Política de Privacidade

Introdução

A Informação é o patrimônio mais precioso que as empresas possuem, por essa razão, desenvolver, aplicar e manter uma política de Segurança é fundamental.

Usuários têm diferentes preocupações quanto à sua privacidade, nosso objetivo é a transparência sobre os nossos serviços e suas informações.

A política de Segurança deve conter todas as medidas de Administração da Informação requeridas e esperadas pelo Xo.

Objetivos

Estas políticas são mandatórias e aplica-se a todos os usuários (interno/externos), inclusive, colaboradores e/ou clientes do Xo.

Esta política define o uso responsável das informações no Xo e se aplica aos meios de comunicações existentes dentro das nossas instalações, sejam acessos internos ou externos (e-mails, sistemas de gestões internas, sites, aplicativos mobiles), bem como a segurança da informação e a estruturação e manutenção do parque tecnológico do Xo.

Definições

Correio Eletrônico (e-mail)

O Correio eletrônico é uma ferramenta essencial para o nosso dia-a-dia, permitindo ser ágil em nossa comunicação interna e externa (funcionários, clientes, fornecedores, etc.). Entretanto, o uso não controlado do e-mail pode trazer ameaças reais para o Xo, tais como:

• Contaminação por vírus;
• Quebra da confidencialidade;
• Danos a Imagem e reputação da empresa;
• Entre outros.

Além disto, o uso inapropriado da mensagem eletrônica pode trazer problemas com as autoridades reguladoras e criminais.

Responsabilidades

Esta Política foi elaborada e será mantida atualizada pelo Departamento da Tecnologia da Informação.

Todos os usuários do correio eletrônico que enviarem ou acessarem mensagens eletrônicas a partir das instalações do Xo devem se guiar pelas seguintes obrigações:

• O uso do Correio Eletrônico dentro das instalações do Xo deve estar sempre relacionado aos negócios da Instituição ou das responsabilidades definidas para os usuários dentro do seu departamento;
• Todos os documentos anexados em mensagens eletrônicas externas devem ser salvos em arquivos PDF antes de serem anexados;
• O uso esporádico para fins particulares é permitido, desde que não viole os demais itens desta política;
• Seguir o Código de Ética da Instituição quanto ao uso das mensagens eletrônicas;
• Informar imediatamente seus superiores e ao Help Desk sobre mensagens eletrônicas recebidas que sejam suspeitas ou que possam estar em desacordo com o Código de Ética ou com esta política;
• Assegurar-se sobre o conteúdo “compliance” (conteúdo não abusivo, obsceno ou que possa trazer prejuízos de qualquer natureza a Instituição, seus clientes, colaboradores ou fornecedores) de uma mensagem eletrônica antes de enviá-los a outras pessoas;
• Não desobedecer às definições sobre valor e risco das informações, tal qual definidas formalmente pelo Xo, quando estas informações forem enviadas por mensagem eletrônica;
• Revisar periodicamente as mensagens eletrônicas armazenadas na conta de correio pessoal/caixa jurídica sob sua responsabilidade, arquivando-as ou apagando-as quando apropriado, respeitando-se os limites de armazenamento definidos para cada perfil de usuário;
• Responder periodicamente, de maneira clara e objetiva, as mensagens eletrônicas enviadas para a sua conta de correio pessoal ou caixa jurídica sob sua responsabilidade e que requeiram sua atenção;
• Redobrar a atenção quando for enviar mensagens eletrônicas externas (Clientes, etc.);
• Não agir para impedir a inclusão ou tentar alterar a assinatura juntamente com o disclaimer colocado automaticamente pela área de tecnologia como segue o modelo abaixo:

Assinatura e Disclaimer “Xo” – mensagens eletrônicas:

Início

Nome do Funcionário
Departamento
XO Tel. 55 1 3577-0355

Essa mensagem eletrônica e quaisquer arquivos transmitidos com ela é confidencial, e se destinam apenas ao uso do endereçado. Contém informações privilegiadas que são de divulgação proibida pela lei. Se você não é o endereçado, por favor, note que disseminação não autorizada, cópia ou acesso dessa mensagem e seu conteúdo é proibido e pode ser considerado ilegal. Se você recebeu essa mensagem por engano, por favor, responda ao remetente e elimine-a imediatamente.

This email and any files transmitted with it are confidential and intended solely for the use of the addressee. It may contain privileged information that is exempt from disclosure by law. If you are not the addressee, please note that unauthorized dissemination, copying or accessing of this email and its contents is prohibited and may be unlawful.If you received this message in error, please reply to the sender and delete it immediately.

ANTES DE IMPRIMIR tenha em mente seu compromisso com o MEIO AMBIENTE!

