104.0 Política de Uso Aceitável de Comunicações Eletrônicas e … · 2018-11-15 · diretor de...

Política da Organização de Segurança Global Página 1 de 31 Política 104 Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados Data de emissão: 01/04/2018

Substitui: 01/04/2017

Data da última revisão: 01/04/2018

Somente para uso interno da ADP

O diretor de segurança é responsável pela interpretação e administração desta política.

104.0 Política de Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados Declaração de política As trocas de informações dentro da ADP e com outras organizações devem ser protegidas com os controles adequados. O acesso a recursos de comunicação e sistemas da ADP é fornecido para fins comerciais, mas os colaboradores podem eventualmente fazer uso não comercial desses recursos na medida em que isso não interfira com o desempenho de suas funções de trabalho, afete negativamente os sistemas ou redes da ADP ou viole qualquer lei ou política da ADP. Escopo da política Esta política se aplica aos colaboradores e terceirizados da ADP, sujeita aos requisitos da legislação local, que trocam informações por meio de recursos de comunicação. A política estabelece um padrão geral. Ela pode ser substituída ou suplementada por outros controles de política e procedimentos que estabeleçam requisitos adicionais ou diferentes em determinadas regiões geográficas, onde as leis aplicáveis impõem outros requisitos à ADP. Esta política se aplica a todas as informações em qualquer formato (por exemplo, formatos eletrônicos e físicos). Objetivo da política Esta política fornece orientações para o uso de recursos de comunicação, controles criptográficos e formas de garantir que dados sigilosos sejam controlados adequadamente em sistemas disponíveis publicamente. O não cumprimento desta política pode resultar em ação disciplinar progressiva, até, inclusive, a rescisão do contrato de trabalho. As solicitações para não seguir qualquer política de segurança devem ser encaminhadas ao diretor de segurança corporativa da sua unidade comercial ou país.

104.1 E-mail, Internet e outras comunicações eletrônicas

104.1.01 Uso comercial

Segurança de e-mail – Colaboradores O sistema de e-mail da ADP e as informações enviadas por ele são de propriedade da ADP.

Requisitos E-mail não pode ser usado para a transmissão de Informações Pessoais Sigilosas, como

números de Seguridade Social e outros identificadores emitidos pelo governo, fora da






rede da ADP E-mail contendo informações classificadas como Informações Confidenciais da ADP ou

um nível mais alto deve ser criptografado quando for enviado para fora da rede da ADP. Os colaboradores da ADP devem usar os sistemas de e-mail da ADP para

correspondência relacionada a negócios. O uso de sistemas de e-mail que não forem da ADP (por exemplo, e-mail pessoal na Web) para fins de negócios é proibido.

A ADP deve exibir o endereço de e-mail da ADP do colaborador no(s) diretório(s) de e-mails da ADP.

Sistemas de e-mail em lote de terceiros não devem ser usados, a menos que anteriormente revistos e aprovados pela Organização de Segurança Global.

As mensagens de e-mail deve ser rastreáveis para usuários autorizados individuais, a menos que analisadas e aprovadas previamente pela Organização de Segurança Global. Nos casos em que o acesso a uma única caixa de correio ('compartilhada' ou 'em grupo') for autorizado para vários usuários, a caixa de correio ainda será configurada para identificar o remetente por seu endereço de e-mail individual atribuído. Os usuários autorizados devem permanecer responsáveis pelas mensagens que enviarem.

Usuários autorizados não podem usar uma conta de e-mail atribuída a outro indivíduo para enviar ou receber mensagens.

Regras de encaminhamento automático de e-mail não podem ser configuradas para enviar e-mails para fora das redes da ADP.

Para obter mais informações, consulte

Acesso às informações armazenadas eletronicamente de um colaborador, localizado na 109 - Política de Gestão de Investigações, Descoberta Eletrônica e Incidentes.

Classificação de informações, localizado na 105 Política de Tratamento e Classificação de Informações.

Email Security Architecture Standard, localizado em Documentos relacionados-Política 111.

Segurança de e-mail – Clientes E-mails enviados da ADP a clientes devem ser seguros. Isso inclui e-mails enviados em nome da ADP. Ao enviar ou receber um e-mail, os colaboradores são responsáveis pela confidencialidade das informações transmitidas. Durante o envio de um e-mail a um cliente, confirme o endereço de e-mail do destinatário (para evitar entrega ao endereço errado). Os seguintes requisitos têm como objetivo ajudar os clientes a determinar a diferença entre e-mails válidos da ADP e ataques de phishing que dizem ser da ADP.

Não envie ou solicite Informações Pessoais Sigilosas, como números de Seguridade Social e outras identificações emitidas pelo governo, por e-mail.

Não inclua anexos executáveis Não inclua hyperlinks incorporados






Cumpra todas as leis locais relacionadas a e-mail, por exemplo:

Nos EUA, CAN-SPAM e TCPA

No Canadá, CASL Não envie mensagens endereçadas genericamente – Use os nomes completos dos

clientes

Sem solicitações de Informações Pessoais Sigilosas - Na medida máxima permitida, os e-mails da ADP não devem solicitar quaisquer Informações Pessoais Sigilosas, o que costuma ser feito em ataques de phishing. Sem anexos executáveis - Anexos executáveis devem ser evitados. Ataques de phishing tentam enganar os clientes a abrir anexos, o que pode conter malware. Entre em contato com seu diretor de segurança corporativa para obter mais informações. Se for realmente necessário enviar um anexo de arquivo, considere:

Enviar o anexo em formato PDF em vez do formato original Enviar o e-mail inteiro com anexo por meio do serviço de E-mail Seguro da ADP.

Sem links incorporados - É necessário considerar a redução/eliminação do uso de hyperlinks padrão enviados por e-mail. Links, como “clique aqui” convidam o leitor a seguir o link cegamente, sem saber se ele é seguro. Ataques de phishing levam o leitor a uma página que se parece com um site legítimo, mas é, na realidade, um site de phishing hospedado por um hacker. O site pode obter informações pessoais de um cliente crédulo ou instalar software malicioso. As opções preferenciais estão relacionadas a seguir:

Fornecer o URL completo (sem link) e instruir o leitor a copiar e colar o URL no campo de endereço de seu navegador. Exemplo: “Para visualizar esta página da Web, copie e cole o URL abaixo no campo de endereço do seu navegador. http://www.majoraccounts.adp.com”

Instruir o leitor a acessar a página da Web da ADP desejada Para obter mais informações, consulte o controle corporativo: Classificação de informações, localizado na 105 Política de Tratamento e Classificação de Informações.

Mensagem instantânea Os sistemas de mensagens internas da ADP, separados de e-mail, e as informações enviadas por meio deles, são propriedade da ADP, sujeitos à legislação local e em conformidade com as normas corporativas vinculativas da ADP. O uso autorizado destina-se a fins comerciais internos e uso não comercial interno eventual. Mensagens enviadas para fins comerciais são permitidas quando o sistema de mensagens tiver sido aprovado pela Organização de Segurança Global (GSO).






