Com o PIX, o celular se tornou o preferido dos ladrões e assassinos

Desde que o PIX entrou em vigência, em novembro de 2020, os casos de sequestros-relâmpagos e de latrocínios, ou roubo seguido de morte, só aumentaram. Estima-se que, atualmente, há o dobro de ocorrências registradas.

Isso porque ficou muito fácil coagir um indivíduo a transferir todo o dinheiro que possui para outra conta. Afinal, todo mundo tem um aplicativo de banco instalado no celular.

Na maioria dos casos, os correntistas são vítimas de quadrilhas formadas por criminosos altamente especializados. Eles escolhem as pessoas, estudam suas rotinas, horários e comportamentos. Depois abordam, sequestram e coagem. No grupo há os especialistas em tecnologia e os laranjas que alugam suas contas bancárias para a recepção do dinheiro roubado.

Quem pensa que a transferência para uma conta bancária facilita a identificação dos criminosos está enganado. Normalmente, são contas falsas abertas em bancos digitais que fazem todo o processo de adesão pelo próprio celular, sem a necessidade da presença do novo correntista.

O presidente do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Sigilo), Victor Hugo Pereira Gonçalves, lembra que é muito difícil um banco ressarcir o cliente em caso de seu dinheiro ser transferido para a conta corrente de criminosos. “Depende de cada banco ou de cada caso. Tecnologicamente, o PIX é uma grande evolução, mas o Banco Central falhou ao não prever que ocorrências desse tipo seriam comuns. É uma situação grave porque envolve não só o dinheiro, mas também a integridade física ou mesmo a vida dos cidadãos”.

Há dois anos, Gonçalves vem alertando a sociedade sobre os riscos de segurança que o PIX e os aplicativos bancários para celular trariam à sociedade. A aceitação pelo Banco Central (BC) das redes sociais Whatsapp e Facebook Pay como meios de pagamento só pioraram a situação, porque o público-alvo dos ladrões foi ampliado. “De posse do dispositivo móvel, os criminosos e até mesmo familiares mal intencionados têm acesso a dados particulares e também à conta bancária de suas vítimas”.

Para coibir a prática e proteger os correntistas, o BC está aprimorando os mecanismos de segurança do PIX. Inovações como bloqueio cautelar, que possibilita à instituição financeira bloquear os recursos transferidos por até 72h, sempre que houver indício de fraude na operação, é uma delas. Uma funcionalidade hoje facultativa, a notificação de infração passará a ser obrigatória. Outros mecanismos de proteção estão sendo criados e haverá ampliação da responsabilidade das instituições.

Mas tanto o presidente do Sigilo quanto especialistas em tecnologia não acreditam que essas medidas serão capazes de reduzir o número de crimes em função do PIX. Gonçalves aponta que o primeiro problema no uso diário do sistema é que ele pressupõe que todos os usuários possuem condições sociais, culturais e educacionais para lidarem efetivamente com as políticas de segurança de informação e privacidade recomendadas pelas instituições financeiras.

“É comum uma mãe pedir auxílio aos seus familiares para fazer algum tipo de pagamento ou transferência. Ou seja, só com esse exemplo podemos concluir que o não compartilhamento de senhas é uma quimera em situações comunitárias conhecidas no Brasil. O primeiro protocolo de segurança quebrado é exatamente esse. E mesmo que seja alguém muito consciente, quem negaria a senha diante de uma arma apontada para a cabeça?

Como as regras e os meios de segurança são incipientes para proteger os consumidores, a melhor forma de evitar ser sequestrado por alguém que deseja usar seu celular para esvaziar sua conta bancária é se prevenir. Veja abaixo algumas dicas do Instituto Sigilo, que podem ajudá-lo a proteger seus recursos financeiros.

– Os aplicativos de banco possibilitam que o usuário defina um valor máximo diário para transferência. Limite a pequenas quantias diárias.

– Se você tem alguma aplicação (poupança, CDB, etc.), não a deixe em baixa automática, pois isso torna mais fácil para o criminoso desviar todas as suas economias, além do que está na conta corrente.

– Não use uma única senha para tudo. Tenha uma senha para cada aplicativo.

– Não deixe os ícones dos aplicativos bancários na tela principal do celular. Deixá-los escondidos torna mais difícil para os ladrões encontrarem.

– Não deixe seu celular à mostra. Na rua, mantenha-o guardado e só o utilize quando estiver em um lugar seguro. Lembre-se, os criminosos contam com observadores nas ruas.

– Nem sempre o desvio de dinheiro é feito por criminosos. Familiares e amigos próximos podem se aproveitar da acessibilidade ao seu dispositivo móvel. Por isso, nunca compartilhe sua senha com outra pessoa.

– Se mesmo assim, seu celular for roubado, avise o quanto antes a operadora de telefonia, para que o aparelho seja bloqueado.

– Faça um boletim de ocorrência, pois isso o ajudará na batalha para ser ressarcido pelo seu banco.

Cerca de 1.400.000 entregadores e motoristas no Brasil estão na gig economy

Segundo o Instituto de Pesquisa Econômica Aplicada (Ipea), aproximadamente 1.400.000 de trabalhadores em atividade no setor de transporte de passageiros e de mercadorias no Brasil estão inseridos na chamada gig economy, termo que caracteriza relações laborais entre funcionários e empresas que contratam mão de obra para realizar serviços esporádicos e sem vínculo empregatício (tais como freelancers e autônomos), principalmente por meio de aplicativos.

O termo gig é um jargão, transladado da história da música norte-americana, utilizado desde o início do século XX para nomear os shows das bandas em datas específicas, geralmente nos fins de semana, e os músicos ficavam o restante da semana sem apresentação. No campo econômico, a gig economy também é conhecida como freelance economy ou mesmo economy on demand e caracteriza as relações laborais entre trabalhadores e empresas que contratam essa mão de obra para a realização de serviços esporádicos e, portanto, sem vínculo empregatício (tais como freelancers e autônomos).

Há um crescente uso das plataformas por aplicativos, como exemplo pode-se citar a ascensão do Uber, entre outros. De fato, percebe-se que um número maior de pessoas com empregos não tradicionais (como autônomos e trabalhadores temporários) tem crescido continuamente devido ao avanço tecnológico que facilita mais contratações de curto prazo.

A gig economy relacionada aos habilitados para aplicativos cresceu exponencialmente nos últimos anos, em que os empregos temporários por aplicativos servem como uma rede de segurança em tempos de crise econômica. As pessoas empregadas na Gig economy fornecem um serviço (como uma entrega para viagem ou uma corrida de táxi) sob demanda, por meio de uma plataforma ou um aplicativo (como Uber, inDriver ou 99) que conecta diretamente os consumidores com esses ofertantes, os quais são remunerados por cada rodada de serviços, cada show, que prestam, em vez de um salário fixo.

Dessa forma, o conceito de gig economy abarca as diversas formas de trabalho alternativo, englobando desde a prestação por serviços por aplicativos até o trabalho de freelancers, podendo ser pensado como um arranjo alternativo de emprego. Basicamente, pode-se supor que a gig economy possui estas características: ausência de vínculo formal na relação de trabalho (como a carteira de trabalho assinada); possibilidade de prestação de serviços para vários demandantes; e jornada esporádica de trabalho.

Até 31% do total estimado de 4.400.000 de pessoas alocadas no setor de transporte, armazenagem e correio no país estão nesse tipo de relação de trabalho. Os dados coletados mostram que, no primeiro trimestre de 2016, o número de pessoas ocupadas no transporte de passageiros na gig economy era de cerca de 840.000. No primeiro trimestre de 2018, esse quantitativo atingiu 1.000.000 de trabalhadores e chegou ao ápice no terceiro trimestre de 2019, com 1.300.000 de pessoas. Em 2020, houve uma redução, mas o número logo se estabilizou nos dois primeiros trimestres de 2021 em 1.100.000 de pessoas ocupadas em transporte de passageiros no regime de conta própria, valor 37% superior ao do início da série, em 2016.

Já para o transporte de mercadorias na gig economy, o número passou de 30.000 trabalhadores em 2016 para 278.000 no segundo trimestre de 2021, uma expansão de 979,8% no período. Além disso, a pesquisa do Ipea mostrou que, em média, entre o primeiro trimestre de 2016 e o segundo de 2021, 5% das pessoas ocupadas nas atividades de transporte de passageiros e de mercadorias, por conta própria, o faziam como um trabalho secundário.

O ápice dessa porcentagem foi no terceiro trimestre de 2019, antes da pandemia, quando 7,4% dos trabalhadores faziam dupla jornada com outra ocupação principal. Com a ascensão das plataformas de aplicativos para entregas de mercadorias ou transporte de passageiros e o consequente avanço tecnológico que facilita mais contratações de curto prazo, é possível perceber que a quantidade de pessoas com empregos não tradicionais (como autônomos e trabalhadores temporários) teve um crescimento exponencial nos últimos anos.

Dessa forma, a chamada explosão dos aplicativos de transportes permitiu o surgimento de uma gig economy por meio de tais plataformas digitais, que contribuíram para uma transformação no mercado de trabalho pela substituição de empregos em locais e horários fixos por formas mais flexíveis, com trabalhos sob demanda e remuneração por serviços.

Por que a excelência em serviço é fundamental no mundo atual?

