PSeg02 - Norma para Utilização de Recursos Computacionais
Introdução
Este documento visa estabelecer normas gerais de utilização dos recursos computacionais da Universidade de São Paulo, que são destinados exclusivamente à Pesquisa, ao Ensino, à Extensão e às Atividades Administrativas. Os principais usuários desses recursos são os funcionários docentes, não docentes e os alunos da Universidade.
Ele deve complementar e não substituir as portarias já existentes que se apliquem aos recursos computacionais da USP.
O documento ainda servirá de base para a elaboração de normas específicas de serviços (serviço de e-mail, serviço de FTP, etc), que obrigatoriamente seguirão as diretrizes aqui definidas, descrevendo penalidades e/ou responsabilidades para cada caso.
1. Objetivos
Esta norma tem como objetivos:
- Estabelecer regras para a melhor utilização dos recursos computacionais da Universidade;
- Definir responsabilidades e obrigações visando a ética de utilização, mantendo a reputação da Universidade frente às comunidades externas;
- Permitir a otimização dos recursos, através do compartilhamento destes a todos os usuários;
- Manter a integridade, a disponibilidade e a confidencialidade da informação;
- Preservar a propriedade intelectual e os direitos sobre dados;
- Criar penalidades em caso de infração ou uso inadequado dos recursos.
2. Abrangência
Aplica-se esta norma a todos os recursos computacionais oferecidos pela Universidade, sejam eles de hardware ou de software, servindo de base às seguintes normas:
- Norma de uso de contas de correio eletrônico (e-mail);
- Norma de uso de computadores pessoais;
- Norma de uso de serviço de WEB, FTP,TELNET, DNS e SSH;
- Norma de uso de acesso discado;
- Norma de uso das Salas Pró-aluno ou de Usuários;
- Norma de uso de Computadores Móveis;
- Norma de uso da Rede;
- Norma de uso de Wireless;
- Norma de uso de xDSL.
3. Regras e diretrizes gerais para serviços
- A utilização de qualquer serviço deve ser norteada por um documento denominado norma de uso do serviço.
- A norma de uso do serviço deve especificar o público alvo do serviço.
- As instruções de funcionamento, bem como as limitações de um serviço devem ser fornecidas a seus usuários.
- A norma de uso do serviço deve estipular penalidades que deverão ser aplicadas em caso de desvio na sua utilização.
- A forma de divulgação das instruções e das penalidades dependerá do tipo de serviço. Recomenda-se, todavia, que para serviços disponíveis em sala de usuários ou de alunos, as instruções e penalidades sejam afixadas em locais acessíveis das salas, de forma clara e objetiva. Para serviços de Internet as informações podem ser disponibilizadas na forma on-line.
- A norma de uso do serviço deve definir regras de controle de acesso ao serviço.
- A norma de uso do serviço deve definir um mecanismo de registro de acesso ao serviço (log).
- Serviços cuja informação é classificada como privativa e/ou confidencial devem fornecer métodos seguros de autenticação e autorização validados pelos órgãos centrais de administração de informática da Universidade.
- Deverá ser disponibilizado um telefone e/ou e-mail para suporte aos usuários do serviço.
- Todo serviço deverá ter um administrador ou contato para ser acionado pelos Centros de Informática em casos de incidentes de segurança ou de outros motivos relacionados ao serviço.
- Todo usuário que se utiliza de algum recurso computacional deverá obrigatoriamente possuir uma conta de correio eletrônico em servidores de domínio ou sub-domínio da Universidade.
4. Regras e diretrizes gerais para usuários
O usuário deve conhecer as instruções, regras e penalidades de funcionamento do serviço que ele esteja usando, devendo ainda:
- Conhecer a Portaria GR 3082, de 06./10/1997, que estabelece os "Princípios Éticos de Computadores na USP".
- Não se fazer passar por outra pessoa ou dissimular sua identidade quando utilizar os recursos computacionais, exceto em casos em que o acesso anônimo é explicitamente permitido.