Término

O que não pode ser feito:

• Usar a mensagem eletrônica para fins de ganhos financeiros pessoais, compras e vendas de material ou serviços para uso pessoal;
• Envio e recebimento de mensagens eletrônicas via webmail particular do usuário;
• Enviar informação ilegal ou que possa ser considerada ofensiva, ameaçadora ou similar, a qualquer destinatário, interno ou externo;
• Enviar mensagem eletrônica que possa causar prejuízos morais, legais a Instituição ou a seus funcionários/colaboradores;
• Acessar ou tentar acessar mensagens eletrônicas que estejam armazenados em outras caixas de correio que não sejam as formalmente definidas como de responsabilidade do próprio usuário ou da área. Este acesso somente poderá ocorrer com permissão expressa do usuário ou quando se tratar de auditorias oficializadas pela Instituição;
• Compartilhar contas de correio pessoais com outras pessoas, isto é, o usuário A não pode usar outra conta de correio pessoal que não seja vinculada exclusivamente ao usuário A;
• Usar a mensagem eletrônica para violar 'copyright' (Direito de cópias de documentos);
• Envio de informações confidenciais da Instituição por mensagem eletrônica;
• Envio de grandes arquivos (maiores que 4 MB), ao menos que sejam essenciais e aprovados pela Gerência de Tecnologia;
• Recebimento de grandes arquivos (maiores que 7MB), ao menos que sejam essências e aprovados pela Gerência de Tecnologia;
• Envio de mensagem eletrônica para autoridades financeiras, imprensa, autoridades jurídicas, etc., sem a expressa autorização da Presidência do Xo.

Proteção da Informação Antivírus

Todas as mensagens enviadas e recebidas (e seus anexos) são verificadas pelo antivírus oficial da Instituição e o usuário não deve interferir neste mecanismo.

Em caso de suspeita de vírus, notifique imediatamente a área de Tecnologia da Informação.

O antivírus e o Anti-Spyware oficiais do Xo devem ser mantidos habilitados nas estações (desktop) da Instituição. O usuário deve monitorar sua atualização periodicamente.

Informações do Xo

Considere o risco do envio de informações da Instituição via correio (em especial, via Internet) e proteja-as adequadamente. O uso do disclaimer não é obrigatório. Informações confidenciais NÃO devem ser enviadas via mensagem eletrônica.

Integridade

Você deve estar ciente que as mensagens eletrônicas podem ter seu conteúdo e cabeçalho de informações (remetente, etc.) alterado durante seu trajeto na Internet; A Instituição não possui a função de mensagem eletrônica segura disponibilizada aos usuários, exceto em casos essenciais, onde se faz a utilização do COMPROVA.

Acesso à mensagem eletrônica do Xo via Internet ou outros acessos, fora das instalações da Instituição (WEB Mail Oficial)

Regras de USO de acesso: o desktop deve conter Antivírus e Anti-Spyware atualizados pelo usuário e seguir esta política;

Quem está autorizado: Nível diretivo ou cuja justificativa comprove a necessidade deste acesso;

Quem pode autorizar os acessos: Gerência de Tecnologia.

Resumo das Regras para o ambiente de Correio Eletrônico, anexo nas mensagens eletrônicas:

Envio:

• Extensões Permitidas: PDF/Adobe, DOC/Word, XLS/Excel, TXT; RET; REM/Texto sem formatação;
• Extensões Proibidas: EXE, COM;
• Tamanhos: 4 Mb.

Recebimento:

• Extensões Permitidas;
• Proibidas:
• Tamanhos: 7 Mb.

Lista de anti-spam:

Além da Lista Corporativa de anti-spam, de responsabilidade da Área de Tecnologia, cada usuário poderá complementar esta lista usando-se os recursos disponíveis no cliente do correio eletrônico, sem violar a política corporativa.

Controle de mensagens eletrônicas enviadas ou recebidas via Internet ou outros Meios:

Envio:

Quem está autorizado: a definição de uma política corporativa é de responsabilidade da Área de Tecnologia da Informação;

Recebimento:

Quem está autorizado: a definição de uma política corporativa é de responsabilidade da Área de Tecnologia da Informação.

A definição de uma política corporativa é de responsabilidade da área de Tecnologia da Informação:

Tamanho da Base de Dados (Caixa Postal)

Padrão por perfil de usuário comum: 500 MB;

Padrões por Perfil especiais: 1000 GB;

Backups dos dados e procedimentos específicos: a definição uma política corporativa de backup para o correio é de responsabilidade da área de Infra e deve ser validada pelo Diretor Administrativo.