Antes, o atendimento de excelência era a marca registrada de uma experiência de luxo – desejada pelas pessoas e oferecida por algumas empresas para os consumidores de alto poder aquisitivo. Hoje, é um aspecto do setor de serviços que passou a ser esperado pelos clientes e, com isso, todas as empresas do setor de serviços têm afirmado sua adesão à excelência em serviços. Isso não se trata apenas de fornecer serviços de luxo pois, por definição, a excelência de serviço se refere à capacidade dos fornecedores de serviço em atender consistentemente e, ocasionalmente, até mesmo exceder às expectativas dos clientes. Isso implica que o verdadeiro significado de serviço excelente é relativo ao serviço em si e às expectativas dos clientes sobre ele, ou seja, um serviço excelente é a chave para alcançar uma excelente experiência do cliente, o que leva ao deleite do cliente. Construir um relacionamento melhor e contínuo com os clientes por meio de um atendimento de excelência diferencia a organização de seus concorrentes. Atualmente, 72% dos clientes compartilhariam uma boa experiência com seis ou mais pessoas. No mundo do marketing boca-a-boca, esse é um número imenso, pois 74% dos consumidores consideram essa prática como influenciadora-chave em suas decisões de compra. Portanto, como as análises e recomendações online de amigos e familiares reinam supremas nesta era de conversação digital, o design de serviço adequado e a entrega da experiência do cliente se tornaram mais cruciais do que nunca para a lucratividade de longo prazo de uma empresa de serviços. As expectativas dos clientes no mundo competitivo de hoje mudaram e estão em constante evolução e crescimento. Para manter e aumentar sua base de clientes, as organizações devem criar experiências de cliente melhores e mais diferenciadas. Por isso, é essencial que as organizações entendam as expectativas, as necessidades, os desejos, os problemas e as experiências dos clientes. Eles podem ser usados como entradas para o design do serviço. O fornecedor de serviços faz propostas de valor com o objetivo de criar resultados valiosos para o cliente. O valor também pode ser criado por meio da experiência e do feedback do cliente, e os benefícios são percebidos tanto pelo fornecedor de serviços quanto pelo cliente. O aumento do uso da internet e das tecnologias sensoriais e digitais está incentivando esse processo de criação.

Quando os clientes avaliam um produto ou serviço, eles comparam sua percepção com o produto ou serviço efetivamente entregue ao que acham que deveria ser. Esse processo geralmente é feito em um nível subconsciente. Por isso, as organizações que buscam oferecer excelência em serviços entendem as necessidades, expectativas e psicologia básica de seus clientes, e trabalham continuamente na avaliação e evolução de seus processos, em todos os departamentos, a fim de superar essas necessidades e expectativas.

As empresas de sucesso se envolvem proativamente com os clientes, não apenas para fornecer um serviço excepcional, mas para receber seus comentários sobre o desenvolvimento e a melhoria dos produtos ou serviços. Elas possuem um sistema abrangente para receber esse feedback e capacitam seus funcionários a operar de forma autônoma no cumprimento de suas funções de atendimento ao cliente, bem como na resolução de conflitos ou reclamações.

A articulação do objetivo e dos padrões de serviço de uma empresa é o primeiro passo para determinar o nível de excelência de serviço e, portanto, as áreas descritas a seguir devem ser abordadas. Deve-se incluir as atividades de pesquisa de satisfação do cliente e os processos que são usados para comunicar e utilizar seus resultados no que diz respeito a melhorar a experiência do cliente e as linhas de produtos e/ou serviços. Relacionar o desempenho do serviço ao cliente da organização e como ele mudou ao longo do tempo. Uma pergunta deve ser feita: a cultura da organização é centrada no cliente? A definição de excelência no atendimento ao cliente é declarada, mas e as características que a explicam?

Pode-se listar no que consiste m excelente serviço ao cliente: atender às expectativas do cliente, exceder as expectativas do cliente, buscar a personalização do atendimento ao cliente de acordo com as necessidades do seu público-alvo, resolver qualquer problema em tempo hábil com respostas rápidas, responder a qualquer pergunta, reconhecer quando o cliente precisa de ajuda (usar chatbots e gatilhos são úteis para esta parte), mostrar uma atitude positiva, mesmo quando surgem algumas reclamações, ser criativo na resolução de problemas.

No processo de atendimento ao cliente e alcançar a excelência, pode-se seguir algumas dicas que podem ajudar:

– Conheça sua marca e seu produto – As pessoas de atendimento ao cliente precisam ser informadas sobre a empresa e o produto. O conhecimento extensivo é uma obrigação. Essa é a única maneira de garantir que os clientes receberão respostas aceitáveis.

– Tenha uma página de perguntas comuns visível (frequently asked questions – FAQ) – Crie uma página com as perguntas mais comuns para oferecer aos clientes uma solução rápida. Os clientes ficarão gratos por isso, pois 71% deles desejam a capacidade de resolver problemas de atendimento ao cliente por conta própria. A página deve ser colocada em uma página visível. As respostas precisam ser bem escritas, então verifique a lista dos principais escritores e escolha um serviço de redação que possa ajudá-lo.

– Trate os clientes como indivíduos – Isso pode ser alcançado personalizando a abordagem. Com a introdução da inteligência artificial (IA) e dos chatbots, o atendimento ao cliente pode parecer frio. 40% dos clientes expressaram que desejam um melhor serviço humano. Os clientes desejam interagir com humanos e pode-se fornecer essa opção a eles.

– Seja fiel às suas promessas – Se a empresa deseja que os clientes vejam o negócio como confiável e com credibilidade, precisa cumprir tudo o que promete. Não diga aos clientes que eles receberão um reembolso se isso não for uma verdade. Simplesmente não faça promessas que não possa cumprir.

– Antecipe as necessidades do cliente – Às vezes, os clientes não têm certeza do que precisam. É aí que se precisa reconhecer as necessidades e direcioná-las de acordo. Por exemplo, pode-se dar a eles um desconto raro ou oferecer um preço especial por aquele item que está no carrinho há algum tempo.

Dessa forma, manter o status de excelente serviço ao cliente não é uma missão inatingível. É uma meta que exige muito trabalho e dedicação. Sabendo o que caracteriza a excelência no atendimento ao cliente, pode direcionar os esforços para esse objetivo.

A organização deve compreender seu papel, importância e diferença entre o deleite do cliente e a satisfação do cliente, a fim de aprimorar sua capacidade de fornecer esse deleite. Pode-se, também, explorar as maneiras de desenvolver e manter a satisfação do cliente.

Um padrão de design específico para obter um serviço excelente é necessário para um melhor sucesso nos negócios. Os padrões e métodos de design devem ser adotados em muitas organizações, mas não cobrem adequadamente como criar um serviço excelente que leve ao deleite do cliente.

A ISO 23592:2021 – Service excellence — Principles and model especifica a terminologia, os princípios e o modelo de excelência em serviços para obter uma experiência excelente do cliente e satisfação sustentável do cliente. Não se concentra na prestação de serviço básico ao cliente, mas na prestação de um serviço de excelência. Este documento se aplica a todas as organizações que prestam serviços, como organizações comerciais, serviços públicos e organizações sem fins lucrativos.

Conteúdo da norma (tradução livre)

Prefácio

Introdução

1 Escopo

2 Referências normativas

3 Termos e definições

4 Relevância e benefícios da excelência em serviços

5 Princípios de excelência de serviço

6 Modelo de excelência de serviço

7 Elementos do modelo de excelência de serviço

7.1 Liderança e estratégia de excelência de serviço

7.2 Cultura de excelência de serviço e envolvimento dos funcionários

7.3 Criação de excelentes experiências para o cliente

7.4 Excelência em serviço operacional

Bibliografia

As expectativas dos clientes no mundo competitivo de hoje mudaram e estão em constante evolução. Atualmente, a globalização, a digitalização e a crescente variedade de produtos e serviços permitem aos clientes mais liberdade de escolha. Cada compra e contato com o cliente é um momento da verdade.

As organizações frequentemente afirmam que colocam o cliente no centro de seus negócios. Porém, em mercados competitivos é essencial gerenciar toda a organização em torno do cliente e da experiência oferecida.

As organizações que fazem isso irão florescer. A entrega ideal da satisfação do cliente não pode mais ser alcançada pela oferta de produtos e serviços básicos esperados pelo cliente. Para ter sucesso e ficar à frente dos concorrentes, é fundamental encantar os clientes proporcionando experiências marcantes e diferenciadoras. Esse é o objetivo da excelência no atendimento.

Este documento descreve os princípios, elementos e subelementos para a criação de excelentes experiências para o cliente. Os fundamentos básicos da implementação da excelência em serviços são os dois níveis inferiores da pirâmide de excelência em serviços (consulte a Figura 1 abaixo).

Os níveis 1 e 2 tratam de atender às expectativas dos clientes e cumprir as promessas. Eles levam à satisfação do cliente. A proposta de serviço principal (Nível 1) é percebida pelos clientes como cumprimento de promessas. O gerenciamento de feedback do cliente (Nível 2) resulta em lidar bem com problemas e dúvidas. Estes são descritos em normas internacionais como a ISO 9001, ISO 10002 e ISO/IEC 20000-1.

Esse documento trata dos níveis superiores: excelente prestação de serviço individual (Nível 3); e prestação de serviços surpreendentemente excelente (Nível 4). Esses dois níveis criam uma conexão emocional com o cliente e levam ao deleite do cliente. O impacto para o negócio é uma imagem de marca forte e atratividade para clientes novos e existentes, bem como diferenciação competitiva.

A prestação de serviço individual de excelência (Nível 3) resulta em um serviço percebido pelos clientes como caloroso, genuíno, personalizado, feito sob medida e criador de valor. O cliente experimenta uma reação emocional ao se sentir valorizado.

