NR.SI.001 — Gestão de Identidade e Controle de Acesso
Código: NR.SI.001
Criação: 11/03/2022 · Última atualização: 25/01/2023 · Versão: 001
Autor: Daniel Machado · Revisor: Gabriel Fortes · Aprovador: Sabino Cassiano Filho (Diretor)
Público: Colaboradores
Fonte: Governança/SIPD/Referências/NR.SI.001 - Gestão de Identidade e Controle de Acesso.docx.pdf
← Segurança da Informação e Proteção de Dados · Política-mãe: PSI - Política de Segurança da Informação (Art. 23–27)
Objetivo
Normatizar acessos à rede e informações compartilhadas, reduzindo riscos e definindo melhores práticas para usuários e senhas.
Glossário
| Sigla | Significado |
|---|---|
| CISO | Chief Information Security Officer — responsável pela gestão de SI na organização |
| SI | Segurança da Informação — área responsável por manter e avaliar a segurança dos dados |
| TI | Tecnologia da Informação — responsável por toda a tecnologia da empresa |
| Google Workspace | Plataforma de identidade e produtividade utilizada para autenticação dos principais sistemas da Fortes Belém; administrada pela Fortes Tecnologia (matriz) |
| Firewall local | Equipamento administrado localmente (pfSense) que controla o acesso à rede e à internet; utilizado para autenticação de acesso à rede na unidade |
Nota: Não há Active Directory (AD) implementado na rede local da Fortes Belém.
Infraestrutura de Autenticação — Fortes Belém
Contexto local: Os principais sistemas da Fortes Belém utilizam autenticação via Google Workspace, administrado pela Fortes Tecnologia (matriz). A unidade não administra diretamente o Google Workspace.
A interlocução com as áreas de segurança da Fortes Tecnologia é realizada por gestores autorizados, pelo setor de SI da unidade ou pela Diretoria da unidade.
Canal oficial:
ti.chamado@fortestecnologia.com.br
Responsabilidades
Usuário
- Assegurar confidencialidade das próprias credenciais de acesso (conta Google Workspace e demais sistemas)
TI da Unidade
- Fazer backup dos dados quando necessário
- Adquirir mídias de substituição quando necessário
- Encaminhar ao SI da unidade as solicitações de criação e desabilitação de acessos locais
- Suporte técnico ao colaborador para configuração de acesso
Gestor
- Definir permissões de acesso aos sistemas setoriais da área
- Aprovar solicitações de acesso de colaboradores da área
- Desabilitar acessos aos sistemas setoriais geridos pela área no desligamento
Departamento Pessoal (RH)
- Comunicar o desligamento de colaborador imediatamente ao SI, Diretoria, TI e ao gestor de cada setor
SI da Unidade / Diretoria
- Solicitar criação de conta Google Workspace à Fortes Tecnologia via ticket na admissão
- Solicitar desativação de conta Google Workspace à Fortes Tecnologia via ticket no desligamento
- Solicitar alterações de permissões no Google Workspace quando necessário
- Revogar acessos locais da unidade
- Manter controle de perfis de acesso da unidade
Diretrizes
4.1 Pessoal Autorizado
- Acesso à rede e dados apenas para pessoas autorizadas, respeitando a classificação da informação
- Todos os usuários passam por cadastramento e atribuição de permissões por nível de cargo/função
- Solicitações de acesso formalizadas pelo líder da área via ticket:
ti.chamado@fortestecnologia.com.br - Direitos de acesso requerem aprovação formal do Gestor da Informação do setor
4.2 Sistema de Autenticação
- Procedimentos de verificação de legitimidade para informações classificadas como internas ou confidenciais, conforme normativa pertinente
4.3 Acesso Remoto
- Segue estritamente a NR.SI.002 - Teletrabalho e Acesso Remoto
- Permitido apenas para pessoas previamente autorizadas
4.4 Revogação de Acesso
| Situação | Prazo | Responsável |
|---|---|---|
| Desligamento | Imediato | RH notifica TI → TI alerta SI |
| Mudança de função/departamento | Imediato | Gestor da Informação do setor |
| Cessação da necessidade operacional | Imediato | Gestor da Informação |
| Exceção (usuário mantido ativo) | Até 15 dias | Autorização expressa da Diretoria |
No desligamento, todos os acessos são removidos: rede, e-mail, sistemas, grupos, pastas e acesso físico.
4.5 Gerenciamento de Login em Sistemas de Terceiros
- Credenciais de sistemas terceiros são de uso pessoal e intransferível
- Usuário assume responsabilidade por atividades irregulares exercidas através de seu login
- Vedado: compartilhar credenciais com gestor, suporte técnico ou qualquer terceiro
- Vedado: ativar "Salvar Senha" ou "Lembrar Senha" em navegadores/aplicações
- Vedado: incluir senha em processo de autenticação automática
Padrões de senha:
- Não usar dados pessoais (nome, data de nascimento, endereço, placa)
- Não usar sequências óbvias ("12345678", "abcdefgh")
- Não anotar em papel nem armazenar em arquivos desprotegidos — usar cofre de senhas
Em caso de suspeita de comprometimento das credenciais: alterar a senha imediatamente e comunicar o TI pelos canais oficiais.
4.6 Gerenciamento de Login em Sistemas Internos da Fortes Tecnologia
Formato de usuário: prenome.sobrenome (escolha do colaborador, sem conflito com credencial preexistente)
- Nome social autorizado mediante documento oficial
Padrões de senha:
| Parâmetro | Valor |
|---|---|
| Comprimento mínimo | 8 caracteres |
| Complexidade | Mínimo 3 tipos: 1 número + 1 letra + 1 caractere especial |
| Tempo de vida máximo | 60 dias |
| Histórico de senhas | Não pode reutilizar as 2 últimas |
| Inatividade para desabilitação | 45 dias consecutivos |
| Tentativas erradas para bloqueio | 5 consecutivas |
Na primeira vez que o colaborador acessa a rede local: trocar a senha imediatamente conforme orientação do SI.
Credencial bloqueada ou desabilitada: comunicar ao TI pelos canais oficiais.
Exceções
Até a data de publicação, nenhuma exceção prevista.
Anexos
Ver também
- 04 - Controle de Acesso — visão consolidada do capítulo da PSI
- Guia - Para Todos os Usuários
- Guia - Armazenamento e Credenciais de Acesso