A seguir está um texto-base completo (pronto para colar em Word/Google Docs) de uma Norma/Política de Controle de Acesso para uma empresa de logística de médio porte (75 colaboradores + parceiros). Ele contempla controle de acesso físico e lógico, incluindo portas da logística, registro de ponto e área de carga/descarga.

Configuração de formatação (para cumprir o enunciado):

• Fonte: Arial
• Tamanho: 11
• Margens: 2 cm (superior, inferior, esquerda, direita)
• Sugestão para atingir 4 a 6 páginas: espaçamento 1,15 ou 1,5, e incluir a seção “Anexos e Registros” (modelos) ao final.

---

NORMA DE CONTROLE DE ACESSO (FÍSICO E LÓGICO)

1. Objetivo

Estabelecer diretrizes, responsabilidades e procedimentos para o controle de acesso físico e lógico aos ativos, instalações, sistemas e informações da empresa, assegurando:

• Confidencialidade: acesso apenas por pessoas autorizadas;
• Integridade: prevenção de alterações indevidas;
• Disponibilidade: acesso garantido a quem precisa, quando necessário e de forma segura;
• Rastreabilidade: registro e auditoria de acessos relevantes.

Esta Norma define controles mínimos para:

• Acesso a portas e áreas operacionais (incluindo logística e administração);
• Registro de ponto e seus controles contra fraudes;
• Acesso ao local de carga e descarga e à guarda temporária de mercadorias;
• Acesso a sistemas corporativos, redes, aplicativos, e-mails e dados.

2. Abrangência

Aplica-se a:

• Colaboradores CLT, temporários, estagiários e aprendizes;
• Terceirizados (limpeza, manutenção, segurança, TI, motoristas parceiros, agregados e transportadoras);
• Visitantes e prestadores de serviço eventuais;
• Unidades, depósitos, docas, áreas administrativas, portaria e quaisquer locais sob responsabilidade da empresa;
• Sistemas, aplicativos, redes, equipamentos e dados tratados pela empresa.

3. Referências e Normas Relacionadas

Esta Norma integra a Política Geral de Segurança da Informação (PGSI) e se relaciona obrigatoriamente com:

• Norma de uso aceitável de ativos de informação;
• Norma de gestão de riscos;
• Norma de gestão de vulnerabilidades de segurança;
• Norma de proteção de dados;
• Norma de controle de acesso (este documento);
• Norma de continuidade de negócios;
• Norma de correlação de registros (log);
• Norma de segurança física;
• Norma de desenvolvimento seguro de aplicativos;
• Norma de gestão de mudanças;
• Norma de e-mail e comunicação instantânea;
• Norma de resposta a incidentes.

4. Definições

• Acesso físico: entrada, permanência e circulação em instalações, áreas e zonas controladas.
• Acesso lógico: autenticação e autorização em sistemas, redes, aplicativos e dados.
• Privilégio: nível de permissão (ex.: usuário padrão, supervisor, administrador).
• MFA (Autenticação Multifator): combinação de dois ou mais fatores (senha + app, token, biometria etc.).
• Zonas: classificação de áreas por criticidade e restrição (ver seção 7).
• Parceiros terceirizados: pessoas e empresas externas com acesso controlado às áreas e/ou sistemas.

5. Princípios de Controle de Acesso

5.1. Menor privilégio: cada pessoa deve ter somente as permissões necessárias à sua função.

5.2. Necessidade de saber/usar: acesso a dados e sistemas apenas quando necessário para a atividade.

5.3. Segregação de funções: atividades críticas devem ser separadas (ex.: criação de usuário x aprovação; expedição x auditoria).

5.4. Acesso individual e intransferível: credenciais, crachás e acessos não podem ser compartilhados.

5.5. Rastreabilidade: acessos relevantes devem gerar registros (logs) correlacionáveis e auditáveis.

5.6. Revisão periódica: acessos devem ser revisados regularmente e revogados quando não necessários.

6. Papéis e Responsabilidades

6.1. Diretoria

• Patrocinar e aprovar a Norma e recursos necessários;
• Garantir cumprimento e aplicação de sanções.

6.2. Gestores de área (Operação, Logística, Administrativo, Comercial etc.)

• Solicitar, justificar e aprovar acessos de suas equipes;
• Garantir desligamentos e mudanças de função comunicados no prazo;
• Validar revisões periódicas de acessos.

6.3. RH / Departamento Pessoal

• Controlar o processo de admissão, movimentação e desligamento;
• Integrar regras do registro de ponto e jornada;
• Comunicar alterações relevantes para TI e Segurança.

