Política de Segurança da Informação

1. Política de Segurança da Informação - PSI

1.1 Objetivo

A PSI tem como objetivo estabelecer normas, diretrizes e procedimentos que assegurem a segurança das informações do MCBM, fundada nos princípios que norteiam a atuação deste escritório, sendo eles:

  • Confidencialidade: Existe controle de permissão de acesso às Informações apenas por usuários autorizados;
  •  Integridade: É garantida a completude e exatidão das Informações e dos equipamentos onde estão armazenadas as Informações, de modo que as alterações são mapeadas a fim de mantê-las íntegras;
  • Disponibilidade: As Informações devem estar disponíveis aos usuários autorizados para uso e tempo necessários

1.2 Abrangência e Aplicabilidade

Esta PSI aplica a todos os sócios, advogados, colaboradores, estagiários, prestadores de serviço e quaisquer terceiros que, de forma direta ou indireta, tenham acesso às Informações sob responsabilidade do MCBM. Sua observância é obrigatória em todas as atividades que envolvam o tratamento de dados pessoais ou corporativos, independentemente do meio utilizado — físico, eletrônico ou digital. A política abrange, ainda, os sistemas, equipamentos, redes e demais recursos tecnológicos utilizados no exercício das atividades profissionais, visando assegurar a conformidade com a LGPD e a proteção das Informações institucionais e de clientes.

1.3 Referência

Esta PSI faz referência às outras Políticas MCBM, dentre elas: Política de Controle de Acessos MCBM (“PCA”) Política de Classificação de Dados MCBM (“PCD”); Política de Privacidade de Dados MCBM – (“PPD”); Política de Retenção e Descarte de Informações MCBM – (“PRDI”); Política de Contingência ou de Continuidade de Negócio e Recuperação de Desastres MCBM – (“PCN”) e Políticas de Segurança Física e Ambiental MCBM (“PSFA”)

1.4 Definições

Esta PSI contempla as seguintes definições:

  1. Arquivo Físico – local onde são armazenadas as Informações e os Dados contidos em documentos impressos e que fazem parte do Banco de Dados do MCBM.
  2. Arquivo Eletrônico – ambiente virtual onde são armazenadas as Informações e os Dados contidos em documentos eletrônicos e que integram o Banco de Dados do MCBM.
  3.  Banco de Dados – conjunto estruturado de informações entre elas, mas não limitado às Informações, Dados Pessoais, Dados Pessoais Sensíveis e Dados Anonimizados, inclusive as que se encontram no Arquivo Físico e Arquivo Eletrônico.
  4. Profissionais – compreende todos os empregados, estagiários e advogados do MCBM
  5. Comitê – são as Sócias de capital do MCBM
  6. Dados – compreende o conjunto de informações que nos termos da PPD do MCBM são considerados Dados Pessoais e Dados Pessoais Sensíveis.
  7. E-Mail Profissional – e-mail Microsoft Outlook utilizado pelos Profissionais para fins exclusivamente de desenvolvimento das atividades.
  8. Escritório Físico MCBM – ambiente de trabalho dos Profissionais e das Sócias MCBM
  9. Dados Pessoais – são informações que, por si só, possam identificar uma pessoa ou torná-la identificável.
  10. Dados Pessoais Sensíveis – dados pessoais que possam trazer algum tipo de discriminação ou risco mais gravoso aos direitos fundamentais do Titular do Dado.
  11. Gestor – Prestador contratado para a gestão das Informações e Dados.
  12. Hardwares – equipamentos que compõem os recursos de tecnologia e de informática para acesso e execução dos Softwares e Sistemas Críticos MCBM.
  13. Informações – cópias, minutas e originais de correspondências, e-mails, mensagens instantâneas, arquivos impressos, notas manuscritas, memorandos, formulários, anotações em calendários, anotações em agendas telefônicas, gravações em áudio e quaisquer outros documentos.
  14. Prestadores de Serviços ou Fornecedores do MCBM – todos o terceirizados cadastrados como prestadores de serviço ou fornecedores do MCBM.
  15. Responsável – é o Profissional destacado para a verificação desta PSI.
  16. Sistemas Críticos MCBM – compreendem Legal One, Ferramenta de Preços, Themis, Leme Windows Server e OFFICE 365.
  17.  Sócias MCBM – compreende as Sócias de capital.
  18. Softwares – compreendem os previstos nos SISTEMAS CRÍTICOS e de- mais programas, sistemas, ferramentas e utilitários adquiridos ou que foram customizados ao MCBM para o desenvolvimento das suas atividades.
  19. TI – tal como assim definido nesta Política.
  20. Titular – pessoa a quem se referem os Dados
  21. Usuário – aquele que tem acesso aos Sistemas Críticos e ao Banco de Dados do MCMB.
  22. Usuário Habilitado – aquele Profissional que tem acesso ao(s) Sistema(s) Crítico(s) por um período específico.
  23.  Usuário Administrador – são as Sócias de Capital do MCBM.

