Professional Documents
Culture Documents
O item demonstra de que forma os ativos devem ser classificados e inventariados para
que em uma situação de desastre as informações sejam recuperadas.
Os ativos devem ser documentados e classificados com níveis (Ex:1,2 e etc.) de
acordo com sua importância.
A política de acesso as notas fiscais são de acordo com o estabelecido pela Receita
Federal, determinando assim o acesso padrão para todos os CNPJs.
“Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção.
Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível
esperado de proteção quando do tratamento da informação.
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar
um nível adicional de proteção ou tratamento especial. Convém que um sistema de
classificação da informação seja usado para definir um conjunto apropriado de níveis de
proteção e determinar a necessidade de medidas especiais de tratamento. (ABNT NBR
ISO/IEC 17799, 2005 Item 7.2)”
As boas praticas recomendam que a informação devem ser classificada com níveis de
acesso, sendo assim a nota fiscal é um documento sigiloso com vários níveis de
acesso. Ex: O nível de acesso para um auditor e diferente de uma pessoa que está
fazendo a contabilidade de suas notas.
O processo de rotulação da informação deve ser definido de acordo com o nível (classificação)
da mesma, deve-se abranger tanto informações como ativos. O tipo de rotulação deve se
padronizada com outras organizações que compartilham dos mesmos ativos para que a
informação não seja tratada com nível diferente na outra organização, mantendo assim a
integridade e confiabilidade dos dados, mesmo que essa informação esteja em alguns
mecanismos de transporte como (fitas, discos ou CD),
Boas praticas que devem ser utilizada no sistema de NF-e para que o sistema esteja sempre
com disponibilidade para os usuários.
Normas para que o sistema também inicie e encerre os processos do di ser tornar indisponível
o uso.
Normas para help de usuários e verificação de mau funcionamento do sistema.
Aceitação e uma pratica utilizada para diminuir o risco de falhas no sistema, O planejamento e
a preparação são requeridos para garantir a disponibilidade adequada do ativo e análise do
desempenho do sistema, também devesse testar cargas no sistema para situações futuras
para evitar uma sobre carga.
Todos os testes devem ser documentados antes durante e depois dos testes para registrar
assim toda modificação e melhoria no sistema.
Uma vez os testes finalizados e documentados garantindo a disponibilidade, integridade,
confiabilidade e tempo prolongado de vida do sistema. O mesmo pode ser liberado para uso.
”Transações on-line
Convém que informações envolvidas em transações on-line sejam protegidas para prevenir
transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens,
divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
Diretrizes para implementação Convém que as considerações de segurança para transações
on-line incluam os seguintes itens:
a) uso de assinaturas eletrônicas para cada uma das partes envolvidas na transação;
b) todos os aspectos da transação, ou seja, garantindo que:
1) credenciais de usuário para todas as partes são válidas e verificadas;
2) a transação permaneça confidencial; e
3) a privacidade de todas as partes envolvidas seja mantida;
c) caminho de comunicação entre todas as partes envolvidas é criptografado;
d) protocolos usados para comunicações entre todas as partes envolvidas é seguro;
e) garantir que o armazenamento dos detalhes da transação está localizado fora de qualquer
ambiente publicamente acessível, como por exemplo, numa plataforma de armazenamento na
intranet da organização, e não retida e exposta em um dispositivo de armazenamento
diretamente acessível pela internet;
f) onde uma autoridade confiável é utilizada (como, por exemplo, para propósitos de emissão e
manutenção de assinaturas e/ou certificados digitais), segurança é integrada a todo o processo
de gerenciamento de certificados/assinaturas.
Informações adicionais
A extensão dos controles adotados precisará ser proporcional ao nível de risco associado a
cada forma de
transação on-line.
Transações podem precisar estar de acordo com leis, regras e regulamentações na jurisdição
em que a transação é gerada, processada, completa ou armazenada.
Existem muitas formas de transações que podem ser executadas de forma on-line, como, por
exemplo, contratuais, financeiras etc. (ABNT NBR ISO/IEC 17799, 2005 Item 10.6.2)”
Toda transação online da NF-e seguir a norma ABNT NBR ISO/IEC 17799, 2005 Item 10.9.2,
norma essa que identifica os passos para uma transição online segura, essa norma também
demonstra que as informações não devem ser armazenadas em locais de domínio publico e
toda transação feita deve ser criptografada para manter o dado intacto na transação.