Política da Organização de Segurança Global Página 1 de 21 ... · A política estabelece um padrão mínimo. Ela pode ser substituída ... diretor de segurança corporativa da

Política da Organização de Segurança Global Página 1 de 21 Política 103 Responsabilidades com a Segurança de Informações para

Colaboradores e Gerentes

Data de emissão: 01/04/2017

Substitui: 31/01/2016

Data da última revisão: 01/04/2018

Somente para uso interno da ADP O diretor de segurança é responsável pela interpretação e administração desta política.

103.0 Política de Responsabilidades com a Segurança de Informações para Colaboradores e Gerentes Declaração de política Controles de segurança apropriados devem ser implementados para garantir que os indivíduos contratados pela ADP tenham passado pela investigação adequada anterior ao emprego. Os colaboradores são informados sobre as políticas de segurança e suas responsabilidades antes da contratação e durante o período de seu emprego. O acesso aos recursos necessários deve ser fornecido e removido conforme o apropriado. Escopo da política Esta política se aplica aos colaboradores e terceirizados da ADP mundialmente sujeitos aos requisitos da legislação local. A política estabelece um padrão mínimo. Ela pode ser substituída ou suplementada por outros controles de política e padrões que determinem requisitos adicionais ou diferentes em determinadas regiões geográficas, onde as leis aplicáveis impõem outros requisitos à ADP. Esta política se aplica às informações em qualquer formato (por exemplo, formatos eletrônicos e físicos). Esta política também se aplica aos gerentes de Recursos Humanos e unidades comerciais envolvidos na contratação, treinamento, avaliação ou demissão de colaboradores. Objetivo da política Esta política fornece orientações sobre como gerenciar pessoal, consultores, terceirizados e fornecedores que tiverem acesso ou posse de recursos de informações da ADP. Esta política tem como objetivo reduzir os riscos de ocorrer erro humano, roubo, fraude ou uso indevido de recursos e instalações de informações. O não cumprimento desta política pode resultar em ação disciplinar progressiva, até, inclusive, a rescisão do contrato de trabalho. As solicitações para não seguir qualquer política de segurança devem ser encaminhadas ao diretor de segurança corporativa da sua unidade comercial ou país.

103.1 Controles anteriores ao emprego

103.1.01 Investigação de colaboradores

Verificações de antecedentes anteriores ao emprego Sujeito aos requisitos da legislação local, verificações de antecedentes são necessárias para colaboradores recém-contratados, fornecedores, consultores e outros terceiros que tiverem acesso às instalações e sistemas da ADP, informações da ADP ou informações de clientes da







ADP. Deve ser obtido consentimento prévio por escrito dos indivíduos afetados antes da realização dessas verificações. Se funcionários terceirizados ou equipe temporária forem fornecidos por meio de uma agência, o contrato com a agência deve especificar claramente as responsabilidades da agência com relação a investigação e a notificação que deve ser seguida, caso a investigação não tenha sido realizada ou os resultados criarem motivo para dúvida ou preocupação.

A investigação de antecedentes, conforme permitido pela legislação local, deve incluir, sem limitação, os seguintes critérios:

Verificação de antecedentes criminais Verificação de formação educacional Verificação de empregos Verificação da identificação emitida pelo governo (por exemplo, verificação de SSN nos

EUA, verificação de SIN no Canadá) Teste de drogas Pesquisa de registros de tribunal civil (somente EUA) Verificação de registro de sanções do governo (OFAC) Histórico de multas e acidentes (somente para cargos de motorista)

Verificações avançadas de antecedentes são obrigatórias para qualquer colaborador que estiver se candidatando para:

Cargos com acesso significativo a sistemas Cargos com acesso ao processo de serviços bancários de produção final Cargos que envolvem funções relativas à movimentação de dinheiro Cargos de responsabilidade de nível sênior em locais onde a movimentação de dinheiro

é executada Advogados trabalhando em capacidade jurídica Médicos trabalhando no Departamento médico da ADP Candidatos e colaboradores que trabalharem na central de dados da ADP

Proteção de informações durante o processo de emprego As informações recolhidas sobre colaboradores e terceirizados em potencial devem ser coletadas de acordo com as leis e regulamentos e ser limitadas somente aos colaboradores internos que precisam sabê-las.

