top of page
WORLDLOTERY MEMBER.png
logo prohards color png.png
logorctGRUPO.png

POLÍTICA DE SEGURANÇA DO TRÂNSITO DAS INFORMAÇÕES
VIRTUAIS, RESPONSABILIDADE TÉCNICA E GOVERNANÇA

A PROHARDS, empresa que opera e fornece serviços para a área lotérica para entes públicos e privados, tem como norte o princípio fundamental de uma correta, transparente e sólida prestação de serviços além de priorizar a segurança das
informações.


Com esta política, promove e monitora o seu sistema interno de segurança no trânsito das informações virtuais, responsabilidade técnica e governança, diuturnamente.

POLÍTICA DE SEGURANÇA DO TRÂNSITO DAS INFORMAÇÕES VIRTUAIS

A política de segurança no trânsito das informações virtuais da PROHARDS é definida, não somente por um conjunto de diretrizes e normas para proteger a infraestrutura, dados e sistemas contra ameaças cibernéticas, mas, também, exigir dos seus parceiros
terceiros contratados que executem esta política conforme as Normas Internacionais vigentes.

 

Procedimentos e controles de autenticação
A PROHARDS adota controles de autenticação, tanto na rede como nos aplicativos para acesso à rede; senha e usuário adicional para acesso os sistemas corporativos. As senhas para acesso ao sistema transacional e de gestão devem atender a critérios de
complexidade, que protegem a descoberta da mesma.
 

Procedimentos e controles de criptografia e proteção de código-fonte

A PROHARDS usa a criptografia em todas as senhas de suas aplicações. O sistema transacional e de gestão possui software de versionamento para guarda de código fonte, bem como possui backup do código fonte. O fornecedor deste sistema investe em
treinamento de metodologia em desenvolvimento seguro para seus colaboradores e também usa programas para
para identificar vulnerabilidades.

 

Procedimentos e controles de prevenção e detecção de intrusão

Os fornecedores de Data Center da PROHARDS têm implementado recursos em seus dispositivos de rede e nos sistemas, de forma que permitam a detecção de intrusos, bem como a resposta a incidentes. A PROHARDS possui ferramentas de prevenção e detecção de intrusões. A PROHARDS executa, regularmente, testes de penetração/intrusão – Pentest –com o objetivo de identificar, preventivamente, possíveis vulnerabilidades que possibilitem intrusões maliciosas. Após a realização de cada execução dos testes de penetração, elabora relatórios identificando:

• As possíveis vulnerabilidades identificadas;
• As recomendações para correção e eliminação das vulnerabilidades identificadas e/ou a minimização dos riscos associados a essas vulnerabilidades;
• O planejamento das ações, com a definição de prazos e responsabilidades, para o atendimento das recomendações apresentadas.

MONITORAMENTO DE SEGURANÇA, ACESSOS E ATIVIDADES


Acessos e atividades
• Atividades realizadas no ambiente informatizado da PROHARDS e que gerem impacto no negócio da instituição devem ser registradas (gerar log para consulta);
• A geração de logs (trilhas de auditoria) para atividades com impacto no negócio deve abranger os seguintes sistemas e plataformas:
▪ Rede (sistema de arquivos); ▪ Aplicativos e portais;
▪ Bancos de dados;
▪ Demais plataformas avaliadas como relevantes (por possuírem informações sensíveis, de acordo com a classificação das informações).

LOGs

• No mínimo, as seguintes informações devem ser identificadas e registradas em trilhas de auditoria:
▪ Usuário que realizou o acesso;
▪ Atividades realizadas no acesso (leitura, escrita, deleção, etc.);
▪ Informações que foram alteradas (com histórico da informação anterior à modificação);
▪ Plataforma utilizada no acesso.
• O acesso de profissionais de TI ao ambiente de produção dos sistemas e plataformas tecnológicas da PROHARDS, quando aplicável, deve gerar trilhas de auditoria. Tais trilhas não podem ser manipuláveis pelos executores das transações.

 

Monitoramento Intensivo PROHARDS
 

1. Malware

Apesar de disponibilizar ferramentas para bloqueio de Malware, esta prática é menos relevante atualmente. Em vez disso, a PROHARDS monitora os invasores que exploram configurações incorretas, acesso inadequado, credenciais roubadas e outras
vulnerabilidades.