- Responsabilizar-se pela sua identidade eletrônica, senha, credenciais de autenticação, autorização ou outro dispositivo de segurança, negando revelá-la a terceiros.
- Se titular da conta, responder pelo mau uso dos recursos computacionais em qualquer circunstância.
- Responder por atos que violem as regras de uso dos recursos computacionais, estando, portanto, sujeito às penalidades definidas na política de uso desses recursos e também, se for o caso, às penalidades impostas por outras instâncias (Estatuto da USP, leis estaduais e federais).
- O usuário deve manter seus computadores pessoais com software (patches, erratas) e com antivírus atualizados, conforme orientação do administrador de rede.
- Se necessário, os usuários devem procurar o administrador de rede para esclarecimentos.
5. Regras e diretrizes gerais referentes ao Administrador
As pessoas envolvidas no projeto, implementação e operação do serviço devem estar cientes da Política de Uso do Serviço, não podendo alegar desconhecimento.
Assim, cabe ao administrador:
- Cumprir as regras e diretrizes definidas neste documento.
- Preservar a integridade e a segurança dos sistemas.
- Manter os registros e logs de utilização dos serviços.
- Armazenar registros em outro computador, além do que hospeda o serviço, ou ainda offline (fita, cd-rom).
- Manter registros por um período mínimo de 3 anos nos casos de acesso a Internet.
- Fornecer registros e logs somente à administração central de informática da Universidade, ou a quem ela indicar.
- Acessar os arquivos dos usuários somente quando for indispensável para manutenção do sistema ou em casos de falhas de segurança.
- Manter o sincronismo NTP em servidores responsáveis pelo fornecimento de serviço.
- Atualizar os sistemas aplicando mecanismos de correção (patches).
- Informar aos usuários sobre os mecanismos de correção de vulnerabilidades recomendáveis.
- Participar da lista de discussão dos administradores de rede da USP.
- Acessar as páginas de segurança mantidas pela administração centralizada de informática da Universidade ou pelos Centros de Informática.
- Utilizar ferramentas apropriadas para acesso aos servidores de serviços.
- Gerenciar adequadamente os privilégios de usuários, as senhas de usuários, os procedimentos de logon (shell scripts), de desconexão de usuários por inatividade e de política de troca de senha.
- No caso de um incidente, identificar as pessoas responsáveis, notificando o Centro de Informática local e o CSIRT USP.
- Conhecer a Portaria GR 3082, de 06/10/1997, que estabelece os "Princípios Éticos de Computadores na USP".
- Interagir com os Centros de Informática para troca de conhecimentos sobre ferramentas apropriadas a serem utilizadas para segurança e gerenciamento dos serviços.
6. Violação das regras
Considera-se violação das regras o seguinte:
- Mostrar, armazenar ou transmitir texto, imagens ou sons que possam ser considerados ofensivos ou abusivos;
- Efetuar ou tentar qualquer tipo de acesso não autorizado aos recursos computacionais da Universidade;
- Utilizar os recursos computacionais da Universidade para acesso não autorizado a recursos de terceiros;
- Violar ou tentar violar os sistemas de segurança, quebrando ou tentando adivinhar a identidade eletrônica de outro usuário, senhas ou outros dispositivos de segurança, interferindo em fechaduras automáticas ou sistemas de alarme;
- Interceptar ou tentar interceptar a transmissão de dados através de monitoração, exceto quando autorizado explicitamente pelo superior hierárquico, com prévio conhecimento do Centro de Informática local.
- Provocar interferência em serviços de outros usuários ou o seu bloqueio, provocando congestionamento da rede de dados, inserindo vírus ou tentando a apropriação indevida dos recursos computacionais da Universidade.