O departamento de Recursos Humanos (RH) e a Organização de Segurança Global (GSO) fornecerão políticas de tratamento de informações protegidas e confidenciais durante a introdução de novos indivíduos à ADP. Os colaboradores em potencial não devem receber acesso a informações da ADP ou informações de clientes, classificadas como para Uso interno da ADP ou acima, até que tenham sido formalmente contratados.







103.1.02 Reconhecimento do usuário sobre segurança

Incluindo responsabilidades com a segurança nos termos e condições de emprego Sujeito aos requisitos da legislação local, colaboradores, consultores externos e terceirizados da ADP devem reconhecer um conjunto de requisitos de segurança que claramente determinam suas responsabilidades em relação à segurança de informações. Dependendo da legislação local, isso pode exigir um contrato de emprego. A responsabilidade apropriada com a segurança faz parte dos termos e condições de emprego. Os procedimentos e Políticas Anti-suborno e de Ética da ADP devem ser considerados como complementos aos termos e condições para colaboradores, consultores externos e terceirizados que operam em setores/países de alto risco.

103.2 Durante os controles de emprego

103.2.01 Reconhecimento das responsabilidades com a segurança de informações

Responsabilidades com a segurança de informações Por que a segurança e a privacidade são importantes As políticas da ADP definem os princípios fundamentais para a proteção da ADP, de nossos colaboradores, nossos recursos e nossas informações, bem como os recursos e informações de nossos clientes. Estas políticas têm o respaldo dos padrões apropriados. A ADP tem uma obrigação ética e legal de proteger as informações do cliente, colaborador e empresa, assim como a privacidade dos indivíduos cujos dados nós mantemos. Todos os colaboradores, consultores, contratados e terceiros que trabalham na ADP são responsáveis por cumprir todas as políticas e padrões determinados neste documento, sujeito aos requisitos da legislação local. Proteção de informações Todos os dados de cliente e a maioria dos dados internos da ADP são considerados Material Confidencial da ADP. Tenha cuidado redobrado ao visualizar, armazenar, utilizar, transmitir ou descartar informações sigilosas armazenadas em: cópia impressa, documentos eletrônicos ou gravações de voz. Suas responsabilidades:

1. Nunca acesse ou visualize dados de cliente sem um motivo comercial válido. Para obter mais informações, consulte a 110 - Política de Acesso e Autenticação

2. Proteja Informações Confidenciais da ADP

Não envie Informações Pessoais Sigilosas, como números de Seguridade Social e outras identificações emitidas pelo governo, por e-mail.







Forneça Informações Confidenciais da ADP a clientes por aplicativos ou sistemas clientes da ADP, quando disponíveis

Forneça acesso a Informações Confidencias da ADP somente quando elas forem necessárias, restringindo o acesso quando apropriado.

Não forneça Informações Confidenciais da ADP a terceiros sem autorização por escrito do cliente ou permissão do Departamento Jurídico.

Não forneça dados Confidenciais da ADP a ninguém, seja clientes, representantes de clientes, parceiros comerciais ou até mesmo outros colaboradores, a menos que tenha certeza da identidade e autoridade dessa pessoa.

Esteja atento a possíveis scams ou esforços de engenharia social, que solicitem informações sobre você, a ADP ou nossos clientes.

Comunique incidentes de segurança ao defensor de segurança corporativa local imediatamente.

Para obter mais informações, consulte

104 - Política de Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados

105 - Política de Tratamento e Classificação de Informações

3. Não utilize dados de produção (por exemplo, dados de clientes, dados de colaboradores etc.) para o desenvolvimento, teste, treinamento, apresentações ou qualquer outra finalidade que não seja a de fornecer serviço de produção, teste de aceitação específico ao cliente ou diagnóstico de produção.