6.4. TI / Segurança da Informação

• Implementar controles de autenticação, autorização, logs e governança de identidades;
• Administrar criação, alteração e remoção de contas;
• Definir padrões de senha, MFA e políticas de sessão;
• Investigar eventos suspeitos com base em registros.

6.5. Segurança patrimonial / Portaria

• Gerenciar controle de entrada/saída, visitantes, prestadores e veículos;
• Operar controles de portas, rondas e verificação de credenciais;
• Acionar resposta a incidentes para eventos de acesso físico.

6.6. Usuários (colaboradores e terceiros)

• Cumprir esta Norma, proteger credenciais e seguir procedimentos;
• Reportar incidentes e suspeitas imediatamente.

7. Controle de Acesso Físico (Portas, Áreas e Fluxos)

7.1. Zoneamento de áreas (classificação por criticidade)

A empresa define as seguintes zonas físicas:

• Zona Pública (Z0): recepção e áreas de atendimento ao público (quando aplicável). Acesso controlado por portaria.
• Zona Controlada (Z1): escritórios, salas administrativas, áreas internas não críticas. Acesso permitido a colaboradores com crachá.
• Zona Restrita (Z2): áreas operacionais de logística, corredores de acesso a docas, salas de TI, sala de CFTV, almoxarifado de insumos operacionais. Acesso mediante autorização por função.
• Zona Crítica (Z3): área de carga/descarga, áreas de guarda temporária de mercadorias, gaiolas/áreas trancadas, sala de servidores/network, armários de chaves mestras e locais com documentos sensíveis. Acesso estritamente controlado, com registros reforçados.

7.2. Crachás, credenciais e identificação

• Todo colaborador deve portar crachá visível nas dependências.
• Terceiros devem usar crachá de “TERCEIRO” e ser vinculados a um responsável interno.
• Visitantes devem ser registrados na portaria, receber credencial temporária e circular sempre acompanhados.
• Credenciais perdidas devem ser reportadas imediatamente para bloqueio.

7.3. Acesso às portas da logística e portaria

• Portas de acesso à logística devem permanecer fechadas e com controle por leitor (RFID/biometria/senha) ou controle equivalente.
• Aberturas por exceção (porta aberta por tempo prolongado) devem ser tratadas como não conformidade e registradas.
• Portaria deve manter:
  • Registro de entrada/saída de pessoas e veículos;
  • Consulta de autorização (lista de acesso diário para terceiros e prestadores);
  • Procedimento de “acesso negado” com registro do motivo.

7.4. Controle de chaves, fechaduras e acessos mecânicos

• Chaves físicas devem ser inventariadas e guardadas em armário controlado.
• É proibida a cópia de chaves sem autorização formal.
• Troca de segredo/fechadura deve ocorrer quando:
  • houver perda/roubo;
  • desligamento de pessoa com acesso a chave;
  • suspeita de comprometimento.

7.5. CFTV, vigilância e alarmes (apoio ao controle de acesso)

• Áreas Z2 e Z3 devem possuir monitoramento (CFTV quando aplicável) com retenção conforme Norma de logs/correlação e política interna.
• Eventos relevantes: acesso fora do horário, tentativa de arrombamento, circulação indevida, permanência em doca sem ordem de serviço.

7.6. Acesso ao local de carga e descarga (docas e pátio)

• A área de carga/descarga é considerada Zona Crítica (Z3).
• Regras mínimas:
  1. Somente pessoas autorizadas (expedição, conferência, supervisão, segurança) podem permanecer na área;
  2. Terceiros (motoristas parceiros, ajudantes) acessam a área apenas com:
     • registro na portaria;
     • identificação;
     • vínculo a uma ordem de coleta/entrega;
     • acompanhamento ou autorização explícita;
  3. Veículos devem seguir rota definida e aguardar em área apropriada;
  4. Abertura de baú/compartimento deve ocorrer em ponto designado e, quando aplicável, sob conferência;
  5. Proibido permanecer no pátio/doca sem atividade registrada;
  6. Avarias, divergências e ocorrências devem ser registradas no ato.

7.7. Controle de acesso a mercadorias e áreas de guarda temporária

• Mercadorias em trânsito e devoluções devem ficar em local segregado e, quando possível, trancado.
• Acesso permitido apenas a perfis autorizados (conferente, supervisor, inventário/auditoria).
• Deve existir trilha mínima: quem acessou, quando, por qual motivo (ordem/nota/romaneio).

