Norma de Segurança da Informação

Norma de Segurança da Informação para Terceiros, Parceiros e Fornecedores do Grupo Gerdau

Revisão: 20/06/22

OBJETIVO

Prezado Parceiro,

A informação é um patrimônio de grande valor para a Gerdau e todos nós devemos zelar por ela, protegendo-a de forma a garantir sua confidencialidade e integridade, conforme o Código de Ética para Terceiros da Gerdau.

A tecnologia nos permite a obtenção, o armazenamento, o processamento e a recuperação de enormes quantidades de dados, essenciais aos fluxos administrativo e produtivo da Empresa. O cuidado com estes dados, sua proteção e uso adequado, não só é parte integrante dos negócios, mas também faz parte da construção da história da Gerdau.

O envolvimento e a adesão consciente por parte de cada um de nossos terceiros, são fundamentais para consolidarmos o comportamento coletivo, mais atento e seguro, quanto ao tratamento das informações da Gerdau.

Contamos com a sua participação e compromisso quanto as diretrizes abaixo expostas.

ABRANGÊNCIA

Aplica-se a todas as Operações de Negócio e Áreas Corporativas da Gerdau, como também a todos os fornecedores, prestadores de serviço e parceiros que utilizam, mantêm ou lidam com ativos de informação da Gerdau, dentro ou fora das dependências físicas da empresa.

DEFINIÇÕES

INFORMAÇÃO: É o resultado da organização dos dados, não importando a sua forma de apresentação ou de armazenamento. Toda a informação é considerada um ativo para a Gerdau, ou seja, faz parte de seu patrimônio.

USUÁRIO: qualquer pessoa que tenha permissão de acesso às informações da Gerdau, independente do meio.

SEGURANÇA DA INFORMAÇÃO: é um conjunto de controles para proteger a informação, tendo atributos de confidencialidade, integridade e disponibilidade no âmbito de tecnologia, processos e pessoas.

REFERÊNCIAS

• DC-15A: Diretriz Corporativa para Segurança da Informação Gerdau
• ISO 27001:2013

DIRETRIZES

1. Proteção da Informações

1. 1. 1. Todas as informações produzidas, individualmente ou em conjunto, pelos terceiros a serviço da Gerdau, originadas ou derivadas de suas atividades de trabalho são consideradas de propriedade da Gerdau, aplicando-se isso também para qualquer informação provida ou licenciada para a Gerdau.

1. 1.2. Todo terceiro deverá ter acesso somente às informações e recursos que são necessários para a execução do seu trabalho.

1. 1.3. Todo terceiro deverá zelar e proteger as informações não públicas da Gerdau as quais possui acesso. Tais informações não podem ser divulgadas sem a prévia autorização da Gerdau. Não é permitido que se realize cópias dessas informações para uso pessoal ou de terceiros.

1.4. Todo Terceiro deve seguir no mínimo os mesmos controles e requerimentos de segurança da informação estabelecidos nas Políticas e Diretrizes vigentes de Segurança da Informação da Gerdau

2. Acesso Físico

2.1.1. Cabe à área de Segurança Empresarial da Gerdau estabelecer as barreiras físicas necessárias para controlar o acesso e proteger as informações da Empresa. O terceiro deverá respeitar os acessos físicos a ele permitidos dentro da Gerdau.

2.1.2. É proibido filmar ou fotografar áreas internas da Gerdau sem prévia autorização formal. 2.1.3.Todo Terceiro deve utilizar identificação visível, como crachá ou credencial, quando   estiver

nas dependências administrativas da Gerdau, quando em atividades em plantas  industriais,

adicionalmente aderir as normas de segurança física e recomendações da unidade em questão.

3. Acesso Lógico e Gestão de Identidades

3.1.1.O acesso logico ao ambiente da rede interna da Gerdau será avaliado e aprovado de acordo com a necessidade, seguindo a Diretriz Corporativa de Segurança da Informação.

• Todos os equipamentos utilizados no ambiente Gerdau devem seguir as recomendações e requerimentos informados pelas Políticas e Diretrizes Gerdau e devem ter o nível de segurança mínimo equiparado ao padrão da Gerdau ou ainda utilizar a imagem padrão de sistema operacional Gerdau.