Os colaboradores devem tomar precauções para impedir a disseminação de malware nos sistemas de comunicação da ADP como resultado do uso dos sistemas de mensagens. Mensagens podem ser interceptadas, redirecionadas e podem conter malware. Os destinatários de mensagens devem ficar atentos a mensagens, links e/ou anexos suspeitos. Usuários de serviços de mensagem devem estar cientes de que estão transmitindo sua presença a todos os usuários na rede de mensagem. Quando o uso de mensagem tiver sido aprovado para interação com clientes para prestação de atendimento sobre aplicativos, os colaboradores devem estar cientes de que o conteúdo das mensagens pode ser jurídica e contratualmente vinculativo e o uso de mensagem para comunicações comerciais específicas deve ser expressamente definido de acordo com os requisitos de conformidade legal e regulamentar. Isso inclui diretrizes para negócios, os tipos de serviço de mensagem permitidos e os procedimentos para o monitoramento das atividades a serem realizadas. Para obter a lista de sistemas de mensagem aprovados, verifique a loja de aplicativos móveis da ADP e o site de software sob demanda da ADP.

Uso de Internet O acesso à Internet deve ocorrer unicamente por meio de uma conexão aprovada da ADP.

Requisitos A ADP tem o direito de monitorar as transmissões na rede da ADP. O monitoramento

pode incluir o rastreamento dos sites da Internet visitados, o conteúdo das informações ou mensagens enviadas ou recebidas, a quantidade de tempo gasto na Internet e outros meios de uso da Internet. Sujeito aos requisitos da legislação local, os colaboradores que acessarem a Internet por meio de equipamentos e sistemas da ADP não terão expectativa de privacidade. Qualquer evidência de uso indevido será comunicada como uma violação.

Os usuários não podem “criar ponte” entre redes, por exemplo: uma rede interna da ADP e a Internet pública.

Todas as informações baixadas ou copiadas da Internet devem ser consideradas suspeitas. Não há processo de controle de qualidade na Internet, e uma quantidade considerável de informações na Internet está desatualizada, é imprecisa e/ou é enganosa. As informações não devem ser consideradas precisas ou seguras a menos que venham de uma fonte confiável.

Informações Sigilosas transmitidas pela Internet devem ser criptografadas. Os softwares baixados deverão cumprir todas as disposições detalhadas nos Computer

Hardware and Software requirements, localizados no Portal do Colaborador (ourCompany (nossaEmpresa)/ Policies and Guidelines (Políticas e Diretrizes)/ Policy Acknowledgements (Reconhecimentos de Política))

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/SupportAndServices/ITsupport_services/softwareondemand/






104.1.02 Uso de criptografia

Criptografia – Países estrangeiros Nos países em que a criptografia não for possível por motivos técnicos e/ou legais, os remetentes deverão entrar em contato com o diretor de segurança corporativa para determinar outras formas aprovadas de transmissão de informações.

E-mail seguro - Criptografia de informações confidenciais antes da transmissão na Internet Manter dados sigilosos confidenciais é vital para os negócios da ADP. Os e-mails enviados para fora da ADP devem ser criptografados, se as informações forem classificadas como Material Confidencial da ADP ou mais alto.

104.1.03 Uso aceitável

Uso aceitável de comunicações eletrônicas A ADP incentiva o uso apropriado e inovador de seus sistemas de tecnologia da informação para aprimorar seu ambiente de aprendizagem e comunicações. A capacidade de enviar e receber comunicações eletrônicas, bem como acessar a Internet e as intranets da ADP é algo essencial e facilitador para os negócios. No entanto, também existem questões jurídicas, de segurança e produtividade importantes com relação ao uso dessas tecnologias que requerem um entendimento comum do que é e do que não é uso aceitável. Escopo As Comunicações Eletrônicas se aplicam especificamente a:

E-mail Mensagens instantâneas ou tecnologia relacionada (por exemplo, mensagem de texto) Comunicações publicadas na intranet da ADP ou em sites da Internet Comunicações armazenadas nos sistemas, equipamentos e dispositivos da ADP Sites da Internet acessados usando sistemas, equipamentos ou dispositivos da ADP

e/ou representando a ADP ou identificando-se como um colaborador da ADP Fax

Uso permitido Comunicações eletrônicas são um meio eficiente e comum de comunicação para uso comercial e não comercial. Dessa forma, o uso dos sistemas de comunicação eletrônica da ADP, como






acesso a e-mail e Internet, é aceitável para fins não comerciais, se o nível de uso for eventual, não interferir com as responsabilidades profissionais de um colaborador, não reduzir a produtividade, não levar à degradação ou interrupção dos níveis de serviço normais e não violar as políticas ou normas da ADP. Todas as transmissões através das redes da ADP, independentemente se a transmissão estiver usando o e-mail da ADP ou uma conta de e-mail pessoal, podem ser monitoradas dentro dos limites permitidos pela legislação local. Existem outras normas da ADP relativas a e-mail, Internet e outras formas de comunicação eletrônica sobre as quais os colaboradores da ADP e outras pessoas devem estar cientes e que devem cumprir durante o uso dos sistemas, dispositivos e equipamentos da ADP:

Leia 104-Política de Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados para saber quando e como usar:

Segurança de e-mail – Colaboradores

E-mail seguro

Mensagem instantânea

Uso de Internet

Fax Leia 109-Política de Gestão de Investigações, Descoberta Eletrônica e Incidentes para

obter orientações sobre o Relatório de Incidente Para obter diretrizes relativas ao acesso de redes sociais, consulte a Política Global de

Mídia Social da ADP Uso proibido

Os sistemas de comunicação eletrônica da ADP, incluindo acesso à Internet e e-mail, não podem ser usados para nenhuma das seguintes atividades:

Não use sistemas de e-mail que não forem da ADP para fins corporativos (por exemplo, e-mail pessoal)

Não visualize, armazene ou distribua material que não cumpra esta política, inclusive, de maneira irrestrita, material sexualmente explícito.

Não crie, envie, armazene ou publique qualquer comunicação eletrônica que viole ou possa ser interpretada como violação de qualquer política da ADP ou lei, regulamento ou norma federal, estadual, local e/ou internacional em relação a material sexualmente explícito, assédio, discriminação, difamação, infração de direitos autorais, direitos de privacidade e segurança, solicitação e/ou estatutos referentes a mídia eletrônica.

Não publique informações ou envolva-se em atividades que assediem, ameacem ou abusem de outras pessoas, inclusive transmitir mensagens que expressem pontos de vista discriminatórios sobre uma pessoa ou grupo com base em raça, sexo, religião, orientação sexual, origem nacional, idade, deficiência, identidade de gênero e expressão de gênero ou características semelhantes, ou que sejam depreciativas ou difamatórias.

Não crie, envie, armazene ou publique qualquer comunicação eletrônica que viole qualquer política da ADP, inclusive, de maneira irrestrita, o Código de Conduta e Ética nos Negócios da ADP e políticas da ADP relativas a informações proprietárias ou confidenciais.