8. Registro de Ponto (Controle de Jornada e Antifraude)

8.1. Princípios

O registro de ponto deve garantir:

• Identificação inequívoca do colaborador;
• Redução de fraude (ex.: “bater ponto para outra pessoa”);
• Disponibilidade e integridade dos registros;
• Rastreabilidade de ajustes e exceções.

8.2. Mecanismos aceitos

• Preferencialmente, ponto com biometria ou crachá com validação e controles contra duplicidade.
• Em caso de ponto por aplicativo:
  • exigir autenticação forte (MFA quando possível);
  • restringir por geolocalização/área (quando aplicável e permitido);
  • registrar IP, dispositivo e evento.

8.3. Regras e controles

• É proibido registrar ponto em nome de terceiros.
• Ajustes de ponto:
  • devem ter justificativa;
  • aprovação do gestor;
  • trilha de auditoria (quem ajustou, quando, motivo, evidências).
• O terminal de ponto físico deve ficar em local com:
  • fluxo controlado;
  • proteção contra adulteração;
  • câmera ou supervisão (quando aplicável).

8.4. Integração com controle de acesso

• Sempre que tecnicamente viável, eventos de entrada/saída física (portas) devem ser correlacionados com registros de ponto para detecção de anomalias.

9. Controle de Acesso Lógico (Sistemas, Redes, Aplicações e Dados)

9.1. Gestão de Identidades e Contas

• Cada usuário deve possuir conta individual.
• Contas genéricas/compartilhadas são proibidas, exceto para equipamentos/serviços, com controle e justificativa.
• O ciclo de vida da conta inclui: solicitação → aprovação → provisionamento → revisão → revogação.

9.2. Autenticação (senhas, MFA e sessão)

• Senhas devem seguir padrão mínimo definido por TI (complexidade e tamanho mínimo).
• MFA deve ser obrigatório para:
  • acesso remoto (VPN/zero trust);
  • e-mail corporativo (quando suportado);
  • sistemas críticos (TMS/WMS/ERP, financeiro, painel de administração, CFTV, controle de acesso).
• Sessões devem expirar após período de inatividade, especialmente em estações compartilhadas.

9.3. Autorização por Perfis e Papéis (RBAC)

• Permissões devem ser concedidas por perfil de função (RBAC), evitando permissões pontuais sem controle.
• Exemplos de perfis típicos:
  • Operador de Expedição;
  • Conferente;
  • Supervisor de Operação;
  • Administrativo/Financeiro;
  • Atendimento ao Cliente;
  • TI (suporte) e TI (admin).

9.4. Acesso a sistemas essenciais da logística

Para sistemas de logística e entrega (ex.: TMS, WMS, roteirização, rastreamento):

• Acesso deve ser segregado por função (cadastro, despacho, alteração de status, cancelamento, reentrega);
• Operações de maior risco (cancelar entrega, alterar destinatário/endereço, liberar exceções, estornar valores) exigem:
  • perfil específico;
  • registro reforçado;
  • aprovação de supervisor quando aplicável.

9.5. Acesso a dados pessoais e informações sensíveis

• Acesso a dados pessoais (clientes, destinatários, colaboradores) deve obedecer a necessidade e princípios da Norma de Proteção de Dados.
• Exportações (planilhas, relatórios) devem ser controladas e, quando possível, restritas.
• É proibido copiar dados para dispositivos pessoais sem autorização formal.

9.6. Acesso remoto e trabalho externo

• Acesso remoto somente via canal autorizado (VPN/SSO/controle corporativo).
• Dispositivos externos devem seguir a Norma de Uso Aceitável e padrões mínimos (bloqueio de tela, criptografia quando aplicável, atualização).

9.7. Terminais compartilhados na operação

Quando existirem computadores compartilhados (ex.: balcão de expedição):

• Cada operador deve usar login individual;
• Bloqueio automático de tela;
• Proibição de anotar senhas no posto;
• Impressões e etiquetas devem ter controle de retirada para evitar extravio.

10. Provisionamento, Alteração e Revogação de Acessos

10.1. Admissão

• RH comunica admissão com antecedência mínima acordada.
• Gestor solicita perfis necessários (físico e lógico) com justificativa.
• TI cria conta e perfis; Segurança/Portaria habilita acessos físicos conforme zona.

10.2. Mudança de função/movimentação

• Toda mudança de função deve disparar revisão de acessos em até 5 dias úteis (ou prazo interno definido).
• Acessos não compatíveis devem ser removidos.

10.3. Desligamento

• No desligamento, deve ocorrer revogação imediata de acessos lógicos e bloqueio de credenciais.
• Crachás e chaves devem ser devolvidos.
• Para terceiros, encerramento ao fim do contrato/atividade, com validação pelo responsável interno.