Grupos de Usuários

Os grupos de usuários deverão ser requisitados pelo encarregado de um dos departamentos envolvidos e com autorização da Gerência de Tecnologia da Informação.

Qualquer usuário poderá solicitar a criação de grupos, a qual será analisada para verificação e análise do conteúdo a serem trafegado;

Quando Usar: somente para comunicação referente aos negócios da Instituição e cujo conteúdo da informação seja formalmente uma responsabilidade daquele usuário;

Atualmente existem dois grupos de usuários:

• boletim@xobank.com.br: Utilizado pelos departamentos para informativos comuns a todos os funcionários do Xo (seu conteúdo será visualizado e liberado pela Gerência de Tecnologia da Informação);
• xobank@xobank.com.br: utilizados pelos departamentos para informativos comuns a todos os funcionários do Xo (seu conteúdo será visualizado e liberado somente pela Diretoria do Xo);

Cuidado: O Envio de mensagem eletrônica para todos os usuários do Xo só é permitido para usuários formalmente autorizados para esta finalidade e será vistoriado previamente pela Área de Tecnologia.

“Este é um Recurso Tecnológico do Xo. O Uso da Rede, Mensagem eletrônica com o nosso domínio e Internet, através destes Recursos (rede, desktops ou Similares), deve estar de acordo com as normas internas a Lei e objetivando suportar o negócio do Xo. O conteúdo das informações acessadas é Monitorado pela Instituição. O uso esporádico destes recursos, para fins particulares, é permitido, desde que sejam cumpridas as regras internas da Instituição. Não prossiga se você não estiver autorizado a usar estes recursos”.

Comunicados a Gerência de Tecnologia da Informação relacionada ao correio eletrônico devem ser direcionados ao:

• Suporte sobre o Uso do Correio Eletrônico: Help Desk;
• Suporte Técnico ao Software do Correio Eletrônico: Help Desk;
• Outros assuntos relacionados ao Correio Eletrônico/Política de Uso do Correio: Gerente de Tecnologia da Informação

Pedidos de EXCEÇÕES para esta Política

Como solicitar:

Enviar Mensagem eletrônica para o Gerente de Tecnologia da Informação com Assunto/Subject: Pedido de Exceção para Correio Eletrônico justificando a EXCEÇÃO e com aprovação prévia do gerente da área.

Termo de responsabilidade e compromisso de adesão a Governança de T.I.

Todos os usuários deverão assinar o Termo de responsabilidade e compromisso de adesão a Governança de T.I. que será armazenado junto ao dossiê do funcionário na área de Recursos Humanos.

POLITICA DE CONFIDENCIALIDADE

Manter a confidencialidade de informações não pública da empresa ou seus usuários, colaboradores ou clientes, garantindo que o uso de tais informações é apenas para interesse único da empresa e não serão divulgadas a terceiros (mesmo prováveis concorrentes), ou outros que possam usar esta informação para proveitos próprios.

Aplicabilidade

Todos os trabalhadores do Xo devem manter a confidencialidade de informações não públicas que lhes foi confiada pela empresa, seus clientes ou seus fornecedores e utilizar esta informação apenas para fins relacionados com a empresa, com exceção de negócios sempre que a publicação ou outra utilização é autorizada por escrito ou por mandato legal.

As informações confidenciais fornecidas aos funcionários são um ativo valioso, especial e exclusivo da empresa. Esta informação confidencial inclui, mas não está limitada a:

• Informações Confidenciais", qualquer informação, documentação, conceitos, modelos, condições de operação, informações técnicas.
• Know-how, segredos comerciais, econômicos, relatórios de mercado, estudos, planos, programas, análises, compilações, informações sobre preços, termos e condições relativos à operações tudo relacionado a finanças, planos de negócios e mercado, questões legais, listas de fornecedores, perspectivas de negócios, oportunidades de negócios, registros de negócios, atribuições pessoais, contratos, ativos da empresa e/ou suas afiliadas.
• Isso inclui informações postadas aos funcionários em um esforço para mantê-los informados ou em conexão com suas atividades de trabalho. Informações confidenciais também incluem informações coletadas, adquiridas ou desenvolvidas durante o período de contratação do funcionário, incluindo informações originadas por funcionários agindo isoladamente ou em conjunto com outro pessoal da empresa.

Qualquer requisito externo para informações da empresa deve ser tratado por pessoas autorizadas.

Escopo da Política

Esta política é mandatória e aplica-se a colaboradores e prestadores de serviços que trabalhem no Xo e/ou acessem os “mensageiros”.

Política de Mensagens (MSN/SKYPE/SLACK/LYNK SERVER) - “mensageiros”.