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/Policies%20&%20Guidelines/General/social%20media%20policy%20-%20global/!ut/p/b1/rY_LbsIwEEW_hQ8oHj-S2EuDk9hpiJsXEG8QRS2CEugbla9vYFOpiLaLzkgjjXTu3DvIoYb6ggvghKMpctv5-2o5f13ttvPNcXf-LDEaCB-CsLEJwXA7zHEWERZBBzQdM

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/Policies%20&%20Guidelines/General/social%20media%20policy%20-%20global/!ut/p/b1/rY_LbsIwEEW_hQ8oHj-S2EuDk9hpiJsXEG8QRS2CEugbla9vYFOpiLaLzkgjjXTu3DvIoYb6ggvghKMpctv5-2o5f13ttvPNcXf-LDEaCB-CsLEJwXA7zHEWERZBBzQdM






Não crie, envie, armazene ou publique qualquer comunicação eletrônica que especificamente viole a Política de Não Solicitação da ADP, que proíbe o uso dos sistemas de comunicação eletrônica da ADP para solicitações de qualquer tipo, a não ser as patrocinadas pela empresa.

Não falsifique ou manipule identificadores em comunicações como tentativa de disfarçar, personificar ou representar falsamente a origem da comunicação.

Não receba, armazene ou distribua qualquer material contendo malware ou outro código de computador ou arquivos designados para interromper, danificar, excluir, interferir ou limitar a funcionalidade de quaisquer Serviços da ADP.

O destinatário deverá imediatamente notificar seu gerente ou, se necessário, comunicar o incidente de segurança. Os colaboradores são responsáveis por saber como entrar em contato com seu defensor de segurança corporativa local. Listas de defensores de segurança corporativa local podem ser encontradas no Portal de Serviços da Organização de Segurança Global. Monitoramento Os sistemas, dispositivos e equipamentos da ADP usados para gerar, receber e armazenar comunicações eletrônicas são propriedade exclusiva da ADP. Portanto, todas as mensagens transmitidas ou armazenadas nos sistemas, equipamentos e dispositivos da ADP, inclusive cópias de backup, são de propriedade da ADP e serão monitoradas, visualizadas e/ou utilizadas por indivíduos autorizados para fins de conformidade e segurança de acordo com a lei aplicável, com as políticas internas da ADP e com o consentimento dos colaboradores julgado pelo uso de um sistema, dispositivo ou rede da ADP. Sujeito aos requisitos da legislação local, colaboradores, terceirizados, fornecedores e outros terceiros não têm uma expectativa de privacidade ou um direito de privacidade pessoal em quaisquer comunicações eletrônicas transmitidas ou armazenadas em sistemas da ADP ou em sites acessados ou materiais transmitidos pela Internet ou pelas intranets da ADP usando um sistema da ADP ou um dispositivo da ADP ou pessoal. Tal monitoramento pode incluir a coleta, análise e relatório de quaisquer dados processados ou armazenados nos sistemas e na rede da ADP, mesmo quando os dados estiverem criptografados ou de alguma forma protegidos. O monitoramento também pode incluir revisão e análise de arquivos de registro. Da mesma forma, os colaboradores não devem utilizar sistemas, equipamentos e dispositivos de comunicações eletrônicas da ADP para enviar, receber ou armazenar quaisquer informações que desejam manter privadas. Ação disciplinar O não cumprimento desta política pode resultar em ação disciplinar progressiva até, inclusive, a rescisão do contrato de trabalho, sujeito à legislação local aplicável. As solicitações para não seguir qualquer política de segurança devem ser encaminhadas ao diretor de segurança corporativa da sua unidade comercial ou país.

104.1.04 Retenção/exclusão de correio eletrônico

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/SupportAndServices/GlobalSecurityOrganization







Responsabilidade do colaborador com a retenção de registros Embora seja feito backup periódico das mensagens de correio eletrônico (e-mail), a ADP não garante o armazenamento de mensagens de correio eletrônico a longo prazo. Os colaboradores devem tomar as medidas necessárias para armazenar o conteúdo do correio eletrônico na mídia apropriada para satisfazer requisitos de retenção legais e regulamentares.

Sistemas de mensagens não destinados a armazenamento para arquivamento Os sistemas de mensagens eletrônicas da ADP não são destinados ao armazenamento para arquivamento de informações de negócios importantes. Essas mensagens devem ser retidas contanto que sejam necessárias para a condução de negócios. Os exemplos de sistemas de mensagens eletrônicas incluem, entre outros:

E-mail

Mensagem instantânea

Plataformas unificadas de comunicações Para obter mais informações, consulte o seguinte:

Email Security Architecture Standard, localizada em Documentos relacionados-Política 111

Global Records Information Management Policy, localizada no PolicyHub

104.1.05 Anti-phishing

Programa anti-phishing Phishing é a tentativa de adquirir informações sigilosas como nomes e usuário, senhas e

detalhes de cartão de crédito (e, às vezes, indiretamente, dinheiro), geralmente por motivos

maliciosos, mascarando uma entidade de confiança em uma comunicação eletrônica, como

e-mail.

A ADP tem um programa anti-phishing em vigor para monitorar identidades online/websites de

empresa, e, se um site for fraudulento, ele será removido em tempo hábil

Além do programa corporativo acima, os colaboradores são responsáveis por reconhecer

ataques/scams de phishing. Esses ataques podem conter, sem limitação, o seguinte:

Redefinições de conta ou senha

Aviso de que a senha expirou

E-mails de remetentes que você não reconhece

E-mails de remetentes com endereços genéricos ou suspeitos

https://adp.policyhub.com/PolicyHub/






Mensagens alarmantes Ameaças de encerramento de conta Promessas de dinheiro por algum ou nenhum esforço Negócios bons demais para serem verdade Solicitações para fazer uma doação a uma organização de caridade após um desastre

aparecer no noticiário Erros gramaticais e ortográficos

Requisitos:

Os colaboradores também são responsáveis por evitar ataques de phishing fazendo o

seguinte:

o Não clicar em um link incorporado em um e-mail suspeito o Não abrir um arquivo anexado a um e-mail suspeito

Se a sua conta de e-mail do ADP tiver sido invadida por algum motivo, altere a senha e

entre em contato com o defensor de segurança corporativa local imediatamente.

Ao receber um e-mail suspeito, anexe-o a uma nova mensagem de e-mail e envie para

[email protected]. Em seguida, exclua o e-mail suspeito.

104.2 Comunicações por voz/fax /vídeo

104.2.01 Chamadas telefônicas

Proteção de conversas telefônicas Ao fazer ou receber uma chamada telefônica, os colaboradores são responsáveis pela confidencialidade de sua conversa. Se as informações sendo discutidas forem classificadas como Material Confidencial da ADP ou mais elevado, a identidade da parte receptora deve ser verificada. As conversas telefônicas devem manter os seguintes controles mínimos para prevenir a divulgação não autorizada de informações sigilosas da ADP:

Tentar identificar o interlocutor por reconhecimento de voz Verificar a necessidade de saber do interlocutor Estar ciente de espiões Perguntar quem está presente se um alto-falante for usado

104.2.02 Mensagem de voz

Segurança da mídia de mensagem de voz

mailto:[email protected]






Em sistemas telefônicos usados para transmitir ou armazenar dados corporativos confidenciais (por exemplo, teleconferências e conversas telefônicas gravadas), a mídia usada para armazenar e/ou transmitir dados deve estar sujeita a controles de acesso. Os colaboradores não devem deixar mensagens sigilosas em nenhum tipo de sistema de secretária eletrônica.

