A seguir apresento um texto/política contemplando os elementos solicitados e, em especial, uma Norma/Política de Controle de Acesso adequada a uma empresa de logística de médio porte (75 colaboradores) com parceiros terceirizados, cobrindo acesso físico e lógico, portas da logística, registro de ponto e área de carga/descarga.

Observação de formatação: aqui no chat não é possível “aplicar” fisicamente Arial 11 e margens 2 cm. Para cumprir o requisito, basta copiar e colar o conteúdo abaixo no Word/Google Docs e configurar:

• Fonte: Arial
• Tamanho: 11
• Margens: superior 2 cm, inferior 2 cm, esquerda 2 cm, direita 2 cm

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) – EMPRESA DE LOGÍSTICA

1. Objetivo

Estabelecer diretrizes e controles para proteger pessoas, informações, sistemas e instalações da empresa de logística, garantindo confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade. Esta PSI é composta por normas específicas, incluindo (obrigatoriamente):

• Norma de uso aceitável de ativos de informação
• Norma de gestão de riscos
• Norma de gestão de vulnerabilidades de segurança
• Norma de proteção de dados
• Norma de controle de acesso
• Norma de continuidade de negócios
• Norma de correlação de registros (log)
• Norma de segurança física
• Norma de desenvolvimento seguro de aplicativos
• Norma de gestão de mudanças
• Norma de e-mail e comunicação instantânea
• Norma de resposta a incidentes

2. Escopo

Aplica-se a todos os colaboradores (CLT, PJ), estagiários, temporários, motoristas, equipe de armazém, TI, segurança patrimonial, bem como terceiros e parceiros que acessem:

• instalações (armazém, docas, portarias, escritórios);
• sistemas (ERP, WMS/TMS, e-mail, VPN, aplicativos internos);
• dados pessoais (clientes, destinatários, colaboradores, prestadores);
• equipamentos corporativos (computadores, coletores, impressoras, celulares, câmeras, rádios).

3. Papéis e responsabilidades (visão geral)

• Diretoria: aprovar PSI e prover recursos.
• Gestor de Segurança da Informação / TI: definir controles técnicos, revisar acessos, manter logs, conduzir resposta a incidentes.
• Gestores de área: aprovar acessos de seus times, validar perfis e necessidade.
• RH: integração/desligamento e comunicação de movimentações.
• Facilities/Segurança Patrimonial: controle de entradas/saídas e regras físicas.
• Usuários e Terceiros: cumprir integralmente as normas; reportar incidentes.

4. NORMA DE USO ACEITÁVEL DE ATIVOS DE INFORMAÇÃO

4.1 Diretrizes

1. Ativos (dispositivos, contas, e-mail, rede, sistemas, dados) devem ser usados exclusivamente para fins corporativos, salvo permissões expressas.
2. É proibido:
   • compartilhar senhas, crachás ou cartões de acesso;
   • instalar softwares não autorizados;
   • conectar dispositivos pessoais à rede corporativa sem autorização;
   • copiar dados para mídias/armazenamentos pessoais sem justificativa e autorização.
3. A empresa pode monitorar o uso de rede, e-mail corporativo, endpoints e acessos para fins de segurança, auditoria e continuidade.

4.2 Classificação e manuseio (resumo)

• Público: pode ser divulgado.
• Interno: uso interno.
• Confidencial: restrito por função (ex.: rotas, preços, contratos, credenciais, dados pessoais).
• Sensível/LGPD: dados pessoais e/ou dados de clientes e colaboradores; tratamento mínimo necessário.

5. NORMA DE GESTÃO DE RISCOS

5.1 Processo

1. Identificar ativos críticos (WMS/TMS, ERP, roteirização, banco de dados de clientes, CFTV, controle de acesso, ponto eletrônico, docas).
2. Identificar ameaças e vulnerabilidades (ex.: phishing, indisponibilidade de internet, acesso indevido às docas, extravio de coletor, falhas de backup).
3. Avaliar impacto e probabilidade; classificar risco.
4. Definir plano de tratamento: mitigar, transferir, aceitar, evitar.
5. Revisar periodicamente e quando houver mudanças relevantes (sistemas, layout, fornecedores, expansão de operações).