A prestação de serviços surpreendentemente excelente (Nível 4) resulta em um serviço feito sob medida e leva a emoções de surpresa e alegria. É entregue superando as expectativas do cliente. Isso pode ser alcançado proporcionando as experiências surpreendentes e excepcionais ao cliente. Contudo, várias abordagens podem ser usadas para alcançar a satisfação do cliente. A pirâmide de excelência de serviço deve ser usada para explicar aos gerentes e funcionários porque uma organização deve se concentrar em cumprir as promessas (Níveis 1 e 2) e exceder as expectativas do cliente, entregando serviços excelentes (Níveis 3 e 4).

Assim, esse documento define os termos essenciais, descreve os princípios relevantes e constrói um modelo de excelência de serviço. Ele oferece uma estrutura abrangente para documentos adicionais para lidar com os elementos essenciais do modelo de excelência de serviço em mais detalhes. A ISO/TS 24082 oferece os princípios e as atividades de design de serviços de excelência. Especifica os elementos da dimensão criando experiências excepcionais para o cliente do modelo de excelência de serviço. Assim, está relacionado ao item 7.3 deste documento.

A ISO/TS 23686 fornece um conjunto apropriado de métricas e métodos internos e externos que podem ser usados para medir o desempenho da excelência do serviço, particularmente os influenciadores e os efeitos substanciais de excelentes experiências do cliente e deleite do cliente. Abrange todas as dimensões do modelo de excelência em serviços. Portanto, está relacionado ao item 7.4 deste documento.

Enfim, uma estratégia de atendimento ao cliente ajuda a atender às necessidades específicas de seus mercados-alvo e define como você pode permitir que seus clientes saibam que você entende suas necessidades e pode atendê-las. No cerne do serviço ao cliente está o conceito de cumprir uma promessa – ao prometer de que é capaz de fornecer o melhor produto ou serviço, ou que pode entregar rapidamente, ou oferecer o melhor preço, deve-se ser capaz de cumprir essa promessa.

Ter uma estratégia de atendimento ao cliente em vigor garante que os processos, sistemas ou pessoas não o decepcionem. Para ver se o atendimento ao cliente está ajudando a manter os clientes atuais e atrair novos, existem dez áreas que se pode verificar regularmente:

– Informações sobre produtos e serviços – explicando claramente o que se oferece.

– Atendimento presencial e de balcão – ajudando os clientes a atender às suas necessidades.

– Serviço telefônico – atendimento rápido e preciso.

– Receber pedidos de clientes – facilitando a compra.

– Acompanhamento relevante e oportuno.

– Faturamento e gerenciamento de pagamentos – tornando o pagamento claro e fácil.

– Visitando o cliente – chegando na hora certa.

– Fazendo reparos – corrigidos na primeira vez e na hora certa.

– Tratamento de reclamações – transformando as reclamações em elogios.

– Gerenciando a cultura de serviço – um negócio focado no cliente.

Em suma, o processo de serviço ajuda a empresa a superar as expectativas do cliente e estimular a fidelidade. Existem cinco dimensões gerais das expectativas do cliente: confiabilidade – a capacidade de executar conforme prometido, de forma confiável e precisa; tangíveis – a imagem da empresa representada pela aparência das instalações físicas, equipamentos, pessoal e materiais de comunicação; a capacidade de resposta – a disposição para ajudar os clientes e fornecer um serviço rápido; garantia – o conhecimento e a cortesia dos funcionários e capacidade de transmitir confiança e segurança aos clientes; e empatia – a atenção atenciosa e individualizada prestada ao cliente.

Independentemente de como se mede a satisfação com o atendimento ao cliente, a confiabilidade vem em primeiro lugar. Os clientes valorizam a confiabilidade quando se trata de entregar o serviço ou produto que foi prometido. Invariavelmente, um cliente irá considerar que seu negócio atende às expectativas se seu serviço for entregue dentro do prazo, custo e velocidade prometidos.

Observe todos os pontos de contato com o cliente e qualquer outra coisa que possa afetar a capacidade de oferecer excelência e implemente as sete etapas a seguir para a excelência no atendimento ao cliente:

– Envolva a equipe no processo de desenvolvimento de serviço e melhoria contínua.

– Verifique se há lacunas no serviço.

– Desenvolva os padrões de atendimento ao cliente para corresponder à sua promessa aos clientes’.

– Coloque os sistemas como uma prioridade para garantir a consistência.

– Organize o treinamento contínuo da equipe.

– Capacite a equipe para tomar decisões.

– Monitore e avalie regularmente seu desempenho.

A excelência no atendimento ao cliente leva à sua satisfação, o que, por sua vez, leva a compras repetidas, clientes fiéis, reputação e marca aprimoradas – e lucros maiores.

A gestão de serviço em tecnologia da informação (TI)

Deve-se entender que a organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço.

A NBR ISO/IEC 20000-2 de 01/2021 – Tecnologia da informação – Gestão de serviço – Parte 2: Orientação para aplicação de sistemas de gestão de serviço fornece orientação na aplicação de um sistema de gestão de serviço (SGS) baseado na ABNT NBR ISO/IEC 20000-1. Ele fornece exemplos e recomendações para permitir às organizações a interpretar e aplicar ABNT NBR ISO/IEC 20000-1, incluindo referências a outras partes da ISO/IEC 20000 e outras normas pertinentes. A figura abaixo ilustra um SGS com o conteúdo das seções da NBR ISO/IEC 20000-1. Isso não representa uma estrutura hierárquica, sequência ou níveis de autoridade.

A estrutura de seções visa fornecer uma apresentação coerente de requisitos, em vez de um modelo para documentar políticas, objetivos e processos de uma organização. Cada organização pode escolher como combinar os requisitos dentro de processos. O relacionamento entre cada organização e seus clientes, usuários e outras partes interessadas influencia como os processos são implementados.

No entanto, um SGS conforme desenhado por uma organização não pode excluir qualquer dos requisitos especificados na NBR ISO/IEC 20000-1. O termo serviço, conforme usado neste documento, se refere aos serviços no escopo do SGS. O termo organização, conforme usado neste documento, se refere à organização no escopo do SGS.

A organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço. Qualquer uso dos termos serviço ou organização com um intuito diferente é distinguido claramente neste documento.

O termo entregue, conforme usado neste documento, pode ser interpretado como todas as atividades do ciclo de vida de serviço que são executadas além das atividades operacionais diárias. Atividades do ciclo de vida de serviço incluem planejamento, desenho, transição, entrega e melhoria. A orientação neste documento é genérica e visa ser aplicável a qualquer organização aplicando um SGS, independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues.

Enquanto isto pode ser usado independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues, a NBR ISO/IEC 20000-1 tem suas raízes na TI. É destinada ao gerenciamento de serviços que usem tecnologia e informação digital. O exemplo dado neste documento ilustra uma variedade de usos da ISO/IEC 20000-1.

O provedor de serviço presta contas pelo SGS e, portanto, não pode pedir a outra parte para cumprir os requisitos das Seções 4 e 5 da NBR ISO/IEC 20000-1:2020. Por exemplo, a organização não pode pedir a outra parte para fornecer a Alta Direção e demonstrar comprometimento da Alta Direção ou demonstrar o controle de partes envolvidas no ciclo de vida de serviço.

Algumas atividades da ISO/IEC20000-1:2020, Seções 4 e 5 podem ser executadas por outra parte, sob a gestão da organização. Por exemplo, uma organização pode pedir para outra parte para criar o plano de gestão de serviço inicial como um documento principal para o SGS. O plano, uma vez criado e acordado, é de responsabilidade direta e é mantido pela organização.

Nestes exemplos, a organização está usando outras partes para atividades curtas e específicas. A organização tem a responsabilização, autoridade e responsabilidade pelo SGS. A organização pode, portanto, demonstrar evidência de cumprimento de todos os requisitos da NBR ISO/IEC 20000-1:2018, Seções 4 e 5.

Para a ISO/IEC 20000-1:2020, Seções 6 a 10, uma organização pode mostrar evidência de cumprir ela mesma todos os requisitos. Alternativamente, uma organização pode mostrar evidência de reter a prestação de contas pelos requisitos quando outras partes estão envolvidas em cumprir os requisitos da ISO/IEC 20000-1:2020, Seções 6 a 10.

O controle de outras partes envolvidas no ciclo de vida pode ser demonstrado pela organização (ver 8.2.3). Por exemplo, a organização pode demonstrar evidência de controles para outra parte que esteja fornecendo componentes ou operando a central de serviço incluindo o processo de gerenciamento de incidente. A organização não pode demonstrar conformidade aos requisitos da NBR ISO/IEC 20000-1:2020 se outras partes forem usadas para prover ou operar todos os serviços, componentes de serviço ou processos dentro do escopo do SGS.

No entanto, se outras partes fornecerem ou operarem apenas alguns dos serviços, componentes de serviço ou processos, a organização pode normalmente demonstrar evidência de cumprimento dos requisitos especificados na ABNT NBR ISO/IEC 20000-1. O escopo deste documento exclui a especificação de produtos ou ferramentas. No entanto, a NBR ISO/IEC 20000-1 e este documento podem ser usados para ajudar com o desenvolvimento ou na aquisição de produtos ou ferramentas que apoiem a operação de um SGS.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual o propósito da atividade Liderança?

Qual o propósito da atividade Política?

O que fazer em relação às ações para endereçar riscos e oportunidades?

Quais devem ser os objetivos de gestão de serviço e o planejamento para alcançá-los?

Este documento provê orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviço (SGS). Um SGS suporta o gerenciamento do ciclo de vida do serviço, incluindo o planejamento, desenho, transição, entrega e melhoria de serviços, que cumprem requisitos acordados e entregam valor para clientes, usuários e para a organização que entrega os serviços.

