizadas para manter a validade das certificações definidas.

Quando identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas, estas devem ser registradas para análise e tratamento.

Toda a não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácia das ações.

A gestão dos contatos com autoridades é da responsabilidade da Gerência de Segurança da Informação e/ou da Gerência Administrativa que deve:

  1. Consolidar, comunicar e divulgar em repositório conhecido e acessível do SciELO/FapUnifesp a lista dos contatos atualizados periodicamente;

  2. Realizar testes periódicos e amostrais dos contatos registrados com o intuito de avaliar que são adequados e eficazes

Nota* A lista deve possuir data de emissão da última versão, nome do responsável pelas atualizações, classificação da informação.

O Acionador é a pessoa qualificada para avaliar se deve proceder com o acionamento. É o ponto focal que deve ser conhecido por todos na organização para avaliar os eventos identificados e proceder com o adequado acionamento.

Cabe ao Acionador manter contato regular com as autoridades com o assegurar a eficácia no acionamento numa situação de crise.

Cada acionador deve possuir um par designado para atuar na ausência deste. Este contato deve figurar como alternativa na tabela de contato com autoridades.

CONTATO COM AUTORIDADES            

ENTIDADE / ÓRGÃO

TIPO DE OCORRÊNCIA

ACIONADOR

Bombeiro / Defesa Civil

Emergência: Incêndios, terremotos, enchentes, catástrofes, etc.

Gerência Administrativa

Fornecedores de água / eletricidade

Interrupção ou desabastecimento do fornecimento de energia, água, etc.

Gerência Administrativa

Provedores de links / Internet

Para relatar incidentes de ataques de vírus e de hackers sofridos.

Gerente de Infraestrutura

Interrupção / lentidão do Serviço.

Gerente de Infraestrutura

Polícia Militar / Polícia Civil

Situações de conflito, agressões, crimes, sequestro, ações terroristas e assemelhados.

Gerência Administrativa

Certificadora ISO

Alterações de escopo de certificação, modificações na infraestrutura, sistemas, pessoas, produtos e serviços que tenham impacto considerável no SGSI.

Gerente de Infraestrutura

Autoridade Certificadora

Revogação / Renovação de certificados digitais.

Gerente de Infraestrutura

Polícia Federal

Crimes informáticos, fraudes eletrônicas e assemelhados

Gerência Administrativa

ANPD

Autoridade nacional de Proteção de Dados – incidentes, registros e RIPD relativos ao tratamento de Dados Pessoais

Gerente de Infraestrutura

A Gerência de Infraestrutura deve manter efetivo contato e participação com grupos de especialistas reconhecidos.

A organização deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Esta análise deve ter a participação direta da Diretoria e deve considerar: 

  1. O resultado das ações de análises críticas anteriores do SGSI;

  2. Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação;

  3. Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:

    1. Não-conformidades e ações corretivas;

    2. Resultados de monitoramento e medição;

    3. Resultados de auditoria internas ou externas do SGSI e;

    4. Cumprimento dos objetivos da segurança da informação.

  1. Comentários das partes interessadas;

  2. Os resultados da avaliação de risco e a situação do plano de tratamento do risco;

  3. Oportunidades para a melhoria contínua;

  4. Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros).

As saídas das análises críticas devem incluir decisões relacionadas com oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

O SciELO/FapUnifesp deve manter informação documentada como evidência dos resultados das análises críticas pela Diretoria

Qualquer descumprimento desta Política, ou ainda suspeitas ou evidências devem ser reportadas a ouvidoria SciELO/FapUnifesp através do e-mail ouvidoria@scielo.org.

Violações e Sanções

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não se limitando às mesmas: 

  1. Quaisquer ações ou situações que possam expor o SciELO/FapUnifesp à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;

  2. Utilização indevida de dados corporativos, divulgação não autorizada de informação, segredos comerciais ou outra informação sem a permissão expressa do Gerente ou Diretoria;

  3. Uso de dados, informação, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação do SciELO/FapUnifesp ou de seus clientes;

  4. Descumprir alguns dos itens estabelecidos nesta política de segurança;

  5. A não comunicação imediata à área de Ouvidoria de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação, que porventura um colaborador, estagiário, aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à PSI do Projeto SciELO/FapUnifesp são consideradas faltas graves, podendo ser aplicadas as seguintes sanções:  advertência formal, suspensão, rescisão do contrato de trabalho outra ação disciplinar e/ou processo civil ou criminal. Podem ainda ocorrer sanções definidas pelo GSI sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

Esta norma deverá ser revisada anualmente ou quando uma mudança significativa ocorrer na organização.