Os dados de clientes podem ser armazenados de diversas formas, inclusive, sem restrições:

o Cópia impressa o Eletrônica o Gravações de voz

Não copie dados de cliente de ambientes de produção em ambientes de teste. Se isso for necessário para fins comerciais, os dados devem ter sua identificação removida para garantir que os dados não sejam rastreados até um cliente ou funcionário de cliente.

Qualquer situação que exija o uso de dados de cliente para desenvolvimento e teste não específicos ao cliente deverá passar pelo processo de Gestão de Risco Operacional da GSO.

Para obter mais informações, consulte a 113 - Política de Gestão de Aplicações

4. Classifique e identifique dados adequadamente. As classificações incluem:

Público

Somente para Uso Interno da ADP

Material Confidencial da ADP Material Restrito da ADP







Para obter mais informações, consulte a 105 - Política de Tratamento e Classificação de Informações

5. Use somente métodos seguros para transmitir dados confidenciais.

Transmissões seguras incluem, entre outras: e-mail seguro, transferência segura de arquivos (de aplicativo para aplicativo) e mídia eletrônica criptografada (por exemplo, CD ou unidade USB).

Confirme se a lista de destinatários está correta

Em circunstância alguma envie informações confidenciais fora da ADP sem utilizar um método seguro.

Se não tiver certeza de quais ferramentas ou métodos existentes permitirão a transmissão segura de dados confidenciais, entre em contato com seu diretor de segurança corporativa.

Para obter mais informações, consulte

104 - Política de Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados


PROTEÇÃO DE ESTAÇÕES DE TRABALHO E COMPUTADORES Mantenha as informações confiadas a você em segurança protegendo o seu espaço de trabalho e computador.

Suas responsabilidades: 6. Laptops, telefones celulares e outros dispositivos móveis da ADP são roubados ou

perdidos com frequência. Esses dispositivos devem permanecer em sua posse a todo momento e ser protegidos em um escritório ou armário trancado, se forem deixados sozinhos.

Se deixar o seu laptop ou dispositivo móvel em um veículo, tranque-o no porta-mala para que não fique à vista

Nunca deixe o seu laptop durante a noite em um veículo.

Não despache um laptop ou dispositivo móvel como bagagem em nenhuma forma de transporte nem o deixe em uma área de armazenamento de bagagem em um hotel.

Não mantenha senhas, cartões de acesso, mecanismos de autenticação/tokens ou informações confidenciais em cópia impressa junto com o seu laptop.

Não compartilhe senhas ou credenciais de acesso com ninguém. Somente pessoal autorizado da ADP pode fornecer manutenção/suporte a equipamentos da ADP.

Para obter mais informações, consulte Mobile Device Physical Security Standard, localizado em Documentos relacionados - Política 103.

7. Sempre que sair do seu espaço de trabalho, bloqueie o seu computador. Se precisar de

assistência, entre em contato com o suporte local. Para obter mais informações, consulte







a 110 - Política de Acesso e Autenticação.

8. Pratique a computação segura.

Não abra e-mails de origens desconhecidas

Não clique em links nem abra anexos desconhecidos

Suspeite de e-mails que solicitem suas credenciais ou informações confidenciais

Para obter uma lista atual de e-mails fraudulentos conhecidos, acesse o Portal de Serviços da Organização de Segurança Global.

Para obter mais informações, consulte a 104 - Política de Uso Aceitável de Comunicações Eletrônicas e Proteção de Dados.