A adoção de um SGS é uma decisão estratégica para uma organização e é influenciada pelos objetivos da organização, pelo órgão de governança, por outras partes envolvidas no ciclo de vida do serviço e pela necessidade por serviços efetivos e resilientes. A orientação neste documento se alinha à NBR ISO/IEC 20000-1:2020. Este documento (NBR ISO/IEC 20000-2) é intencionalmente independente de orientação ao gerenciamento de qualquer tipo específico de serviço.

A organização pode usar uma combinação de modelos geralmente aceitos e sua própria experiência. A melhoria para gerenciamento de serviço pode usar metodologias de melhoria comuns e aplicá-las ao SGS e aos serviços. Ferramentas apropriadas para gerenciamento de serviços podem ser usadas para suportar o SGS. A implementação e a operação de um SGS incluem a visibilidade no dia a dia, controle de serviço e melhoria contínua, resultando em grande eficácia e eficiência. A melhoria para gerenciamento de serviço se aplica ao SGS e aos serviços.

A estrutura de seções neste documento (por exemplo, numeração de seção e sequência) se alinha com a NBR ISO/IEC 20000-1:2020 e os termos usados neste documento se alinham com a NBR ISO/IEC 20000-1:2020 e a ISO/IEC 20000-10:2018. A organização determina as questões internas e externas pertinentes ao seu propósito que afetam sua habilidade de alcançar os resultados pretendidos do SGS.

O propósito disso é definir o contexto, determinando aquelas questões que forem pertinentes ao propósito da organização e que influenciem sua habilidade de alcançar os resultados pretendidos do SGS. Estes resultados incluem a entrega de valor aos seus clientes.

As questões podem variar em, por exemplo, interna ou externa, positiva ou negativa. Todas as questões em conjunto fornecem o contexto básico em que a organização estabelece seu SGS. A palavra questão neste contexto pode ser fatores ou atributos que tenham um impacto positivo ou negativo.

Estes são tópicos importantes, fatores ou atributos para a organização no contexto de sua habilidade para entregar serviços de uma qualidade acordada aos seus clientes. Para implementar um SGS com sucesso, a organização identifica e documenta seu contexto interno e externo. O contexto inclui a natureza da organização, as necessidades e expectativas de outras partes interessadas que tenham um interesse no SGS e no escopo do SGS em si.

Baseado em uma compreensão destas questões, o SGS pode ser estabelecido. Já no estágio de planejamento, convém que a organização estabeleça como a NBR ISO/IEC 20000-1 é aplicável ao contexto da organização, de forma que o escopo inicial do SGS possa ser documentado. A falha na identificação do contexto, das partes interessadas e do escopo pode resultar em um SGS sem sucesso ou ineficiente.

Devido às questões internas e externas poderem mudar, a organização pode analisar criticamente seu contexto em intervalos planejados e por meio de análises críticas pela direção. Como exemplo, pode-se dizer que as questões internas podem incluir políticas, recursos, capacidades, pessoas, habilidades e conhecimento, estrutura organizacional, governança, cultura, demandas internas de clientes e finanças.

Questões externas podem incluir mercado, política, economia e influência ambiental, competição, leis e regulamentações, demandas externas de clientes e a probabilidade de eventos que possam afetar os serviços. Uma lista de questões internas e externas que afetem o SGS é desenvolvida e convém que seja documentada.

O estabelecimento do contexto da organização é concluído no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio. Dessa forma, a organização determina as partes interessadas relevantes ao SGS e aos serviços e seus requisitos. O propósito disso é assegurar que a organização identifique requisitos de partes interessadas pertinentes para apoiar o SGS a entregar serviços.

Uma parte interessada é uma pessoa ou grupo que pode afetar ou ser afetado por uma decisão ou atividade relacionada ao SGS. Elas podem ser internas ou externas à organização. Uma parte interessada também pode ser chamada de stakeholder. Exemplo: partes interessadas podem incluir clientes e representantes de clientes, altos executivos, representantes da gestão, gestão de contas, pessoal, funções de suporte dentro da organização (por exemplo, suporte de tecnologia, recursos humanos, instalações, jurídico, recrutamento, compras), fornecedores, parceiros, órgãos reguladores, auditores, associações comerciais e profissionais e concorrentes.

A organização identifica as partes interessadas e sua relevância ao atingimento de objetivos de gestão de serviço ou à entrega de serviços, incluindo seus requisitos para o SGS ou os serviços. Uma parte interessada pode afetar o desempenho e efetividade do SGS e os serviços, influenciar o mercado ou criar e mitigar riscos. Os requisitos de partes interessadas podem incluir o seguinte: requisitos de serviço, como metas de nível de serviço, capacidade, desempenho, requisitos de nível de serviço, continuidade de serviço, segurança da informação ou requisitos de disponibilidade; requisitos legais e regulamentares impostos por autoridades externas, como leis e regulamentos nacionais ou regionais; e obrigações contratuais para parceiros, clientes ou fornecedores.

A organização documenta uma lista de partes interessadas com seus interesses específicos e seus requisitos para o SGS e os serviços. A identificação de partes interessadas é concluída no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio.

A organização determina os limites e a aplicabilidade do SGS para estabelecer seu escopo. O propósito disso é usar a informação coletada sobre as questões e os requisitos das partes interessadas para definir exatamente qual parte da organização e quais serviços serão incluídos dentro do SGS. Estabelecer o escopo é, portanto, uma atividade principal que determina o fundamento necessário para as outras atividades na implementação do SGS.

A organização considera as seguintes entradas ao documentar o escopo do SGS: as questões internas e externas; as necessidades e expectativas de partes interessadas internas e externas; quais serviços ou tipos de serviços são oferecidos ou todos os serviços, por exemplo: um único serviço, grupo de serviços ou todos os serviços; os serviços de TI, serviços em nuvem; os serviços de tecnologia para apoiar gerenciamento de instalações, terceirização de processos de negócio; os serviços de tecnologia para apoiar quaisquer setores de negócio, como telecomunicações, finanças, varejo, turismo, utilidades; o número e tipo de clientes, como por exemplo, um único cliente, um setor específico de clientes, clientes externos ou internos; as localidades em que os serviços serão entregues.

Os serviços a ser considerados podem ser todos ou alguns dos serviços que são acordados para estar no escopo do SGS. Os serviços no escopo do SGS podem ser todos ou alguns dos serviços entregues pela organização. Os serviços no escopo do SGS podem estar listados individualmente ou agrupados.

O nome da organização que gerencia e fornece os serviços está incluso; no entanto, não convém que a declaração de escopo inclua os nomes de outras partes contribuindo para a entrega do serviço, como parceiros de terceirização. O propósito das atividades requeridas é assegurar que todos os elementos requeridos estejam montados para estabelecer, implementar, manter e melhorar continuamente o SGS.

Uma vez que, neste contexto, as partes interessadas, os seus requisitos e o escopo tenham sido acordados, a organização decide como os requisitos na NBR ISO/IEC 20000-1 serão implementados na forma de processos. Por exemplo, os processos no SGS irão refletir exatamente as Seções na NBR ISO/IEC 20000-1 ou serão combinados, separados ou nomeados de maneira diferente?

Para ganhar o máximo valor dos processos, é essencial manter os processos existentes. Uma abordagem para uma rotina de avaliação de processos irá beneficiar a organização. Enquanto os processos são implantados e implementados, análises críticas de rotina incluem uma análise crítica de seu desempenho para otimizar os resultados do processo.

Os planos e aspirações da organização podem ser considerados ao estabelecer e implementar o SGS, de forma que a manutenção e a melhoria possam ser executadas eficientemente. A organização documenta o SGS para cumprir os requisitos da NBR ISO/IEC 20000-1:2020, 7.5. A Alta Direção fornece a base e a autoridade para proceder com o estabelecimento do SGS. A responsabilidade por estabelecer o SGS pode então ser delegada para pessoal autorizado na organização.

A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

IEC TR 63164-2: a confiabilidade de dispositivos e sistemas de automação industrial

Esse relatório técnico (Technical Report – TR), editado em 2020 pela International Electrotechnical Commission (IEC), fornece a orientação sobre o cálculo de dados de confiabilidade de sistemas de automação que podem ser simplificados como estrutura em série, paralela ou mista com base em dados de confiabilidade de dispositivos únicos e / ou subsistemas, e na forma de apresentar os dados.

A IEC TR 63164-2: 2020 – Reliability of industrial automation devices and systems – Part 2: System reliability fornece a orientação sobre o cálculo de dados de confiabilidade de sistemas de automação que podem ser simplificados como estrutura em série, paralela ou mista com base em dados de confiabilidade de dispositivos únicos e / ou subsistemas, e na forma de apresentar os dados. Esse procedimento é direcionado apenas à confiabilidade dos sistemas de automação, mas não aos sistemas que incorporam sistemas de automação, por exemplo, planta de processo.

A confiabilidade está incluída na segurança do equipamento e este documento se concentra principalmente nas falhas de hardware aleatórias que afetam a confiabilidade. Confiabilidade é usada como um termo coletivo para as características de qualidade relacionadas ao tempo de um item e inclui, adicionalmente, disponibilidade, recuperabilidade, capacidade de manutenção, desempenho de suporte de manutenção e, em alguns casos, outras características como durabilidade, proteção e segurança, que não são no âmbito deste relatório técnico.

