1 – Apresentação

O presente regulamento tem por escopo definir as regras de Proteção de dados e de conduta em ambiente digital, de todos os membros do FAS.

2 – E-MAIL

2.1 – Não é permitido o uso, por funcionários e prestadores de serviços, de e-mails pessoais ou criados em nome do FAS, que não sejam os e-mails corporativos oficiais, para troca de mensagens entre funcionários, clientes, fornecedores, candidatos, e público em geral.

2.2 – Consideram-se mensagens corporativas todas aquelas que são trocadas em função das atividades do FAS, e que não têm relação com assuntos particulares dos funcionários.

2.3 – Não é permitido o uso de e-mails corporativos para enviar e receber mensagens pessoais e particulares, compra de produtos e serviços, e inscrição em eventos e promoções sem relação com as atividades do usuário junto ao FAS.

2.4 – O e-mail corporativo deve ser solicitado pelo próprio funcionário, em www.fas.org.br/e-mail

2.5 – No ato da solicitação do e-mail em www.fas.org.br/e-mail, todos os funcionários devem ler e assinar o termo de responsabilidade de uso do sistema de informação e de e-mail corporativo, em conformidade com a lei geral de proteção de dados.

2.6 – Não é permitida a exclusão de mensagens de e-mail. Se o funcionário desejar manter a caixa de entrada limpa, deverá criar uma pasta denominada ARQUIVO e mover as mensagens para ela, sempre que julgar necessário.

2.7 – Não é permitido o armazenamento, envio, cópia, redirecionamento,  recebimento e backup de mensagens, através de ferramentas de gerenciamento de e-mails, como Outlook, Filezilla, etc.

2.8 – A conta de e-mail corporativo deve ser acessada exclusivamente pelo painel WEBMAIL, através do link: domínio/webmail . Exemplo: www.fas.org.br/webmail ou www.hmecg.org.br/webmail .

2.9 – Os usuários devem acessar a área de treinamento em www.treinamento.fas.org.br/curso/e-mail , para aprender a criar atalhos no painel, trocar senhas, inserir assinatura, importar contatos, etc.

2.10 – Falhas de envio e recebimento de e-mails devem ser relatadas através do formulário www.fas.org.br/regulamento-lgpd ou em casos urgentes, no canal de atendimento.

3 – Visão pessoal x Visão corporativa

3.1 – Não é permitida a criação de listas de transmissão, nem o envio de mensagens para grupos maiores que 10 (dez) destinatários. Quando um setor ou departamento necessitar enviar uma mensagem a mais de dez destinatários, deverá solicitar ao TI através do canal de atendimento FAS

3.2 – Não é permitido o envio de mensagens por e-mails pessoais (Gmail, Outlook, Hotmail, Live, Yahoo etc.) através dos computadores do FAS, ou por celular usando as redes WIFI do FAS.

3.3 – Todos funcionários devem acessar a área de treinamentos do FAS em  www.treinamento.fas.org.br/curso/spam, para conhecer as medidas de segurança, identificar e evitar recebimento de SPAM e para que suas mensagens não sejam interpretadas como SPAM.

4 – Malwares

4.1 – Nunca é recomendável abrir anexos de e-mails, se não houver razões e fontes confiáveis para fazer isso. Se o usuário receber junto com a mensagem um arquivo que não estava esperando, ou parece inapropriado, então é melhor não abrir e encaminhar (com anexos) para seguranca@fas.org.br . Após a varredura da mensagem, ela será devolvida ao destinatário original, se for segura, ou eliminada, se for identificado algum perigo.

4.2 – Quando o funcionário recebe um e-mail com anexo ou link, é muito importante verificar sempre se o remetente é conhecido e confiável, mas atenção: apenas como primeira etapa de verificação, pois uma das maiores ameaças aos dados da instituição é o spear phishing, que usa de engenharia social para atacar, usando o nome e o e-mail de remetentes conhecidos, que podem propagar malwares sem intenção.

