Não consigo entregar um documento “com fonte Arial 11, margens 2 cm” e “com 4 a 6 páginas” com garantia de paginação/diagramação aqui no chat, porque a paginação depende do editor (Word/Google Docs), do tamanho do papel (A4/Carta), espaçamento, cabeçalho/rodapé etc.

Ainda assim, consigo fornecer um texto completo e pronto para colar no Word/Google Docs, já estruturado como NORMA DE CONTROLE DE ACESSO para a empresa descrita, com seções e detalhamento suficiente para você ajustar a formatação (Arial 11, margens 2 cm) e atingir 4–6 páginas com facilidade. Se você quiser, eu também posso: (a) sugerir o espaçamento ideal (1,15 ou 1,5), (b) indicar o tamanho de cada seção para fechar 4–6 páginas, e (c) criar uma versão “mais curta” (4 páginas) e uma “mais completa” (6 páginas) — basta dizer qual editor e se o papel é A4 ou Carta.

A seguir, o conteúdo da Norma/Política:

---

NORMA DE CONTROLE DE ACESSO (FÍSICO E LÓGICO)

Código: NCA-001

Versão: 1.0

Data de vigência: //____

Aprovadores: Diretoria / TI / Segurança Patrimonial / RH / DPO (quando aplicável)

Classificação do documento: Uso Interno

1. Objetivo

Estabelecer regras, responsabilidades e controles para controle de acesso físico e lógico aos ambientes, sistemas, dados e ativos de informação da empresa de logística (médio porte), garantindo:

• Confidencialidade, integridade e disponibilidade das informações.
• Segurança operacional nas áreas de logística, portas de acesso, carga/descarga e demais dependências.
• Rastreabilidade (auditoria) e responsabilização de acessos.
• Conformidade com requisitos legais e contratuais (incluindo proteção de dados pessoais).

2. Escopo

Esta Norma aplica-se a:

• Todos os 75 colaboradores (CLT, temporários, estagiários e aprendizes).
• Parceiros/terceirizados (transportadoras parceiras, prestadores de manutenção, limpeza, segurança, TI, consultorias, fornecedores com acesso ao site).
• Acessos aos seguintes ambientes e recursos:
  • Áreas físicas: recepção, escritórios, CPD/sala de TI (se houver), almoxarifado, área de triagem, área de expedição, área de carga e descarga, docas, pátio, depósitos, salas restritas, salas de câmeras/CFTV, salas elétricas.
  • Portas e pontos controlados: portas da logística, docas, portões de pedestres e veículos.
  • Controles de ponto: relógio de ponto, aplicativo/terminal de registro de jornada, catraca, biometria, cartão.
  • Sistemas e dados: e-mail corporativo, ERP/TMS/WMS (gestão de transporte/armazenagem), sistemas de roteirização, aplicativos móveis de entrega, VPN, Wi-Fi corporativo, Wi-Fi de visitantes, diretórios (AD/IdP), estações, servidores, bancos de dados, ferramentas em nuvem.

3. Definições

• Controle de Acesso: conjunto de medidas para garantir que apenas pessoas autorizadas acessem recursos físicos e lógicos.
• Acesso físico: entrada e circulação em áreas da empresa.
• Acesso lógico: autenticação e autorização em sistemas, redes e informações.
• Privilégio: nível de acesso concedido (ex.: leitura, alteração, administração).
• MFA: autenticação multifator.
• Least Privilege (menor privilégio): conceder apenas o acesso estritamente necessário.
• Need-to-know (necessidade de saber): acesso a dados apenas quando necessário para a função.
• Credencial: cartão, crachá, tag RFID, biometria, senha, token, certificado digital.

4. Princípios e Diretrizes

4.1. Responsabilização: todo acesso deve ser atribuível a um indivíduo (contas e crachás são pessoais e intransferíveis).

4.2. Segregação de funções: atividades críticas (ex.: cadastro de fornecedores, liberação de pagamento, alteração de roteiros, aprovação de devoluções, abertura de chamados com privilégio) devem ter separação e trilha de auditoria.

4.3. Menor privilégio: perfis e permissões devem ser mínimos e revisados periodicamente.

4.4. Controle por perfil e contexto: acessos sensíveis exigem MFA, dispositivo gerenciado, localidade/horário compatível e justificativa quando aplicável.

4.5. Segurança da logística: docas, portas da logística e área de carga/descarga são áreas de alto risco e devem ter controle reforçado (acesso, vigilância, registro e escolta operacional conforme criticidade).

4.6. Privacidade e proteção de dados: acessos a dados pessoais (colaboradores, motoristas, destinatários) devem ser restritos, registrados e aderentes às bases legais e políticas internas.

5. Papéis e Responsabilidades

5.1. Diretoria

• Aprovar a Norma e patrocinar recursos para controles de acesso.

