Política de Controle de Acesso e Gestão de Usuários da Plataforma mobileX

1. Objetivo

Esta política define as diretrizes para gestão de usuários e controle de acesso aos ambientes em nuvem, aos serviços e arquivos de acordo com regras de classificação e permissões de acesso atribuídas. Sendo estas permissões de acordo com o nível hierárquico e a área/papel das partes interessadas. O objetivo é garantir a confidencialidade, integridade e disponibilidade (CID) dos dados e sistemas, minimizando os riscos de acesso não autorizado e uso indevido.

2. Abrangência

Aplica-se a todos colaboradores, parceiros e clientes da empresa MTM que acessam e utilizam os recursos da plataforma mobileX da MTM armazenados em ambientes de produção de nuvem.

3. Responsabilidades

O controle de acesso e gestão de usuários deve ser gerenciado pela liderança de times de projeto e produto da empresa juntamente com a área de INFRA, TECH e SEC. Clientes e parceiros da MTM devem estar cientes desta política e prover informações necessárias para sua boa execução.

A área de INFRA, TECH e SEC é responsável pela configuração, monitoramento e gerenciamento adequados da plataforma mobileX e seus recursos em nuvem.

Todos os usuários (colaboradores, parceiros e clientes) são responsáveis por seguir as orientações e práticas definidas nesta política.

4. Diretrizes

• Os acessos de todos os ambientes produtivos da plataforma mobileX em nuvem devem ser protegidos por MFA, aumentando a segurança das credenciais de autenticação.

• As atividades de acesso e uso dos recursos de nuvem serão monitoradas regularmente para identificar padrões incomuns ou suspeitos. As atividades de acesso e uso dos recursos de nuvem serão registradas e armazenadas para fins de auditoria e investigação.

• Serão definidos grupos e funções com permissões específicas para facilitar a gestão de usuários e suas aplicações de forma consistente com as políticas de segurança definidas.

• Toda conta de acesso ao ambiente produtivo precisam ser vinculadas a um usuário devidamente autorizado.

• Chaves criptográficas estão sujeitas a processo definido para formação, troca periódica e tempo de vida. A troca de senha deve ser feita no primeiro acesso e periodicamente, devido ao tempo de vida de senha limitado, de forma a evitar que a conta seja desabilitada.

• A formação de senhas para usuários deverá conter, no mínimo, 8 (oito) caracteres, sendo obrigatório o uso de letras e números.

• A informação relacionada a ativo gerenciado (cliente, endpoint, aplicação) é avaliada considerando seu assunto/área, valor, sensibilidade, criticidade e requisitos legais. A princípio 1 (um) endpoint deve estar relacionado a 1 (uma) aplicação compilada e apenas usuários super-admin podem mover um endpoint entre aplicações.

• As diretrizes de gestão de usuários e controle de acesso são estabelecidas e analisadas criticamente de acordo com a Política de Segurança da Informação da empresa em uma periodicidade trimestral pela área de INFRA, TECH e SEC com apoio da liderança de times de projeto e produto da empresa. As permissões de acesso serão revisadas regularmente para garantir que estejam alinhadas com as necessidades do usuário e que não existam acessos não autorizados.

• Concessão e revogação de direitos de acesso devem ser estabelecidas visando permitir a realização das tarefas pertinentes ao seu usuário com a atribuir o menor privilégio possível a sua conta. Acesso à informação do tipo de classificação confidencial é controlado de acordo com direitos de acesso estabelecidos para cada conta de usuário.

• Inclusive para eventos de contratação de novos colaboradores, novas contas de acesso são criadas via solicitação da liderança e seus times a partir da abertura de um chamado na ferramenta de ITSM da empresa, identificando as informações que são necessárias para a operação do serviço ou projeto.

• A partir do processo de desligamento do colaborador, é aberto um chamado para cancelamento da conta após o encerramento do contrato de trabalho do usuário.

• Todos os usuários receberão orientações sobre as melhores práticas de segurança, incluindo o uso adequado dos recursos de nuvem, a importância do controle de acesso e práticas recomendadas.

• Qualquer suspeita de acesso não autorizado, uso indevido ou violação de segurança deve ser relatada imediatamente à equipe de INFRA, TECH e SEC.

• A equipe de INFRA, TECH e SEC irá tomar medidas adequadas para investigar e mitigar incidentes de segurança, incluindo a revisão das permissões de acesso afetadas.

• Esta política estará em conformidade com regulamentações e leis de proteção de dados aplicáveis.

• O não cumprimento desta política pode resultar em medidas disciplinares, incluindo a revogação de acesso aos recursos de nuvem e possíveis consequências legais.

• Esta política entrará em vigor a partir da data de publicação e será revisada regularmente para garantir sua eficácia e relevância contínuas.