4.3 – A segunda etapa é verificar se o arquivo é potencialmente perigoso, observando qual a extensão dele. É proibida a abertura/execução de anexos de e-mails com as extensões “.exe”, “.msi”, “.bat”, “.com”, “.cmd”, “.hta”, “.scr”, “.pif”, “.reg”, “.js”, “.vbs”, “.wsf”, “.cpl”, “.jar”. No caso de recebimento de mensagens com alguma dessas extensões, repetimos: o arquivo não deve ser aberto/executado e deve ser encaminhado para seguranca@fas.org.br .

4.4 – Nosso servidor WEBMAIL dispõe de uma ferramenta de visualização prévia de arquivos PDF, de imagem, e outros, e deve ser sempre utilizada antes de baixar o arquivo.

4.5 – Todos devem acessar o treinamento em www.fas.org.br/treinamento/curso/malwares para conhecer as medidas de segurança contra spear-phishing, worms, trojans, vírus e outros malwares.

5 – Macros

5.1 – Arquivos corporativos com macros também podem ser potencialmente perigosos. Arquivos com extensões “.docx”, “.xlsx” e “.pptx” normalmente são seguros, mas extensões como “.docm”, “.xlsm” e “.pptm” podem conter conteúdo nocivo.

6 – Arquivos criptografados

6.1 – Arquivos com extensão “.zip”, “.rar” ou “.7z” que solicitam uma senha, não podem ser verificados pelo sistema de segurança do servidor, e são potencialmente perigosos, eles devem ser encaminhados para  seguranca@fas.org.br

6.2 – Da mesma forma, os funcionários do FAS não devem comprimir e enviar arquivos por criptografia através de solicitação de senha, para não serem classificados como SPAM por algum destinatário, provocando a inclusão de nosso IP em uma blacklist.

6.3 – Quando algum funcionário do FAS precisar criptografar arquivos, deve solicitar o serviço, justificando a necessidade, em www.fas.org.br/seguranca

7 – Criação, armazenamento e compartilhamento de formulários, planilhas, textos e arquivos em geral

7.1 – Não é permitida a criação e o uso de serviços gratuitos (como Google Drive, Google Forms, ONE Drive, Flickr, DropBox, Icloud, MediaFire, etc) para criação de formulários online, planilhas, textos colaborativos, para armazenar, compartilhar, editar online e receber qualquer tipo de arquivo do FAS.

7.2 – Gestores de unidades, e seus delegados, são operadores dos dados sensíveis apenas dos funcionários da unidade, e não é permitido o compartilhamento com eles de arquivos com dados sensíveis de funcionários de outras unidades ou de todo o FAS.

7.3 – Não é permitido o compartilhamento entre setores do FAS e/ou gestores de unidades, ou qualquer outro funcionário de:

7.3.1 – Planilhas prontas, enviadas por e-mail; impressas e entregues em mãos; ou compartilhadas por WhatsApp, que contenham dados sensíveis de todos os funcionários de um projeto, ou de todo o FAS.

7.3.2 – Planilhas online para edição colaborativa, que contenham dados sensíveis de todos os funcionários de um projeto, ou de todo o FAS.

8 – Serviço de nuvem FAS

8.1 – O FAS dispõe de seu próprio serviço de nuvem, e todos os arquivos corporativos devem ser armazenados dentro de nossos próprios servidores, que dispõe de certificados e protocolos que garantem a segurança dos nossos dados.

8.2 – As contas de armazenamento são divididas por setores, e sempre que algum funcionário precisar enviar ou compartilhar arquivos para dentro da nuvem do seu setor e não tiver acesso ainda, deverá procurar o chefe do setor para obtenção das informações de login.

8.3 – Todas os acessos à nuvem do FAS, para subida de arquivos, criação de pastas, movimentação ou compartilhamento de arquivos, geram logs de segurança, e devem ser realizados exclusivamente pelo terminal de trabalho do funcionário, em sua unidade de trabalho.

8.4 – Uma conta de nuvem pode ser acessada por vários funcionários do setor, mas não é permitido o acesso e uso da nuvem através de terminais de colegas do setor ou da unidade, por terminais de outras unidades, ou por outros terminais não pertencentes ao FAS, salvo autorização expressa do departamento de TI ou Compliance, através de solicitação de cadastro de terminal externo, realizada em www.fas.org.br/seguranca

8.5 – Funcionários que atuam em home office, ou em outros ambientes externos ao FAS, ainda que esporadicamente, devem cadastrar seu computador em www.fas.org.br/seguranca. O cadastro deve ser realizado quando estiver no ambiente externo de trabalho, e seguir as instruções da ferramenta de cadastro de terminal, para a realização das verificações automáticas de segurança, geolocalização e identificação de IP.