104.2.03 Fac-símile

Proteção de comunicações por fax Ao enviar ou receber um fac-símile (fax), os colaboradores são responsáveis pela confidencialidade das informações transmitidas. Sistemas de fax, entretanto, não são inerentemente seguros. Os pontos a seguir são os requisitos mínimos de segurança para prevenir a divulgação não autorizada de informações sigilosas da ADP.

Não envie Informações Pessoais Sigilosas, como números de Seguridade Social e outras identificações emitidas pelo governo, por fax.

Verificar números de fax chamando o(s) destinatário(s) Usar recursos especiais, como caixa de correio, quando disponíveis Colocar os aparelhos de fax em uma área onde eles possam ser monitorados Usar páginas de capa para indicar o(s) destinatário(s) autorizado(s) Ficar próximo do aparelho de destino durante transmissões

Para obter mais informações, consulte:

Classificação de informações, localizado na 105 Política de Tratamento e Classificação de Informações.

Secure Facsimile (Fax) Procedure, localizado em Documentos relacionados-Política 104.

104.2.04 Teleconferências/videoconferências

Computação colaborativa Os sistemas de informação devem proibir a ativação remota de mecanismos de computação colaborativa (por exemplo, vídeo e audioconferências) e fornecer uma indicação de uso explícita aos usuários locais (por exemplo, o uso de câmera ou microfone). Os sistemas de informação de videoconferência também devem fornecer desconexão física de câmera e microfone de uma forma que seja simples de usar.






Segurança em teleconferências e videoconferências Ao participar de teleconferências e videoconferências, os colaboradores são responsáveis pela confidencialidade da conversa. Os sistemas de teleconferência devem exigir um código de acesso para impedir a divulgação não autorizada de informações confidenciais da ADP.Os presidentes de conferência devem usar controles de segurança adicionais, baseado na confidencialidade da discussão, inclusive, entre outros:

Códigos de segurança Anunciar a entrada e a saída de participantes

104.2.05 Limitações para informações restritas e confidenciais

Transmissão segura de informações sigilosas A divulgação não autorizada de informações classificadas como Material Confidencial da ADP, Informações Pessoais (IP), Informações Pessoais Sigilosas (IPS) ou Material Restrito pode ser prejudicial à ADP, aos seus clientes ou colaboradores. Controles adicionais de segurança devem ser empregados durante a comunicação, transmissão, manuseio, classificação, cópia e descarte de tais informações por sistemas de voz, fax ou vídeo, inclusive, de maneira irrestrita :

Criptografia de ponta a ponta de informações classificadas como Material Restrito da ADP

Informar aos participantes da conferência ou reunião o nível de classificação das informações que serão discutidas

Proteger fisicamente o local de conferências e reuniões sobre informações sigilosas

104.3 Reuniões e conversas

104.3.01 Reuniões e conferências

Proteção de reuniões e conferências Ao participar de reuniões e conferências, os colaboradores são responsáveis pela confidencialidade das conversas. Os seguintes controles mínimos devem ser considerados para prevenir a divulgação não autorizada de informações sigilosas da ADP.

Assegurar-se que os participantes necessitem ter conhecimento Manter e verificar uma lista de presença Obter formulários de não divulgação se necessário Coletar as cópias restantes de apostilas após a reunião/conferência






Distribuir atas de forma segura

104.3.02 Conversas públicas

Conversas públicas Conversas públicas não são seguras e os seguintes controles de segurança mínimos devem ser considerados para prevenir a divulgação não autorizada de informações sigilosas da ADP:

Não discutir informações sigilosas em corredores, elevadores, lobbies, refeitórios, cafeterias, lavatórios, estacionamentos ou outras áreas públicas sem segurança. Os colaboradores da ADP que ouvirem outros colaboradores comunicando informações sigilosas devem avisá-los que eles podem ser ouvidos.

Os colaboradores da ADP devem evitar conversar com amigos e familiares sobre assuntos de seu trabalho que possam levar à divulgação de Informações Pessoais Sigilosas e/ou quaisquer informações classificadas como Informações Confidenciais da ADP ou nível superior.

Durante viagens, os colaboradores devem estar atentos a colegas viajantes ou novas amizades interessados em seus assuntos de negócios.

Os supervisores devem ser notificados sobre pessoas que estiverem tentando obter informações sigilosas sobre a ADP.

Usar palavras em código para projetos sempre que possível.

104.4 Criptografia

104.4.01 Uso de criptografia

Criptografia A Organização de Segurança Global estabeleceu uma norma para definir claramente os princípios e exigir controles para promover a proteção de dados sigilosos e confidenciais, usando criptografia quando os dados estão em repouso e quando estão em trânsito. Embora os dados possam ou não ser criptografados durante o trânsito, o meio pelo qual os dados são transportados deve ser criptografado. O melhor exemplo disso é a transferência de dados por meio de um túnel criptografado. A Encryption Security Standard descreve os requisitos de segurança que devem ser aplicados aos dados sigilosos criptografados pelos quais a ADP é responsável. As informações foram preparadas para ajudar gerentes de segurança e administradores de sistemas com a






implementação de criptografia de forma a atender às necessidades da ADP no ambiente presente e as mudanças na proteção de dados no futuro próximo. A Encryption Security Standard aborda os requisitos mínimos de segurança para algoritmos de criptografia, chaves de criptografia, gerenciamento de chaves de criptografia, padrões SSL, padrões PKI e armazenamento de senhas. Para obter mais informações, e para ler a norma corporativa necessária integralmente, consulte a Encryption Security Standard. Essa norma está localizada na seção Documentos relacionados.

Criptografia – Fora dos Estados Unidos Os departamentos jurídico e de conformidade devem ser consultados sempre que produtos de criptografia restritos estiverem sendo considerados para aquisição fora dos Estados Unidos. Caso contrário, pode ocorrer uma violação da Lei Federal dos Estados Unidos e da lei do país de hospedagem.

Criptografia – Para proteger informações pessoais sigilosas Todas as informações confidenciais da ADP e de clientes devem ser criptografadas adequadamente quando forem transmitidas eletronicamente para fora da rede da ADP. A criptografia deve ser empregada para proteger a confidencialidade de informações pessoais sigilosas durante a transmissão e/ou o armazenamento em recursos de informações da ADP. Os pontos a seguir fornecem uma visão geral do nível apropriado de criptografia baseado na classificação dos dados e no método de armazenamento ou transmissão.

As seguintes diretrizes devem ser seguidas durante a transmissão de informações:

Classificação Proteção

Público Sem requisitos

Somente para Uso Interno

A criptografia é recomendada para a transmissão em links de rede contendo equipamentos não pertencentes ou controlados pela ADP (por exemplo, a Internet). A criptografia não é necessária para a transmissão pela rede interna da ADP

Material Confidencial

A criptografia deve ser usada para a transmissão através de uma rede não pertencente ou controlada pela ADP (por exemplo, a Internet). As transmissões pela rede interna da ADP também devem ser criptografadas.