Os “mensageiros” como facilitador da comunicação estão autorizados a ser utilizado pelos funcionários do Xo, desde que sejam para comunicação com clientes internos/externos. Não serão permitidos contatos tais como parentes ou familiares que não façam parte do relacionamento profissional da empresa.

Este programa, como software livre e de terceiros, deve ter seu conteúdo e instalação devidamente acompanhada por técnicos da área de Tecnologia da Informação. O departamento de Tecnologia não se responsabiliza pelas trocas de informações feitas pelos “mensageiros”, por não ter o domínio de segurança da ferramenta. Mensagens que contenham dados estratégicos do Xo não devem ser trocadas via “mensageiros”. A não ser quando liberadas pela Diretoria.

Escopo da Política

Esta política é mandatória e aplica-se a colaboradores e prestadores de serviços que trabalhem no Xo e/ou acessem os “mensageiros”.

Esta política define o uso responsável da comunicação eletrônica no Xo e se aplica ao uso dos “mensageiros” dentro das nossas instalações.

Definições:

Configurações:

• Imagem de Exibição: A imagem de exibição deverá ser a enviada pelo departamento de T.I., e está disponível para baixa na Intranet (formulários/Imagens);
• Nome de Exibição e Mensagem Pessoal: O nome de exibição deverá ser o que identifica o usuário dentro da empresa (nome pelo qual é conhecido), inclusive informando o nome da empresa relacionada ao grupo ao qual o funcionário presta serviços. Ex.: Nome – Xo. A mensagem pessoal deve ser o nome do departamento ao qual o funcionário presta serviço. Ex.: Operacional.
• Histórico: Todo e qualquer assunto terá seu conteúdo gravado em local próprio (pré-determinado) pelo departamento de Tecnologia da Informação e mediante solicitação da Gerência ou da Diretoria poderão ter seu sigilo disponibilizado. É vedado aos usuários modificar, apagar ou alterar o local destino desta pasta sob pena de advertência funcional.

Política de Senhas

A crescente importância da Tecnologia da Informação para as empresas requer a elaboração de Políticas de Proteção da Informação, que passam a desempenhar um papel vital para as organizações.

Esta política deve orientar a área de Tecnologia da Informação e os usuários da Instituição na proteção das informações, contra os efeitos de erros involuntários, negligência, ações intencionais, fraudes e desastres.

O objetivo desta política é assegurar que todos os funcionários e colaboradores do Xo conheçam suas responsabilidades sobre a PROTEÇÃO das Informações do Xo.

A não aplicação desta política pode acarretar nos seguintes riscos:

• Segregação de funções inadequadas para usuários;
• Segregação de funções inadequadas para os desenvolvedores ou pessoal de Suporte;
• Trilhas de auditoria inadequadas das atividades dos usuários dentro do ambiente de TI.

Escopo da Política de senhas

Esta política é obrigatória e aplica-se a funcionários e colaboradores da Instituição que estejam trabalhando dentro das instalações da Instituição ou acessando as Informações via Internet ou outros meios. Esta política define:

• Controle de Acesso à Informação;
• Funções no Gerenciamento dos Dados;
• Restrições de Acessos;
• Acessos Remotos; e
• Autenticação.

Esta política deve estar de acordo com as Leis Brasileiras.

Definições

Usuário do Sistema ou User-ID:

É a identificação pessoal de um usuário na rede.

Logon:

Termo utilizado no processo de iniciação de uma sessão num computador central.

Revisões deste documento

Este documento é revisado anualmente e aprovado pela Presidência do Xo.

Responsabilidades

Esta Política foi elaborada e será mantida atualizada pela Área de Tecnologia - Infraestrutura de TI:

• Responsável por configurar nos Sistemas e Softwares os Acessos autorizados pelo gestor proprietário do Sistema;
• Gestor do Usuário: superior hierárquico do usuário para o qual se solicitou um dado acesso. É responsável pelo “De Acordo” para o acesso solicitado para um usuário da sua área;
• Proteção da Informação; e
• Controle de Acesso.

Identificação do Usuário

O acesso às Informações da Instituição, diretamente ou via sistemas, somente pode ser feito mediante a utilização de um Usuário de Acesso (User-ID), formalmente liberado pela instituição para acesso de uma pessoa determinada a um Sistema. Este User-ID deve estar claramente associado a uma única pessoa, e mediante este User-ID, o Sistema deve permitir o rastreamento das atividades deste usuário.

Senhas de acesso:

Para acessar um sistema ou informação da instituição, toda pessoa deve fornecer uma informação de autenticação (por exemplo: senha, PIN, etc.), que prove de maneira clara a sua identidade. Esta informação de autenticação deve ser secreta, de uso exclusivo da pessoa para a qual foi gerada, não deve ser impressa ou visualizada e não deve estar relacionada ao User-ID mencionado.