• Os computadores de terceiros não podem ser conectados na rede interna da Gerdau sem a aprovação prévia da TI e computadores que serão conectados na rede deverão estar

protegidos por software antivírus/anti-malware e demais softwares devidamente licenciados e homologados pela área de TI corporativa Gerdau.

3.1.4.É proibido o acesso, download ou distribuição de qualquer conteúdo que viole direitos autorais e de propriedade dentro da rede da Gerdau. Da mesma forma, não é permitido acesso ou distribuição de conteúdo pornográfico de qualquer natureza ou conteúdo que viole o Estatuto da Criança e Adolescente.

3.1.5.O acesso remoto ao ambiente da Gerdau quando necessário, deverá ocorrer via VPN (Virtual Private Network) usando tuneis criptografados para manter segura a informação em trânsito e com duplo fator de autenticação homologados e/ou fornecido pela Gerdau.

3.1.6.A Gerdau disponibiliza aos terceiros acessos via VPN Lan-to-Lan, ou Site-to-Site para facilitar o trabalho remoto. É responsabilidade do terceiro ter infraestrutura necessária para conectar-se a Gerdau usando esse meio disponível. As configurações e protocolos dessa VPN serão estabelecidos e informados pelo time de segurança da informação Gerdau.

• Quando aplicável, o usuário e senha disponibilizado para o terceiro são de uso exclusivo e não podem ser divulgados ou compartilhados.

• O acesso a rede ou sistemas por terceiros, quando aplicável, será concedido seguindo todos os requisitos de segurança da concessão de acesso a colaboradores da Gerdau, mas limitados aos requisitos de contrato e não devem interferir em cumprimentos de requisitos legais;

• Conexões de terceiros a rede somente pode ser efetuadas após a formalização do contrato de prestação de serviços e acordo de confidencialidade devidamente assinados;

• O terceiro deve manter suas credenciais de acesso seguras, sendo proibido o compartilhamento ou divulgação, e qualquer uso indevido dessas credenciais são de sua responsabilidade e da respectiva empresa parceira ou prestadora de serviços.

• É responsabilidade da empresa terceira comunicar qualquer desligamento de terceirizados para que eles tenham seus acessos devidamente cancelados no ambiente da Gerdau.

• Os equipamentos de terceiros que forem identificados com softwares ou artefatos maliciosos, ou que estejam em desacordo com a Política de Segurança Gerdau serão removidos da rede e colocados em quarentena até a regularização e nova aprovação de TI.

4. Segurança de Equipamentos

4.1.1. Cada usuário é responsável pela proteção dos   dispositivos   físicos   contendo informação da Gerdau que estão sob sua guarda.

4.1.2. Cada usuário deve estar ciente que o uso de qualquer recurso de TI no ambiente Gerdau, ainda que de propriedade pessoal, está sujeito a vistoria, sempre que a lei local permitir.

5. Gestão de Incidentes de Segurança de Informação

5.1.1. Incidentes e não-conformidades de Segurança da Informação que sejam de conhecimento do terceiro devem ser imediatamente relatados à um responsável da Gerdau, podendo também, para isso, ser usado o Canal da Ética (https://www.gerdau.com/br/pt/quem-somos/codigo- de-etica).

5.1.2. Incidentes de vazamento de informação ocorridos nas empresas que fornecem serviços a Gerdau devem ser informados imediatamente ao time global de segurança da informação.

6. Conformidade

6.1.1.A administração, exploração, transmissão ou qualquer outra utilização das informações de propriedade da Gerdau observarão as disposições legais, regulamentares e estatutárias aplicáveis a cada uma das Operações de Negócio da Gerdau.

6.1.2.As empresas que prestam serviços para Gerdau devem apresentar, sempre que requerido, evidencias que comprovem a conformidade com a Lei Geral de Proteção de Dados brasileira, LEI Nº 13.709/2018.

CONSIDERAÇÕES FINAIS

Todo assunto não previsto neste documento, ou que gere dúvidas na interpretação, deve ser encaminhado para avaliação e aprovação da Gerdau através da área Global de Segurança da Informação.

VITOR SENA
CISO GERDAU
GERENTE GERAL DE SEGURANÇA DA INFORMAÇÃO