Material Restrito Criptografar usando protocolos de comunicação criptografada forte aprovados pela Organização de Segurança Global






As seguintes diretrizes devem ser seguidas durante o armazenamento de informações (dados em repouso):

Classificação Proteção

Público

Sem requisitos Somente para Uso Interno

Material Confidencial

Usar um algoritmo de criptografia aprovado pela Organização de Segurança Global, a menos que o recurso tenha autenticação de usuário apropriada, controles mínimos de acesso de privilégio, registros e limites de tempo

Material Restrito Usar um algoritmo de criptografia aprovado pela Organização de Segurança Global

Requisitos gerais Os dados de clientes devem ser tratados como Informações Confidenciais da ADP. Os dados confidenciais de clientes devem ser mantidos sempre em segurança. Os dados confidenciais de clientes nunca devem residir em dispositivos de armazenamento removível (por exemplo, laptop, PC, CD, cartão de memória ou outros dispositivos móveis), exceto na circunstância limitada em que seja necessário para atender a um propósito comercial específico (por exemplo, implementação) e, nesse caso, devem ser criptografados. Nesses casos, o armazenamento dos dados de um cliente deve ocorre somente pelo tempo que for necessário e apenas onde a segurança dos dados tenha sido especificamente considerada. Quando informações confidenciais são transmitidas eletronicamente por uma rede interna da ADP, elas devem ser enviadas em forma criptografada, mas isso não é atualmente obrigatório. As informações confidenciais transmitidas eletronicamente por uma rede privada (por exemplo, uma linha dedicada para um cliente, controlada pelo cliente) devem ser enviadas em uma forma criptografada, a menos que haja controles para preservar a confidencialidade dos dados, ou requisitos contratuais (por exemplo, o cliente aceitar o risco de enviar dados em texto simples). As informações confidenciais transmitidas por uma rede pública (por exemplo, para um cliente pela Internet) devem ser enviadas em forma criptografada. As informações confidenciais devem ser criptografadas por meio de produtos comercialmente disponíveis usando algoritmos de criptografia padrão que passaram por escrutínio público e foram aprovados pela Organização de Segurança Global. Todos os algoritmos de criptografia, modos de operação e sistemas de gerenciamento de chaves de segurança devem seguir padrões internos. A criptografia é destinada a fornecer proteção a dados sigilosos e confidenciais quando os dados estão em repouso e, se possível, os dados estão em trânsito. Embora os dados possam ou não ser criptografados durante o trânsito, o meio pelo qual os dados são transportados deve






ser criptografado. O melhor exemplo disso é a transferência de dados por meio de um túnel criptografado ou VPN. Informações adicionais Para obter informações, e para ler a norma corporativa necessária integralmente, consulte a Encryption Security Standard. Ele está localizado na seção Documentos relacionados - Política 104.

Criptografia – Estações de trabalho É OBRIGATÓRIO que os discos rígidos de todos os desktops e laptops da ADP estejam criptografados. Isso é necessário para impedir a perda de informações confidenciais da ADP em caso de perda ou roubo do dispositivo. Isso também protegerá as informações confidenciais da ADP em um dispositivo devolvido a uma empresa de locação sem a remoção apropriada (ou sanitização) das informações do dispositivo. Além disso, quaisquer/todos os arquivos copiados de um laptop e/ou estação de trabalho em uma mídia removível devem ser criptografados, independentemente da classificação dos dados do arquivo. Os exemplos de mídia removível incluem, entre outros: unidades flash USB/pendrives, CDs, DVDs, um dispositivo móvel agindo como HD externo, etc. Observação: no momento, essa norma não se aplica a servidores ou compartilhamentos de rede (isto é, unidades em rede).

104.4.02 Assinaturas digitais

Confirmação do uso de assinaturas digitais Os seguintes critérios devem ser considerados durante a implementação de assinaturas digitais: proteger a confidencialidade da chave criptográfica privada e a integridade da chave criptográfica pública, a qualidade do algoritmo criptográfico usado, e a legislação local que define o status legal dessas assinaturas. O uso de assinaturas digitais deve ser baseado em necessidade comercial ou regulamentar.

Uso de assinaturas digitais Assinaturas digitais devem ser usadas quando houver uma necessidade legal, contratual ou comercial de verificar o autor ou a integridade de um documento. Assinaturas digitais devem ser implementadas usando uma técnica de criptografia baseada em um par de chaves relacionadas exclusivamente, sendo que uma chave é usada para criar a assinatura (a chave privada) e a






outra para verificar a assinatura (a chave pública).

Uso de serviços de não repúdio Serviços de não repúdio devem ser usados para resolver uma disputa entre partes, relativa à ocorrência ou não ocorrência de um evento ou ação envolvendo o uso de assinaturas digitais ou qualquer protocolo de criptografia associado. O não repúdio deve ser obtido pelo uso de certificados digitais, biometria, mensagens de confirmação, carimbos de data e hora etc.

104.4.03 Gerenciamento de chaves

Chaves de criptografia – Violação Quando uma chave de criptografia for violada, ou houver suspeita de que foi violada, ela deve ser substituída o mais rápido possível. Para obter informações adicionais, e para ler a norma corporativa necessária integralmente, consulte a Encryption Security Standard. Ela está localizada na seção Documentos relacionados.






104.0 Acceptable Use of Electronic Communications and Data Protection Policy Policy Statement Exchanges of information within ADP and with other organizations must be protected with adequate controls. Access to communication resources and ADP systems are provided for business purposes, but associates may occasionally make non-business use of these resources to the extent that such use does not interfere with the performance of job functions, negatively impact ADP’s systems or networks, or violate any law or ADP policy. Policy Scope This policy applies to ADP associates and contractors, subject to the requirement of local law, who exchange information via communication resources. It sets a general standard. It may be replaced or supplemented by other policies and procedures which state additional or different requirements in certain geographic regions where applicable laws impose other requirements on ADP. This policy applies to all information in any format (example: electronic and physical formats). Policy Purpose This policy provides guidance on the use of communication resources, cryptographic controls, and ways to ensure sensitive data is properly controlled on publicly available systems. Failure to comply with this policy may result in progressive disciplinary action, up to and including termination of employment. Requests to deviate from any security policy must go through the respective Business Security Officer for your BU or country.

104.1 Email, Internet and Other Electronic Communications

104.1.01 Business Use

Email Security – Associates ADP’s email system and the information sent through it is the property of ADP.

Requirements Email cannot be used for the transmission of Sensitive Personal Information, such as

Social Security Numbers and other government-issued identifiers, outside of ADP’s network

Email containing information classified as ADP Confidential or higher, must be encrypted when sent outside of ADP’s network.






ADP associates must use ADP's email systems for business-related correspondence. The use of non-ADP email systems (example: personal web mail) for business purposes is prohibited

ADP must display the associate ADP email address in ADP’s email directory(s). Third party bulk e-mail systems should not be used, unless previously reviewed and

approved by the Global Security Organization. Email messages must be traceable to individual authorized users, unless previously

reviewed and approved by the Global Security Organization. In cases where access to a single ('shared' or 'group') mailbox is authorized for multiple users, the mailbox must still be configured to identify the sender through his/her assigned individual email address. Authorized users must remain accountable for messages they send.

Authorized users may not use an email account assigned to another individual to send or receive messages.

Automatic email forwarding rules must not be configured to send email outside of ADP’s networks.

For more information see

Access to an Associate’s Electronically Stored Information, which is located in 109-Investigations, Electronic Discovery and Incident Management Policy.