Histórico de Revisões

Versão

Data

Descrição

Autor

1.0

01/04/2021

Elaboração do documento

Rondineli Saad

1.0

05/04/2022

Revisão do documento

Rondineli Saad

1.0

08/11/2022

Revisão do documento

Abel Packer

1.0

21/11/2022

Aprovação do documento 

Abel Packer

1.1

18/04/2023

Revisão do Documento

Rondineli Saad

Aprovação do Documento

Nome

Cargo

Assinatura

Data

Abel Packer

Diretor


10/11/2022

Luís Gomes

Coordenador Unidade Administração


10/11/2022

Rondineli Saad

Gestor de Segurança da Informação


10/11/2022

PROCEDIMENTOS

PROCEDIMENTOS

PROCEDIMENTOS PARA INDICADORES

OBJETIVO

Estabelecer metodologia para orientação, acompanhamento e revisão de instrumentos normativos, visando à padronização das normas e procedimentos contidos neste documento.

ABRANGÊNCIA

Aplica-se ao setor de Infraestrutura e Segurança da Informação do projeto SciELO/FAPUNIFESP.

DEFINIÇÕES

RESPONSABILIDADES


RESPONSABILIDADES

Responsável pela Coleta de Dados

É o colaborador da Infraestrutura que terá a responsabilidade de incluir na Ficha de Indicador, os dados da Planilha de Controle pertinente a cada indicador.

Responsável pela Análise de Dados

É o colaborador com capacidade técnica para desempenhar esta tarefa.

INDICADORES DE EFETIVIDADE DE SEGURANÇA DA INFORMAÇÃO

TOTAL DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Objetivo

Manter integridade,  disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas

Forma de cálculo

Soma de chamados classificados como incidentes de SI

Unidade de medida

Soma

Meta

Reduzir para <2 o número de incidentes de SI. E se for >=2 contigenciar

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Migitação

  • Relatório quinzenal que garante que os endpoints de usuários, especificamente os notebooks estejam atualizados.
  • Relatório mensal que controlar a quantidade de atualizações dos Blogs Wordpress.
  • Relatório mensal que que mede a porcentagem de sistemas sem vulnerabilidades graves.
  • Checklist diário das tentativas de intrusão no firewall;
  • Análise semanal dos relatórios gerado pelo firewall.

Contingência

  • Conter e mitigar;
  • Rever a eficácia dos processos que envolve a elaboração dos relatórios mensais e semanais relacionados ao controle de vulnerabilidade.

TOTAL DE NÃO CONFORMIDADES

Objetivo

Avaliar a quantidade de número de não conformidade relacionado a segurança da informação

Forma de cálculo

Soma de RNCS emitidas relacionadas a SI

Unidade de medida

Soma

Meta

Reduzir para <2 o número de não conformidade. Se for igual a 2 mitigar. Se for maior que 2 contingenciar.

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Campanha de endomarketing;
  • Campanha periódica de conscientização em SI;
  • Seguir os cronogramas:
    • Análise Crítica de SI
    • Campanha de conscientização
    • Campanha anti-phishing
    • Recuperação de desastres
    • Gestão de Capacidade
  • Revisão dos processos:
    • Controle dos ativos
    • Controle de acesso lógico e físico
    • Controle de acesso a sistemas e sites
    • Controle de contratação e demissão de colaboradores
    • Desenvolvimento Seguro
    • GMUD
    • Gestão de incidentes
    • Classificação da Informação e manuseio

Contingência

  • Reciclagem dos colaboradores na conscientização em SI
  • Monitorar os processos envolvidos com as NCs
  • Garantir que os cronogramas estão sendo seguidos

TOTAL DE RISCOS DE SI COM DADOS PESSOAL COM GRAU ALTO MAIOR QUE 6

Objetivo

Manter integridade,  disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas

Forma de cálculo

Soma de chamados classificados como incidentes de SI

Unidade de medida

Soma

Meta

Reduzir para 0. Se for igual a 1 mitigar e se for >=2 contigenciar

Fonte de dados

  • Sistema de Suporte (https://suporte.scielo.org)
  • E-mail

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Classificação e Manuseio da informação
  • Conscientização em SI
  • Data Loss Protection

Contingência

  • Reciclagem dos colaboradores na conscientização em SI
  • Rever a eficácia do DLP
  • Fazer uma análise crítica sobre o risco

DESEMPENHO DOS PERIÓDICOS INDEXADOS NO SciELO

Objetivo

Medir o Desempenho dos Periódicos

Forma de cálculo

Soma de total de acessos mensal / quantidade de dias do mês

Unidade de medida

Soma

Meta

Entre 700 mil à 800 mil acessos diários
<= 600 mil: mitigação
<= 500 mil: contingência

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Trimestral

Mitigação

  • No que tange a tecnologia:
    • Monitoramento dos servidores/websites/serviços
  • No que tange a avaliação e controle de qualidade:
    • Levantamento bibliométricos
    • Avaliação periódica dos periódicos

Contingência

  • Se for decorrente a questões da infraestrutura, seguir as mesmas ações do indicador: DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO
  • Se for decorrente da performance dos periódicos:
    • Reunir o comitê de avaliação dos periódicos para rever política e procedimentos que possam mitigar o problema;
    • Dados bibliométricos serão levantados para mapear o motivo.

DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO

Objetivo

Garantir que os sites/serviços do SciELO tenham uma disponibilidade >= à 99%

Forma de cálculo

(Tempo de indisponibilidade / Hora total mês)*100

Unidade de medida

Porcentagem

Meta

ao menos 99% do tempo no ar
Entre 96% à 99%: mitigação
<95%: contingência

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Monitoramento dos servidores/websites/serviços
  • Plano de Recuperação de desastre
  • Manual e Procedimento para Recuperação de  Desastre - SciELO

Contingência

  • Se o problema é decorrente do link, rever a distribuição do tráfego do link;
  • Se o problema é decorrente da infraestrutura de servidores, rever a infraestrutura que atende os serviços;
    • Caso precisarmos comprar equipamentos para atender a demanda, gerar relatório de capacidade e apresentar a diretoria.
  • Se o problema é decorrente de ataque hacker, ativar o plano de DR;
  • Se o problema é decorrente com desastre no DC, ativar o plano de DR

ENTREGA DAS PRESTAÇÕES DE CONTA DENTRO DO PRAZO ESTIPULADO

Objetivo

Atendimento às regras de prestação de contas

Forma de cálculo

Análises e aprovações da FAPESP no sistema SAGe

Unidade de medida


Meta

Entrega dentro do prazo, sem revisão ou auditorias
Entrega dentro do prazo e com revisão ou Auditoria posterior: mitigação
Entrega fora do prazo: contingência

Fonte de dados

  • Sistema SAGe/FAPESP

Responsável

Gestor da Unidade de Administração

Periodicidade

Anual

Mitigação

  • Elaboração do relatório científico da FAPESP com 2 meses de antecedência.
  • Revisão do relatório científico da FAPESP com no máximo de 2 semana de antecedência
  • Submissão com prazo máximo de 24 horas

Contingência

  • Unidade de Administração terá o prazo máximo de 1 semana para providenciar a correção.

PROCEDIMENTOS

As ações abaixo elencadas nortearão alguns aspectos que deverão ser observados, neste Instrumento Normativo, após o recebimento do mesmo.

Revisão, verificação e Aprovação do Manual - Todas as Normas e Procedimentos a serem editados neste Manual de Normas e Procedimentos deverão ser previamente revisados pelo Gestor de Segurança da Informação.

Governança SGSI-antigo

Os documentos que compõem a estrutura do Portal são divididos em:

a) Políticas/ Acordos/ Declarações (nível estratégico): Definem as regras de alto nível que representam os princípios básicos que o SciELO decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Servem como base para que os procedimentos sejam criados e detalhados

b) Processos / Diretrizes (nível operacional): Desdobram o  conteúdo disposto na política, detalhando as atividades operacionais do SciELO.

c) Modelos/Templates: Modelos de documentos a serem preenchidos na execução das atividades.

Políticas/ Acordos/ Declarações Processos / Diretrizes Modelos/ Templates

Políticas


Declarações/Acordos



Lei Geral de Proteção de Dados (LGPD)

Segurança da Informação

Recursos Humanos





Agentes de Tratamento de Dados Pessoais

Controlador – O SciELO é o controlador, estabelecendo as regras, controle e decisões sobre tratamento de dados pessoais. Como controlador, pode fazer o tratamento direto dos dados ou designar um operador.

Operador – Realiza o tratamento de dados pessoais e de segurança da informação e privacidade de dados, conforme definido pelo SciELO. Podem ser advogados subestabelecidos, outros escritórios de advocacia ou prestadores de serviços na realização de suas funções para o SciELO.

Encarregado – Papel assumido pelo [NOME DO ENCARREGADO], que atua nas comunicações necessárias do tratamento de dados pessoais e da segurança da informação e privacidade e responde às solicitações demandadas, interna e externamente.



Responsabilidades em relação aos Dados Pessoais

Advogados subestabelecidos: Realizam o tratamento de dados pessoais e de segurança da informação e privacidade de dados, conforme definido pela Organização.

Colaboradores, estagiários, aprendizes e prestadores de serviços:

  • Zelar continuamente pela proteção das informações do SciELO ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada
  • Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Organização
  • Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos
  • Garantir a continuidade do processamento das informações críticas para os negócios da Organização
  • Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual
  • Atender às leis que regulamentam as atividades do SciELO e seu mercado de atuação
  • Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo
  • Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso destas informações em relação a terceiros ou para uso pessoal




Papéis e Responsabilidades

Papéis e responsabilidades dos colaboradores em cada área do SciELO.



Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as seguintes leis, não se limitando as mesmas.

a) Lei Federal 8159, de 08 de janeiro de 1991 (Política Nacional de Arquivos Públicos e Privados)

b) Lei Federal 9610, de 19 de fevereiro de 1998 (Direito Autoral)

c) Lei Federal 9279, de 14 de maio de 1996 (Marcas e Patentes)

d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)

e) Lei Federal 10406, de 10 de janeiro de 2002 (Código Civil)

f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Código Penal)

g) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providencias)

h) Lei Federal 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)