Política de Governança de TI
Diretrizes, responsabilidades e controles para gestão de identidades, acessos e sistemas · Rede Ápice de Ensino
Sumário
1. Objetivo
Propósito desta política
Esta política estabelece as diretrizes para a governança de identidades, acessos e sistemas de TI da Rede Ápice de Ensino.
Seu objetivo é garantir que o acesso aos sistemas seja concedido de forma controlada, revisado periodicamente e revogado quando necessário,
protegendo dados de alunos, colaboradores e da instituição.
Esta política se aplica a todos os colaboradores, prestadores de serviço e sistemas utilizados em qualquer unidade da Rede Ápice: MAR, OVM, TUT, DHS, APS e CSC.
2. Gestão de Acessos e Identidades
Concessão de acesso
Todo acesso a sistemas deve seguir o princípio do menor privilégio — cada colaborador recebe apenas as permissões necessárias para exercer sua função.
- A criação de acessos deve ser solicitada formalmente ao TI pelo gestor responsável da área.
- Acessos administrativos (admin) são restritos a profissionais de TI e gestores com necessidade comprovada.
- Contas compartilhadas são proibidas. Cada colaborador deve ter credenciais individuais.
- Colaboradores em período de experiência recebem acesso de usuário padrão, sujeito a revisão após efetivação.
Revogação de acesso
O acesso deve ser revogado imediatamente em qualquer dos cenários abaixo:
- Desligamento do colaborador (voluntário ou não)
- Mudança de função que não exige mais aquele acesso
- Término de contrato de prestadores de serviço
- Suspeita de uso indevido ou incidente de segurança
Prazo máximo: A revogação deve ocorrer em até 24 horas após o desligamento ou mudança de função. O RH é responsável por comunicar o TI imediatamente.
3. Política de Senhas
Requisitos de senha
Senhas devem atender aos seguintes critérios mínimos em todos os sistemas da Rede Ápice:
| Critério | Requisito |
|---|---|
| Comprimento mínimo | 12 caracteres |
| Letras maiúsculas e minúsculas | Obrigatório |
| Números | Obrigatório |
| Caracteres especiais | Recomendado |
| Reutilização | Proibido reutilizar as últimas 5 senhas |
| Troca periódica | A cada 90 dias (sistemas críticos) |
| Compartilhamento | Estritamente proibido |
O uso de autenticação multifator (MFA) é obrigatório no Microsoft 365 e recomendado em todos os demais sistemas que suportam o recurso.
4. Uso de Sistemas e Ferramentas
Uso aceitável
Os sistemas da Rede Ápice são ferramentas de trabalho e devem ser utilizados exclusivamente para fins institucionais.
- O Microsoft 365 (Teams, SharePoint, OneDrive) é a plataforma oficial de colaboração e comunicação interna.
- O ActiveSoft deve ser utilizado exclusivamente por colaboradores autorizados para funções acadêmicas e administrativas.
- O ClassApp é o canal oficial de comunicação com responsáveis de alunos — comunicações informais em apps pessoais são desencorajadas.
- Instalação de softwares não homologados em equipamentos da instituição é proibida sem aprovação prévia do TI.
- Dados institucionais não devem ser armazenados em serviços pessoais (Google Drive pessoal, WhatsApp, etc.).
Sistemas por área e perfil de acesso
Cada área tem acesso aos sistemas conforme sua função:
| Área | Sistemas principais | Perfil |
|---|---|---|
| TI | Microsoft 365, 3CX, Zabbix, UniFi, Intelbras, GLPI, AnyDesk | Admin |
| Secretaria | ActiveSoft, ClassApp, Microsoft 365 | Operador |
| Coordenação Pedagógica | ActiveSoft, Plurall, Positivo, LIV, ClassApp, Pearson | Operador |
| Financeiro | OMIE, FestPay, Microsoft 365 | Operador |
| RH / Gente & Gestão | Starsoft, Solides, Tangerino, PandaPé | Operador |
| Marketing | RD Station, WordPress, Mlabs, Reportei | Operador |
| Professores | Microsoft 365 (Teams), ActiveSoft, Plurall, ClassApp | Usuário |
| Alunos | Microsoft 365 (Teams), Plurall | Usuário |
5. Revisão Periódica de Acessos
Ciclo de revisão
Todos os acessos devem ser revisados periodicamente para garantir que permanecem adequados à função de cada colaborador.