8.6 – Todas as contas de e-mail e armazenamento não corporativas, criadas por funcionários em nome do FAS, devem ter suas atividades encerradas, e devem ser informadas ao TI e ao Compliance através do formulário em www.fas.org.br/migracao, para migração de conteúdos à nuvem FAS, e posterior desativação.

8.7 – Todos os funcionários e terceirizados que se utilizam de e-mails pessoais para troca de correspondências corporativas, relacionadas com as atividades do FAS, no escritório central e nos projetos e unidades deverão encerrar o uso de suas contas para envio e recebimento de mensagens corporativas, e deverão obter e-mail corporativo, caso ainda não tenham, em www.fas.org.br/e-mail.

Após a criação do e-mail corporativo, caso ainda não tenham uma conta, deverão acessar a ferramenta de migração em www.fas.org.br/migracao.

8.8 – A utilização de conta não corporativa de e-mail e/ou nuvem, para troca e armazenamento de mensagens e arquivos, é considerada como atividade ilegal, não autorizada, de uso de dados do FAS, sujeita a todas as sanções previstas na CLT, pela LGPD e pelo Programa de Integridade do FAS.

8.9 – Dúvidas sobre forma de acesso, compartilhamento, armazenamento e solicitação de arquivos pela nuvem podem ser dirimidas em www.treinamento.fas.org.br/curso/uso-de-nuvem.

9 – Treinamentos

9.1 – O FAS possui uma plataforma própria de treinamentos à distância em www.treinamento.fas.org.br, e todos os funcionários devem realizar os treinamentos classificados como obrigatórios para todos, e os treinamentos obrigatórios ao seu setor ou função.

9.2 – Alguns treinamentos têm prazo de conclusão e os funcionários serão notificados por e-mail e pelo canal FAS, sobre o início do treinamento, e o período em que ele estará disponível, e no qual ele deverá ser concluído pelo funcionário.

9.3 – O FAS detém direito editorial sobre todos os conteúdos educativos produzidos no FAS e em função das atividades exercidas pelos funcionários no FAS, e todos os treinamentos, cursos, tutoriais e outras formas de capacitação e educação continuada, do núcleo e das unidades dos projetos, devem ser cadastrados na plataforma de treinamentos do FAS para publicação, divulgação e acesso remoto de todos os funcionários, inclusive os treinamentos que forem realizados presencialmente para um grupo limitado de funcionários.

9.4 – Os treinamentos específicos que porventura sejam restritos a um grupo de trabalho, ficaram disponíveis com restrição de acesso, se a direção entender necessário. Os gestores e treinadores que desejarem realizar um treinamento presencial ou publicar um treinamento EAD, deverão fazer o cadastro das atividades de educação continuada no departamento de Comunicação.

9.5 – Não é permitida a criação e emissão de certificados em nome do FAS, ou de um setor dele. Todos os certificados emitidos pelo FAS devem seguir a identidade visual padrão e ser emitidos pelo setor de Comunicação, de acordo com nosso manual de marcas, e após registro no setor de Compliance em www.fas.org.br/certificados. Os certificados serão numerados, registrados e neles constarão as assinaturas digitais do diretor de Projetos do FAS, do responsável pelo setor, e pelo ministrador do curso. A assinatura digital dos signatários será criada pelo setor de compliance.

9.6 – HIPAA é um conjunto de conformidades que organizações de saúde passaram a seguir para proteger suas informações digitais internas.

