1 – Apresentação

O presente regulamento define as regras de Proteção de Dados, Uso de Redes e Segurança da Informação aplicáveis a todos os colaboradores, prestadores de serviços e gestores do FAS.

O objetivo é garantir a confidencialidade, integridade, disponibilidade e rastreabilidade das informações corporativas, assegurando a conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e com as normas internacionais ISO/IEC 27001 (Gestão de Segurança da Informação) e ISO/IEC 27701 (Privacidade da Informação).

O Setor de Compliance é o órgão responsável pela gestão, atualização e fiscalização deste regulamento, devendo ser imediatamente comunicado sobre qualquer incidente de segurança ou suspeita de violação de dados pessoais, através do e-mail: compliance@fas.org.br.

2 – Princípios e Responsabilidades

2.1 – Todos os usuários das redes, sistemas e contas do FAS devem atuar com base nos princípios da finalidade, necessidade, adequação, segurança e transparência.

2.2 – A responsabilidade pela proteção de dados é compartilhada entre os colaboradores, gestores e o Setor de Compliance.

2.3 – O Setor de TI é responsável pela infraestrutura técnica, suporte e manutenção de sistemas, cabendo ao Compliance a orientação, monitoramento e auditoria sobre o uso e a conformidade.

2.4 – É dever de todos preservar o sigilo das informações acessadas e evitar o compartilhamento de credenciais, arquivos ou dados sensíveis fora dos canais institucionais.

3 – E-mail e Comunicação Institucional

3.1 – É vedado o uso de e-mails pessoais para comunicações relacionadas às atividades do FAS.

3.2 – O uso do e-mail corporativo destina-se exclusivamente às atividades institucionais, sendo proibido o envio ou recebimento de mensagens pessoais, inscrições em promoções, ou cadastros sem vínculo funcional.

3.3 – O e-mail corporativo deve ser solicitado em www.fas.org.br/e-mail e, no ato da solicitação, o usuário deverá assinar o termo de responsabilidade conforme a LGPD.

3.4 – É vedada a exclusão de mensagens. Para organização da caixa de entrada, deve ser criada uma pasta “ARQUIVO” e as mensagens movidas para ela.

3.5 – É proibido o uso de softwares de gerenciamento de e-mails como Outlook ou Filezilla para download, backup ou redirecionamento.

3.6 – O acesso deve ser feito exclusivamente via WEBMAIL: www.fas.org.br/webmail ou www.hmecg.org.br/webmail.

3.7 – Dúvidas e falhas de envio devem ser relatadas via formulário em www.fas.org.br/regulamento-lgpd ou, em casos urgentes, pelo canal de atendimento.

4 – Segurança Digital e Prevenção de Ameaças

4.1 – É proibido abrir anexos ou links de e-mails suspeitos. Mensagens duvidosas devem ser encaminhadas para compliance@fas.org.br para verificação.

4.2 – Arquivos com extensões “.exe”, “.msi”, “.bat”, “.cmd”, “.js”, “.vbs”, “.jar” e equivalentes não devem ser abertos em hipótese alguma.

4.3 – Arquivos compactados com senha (“.zip”, “.rar”, “.7z”) são considerados de risco e devem ser encaminhados para análise do Compliance antes da abertura.

4.4 – É proibido o envio de arquivos criptografados por senha a destinatários externos, salvo mediante autorização expressa do Compliance.

4.5 – Todos devem realizar o treinamento de segurança digital disponível em www.treinamento.fas.org.br/curso/malwares.

5 – Criação, Armazenamento e Compartilhamento de Arquivos

5.1 – É proibido o uso de serviços externos como Google Drive, Google Forms, OneDrive, Dropbox ou equivalentes para armazenamento ou criação de formulários.

5.2 – Os arquivos devem ser criados e armazenados exclusivamente nos servidores e serviços internos do FAS, com autenticação e logs de segurança.

5.3 – Gestores e operadores de dados só podem tratar informações de sua unidade. É vedado o compartilhamento intersetorial de planilhas com dados sensíveis de funcionários.

5.4 – O descumprimento das normas de armazenamento é considerado infração grave sujeita às sanções do Programa de Integridade e da LGPD.