9. Mantenha dados confidenciais (cópias impressas e eletrônicas) apenas pelo tempo em

que forem necessários. Ter uma mesa limpa e organizada é uma forma importante de manter informações confidenciais longe das mãos erradas. Guarde documentos de acordo com a Política Global de Gestão de Informações de Registros da ADP, bem como as práticas individuais da sua unidade comercial. Para obter mais informações, consulte a 105 - Política de Tratamento e Classificação de Informações

10. Somente utilize serviços de descarte de documentos aprovados ou rasgue todas as cópias impressas de documentos contendo informações confidenciais quando terminar de usá-los. Da mesma forma, utilize somente os métodos aprovados que removam todos os dados completamente ao descartar, enviar para reparo ou preparar para reutilização mídias eletrônicas como CD, fita magnética, disco rígido, pendrive e outros dispositivos móveis. Para obter mais informações, consulte


106 - Política de Segurança Física

11. Somente utilize computadores desktop, laptops e dispositivos móveis autorizados pela ADP para realizar trabalhos da ADP, inclusive os dispositivos conectados remotamente a uma rede da ADP com VPN. Para obter mais informações, consulte


107 - Política de Gestão de Operações de Segurança

110 - Política de Acesso e Autenticação

PRESERVAÇÃO DA SEGURANÇA FÍSICA Proteja o acesso às instalações da ADP.

Suas responsabilidades: 12. Exiba o seu crachá de identificação da ADP abertamente a todo momento quando

estiver nas instalações da ADP. Para obter mais informações, consulte a 106 - Política de Segurança Física

13. Comunique qualquer pessoa que não estiver exibindo um crachá ao seu supervisor ou ao membro da equipe de segurança mais próximo. Para obter mais informações,

https://myadp.adpcorp.com/wps/myportal/main/ourCompany/SupportAndServices/GlobalSecurityOrganization


https://adp.policyhub.com/PolicyHub/DocumentViewer.aspx?DocumentRevision=859







consulte a 106 - Política de Segurança Física

14. Preste atenção para que outras pessoas não entrem em uma unidade atrás de você e que os seus convidados e fornecedores identifiquem-se com a segurança do edifício ou na recepção do local, obtenham e utilizem crachá de visitante e estejam sempre acompanhados. Para obter mais informações, consulte a 106 - Política de Segurança Física

15. Se esquecer o seu crachá em casa ou perdê-lo, o fato deve ser comunicado

imediatamente. Para obter mais informações, consulte a 106 - Política de Segurança Física

APRENDIZAGEM SOBRE SEGURANÇA Fique atento, informado e alerta para manter a segurança. Ameaças e tecnologias estão sempre mudando. Acesse o Portal de Serviços da Organização de Segurança Global para obter mais informações. Sua responsabilidade:

16. A ADP oferece a seus colaboradores diversas formas de conscientização e treinamento sobre segurança que podem ser encontradas no iSucceed, que é o Sistema de Gerenciamento de Talentos da ADP. Mantenha-se atualizado aproveitando esse treinamento ao máximo. Saiba onde encontrar informações sobre segurança no Portal de Serviços da Organização de Segurança Global. Saiba onde encontrar políticas de privacidade, risco e segurança da ADP no PolicyHub. Para obter mais informações, consulte

101 - Política de Segurança, Risco e Privacidade

103 - Política de Responsabilidades com a Segurança de Informações para Colaboradores e Gerentes

107 - Política de Gestão de Operações de Segurança

COMUNICAÇÃO DE INCIDENTES E VIOLAÇÕES DE SEGURANÇA Comunique imediatamente todos os incidentes de segurança, violações e atividades suspeitas para que possam ser tratados adequadamente.

Suas responsabilidades: 17. Os incidentes de segurança devem ser comunicados imediatamente ao defensor de

segurança corporativa local. Um incidente de segurança inclui qualquer violação de informações confidenciais que resulte na exposição acidental ou intencional de informações da ADP ou de clientes a uma parte não autorizada, bem como eventos que coloquem em risco as instalações, os recursos ou os sistemas da ADP.