| Sistema | Frequência | Responsável |
|---|---|---|
| Microsoft 365 (colaboradores) | Semestral | TI |
| Microsoft 365 (alunos) | Semestral | TI |
| 3CX | Semestral | TI |
| ActiveSoft | Semestral | TI / Secretaria |
| ClassApp | Anual | TI / Secretaria |
| FestPay | Semestral | TI / Financeiro |
| OMIE | Anual | Financeiro |
| Plurall / Positivo / LIV | Anual | Coord. Pedagógica |
| Starsoft | Anual | RH |
O TI é responsável por automatizar e monitorar os relatórios de usuários inativos via bots — garantindo que revisões sejam baseadas em dados, não em memória.
6. Treinamento e Capacitação
Capacitação obrigatória
O TI é responsável por conduzir treinamentos periódicos sobre o uso correto dos sistemas.
| Treinamento | Público | Frequência |
|---|---|---|
| Microsoft Teams — uso pedagógico | Professores | Semestral |
| ActiveSoft — gestão acadêmica | Secretaria | Anual |
| Microsoft 365 — boas práticas | Administrativo | Anual |
| 3CX — uso do sistema de telefonia | Secretaria | Anual |
7. Gestão de Incidentes
Reporte de incidentes
Qualquer suspeita de incidente de segurança deve ser reportada imediatamente ao TI, sem exceções.
- Exemplos de incidentes: senha comprometida, acesso indevido, phishing recebido, perda de equipamento.
- Chamados devem ser abertos pelo GLPI ou diretamente com a equipe de TI.
- O TI tem até 4 horas para triagem de incidentes críticos e 24 horas para incidentes comuns.
- Colaboradores não devem tentar resolver incidentes de segurança de forma independente.
Ocultação de incidentes é considerada falta grave e pode resultar em medidas disciplinares. Reporte sempre, mesmo que o incidente pareça pequeno.
8. Classificação de Criticidade
Níveis de criticidade dos sistemas
Os sistemas são classificados por criticidade para priorização de recursos e resposta a incidentes.
| Nível | Critério | Exemplos | SLA de resposta |
|---|---|---|---|
| 🔴 Crítico | Impacto imediato em toda a operação | Microsoft 365, ActiveSoft, 3CX, OMIE, Starsoft | 4 horas |
| 🟡 Importante | Impacto significativo em área específica | ClassApp, FestPay, Plurall, Positivo, LIV | 24 horas |
| 🟢 Apoio | Impacto limitado ou substituível | RD Station, Reportei, Mlabs | 72 horas |
9. Responsabilidades
Quem é responsável pelo quê
| Papel | Responsabilidades |
|---|---|
| TI | Criar, revogar e revisar acessos; manter sistemas no ar; monitorar segurança; conduzir treinamentos; responder incidentes. |
| Gestores de área | Solicitar acessos formalmente; comunicar desligamentos ao TI; garantir que seus colaboradores seguem esta política. |
| RH / Gente & Gestão | Comunicar TI sobre admissões, desligamentos e mudanças de função com antecedência mínima de 24 horas. |
| Colaboradores | Usar sistemas apenas para fins institucionais; não compartilhar senhas; reportar incidentes imediatamente. |
| Direção | Aprovar esta política; garantir recursos para implementação; ser informada de incidentes críticos. |
Esta política é revisada anualmente ou sempre que houver mudança significativa de sistemas, estrutura ou legislação pertinente (LGPD).