2. Configurações Incorretas
As configurações incorretas são a vulnerabilidade número um em um ambiente de nuvem e podem levar a privilégios excessivamente permissivos nas contas, registro insuficiente e outras lacunas de segurança que expõem as violações da nuvem, ameaças internas e adversários que aproveitam as vulnerabilidades para obter acesso aos dados.

3. APIs seguras

A PROHARDS preocupa-se em usar APIs para conectar serviços e transferir dados, que seja segura internamente ou para parceiros, fornecedores, clientes e outros. Como as APIs transformam certos tipos de dados em endpoints, alterações nas políticas de dados ou nos níveis de privilégio podem aumentar o risco de acesso não autorizado a mais dados do que o planejado pelo host. Por isso o monitoramento.

4. Controle de acesso/ acesso não autorizado

A PROHARDS monitora e controla os acessos e seus níveis.

5. Recursos de criptografia

A PROHARDS protege os dados com criptografia. A criptografia na nuvem transforma dados de texto simples em um formato ilegível antes de entrar na nuvem. Os dados devem ser criptografados em trânsito e em repouso.

6. Garante a postura e a governança de segurança

Gerencia a segurança e governança em nuvem para detectar e evitar configurações incorretas e controle ameaças de plano para eliminar pontos cegos e garantir a conformidade em nuvens, aplicativos e cargas de trabalho.


ISO 27001
 

O Servidor na Nuvem contratado pela PROHARDS está certificado, dentre outras com o ISO 270001. A certificação ISO 27001 é muito importante para definir as regras de uma empresa terceirizada que estabeleça responsabilidade e confiabilidade para a prestação dos serviços. Afinal, as estas empresas terceirizadas devem comprovar tratar adequadamente todas as informações sensíveis manejadas internamente.


A norma ISO 27001 envolve a adoção de diversas práticas, políticas e procedimentos. A
aplicação da certificação estudo, monitoramento e testes, por isso, é importante em
alguns aspectos como:
 

• Segurança física da organização;
• Segurança de dados;
• Aspectos vulneráveis;
• Organização interna;
• Cumprimento dos requisitos legais;
• Técnicas de transferência de dados;
• Gestão de incidentes;
• Práticas de controle de acesso (em sistemas e no ambiente físico);
• Gestão de ativos;
• Ações de segurança no desenvolvimento de sistemas;
• Equipamentos utilizados na organização;
• Tecnologia de criptografia.

SMC - SISTEMA CENTRAL DE MONITORAMENTO E CONTROLE

Especificamente com referência ao SMC, Plataforma Lotérica PROHARDS, a empresa monitora de perto a SEGURANÇA DO TRÂNSITO DAS INFORMAÇÕES VIRTUAIS, RESPONSABILIDADE TÉCNICA E GOVERNANÇA de alta performance junto aos clientes públicos e privados que utilizam os serviços desta Plataforma.

RESPONSABILIDADE TÉCNICA

A PROHARDS tem como política de responsabilidade técnica para prestação de serviços a Formação Teórica e Prática dos seus colaboradores

Princípios e Políticas Chave

• Profissional Habilitado: A PROHARDS prima por manter em seus quadros, profissionais habilitados.
• Garantia de Qualidade e Segurança: Os colaboradores da PROHARDS, por norma, devem agir na legalidade, responsabilidade por garantir que os serviços prestados sigam os princípios éticos e a legislação vigente e não causem danos à
sua saúde, a sua segurança e a de terceiros e respeito ao meio ambiente.
• Comunicação de Irregularidades: O profissional responsável técnico tem o dever de comunicar para a PROHARDS e ao cliente, quaisquer irregularidades ou limitações que possam comprometer a qualidade ou a segurança dos serviços.