9.7 – Em adequação à Lei Geral de Proteção de Dados, o servidor de formulários de dados do FAS dispõe deste conjunto de conformidades e de outras ferramentas de segurança necessárias, que identificam dados PHI e fazem as devidas criptografias quando necessário;  e em virtude da sensibilidade de dados pessoais trocados pelo setor de RH do FAS, todos os processos que envolvem solicitação de serviços de RH, com envio e recebimento de dados,  devem ser trocados exclusivamente dentro deste servidor, sendo solicitados e atendidos através da ferramenta www.fas.org.br-rh

9.8 – Visando mitigar custos de proteção de dados e riscos jurídicos por eventuais quebras de segurança de dados pessoais de terceiros, o FAS não aceita currículos, nem mantém bancos de talentos ou qualquer outra forma de armazenamento de dados sensíveis de pessoas não pertencentes aos quadros da instituição.

9.9 – Envios não solicitados de currículos por e-mail devem ser respondidos (com a devolução do currículo anexo), através de uma devolução formal, com solicitação de acusação de recebimento, e com o Título de “Exclusão ou devolução de dados pessoais não solicitados” e o texto:  “ Obrigado por entrar em contato conosco, mas infelizmente o FAS não recebe currículos ou qualquer documento com dados pessoais não solicitados. Seu documento não foi aberto, e será excluído de nossos bancos de dados, com toda a segurança, em respeito a você e à segurança de seus dados. Acompanhe e inscreva-se em nossos processos seletivos em www.fas.org.br/processos-seletivos/rh ou siga nossa página em https://www.facebook.com/fas e você ficará sempre por dentro de nossos processos seletivos. Boa sorte!”

10 – Redes sociais

10.1 – Não é permitido o uso de redes sociais através dos computadores do FAS, sem autorização expressa do TI e/ou da direção. A solicitação deve ser feita através da ferramenta em www.fas.org.br/ti

10.2 – O FAS realiza e-clipping e monitoramento de publicações relacionadas com seu nome e o nome das unidades e projetos dos quais é responsável pela gestão. Temos a responsabilidade corporativa de zelar não só por nosso nome e imagem, mas pelo nome e imagem das unidades e projetos que fazemos gestão, e das respectivas prefeituras, governos, e outros parceiros nos contratos de gestão.

10.3 – De acordo com o artigo 4822, alínea k , da Consolidação das Leis do Trabalho, “todo ato lesivo da honra ou da boa fama ou ofensas contra o empregador e superiores hierárquicos constitui demissão”.

10.4 – Portanto, os funcionários precisam atentar para a tênue linha divisória entre liberdade de expressão e violação de leis, normas e valores da instituição, nas publicações em perfis pessoais que possam colocar o funcionário em uma situação difícil diante de sua instituição, de seus colegas, e diante da justiça. Citamos como exemplos:

10.4.1 – Zombar de colegas de trabalho.
10.4.2 – Ofender chefes ou subordinados
10.4.3 – Criar “fakes” sobre fatos que não ocorreram ou que não dizem respeito ao ambiente do trabalho.
10.4.4 – Ofender a reputação de qualquer membro da empresa, caracterizando crime contra a honra e que atingem a integridade moral do indivíduo.

10.5 – Também são práticas malvistas denegrir a imagem da instituição por:

10.5.1 – Insatisfação salarial
10.5.2 – Discordância de pensamento
10.5.3 – Falta de perspectiva de crescimento profissional
10.5.4 – Ou ainda, por desavença com o chefe, utilizando a rede social como um meio de manifestar a sua indignação.
10.5.5 – O funcionário deve evitar também colocar o FAS em risco jurídico e de imagem, com apologias a qualquer tipo de atividade ilícita, opiniões e afirmações com cunho racista, xenofóbico, homofóbico, antivacina, depreciativas do SUS, das medidas de prevenção ao COVID-19, como uso de máscaras e medidas restritivas (quando determinadas por autoridade).

10.6 – É proibido publicar e compartilhar em redes sociais:

10.6.1 – Imagens de colegas de trabalho em situação vexatória, sem a devida autorização de uso de imagem.
10.6.2 – Fotos e vídeos de aniversários e confraternizações em unidades de saúde, com bebidas, refrigerantes e alimentos, balões e faixas, uniformizados ou não, independente do dia e horário.
10.6.3 – Fotos e vídeos de danos em estruturas e equipamentos, e outros riscos, como:
10.6.3.1 – Vazamentos de esgotos e instalações hidráulicas.
10.6.3.2 – Infiltrações e goteiras em forros, paredes.
10.6.3.3 – Pessoas acidentadas em local de trabalho.
10.6.3.4 – Insetos e ratos.
10.6.3.5 – Cadeiras, mesas e mobiliários em geral danificados.
10.6.3.6 – Equipamentos danificados.