- Desenvolver, manter, utilizar ou divulgar dispositivos que possam causar danos aos sistemas e às informações armazenadas, tais como criação e propagação de vírus e worms, criação e utilização de sistemas de criptografia que causem ou tentem causar a indisponibilidade dos serviços e/ou destruição de dados, e ainda, engajar-se em ações que possam ser caracterizadas como violação da segurança computacional.
- Utilizar os recursos computacionais da Universidade para atividades direta ou indiretamente relacionadas a fabricação ou testes de armas nucleares, químicas e biológicas.
- Utilizar os recursos computacionais da Universidade para fins comerciais ou políticos, tais como mala direta ou propaganda política.
- Utilizar os recursos computacionais da Universidade para ganho indevido.
- Utilizar os recursos computacionais da Universidade para intimidar, assediar, difamar ou aborrecer qualquer pessoa.
- Consumir inutilmente os recursos computacionais da Universidade de forma intencional.
6.1 Distribuição de informação imprópria
O usuário ou administrador não pode transmitir, difundir ou disponibilizar a terceiros, informações, dados, conteúdos, mensagens, gráficos, desenhos, arquivos e som e/ou imagem, fotografias, gravações, software ou qualquer classe de material que de qualquer forma:
- contrariem, menosprezem ou atentem contra os direitos fundamentais e as liberdades públicas reconhecidas constitucionalmente, nos tratados internacionais e no ordenamento jurídico como um todo;
- induzam, incitem ou promovam atos ilegais, denegridores, difamatórios, infames, violentos ou, em geral, contrários à lei, à moral e aos bons costumes geralmente aceitos ou à ordem pública;
- induzam, incitem ou promovam atos, atitudes ou idéias discriminatórias por causa de sexo, raça, religião, crenças, idade ou condição;
- incorporem, ponham à disposição ou permitam acessar produtos, elementos, mensagens e/ou serviços ilegais, violentos, pornográficos, degradantes ou, em geral, contrários à lei, à moral e aos bons costumes geralmente aceitos ou à ordem pública;
- induzam ou possam induzir a um estado inaceitável de ansiedade ou temor;
- induzam ou incitem a envolver-se em práticas perigosas, de risco ou nocivas à saúde ou equilíbrio psíquico;
- sejam falsos, ambíguos, inexatos, exagerados ou extemporâneos, de forma que possam induzir a erro sobre seu objeto ou sobre as intenções ou propósitos do comunicante; sejam protegidos por quaisquer direitos de propriedade intelectual ou industrial pertencentes a terceiros, sem que o Usuário tenha obtido previamente dos seus titulares a autorização necessária para levar a cabo o uso que efetuar ou pretender efetuar; transgridam os segredos empresariais de terceiros;
- sejam contrários ao direito de honra, à intimidade pessoal e familiar ou à própria imagem das pessoas;
- infrinjam as normas sobre segredo das comunicações;
- constituam publicidade ilícita, enganosa ou desleal e, em geral, que constituam concorrência desleal;
- incorporem vírus ou outros elementos físicos ou eletrônicos que possam causar dano ou impedir o normal funcionamento da rede, do sistema ou de equipamentos de informática (hardware e software) de terceiros, ou que possam causar dano aos documentos eletrônicos e arquivos armazenados nestes equipamentos;
- provoquem, por suas características, dificuldades no normal funcionamento do Serviço;
- permitam a tentativa de acesso, ou o acesso a máquinas não autorizadas;
- permitam a tentativa de quebra, ou a quebra de sigilo de códigos alheios, o acesso e modificação de arquivos pertencentes a outros usuários sem a sua autorização;
7. Penalidades
O usuário é responsável por qualquer atividade a partir de sua conta e também por seus atos no uso dos recursos computacionais oferecidos. Assim, o mesmo responderá por qualquer ação legal apresentada à Universidade e que o envolva.
No caso de violação às normas, cabe à Comissão instituída analisar e sugerir a penalidade, com notificação formal ao órgão competente (Seção de Alunos, Diretoria ou Prefeitura), conforme documento "PSeg00 Política de Segurança da USPnet".