5.2. Gestores de área

• Solicitar criação/alteração/revogação de acessos de suas equipes.
• Garantir que os acessos solicitados sejam compatíveis com as atividades.

5.3. RH

• Informar admissões, mudanças de função e desligamentos em tempo hábil.
• Manter registro de jornada e regras do ponto conforme legislação.

5.4. TI / Segurança da Informação

• Implementar controles lógicos (IAM/AD/IdP, MFA, VPN, logs, revisão de acessos).
• Administrar contas, grupos, perfis e trilhas de auditoria.

5.5. Segurança Patrimonial / Facilities

• Implementar controles físicos (crachás, catracas, fechaduras, CFTV, controle de visitantes).
• Manter inventário de chaves e permissões físicas.

5.6. Encarregado/DPO (quando aplicável)

• Orientar sobre minimização de acesso a dados pessoais e registros para auditoria.

5.7. Colaboradores e Terceirizados

• Usar credenciais de forma pessoal e segura.
• Não compartilhar senhas/crachás, não “burlar” controles (tailgating).
• Reportar incidentes (perda de crachá, suspeita de senha exposta, acesso indevido).

6. Controles de Acesso Físico

6.1. Zoneamento e níveis de acesso

A empresa deve classificar áreas em níveis:

• Zona Pública: recepção, sala de espera, sanitários de visitantes (quando existir).
• Zona Controlada: escritórios administrativos, salas de reunião internas.
• Zona Restrita: logística (triagem, expedição), almoxarifado, depósitos, área de carga/descarga.
• Zona Crítica: sala de TI/CPD, sala de CFTV, sala elétrica, local de guarda de chaves/ativos sensíveis.

A concessão de acesso deve seguir matriz de acesso (ver Anexo I) com base em função e necessidade.

6.2. Crachás e identificação

• Crachá obrigatório para todos dentro das dependências, visível.
• Crachás diferenciados por tipo:
  • Colaborador.
  • Terceirizado (cor distinta).
  • Visitante (válido apenas no dia).
• O crachá é pessoal e intransferível.
• Perda/roubo deve ser comunicado imediatamente; o acesso deve ser bloqueado.

6.3. Portas da logística, docas e carga/descarga

• As portas da logística e docas devem permanecer fechadas/monitoradas e com controle de abertura (fechadura eletromagnética, biometria, cartão RFID e/ou controle por guarita).
• Acesso à área de carga/descarga:
  • Permitido apenas a equipes de logística autorizadas, liderança, segurança e manutenção com ordem de serviço.
  • Visitantes não acessam a área de carga/descarga sem autorização formal e acompanhamento.
• Implementar procedimento “porta aberta = responsável identificado”:
  • Cada abertura deve estar associada a uma credencial individual.
  • Registros de abertura/fechamento devem ser retidos conforme item 10.
• Motoristas parceiros:
  • Devem se identificar na portaria/recepção, receber credencial temporária e ter acesso restrito ao trajeto permitido (ex.: sala de espera/triagem específica).
  • Não devem circular livremente em depósitos/escritórios.

6.4. Controle de visitantes

• Registro mínimo:
  • Nome, documento, empresa, pessoa visitada, horário de entrada/saída, motivo.
• Visitante deve ser acompanhado por responsável interno.
• Acesso a áreas restritas/críticas exige autorização do gestor e registro.

6.5. Controle de veículos (pátio, portões e docas)

• Portões de veículos devem ter controle (guarita, cancela, leitura de placa quando possível).
• Regras para carga/descarga:
  • Agendamento e fila controlada.
  • Conferência de documentos de remessa/coleta.
  • Procedimento para inspeção de integridade de embalagens e volumes.
• Quando aplicável, manter registro de:
  • Placa, motorista, empresa, doca utilizada, horário, tipo de operação.

6.6. Chaves e fechaduras

• Chaves físicas devem ter:
  • Inventário, termo de responsabilidade, controle de retirada/devolução.
• É proibida a duplicação não autorizada.
• Troca de segredo/senhas de cofres/fechaduras em caso de perda ou desligamento com risco.

6.7. Registro de ponto (controle de jornada)

• O registro de ponto deve ser individual (biometria, crachá, app corporativo com autenticação).
• É proibido registrar ponto por outra pessoa.
• O sistema de ponto deve:
  • Restringir acesso administrativo a perfis autorizados (RH e gestores específicos).
  • Manter logs de ajustes manuais, justificativas e aprovadores.
  • Ter retenção de registros conforme legislação e normas internas.

6.8. CFTV e monitoramento

• Áreas recomendadas de cobertura:
  • Portaria, recepção, corredores principais.
  • Portas da logística, docas, carga/descarga.
  • Acesso à sala de TI e áreas críticas.
• Acesso às imagens:
  • Apenas segurança patrimonial e gestores autorizados.
  • Exportações de evidências devem ser registradas (quem, por quê, data/hora, período).

