Política de Backup e Restauração
Preâmbulo
Para manter a continuidade do negócio da ALPHA CONSULTORES, em sua missão como escritório de contabilidade, é fundamental estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de perdas por erro humano, ataques externos, catástrofes naturais ou outras ameaças. No sentido de assegurar a proteção dos dados eletrônicos desta Empresa, o presente documento apresenta a política de backup e restauração, onde se estabelece o modo e a periodicidade de cópia dos dados armazenados pelos sistemas computacionais.
Objetivos
Art. 1º – Regulamentar a política de backup das informações eletrônicas no âmbito da ALPHA CONSULTORES, com o objetivo de estabelecer diretrizes para o processo de cópia e armazenamento dos dados sob a guarda do Centro de Processamento de Dados, visando garantir a segurança, integridade e disponibilidade, em conformidade com a Política de Segurança da Informação. Definições
Art. 2º Para o disposto neste documento considera-se:
I – Administrador de Backup: servidor do quadro da ALPHA CONSULTORES responsável pelos procedimentos de configuração, execução, monitoramento e testes dos procedimentos de backup e restauração;
II – Administrador de Recurso: servidor do quadro da ALPHA CONSULTORES responsável pela administração de ativo, físico ou virtual, sob responsabilidade da Empresa;
III – Backup Completo (full): modalidade de backup na qual os dados são copiados em sua totalidade;
IV – Backup Diferencial: modalidade de backup na qual somente os arquivos novos ou modificados desde o último backup completo são copiados;
V – Backup Incremental: modalidade de backup na qual somente os arquivos novos ou modificados desde o último backup – seja ele completo, diferencial ou incremental – são copiados.
VI – Clientes de backup: todo equipamento servidor no qual é instalado o agente de backup;
VII – Recuperação de Desastre: estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica;
VIII – Mídia: meio físico ou virtual no qual efetivamente armazenam-se os dados de um backup;
IX – Retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado;
X – Objeto: qualquer dado passível de backup e restauração; Centro de Processamento de Dados – ALPHA CONSULTORES ASSOCIADOS LTDA. – EPP, localizada na Rua Barbosa da Cunha, 779 – Guanabara – Campinas – SP CNPJ 67.993.907/0001-70 – CRC 2SP016618/O-0
XI – Tarefa de Backup: mecanismo que é executado sob demanda ou de acordo com um agendamento e vincula um ou mais objetos a uma modalidade de backup e um período de retenção. Referências
Art. 3º A presente política tem como referências:
I – Política de Segurança da Informação
II – Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais.
Responsabilidade e Atribuições
Art. 4º O Departamento Administrativo será o Administrador de Backup, ficando responsável pela política e procedimentos relativos aos serviços de backup e restauração, bem como de guardar as mídias móveis e assegurar o cumprimento das normas aplicáveis.
Art. 5º São atribuições do Administrador de Backup:
I – propor modificações visando o aperfeiçoamento da política de backup;
II – criar e manter as tarefas de backup;
III – configurar a ferramenta de backup e os clientes;
IV – criar e manter mídias;
V – testar o backup e a restauração;
VI – criar notificações e relatórios;
VII – verificar periodicamente os relatórios gerados pela ferramenta de backup;
VIII – restaurar os backups em caso de necessidade;
IX – gerenciar mensagens e logs diários dos backups, fazendo o tratamento dos erros de forma que o procedimento de backup tenha sequência e os erros na sua execução sejam eliminados;
X – fazer manutenções periódicas dos dispositivos de backup;
XI – fazer o carregamento das mídias necessárias para os backups programados; XII – comunicar ao Administrador do Recurso os erros e ocorrências nos backups; XIII – fazer o armazenamento das mídias de backup em cofre apropriado. Centro de Processamento de Dados – ALPHA CONSULTORES ASSOCIADOS LTDA. – EPP, localizada na Rua Barbosa da Cunha, 779 – Guanabara – Campinas – SP CNPJ 67.993.907/0001-70 – CRC 2SP016618/O-0
Escopo do backup e sua formalização
Art. 6º Todo e qualquer ativo que armazene dados e que esteja sob responsabilidade da ALPHA CONSULTORES deverá ser considerado para avaliação de inclusão no processo de backup.
