PSeg02 - Norma para Utilização de Recursos Computacionais

Introdução

Este documento visa estabelecer normas gerais de utilização dos recursos computacionais da Universidade de São Paulo, que são destinados exclusivamente à Pesquisa, ao Ensino, à Extensão e às Atividades Administrativas. Os principais usuários desses recursos são os funcionários docentes, não docentes e os alunos da Universidade.

Ele deve complementar e não substituir as portarias já existentes que se apliquem aos recursos computacionais da USP.

O documento ainda servirá de base para a elaboração de normas específicas de serviços (serviço de e-mail, serviço de FTP, etc), que obrigatoriamente seguirão as diretrizes aqui definidas, descrevendo penalidades e/ou responsabilidades para cada caso.

1. Objetivos

Esta norma tem como objetivos:

• Estabelecer regras para a melhor utilização dos recursos computacionais da Universidade;
• Definir responsabilidades e obrigações visando a ética de utilização, mantendo a reputação da Universidade frente às comunidades externas;
• Permitir a otimização dos recursos, através do compartilhamento destes a todos os usuários;
• Manter a integridade, a disponibilidade e a confidencialidade da informação;
• Preservar a propriedade intelectual e os direitos sobre dados;
• Criar penalidades em caso de infração ou uso inadequado dos recursos.

2. Abrangência

Aplica-se esta norma a todos os recursos computacionais oferecidos pela Universidade, sejam eles de hardware ou de software, servindo de base às seguintes normas:

• Norma de uso de contas de correio eletrônico (e-mail);
• Norma de uso de computadores pessoais;
• Norma de uso de serviço de WEB, FTP,TELNET, DNS e SSH;
• Norma de uso de acesso discado;
• Norma de uso das Salas Pró-aluno ou de Usuários;
• Norma de uso de Computadores Móveis;
• Norma de uso da Rede;
• Norma de uso de Wireless;
• Norma de uso de xDSL.

3. Regras e diretrizes gerais para serviços

• A utilização de qualquer serviço deve ser norteada por um documento denominado norma de uso do serviço.
• A norma de uso do serviço deve especificar o público alvo do serviço.
• As instruções de funcionamento, bem como as limitações de um serviço devem ser fornecidas a seus usuários.
• A norma de uso do serviço deve estipular penalidades que deverão ser aplicadas em caso de desvio na sua utilização.
• A forma de divulgação das instruções e das penalidades dependerá do tipo de serviço. Recomenda-se, todavia, que para serviços disponíveis em sala de usuários ou de alunos, as instruções e penalidades sejam afixadas em locais acessíveis das salas, de forma clara e objetiva. Para serviços de Internet as informações podem ser disponibilizadas na forma on-line.
• A norma de uso do serviço deve definir regras de controle de acesso ao serviço.
• A norma de uso do serviço deve definir um mecanismo de registro de acesso ao serviço (log).
• Serviços cuja informação é classificada como privativa e/ou confidencial devem fornecer métodos seguros de autenticação e autorização validados pelos órgãos centrais de administração de informática da Universidade.
• Deverá ser disponibilizado um telefone e/ou e-mail para suporte aos usuários do serviço.
• Todo serviço deverá ter um administrador ou contato para ser acionado pelos Centros de Informática em casos de incidentes de segurança ou de outros motivos relacionados ao serviço.
• Todo usuário que se utiliza de algum recurso computacional deverá obrigatoriamente possuir uma conta de correio eletrônico em servidores de domínio ou sub-domínio da Universidade.