1.5 Infraestrutura Tecnológica do MCBM

A Infraestrutura Tecnológica do MCBM é composta basicamente por Hardwares e Softwares que compõem os Sistemas Críticos do MCBM.

Os Sistemas Críticos utilizados em suas atividades diárias atendem e estão em consonância às melhores práticas e tendência tecnológica, a maior parte, no modelo SaaS ou customizados para atender a parametrização dos custos diretos e indiretos da estrutura de operação do MCBM.

Com funcionamento em nuvem, os Sistemas Críticos asseguram atualizações em periodicidades seguras e de forma eficiente, otimizando e dando segurança ao controle de prazos e confiança operacional de que as Informações e Dados guardam a confidencialidade e segurança para o seu uso dentro dos propósitos da atividade do MCBM e quando necessário, o seu compartilhamento seguro.

A nuvem também garante aplicação da expertise técnica, infraestrutura tecnológica e responsabilidade das Empresas Parceiras que atuam em regime de parceria para a gestão e confidencialidade dos Dados e das Informações do Banco de Dados do MCBM.

Na operação e desenvolvimento de suas atividades os Profissionais do MCBM utilizam os seguintes Sistemas Críticos:

  • Legal One: Software jurídico que armazena as Informações sobre os andamentos, tarefas e compromissos dos processos e serviços prestados pelos Profissionais da MCBM, realizando, inclusive, o controle de prazos, pendências e as providências que foram e a serem adotadas, ao longo do desenvolvimento das atividades.
  • Windows Server: trata de sistema operacional para servidor que permite a operacionalização dos serviços de rede, tais como servidor de impressão, controlador de domínio dos Hardwares e servidor de web.
  • Office 365: Pacote de softwares essenciais utilizados na operação do MCBM, i.e, que fornecem acesso ao E-mail Profissional e às ferramentas de leitura e elaboração de documentos Word, Excel, Powerpoint, dentre outros.
  •  Themis: trata de software de gerenciamento de distribuições de processos, garantindo mais eficiência no seu dia a dia, com informações atualizadas que auxilia nas atividades processuais, mapeando os riscos e oportunidades de forma rápida e centralizada.
  • AWS: trata de plataforma de computação em nuvem que o MCBM utiliza para realizar o armazenamento das suas Informações e Dados, mantendo o seu Banco de Dados completo e atualizado.
  • Sonar: Software de inteligência forense com busca de ativos para recuperação de crédito e investigação patrimonial utilizados pelos Usuários Habilitados.
  • Kaspersky: Software que o MCBM utiliza para proteger dispositivos, Informações e Dados contra ameaças online como vírus, malware e ataques cibernéticos, oferecendo segurança completa para seus Usuários e clientes do MCBM.
  • Ferramenta de Preços: Software customizado ao MCBM que auxilia os Usuários Habilitados do MCBM na composição de preço dos honorários advocatícios, considerando os custos diretos, custos indiretos e tributação a fim de garantir competividade e uma advocacia saudável. A Ferramenta de Preços garante que nenhuma Proposta do MCBM seja emitida aos Clientes sem a margem mínima assegurada, e em alguns casos específicos, Usuários Aprovadores são necessários para a fechamento de proposta. As métricas são revisadas pelos Usuários Administradores.