Conteúdo da norma

PREFÁCIO………………….. 3

INTRODUÇÃO……………… 5

1 Escopo …………………… 6

2 Referências normativas…… 6

3 Termos, definições e termos abreviados ……6

3.1 Termos e definições……………………. 6

3.2 Termos abreviados…………………….. 9

4 Confiabilidade do sistema………… 9

5 Cálculo da confiabilidade do sistema…………………… 9

5.1 Geral…………….. 9

5.2 Forma para apresentar dados de confiabilidade……….. 10

5.3 Estruturas e cálculos…………………………… 10

5.3.1 Fórmulas básicas…………………………. 10

5.3.2 Estruturas em série……………………… 11

5.3.3 Estruturas paralelas…………………….. 12

5.3.4 Estruturas mistas………………………….. 13

5.3.5 Resumo…………………………….. ……. 14

Anexo A (informativo) Exemplos de sistemas de automação típicos…………………….15

A.1 Geral……………. …………….. 15

A.2 Exemplo para estrutura em série do sistema de automação de processo…………………… 15

A.3 Exemplo para estrutura mista de subsistema de automação de processo…………………… 16

Anexo B (informativo) Métodos para melhorar a confiabilidade do sistema……………….. … 18

B.1 Geral …………. …………….. 18

B.2 Métodos para reduzir a falha sistemática…………………. 18

B.2.1 Geral…………………………. ……… 18

B.2.2 Medidas para evitar falha sistemática…………… 18

B.2.3 Medidas para controlar a falha sistemática………. 18

B.3 Método de redução de falha aleatória de hardware……. 19

B.3.1 Projeto tolerante a falhas………………………………. 19

B.3.2 Projeto de prevenção de erros…………………….. 19

B.3.3 Projeto de desclassificação do sistema…………………. 19

Bibliografia…………….. ………………….. 21

Figura 1 – Diagrama de blocos de confiabilidade em série…………………………. 11

Figura 2 – Diagrama de blocos de confiabilidade paralela……………………… 12

Figura 3 – Diagrama de blocos de confiabilidade em série paralela geral (redundância)…………………. 13

Figura 4 – Reduzir a estrutura mista………………….. 13

Figura A.1 – Um sistema de automação de processo típico (fundição de alumínio) ……………….. 15

Figura A.2 – Diagrama de blocos para sistema de automação de fundição de alumínio……………………… 16

Figura A.3 – Processo de sedimentação e lavagem para sistema de automação da fundição de alumínio ………. 16

Figura A.4 – Diagrama de blocos para o processo de assentamento e lavagem………………………. ………. 17

No contexto da manufatura inteligente, novos modos de produção, como customização em massa com base em fábricas interconectadas, requerem interconexão em tempo real, comutação frequente e integração em diferentes níveis. Portanto, a confiabilidade é um requisito importante para os sistemas de automação nas fábricas. Dados de confiabilidade de sistemas de automação são a base para o planejamento de manutenção, por exemplo manutenção de estoque de peças de reposição de uma linha de produção.

Um sistema de automação geralmente consiste em vários dispositivos ou máquinas diferentes que são usados em série, em paralelo ou mistos. Este relatório técnico fornece orientação para o integrador de sistema sobre como avaliar a confiabilidade de tais sistemas inteiros. Este relatório é a segunda parte da série. Esta parte se concentra no cálculo das taxas de falha ou valores de confiabilidade para sistemas com base em taxas de falha ou valores de confiabilidade de dispositivos individuais, dependendo da estrutura do sistema.

Isso é necessário para que os integradores de sistema ou projetistas possam calcular a confiabilidade de um sistema inteiro a partir dos valores de confiabilidade de dispositivos individuais (consulte IEC TS 63164-1). As partes da série IEC 63164 são: Parte 1: Garantia de dados de confiabilidade de dispositivos de automação e especificação de sua fonte; Parte 2: Confiabilidade do sistema. As partes futuras poderão incluir os seguintes assuntos: coleta de dados de confiabilidade para dispositivos de automação em campo; e um guia do usuário.

BS EN IEC 62984-2: as baterias secundárias para alta temperatura

Essa norma europeia, editada em 2020 pelo BSI, especifica os requisitos de segurança e os procedimentos de ensaio para as baterias para altas temperaturas para uso móvel e/ou estacionário e cuja tensão nominal não exceda 1.500 V. Este documento não inclui as baterias de aeronaves cobertas pela IEC 60952 (todas as partes) e baterias para propulsão de veículos elétricos rodoviários, cobertas pela IEC 61982 (todas as partes).

A BS EN IEC 62984-2:2020 – High-temperature secondary batteries. Safety requirements and tests especifica os requisitos de segurança e os procedimentos de ensaio para as baterias para altas temperaturas para uso móvel e/ou estacionário e cuja tensão nominal não exceda 1.500 V. Este documento não inclui as baterias de aeronaves cobertas pela IEC 60952 (todas as partes) e baterias para propulsão de veículos elétricos rodoviários, cobertas pela IEC 61982 (todas as partes). As baterias de alta temperatura são sistemas eletroquímicos cuja temperatura operacional interna mínima das células está acima de 100 °C.

CONTEÚDO DA NORMA

PREFÁCIO…………………… 4

1 Escopo……………………… 6

2 Referências normativas………… ….. 6

3 Termos, definições, símbolos e termos abreviados………… 7

3.1 Construção da bateria……………………………………. 7

3.2 Funcionalidade da bateria………………………….. 10

3.3 Símbolos e termos abreviados…………………….. 12

4 Condições ambientais (de serviço)…………………………… 13

4.1 Geral………………………. …………… 13

4.2 Condições normais de serviço para instalações estacionárias……………………. .13

4.2.1 Geral………………… ……… 13

4.2.2 Condições ambientais normais adicionais para instalações internas ……………. 14

4.2.3 Condições ambientais normais adicionais para instalações externas ………….. 14

4.3 Condições especiais de serviço para instalações estacionárias……………………….. .14

4.3.1 Geral…………………. ……… 14

4.3.2 Condições especiais de serviço adicionais para instalações internas………………….. 14

4.3.3 Condições especiais de serviço adicionais para instalações externas………………… 14

4.4 Condições normais de serviço para instalações móveis (exceto propulsão) ………………. 14

4.5 Condições especiais de serviço para instalações móveis (exceto propulsão) ……………… 14

5 Projeto e requisitos……………………… 15

5.1 Arquitetura da bateria……………………. 15

5.1.1 Módulo…………. ………. 15

5.1.2 Bateria………………. ……….. 15

5.1.3 Montagem das baterias………………. 16

5.1.4 Subsistema de gerenciamento térmico……….. 17

5.2 Requisitos mecânicos……………………………. 17

5.2.1 Geral…………………………… ……… 17

5.2.2 Carcaça da bateria………………….. 17

5.2.3 Vibração………………………… …….. 18

5.2.4 Impacto mecânico……………………… 18

5.3 Requisitos ambientais………………………. 18

5.4 Requisitos de Electromagnetic compatibility (EMC)…………….. 18

6 Ensaios……… ……………………… 19

6.1 Geral……………… …………… 19

6.1.1 Classificação dos ensaios………………….. 19

6.1.2 Seleção de objetos de ensaio…………………….. 19

6.1.3 Condições iniciais do DUT antes dos ensaios………………… 20

6.1.4 Equipamento de medição……………. 20

6.2 Lista de ensaios…………….. ……….. 20

6.3 Ensaios de tipo…………….. ………… 21

6.3.1 Ensaios mecânicos………………. 21

6.3.2 Ensaios ambientais…………………………. 23

6.3.3 Ensaios EMC…………………….. ……. 24

6.4 Ensaios de rotina……………… …….. 33

6.5 Ensaios especiais………………. …….. 33

7 Marcações………….. …………………. 33

7.1 Geral……………………………. …………… 33

7.2 Marcação da placa de dados……………………. 33

8 Regras para transporte, instalação e manutenção ……… 33

8.1 Transporte…………………….. …. 33

8.2 Instalação………………. ………. 33

8.3 Manutenção………………… ……. 33

9 Documentação……………………. ………… 33

9.1 Manual de instruções……………………. 33

9.2 Relatório de ensaio……. ……….. 34

Bibliografia……………… ………………….. 35

Figura 1 – Componentes de uma bateria………………….. 16

Figura 2 – Componentes de um conjunto de baterias……….. 16

Figura 3 – Subsistema de gerenciamento térmico……………………. 17

Tabela 1 – Lista de símbolos e termos abreviados………………….. 13

Tabela 2 – Ambientes eletromagnéticos……………. 19

Tabela 3 – Ensaios de tipo…………………….. ………….. 21

Tabela 4 – Ensaio de calor úmido – Estado estacionário…………………………. 23

Tabela 5 – Nível de gravidade dos ensaios EMC………………………… 25

Tabela 6 – Descrição dos critérios de avaliação para ensaios de imunidade…….. …….. 26

Tabela 7 – Parâmetros de ensaio EFT/Burst……………….. 28

Tabela 8 – Níveis de ensaio de surto…………………. ….. 29

Segundo a International Electrotechnical Commission (IEC), as baterias são dispositivos indispensáveis na vida cotidiana: muitos itens que são usados diariamente, desde os telefones celulares até os laptops, dependem da energia da bateria para funcionar. No entanto, apesar de uso mundial, a tecnologia das baterias está subitamente dominando os holofotes porque é usada para alimentar todos os tipos de diferentes veículos elétricos (VE), de carros elétricos a scooters eletrônicas, que estão regularmente nos mercados. Para os ambientalistas, no entanto, a tecnologia da bateria é mais interessante como forma de armazenar eletricidade, à medida que a geração e o uso de energia renovável – que é intermitente – aumentam.

As baterias de íon lítio podem ser recicladas, mas esse processo permanece caro e, por enquanto, as taxas de recuperação de material raramente chegam a 20%. As matérias-primas usadas nas baterias de íon lítio são geralmente níquel, cobalto, manganês e lítio, que são caros de se obter. Algumas dessas matérias primas são escassas e, mesmo que as pesquisas estejam progredindo rapidamente, alguns laboratórios conseguiram atingir 80% dos níveis de recuperação.

