Política de Controle de Acessos
| Versão | Data | Autor | Alterações realizadas | Aprovado por | Data aprovação |
| 1.0 | 10/01/2024 | Vanderson Andrade | Criação | Direção Geral | 16/01/2024 |
| 2.0 | 15/07/2024 | Vanderson Andrade | Nenhuma alteração necessária | Direção Geral | 23/07/2025 |
Proxima revisao: 01/2025
As políticas da empresa são revisadas semestralmente, conforme calendário estabelecido. Todas as revisões são documentadas e aprovadas pelos responsáveis, garantindo que as práticas estejam sempre atualizadas e em conformidade com as normas vigentes.
1. Introdução
A Política de Controle de Acessos para Servidores e Aplicações define as diretrizes que a empresa, especializada no desenvolvimento de agentes virtuais e chatbots, deve seguir para gerenciar e proteger o acesso aos seus servidores e aplicações, tanto em ambientes de nuvem quanto via VPN (Virtual Private Network). O controle de acessos é crucial para garantir que apenas usuários autorizados possam acessar recursos sensíveis, preservando a segurança e integridade dos sistemas.
2. Objetivos
- Restrição de Acesso: Assegurar que apenas indivíduos autorizados tenham acesso a servidores e aplicações.
- Autenticação Forte: Implementar mecanismos de autenticação robustos para validar a identidade dos usuários.
3. Escopo
Esta política aplica-se a todos os funcionários, contratados, fornecedores, e sistemas que acessam os servidores e aplicações da empresa, utilizando VPN e infraestruturas em nuvem.
4. Diretrizes de Controle de Acesso
-
Acesso via VPN:
- Conexão Segura: Todos os acessos remotos a servidores e aplicações devem ser feitos exclusivamente através da VPN da empresa. A VPN deve utilizar criptografia forte para proteger os dados em trânsito.
- Autenticação Multifator (MFA): O acesso à VPN deve ser protegido por autenticação multifator, combinando senhas fortes e um segundo fator, como um token de segurança ou autenticação via aplicativo.
- Restrição por IP: Sempre que possível, o acesso à VPN deve ser restrito a endereços IP previamente autorizados.
-
Controle de Acesso em Nuvem:
- Políticas de Acesso Granular: Implementar políticas de acesso detalhadas que definem quem pode acessar quais recursos e em que condições. Por exemplo, limitar o acesso a certos dados críticos apenas durante horários específicos ou de locais específicos.
-
Gestão de Contas de Usuário:
- Criação e Revogação de Acesso: Procedimentos claros para a criação de novas contas de usuário e a revogação imediata de acessos quando um funcionário deixa a empresa ou muda de função.
- Revisão de Acessos: Revisar periodicamente os acessos de usuários para assegurar que as permissões estejam atualizadas e adequadas ao cargo e às responsabilidades de cada funcionário.
- Contas de Administrador: O número de contas com privilégios administrativos deve ser limitado ao mínimo necessário. Acesso root ou de superusuário deve ser estritamente controlado e monitorado.
-
Monitoramento e Auditoria:
- Registro de Logs: Todas as tentativas de acesso, alterações em permissões, e atividades de usuários em servidores e aplicações devem ser registradas em logs detalhados. Esses logs devem ser monitorados regularmente para identificar comportamentos suspeitos ou não autorizados.
- Resposta a Incidentes: Em caso de detecção de acesso não autorizado, seguir procedimentos imediatos de resposta a incidentes, que incluam a revogação de acessos e a investigação do incidente.
-
Treinamento e Conscientização:
- Capacitação Regular: Todos os funcionários devem receber treinamento regular sobre as políticas de controle de acesso, o uso seguro de VPN, e as melhores práticas de segurança na nuvem.
- Conscientização de Segurança: Promover a conscientização sobre a importância de proteger credenciais de acesso e seguir os procedimentos estabelecidos pela empresa.
5. Consequências de Não Conformidade
- Medidas Disciplinares: Qualquer violação desta política pode resultar em ações disciplinares, incluindo advertências, suspensão, ou demissão, dependendo da gravidade da infração.