4. Regras e diretrizes gerais para usuários

O usuário deve conhecer as instruções, regras e penalidades de funcionamento do serviço que ele esteja usando, devendo ainda:

• Conhecer a Portaria GR 3082, de 06./10/1997, que estabelece os "Princípios Éticos de Computadores na USP".
• Não se fazer passar por outra pessoa ou dissimular sua identidade quando utilizar os recursos computacionais, exceto em casos em que o acesso anônimo é explicitamente permitido.
• Responsabilizar-se pela sua identidade eletrônica, senha, credenciais de autenticação, autorização ou outro dispositivo de segurança, negando revelá-la a terceiros.
• Se titular da conta, responder pelo mau uso dos recursos computacionais em qualquer circunstância.
• Responder por atos que violem as regras de uso dos recursos computacionais, estando, portanto, sujeito às penalidades definidas na política de uso desses recursos e também, se for o caso, às penalidades impostas por outras instâncias (Estatuto da USP, leis estaduais e federais).
• O usuário deve manter seus computadores pessoais com software (patches, erratas) e com antivírus atualizados, conforme orientação do administrador de rede.
• Se necessário, os usuários devem procurar o administrador de rede para esclarecimentos.

5. Regras e diretrizes gerais referentes ao Administrador

As pessoas envolvidas no projeto, implementação e operação do serviço devem estar cientes da Política de Uso do Serviço, não podendo alegar desconhecimento.

Assim, cabe ao administrador:

• Cumprir as regras e diretrizes definidas neste documento.
• Preservar a integridade e a segurança dos sistemas.
• Manter os registros e logs de utilização dos serviços.
• Armazenar registros em outro computador, além do que hospeda o serviço, ou ainda offline (fita, cd-rom).
• Manter registros por um período mínimo de 3 anos nos casos de acesso a Internet.
• Fornecer registros e logs somente à administração central de informática da Universidade, ou a quem ela indicar.
• Acessar os arquivos dos usuários somente quando for indispensável para manutenção do sistema ou em casos de falhas de segurança.
• Manter o sincronismo NTP em servidores responsáveis pelo fornecimento de serviço.
• Atualizar os sistemas aplicando mecanismos de correção (patches).
• Informar aos usuários sobre os mecanismos de correção de vulnerabilidades recomendáveis.
• Participar da lista de discussão dos administradores de rede da USP.
• Acessar as páginas de segurança mantidas pela administração centralizada de informática da Universidade ou pelos Centros de Informática.
• Utilizar ferramentas apropriadas para acesso aos servidores de serviços.
• Gerenciar adequadamente os privilégios de usuários, as senhas de usuários, os procedimentos de logon (shell scripts), de desconexão de usuários por inatividade e de política de troca de senha.
• No caso de um incidente, identificar as pessoas responsáveis, notificando o Centro de Informática local e o CSIRT USP.
• Conhecer a Portaria GR 3082, de 06/10/1997, que estabelece os "Princípios Éticos de Computadores na USP".
• Interagir com os Centros de Informática para troca de conhecimentos sobre ferramentas apropriadas a serem utilizadas para segurança e gerenciamento dos serviços.

6. Violação das regras

Considera-se violação das regras o seguinte:

• Mostrar, armazenar ou transmitir texto, imagens ou sons que possam ser considerados ofensivos ou abusivos;
• Efetuar ou tentar qualquer tipo de acesso não autorizado aos recursos computacionais da Universidade;
• Utilizar os recursos computacionais da Universidade para acesso não autorizado a recursos de terceiros;
• Violar ou tentar violar os sistemas de segurança, quebrando ou tentando adivinhar a identidade eletrônica de outro usuário, senhas ou outros dispositivos de segurança, interferindo em fechaduras automáticas ou sistemas de alarme;
• Interceptar ou tentar interceptar a transmissão de dados através de monitoração, exceto quando autorizado explicitamente pelo superior hierárquico, com prévio conhecimento do Centro de Informática local.
• Provocar interferência em serviços de outros usuários ou o seu bloqueio, provocando congestionamento da rede de dados, inserindo vírus ou tentando a apropriação indevida dos recursos computacionais da Universidade.
• Desenvolver, manter, utilizar ou divulgar dispositivos que possam causar danos aos sistemas e às informações armazenadas, tais como criação e propagação de vírus e worms, criação e utilização de sistemas de criptografia que causem ou tentem causar a indisponibilidade dos serviços e/ou destruição de dados, e ainda, engajar-se em ações que possam ser caracterizadas como violação da segurança computacional.
• Utilizar os recursos computacionais da Universidade para atividades direta ou indiretamente relacionadas a fabricação ou testes de armas nucleares, químicas e biológicas.
• Utilizar os recursos computacionais da Universidade para fins comerciais ou políticos, tais como mala direta ou propaganda política.
• Utilizar os recursos computacionais da Universidade para ganho indevido.
• Utilizar os recursos computacionais da Universidade para intimidar, assediar, difamar ou aborrecer qualquer pessoa.
• Consumir inutilmente os recursos computacionais da Universidade de forma intencional.