Os cientistas também estão analisando as baterias recarregáveis de ar lítio como uma alternativa ao íon lítio. As baterias de íon de lítio usadas em uma aplicação podem ser avaliadas quanto à capacidade de serem usadas em outras aplicações menos exigentes. Uma segunda vida útil possível para as baterias é um componente para estações de carregamento flexíveis.

São estações de carregamento rápido que podem ser operadas de forma autônoma durante eventos de grande escala, como festivais ou eventos esportivos. As baterias de veículos elétricos podem ser reutilizadas em tudo, desde energia de backup para data centers até sistemas de armazenamento de energia. Na Europa, vários fabricantes de veículos, empresas pioneiras no mercado de carros elétricos, instalaram baterias usadas principalmente em diferentes tipos de sistemas de armazenamento de energia, variando de pequenos dispositivos residenciais a soluções maiores em escala de grade em contêiner.

Como definir os elementos consistentes dos metadados

O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações.

A NBR ISO 23081-2 de 04/2020 – Informação e documentação — Gerenciamento de metadados para documentos de arquivo – Parte 2: Problemas conceituais e implementação estabelece um modelo para definir os elementos de metadados consistentes com os princípios e as considerações de implementação descritos na NBR ISO 23081-1. O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações. Ela também identifica alguns dos pontos de decisão críticos que precisam ser abordados e documentados para permitir a implementação de metadados para gerenciar documentos de arquivo. Ela visa identificar os problemas que precisam ser abordados na implementação de metadados para gerenciamento de documentos de arquivo, identificar e explicar as várias opções para abordar as questões, e identificar vários caminhos para tomar decisões e escolher opções na implementação de metadados para gerenciar documentos de arquivo.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais as relações entre entidades nos metadados?

Quais são os conceitos relativos à implementação de metadados?

Por que os metadados podem ser herdados de um agregado superior para um inferior?

Qual o modelo de metadados para gerenciar documentos de arquivo?

A série NBR ISO 23081 descreve metadados para documentos de arquivo. Esta parte 2 concentra-se no modelo de definição de elementos de metadados para gestão de documentos de arquivo, e fornece uma declaração genérica de elementos de metadados, sejam estes físicos, analógicos ou digitais, de acordo com os princípios da NBR ISO 23081-1. Ela fornece uma fundamentação sólida dos metadados para gerenciar documentos de arquivo em organizações, modelos conceituais de metadados e um conjunto de elementos de alto nível de metadados genéricos, adequados para qualquer ambiente de documentos de arquivo.

Abrange, por exemplo, implementações atuais de gestão de documentos de arquivo ou arquivísticas. Ela define os tipos genéricos de metadados, tanto para entidades de documentos de arquivo quanto para outras entidades que precisam ser gerenciadas para documentar e entender o contexto dos documentos de arquivos. Esta parte 2 também identifica, para entidades-chave, um número mínimo de camadas de agregação fixas que são necessárias para fins de interoperabilidade. Os modelos e os tipos de metadados genéricos delineados nesta parte são principalmente focados na entidade documentos de arquivo.

No entanto, eles também são relevantes para as outras entidades. Não estabelece um conjunto específico de elementos de metadados. Em vez disso, ela identifica tipos genéricos de metadados que são necessários para cumprir os requisitos para gerenciar documentos de arquivo. Essa abordagem fornece às organizações a flexibilidade para selecionar metadados específicos para atender aos requisitos de seus negócios e gerenciar seus documentos de arquivo enquanto eles são necessários.

Ela fornece diagramas para determinar os elementos de metadados que podem ser definidos em uma implementação específica e os que podem ser aplicados a cada agregação das entidades definidas. Ela reconhece que essas entidades podem existir em diferentes camadas de agregação. Ela define tipos de metadados genéricos que podem ser aplicados em todas as camadas de agregação, ao mesmo tempo em que alerta aos implementadores para elementos de metadados que só podem ser aplicados em camadas de agregação específicas.

A implementação de metadados para gerenciar documentos de arquivo usando parâmetros organizacionais e de sistema envolve uma série de escolhas, que são determinadas pelas conjunturas da organização, pelos sistemas instalados e pelos requisitos para gerenciar documentos de arquivo. Com base nos princípios da NBR ISO 23081-1, esta parte 2 fornece explicações adicionais sobre os conceitos subjacentes de esquemas de metadados para gerenciar documentos de arquivo, oferece orientações práticas para o desenvolvimento e construção desses esquemas do ponto de vista organizacional e, finalmente, aborda questões relacionadas à implementação e ao gerenciamento de metadados ao longo do tempo.

Destina-se a arquivistas (ou pessoas atribuídas dentro de uma organização para gerenciar documentos de arquivo em qualquer ambiente) responsáveis pela definição de metadados para gerenciar documentos de arquivo em qualquer camada de agregação em um sistema de negócios ou software de documentos de arquivo dedicado, sistemas/analistas de negócio responsáveis pela identificação de metadados para gerenciar documentos de arquivo em sistemas de negócio, arquivistas ou analistas de sistemas que abordam os requisitos de interoperabilidade do sistema envolvendo documentos de arquivo, e fabricante de software, como fornecedores de aplicativos que apoiam e permitem a definição, captura e gestão de metadados ao longo do tempo. As organizações precisam de sistemas de informação que capturem e gerenciem informações contextuais adequadas para auxiliar o uso, compreensão, gerenciamento e acesso a documentos de arquivo ao longo do tempo.

Esta informação é crítica para assegurar autenticidade, confiabilidade, integridade, usabilidade e qualidades probatórias de documentos de arquivo. Coletivamente, essa informação é conhecida como metadados para gerenciamento de documentos de arquivo. Os metadados para gerenciar documentos de arquivo podem ser usados para uma variedade de propósitos dentro de uma organização, apoiando, identificando, autenticando, descrevendo, localizando e gerenciando seus recursos de forma sistemática e consistente para atender às necessidades de negócio, responsabilidade e requisitos societários das organizações.

O software de documentos de arquivo e os sistemas de negócio com funcionalidade de gerenciamento de registros gerenciam documentos de arquivo, capturando e gerenciando os seus metadados e o contexto de sua produção e uso. Os documentos de arquivo, particularmente sob a forma de transações eletrônicas, podem existir fora do software de documentos de arquivo formais, muitas vezes sendo produzidos em sistemas de negócio que atendem a fins específicos (por exemplo, sistemas de licenciamento).

Os documentos de arquivo são usados e compreendidos por pessoas que possuem ou têm acesso a conhecimentos suficientes sobre os processos que estão sendo realizados ou por pessoas que estão envolvidas na transação dos documentos de arquivo gerados e seu contexto imediato. Tais documentos de arquivo nem sempre são robustos, por razões que incluem as ligações contextuais que podem não ser escritas e depender da memória individual e do grupo.

Essa confiança no entendimento contextual não escrito não é confiável; algumas pessoas têm acesso a mais conhecimento do que outras; ao longo do tempo, a usabilidade dos documentos de arquivo será comprometida pelo movimento do pessoal e pela diminuição da memória corporativa. Os documentos de arquivo muitas vezes não possuem informações explícitas necessárias para identificar os componentes de uma transação fora do contexto de negócio específico e, portanto, são difíceis de intercambiar com outros sistemas de negócio relacionados aos fins de interoperabilidade.

Os processos de gestão necessários para assegurar a sustentabilidade dos documentos de arquivo ao longo do tempo, que eles requerem, geralmente não são uma característica de tais sistemas. Existem limites práticos para a quantidade de informações contextuais que podem ser explicitadas e capturadas em um determinado sistema na forma de metadados. O contexto é infinito, enquanto um único sistema de informação possui limites finitos. Outras informações contextuais sempre existirão fora dos limites de qualquer sistema. Um único sistema de software de documentos de arquivo precisa capturar o máximo de metadados que forem considerados úteis para que o sistema e seus usuários interpretem e gerenciem os documentos de arquivo pelo tempo que forem necessários no sistema e para permitir a migração daqueles documentos de arquivo requeridos fora do sistema.

Os bons esquemas de metadados são dinâmicos e podem incluir metadados adicionais para gerenciar documentos de arquivo conforme necessário ao longo do tempo. Muitos metadados para gerenciar documentos de arquivo podem ser obtidos de outros sistemas de informação. Para que eles sejam úteis em um sistema de gerenciamento de documentos de arquivo, eles precisam ser estruturados e organizados de forma padronizada.

Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação dentro e entre organizações. Os metadados para gerenciar documentos de arquivo não só descrevem seus atributos, de forma a permitir seu gerenciamento e uso/reutilização, mas também documentam as relações entre os documentos de arquivo e os agentes que os definem e os usam, além dos eventos ou circunstâncias em que os documentos de arquivo são produzidos e utilizados. Os metadados apoiam a busca de informações e a manutenção de sua autenticidade.

As organizações precisam produzir documentos de arquivo de suas transações e mantê-los enquanto forem necessários. Isso pode ser feito somente se os sistemas de negócio das organizações capturarem metadados de documentos de arquivo de acordo com os requisitos organizacionais para gerenciá-los. O quanto melhor um sistema gerencia documentos de arquivo é em grande parte dependente das funcionalidades de metadados do sistema. As relações entre os sistemas de negócio e os sistemas de softwares específicos de documentos de arquivo estão sujeitas às decisões nas implementações, conforme descrito na Seção 11.

A interoperabilidade refere-se à capacidade de dois ou mais sistemas automatizados de trocar informações e reconhecer, processar e usar essas informações com sucesso. Os sistemas interoperáveis precisam ser capazes de funcionar simultaneamente em níveis técnicos, semânticos e sintáticos. Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação.