Todos os colaboradores são responsáveis por saber como entrar em contato com seu defensor de segurança corporativa local




https://adp.policyhub.com/PolicyHub/







Uma lista de defensores de segurança corporativa local pode ser encontrada no Portal de Serviços da Organização de Segurança Global.

Para obter mais informações, consulte a 109 - Política de Gestão de Investigações, Descoberta Eletrônica e Incidentes

18. Entre em contato imediatamente com o departamento de segurança ou a gerência da

sua unidade se notar visitantes ou atividades suspeitas. Para comunicar fraude, violência no local de trabalho ou ameaças, ligue para 001-800-869-7687, ou envie um e-mail para [email protected]. Para obter mais informações, consulte a 106 - Política de Segurança Física

PROTEÇÃO DE HARDWARE E SOFTWARE DE COMPUTADOR

19. Os colaboradores somente têm permissão de instalar hardware e software padrão da ADP. A instalação de hardware e software fora do padrão pode violar leis de direitos autorais e política de segurança. Para obter mais informações, consulte

Computer Hardware and Software Policy

107 - Política de Gestão de Operações de Segurança AÇÃO DISCIPLINAR O não cumprimento desta política pode resultar em ação disciplinar progressiva até, inclusive, a rescisão do contrato de trabalho, sujeito à legislação local aplicável. As solicitações para não seguir qualquer política de segurança devem ser encaminhadas ao diretor de segurança corporativa da sua unidade comercial ou país. Lembre-se: Você é responsável por proteger as informações que forem confiadas a você. Se não tiver certeza de como conformar-se com qualquer um desses requisitos, ou se tomar conhecimento de violações a políticas de segurança da ADP, entre em contato com o seu gerente ou diretores de segurança corporativa. Você também pode ligar para o Hotline de Ética da ADP em 001-800-273-8442

103.2.02 Acordos de confidencialidade

Acordos de não divulgação (NDAs) Equipe contratada, terceirizados, consultores, fornecedores e outros terceiros devem assinar um Acordo de não divulgação no Contrato de terceiros. Se pessoas sob a responsabilidade de terceiros tiverem que acessar informações classificadas como Somente para uso interno da ADP ou mais elevado, um Acordo de confidencialidade individual deverá ser assinado pelo indivíduo. O Acordo de não divulgação deve ser revisado conforme necessário.



mailto:[email protected]







103.2.03 Treinamento em segurança da informação

Treinamento especializado para colaboradores de segurança Os colaboradores em cargos com funções significativas de segurança (por exemplo, administradores de sistemas, colaboradores da Organização de Segurança Global etc.) devem possuir ou receber treinamento especializado em segurança apropriado para a realização de suas funções. Esses usuários devem ser treinados com base em suas posições e responsabilidades.

103.2.04 Separação de funções

Separação de funções A gestão ou execução de determinadas funções ou áreas de responsabilidade deve ser separada o máximo possível. Isso minimizará o risco de roubo, fraude, erro e modificação não autorizada ou uso indevido de dados ou serviços. Um indivíduo principal e um alternativo devem ser encarregados das funções com segurança da informação crucial, e os alternativos devem ter o conhecimento necessário para realizar essas funções, caso o principal não esteja disponível.

103.2.05 Rodízio de colaboradores cruciais

Reatribuição periódica de colaboradores Quando viável, os gerentes da ADP devem periodicamente reatribuir os colaboradores responsáveis por funções cruciais. Isso deve ser feito onde houver potencial de alto risco de fraude e fazer isso mitigará conluio.

103.3 Controles de transferência/demissão/rescisão de contrato

103.3.01 Rescisões de contrato de trabalho, demissões e transferências

Processo de acompanhamento de colaboradores e terceirizados demitidos Dependendo da natureza da demissão, e sujeito à legislação local, o colaborador demitido deve







ser sujeito a níveis variados de observação, escolta e exclusão. Em caso de demissão de colaboradores ou indivíduos terceirizados, colaboradores de gerência/supervisão devem inspecionar todos os materiais que a pessoa demitida deseja remover do local. As pessoas demitidas deverão devolver todas as Informações Confidenciais da ADP em sua posse, bem como todos os recursos pertencentes à ADP.