10.7 – Quando for necessário notificar um dano a um gestor ou responsável por manutenção, ele deverá ser notificado em www.fas.org.br/informe

11 – Processos seletivos

11.1 – Como medida de proteção contra SPAMRUN e para não prejudicar nossos servidores com filas de mensagens de domínios sem chave SPF configurada, não é permitida a divulgação de e-mail do FAS para envio de inscrições, currículos, documentos etc.

11.2 – Os processos Seletivos do FAS devem ser realizados em adequação à nova Lei Geral de Proteção de Dados, e todos os processos devem ser realizados através dos servidores do FAS, em ambiente seguro, através da plataforma Jotform.

11.3 – Todos os candidatos deverão ler e assinar o termo de ciência das nossas políticas de privacidade e uso de dados, no ato da inscrição, através do servidor.

11.4 – Ao término do processo seletivo, após à promulgação dos resultados, e expirados os prazos de contestação, os dados de todos que não forem contratados deverão ser excluídos, através de aviso legal de destruição de dados, que será enviado a todos os candidatos titulares de dados sensíveis.

11.5 – A definição de datas de processos seletivos, tipo e número de vagas, documentação exigida, a análise, seleção dos candidatos, promulgação dos resultados são atribuições exclusivas do RH, que solicitará a formulação do processo de inscrições ao TI e à Comunicação e Transparência.

11.6 – A definição das ferramentas do processo de inscrições, e os mecanismos de proteção e segurança dos dados, devem ser realizadas pelo TI e Compliance.

11.7 – As formas, mecanismos e produtos de divulgação, e o atendimento aos candidatos deve, ser realizados pela Comunicação da unidade, atendendo às necessidades do RH, a orientação do Compliance e o acompanhamento da Comissão de Proteção de Dados.

12 – WhatsApp

12.1 – Todas as normas de conduta do capítulo 9 de redes sociais, se aplicam também aos grupos de trabalho de WhatsApp.

12.2 – Grupos de trabalho criados para trocas de mensagens entre departamentos, unidades, ou projetos devem ser cadastrados em www.fas.org.br/cadastro-grupo (essa norma não se aplica a grupos internos criados para comunicação exclusiva entre membros do mesmo setor e a chefia).

12.3 – O WhatsApp não deve ser utilizado para:
Busca de fornecedores
Consultas de preços
Orçamentos
Troca de informações relativas a processos seletivos, licitações, editais, etc.

O WhatsApp não deve ser utilizado para envio e recebimento de:
Notas fiscais, contas a pagar e receber, ordens de pagamento, ordens de serviço, faturas e documentos financeiros em geral.
Atestados Médicos, notificações de férias, PPP, e documentos de RH em geral.
Resultados de processos seletivos, vencedores de compras, listas de fornecedores e dados de funcionários.

12.4 – O WhatsApp não deve ser utilizado para cobranças e reclamações relacionadas com prazos de entrega, cumprimento de metas, qualidade de produtos, serviços, conduta de funcionários e qualquer outra desconformidade com compras e contratos de prestação de serviço, que deverão ser feitas exclusivamente através de e-mail corporativo.

12.5 – Os usuários podem utilizar weblinks da CloudFAS para solicitar ou enviar arquivos através do WhatsApp desde que sejam intercâmbios internos entre funcionários da instituição, mas todos os arquivos devem ter destino ou partida na CloudFAS

Glossário

PHI – (Protected Health Information) informações de saúde protegidas pela lei.

HIPAA – (Health Insurance Portability and Accountability Act) conjunto de normas que organizações de saúde norte-americanas devem cumprir.

Spear-phishing – é um golpe de e-mail direcionado com o objetivo de obter acesso não autorizado a dados sigilosos.

Blacklist – lista de e-mails, endereços IP ou domínios classificados como nocivos, por prática de SPAM ou disseminação de Malwares e vírus.