Os metadados padronizados para gerenciar documentos de arquivo ajudam a permitir a interoperabilidade da seguinte maneira: entre sistemas de negócio dentro de uma organização (por exemplo, entre os sistemas que apoiam um processo de negócio e aqueles que oferecem apoio a outros processos de negócio em toda a organização); entre sistemas de negócio que produzem documentos de arquivo e software de documentos de arquivo que os administram como documentos de arquivo; entre sistemas de negócio durante a migração de um sistema; entre várias organizações envolvidas na condução de processos de negócio (por exemplo, em uma cadeia de gerenciamento ou transações de comércio eletrônico); entre organizações para uma variedade de outros propósitos do negócio (por exemplo, na realização de transações compartilhadas ou transferência de documentos de arquivo para um terceiro); ao longo do tempo entre os sistemas de negócio que produzem documentos de arquivo e sistemas arquivísticos que os preservam. Ao apoiar a interoperabilidade, os metadados para gerenciar documentos de arquivo permitem a descoberta de recursos em sistemas de negócio, bem como em software de documentos de arquivo.

Os esquemas de metadados podem ser adaptados aos requisitos organizacionais para mitigação dos riscos. As organizações especificarão elementos que devem estar presentes para que os documentos de arquivo sejam confiáveis, autênticos e íntegros. Outros elementos serão opcionais, para inclusão, a critério das subunidades de organizações, ou para sistemas de negócio específicos dentro das organizações.

Ao considerar estratégias de implementação de metadados, recomenda-se que as organizações identifiquem os riscos que existem, considerem o grau de risco envolvido e garantam que a estratégia de implementação: forneça acesso aos sistemas de negócio críticos ao longo do tempo, satisfaça os requisitos legais de autenticidade e confiabilidade, e seja sustentável a partir de uma perspectiva de recursos ao longo do tempo. Os metadados estruturados para gerenciamento de documentos de arquivo, em combinação com boas funcionalidades de sistemas de busca, apoiam o acesso e a recuperação de documentos de arquivo em toda a organização. Isso maximiza a capacidade das pessoas de encontrar documentos de arquivo relevantes de forma rápida e fácil, quando precisam.

Além disso, os metadados de documentos de arquivo estruturados permitem que as informações sejam recuperadas no contexto do negócio, aumentando assim a compreensão e a confiabilidade das informações recuperadas para reutilização. Um investimento inicial, relativamente pequeno, em bons metadados, pode melhorar a qualidade e reduzir os custos de recuperação de informações para a organização. Os metadados para gerenciar documentos de arquivo podem ser usados para reduzir o risco de uso não autorizado. Metadados são necessários para especificar se o acesso aos documentos de arquivo é restrito.

Recomenda-se que somente aqueles com autorização apropriada tenham acesso aos documentos de arquivo. Convém que quaisquer instâncias de acesso sejam documentadas como metadados. Os metadados de controle de acesso são vitais para assegurar os interesses legais e de negócio da organização. Eles asseguram o gerenciamento adequado da confidencialidade e privacidade de informações pessoais e outras restrições de uso e segurança identificadas nos documentos de arquivo de uma organização.

Com a mudança da estrutura, função ou processo de trabalho de uma organização, ocorre uma alteração nas responsabilidades para as atividades do negócio. A implementação de metadados de documentos de arquivo padronizados e estruturados ajudam a identificar os documentos de arquivo apropriados para serem movidos em todos os sistemas e limites organizacionais. Esses metadados padronizados também ajudam a extrair documentos de arquivo de um sistema e importá-los para outros sistemas, preservando a ligação contextual, independentemente de qualquer sistema de negócio particular.

Os documentos de arquivo digitais dependem de metadados para sua existência, gestão e uso futuro. As características dos documentos de arquivo (ISO 15489-1:2001, 7.2), em todos os formatos, são definidas nos metadados dos documentos de arquivo. Assegurar a preservação dos documentos de arquivo, incluindo seus metadados, em formato eletrônico, exige conformidade com padrões de metadados estáveis, estruturados e bem definidos, para sua sustentabilidade em atualizações ou mudanças de software. A preservação dos documentos de arquivo digitais, enquanto eles são necessários, pode envolver uma série de estratégias (ver Seção 11), mas todas as estratégias dependem da existência de metadados padronizados para gerenciar documentos de arquivo.

Muitas das informações necessárias para documentar e descrever os documentos de arquivo e seu contexto em sistemas arquivísticos podem ser obtidas a partir dos metadados em software de documentos de arquivo. Recomenda-se que esta interligação seja tão perfeita quanto possível. Capturar metadados para gerenciar documentos de arquivo de acordo com um esquema padronizado torna esse processo mais fácil de implementar.

Conforme indicado na ISO 23081-1:2006, Seção 6, recomenda-se que estratégias de metadados sejam tratadas como parte integrante, ou explicitamente relacionada, a uma estratégia mais ampla de gerenciamento de informações e documentos de arquivo da organização. A este respeito, convém que seja elaborada uma política clara relacionada aos metadados, seja como uma área de política autônoma separada, ligada ao modelo de políticas de documentos de arquivo existente ou mesmo como uma parte integrante e distinta das políticas de documentos de arquivo organizacionais existentes.

Em ambos os casos, recomenda-se que as organizações identifiquem e atribuam funções e responsabilidades, incluindo responsabilidades para assegurar a qualidade de metadados; identifiquem os requisitos de confiabilidade, acessibilidade, recuperação, manutenção e segurança de metadados; selecionem padrões ou esquema de metadados aplicáveis; identifiquem e estabeleçam regras para a aplicação de esquemas de codificação de metadados (vocabulários controlados, esquemas de sintaxe); determinem normas técnicas a serem utilizadas na implementação; identifiquem como a política de metadados para gerenciar documentos de arquivo se relaciona a outras políticas ou esquemas de metadados que estão em uso na organização; identifiquem critérios e metodologias de avaliação para determinar a conformidade e a eficácia da política; desenvolvam estratégias de monitoramento e avaliação para acompanhar a política; determinem como a política será mantida atualizada, de acordo com as atividades do negócio.

Recomenda-se que qualquer política permita diferentes níveis de implementação. Convém identificar o nível e a forma a serem alcançados. Recomenda-se que uma política também identifique as áreas mais críticas e requeira atenção especial em relação às estratégias de implementação de metadados, como sustentabilidade, acessibilidade, identificação de documentos de arquivo vitais, preservação e análise de risco.

Em conformidade com o modelo estabelecido de funções e responsabilidades para os documentos de arquivo (ver ISO 15489-1:2001, 6.3), recomenda-se que a responsabilidade pelo desenvolvimento, implementação e manutenção de modelos de metadados para gerenciamento de documento de arquivo seja atribuída aos arquivistas, em associação com outros funcionários da organização, como da área de tecnologia da informação ou profissionais da área jurídica, conforme apropriado. Esta responsabilidade inclui analisar as necessidades da organização de metadados para gerenciar documentos de arquivo baseados nos requisitos do negócio; monitorar e analisar a evolução da organização em relação aos metadados, em particular os requisitos para o gerenciamento dos documentos de arquivo; assegurar que os esquemas de metadados para gerenciamento de documentos de arquivo sejam desenvolvidos de acordo com as melhores práticas e com as normas aplicáveis da indústria; desenvolver o modelo de metadados para gerenciar documentos de arquivo, incluindo o esquema de metadados, e as normas organizacionais relacionados e as regras para utilizar o modelo; identificar ou desenvolver esquemas de codificação de metadados apropriados, refinamentos de elementos e qualificadores, por exemplo, plano de classificação; manter o esquema de metadados atualizado e alinhado com as necessidades do negócio; gerenciar o esquema de metadados também como um documento de arquivo; manter a qualidade geral dos metadados definidos por máquina e por seres humanos, particularmente no que se refere à sua precisão, integridade, autenticidade, usabilidade e confiabilidade; coordenar as questões de implementação entre os documentos de arquivo e o pessoal de tecnologia da informação; realizar a coordenação com os proprietários dos sistemas de negócio para assegurar a integração dos metadados de gerenciamento de documentos de arquivo, conforme apropriado; realizar a coordenação com autoridades/processos arquivísticos para assegurar a interoperabilidade entre o software de documentos de arquivo e os ambientes de arquivamento de documentos de arquivo que possuem valor permanente; elaborar um programa e rotina de treinamento dos agentes sobre o uso e a aplicação do esquema de metadados; comunicar sobre o esquema de metadados dentro da organização.

Os sistemas desenvolvidos para gerenciar documentos de arquivo requerem metadados que apoiam processos de arquivos ou mesmo de gerenciamento de documentos de arquivo. Um dos principais usos dos metadados é representar entidades a partir do ambiente de negócio no sistema de negócio. As entidades apoiam a perspectiva dos documentos de arquivo para entender o ambiente de negócio, mas eles não são em si mesmos objetos sempre tangíveis.

A figura abaixo especifica o modelo conceitual de entidade e apoia qualquer número de entidades, mas de particular importância são as seguintes: os próprios documentos de arquivo sejam um documento individual ou agregações de documentos de arquivo (conhecidos como entidades de registro); as pessoas ou estruturas de organização no ambiente de negócio (conhecidas como entidades agente); transações de negócio (conhecidas como entidades de negócio); as regras que regem a transação e documentação de negócio (conhecidas como entidades competentes).

