O QUE DIZ A OEA SOBRE A SEGURANÇA DA INFORMAÇÃO ?
A segurança da informação desempenha um papel vital nas operações de comércio exterior, especialmente no contexto atual, onde a digitalização e a globalização são cada vez mais prevalentes. Nesse cenário, a Operador Econômico Autorizado (OEA) estabelece diretrizes rigorosas para garantir a proteção dos sistemas de Tecnologia da Informação (TI) e dos dados relacionados ao processo de importação e exportação.
Estas diretrizes visam mitigar os riscos de segurança cibernética e garantir a integridade, confidencialidade e disponibilidade das informações durante todo o processo logístico. Neste artigo, exploraremos os principais critérios de segurança da informação estabelecidos pela OEA, destacando a importância de sua aplicação nas operações de comércio exterior e os benefícios resultantes para as empresas envolvidas neste setor.
A seguir os requisitos sobre segurança da informação:
O critério objetiva avaliar se o operador possui uma política de segurança que garanta a proteção da Tecnologia da Informação (TI), bem como dos dados armazenados em sistemas e dispositivos de TI. A Segurança da Informação é um conceito amplo que envolve o gerenciamento dos ativos de informação de uma empresa, sejam físicos ou digitais.
A Segurança Cibernética ou cibersegurança é um aspecto da segurança da informação responsável pela proteção dos ativos de informação no ciberespaço por meio do tratamento das ameaças potenciais que podem colocar em risco a informação processada, armazenada e transportada pelos sistemas de informação. A Tecnologia da Informação (TI) inclui computadores, dispositivos de armazenamento, rede e outros dispositivos físicos, infraestrutura e processos usados para criar, processar, armazenar, proteger e trocar dados eletrônicos.
5.1 O OEA deve possuir política e procedimentos formalizados de segurança cibernética para proteger os sistemas de tecnologia da informação (TI). Os procedimentos devem proteger os sistemas contra o acesso não autorizado e contra a adulteração, alteração ou exclusão de dados. A política de TI formalizada deve cobrir, no mínimo, todos os critérios individuais relacionados à segurança cibernética e prever medidas disciplinares para infratores. Qualificador: Obrigatório.
5.2 As políticas e procedimentos de segurança da informação devem ser revisados anualmente ou com mais frequência, conforme o risco ou as circunstâncias o exigirem. Após a revisão, as políticas e procedimentos devem ser atualizados, se necessário. Qualificador: Obrigatório.
5.3 O OEA deve possuir proteção de software e hardware contra programa malicioso (malware) e contra intrusão interna ou externa nos sistemas de computadores. O OEA deve assegurar-se de que seu software de segurança esteja atualizado. O OEA deve ter políticas e procedimentos para evitar ataques via engenharia social. Qualificador: Obrigatório.
5.4 Recomenda-se que a política de segurança da informação incentive o OEA a compartilhar suas informações sobre ameaças à segurança da informação e à segurança cibernética com o governo e com outros parceiros de negócios. Qualificador: Recomendável.
5.5 O OEA deve possuir procedimentos formalizados e recursos de backup e restore para proteger os sistemas informatizados contra a perda de informações. Qualificador: Obrigatório.
5.6 Recomenda-se que o backup dos dados seja feito pelo menos uma vez por semana ou com mais frequência, se necessário, e que dados sensíveis e dados confidenciais sejam armazenados em formato criptografado. Qualificador: Recomendável.
5.7 O OEA que utiliza sistemas de rede deve testar regularmente a segurança de sua infraestrutura de tecnologia da informação (TI). Se forem encontradas vulnerabilidades, as ações corretivas devem ser implementadas o mais rápido possível. Qualificador: Obrigatório.
5.8 O acesso do usuário deve ser restrito, com base na descrição do trabalho ou nas tarefas designadas, devendo ser revisado regularmente para garantir que o acesso a sistemas sensíveis se baseie nos requisitos do trabalho. Qualificador: Obrigatório.
5.9 O acesso do usuário aos sistemas de Tecnologia da Informação (TI) deve ocorrer mediante conta individual e deve ser protegido contra invasões por meio do uso de senhas fortes, frases secretas ou outras formas de autenticação. Se houver evidência ou suspeita de violação, a senha ou frase secreta deve ser imediatamente alterada. Qualificador: Obrigatório.
5.10 Se os usuários puderem se conectar remotamente a uma rede, devem ser utilizadas tecnologias seguras, como redes privadas virtuais (VPNs), para permitir que os funcionários acessem a intranet da empresa com segurança quando fora do escritório. Deve existir procedimento para impedir o acesso remoto de usuários não autorizados. Qualificador: Obrigatório.
5.11 Se os funcionários puderem utilizar dispositivos pessoais para realizar o trabalho da empresa, todos esses dispositivos devem submeter-se às políticas e procedimentos de segurança cibernética da empresa, incluindo atualizações regulares de segurança e a implementação de um método seguro para acessar a rede da empresa. Qualificador: Obrigatório.
5.12 Toda mídia, hardware ou outro equipamento de TI que contenha informações confidenciais sobre o processo de importação e exportação deve ser contabilizado através de inventários regulares. Quando descartados, devem ser adequadamente sanitizados e/ou destruídos, de acordo com as diretrizes apropriadas do setor. Qualificador: Obrigatório.
5.13 Recomenda-se que as políticas e procedimentos incluam medidas para prevenir o uso de produtos tecnológicos falsificados ou licenciados indevidamente. Qualificador: Recomendável.
Fonte: Portaria Coana nº 133 de 2023 – Receita Federal do Brasil