Reutilização de equipamentos de computação ou comunicação após demissão de colaborador Equipamentos de computação ou comunicação (por exemplo, laptop) entregues para ou usados por colaboradores demitidos para a realização de negócios da ADP deverão ser examinados pelo grupo de suporte apropriado, que deverá apagar os dados do equipamento antes da reutilização do dispositivo ou da sua entrega para outro colaborador, a menos que aprovado por um gerente sênior do departamento de RH ou jurídico. Para obter informações sobre como manusear quaisquer arquivos/informações internas recuperados do equipamento de computação, consulte a norma corporativa intitulada Revogação de acesso ao sistema (desaprovisionamento).

Revogação de acesso ao sistema (desaprovisionamento) Quando colaboradores, consultores externos e terceirizados deixarem a ADP, seja por demissão, rescisão de contrato de trabalho, alteração das responsabilidades de trabalho ou um afastamento prolongado do trabalho, seu acesso aos sistemas eletrônicos e instalações, inclusive acesso remoto e acesso a informações de clientes, deve ser revogado, a menos que proibido por lei. É responsabilidade do gerente autorizado fazer as alterações apropriadas. Isso deve ser feito em até vinte e quatro (24) horas da notificação de uma mudança no status de um usuário. Quando um colaborador se demite ou é demitido, o seguinte procedimento deve ser realizado:

A(s) conta(s) de domínio do colaborador PRECISAM ser revogadas. Essa única ação revogará o acesso a todos os sistemas que utilizam o domínio para autenticação e autorização. Quando isso não puder ser feito, os privilégios e/ou senhas do colaborador devem ser alterados para impedir o acesso. Todas as senhas conhecidas pelo colaborador em todos os sistemas devem ser alteradas.

Todas as senhas de contas com privilégio conhecidas pelo colaborador devem ser alteradas.

O acesso do colaborador deve ser revogado de quaisquer arquivos que concedam acesso à conta.

Os arquivos de propriedade do colaborador devem ser identificados e arquivados ou alterados para outro colaborador.

Trabalhos em lote anteriormente solicitados ou anteriormente enviados devem ser







revisados. Toda a propriedade da ADP deve ser coletada, inclusive, de maneira irrestrita:

Chaves, crachás de identificação/acesso à instalação e senhas de armário

Tokens ou outros dispositivos de autenticação de segundo fator Dados e documentações confidenciais da ADP e/ou de clientes Procedimentos de operação Documentação de programas Equipamentos, estações de trabalho, laptops, smartphones, tablets,

pagers, notebooks, computadores e ferramentas pertencentes à ADP Arquivos online, arquivos ativos e bibliotecas Listas de distribuição Listas de controle e listas de contatos telefônicos

Para os colaboradores que forem transferidos e não precisarem mais de acesso, isso deve ser realizado dentro de um intervalo de tempo razoável para garantir que não haja interrupção de atendimento ao cliente.

Briefing em caso de demissão O gestor do colaborador demitido deve conduzir um briefing para lembrar o colaborador de suas responsabilidades contínuas conforme definido pelos Acordos de não divulgação (NDA) e outros acordos de emprego e/ou quaisquer leis locais aplicáveis.







103.0 Information Security Responsibilities for Associates and Managers Policy Policy Statement Appropriate security controls must be implemented to ensure those hired by ADP have undergone appropriate pre-employment screening. Associates are informed of security policies and their responsibilities upon hiring and during their term of employment. Access to necessary resources must be provided and removed as appropriate. Policy Scope This Policy applies to ADP Associates and contractors worldwide subject to the requirement of local law. It sets a minimum standard. It may be replaced or supplemented by other policy controls and standards which state additional or different requirements in certain geographic regions where applicable laws impose other requirements on ADP. This policy applies to information in any format (example, electronic and physical formats). This policy also applies to Human Resources and business unit managers involved in associate hiring, training, evaluation or termination. Policy Purpose This policy provides guidance on managing personnel, consultants, contractors and vendors who have access to, or custody of ADP information resources. This policy is intended to reduce risks of human error, theft, fraud or misuse of information resources and facilities. Failure to comply with this policy may result in progressive disciplinary action, up to and including termination of employment. Requests to deviate from any security policy must go through the respective Business Security Officer for your BU or country.