5.2 Critérios mínimos

• Riscos que afetem entregas, rastreamento, faturamento, dados pessoais e segurança física devem ter prioridade.

6. NORMA DE GESTÃO DE VULNERABILIDADES DE SEGURANÇA

6.1 Regras

1. Manter inventário de ativos (servidores, PCs, coletores, switches, roteadores, câmeras, controladoras de acesso, catracas/ponto).
2. Aplicar correções (patches) de sistemas e aplicativos em janelas controladas.
3. Realizar varreduras periódicas e testes (internos/externos) conforme criticidade.
4. Vulnerabilidades críticas devem ter tratamento prioritário e plano de mitigação (ex.: isolamento, desativação temporária, regras de firewall).

7. NORMA DE PROTEÇÃO DE DADOS (LGPD)

7.1 Princípios e controles

1. Tratar dados pessoais com base legal adequada e finalidade definida.
2. Minimização: coletar apenas o necessário para operação logística e obrigações legais.
3. Restringir acesso a dados pessoais por função (ex.: atendimento, faturamento, roteirização, RH).
4. Garantir:
   • criptografia quando aplicável (trânsito e armazenamento);
   • retenção e descarte seguro;
   • rastreabilidade (logs);
   • contratos com terceiros com cláusulas de confidencialidade e proteção de dados.
5. Incidentes com dados pessoais devem ser tratados pela Norma de Resposta a Incidentes.

8. NORMA DE CONTROLE DE ACESSO (FÍSICO E LÓGICO) – DOCUMENTO PRINCIPAL

8.1 Objetivo

Definir regras e controles para garantir que somente pessoas autorizadas tenham acesso:

• às instalações (portaria, logística, docas, carga/descarga, áreas restritas, CPD/sala de TI);
• aos sistemas e dados (ERP, WMS/TMS, e-mail, VPN, Wi‑Fi, CFTV e controle de ponto);
• aos processos críticos (entrada/saída de mercadorias, conferência, expedição, roteirização e atendimento).

8.2 Princípios

1. Necessidade de saber e de usar (need-to-know / need-to-use).
2. Menor privilégio (least privilege).
3. Segregação de funções (ex.: quem cadastra fornecedor não é o mesmo que aprova pagamentos; quem ajusta estoque não é o mesmo que autoriza baixa sem evidência).
4. Rastreabilidade: todo acesso relevante deve gerar registro.
5. Revisão periódica: acessos devem ser revisados conforme perfil e mudanças.

8.3 Perfis e públicos atendidos

• Colaboradores administrativos (financeiro, atendimento, RH, comercial).
• Operação logística (recebimento, conferência, separação, expedição, motoristas).
• TI e Segurança.
• Terceiros/parceiros (transportadores agregados, manutenção, limpeza, segurança, consultorias).

8.4 Controles de acesso físico (instalações)

8.4.1 Credenciais físicas

1. Todo colaborador deve possuir crachá nominal com foto e matrícula/ID.
2. Terceiros devem usar crachá de visitante/terceiro com validade e área permitida.
3. É proibido emprestar crachá/cartão; perda deve ser comunicada imediatamente.

8.4.2 Portaria e entrada principal

1. A portaria deve manter controle de entrada e saída com:
   • identificação (documento), registro de horário e motivo;
   • confirmação do responsável interno (anfitrião) para visitantes.
2. Visitantes e terceiros devem ser acompanhados, quando aplicável.
3. Objetos proibidos, acesso não autorizado e condutas suspeitas devem ser tratados conforme procedimentos internos e, se necessário, escalados para resposta a incidentes.

8.4.3 Acesso às portas da logística (armazém/docas)

1. Portas de acesso ao armazém e docas devem ter controle por:
   • fechaduras eletromagnéticas/controladoras;
   • leitores (cartão, biometria ou PIN) conforme criticidade;
   • CFTV cobrindo pontos de entrada.
2. Portas não devem permanecer abertas sem necessidade operacional (uso de molas/fechamento automático quando possível).
3. Acesso às docas deve ser restrito a:
   • equipe de recebimento/expedição autorizada;
   • motoristas em áreas designadas;
   • terceiros apenas com autorização e acompanhamento.

