PRC-SI-003 — Concessão e Revisão de Acessos
Gatilho A: Solicitação de novo acesso ou mudança de função Gatilho B: Revisão periódica trimestral Frequência: Por evento (concessão) + trimestral (revisão)
Objetivo
Garantir que cada colaborador tenha exatamente os acessos necessários para sua função — nem mais, nem menos — e que acessos obsoletos, excessivos ou inconsistentes sejam detectados e removidos periodicamente.
Infraestrutura de Autenticação
Os principais sistemas utilizam autenticação via Google Workspace, administrado pela Fortes Tecnologia (matriz). Alterações de permissões no Google Workspace são solicitadas à Fortes Tecnologia pelo SI da unidade, pela Diretoria ou por gestores autorizados. Acessos a sistemas locais da unidade são geridos internamente pelo SI e pelo TI da unidade.
Processo A — Concessão de Acesso
Atores
| Ator | Papel |
|---|---|
| Colaborador / Líder | Identifica a necessidade e solicita via ticket |
| Gestor da Informação | Aprova o acesso ao sistema/dado sob sua responsabilidade |
| SI da unidade / Diretoria | Solicita alteração ao Google Workspace via Fortes Tecnologia; concede acessos locais |
| Fortes Tecnologia (matriz) | Executa alterações de permissões no Google Workspace |
| TI da unidade | Suporte técnico a sistemas locais |
Fluxo
Processo B — Revisão Periódica de Acessos
Frequência recomendada: trimestral
Critérios de Revisão
| Critério | Ação |
|---|---|
| Usuário sem vínculo ativo (ex-colaborador) | Revogar imediatamente |
| Acesso a sistemas além do necessário para o cargo | Notificar Gestor → revogar se não confirmado |
| Conta de terceiro com prazo expirado | Revogar e notificar |
| Inatividade superior a 45 dias | Desabilitar conta |
| Colaborador que mudou de função | Revogar acessos antigos, conceder novos |
Referências Normativas
| Obrigação | Fonte |
|---|---|
| Acesso mínimo necessário (racionamento) | PSI - Política de Segurança da Informação Art. 22 |
| Cadastramento com permissões por cargo/função | PSI Art. 23 |
| Solicitação via ticket com aprovação formal | NR.SI.001 - Gestão de Identidade e Controle de Acesso §4.1 |
| Revogação quando cessar a necessidade operacional | NR.SI.001 §4.4 |
| Inatividade de 45 dias → desabilitar credencial | NR.SI.001 §4.6 |
| Contas de terceiros com prazo definido | NR.SI.003 - Acesso de Terceiros |
| Acesso restrito à função | Regulamento Interno Cap. 8.3 |