Norma de Segurança da Informação para Terceiros, Parceiros e Fornecedores do Grupo Gerdau
Revisão: 20/06/22
Prezado Parceiro,
A informação é um patrimônio de grande valor para a Gerdau e todos nós devemos zelar por ela, protegendo-a de forma a garantir sua confidencialidade e integridade, conforme o Código de Ética para Terceiros da Gerdau.
A tecnologia nos permite a obtenção, o armazenamento, o processamento e a recuperação de enormes quantidades de dados, essenciais aos fluxos administrativo e produtivo da Empresa. O cuidado com estes dados, sua proteção e uso adequado, não só é parte integrante dos negócios, mas também faz parte da construção da história da Gerdau.
O envolvimento e a adesão consciente por parte de cada um de nossos terceiros, são fundamentais para consolidarmos o comportamento coletivo, mais atento e seguro, quanto ao tratamento das informações da Gerdau.
Contamos com a sua participação e compromisso quanto as diretrizes abaixo expostas.
Aplica-se a todas as Operações de Negócio e Áreas Corporativas da Gerdau, como também a todos os fornecedores, prestadores de serviço e parceiros que utilizam, mantêm ou lidam com ativos de informação da Gerdau, dentro ou fora das dependências físicas da empresa.
INFORMAÇÃO: É o resultado da organização dos dados, não importando a sua forma de apresentação ou de armazenamento. Toda a informação é considerada um ativo para a Gerdau, ou seja, faz parte de seu patrimônio.
USUÁRIO: qualquer pessoa que tenha permissão de acesso às informações da Gerdau, independente do meio.
SEGURANÇA DA INFORMAÇÃO: é um conjunto de controles para proteger a informação, tendo atributos de confidencialidade, integridade e disponibilidade no âmbito de tecnologia, processos e pessoas.
1. Proteção da Informações
1.4. Todo Terceiro deve seguir no mínimo os mesmos controles e requerimentos de segurança da informação estabelecidos nas Políticas e Diretrizes vigentes de Segurança da Informação da Gerdau
2. Acesso Físico
2.1.1. Cabe à área de Segurança Empresarial da Gerdau estabelecer as barreiras físicas necessárias para controlar o acesso e proteger as informações da Empresa. O terceiro deverá respeitar os acessos físicos a ele permitidos dentro da Gerdau.
2.1.2. É proibido filmar ou fotografar áreas internas da Gerdau sem prévia autorização formal. 2.1.3.Todo Terceiro deve utilizar identificação visível, como crachá ou credencial, quando estiver
nas dependências administrativas da Gerdau, quando em atividades em plantas industriais,
adicionalmente aderir as normas de segurança física e recomendações da unidade em questão.
3. Acesso Lógico e Gestão de Identidades
3.1.1.O acesso logico ao ambiente da rede interna da Gerdau será avaliado e aprovado de acordo com a necessidade, seguindo a Diretriz Corporativa de Segurança da Informação.
protegidos por software antivírus/anti-malware e demais softwares devidamente licenciados e homologados pela área de TI corporativa Gerdau.
3.1.4.É proibido o acesso, download ou distribuição de qualquer conteúdo que viole direitos autorais e de propriedade dentro da rede da Gerdau. Da mesma forma, não é permitido acesso ou distribuição de conteúdo pornográfico de qualquer natureza ou conteúdo que viole o Estatuto da Criança e Adolescente.
3.1.5.O acesso remoto ao ambiente da Gerdau quando necessário, deverá ocorrer via VPN (Virtual Private Network) usando tuneis criptografados para manter segura a informação em trânsito e com duplo fator de autenticação homologados e/ou fornecido pela Gerdau.
3.1.6.A Gerdau disponibiliza aos terceiros acessos via VPN Lan-to-Lan, ou Site-to-Site para facilitar o trabalho remoto. É responsabilidade do terceiro ter infraestrutura necessária para conectar-se a Gerdau usando esse meio disponível. As configurações e protocolos dessa VPN serão estabelecidos e informados pelo time de segurança da informação Gerdau.
4. Segurança de Equipamentos
4.1.1. Cada usuário é responsável pela proteção dos dispositivos físicos contendo informação da Gerdau que estão sob sua guarda.
4.1.2. Cada usuário deve estar ciente que o uso de qualquer recurso de TI no ambiente Gerdau, ainda que de propriedade pessoal, está sujeito a vistoria, sempre que a lei local permitir.
5. Gestão de Incidentes de Segurança de Informação
5.1.1. Incidentes e não-conformidades de Segurança da Informação que sejam de conhecimento do terceiro devem ser imediatamente relatados à um responsável da Gerdau, podendo também, para isso, ser usado o Canal da Ética (https://www.gerdau.com/br/pt/quem-somos/codigo- de-etica).
5.1.2. Incidentes de vazamento de informação ocorridos nas empresas que fornecem serviços a Gerdau devem ser informados imediatamente ao time global de segurança da informação.
6. Conformidade
6.1.1.A administração, exploração, transmissão ou qualquer outra utilização das informações de propriedade da Gerdau observarão as disposições legais, regulamentares e estatutárias aplicáveis a cada uma das Operações de Negócio da Gerdau.
6.1.2.As empresas que prestam serviços para Gerdau devem apresentar, sempre que requerido, evidencias que comprovem a conformidade com a Lei Geral de Proteção de Dados brasileira, LEI Nº 13.709/2018.
Todo assunto não previsto neste documento, ou que gere dúvidas na interpretação, deve ser encaminhado para avaliação e aprovação da Gerdau através da área Global de Segurança da Informação.
VITOR SENA
CISO GERDAU
GERENTE GERAL DE SEGURANÇA DA INFORMAÇÃO