Information Classification, which is located in the 105 Information Handling and Classification Policy.

Email Security Architecture Standard which is located in Related Documents-Policy 111.

Email Security – Clients Email sent from ADP to clients must be safe. This includes email sent on behalf of ADP. When sending or receiving an email, associates are responsible for the confidentiality of the information transmitted. When sending email to a client, verify the recipient’s email address (to prevent mis-delivery). The following requirements are intended to help clients determine the difference between valid emails from ADP, and phishing attacks claiming to be from ADP.

Do not send or request Sensitive Personal Information, such as Social Security Numbers and other government-issued identifiers, via email

Do not include executable attachments Do not include embedded hyperlinks Comply with local email laws, for example:

In the US, CAN-SPAM and TCPA

In Canada, CASL Do not send generically addressed messages – Use the clients’ full names

No Requests For Sensitive Personal Information - To the maximum extent possible, emails from ADP should not ask for any Sensitive Personal Information, which is commonly requested






in phishing attacks. No Executable Attachments - Executable attachments must be avoided. Phishing attacks attempt to trick clients into opening attachments, which could contain malware. Contact your Business Security Officer for more information. If a file attachment is absolutely required, then consider:

Sending the attachment in PDF format instead of its original format Sending the entire email with attachment via ADP’s Secure Email service

No Embedded Links - Consideration should be given to reducing/eliminating the use of standard hyperlinks sent in email. Links, such as “click here” invite the reader to blindly follow the link, without knowing if the link is safe. Phishing attacks take the reader to a page which looks like a legitimate site, but is in fact a phishing site hosted by an attacker. The site may obtain personal information from an unsuspecting client or install malicious software. The following are the preferred options:

Provide the full URL (unlinked) and instruct the reader to copy and paste the URL string into their browser’s address field. Example: “To view this web page, copy and paste the below URL into your browser’s address field. http://www.majoraccounts.adp.com"

Instruct the reader on how to navigate to the desired ADP web page For more information see the corporate control: Information Classification, which is located in the 105 Information Handling and Classification Policy

Instant Messaging ADP’s internal messaging systems, separate from email, and the information sent through them, are the property of ADP, subject to local law and in compliance with ADP’s binding corporate rules. Authorized use is for internal business purposes and occasional internal non-business use. Messages sent for business purposes, are permitted when the messaging system has been approved by the Global Security Organization (GSO). Associates must take precautions to prevent the spread of malware within ADP's communication systems, as a result of using messaging systems. Messages can be intercepted, redirected, and can contain malware. Message recipients should be aware of suspicious messages, links and/or attachments. Users of messaging services should be aware they are broadcasting their presence to all users on the messaging network. Where messaging has been approved for client interaction for application support, associates should be aware the content of messages may be legally and contractually binding and the use






of messaging for specific business communications should be expressly defined in accordance with legal or regulatory compliance requirements. This includes guidelines for business, the types of messaging service permitted, acceptable use and procedures for monitoring activities to be performed. To view the list of approved messaging system, see the ADP mobile application store, and the ADP software on demand web site.

Internet Usage Access to the Internet must be through an approved ADP connection only.

Requirements ADP has the right to monitor transmissions on the ADP network. Monitoring may include

tracking Internet sites visited, the content of information or messages sent or received, the amount of time spent on the Internet and other measures of Internet usage. Subject to the requirement of local law, Associates accessing the Internet through ADP equipment and systems do not have an expectation of privacy. Any evidence of misuse will be reported as a violation.

Users may not “bridge” networks, example: an internal ADP network and the public Internet.

All information downloaded or copied from the Internet should be considered suspect. There is no quality control process on the Internet, and a considerable amount of Internet information is outdated, inaccurate, and/or misleading. Information should not be considered accurate or safe unless it comes from a trusted source.

Sensitive Information transmitted over the Internet must be encrypted. Downloaded software must comply with the provisions detailed in the Computer

Hardware and Software requirements, which is located on the Associate Portal (ourCompany / Policies and Guidelines / Policy Acknowledgements)

104.1.02 Use of Encryption

Encryption – Foreign Countries In countries where encryption is not possible for technical and/or legal reasons, senders should contact a Business Security Officer to determine other approved forms of information transmission.

Secure Email - Encrypting Confidential Information Prior to Internet Transmission Keeping sensitive data confidential is vital to ADP’s businesses. Email sent outside of ADP must be encrypted if the information is classified as ADP Confidential or higher.

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/SupportAndServices/ITsupport_services/softwareondemand/






104.1.03 Acceptable Use

Acceptable Use of Electronic Communications ADP encourages the appropriate and innovative use of its information technology systems to enhance its communications and learning environment. The ability to send and receive electronic communications, as well as access to the Internet and ADP’s intranets are essential and important business enablers. Nevertheless, there are also significant legal, security and productivity issues related to the use of these technologies that require a common understanding of what is -- and is not -- acceptable use. Scope Electronic Communications specifically applies to:

Email Instant Messaging or related technology (example: texting) Communications posted on ADP’s intranet and Internet sites Communications stored on ADP’s systems, equipment and devices Internet websites accessed using ADP systems, equipment, or devices, and/or while

representing ADP or identified as an ADP associate Fax

Permitted Use Electronic communications are an effective and common means of communication for both business and non-business use. Accordingly, the use of ADP electronic communication systems, such as email and internet access, is acceptable for non-business purposes if the level of use is occasional, does not interfere with an associate’s professional responsibilities, does not diminish productivity, does not lead to the degradation or disruption of the normal service levels and does not violate ADP’s policies or standards. All transmissions on ADP networks, regardless of whether the transmission is using ADP email or a personal email account, may be monitored to the extent permitted by local law. There are other ADP standards related to email, internet and other electronic communications, which ADP associates and others must be aware of and abide by when using ADP’s systems, devices and equipment:

Review the 104-Acceptable use of Electronic Communications and Data Protection Policy for guidance on when and how to use:

Email Security – Associates

Secure Email

Instant Messaging






Internet Usage

Fax Review the 109-Investigations, Electronic Discovery and Incident Management Policy for

guidance on Incident Reporting For guidance on accessing social media, see ADP’s Global Social Media Policy

Prohibited Use

ADP’s electronic communication systems, including email and Internet access, may not be used for any of the following:

Do not use non-ADP email systems for business purposes (example: personal email) Do not view, store, or distribute material that does not comply with that policy, including,

without limitation sexually explicit material. Do not create, send, store or post any electronic communication that violates or may be

construed to violate any ADP policy or federal, state, local and/or International law, regulation or standard relating to sexually explicit material, harassment, discrimination, defamation, copyright infringement, security and privacy rights, solicitation, and/or statutes relating to electronic media.

Do not post information or engage in activities which harass, threaten or abuse others, including transmitting messages that express discriminatory views about a person or group based upon race, gender, religion, sexual orientation, national origin, age, disability, gender identity and gender expression or similar characteristics, or that are disparaging or defamatory.

Do not create, send, store or post any electronic communication that violates any ADP policy including, but not limited to, ADP’s Code of Business Conduct and Ethics and ADP policies regarding proprietary or confidential information.

Do not create, send, store or post any electronic communication that specifically violates ADP’s No Solicitation Policy, which prohibits the use of ADP’s electronic communication systems for solicitation of any kind, unless company sponsored.