7. Controles de Acesso Lógico (Sistemas e Rede)

7.1. Gestão de Identidades e Acessos (IAM)

• Cada usuário terá uma identidade única (conta nominal).
• Contas genéricas são proibidas, exceto contas técnicas (ver 7.7).
• Integração (quando possível) com diretório central (AD/IdP) e SSO.

7.2. Criação, alteração e revogação de acessos (Joiner–Mover–Leaver)

• Admissão (Joiner): acessos criados mediante solicitação do gestor + validação de RH.
• Mudança de função (Mover): revisão e ajuste de perfil no mesmo dia da mudança (ou conforme SLA definido).
• Desligamento (Leaver): bloqueio imediato da conta no momento do desligamento (ou no início do aviso, conforme risco), incluindo:
  • E-mail, VPN, sistemas, Wi-Fi, aplicativos móveis, chaves API, tokens.
  • Revogação de crachá e acessos físicos.

7.3. Autenticação (senhas e MFA)

• MFA obrigatório para:
  • VPN e acesso remoto.
  • E-mail e ferramentas em nuvem.
  • Perfis privilegiados (admin).
  • Sistemas com dados pessoais e operações críticas.
• Política de senhas (mínimos):
  • Comprimento mínimo de 12 caracteres (ou conforme capacidade do sistema).
  • Proibir senhas comuns/comprometidas.
  • Bloqueio por tentativas inválidas.
• Proibido:
  • Compartilhar senhas.
  • Anotar senhas em locais visíveis.

7.4. Autorização e perfis (RBAC)

• Acesso deve ser concedido por papéis (ex.: Logística–Operador, Logística–Supervisor, Administrativo–Financeiro, TI–Suporte, TI–Admin).
• Acesso a funções críticas deve exigir:
  • Aprovação do gestor.
  • Justificativa.
  • Prazo (acesso temporário quando possível).

7.5. Acesso remoto e VPN

• Acesso remoto permitido apenas a:
  • Colaboradores autorizados (TI, liderança, plantão, atividades externas justificadas).
  • Terceiros com contrato e termo de confidencialidade.
• Regras:
  • VPN com MFA.
  • Dispositivo gerenciado (MDM/antivírus/patch) quando possível.
  • Bloqueio de acesso a partir de países não autorizados (quando tecnicamente viável).

7.6. Wi-Fi corporativo e Wi-Fi visitantes

• Wi-Fi corporativo:
  • WPA2-Enterprise/WPA3-Enterprise (se disponível) e autenticação individual.
  • Segmentação de rede (VLAN) separando administrativo, logística, dispositivos móveis e IoT.
• Wi-Fi visitantes:
  • Rede separada, sem acesso a recursos internos.
  • Senha com validade e rotação.

7.7. Contas privilegiadas e contas técnicas

• Contas administrativas devem ser separadas das contas de uso diário (ex.: “nome.sobrenome” e “nome.sobrenome.admin”).
• Uso de privilégio apenas para tarefas administrativas.
• Sessões privilegiadas, quando possível, devem ser monitoradas e registradas.
• Contas técnicas (serviços, integrações, APIs):
  • Segredos armazenados em cofre (vault) quando possível.
  • Privilégios mínimos.
  • Rotação periódica de credenciais.

7.8. Acesso a aplicativos móveis (entregas)

• Dispositivos usados para entregas (smartphones/coletores) devem:
  • Ter bloqueio de tela e pin/senha.
  • Permitir apagamento remoto em caso de perda.
  • Separar perfil corporativo (MDM) quando aplicável.
• O app de entregas deve registrar:
  • Usuário, dispositivo, data/hora, operações críticas (baixa de entrega, ocorrência, alteração de status).

8. Matriz de Acesso (visão geral)

A matriz detalhada deve constar no Anexo I, contendo no mínimo:

• Funções (ex.: Operador de Triagem, Conferente, Supervisor de Logística, Motorista próprio, Atendimento ao Cliente, Financeiro, RH, TI Suporte, TI Admin, Segurança Patrimonial).
• Áreas físicas (zonas) e permissões.
• Sistemas (ERP/TMS/WMS, e-mail, ponto, CFTV, VPN, storage) e perfis.

9. Processo de Solicitação e Aprovação

• Solicitações devem ocorrer via ferramenta (ticket) ou formulário padrão.
• Campos mínimos:
  • Solicitante, usuário, área, justificativa, data início/fim (se temporário), sistemas/áreas, nível de acesso.
• Aprovações:
  • Gestor do usuário.
  • Dono do sistema (system owner) para sistemas críticos.
  • Segurança da Informação para perfis privilegiados.