Não se espera que todas as implementações desta parte da NBR ISO 23081 implementem diretamente todas as classes de entidades descritas. Tais decisões dependerão da capacidade de assegurar ligações contínuas descritas entre as várias classes de entidades. As incertezas sobre a persistência podem levar a implementações centradas em documentos de arquivo, onde metadados sobre outras classes de entidades são trazidos explicitamente para dentro dos limites da própria classe de documento de arquivo.

Tais implementações achatam o modelo de entidade e incluem a informação sobre as classes faltantes de entidades dentro de outras entidades. Por exemplo, uma implementação que não contenha classes de agentes, determinações ou de negócio pode incluir as informações necessárias para a implementação da classe de documento de arquivo.

As orientações para a gestão da segurança da informação

Conheça as orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001.

A NBR ISO/IEC 27003 de 04/2020 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações fornece explicações e orientações sobre a NBR ISO/IEC 27001:2013.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como entender as necessidades e expectativas das partes interessadas?

Quais as orientações para estabelecer o escopo de um SGSI?

Por que a liderança e o comprometimento são essenciais para um sistema de gestão de segurança da informação (SGSI) efetivo?

Quais as orientações para uma política de segurança?

Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção de este documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados.

Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: compreender as necessidades da organização e a necessidade de estabelecer política de segurança da informação e objetivos de segurança da informação; avaliar a organização, e os riscos relacionados à segurança da informação; implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; fiscalizar e analisar o desempenho e a eficácia do SGSI; e praticar a melhoria contínua.

Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: política; pessoal com responsabilidades definidas; processos de gestão relacionados com o estabelecimento de política; provisão de conscientização e competência; planejamento; implementação; operação; avaliação de desempenho; análise crítica pela direção; melhoria; e informação documentada. Um SGSI tem componentes principais adicionais, como: avaliação de riscos de segurança da informação; e tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles.

Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas.

As descrições das Seções 4 a 10 são estruturadas da seguinte forma: Atividade necessária: apresenta as principais atividades necessárias na subseção correspondente da NBR ISO/IEC 27001; Explicação: explica o que os requisitos da NBR ISO/IEC 27001 demandam; Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e Outras informações: fornece mais informações que podem ser consideradas.

As NBR ISO/IEC 27003, NBR ISO/IEC 27004 e NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a NBR ISO/IEC 27001:2013. Dentre esses documentos, a NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação.

As NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à NBR ISO/IEC 27001:2013, 7.5.1 b).

Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b)”. A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI).

Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. A análise destas questões tem três objetivos: entender o contexto a fim de decidir o escopo do SGSI; analisar o contexto para determinar riscos e oportunidades; e assegurar que o SGSI esteja adaptado para mudar questões externas e internas.

Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: social e cultural; político, jurídico, normativo e regulatório; financeiro e macroeconômico; tecnológico; natural; e competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segurança da informação e como a segurança da informação pode ser gerida. As questões externas relevantes dependem da situação e das prioridades específicas da organização.

Por exemplo, questões externas para uma organização específica podem incluir: implicações legais do uso de um serviço de TI terceirizado (aspecto legal); características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros).

Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: cultura da organização; políticas, objetivos e estratégias para alcançá-los; governança, estrutura organizacional, funções e responsabilidades; normas, diretrizes e modelos adotados pela organização; relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; processos e procedimentos; capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); infraestrutura e ambiente físicos; sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3.

Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: analisar criticamente o ambiente externo para identificar questões externas relevantes; e analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação?

Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria.

EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação.

Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b).

Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são.

BS ISO 19626-1: as plataformas de comunicação confiáveis para documentos eletrônicos

Essa norma internacional, editada pelo BSI em 2020, define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

A BS ISO 19626-1:2020 – Processes, data elements and documents in commerce, industry and administration. Trusted communication platforms for electronic documents. Fundamentals define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

Este documento enfoca o TCP na exibição da 7ª camada do aplicativo do Modelo de Referência OSI (Open Systems Interconnection). As audiências são os decisores políticos para a inovação de TI, como desmaterialização, especialistas jurídicos em atividades eletrônicas, planejadores de TI para janelas únicas e transações seguras, provedores de serviços de TI relacionados a redes e livros distribuídos, auditores de sistemas confiáveis, partes interessadas em comunicação confiável e assim por diante.

Conteúdo da norma

Prefácio

Introdução

1 Escopo

2 Referências normativas

3 Termos e definições

4 Comunicação confiável

4.1 Visão geral

4.2 Considerações legais

4.3 Requisitos administrativos

5 Plataforma de comunicação confiável (TCP)

5.1 Visão geral

5.2 Arquitetura do sistema TCP

5.3 Requisitos de sistema do TCP

5.4 Regras do sistema TCP

5.5 Comunicação TCP

6 Evidência de comunicação confiável (TCE)

6.1 geração TCE

6.2 Procedimento probatório

6.3 Custódia de TCE

Anexo A Modelo de referência de comunicação confiável

Anexo B TCP principal: qualidade e gestão de riscos

B.1 Geral

B.2 Gerenciamento de riscos

B.3 Gerenciamento de qualidade

B.4 Monitoramento e auditoria

Ligação de comunicação dos anexos C dos TCPSPs (um exemplo)

Bibliografia

Em meio ao grande fluxo de abertura e integração na economia mundial, as TIC (tecnologia da informação e comunicação) são usadas como um meio de inovação em produtividade e conectividade. Como a cadeia de valor de produtos e serviços é ampliada globalmente, as colaborações comerciais precisam que as comunicações eletrônicas sejam seguras em um ambiente aberto e distribuído.

Nesse sentido, os documentos eletrônicos são solicitados como prova das comunicações comerciais, enquanto isso é necessário. No entanto, pode ser difícil reconhecer documentos eletrônicos como a fonte original. Existem casos em que muitos processos dependem apenas de documentos em papel, mesmo que os documentos eletrônicos sejam amplamente implementados nos processos de negócios.

Porém, a realidade é que, mesmo que os documentos eletrônicos sejam adequadamente comunicados nas transações comerciais, a saída final dos dados pode estar em papel e armazenada na forma de cópias impressas, como evidência legal por um período de longo prazo. Assim, esse ambiente coexistente de documentos eletrônicos e documentos em papel causa quebra da cadeia de valor, resultando em produtividade lenta, ineficiência, aumento de custos e compensação do benefício obtido das TIC, a fim de melhorar essas situações.

Uma solução desmaterializante deve atender a considerações legais sobre documentos comunicados eletronicamente. Essa solução não é fácil, porque a própria comunicação eletrônica inclui as incertezas decorrentes de falhas na rede e o próprio documento eletrônico é insuficiente para proteger a integridade durante seu ciclo de vida. Enquanto isso, o problema devido ao repúdio, divulgação inadvertida ou adulteração foi considerado muito sensível para finalizar a solução de desmaterialização relacionada a transações comerciais, bem como diversos serviços governamentais, porque pode ser envolvido em disputas ou conflitos legais.

Este documento se concentra em como aprimorar a comunicação confiável em um ambiente aberto e distribuído. A comunicação confiável significa que a comunicação eletrônica pode garantir a integridade e o repúdio às transações eletrônicas por terceiros confiáveis, de forma desmaterializada, sob a orientação da United Nations Commission on International trade Law (Uncitral). Para esse ambiente aberto e distribuído, inicialmente, ele deve ser capaz de minimizar algumas dificuldades inatas em torno da desmaterialização.

Para resolver essas dificuldades, este documento aborda uma solução, formando um relacionamento confiável e orientado a terceiros de confiança mútua entre as partes interessadas e implementando uma plataforma compartilhada que seja responsável e rastreável. Em detalhe, uma plataforma de comunicação confiável precisa ser capaz de manter as evidências sobre documentos comunicados eletronicamente de maneira confiável e confiável. Para isso, é necessária uma nova abordagem, pois o ambiente de TIC existente possui alguns limites para a comunicação confiável em alguns aspectos. Embora uma transação EDI (troca eletrônica de dados) possa fornecer evidências legais sobre documentos eletrônicos intercambiados de acordo com a regra de sintaxe EDI, ela tem limitações permitidas apenas para usuários fechados da rede EDI e processos predefinidos de semântica EDI.

No caso da internet, não importa quais transações comerciais sejam comunicadas com segurança, é difícil reconhecer a legitimidade das comunicações realizadas em outros sistemas de autenticação. Nesse sentido, este documento estabelece um processo de desmaterialização refinado, permitido no ambiente de TIC aberto e distribuído, aplicável à comunicação confiável, como comércio eletrônico, administração eletrônica, comércio eletrônico e assim por diante.

A tecnologia de segurança foi usada como uma tecnologia central para documentos eletrônicos protegidos. No entanto, não basta manter a desmaterialização de documentos eletrônicos, pois é fácil quebrar a integridade no aspecto do período de segurança válido. Nesse sentido, este documento apresenta uma nova maneira que pode garantir a autenticidade da evidência de comunicação confiável por um longo período de tempo necessário como evidência legal.

Os serviços de TI em um ambiente aberto não podem identificar facilmente a originalidade das comunicações eletrônicas, contabilizando o contexto da comunicação, que é originador, destinatário (s), tempo de comunicação e assim por diante. Em relação às incertezas, como modificação, falsidade ou descoramento de documentos comunicados eletronicamente, não é fácil identificar e perguntar de quem é a responsabilidade entre várias partes interessadas.

Além disso, se a blockchain deve ser aplicada em toda a cadeia de suprimentos, é necessária uma comunicação confiável para uma conectividade perfeita. Nesse sentido, este documento pode tornar as transações comerciais responsáveis e confiáveis e, consequentemente, promover serviços de TI confiáveis. Uma evidência gerada por meio de uma plataforma de comunicação confiável pode explicar a verdade das atividades de comunicação e instalações de serviços de comunicação confiáveis.