1.6 Funções e Responsabilidades

O MCBM possui cadeia hierárquica estabelecida para tomada de decisões relacionadas a esta PSI, de modo que a depender da situação vivenciada, amplitude dos seus efeitos e complexidade, observarão os critérios e atribuições estabelecidas nessa PSI de acordo com as seguintes atribuições:

  • Comitê: formado pelo Sócias patrimoniais do MCBM que determinarão e aprovarão as regras e planejamentos estratégicos na área de Segurança da Informação, bem como deliberações relacionadas às decisões de maior relevância relacionadas ao planejamento tático e operacional do MCBM.
  • Responsável da Segurança da Informação: uma das Sócias da MCBM responsável pela apresentação do planejamento estratégico da Segurança da Informação para aprovação do Comitê, contratação dos profissionais responsável pelo serviço de TI, coordenação das medidas para solucionar erros de sistemas, definição de atualização de softwares e hardwares utilizados pelo MCBM.
  • Coordenador Administrativo: pessoa interna ou contratada pelo MCBM como Prestador de Serviços responsável pela atuação junto ao Responsável da Segurança da Informação no MCBM com intuito de auxiliar na definição das diretrizes a serem adotadas, bem como interface e acompanhamento da implantação das demandas ao time de TI.
  • TI: empresa contratada como prestadora de serviços do MCBM que realiza apoio técnico para instalação de Softwares, concessão e manutenção dos acessos nos termos da PCA MCBM que visa garantir a regularidade e funcionamento dos Sistemas Críticos, em especial o acesso controlado dos Usuários.

Assim, a operação do MCBM ocorre de forma segura, integrada em um ambiente tecnológico, mantendo-se a confidencialidade, integralidade, disponibilidade e com reconhecida integridade das Informações e Dados.

1.7 Classificação e Controle Administrativo de Dados e Informações

A classificação de Dados e Informações pelo MCBM observa os pilares desta PSI e tem por finalidade garantir a confidencialidade, integridade e disponibilidade desses elementos, assegurando que sejam utilizados exclusivamente por Usuários Habilitados e mantidos íntegros e disponíveis nos termos previstos na PCA.

 

Com o objetivo de preservar a adequada proteção dos Dados e Informações, compete aos Gestores realizarem a análise e, quando necessário, restringirem acessos de acordo com os níveis de proteção estabelecidos na PCA.

 

É de responsabilidade dos Profissionais do MCBM observar integralmente as disposições desta PSI e da PCA, que definem os padrões de controle de acesso aos Sistemas Críticos, aos equipamentos, maximizando a proteção dos Dados e Informações contra acessos não autorizados ou por pessoas que não mantenham vínculo com o MCBM.

 

Essas medidas visam impedir que Dados e Informações de natureza confidencial sejam conhecidos, divulgados ou manipulados por pessoas ou, ainda, Usuários não autorizados.

 

A PCA do MCBM estabelece de forma detalhada as responsabilidades de cada Usuário Habilitado, bem como a hierarquia aplicável aos processos de concessão, cancelamento e revisão de acessos, assegurando a manutenção de um ambiente íntegro e em conformidade com as normas internas do MCBM.

1.8 Medidas de Segurança da Informação

O MCBM utiliza diversos mecanismos para garantir a proteção e segurança do seu Banco de Dados em seu ambiente físico ou eletrônico.

1.8.1 Medidas para proteção do Ambiente Eletrônico

1.8.1.1 Medidas de Segurança Legal One

O Legal One adota padrões globais de segurança da informação, baseados em tecnologia certificada Thomson Reuters, e está amparado por políticas de compliance global compatíveis com os níveis de exigência e controle definidos pelas políticas internas do MCBM.

 

A plataforma conta com mecanismos robustos para mitigação de riscos e rastreamento de fluxos de informação, assegurando a integridade e a confiabilidade dos dados.

 

Em conformidade com os padrões internacionais de segurança ISO 9001 e ISO 27001, o Legal One também está adequado às normas da regulação europeia de proteção de dados (General Data Protection Regulation – GDPR), garantindo altos níveis de governança e controle.

 

O sistema permite rastreamento detalhado de acessos, com restrições por horário, perfis definidos por área, cargo e nível de envolvimento, além de manter base histórica completa de informações relativas a todo o negócio — incluindo processos, contratos e dados financeiros.