 

6.1 Distribuição de informação imprópria

O usuário ou administrador não pode transmitir, difundir ou disponibilizar a terceiros, informações, dados, conteúdos, mensagens, gráficos, desenhos, arquivos e som e/ou imagem, fotografias, gravações, software ou qualquer classe de material que de qualquer forma:

• contrariem, menosprezem ou atentem contra os direitos fundamentais e as liberdades públicas reconhecidas constitucionalmente, nos tratados internacionais e no ordenamento jurídico como um todo;
• induzam, incitem ou promovam atos ilegais, denegridores, difamatórios, infames, violentos ou, em geral, contrários à lei, à moral e aos bons costumes geralmente aceitos ou à ordem pública;
• induzam, incitem ou promovam atos, atitudes ou idéias discriminatórias por causa de sexo, raça, religião, crenças, idade ou condição;
• incorporem, ponham à disposição ou permitam acessar produtos, elementos, mensagens e/ou serviços ilegais, violentos, pornográficos, degradantes ou, em geral, contrários à lei, à moral e aos bons costumes geralmente aceitos ou à ordem pública;
• induzam ou possam induzir a um estado inaceitável de ansiedade ou temor;
• induzam ou incitem a envolver-se em práticas perigosas, de risco ou nocivas à saúde ou equilíbrio psíquico;
• sejam falsos, ambíguos, inexatos, exagerados ou extemporâneos, de forma que possam induzir a erro sobre seu objeto ou sobre as intenções ou propósitos do comunicante; sejam protegidos por quaisquer direitos de propriedade intelectual ou industrial pertencentes a terceiros, sem que o Usuário tenha obtido previamente dos seus titulares a autorização necessária para levar a cabo o uso que efetuar ou pretender efetuar; transgridam os segredos empresariais de terceiros;
• sejam contrários ao direito de honra, à intimidade pessoal e familiar ou à própria imagem das pessoas;
• infrinjam as normas sobre segredo das comunicações;
• constituam publicidade ilícita, enganosa ou desleal e, em geral, que constituam concorrência desleal;
• incorporem vírus ou outros elementos físicos ou eletrônicos que possam causar dano ou impedir o normal funcionamento da rede, do sistema ou de equipamentos de informática (hardware e software) de terceiros, ou que possam causar dano aos documentos eletrônicos e arquivos armazenados nestes equipamentos;
• provoquem, por suas características, dificuldades no normal funcionamento do Serviço;
• permitam a tentativa de acesso, ou o acesso a máquinas não autorizadas;
• permitam a tentativa de quebra, ou a quebra de sigilo de códigos alheios, o acesso e modificação de arquivos pertencentes a outros usuários sem a sua autorização;

7. Penalidades

O usuário é responsável por qualquer atividade a partir de sua conta e também por seus atos no uso dos recursos computacionais oferecidos. Assim, o mesmo responderá por qualquer ação legal apresentada à Universidade e que o envolva.

No caso de violação às normas, cabe à Comissão instituída analisar e sugerir a penalidade, com notificação formal ao órgão competente (Seção de Alunos, Diretoria ou Prefeitura), conforme documento "PSeg00 Política de Segurança da USPnet".