8.4.4 Área de carga e descarga (docas) – regras específicas

1. Deve existir delimitação física (faixas, barreiras, portões internos) separando:
   • área de circulação de pedestres;
   • área de manobra e encosto de veículos;
   • áreas de mercadoria segregada (pendência, devolução, avaria, alto valor).
2. Abertura de doca e liberação de veículo devem seguir checklists:
   • identificação do veículo/motorista;
   • nota/romaneio;
   • conferência de volumes;
   • registro de ocorrência (avaria, falta, sobra).
3. Embarque e desembarque devem ser registrados (sistema e/ou formulário) e vinculados ao usuário responsável.

8.4.5 Sala de TI/CPD e áreas restritas

1. Acesso somente a TI autorizada e direção.
2. Registro obrigatório de entrada/saída e motivo.
3. Proibir armazenamento indevido e acesso de terceiros sem acompanhamento.

8.4.6 Registro de ponto (controle de jornada)

1. O registro de ponto (catraca/biometria/app) deve ser individual e intransferível.
2. É proibido “bater ponto” por outra pessoa.
3. Ajustes de ponto devem seguir fluxo formal (solicitação + justificativa + aprovação do gestor e RH), com trilha de auditoria.
4. Logs do sistema de ponto devem ser retidos para auditoria e conformidade.

8.5 Controles de acesso lógico (sistemas e rede)

8.5.1 Identidade e autenticação

1. Cada usuário deve possuir conta individual (proibidas contas genéricas, exceto quando tecnicamente necessárias e formalmente aprovadas, com controles compensatórios).
2. Senhas devem atender requisitos mínimos:
   • tamanho mínimo e complexidade conforme padrão interno;
   • proibição de reutilização imediata;
   • bloqueio após tentativas inválidas.
3. MFA (autenticação multifator) deve ser habilitada para:
   • VPN/acesso remoto;
   • e-mail;
   • perfis administrativos;
   • sistemas com dados pessoais/financeiros.

8.5.2 Autorização por perfil (RBAC)

1. Acesso a ERP/WMS/TMS deve ser concedido por perfil de função (ex.: conferente, separador, supervisor, roteirização, faturamento).
2. Permissões especiais (ex.: exclusão de registros, ajuste de estoque, exportação massiva) exigem:
   • justificativa;
   • aprovação do gestor da área;
   • validação da TI/Segurança.

8.5.3 Acesso remoto e dispositivos

1. Acesso remoto somente via VPN corporativa, com MFA e dispositivo autorizado.
2. Coletores e dispositivos móveis devem:
   • ter bloqueio de tela;
   • permitir rastreio/gerenciamento (MDM) quando aplicável;
   • ser devolvidos no desligamento ou troca de função.

8.5.4 Wi‑Fi e rede

1. Redes devem ser segmentadas:
   • Corporativa (usuários internos);
   • Operacional (coletores/IoT quando aplicável);
   • Visitantes (internet isolada, sem acesso a sistemas internos).
2. É proibido instalar roteadores/Access Points não autorizados.

8.6 Concessão, alteração e revogação de acessos (ciclo de vida)

1. Admissão/integração: RH aciona TI e Segurança Patrimonial para criação de conta, crachá, perfis e permissões.
2. Mudança de função: revisão imediata dos acessos (revogar antigos e conceder novos).
3. Desligamento: revogação no mesmo dia (ou imediatamente, quando desligamento por justa causa/risco), incluindo:
   • contas (AD/e-mail/sistemas);
   • VPN;
   • crachá/cartões;
   • chaves;
   • acessos a docas/áreas restritas.
4. Terceiros: acessos devem ter data de início e término, com renovação formal.

8.7 Revisões e auditorias

1. Revisão de acessos lógicos: no mínimo trimestral para perfis críticos e semestral para demais.
2. Revisão de acessos físicos: no mínimo semestral.
3. Evidências (relatórios e logs) devem ser mantidas conforme Norma de Logs e requisitos legais.

8.8 Exceções

Exceções a esta norma só podem ocorrer com aprovação formal da Direção e do responsável por Segurança/TI, com registro de justificativa, validade e controles compensatórios.

