Compra Aberta | http://compraaberta.jundiai.sp.gov.br

Política de Segurança

Será respeitada a política de segurança, conforme descrita no anexo I

Anexo I

A Política de Segurança de Informações da Prefeitura do Município de Jundiaí em relação ao sistema de compras eletrônicas denominado COMPRA ABERTA: obedecerá as normas e controles dispostos neste documento:

CAPÍTULO I
Disposições iniciais

A Política de Segurança de Informações tem como objetivo reduzir riscos da ocorrência de perdas e alterações indevidas nos dados, preservando a confidencialidade, a integridade e a disponibilidade das informações, e objetiva assegurar a continuidade das atividades, evitando o acesso e a utilização indevida.

CAPÍTULO II
Dos princípios de segurança

1 – Com relação ao tratamento das informações:

I – as informações são de propriedade do Município, e como tal, devem ser tomadas às medidas necessárias para protegê-las de alteração, destruição ou divulgação não autorizadas, quer seja acidental ou intencional.

II – Toda informação deve ter um gestor que definirá a sua classificação, a autorização de acessos e o cancelamento dos mesmos. O gestor do sistema proverá o suporte necessário para a definição da classificação das informações, através do “Perfil de Usuário”.

III – As informações devem ser classificadas, quanto a confidencialidade, integridade e disponibilidade, e identificadas de forma a serem adequadamente acessadas, manipuladas, armazenadas, transportadas e descartadas.

IV – Os servidores públicos e os fornecedores devem garantir o sigilo das informações a que tiverem acesso, tomando o cuidado necessário quanto à sua

divulgação interna e externamente, avaliando-se o seu respectivo nível estratégico. Quanto à empresa detentora dos códigos denominada Paradigma Tecnologia de Negócios SA. e a empresa CIJUN – Companhia de Informática de Jundiaí, a ação deve ser formalizada através da assinatura de “Termo de Confidencialidade”, junto com a contratação.

V – Todos os processamentos executados no sistema COMPRA ABERTA deverão ter suas responsabilidades conhecidas e distribuídas de forma a não serem concentradas em um mesmo grupo ou pessoas.

2 – No que diz respeito ao controle de acesso:

I – Todo servidor público ou pessoa autorizada deve ter identificação única e pessoal, através de login e senha, intransferível, qualificando-o como responsável por qualquer atividade desenvolvida através dela.

II – A concessão de autorização de acesso deverá ser restrita aos recursos mínimos necessários para que os usuários desenvolvam suas atividades.

· A liberação do acesso será de acordo com a política de Controle de Acessos e através do envio do documento de permissões controleacesso-permissões, pelo seu responsável direto, para avaliação e autorização do Sr. Diretor do Depto. de Logística.

· Casa usuário terá um login e senha, para validação da identidade criada para obtenção de acesso previamente liberado.
· As responsabilidades do usuário incluem, principalmente, os cuidados para a manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de suas ações, evitando sua utilização indevida. As senhas são individuais, sigilosas e intransferíveis, não podendo ser divulgadas em nenhuma hipótese.

· O usuário que não estiver utilizando a informação, não deverá deixar exposto na tela, reduzindo assim o risco de acesso não autorizado, perda e danos à informação.

III – Os fornecedores devem possuir acesso limitado à execução de suas atividades.

· O fornecedor poderá criar mais usuários para a sua empresa, para que possa atender as demandas do sistema, ou de acordo com a necessidade da empresa.

· É de responsabilidade do fornecedor todas as ações efetuadas com a sua senha de acesso, bem como a de seus usuários complementares.

· O fornecedor deverá excluir os acessos criados para a sua empresa, uma vez que o usuário não mais possua responsabilidade sob o mesmo.

3 – Constituem faltas graves:

I – Mau uso da informação, pertencente ao Município, e de seus recursos de processamento, ou o não cumprimento de normas que visem a protegê-los, constitui em falta grave, e têm suas sanções previstas no Código Penal Brasileiro (Decreto Lei n° 2.848/40), com suas alterações, sem prejuízo das sanções administrativas aplicáveis ao caso concreto, e na Lei Municipal n° 94 de 14/03/1979 (Estatuto dos Funcionários Municipais) que tem ali estabelecida suas sanções.

II – Mau uso da identificação pessoal, por parte do servidor público ou qualquer outro, constitui falta prevista no Código Penal Brasileiro (Decreto Lei n° 2.848/40), com suas alterações, sem prejuízo das sanções administrativas aplicáveis ao caso concreto, e na Lei Municipal n° 94 de 14/03/1979 (Estatuto dos Funcionários Municipais) que tem ali estabelecida suas sanções.

4 – Quanto à capacitação:

I – Os servidores públicos e fornecedores deverão possuir conhecimento mínimo para a execução de suas tarefas, conhecer a Política de Segurança de Informações da Prefeitura, bem como o Manual Operacional do Sistema, e serem devidamente treinados quando necessário para o uso do sistema COMPRA ABERTA.

II – A divulgação da Política de Segurança e a disseminação da cultura de segurança serão feitas pelo Órgão Gestor do Sistema COMPRA ABERTA, que se constitui no Departamento de Logística e seus gerentes e coordenadores.

