12 — Segurança Operacional
Fonte: Governança/SIPD/Referências/12. segurança operacional.pdf
Capítulo PSI: Segurança das Operações (Cap. 8 — Art. 34–37)
← Segurança da Informação e Proteção de Dados
Documentação de Processos (Art. 34)
- Todos os procedimentos operacionais e rotinas de negócio devem ser documentados e disponibilizados
- Mudanças de processos avaliadas previamente sob o ponto de vista de SI
- A Fortes Tecnologia orienta franqueados e representantes com diretrizes de documentação
Registros e Logs (Art. 35)
| Tipo | Requisito |
|---|---|
| Backups | Feitos e testados regularmente conforme normativa de backup |
| Armazenamento de documentos | Somente nos ambientes designados pelo TI |
| Logs de eventos | Produzidos, mantidos, revisados regularmente e protegidos contra adulteração |
| Logs de administradores | Controlados e revisados com regularidade |
Gestão de Capacidade dos Recursos (Art. 36)
- Recursos de TIC administrados para garantir disponibilidade e desempenho atuais e futuros
- SLAs com fornecedores de TIC realizados e comunicados internamente pela Diretoria
Minimização de Dados Pessoais (Art. 37)
- Práticas para minimizar a quantidade de dados coletados, produzidos ou armazenados sobre pessoas
- Princípio de privacy by design: coleta mínima necessária
Gestão de Mudanças (Art. 44)
Para qualquer implantação, atualização ou interrupção de sistemas:
- Planejada para assegurar disponibilidade, integridade e confidencialidade
- SI consultada com prazo hábil para avaliar riscos
- Gestor responsável pela mudança responde pessoalmente se não observar o procedimento
Contexto local: Fortes Belém adota postura "cirurgia" para atualizações — somente quando estritamente necessário, reduzindo o volume de suporte. VerATA25052026-1 kickoff Projeto de Melhoria de Processo].
Aquisição e Desenvolvimento de Sistemas (Art. 43–47)
- Avaliação de segurança obrigatória em aquisição, desenvolvimento ou manutenção de sistemas
- Requisitos de SI são critério de peso na escolha de soluções
- Testes de segurança e funcionalidade antes de colocar em produção
- Softwares e hardwares: apenas autênticos e homologados