A senha não pode ser divulgada para outras pessoas, exceto nos seguintes casos:

• Para permitir suporte de pessoal autorizado em desktops, mediante formalização desta atividade. Neste caso, logo após o término do suporte, a senha deve ser alterada pela pessoa responsável pelo User-ID;
• No caso de suspeita de violação da sua senha (conhecimento por terceiros), o usuário responsável pela mesma, deve avisar o suporte de T.I. e alterá-la imediatamente;
• A distribuição das senhas iniciais para os respectivos responsáveis deve ser feita de maneira segura (carta entrega ao recém-admitido ou terceiro em envelope lacrado) e não deve ser padronizada;
• O usuário formalmente autorizado a usar esta senha inicial deve obrigatoriamente alterá-la antes de começar a usar as funções do sistema para a qual a senha foi gerada.

Regras para Senhas

• Os responsáveis pelo uso das senhas devem poder alterá-las sem auxílio de terceiros e trocá-las quando assim o desejarem mediante solicitação ao Help Desk;
• Tamanho mínimo de caracteres permitido em caso de usuário que apenas faz logon local: 6 caracteres;
• Tamanho mínimo de caracteres permitido em caso de usuário que faz logon remoto: 6 caracteres;
• As senhas definidas pelo usuário não devem ser óbvias e / ou simples.

Periodicidade da troca de senhas:

• Mensal, não obrigatoriamente;
• Histórico de uso de senhas: O sistema não permitirá a reutilização de senhas antes do final do 24º período de troca obrigatória, conforme item acima.

O acesso do usuário é bloqueado automaticamente após a terceira tentativa errada no fornecimento da senha. A reativação da senha só será possível mediante contato formal e documentado com a área de Tecnologia da Informação;

Procedimentos de logon automatizados ou pré-gravados não podem conter senhas gravadas nos “scripts e procedimentos”;

Restrições de Acesso

• Controle de Banco de dados: somente o responsável pela área de Infra Estrutura e o Gerente de TI;
• Ambiente produção: somente o responsável pela infra e Gerente de TI;
• Acesso ao Data center: somente equipe infra ou autorizados;
• Desconexão automática por inatividade: os sistemas encerrarão as sessões dos usuários depois de 20 minutos de inatividade, requerendo novamente a digitação da senha para voltar a utilizá-lo (não aplicável em app-mobile);

Proteção contra acessos não permitidos

• Trilhas de auditoria: Todos os sistemas terão Trilhas de Auditoria, cujo histórico será mantido por 12 meses;
• Funcionários ou terceiros que sejam desligados ou afastados da Instituição, ou que estejam em período de férias, não podem ter acesso aos Sistemas da Instituição. Para isto, estes fatos devem ser comunicados pela área de RH para o help desk, para que sejam imediatamente desativados (provisoriamente ou definitivamente);
• Manutenções em Perfis de Usuários (Direitos, Criação, Alteração ou Eliminação de Usuários) só poderão ser criados pelo help desk, mediante “de acordo” formal do gestor da área ao qual o usuário está subordinado;
• Os perfis de acesso devem ser configurados de acordo com a necessidade de acesso (leitura ou gravação) de cada usuário.

Monitoramento e “Compliance”

O Xo se reserva o direito de monitorar, abrir e inspecionar o conteúdo das trilhas de auditorias dos sistemas. Este monitoramento pode ocorrer:

• durante o processo de administração dos sistemas pelo seu Gestor;
• durante investigações ou auditorias;
• a fim de manter a integridade da Instituição;
• por solicitação legal;

Nestes casos, sempre mais de um departamento deverá autorizar este procedimento, (Superintendência de Tecnologia da Informação, Departamento de Segurança da Informação e um Diretor de Área do Usuário monitorado).

Constatações sobre o uso incorreto das informações serão comunicadas pela Gerência de TI ao gestor da área, para que se definam as medidas cabíveis, sendo categorizadas de acordo com:

• Uso indevido intencional;
• Uso indevido de informação confidencial.

Disclaimer

Sugestão de texto Welcome Text que aparece logo após ligar o PC e antes do Login da Rede para alertar sobre a propriedade das Informações:

Essa mensagem eletrônica e quaisquer arquivos transmitidos com ela é confidencial, e se destinam apenas ao uso do endereçado. Contem informações privilegiadas que são de divulgação proibida pela lei. Se você não é o endereçado, por favor, note que disseminação não autorizada, cópia ou acesso dessa mensagem e seu conteúdo é proibido e pode ser considerado ilegal. Se você recebeu essa mensagem por engano, por favor, responda ao remetente e elimine-a imediatamente.