 

Componentes Essenciais da Política PROHARDS

• Propósito e Escopo: Definindo claramente o objetivo da política (prevenir e resolver problemas) e a quais equipamentos ela se aplica (computadores, servidores, equipamentos de rede, periféricos, etc.).
• Procedimentos de Solicitação de Serviço: Estabelecendo como os usuários devem reportar problemas. Isso envolve a abertura de chamados via um sistema de Help Desk, especificando as informações necessárias, como localidade e tipo
de equipamento.
• Níveis de Suporte (N1, N2, N3): Categoriza os atendimentos com base na complexidade. O Nível 1 (N1) lida com problemas básicos, enquanto Níveis 2 e 3 (N2 e N3) tratam de questões mais complexas.
• Manutenção Preventiva e Corretiva: Pratica as rotinas de manutenção, incluindo limpeza, diagnóstico de falhas e substituição de peças. A manutenção preventiva regular é crucial para evitar interrupções.
• Gestão de Ativos e Ciclo de Vida: Inclui diretrizes para o controle de inventário, aquisição e substituição de equipamentos obsoletos, considerando o ciclo de vida útil dos ativos de rede.
• Tempo de Resposta e Solução (SLA): Define metas claras para o tempo de resposta e resolução de incidentes, garantindo a disponibilidade dos sistemas.
• Disponibilidade e Continuidade: A PROHARDS assegura a manutenção da disponibilidade dos sistemas de comunicação e a continuidade dos serviços de TI.
• Responsabilidades: Define claramente as responsabilidades da equipe de TI, dos usuários e da gestão em relação ao cumprimento da política.
• Conformidade e Segurança: Alinha a política com as normas técnicas e de segurança da informação (como a LGPD no Brasil), garantindo a proteção dos dados durante os procedimentos técnicos.

• Treinamento e Capacitação: Prevê a capacitação contínua da equipe técnica para lidar com novas tecnologias e procedimentos.


GOVERNANÇA

A PROHARDS tem como mecanismos e princípios regras para auxiliar a tomada de decisões e para administrar as relações com os clientes, alinhado às boas práticas de gestão e às normas éticas, com foco em objetivos coletivos.

Dentre os princípios da governança consideramos:

• Capacidade de resposta: capacidade que a PROHARDS tem para manifestar- se de forma clara, eficiente e eficaz às demandas apresentadas pelos clientes e fornecedores;
• Integridade: atuação focada na priorização do interesse de todos, pautando-se em valores morais e conduta ética;
• Confiabilidade: capacidade de minimizar incertezas, garantindo um grau de segurança e credibilidade aos clientes;
• Melhoria de desempenho: medidas sistemáticas para ampliar a qualidade e desempenho dos serviços prestados com base avaliações internas, em evidências práticas e apoiadas em opiniões dos colaboradores, fornecedores e
clientes;
• Prestação de contas e responsabilidade (accountability): mecanismo para a prestação de contas, o controle social e a responsabilização pelo desempenho e resultados das ações na sua gestão;
• Transparência: garantia de acesso às informações legítimas e fidedignas.
• Liderança: conjunto de práticas de natureza humana ou comportamental exercida nos principais cargos da organização;
• Estratégia: definição de diretrizes, objetivos, planos e ações, além de critérios de priorização e alinhamento, para que os serviços e produtos de responsabilidade da PROHARDS alcancem o resultado pretendido;
• Controle: processos estruturados para mitigar os possíveis riscos com vistas ao alcance dos objetivos institucionais e para garantir a execução ordenada, ética, econômica, eficiente, e eficaz das atividades da PROHARDS, com preservação da legalidade e da economicidade no uso de seus recursos.

As diretrizes da governança da PROHARDS:

I - Direcionar ações para a busca de resultados, encontrando soluções tempestivas e inovadoras para lidar com a limitação de recursos e com as mudanças de prioridades;
II - Promover a simplificação administrativa, a modernização da gestão e a integração dos serviços, especialmente aqueles prestados por meio eletrônico;

III - Monitorar o desempenho e avaliar a concepção, a implementação e os resultados das políticas e das ações prioritárias para assegurar que as diretrizes estratégicas sejam observadas;
IV - Incorporar padrões elevados de conduta, ética e compliance;
V - Implementar controles internos fundamentados na gestão de risco, que privilegiará ações estratégicas de prevenção antes de processos sancionadores;
VI - Manter processo decisório orientado pelas evidências, pela conformidade legal, pela qualidade regulatória e pelo apoio à participação dos colaboradores;
VII - Definir formalmente as funções, as competências e as responsabilidades das estruturas e dos arranjos institucionais; e
VIII - Promover a comunicação aberta, voluntária e transparente das atividades e dos resultados da organização, de maneira a fortalecer o acesso à informação.

bottom of page