10.4. Acessos temporários e emergenciais

• Concedidos por prazo definido, com registro de motivo, aprovador e expiração automática quando possível.
• Acesso emergencial (“break glass”) deve:
  • ser exceção;
  • ter aprovação posterior;
  • gerar logs reforçados.

11. Registros (Logs), Auditoria e Correlação

• Sistemas críticos devem registrar, no mínimo:
  • autenticação (sucesso/falha), criação/alteração de usuário;
  • mudanças de permissão;
  • operações críticas (cancelamentos, alterações de rota/endereço, alterações financeiras);
  • exportação de dados quando aplicável.
• Controle de acesso físico deve registrar:
  • entradas e saídas por porta/zona;
  • acessos negados;
  • exceções (porta forçada/aberta).
• Logs devem ser protegidos contra alteração e tratados conforme a Norma de Correlação de Registros (log).

12. Gestão de Terceiros e Parceiros

• Todo terceiro deve ser cadastrado, vinculado a contrato/OS, e ter responsável interno.
• Acesso físico:
  • limitado à área necessária e ao horário da atividade;
  • visitante/terceiro deve ser acompanhado quando em zonas restritas/críticas.
• Acesso lógico:
  • somente se indispensável;
  • preferencialmente por conta individual com MFA;
  • proibição de compartilhamento de credenciais da empresa.
• No término do contrato/atividade, revogação imediata.

13. Exceções

Exceções a esta Norma devem:

• ser solicitadas por escrito;
• conter justificativa de negócio;
• indicar riscos e controles compensatórios;
• ter aprovação de Segurança da Informação e da Diretoria/gestor designado;
• ter prazo de validade e revisão.

14. Conscientização e Treinamento

• Colaboradores e terceiros com acesso a Z2/Z3 e/ou sistemas críticos devem receber orientação inicial e reciclagem periódica.
• A norma deve ser facilmente acessível e comunicada na integração.

15. Incidentes e Não Conformidades

• Eventos suspeitos devem ser reportados imediatamente (ex.: perda de crachá, tentativa de acesso indevido, fraude de ponto, divergências em doca).
• O tratamento seguirá a Norma de Resposta a Incidentes.
• Exemplos de incidentes típicos:
  • uso de credencial por terceiros;
  • acesso a doca fora do horário;
  • alteração indevida de status de entrega;
  • extração massiva de dados de clientes;
  • tentativa de burlar o registro de ponto.

16. Sanções e Medidas Disciplinares

O descumprimento desta Norma pode resultar em medidas administrativas, disciplinares e contratuais, incluindo:

• advertência;
• suspensão;
• bloqueio de acessos;
• rescisão contratual (para terceiros);
• medidas legais cabíveis, conforme apuração.

17. Revisão e Vigência

• Esta Norma entra em vigor na data de sua publicação.
• Deve ser revisada no mínimo anualmente ou quando houver:
  • mudança relevante de processos (docas, jornada, sistemas);
  • incidentes relevantes;
  • alterações regulatórias/contratuais.

---

ANEXOS E REGISTROS (MODELOS)

Anexo A — Formulário de Solicitação de Acesso (Físico e Lógico)

• Solicitante:
• Colaborador/terceiro:
• Empresa (se terceiro):
• Função:
• Data de início / data fim (se temporário):
• Acesso físico solicitado (Z1/Z2/Z3):
• Portas específicas (ex.: Portão X, Porta da Logística Y):
• Acesso lógico (sistemas):
• Justificativa:
• Aprovação do gestor:
• Aprovação de SI/TI (quando aplicável):

Anexo B — Checklist de Desligamento (Acesso)

• Bloqueio de conta corporativa:
• Revogação de acessos a TMS/WMS/ERP:
• Revogação de VPN/MFA:
• Devolução de crachá/chaves:
• Revogação de acessos físicos por porta/zona:
• Validação final (RH/gestor/TI/portaria):

Anexo C — Registro de Visitantes e Prestadores

• Nome completo / documento:
• Empresa:
• Responsável interno:
• Motivo:
• Áreas autorizadas:
• Horário entrada/saída:
• Assinatura:

---

Se você quiser, eu adapto este texto para:

1. um layout mais “acadêmico” (com capa, sumário, numeração formal ABNT), ou
2. um cenário com WMS/TMS específico, ou
3. incluir matriz de acesso (RBAC) com tabela por cargo (o que ajuda a completar 4–6 páginas com consistência).