This email and any files transmitted with it are confidential and intended solely for the use of the addressee. It may contain privileged information that is exempt from disclosure by law. If you are not the addressee, please note that unauthorized dissemination, copying or accessing of this email and its contents is prohibited and may be unlawful.If you received this message in error, please reply to the sender and delete it immediately.

ANTES DE IMPRIMIR tenha em mente seu compromisso com o MEIO AMBIENTE!

Comunicados sobre TI

Todas as ocorrências relevantes serão divulgadas sempre, através de Boletins Institucionais.

Recursos Computacionais

O ambiente interno do Xo é hoje uma ferramenta essencial para o compartilhamento e agilização de informações que devem ser divulgadas internamente em diferentes áreas.

Entretanto, o uso não controlado desse recurso pode causar grandes prejuízos para a Instituição e para os seus clientes, tais como:

• Duplicação indevida de informações;
• Quebra de confidencialidade;
• Tomada de decisão errônea;

O objetivo desta política é assegurar que todos os funcionários, colaboradores conheçam suas responsabilidades sobre a utilização dos recursos de rede local e as sigam.

Escopo da Política

Esta política é mandatória e aplica-se a colaboradores, clientes e prestadores de serviços que trabalhem no Xo.

Esta política define o uso responsável da utilização dos recursos de rede.

Definições

Drive de Rede:

Local onde ficam armazenados os diversos sistemas e arquivos para o desenvolvimento dos negócios da Instituição. Estes drivers podem ser compartilhados ou não, mas, são sempre em um Servidor de Rede Local;

Servidor de Rede Local:

Computador centralizador de diversos sistemas e arquivos da instituição preparados para conexão de diversos usuários simultaneamente;

Impressora de Rede:

Impressora robusta compartilhada por diversos usuários.

Responsabilidades

Esta Política foi elaborada e será mantida atualizada pela Área de TI.

Todos os usuários da Instituição que acessam os serviços computacionais da Instituição devem se guiar pelas seguintes obrigações:

• O uso de quaisquer recursos computacionais (computadores, fax, máquinas copiadoras, etc) devem estar sempre relacionados aos negócios da Instituição ou das responsabilidades definidas para seus usuários dentro do seu departamento. Todos os recursos podem sofrer auditoria sem prévio aviso;
• O uso esporádico para fins particulares é permitido, desde que não viole os demais itens desta política;
• Seguir o Código de Ética da Instituição;
• Revisar periodicamente os arquivos armazenados sob sua responsabilidade, arquivando-as quando apropriado em servidores da Rede Local, respeitando-se os limites de armazenamento definidos para cada perfil de usuário.

O que não pode ser feito

• Usar os dispositivos da rede local (computadores, fax, impressoras, etc.) para fins de ganhos financeiros pessoais, compras e vendas de material ou serviços para uso pessoal, sem expressa permissão da sua gerencia;
• Utilizar qualquer dispositivo pessoal (pendrive, unidades externas de CD e/ou HD) sem a prévia autorização da Gerência de TI;
• Acesso, envio e recebimento de informações que não fazem parte da sua rotina de trabalho assim como, o fornecimento para pessoas indevidas;
• Acessar ou tentar acessar informações que não sejam as formalmente definidas como de responsabilidade do próprio usuário e/ou da área. O acesso a qualquer sistema da Instituição somente poderá ocorrer com permissão expressa do proprietário da informação;
• Compartilhar usuários de rede local e de sistemas com outras pessoas, isto é, o usuário A somente pode utilizar o seu login de rede, vinculado exclusivamente para o usuário A;
• Qualquer comunicação sobre os procedimentos internos (negócios, tecnologia, etc.) assim como, os seus números de resultados somente poderão ser divulgados por meio da área responsável dentro da Instituição.

Controle de Acesso a Rede Local

Identificação do Usuário

(User-Id): O acesso a rede de computadores, somente pode ser feito mediante a utilização de um usuário de acesso (User-Id), formalmente liberado pela Instituição para acesso de uma determinada pessoa. Este User-Id deve estar claramente associado a uma única pessoa, e mediante este User-Id, o Sistema irá permitir o rastreamento das atividades deste usuário;

Senhas de acesso:

Para acessar a rede de computadores do Xo, todo funcionário ou colaborador deve fornecer uma informação de autenticação (por exemplo: senha, PIN, etc.), que prove de maneira clara a sua identidade. Esta senha de acesso deve ser secreta, de uso exclusivo da pessoa para a qual foi gerada pela Instituição e nunca deve ser impressa ou visualizada e estar sempre relacionada ao User-Id.

