Para manter um nível satisfatório de segurança constitui-se o Comitê de Gestão de Segurança da Informação (CGSI) que adotará as diretrizes apresentadas:
a) O controle de acesso dos clientes internos ou terceiros aos ativos de informação deve ser devidamente controlado e aprovado pelo responsável pela informação (gerência ou, diretoria), a qual o acesso permitirá a manipulação, quer seja para simples consulta ou para alteração;
b) O uso do e-mail sob domínios de propriedade da PASCHOALOTTO será permitido para clientes internos e para terceiros somente quando for necessário, e por tempo determinado pela gerência da área solicitante mediante a assinatura do Termo de responsabilidade. Este tempo poderá ser prorrogado mediante nova solicitação da gerência da área;
c) Cópias de segurança (backup) devem ser realizadas através de mídias específicas para as informações que são consideradas vitais para os sistemas e para a retomada das atividades das áreas, em caso de indisponibilidade;
d) Regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas para os desenvolvimentos realizados dentro da organização;
e) Terceiros somente deverão ter acessos a sistemas legados da empresa quando acompanhados por recurso interno;
f) A concessão de acesso remoto para os clientes internos deve ser autorizada formalmente e solicitada ao departamento de Tecnologia da Informação pela gerência
da área solicitante, ocasião em que deverá ser indicado o tipo de acesso, permissão e as informações a serem acessadas, sendo de responsabilidade do solicitante dos atos oriundo do acesso;
g) Dispositivo móvel entende-se qualquer equipamento eletrônico com atribuições de mobilidade no manuseio da informação e destina-se ao uso para realização das
atividades de trabalho e para comunicação com a empresa, fornecedores ou clientes, devendo ser utilizado somente para esta finalidade, podendo haver especificações e/ou restrições de acordo com normativas contratuais de nossos clientes contratantes;
h) As informações devem ser classificadas e manuseadas de acordo com a confidencialidade e as proteções necessárias, da seguinte forma: Pública, Sensível, Privada e Confidencial e devem ser tratadas, armazenadas e descartadas de maneira correta para garantir os aspectos de segurança da informação no negócio da PASCHOALOTTO e nas informações dos seus clientes;
i) As responsabilidades de todos quanto à segurança da informação devem ser definidas, seguindo requisitos mínimos de boa conduta e ética;
j) Os ativos tangíveis e intangíveis de informação devem ser identificados de forma individual, inventariados, protegidos e monitorados de acessos indevidos. As mídias
devem ser gerenciadas de forma adequada, conforme os requisitos de segurança da informação;
k) Um conjunto de regras para garantir a padronização das técnicas criptográficas deve ser estabelecido, incluindo a aplicação adequada das mesmas e as responsabilidades para manter a segurança no transporte ou armazenamento das informações independente do meio utilizado. Quanto à transmissão de informações, este recurso é utilizado para garantir a privacidade na comunicação dos dados da PASCHOALOTTO e de seus clientes;
l) Um processo de gestão de mudanças deve estar em vigor para garantir que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da organização;
m) Medidas de segurança devem ser adotadas para garantir a proteção das informações de maneira eficaz e reduzir os riscos de acesso não autorizado, perda ou dano à informação;
n) Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (Confidencialidade, Integridade e Disponibilidade);
o) Todos os incidentes que afetem a segurança da informação devem ser reportados à área de Segurança da Informação através da abertura de chamado no sistema de Service Desk utilizado na empresa. Estes analisarão o incidente e tomarão as ações devidas, repassando a tratativa às áreas responsáveis;
p) Todos os incidentes de segurança devem ser reportados para a área de Segurança da Informação, para que sejam analisados, avaliados e tratados pela área responsável;
q) As responsabilidades do departamento de Tecnologia da Informação e suas subdivisões devem ser estabelecidas, bem como as restrições do uso de ativos tecnológicos da organização;
r) Devem ser definidas regras para garantir que não ocorram violações jurídicas, regulamentares ou contratuais nos requisitos de segurança da informação na
organização;
s) Devem ser estipuladas diretrizes para garantir que o acesso físico às instalações onde os ativos de TI e as informações críticas a continuidade do negócio estejam armazenados seja controlado de forma a garantir a sua disponibilidade, integridade e confidencialidade.