Do not forge or otherwise manipulate identifiers in communications in an attempt to disguise, impersonate, or otherwise misrepresent the source of the communication

Do not receive, store, or distribute any material containing malware or other computer code or files designed to interrupt, harm, delete, or otherwise interfere with or limit the functionality of any ADP Services.

The recipient should immediately notify his/her manager or if required, report the security incident. Associates are responsible for knowing how to contact their Local Business Security Champion. Lists of the Local Business Security Champions can be found on the Global Security Organization Services Portal. Monitoring ADP's systems, devices and equipment used to generate, receive and store electronic communications are the sole property of ADP. Therefore, all messages transmitted through or stored on ADP’s systems, equipment and devices, including back-up copies, are the property of ADP, and will be monitored, viewed and/or used by authorized individuals for compliance and

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/Policies%20%26%20Guidelines/General/social%20media%20policy%20-%20global/!ut/p/b1/rY_LbsIwEEW_hQ8oHj-S2EuDk9hpiJsXEG8QRS2CEugbla9vYFOpiLaLzkgjjXTu3DvIoYb6ggvghKMpctv5-2o5f13ttvPNcXf-LDEaCB-CsLEJwXA7zHEWERZBBzQdMIylZkEKwNPYAyN1XYicUpD0b3q4UBJ-009Qo7rhTtxXDAIcyJiMdZ3nmFv4DthADYBEVrNIK22z4OzC-SMn4IekTQcEl7Ia6aEKTYHNyvXHozk8HIr1obBVWpjsebQfqZi8qEFSKWerECclPOFSRTdlzfCoGli8EHgc5aFUV-EbX_bOzCRlndl1TXNfdHHYv5olyK1u2_5-0fah7_FAYPCY8ED4BFM0CVGmd-0dat0mSv0ivM-OzXqfJ-Ak6Q!!/dl4/d5/L2dBISEvZ0FBIS9nQSEh/








security purposes in accordance with applicable law, ADP’s internal policies, and associate consent is deemed by the use of an ADP system, device or network. Subject to the requirements of local law, Associates, contractors, vendors, and other third parties do not have an expectation of privacy or a personal privacy right in any electronic communications transmitted through or stored on ADP systems or in sites accessed or material transmitted over the internet or ADP’s intranets using an ADP system or an ADP or personal device. Such monitoring may include the collection, analysis and reporting of any data processed or stored on ADP systems and network, even when the data has been encrypted or otherwise protected. Monitoring may also include the review and analysis of log files. Accordingly, associates should not use ADP’s electronic communication systems, equipment or devices to send, receive or store any information that they wish to keep private. Disciplinary Action Failure to follow this policy may result in progressive discipline, up to and including termination of employment, subject to applicable local law. Requests to deviate from any security policy must go through the respective Business Security Officer for your BU or country.

104.1.04 Retention / Deletion of Electronic Mail

Associate Responsibility for Record Retention While electronic mail (email) messages are periodically backed up, ADP does not guarantee the long-term storage of electronic mail messages. Associates should take the appropriate steps to store the contents of electronic mail to the appropriate media in order to satisfy legal and regulatory retention requirements.

Messaging Systems Not Intended as Archival Storage ADP electronic messaging systems are not intended for archival storage of important business information. These messages should only be retained as long as they are necessary for conducting business. Examples of electronic messaging systems include, but are not limited to:

Email

Instant messaging

Unified communications platforms For more information, see the following:

Email Security Architecture Standard, located in Related Documents-Policy 111

Global Records Information Management Policy, which is located on PolicyHub

104.1.05 Anti-Phishing

https://adp.policyhub.com/PolicyHub/






Anti-Phishing Program Phishing is the attempt to acquire sensitive information such as usernames, passwords, and

credit card details (and sometimes, indirectly, money), often for malicious reasons, by

masquerading as a trustworthy entity in an electronic communication such as email.

ADP has an anti-phishing program in place to monitor company online identities/websites, and if

a fraudulent site is detected, that site(s) is taken-down in a timely fashion

In addition to the above corporate program, Associates are responsible for recognizing Phishing

attacks/scams. These attacks can contain, but are not limited to the following:

Account or Password resets

Password has expired

Emails from senders you do not recognize

Emails from senders with generic or suspicious addresses

Alarming messages Threats of account closures Promises of money for little or no effort Deals that sound too good to be true Requests to donate to a charitable organization after a disaster that has been in the news Bad grammar and misspellings

Requirements:

Associates are also responsible to avoid phishing attacks, by doing the following:

o Do not click on an imbedded link in a suspicious email o Do not open a file attached to suspicious email

If your ADP e-mail account has been hacked for any reason, change your password and

contact your Local Business Security Champion immediately.

Upon receiving a suspicious email, attach it to a new email message and send it to

[email protected]. Then delete the suspicious email.

104.2 Voice / Fax / Video Communications

104.2.01 Phone Calls

Securing Telephone Conversations

mailto:[email protected]






When making or receiving a telephone call, associates are responsible for the confidentiality of their conversation. If the information being discussed is classified as ADP Confidential, or higher, then the identity of the receiving party should be verified. Telephone conversations should maintain the following minimum controls to prevent unauthorized disclosure of sensitive ADP information:

Attempt to identify the caller by voice recognition Verify the caller's need to know Be cognizant of eavesdroppers Ask who is present if a speakerphone is used

104.2.02 Voice Mail

Security of Voicemail Media In telephone systems used to transmit or store confidential corporate data (for example conference calls and recorded telephone conversations), the media used to store and/or transmit this should be subject to access controls. Associates should not leave sensitive messages on any type of telephone answering system.

104.2.03 Facsimile

Securing Fax Communications When sending or receiving a Facsimile (fax), associates are responsible for the confidentiality of the information transmitted. Fax systems, however, are not inherently secure. The following are the minimum security requirements to prevent unauthorized disclosure of sensitive ADP information:

Do not send Sensitive Personal Information, such as Social Security Numbers and other government-issued identifiers, via Fax

Verify fax numbers by calling the recipient(s) Use special features, such as mail boxing, when available Place fax machines in an area where they can be monitored Use cover pages to indicate authorized recipient(s) Be present at the destination machine when receiving transmissions

For more information see:

Information Classification control, which is located in the 105 Information Handling and Classification Policy.






Secure Facsimile (Fax) Procedure, which is located in Related Documents-Policy 104.

104.2.04 Conference Calls / Video Teleconferences

Collaborative Computing Information systems should prohibit remote activation of collaborative computing mechanisms (example: video and audio conferences) and provide an explicit indication of use to local users (example: use of camera or microphone). Video conferencing information systems should also provide physical disconnect of camera and microphone in a manner which supports ease of use.

Security Conference Calls and Video Conferences When participating in conference calls and video teleconferences, associates are responsible for the confidentiality of their conversation. Teleconference systems must require an access code to prevent unauthorized disclosure of sensitive ADP information.