Tamanho de Espaço em Disco (Servidor de Rede Local)

Padrões para usuários especiais (Secretárias, Diretores):

a definição de uma política especifica é de responsabilidade da Área de TI;

Backups dos dados e procedimentos particulares:

a definição de uma política corporativa de backup é de responsabilidade da Gerência de TI.

Controle de Acesso a Sistemas

• Todos os sistemas da Instituição utilizam-se de controles de acesso especifico;
• Cada usuário criado deve ser incluído em um grupo de acesso no qual são configurados os acessos necessários para o desenvolvimento de suas funções dentro dos sistemas que necessita;
• Qualquer necessidade especifica de um usuário deve ser solicitada ao Gestor do Sistema, para que seja autorizado. O mesmo comunica a área de Segurança da Informação para a configuração do acesso;
• NÃO são aceitos pedidos de usuários finais diretamente para o help desk, ou seja, um usuário final não pode pedir o seu acesso ao sistema.

Controle de Acesso à Internet

• Todo o acesso à Internet é monitorado e a Instituição se reserva o direito de utilizar deste conteúdo das trilhas de auditoria;
• Somente é permitido o acesso para a realização de tarefas ou pesquisas que sejam relacionadas ao negócio da instituição;
• É expressamente PROIBIDO o acesso a informações ilegais ou que possam ser consideradas ofensivas, ameaçadoras ou similares;
• O usuário é responsável pelos sites acessados e pelos arquivos copiados para a rede interna da Instituição;
• Não é permitido a cópia de nenhum programa freeware, shareware ou que não seja adquirido pela formas legais e conformidade com as leis brasileiras;
• Não é permitido nenhum acesso a sites que não sejam vinculados aos negócios da Instituição. Os mesmos serão barrados nos sistemas de segurança e os usuários que tentarem ficarão sujeitos a punição.

Controle de Acesso Físico

• Todo acesso físico da Instituição é realizado mediante acesso biométrico;
• Independente da biometria, os funcionários devem usar o crachá de identificação;
• No caso de perda do crachá, o usuário deve comunicar imediatamente o ocorrido para o Departamento de Recursos Humanos para que seja bloqueado o acesso do mesmo na portaria do edifício.

Política do Help Desk

A área de Help Desk deve ajudar os funcionários ou colaboradores da Instituição, sobre assuntos relacionados à tecnologia (mensagem eletrônica, telefonia, etc.). Algumas considerações:

• Todos os chamados e ocorrências devem ser registrados no sistema de Help Desk, para que tenhamos o volume de chamados e o tempo médio para a resolução;
• Os chamados seguem uma ordem de urgência de acordo com o estabelecido pela Gerência de TI.

Fax / Xerox / Impressoras

A utilização de Fax / Xerox / Impressoras pode ser feita por todos os usuários da Instituição. Algumas considerações:

• Manter o local o mais limpo possível e organizado;
• Somente utilizar os equipamentos para informações relativas aos negócios da Instituição;
• Não devem ser enviados, copiados ou impressos informações consideradas ofensivas, ameaçadoras ou similares.

Monitoramento e “Compliance”

O Xo se reserva o direito de monitorar, abrir e inspecionar o conteúdo das informações do correio eletrônica, de acordo com as leis brasileiras.

Este monitoramento pode ocorrer:

• Durante o processo de administração do correio;
• Durante investigações ou auditorias;
• A fim de manter a integridade da Instituição;
• Por solicitação legal;

Nestes casos, sempre mais de uma pessoa deverá autorizar este procedimento (Diretor Administrativo, Gerente de TI e um gestor da área do usuário monitorado).

As constatações sobre o uso não correto serão comunicadas ao Gerente de TI e ao Diretor da Área, para que se definam as medidas cabíveis.

Revisões deste Documento

Este documento será revisado anualmente e aprovado pela Diretoria Administrativa do Xo.

Política de Segurança da Informação

Antivírus, Spywares e Cavalos de Tróia

Nossa política de proteção contra o ataque de programas maliciosos encontrados na navegação de internet como vírus, cavalos de tróia e spywares são:

• Políticas de bloqueio de sites com conteúdo impróprio ao negócio do Xo;
• Políticas de bloqueio de e-mails com tamanho superior a 10MB, além de bloqueio de e-mails com arquivos anexados com extensão .EXE e .ZIP;
• Instalação do programa Trend Micro Anti-Virus com central de monitoramento no servidor, onde são monitoradas as últimas atualizações e quais as máquinas em que o programa está instalado, dentro de toda a rede;
• Bloqueio do uso do programa MSN para pessoas não autorizadas ao negócio da empresa;
• Programas de acesso remoto da linha VNC, liberado somente para os administradores da rede (departamento de TI);
• Por motivos de segurança, adota-se o bloqueio das portas USB em todas as estações de trabalho, evitando assim eventuais contaminações a nossa rede, adicionalmente aumentando o nível de segurança sobre a base de dados.