 

Esses recursos possibilitam a criação de vínculos entre informações, a análise comparativa de cenários e o fornecimento de insights operacionais e estratégicos que apoiam a tomada de decisões pelo MCBM, reforçando a segurança, a eficiência e a inteligência na gestão das informações institucionais.

1.8.1.2 Controle de Acesso por Meio de Política de Senha

O controle de acesso aos Sistemas Críticos é determinado pelos Gestores conforme diretrizes do Comitê, por meio de 5 (cinco) sistemas de utilização e especificação de senhas, abaixo descritos:

  1. histórico de senha: determina o número de novas senhas exclusivas que devem ser associadas a uma conta de Usuário antes que uma senha antiga possa ser reutilizada, sendo que no caso do MCBM utiliza-se 1 (uma) senha lembrada;
  2. período de duração máximo: tempo máximo de duração de uma senha, sendo que atualmente, a opção é desta forma de utilização, pelo prazo máximo de 90 (noventa) dias de duração;
  3. período de duração temporário: tempo mínimo de duração de uma senha, que atualmente é adotado o período de 1 (um) dia de duração mínima, em caso de acessos específicos por prazos reduzidos, pelo prazo de 120 (cento e vinte) dias;
  4. número de caracteres: número de caracteres para a composição da senha, sendo que o MCBM utiliza o mínimo de 8 (oito) caracteres; e,
  5. complexidade: o MCBM utiliza ferramenta que exige que a senha contenha, dentre os caracteres mínimos, sendo uma letra maiúscula, um número e pelo menos um caractere especial, i.e. @; # dentre outros.

1.8.1.3 Adoção de Firewall para Proteção de Rede Corporativa

O firewall é um dispositivo de segurança de rede, que pode se apresentar na forma de software ou hardware dedicado, e tem por finalidade proteger um ponto específico da rede contra acessos indevidos e ameaças externas. No contexto do MCBM, o firewall atua na proteção do Banco de Dados e demais ativos de informação.

 

O MCBM utiliza um firewall físico, ou seja, um hardware exclusivo instalado na entrada da rede, responsável pela análise e controle de arquivos externos que transitam pelo ambiente digital do escritório.

 

Esse dispositivo é equipado com filtros de antivírus, antispam, bloqueio de sites e controle de aplicações, todos integrados ao sistema de proteção, o que assegura maior desempenho e segurança, uma vez que o equipamento não é compartilhado para execução de outras aplicações.

 

Dessa forma, o firewall do MCBM constitui uma camada essencial de defesa, garantindo a integridade, a confidencialidade e a disponibilidade das informações armazenadas e processadas nas redes do escritório.

1.8.1.4 Ativação de Antivírus

Os Hardwares do MCBM utilizam o antivírus BitDefender , com gestão centralizada, filtros antimalware e antispam, firewall, controle de conteúdo e proteção contra ransomware, bem como a ferramenta Kaspersky .

1.8.1.5 Uso de Mecanismo AntiSpam

Além das licenças de uso do Microsoft Office 365, o MCBM utiliza também os serviços de servidor da Microsoft® para a gestão dos e-mails corporativos. Dessa forma, a análise das mensagens é realizada de forma faseada: a primeira, pelo próprio servidor da Microsoft®, e a segunda, pelo sistema antispam do antivírus, após o direcionamento da mensagem à caixa de entrada do e-mail profissional dos Usuários.

1.8.1.6 Backup de Sistema das Informações e Dados

O MCBM faz uso de diferentes Softwares com funcionamento na nuvem. O BACKUP DO BANCO DE DADOS observará as regras das respectivas Prestadores de Serviços ou Fornecedoras responsáveis por fornecimento do Software respectivo.

[1] www.bitdefender.com/

[2] www.kaspersky.com.br

1.8.1.6.1 Backup de e-mails:

O Backup dos e-mails observará a política do Microsoft® que mantém servidores redundantes que garantem alta disponibilidade do conteúdo arquivado. Em relação a retenção de e-mails excluídos por Usuários, os itens que foram enviados para lixeira e limpos da mesma permanecerão no servidor da Microsoft® por mais 30 (trinta) dias da data da exclusão, ou seja, podem ser recuperados dentro deste período. Além disso, os backups dos e-mails dos Profissionais desligados são realizados pelo TI e armazenados em unidades de armazenamento externo.