Conference chairpersons are encouraged to use additional security controls, based on the sensitivity of the discussion, such as but not limited to:

Security codes Announce arrival and departure of participants

104.2.05 Limitations on Confidential and Restricted Information

Secure Transmission of Sensitive Information The unauthorized disclosure of information classified as ADP Confidential, Personal Information (PI), Sensitive Personal Information (SPI) or Restricted could be detrimental to ADP, its clients or associates. Additional security controls should be employed when communicating, transmitting, handling, labeling, copying and disposing of such information by voice, fax or video systems, including but not limited to:

End-to-end encryption of ADP Restricted information Informing conference or meeting participants of the classification level of the information

to be discussed Physically securing the location of conferences and meetings regarding sensitive

information






104.3 Meetings and Conversations

104.3.01 Meetings and Conferences

Securing Meetings and Conferences When participating in meetings and conferences, associates are responsible for the confidentiality of their conversations. The following minimum controls should be considered to prevent unauthorized disclosure of sensitive ADP information:

Ensure participants have a need to know Maintain and check an attendance list Obtain non-disclosure forms as necessary Collect extra copies of handouts following the meeting/conference Distribute minutes securely

104.3.02 Public Conversations

Public Conversations Public conversations are not secure, and the following minimum security controls should be considered to prevent unauthorized disclosure of sensitive ADP information:

Do not discuss sensitive information in halls, elevators, lobbies, lunchrooms, cafeterias, lavatories, parking lots, or other unsecured public areas. ADP associates who overhear other associates communicating sensitive information should caution them that they may be overheard.

ADP associates should avoid discussing with their family and friends any topic about their work that could lead to disclosing Sensitive Personal Information and/or any information classified as ADP Confidential information or higher.

During travel, associates should be aware of fellow travelers or new acquaintances interested in their business affairs.

Supervisors should be notified of anyone who is attempting to obtain sensitive information about ADP.

Use project code words when possible

104.4 Encryption

104.4.01 Use of Encryption






Encryption The Global Security Organization (GSO) has established a standard to clearly define the principles and required controls to provide protection for sensitive and confidential data, using encryption, both when the data is at rest and when the data is in transit. Although the data itself may or may not be encrypted when in transit, the means by which the data is transported must be encrypted. The best example of this is transferring data over an encrypted tunnel. The Encryption Security Standard describes security requirements to be applied to encrypting sensitive data for which ADP is responsible. The information is designed to assist security managers and systems administrators with the implementation of encryption to meet ADP’s needs for present environment and the changes to data protection in the near future. The Encryption Security Standard covers minimum security requirements for encryption algorithms, encryption keys, encryption key management, SSL standards, PKI standards and password storage. For more information, and to view the entire required corporate standard please see the Encryption Security Standard. This standard is located in the Related Documents section.

Encryption – Outside of the U.S Legal and Compliance should be consulted any time restricted encryption products are being considered for deployment outside of the United States. Failure to do so could result in a violation of United States Federal Law and the host country law.

Encryption – To Protect Sensitive Personal Information All ADP and client confidential information must be appropriately encrypted when electronically transmitted outside of ADP’s network. Encryption should be employed to protect the confidentiality of sensitive personal information when being transmitted and/or stored on ADP information resources. The following provides an overview of the appropriate level of encryption based on the classification of the data and method of storage or transmission.

The following guidelines should be followed when transmitting information:






Classification Protection

Public No requirement

Internal Use Only

Encryption is recommended for transmission over network links containing equipment not owned or controlled by ADP (example: the Internet). Encryption is not required for transmission over ADP's internal network

Confidential

Encryption must be used for transmission over a network not owned or controlled by ADP (example: the Internet). Transmissions over ADP's internal network should also be encrypted.

Restricted Encrypt using strong encryption communication protocols approved by the Global Security Organization

The following guidelines should be followed when storing information (data at rest):

Classification Protection

Public

No requirement Internal Use Only

Confidential Use an encryption algorithm approved by the Global Security Organization, unless the resource has compliant user authentication, least privilege access controls, logging and time outs

Restricted Use an encryption algorithm approved by the Global Security Organization

General Requirements Client data must be treated as ADP Confidential. Client confidential data must be kept secure at all times. Client confidential data should never be resident on any removable storage device (example: laptop, PC, CD, memory stick, or other mobile device), except in the limited circumstance where it is necessary to address a specific business purpose (example: implementation) and if so, it must be encrypted. In such cases, the storage of a client's data must be for only so long as necessary and only where the security of the data has been specifically addressed. When confidential information is electronically transmitted over an ADP internal network, it should be sent in encrypted form, but it is not currently required. Confidential information electronically transmitted over a private network (example: a dedicated line to a client, controlled by the client) must be sent in encrypted form unless mitigated by controls to preserve the confidentiality of the data, or by contractual requirements (example: the client accepts the risk of sending data in clear text). Confidential information transmitted over a public network (example: to a client over the Internet)






must be sent in encrypted form. Confidential information must be encrypted via commercially available products using standard encryption algorithms which have undergone public scrutiny and have been approved by the Global Security Organization. All encryption algorithms, modes of operation, and security key management systems must be consistent with internal standards. Encryption is intended to provide protection for sensitive and confidential data both when the data is at rest and when possible, the data is in transit. Although the data itself may or may not be encrypted when in transit, the means by which the data is transported must be encrypted. The best example of this is transferring data over an encrypted tunnel or VPN. Additional Information For information, and to view the entire required corporate standard, please see the Encryption Security Standard. This is located in the Related Documents-Policy 104 section.

Encryption – Workstations All ADP desktops and laptops MUST have their hard drives encrypted. This is required to prevent the loss of ADP Confidential information in the event the device is lost or stolen. This will also protect ADP Confidential information on a device which is returned to a leasing company without properly removing (or sanitizing) the information from the device. In addition, any/all files copied from a laptop and/or workstation to removable media must be encrypted regardless of the data classification of the file. Examples of removable media include but are not limited to: USB flash drives/thumb drives, CDs, DVDs, a mobile device acting like an external drive, etc. Note: this standard does not presently apply to servers or network shares (i.e. network drives).

104.4.02 Digital Signatures

Confirming the Use of Digital Signatures The following criteria should be considered when implementing digital signatures: protecting the confidentiality of the private cryptographic key and the integrity of the public cryptographic key, the quality of the cryptographic algorithm used, and local legislation defining the legal status of these signatures. The use of digital signatures should be based upon business or regulatory need.

Use of Digital Signatures






Digital signatures should be used when there is a legal, contractual or business need to verify the author or integrity of a document. Digital signatures should be implemented using an encryption technique based on a uniquely related pair of keys where one key is used to create the signature (the private key) and the other to check the signature (the public key).

Use of Non-Repudiation Services Non-repudiation services should be used to resolve a dispute between parties, regarding the occurrence or non-occurrence of an event or action involving the use of digital signatures or any associated encryption protocol. Non-repudiation may be achieved by the use of digital certificates, biometrics, confirmation messages, timestamps, etc.

104.4.03 Key Management

Encryption Keys – Compromised When an encryption key has been compromised, or suspected of being compromised, it must be changed as soon as possible For additional information, and to view the entire required corporate standard, please see the Encryption Security Standard. This is located in the Related Documents section.

104.0 Política de Uso Aceitável de Comunicações Eletrônicas e … · 2018-11-15 · diretor de...

Documents

Transcript of 104.0 Política de Uso Aceitável de Comunicações Eletrônicas e … · 2018-11-15 · diretor de...