Aconselha-se aos usuários não utilizar o e-mail da empresa para fins pessoais, pois dificulta o serviço de monitoramento de spams e vírus. Quando o usuário receber spams ou vírus no e-mail, ele deve encaminhar o e-mail para o suporte@xobank.com.br.

Práticas Recomendadas:

Ao receber um e-mail de remetente desconhecido no qual esteja anexo arquivos com extensões (.exe; .jpg) ou com extensões desconhecidas, não abrir e não clicar em links contidos no e-mail.

Mensalmente será emitido um relatório informando ao usuário a quantidade de ataques que o Xo sofreu por mês.

Backup

A política de backup inclui backup geral de todos os arquivos da rede e de todos os bancos de dados feitos uma vez por semana em NAS 6TB. Para efetuar essa atividade, é utilizado o programa de terceiros.

• Diariamente atualizamos backup incremental dos bancos de dados e de todos os arquivos da rede;
• O backup do banco de dados inclui backup do banco e backup do Log. O backup do banco é feito uma vez por dia e o arquivo de backup é salvo na rede. Quanto ao backup do log, o mesmo é feito a cada 30 minutos;
• Os backups do banco são feitos por meio de agente do SQL Server.

Política de Proteção de Dados

Nossa política é mandatória e aplica-se a todos os colaboradores, e/ou prestadores de serviços, e/ou clientes, que acessem os produtos ou serviços da Empresa. Sua privacidade é importante para nós, portanto, sendo você um usuário, por favor, reserve um tempo para conhecer nossas práticas. E, se você tiver alguma dúvida, consulte esta página.

Fazemos referência à empresa através do uso de termos tais como “site”, “app”, “nós”, “nosso”, “conosco”, “Empresa”, “Controlador”; palavras tais como “você”, “seu”, “Titular”, “cliente”, “usuário” e expressões similares referem-se a nossos clientes, ou aos usuários de nosso site e/ou app. Ao usufruir do nosso site e/ou app, você automaticamente aceita as condições descritas a seguir, que compõem a Política de Privacidade.

Esta política define o uso responsável das informações na Empresa e se aplica com intuito de demonstrar o compromisso do Controlador com os dados pessoais que coletamos, bem como são feitas nossas interações com todos os envolvidos direta ou indiretamente dentro das nossas instalações.

1. Dados Pessoais

1.1 Finalidade

As informações recebidas e retidas sobre os dados pessoais que coletamos, mediante interações feitas em nossos sistemas, fornecidas por você, são utilizadas única e exclusivamente para concretização do negócio, na contratação dos produtos financeiros oferecidos pela Empresa. Não comercializamos, nem fazemos uso indevido das informações recebidas, sendo certo que seus dados são protegidos com uma forte segurança e encriptação. Igualmente, não fazemos uso indevido de e-mails, chat, ou outro meio de comunicação para lhe enviar propagandas ou mensagens alheias ao escopo da contração realizada.

Você não é obrigado a conceder informações ao nosso site e/ou app. Entretanto, sem conceder certas informações quando estas forem solicitadas, não lhe será permitido o acesso a algumas funcionalidades, ou seja, caso você opte por não disponibilizar os dados necessários para o fornecimento de um produto ou serviço, o usuário não poderá usufruir de determinado produto ou serviço.

Da mesma forma, quando precisarmos coletar dados pessoais exigidos por lei, ou celebrar ou realizar um contrato e os dados não forem fornecidos, não será possível celebrar o referido contrato; ou, se isso estiver relacionado a um produto existente que o usuário esteja utilizando, poderemos ter que suspendê-lo ou cancelá-lo. Você será notificado se esse for o caso, no momento oportuno. Onde o fornecimento de dados for opcional e você escolher não compartilhar dados pessoais, recursos que usam esses dados, como personalizações, não funcionarão para você.

Coletamos informações para fornecer serviços aos nossos usuários, que ocorre da seguinte forma:

• A Empresa pode coletar informações de identificação pessoal, como nome, e-mail, números de telefone, endereços, foto, CPF, RG, dados bancários, para fins de cadastramento, análise de crédito, formalização de contratos e pagamentos;
• A Empresa irá utilizar essas informações para processar e completar seu acesso ao site e/ou app. Tais dados poderão ser armazenados, de acordo com o art. 7º, inciso VIII da Lei 12.965/2014 (Marco Civil da Internet), bem como com o art. 7º, incisos II, V, VI, e X da Lei 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”).