PSeg13 - Norma para Serviços e Servidores WWW
Introdução
Nesta norma estão definidas as diretrizes que devem ser observadas na utilização de sistemas WWW dentro da Universidade de São Paulo.
Por sistemas WWW entende-se sistemas, programas e servidores que se utilizam do protocolo HTTP e variantes (por exemplo, HTTPS) para funcionar.
Também são do escopo desse documento sistemas do tipo "proxy" e "web cache".
1. Objetivos
Esse documento tem como objetivo principal estabelecer diretrizes para um bom funcionamento dos sistemas WWW da Universidade, tendo em vista os objetivos definidos pela Política de Segurança.
2. Abrangência
Esta norma tem abrangência para toda a Universidade.
3. Regras e Diretrizes Gerais
Por Administrador de um servidor WWW entende-se a pessoa e/ou equipe que é responsável pela instalação e configuração do software que estará disponibilizando conteúdo WWW.
Por Administrador de um serviço WWW entende-se a pessoa e/ou equipe responsável pelo fornecimento do conteúdo WWW.
3.1 Regras e Diretrizes Referentes ao Administrador de serviços WWW
- Seguir as diretrizes definidas pela CCI que se referem a serviços WWW, como por exemplo, a "Resolução sobre Propagandas na WWW da USP".
- Não disponibilizar dados de uma pessoa na WWW sem o prévio consentimento desta. Particular atenção deve ser dada a endereços de e-mail, que uma vez publicados, podem servir de alvo para o envio de spam.
- Observar todos os direitos autorais e de propriedade intelectual ao publicar algo na WWW.
- Serviços WWW que coletam dados através de formulários e/ou cookies devem apresentar aos mesmos informações sobre como a informação será tratada e armazenada pelo sistema.
- Serviços WWW que coletam endereços de e-mail para envio de mensagens aos usuários (por exemplo, uma newsletter) devem fornecer um método para que o usuário possa remover seu endereço do cadastro caso não deseje mais receber as mensagens. A instrução de como fazer esse descadastramento deve aparecer na página WWW e na mensagem enviada por e-mail. A mensagem deve ser enviada com um endereço válido de retorno, e o Administrador deve verificar periodicamente esse endereço para excluir endereços de usuários inválidos ou que não existam mais.
3.2 Referentes ao Administrador de servidores WWW
3.2.1 Deveres
- Proteger de forma adequada o conteúdo fornecido, seja configurando adequadamente as permissões do sistema de arquivos (file-system) onde os dados se encontram, seja provendo mecanismos de acesso do tipo user/password, ou mesmo fornecendo acesso criptografado aos dados.
- Ter cuidado ao configurar proxies WWW, pois um proxy mal configurado pode ser utilizado para envio de spam (open proxy).
3.2.2 Recomendação
Recomenda-se que os servidores WWW só ofereçam esse serviço.
3.3 Recomendações para o Usuário
- Evitar o uso do browser WWW para finalidades que não sejam de interesse da Universidade.
- Evitar o fornecimento de dados pessoais em sites WWW, pois essas informações podem ser utilizadas para finalidades indevidas, como o envio de propaganda ou spam.