10. Registros (Logs), Auditoria e Retenção

• Devem ser mantidos registros de:
  • Acessos físicos (catracas, portas da logística, docas, sala de TI).
  • Acessos lógicos (login, falhas, elevação de privilégio, acesso remoto, alterações críticas).
  • Ajustes no ponto (quem alterou, o que alterou, quando, justificativa e aprovador).
• Retenção mínima recomendada (ajustável por requisitos legais/contratuais):
  • Logs de autenticação e VPN: 6 a 12 meses.
  • Logs de sistemas críticos e alterações: 12 meses.
  • Registros de acesso físico e visitantes: 6 a 12 meses.
  • Imagens CFTV: 30 a 90 dias (ou mais, conforme risco e capacidade).
• Logs devem ter:
  • Sincronização de horário (NTP).
  • Proteção contra alteração (integridade).
  • Acesso restrito.

11. Exceções

• Exceções devem ser documentadas, com:
  • Análise de risco.
  • Controles compensatórios.
  • Prazo de validade.
  • Aprovação da Diretoria e Segurança da Informação.

12. Treinamento e Conscientização

• Treinamento anual (ou na admissão) para:
  • Uso de credenciais.
  • Prevenção de “tailgating” e engenharia social.
  • Proteção de dados pessoais.
  • Procedimentos nas docas e carga/descarga.

13. Gestão de Incidentes relacionados a Acesso

• Incidentes típicos:
  • Crachá perdido, acesso indevido a docas, tentativa de invasão.
  • Conta comprometida, senha vazada, MFA suspeito.
  • Fraude no ponto (“marcação por terceiro”).
• Procedimento:
  • Comunicar imediatamente ao canal definido (TI/SI e Segurança Patrimonial).
  • Preservar evidências (logs, CFTV).
  • Bloqueio preventivo de credenciais.
  • Registro e lições aprendidas.

14. Penalidades e Medidas Disciplinares

O descumprimento desta Norma pode resultar em medidas disciplinares conforme políticas internas, legislação aplicável e contratos com terceiros, incluindo revogação de acessos e sanções contratuais.

15. Revisão e Melhoria Contínua

• Revisão desta Norma: anual ou quando houver mudança relevante (novo CD, novo sistema, incidentes relevantes, auditorias).
• Indicadores recomendados:
  • Tempo médio de revogação pós-desligamento.
  • Quantidade de exceções ativas.
  • Tentativas de acesso negadas em áreas críticas.

---

ANEXO I — MODELO DE MATRIZ DE ACESSO (RESUMIDA)

(Preencher e manter atualizado)

Perfis x Áreas Físicas (exemplo)

• Operador de Triagem: Zona Restrita (triagem) | Proibido: Zona Crítica.
• Conferente Docas: Zona Restrita (docas/carga e descarga) | Proibido: escritórios fora do necessário.
• Supervisor Logística: Zona Restrita total | Acesso controlado a áreas específicas.
• TI Suporte: Escritórios + Sala TI com autorização | Docas apenas com ordem.
• Terceirizado Limpeza: Áreas definidas por horário + acompanhamento em zonas restritas.

Perfis x Sistemas (exemplo)

• Logística–Operador: WMS/TMS (operações), sem exportação massiva.
• Atendimento: consulta de status, sem alteração de rota.
• RH: ponto (admin), dados de colaboradores.
• TI Admin: privilégios elevados + MFA + logs reforçados.

---

ANEXO II — FORMULÁRIO PADRÃO DE SOLICITAÇÃO DE ACESSO

• Nome do usuário:
• Matrícula/CPF (quando aplicável):
• Tipo: ( ) Colaborador ( ) Terceiro ( ) Visitante recorrente
• Gestor responsável:
• Acessos físicos solicitados (áreas/zonas):
• Acessos lógicos solicitados (sistemas/perfis):
• Justificativa:
• Prazo (se temporário):
• Aprovações:

---

ANEXO III — CHECKLIST DE DESLIGAMENTO (ACESSOS)

• Bloqueio de conta de e-mail/SSO
• Revogação VPN
• Revogação sistemas (ERP/TMS/WMS/ponto)
• Revogação Wi-Fi corporativo
• Recolhimento/bloqueio de crachá
• Devolução de chaves
• Inventário de dispositivos (notebook/celular)
• Preservação de logs se necessário

---

Fim do documento.

Se você me disser (1) A4 ou Carta e (2) espaçamento 1,15 ou 1,5, eu ajusto o texto (aumentando ou reduzindo seções, incluindo “Controle de Acesso por Horário”, “Controle de Acesso de Terceiros por Contrato”, “Procedimentos de Contingência para Falha de Catraca/Porta”, etc.) para ficar exatamente no volume típico de 4 a 6 páginas quando formatado em Arial 11 com margens de 2 cm.