6 – Serviço de Nuvem FAS

6.1 – Todos os arquivos corporativos devem ser armazenados na CloudFAS, ambiente seguro e certificado.

6.2 – O acesso à nuvem deve ocorrer apenas a partir do terminal de trabalho autorizado da unidade.

6.3 – Funcionários em home office devem cadastrar o terminal em ti@fas.org.br para validação de segurança e IP.

6.4 – Contas não corporativas em nome do FAS devem ser desativadas e migradas para a CloudFAS através de ti@fas.org.br.

6.5 – É proibido o uso de nuvens externas ou e-mails pessoais para atividades do FAS. Essa conduta será tratada como uso indevido de dados corporativos.

7 – HIPAA e Formulários Eletrônicos

7.1 – O protocolo HIPAA (Health Insurance Portability and Accountability Act) define padrões internacionais de segurança da informação em saúde, servindo como referência para nossas práticas.

7.2 – Em conformidade com as normas ISO/IEC 27001 e ISO/IEC 27701, o FAS adota os princípios da HIPAA para reforçar o controle de acesso e a proteção dos dados de saúde tratados.

7.3 – É obrigatório o uso do formulário eletrônico institucional Jotform para coleta de dados pessoais ou sensíveis.

7.4 – É vedado o uso de plataformas externas como Google Forms, por não atenderem aos requisitos de conformidade e segurança.

8 – Treinamentos

8.1 – Todos os funcionários devem realizar os treinamentos obrigatórios disponíveis em www.treinamento.fas.org.br.

8.2 – Os cursos obrigatórios incluem: Segurança Digital, LGPD, Ética e Integridade.

8.3 – Os certificados emitidos devem seguir a identidade visual padrão e ser gerados pelo Setor de Comunicação ou Compliance, com registro e numeração oficial.

9 – Processos Seletivos e Currículos

9.1 – O FAS não recebe currículos espontâneos nem mantém bancos de talentos com dados de terceiros.

9.2 – Todos os processos seletivos devem ser realizados via plataforma Jotform, com assinatura eletrônica do termo de privacidade.

9.3 – Após o término do processo, os dados dos não contratados devem ser excluídos de forma segura.

9.4 – Currículos recebidos indevidamente devem ser devolvidos ao remetente com aviso de exclusão, conforme modelo institucional.

10 – Redes Sociais

10.1 – O acesso a redes sociais nos computadores do FAS depende de autorização expressa via www.fas.org.br/ti.

10.2 – É vedada a publicação de imagens, comentários ou conteúdos que possam prejudicar a imagem do FAS, de seus projetos ou parceiros.

10.3 – A liberdade de expressão não autoriza ofensas, difamações ou publicações que contrariem os valores institucionais ou legais.

10.4 – Violações a esta norma poderão ensejar sanções disciplinares e rescisão por justa causa.

11 – Uso do WhatsApp

11.1 – As normas de conduta aplicáveis às redes sociais também se aplicam aos grupos de WhatsApp corporativos.

11.2 – Grupos intersetoriais devem ser cadastrados em compliance@fas.org.br.

11.3 – É proibido o uso do WhatsApp para trocas de informações sensíveis, financeiras, de RH ou contratuais.

11.4 – É permitido o envio de arquivos internos via CloudFAS, desde que o link de origem ou destino seja corporativo.

12 – Backup, Descarte e Incidentes

12.1 – O backup de dados é de responsabilidade do Setor de TI, sob supervisão do Compliance.

12.2 – O descarte de informações deve ser feito por eliminação segura, conforme cronograma de retenção definido pela instituição.

12.3 – Qualquer vazamento, acesso indevido ou incidente de segurança deve ser comunicado imediatamente ao Compliance, pelo e-mail compliance@fas.org.br.

Glossário

PHI – Protected Health Information, informações de saúde protegidas.

HIPAA – Health Insurance Portability and Accountability Act, referência de boas práticas em proteção de dados de saúde.

Spear-phishing – golpe direcionado para obtenção de acesso indevido a dados.

Blacklist – lista de domínios, IPs ou e-mails bloqueados por práticas nocivas.