§ 1º O responsável por cada recurso deverá definir quais diretórios e arquivos serão incluídos no backup, tendo como prioridade:
a) arquivos de configurações de sistemas operacionais e aplicativos instalados em servidores;
b) arquivos de log dos aplicativos, inclusive log da ferramenta de backup e restauração;
c) informações e configurações de banco de dados;
d) conteúdo de repositórios de dados associados a sistemas
e) arquivos institucionais de usuários (documentos e e-mails);
f) arquivos de aplicações desenvolvidas pela ALPHA CONSULTORES ou quaisquer outros não descritos neste, mas que a perda de suas informações gere prejuízo a esta Empresa.
§ 2º O Administrador de Backup ou o Administrador de Recurso que pleiteia a inclusão de um Cliente de Backup deverá definir quais diretórios e arquivos não serão incluídos na rotina, tendo como referência:
a) arquivos do sistema operacional ou de aplicações que podem ser recolocados através de uma nova instalação;
b) arquivos temporários.
§ 3º Para os aplicativos e/ou bancos de dados devem ser seguidas as recomendações sugeridas pelo desenvolvedor e/ou fabricante.
Art. 7º Os procedimentos de backup deverão ser atualizados quando houver:
I – novas aplicações desenvolvidas;
II – novos locais de armazenamento de dados ou arquivos;
III – novas instalações de bancos de dados;
IV – novos aplicativos instalados;
V – outras informações que necessitem de proteção através de backups deverão ser informadas ao Administrador de Backup, pelo Administrador de Recurso.
Art. 8º Para a especificação de um backup, o Administrador de Recurso deverá formalizar chamado técnico através da ferramenta de controle de atendimentos. O chamado deverá conter as informações relativas ao backup, tais como: identificação do servidor e dados a serem incluídos, com base no disposto no Art. 6º. Parágrafo único.
Os procedimentos de backup deverão ser configurados na ferramenta de backup, seguindo as orientações do documento de solicitação de backup; Centro de Processamento de Dados – ALPHA CONSULTORES ASSOCIADOS LTDA. – EPP, localizada na Rua Barbosa da Cunha, 779 – Guanabara – Campinas – SP CNPJ 67.993.907/0001-70 – CRC 2SP016618/O-0
Prazo de retenção
Art. 9º A retenção dos backups deve observar os seguintes prazos:
I – diário: dez últimos dias;
II – semanal: seis últimas semanas;
III – mensal: sessenta últimos meses;
IV – semestral: permanente;
Parágrafo único. Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada ou destruída, observando sempre seu estado de utilização e número de leitura/gravação. A mídia não deverá ultrapassar 30 anos de armazenamento, devendo, nesse caso, ser copiada para outra mídia, destruída de forma segura e descartada em lugar destinado para tal, obedecendo as leis ambientais.
Art. 10. Sempre que necessário deverá ser realizada a atualização das mídias de backup com a finalidade de preservar o acesso aos dados nelas contidas. Procedimentos de backup
Art. 11. A criação e operação dos backups deverão obedecer às seguintes orientações:
I – criação de backups:
a) o backup deverá ser programado para execução automática em horários de menor utilização dos sistemas;
b) o backup, preferencialmente, deverá ser realizado através da rede de backup.
II – operação de backups:
a) o backup deverá ser monitorado pelo Operador;
b) para todos os backups realizados, deve ser gerado um extrato automatizado pela própria ferramenta de backup. Tal extrato deverá ser enviado por e-mail para o Administrador de Backup;
c) para os backups que apresentarem falhas, o Operador deverá criar uma entrada no Relatório citando os clientes de backup e se houve ação corretiva adotada. Competirá ao Administrador de Backup tratar falhas remanescentes.