III – O treinamento em segurança será feito pelo órgão gestor do sistema COMPRA ABERTA, e pelos coordenadores das áreas de informática da CIJUN. Campanhas de segurança deverão ser realizadas periodicamente.

5 – Quanto à estabilidade do ambiente:

I – A disponibilização de recursos será permitida após atendimento às recomendações desta Política e homologação pela área de informática e a autorização do responsável pelos respectivos recursos. Esses recursos deverão ser identificados de forma individual, preservado, protegidos contra acessos indevidos, serem submetidos à manutenção preventiva periódica, estarem com a

documentação atualizada e aprovada pelo setor responsável pela produção e de acordo com: as cláusulas contratuais pactuadas com a empresa Paradigma Tecnologia e Negócios SA. e CIJUN.

II – Os recursos de informática compartilhados deverão ser usados de forma que outros usuários não sejam afetados, e desde que previamente pactuado.

Distribuir acesso a softwares, aplicativos, programas, módulos e ao site de maneira que atenda a necessidade de cada usuário, e evitando a concorrência (instabilidade no ambiente ou parte dele).

III – Os recursos portáteis, por suas características, devem ser configurados, acondicionados e transportados, atendendo às regras de segurança.

IV – A entrada e saída de qualquer recurso, deverão ser documentadas e aprovado pelo órgão gestor do COMPRA ABERTA.

V – Os equipamentos de terceiros ou alugados deverão ser patrimoniados, de forma a serem identificados como tal pela sua numeração, e o seu uso deverá estar em conformidade com o disposto na Política de Segurança. A retirada desses equipamentos deverá ser realizada em conformidade com os procedimentos internos.

VI – Os programas a serem agregados ao sistema, deverão ser testados em ambiente adequado e segregado, antes de passarem ao estágio de produção.

VII – Todos os recursos deverão obedecer aos padrões definidos internamente.

VIII – Deverá haver, sempre que possível, rodízio nas equipes ou pessoas no desempenho de atividades críticas.

6 – Os recursos considerados críticos à atividade fim devem estar resguardados por um plano de contingência que garanta a continuidade dos serviços, previna e solucione situações de anormalidade. O referido plano deve ser documentado e, periodicamente, testado e revisado, evitando a indisponibilidade e, conseqüentemente, impacto à atividade.

CAPÍTULO III
Das Responsabilidades

7 – Caberá a CIJUN:

I – Garantir a segurança das informações armazenadas nos equipamentos.

II – Disponibilizar o uso aos usuários, ao sistema COMPRA ABERTA

III – Informar as necessidades de acesso e uso dos recursos ao gestor, bem como de exclusão de acesso dos usuários de sua área.

IV – Realizar atualizações tecnológicas e manutenção do ambiente informatizado.

V – Manter a documentação do ambiente informatizado atualizada, bem como do sistema e aplicativos, antes de serem colocados em produção.

VI – Garantir a integridade e disponibilidade de informações e dos recursos do ambiente informatizado, segundo os controles estabelecidos pelo órgão gestor e auditoria de sistemas.

VII – Definir os procedimentos de contingência em caso de contaminação do ambiente por vírus ou por ataques de “hackers”.

VIII – Efetuar “backup” e guarda das informações dos sistemas colocados em produção, bem como autorizar a restauração das cópias de segurança.

Guardar o “backup” em local seguro e longe do ambiente da CIJUN, e/ou cofre.

IX – Atualizar os sistemas operacionais com as atualizações, no menor prazo possível, e seguindo suas recomendações.

X – Avaliar as atualizações efetuadas pela empresa Paradigma Tecnologia de Negócios S.A.

XI – Implementar soluções de segurança no ambiente informatizado, bem como controles preventivos e de mitigação.

8 –Caberá ao Departamento de Logística – órgão gestor:

I – Estabelecer condições para uma eficiente, segura e controlada execução de aplicações e armazenamento de informações sob sua custódia.

II – Analisar e homologar os treinamentos necessários para a correta e eficiente utilização dos recursos do sistema.

III – Definir os administradores de sistemas dos ambientes, que deverão estar previamente capacitados, seja pelo gestor, seja por multiplicadores.

IV – Definir e classificar os usuários por níveis: Administradores, UC, Pregoeiros, Homologadores, bem como revisar, liberar, bloquear e deletar os usuários que não atuem nas áreas.

V – Realizar a revisão da política de segurança de informações, bem como testes e atualizações regulares dos planos e processos implantados.

9 – Caberá à Auditoria do sistema COMPRA ABERTA

I – verificar o cumprimento da política de segurança.

CAPÍTULO IV
Das disposições finais

10 – Cuidar da segurança e da integridade do sistema é responsabilidade de todos.

11 – É responsabilidade de todo servidor público, da Cijun e da empresa Paradigma Tecnologia de Negócios S.A., observar os desvios dos procedimentos estabelecidos, e informar esses desvios ao responsável imediato.

12 – As diretrizes da Política de Segurança de Informações serão auditadas periodicamente.

13 – Estas diretrizes deverão ser revisadas e atualizadas pelo órgão gestor do sistema COMPRA ABERTA, à medida que se agreguem novos valores às atividades do sistema, ou dentro do intervalo de 01 ano.

UNIDADE DE GESTÃO DE ADMINISTRAÇÃO E GESTÃO DE PESSOAS