1.8.1.6.2 Backup do Legal One:

A manutenção dos dados e informações no Legal One é realizada por meio de Backups de logs transacionais, backups diferenciais e backups completos, os quais são armazenados em região distinta da estrutura de produção. O sistema mantém 35 (trinta e cinco) dias de histórico e permite a restauração dos dados com granularidade de até 5 (cinco) minutos.

 

A política de recuperação de desastres da Thomson Reuters® estabelece que o armazenamento dos dados ocorra em regiões diferentes da infraestrutura principal, garantindo redundância local no datacenter de origem. Em caso de falha nas redundâncias primárias, poderá ser utilizada infraestrutura localizada em região secundária. Ressalta-se que essa infraestrutura secundária não é provisionada antecipadamente, sendo ativada somente em situações de falha dos serviços redundantes da infraestrutura principal, sem prazo estimado (ETA) para normalização por parte do Cloud Provider da Thomson Reuters®.

 

O MCBM assegura o backup integral de seu banco de dados por meio do sistema de backup da Thomson Reuters®, em conformidade com as práticas e políticas de segurança da informação adotadas pela plataforma.

1.9 Apuração de Eventuais Incidentes

Todos os Usuários dos Sistemas Críticos do MCBM têm o dever de ao constatar alguma anormalidade nas funcionalidades dos Softwares e/ou Hardwares ou ainda receba mensagens nos e-mails corporativos de forma desconexa às atividades que são desempenhadas (“Incidente”) devem, imediatamente, contatar o seu Gestor que, por sua vez, deverá contatar o Responsável ou Coordenador Administrativo, que em conjunto com o TI e com as diretrizes tratadas pelo Comitê tomarão as medidas necessárias nos termos da PCN.

1.10 Treinamento Anual

O MCBM entende a responsabilidade em realizar treinamento aos seus Profissionais para entendimento dos seus Sistemas Críticos, bem como, das suas Políticas para o reconhecimento de Incidente que possa colocar em risco a integridade e confidencialidade do seu Banco de Dados.

 

Competirá ao Responsável em conjunto com o Comitê, a observância e cumprimento pelos Profissionais do MCBM desta PSI, bem como, das Políticas ora referenciadas que visam garantir a Confidencialidade, Integridade e Disponibilidade do Banco de Dados.

1.11 Realização de Testes

Os testes têm por objetivo assegurar a eficiência e a efetividade da Política de Segurança da Informação (PSI), devendo ser planejados e executados anualmente.

 

A área de Tecnologia da Informação do MCBM é responsável pelo planejamento, organização e definição dos cenários a serem contemplados, sob a coordenação do Responsável pelo MCBM.

 

Os cenários de teste deverão ser definidos e registrados em documento formal, o qual deverá ser submetido à aprovação do Comitê e arquivado por período mínimo de 5 (cinco) anos.

 

Os testes poderão ocasionar indisponibilidade ou interrupções temporárias nos ambientes de negócio do MCBM, desde que conduzidos em conformidade com as premissas estabelecidas nesta PSI.

 

As simulações deverão ser realizadas com base nos cenários e ameaças previstos nesta PSI e no Plano de Continuidade de Negócios (PCN) do MCBM, devendo abranger os riscos e ameaças com maior probabilidade de ocorrência.

1.12 Validade, Revisão, Aditamento e Revalidação da Política de Segurança da Informação

A validação desta PSI se dará a cada 1 (um) ano, sem prejuízo da possibilidade de ser revista e revalidada sempre que necessário por determinação do Comitê, por meio de aditamento a este instrumento.

 

As dúvidas sobre o seu teor e conteúdo, bem como em caso de Incidente em âmbito desta PSI entrar em contato com o Gestor, Responsável, Coordenador Administrativo e TI, bem como pelo e-mail thais.cordero@mcbm.adv.br.

Inscreva-se na nossa newsletter

Utilizamos seus dados para oferecer uma experiência mais relevante ao analisar e personalizar conteúdos e anúncios em nossa plataforma e em serviços de terceiros. Ao navegar pelo site, você nos autoriza a coletar estes dados e utilizá-los para estes fins. Consulte nossa Política de Privacidade em caso de dúvidas.

ACEITO