9. NORMA DE CONTINUIDADE DE NEGÓCIOS

9.1 Diretrizes

1. Identificar processos críticos: recebimento, separação, expedição, roteirização, emissão de documentos, rastreio e atendimento.
2. Definir planos para indisponibilidade:
   • internet/telecom;
   • ERP/WMS/TMS;
   • energia;
   • indisponibilidade do armazém.
3. Manter backups testados e procedimentos alternativos (contingência manual com posterior reconciliação).
4. Realizar testes periódicos do plano.

10. NORMA DE CORRELAÇÃO DE REGISTROS (LOG)

10.1 Requisitos

1. Sistemas críticos devem registrar:
   • autenticação (sucesso/falha);
   • criação/alteração de permissões;
   • operações críticas (ajuste de estoque, cancelamentos, exportações);
   • acessos remotos (VPN);
   • eventos de controle de acesso físico (portas/docas) quando informatizado.
2. Logs devem ser centralizados (SIEM ou repositório central), com sincronização de tempo (NTP).
3. Retenção mínima deve seguir necessidade operacional, auditoria e legislação.
4. Alertas devem priorizar eventos críticos (ex.: tentativas repetidas de login, acesso fora do horário, porta crítica aberta fora do padrão).

11. NORMA DE SEGURANÇA FÍSICA

11.1 Controles

1. CFTV em pontos críticos: portaria, docas, expedição, áreas de alto valor, sala de TI.
2. Iluminação adequada, barreiras e sinalização.
3. Controle de chaves (cadastro, guarda, retirada e devolução).
4. Política de visitantes e escolta (quando necessário).
5. Prevenção a incêndio: extintores, rotas de fuga, treinamentos.

12. NORMA DE DESENVOLVIMENTO SEGURO DE APLICATIVOS

12.1 Diretrizes

1. Requisitos de segurança devem ser definidos desde o início (privacy by design / security by design).
2. Controle de versão, revisão de código e testes.
3. Tratamento de dados pessoais com minimização, mascaramento quando aplicável e controle de acesso por perfil.
4. Correção de vulnerabilidades antes de publicação.

13. NORMA DE GESTÃO DE MUDANÇAS

13.1 Regras

1. Toda mudança em sistemas, rede, regras de firewall, perfis de acesso, controle de portas e ponto eletrônico deve ter:
   • solicitação;
   • avaliação de risco/impacto;
   • aprovação;
   • janela de execução;
   • plano de rollback;
   • registro de evidências.
2. Mudanças emergenciais devem ser registradas e revisadas posteriormente.

14. NORMA DE E-MAIL E COMUNICAÇÃO INSTANTÂNEA

14.1 Diretrizes

1. E-mail corporativo é canal oficial.
2. É proibido compartilhar dados pessoais ou informações confidenciais em canais não autorizados.
3. Atenção a phishing: não abrir anexos ou links suspeitos; reportar à TI.
4. Mensageria instantânea corporativa deve seguir as mesmas regras (retenção quando aplicável, acesso por conta individual, bloqueio com desligamento).

15. NORMA DE RESPOSTA A INCIDENTES

15.1 Fluxo

1. Identificação: qualquer usuário deve reportar eventos (acesso indevido, perda de coletor, suspeita de fraude, vazamento de dados, porta violada).
2. Contenção: isolar conta/dispositivo/área.
3. Erradicação: remover causa (malware, credenciais vazadas, falha de configuração).
4. Recuperação: restaurar serviços e validar integridade.
5. Lições aprendidas: registrar, atualizar controles e treinar equipes.

15.2 Comunicação

1. Incidentes relevantes devem ser comunicados à Direção.
2. Incidentes com dados pessoais devem seguir processo interno de avaliação e eventual comunicação conforme obrigações legais e contratuais.

---

Conclusão

A PSI e, principalmente, a Norma de Controle de Acesso acima estruturam controles práticos e auditáveis para uma operação logística com 75 colaboradores e terceiros, cobrindo portaria, portas do armazém, docas (carga/descarga), registro de ponto, e acessos lógicos a sistemas críticos, reduzindo risco operacional, fraudes e incidentes de segurança.

confidence: 92 slug: politica-seguranca-informacao-controle-acesso-logistica categories: ["Segurança da Informação", "Governança", "Controle de Acesso", "LGPD"]