Art. 12. Os backups deverão ser realizados preferencialmente como disposto a seguir:
I – os backups diários serão executados de segunda à sexta-feira, entre 18h e 6h do dia posterior, em modo incremental;
II – os backups semanais serão executados nos finais de semana, iniciando aos sábados, em modo incremental. Não haverá execução de backup semanal quando coincidir com o backup mensal ou semestral; Centro de Processamento de Dados – ALPHA CONSULTORES ASSOCIADOS LTDA. – EPP, localizada na Rua Barbosa da Cunha, 779 – Guanabara – Campinas – SP CNPJ 67.993.907/0001-70 – CRC 2SP016618/O-0
III – os backups mensais serão executados no primeiro sábado do mês, em modo incremental. Não haverá execução de backup mensal quando coincidir com o backup semestral;
IV – os backups semestrais serão executados no primeiro sábado dos meses de Janeiro e Julho, em modo completo.
V – em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, o Administrador de Backup deverá adotar as providências necessárias para promover a salvaguarda das informações através de outro mecanismo, como por exemplo: nova execução do backup em horário de comercial ou cópia dos dados para outro servidor.
Procedimentos de restauração
Art. 13. A recuperação de backups deverá obedecer às seguintes orientações:
I – A solicitação de recuperação de objetos deverá sempre partir do responsável pelo recurso, através de chamado técnico, utilizando a ferramenta de controle de atendimentos.
II – o chamado técnico deve conter, ao menos, o nome e setor do usuário, o(s) objeto(s) a ser(em) recuperado(s), localização em que se encontra(m), a data da versão que deseja recuperar, local alternativo para o armazenamento do(s) objeto(s) recuperado(s), se for o caso, e a justificativa para recuperação.
III – este chamado será encaminhado ao Administrador de Backup, que após a conclusão da tarefa, realizará o fechamento do chamado indicando a restauração do(s) objeto(s).
IV – A restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup.
Teste de confiança
Art. 14. Os backups mensais e semestrais deverão ser testados quanto à integridade e recuperabilidade dos objetos, de maneira amostral, no prazo máximo de uma semana após a sua execução.
§1º Caso seja detectada falha no backup ou se o mesmo estiver incompleto, novo backup deverá ser executado com vistas ao seu armazenamento.
§2º Para todos os testes realizados deverá ser gerado um relatório que ficará sob guarda do administrador.
Recuperação de desastre
Art. 15. As cópias do tipo Recuperação de Desastres serão feitas com base na replicação das mídias do backup semestral e serão armazenadas em cofre de segurança do CPD e que esteja, preferencialmente, localizado em local remoto. Centro de Processamento de Dados – ALPHA CONSULTORES ASSOCIADOS LTDA. – EPP, localizada na Rua Barbosa da Cunha, 779 – Guanabara – Campinas – SP CNPJ 67.993.907/0001-70 – CRC 2SP016618/O-0
Parágrafo único. A geração das mídias de Recuperação de Desastres ocorrerá após a realização do teste do backup semestral e terá retenção de um semestre.
Art. 16. Quaisquer procedimentos programados nos equipamentos “servidores” e que impliquem riscos ao seu funcionamento ou em quaisquer dispositivos de armazenamento do CPD, somente deverão ser executados após a realização do backup dos seus dados. Descarte das mídias
Art. 17. O descarte das mídias de backup inservíveis ou inutilizáveis deverá ser feito pelo Departamento de Segurança da Informação mediante solicitação do Administrador de Backup.
Parágrafo único. As mídias de backup a serem descartadas deverão ser destruídas de forma a impedir a sua reutilização ou acesso indevido aos dados por pessoas não autorizadas conforme preconiza a Política de Segurança da Informação.
Disposições finais
Art. 18. Esta política será reavaliada a cada 2 (dois) anos ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais.
Art. 19. A implementação dessa política está sujeita a disponibilidade de recursos financeiros e humanos.
Art. 20. Esta política poderá ser complementada por normas e procedimentos específicos.
Art. 21. Casos excepcionais ou não previstos serão tratados pela Direção do Centro de Processamento de Dados