103.1 Pre-Employment Controls

103.1.01 Associate Screening

Pre-Employment Background Checks Subject to the requirement of local law, background checks are required for newly hired associates, vendors, consultants, or other third parties, who have access to ADP facilities, systems, ADP information or client information. Prior written consent must be obtained from the affected individuals before performing these checks. If contractors or temporary staff are provided through an agency, the contract with the agency should clearly specify the agency's responsibilities for screening and the notification they need to follow if screening has not been completed or if the results give cause for doubt or concern.







The background investigation, as permitted local law, should include, but is not limited to, the following criteria:

Criminal check Education check Employment check Government issued ID verification (example, Social Security Number check in US, Social

Insurance Number check in Canada) Drug test Civil Court Records search (US only) Government Sanctions Registry (OFAC) check Driving record (only for driver positions)

Advanced background checks are required for any associate applying for:

Positions having significant systems access Positions having access to the end production banking process Positions which involve functions related to the movement of money Senior level positions of responsibility at locations where money movement is executed Attorneys working in a legal capacity Physicians working in ADP’s Medical Department Applicants and associates who work at an ADP data center

Securing Information During Employment Process Information gathered on potential associates or contractors should be collected in accordance with laws and regulations and be limited to a 'need to know' basis for internal associates.

The Human Resources (HR) department and the Global Security Organization (GSO) will facilitate secure and confidential information handling policies when introducing new individuals to ADP. Potential associates must not be provided access to ADP information or client information, classified as ADP Internal Use or above, until they have been formally hired.

103.1.02 User Acknowledgement of Security Awareness

Including Security Responsibilities in the Terms and Conditions of Employment Subject to the requirement of local law, ADP associates, third party consultants, and contractors should acknowledge a set of security requirements which clearly states their responsibilities related to information security. Depending on local law, this may require an employment contract. Proper security responsibility is part of the terms and conditions of employment. ADP's Anti-Bribery and Ethics Policies and procedures should be considered as additions into







the terms and conditions for associates, third party consultants, and contractors operating in high-risk sectors/countries.

103.2 During Employment Controls

103.2.01 Acknowledgement of Information Security Responsibilities

Information Security Responsibilities Why Security and Privacy are Important ADP policies define the fundamental principles for the protection of ADP, our associates, our funds and information, as well as the funds and information of our clients. These policies are supported by appropriate standards. ADP has an ethical and legal obligation to safeguard client, associate and company information, as well as to protect the privacy of individuals whose data we maintain. All associates, consultants, contractors, and other third parties engaged with ADP are responsible for adhering to all ADP policies and standards as outlined in this document, subject to the requirement of local law. Protecting Information All client data and much of ADP’s internal data are considered ADP Confidential. Take particular care when viewing, storing, using, transmitting or disposing of sensitive information stored on: hard copy, electronic documents, or voice recordings. Your Responsibilities:

20. Never access or view client data without a valid business reason. For more information, refer to the 110-Access and Authentication Policy

21. Protect ADP Confidential information

Do not send Sensitive Personal Information, such as Social Security Numbers and other government-issued identifiers via email.

Provide ADP Confidential information to clients via ADP client applications or systems where available

Provide access to ADP Confidential information on a need to know basis, restricting access as appropriate.

Do not provide ADP Confidential information to a third party without the written authorization of the client or permission from the Legal department.

Do not provide ADP Confidential data to anyone–clients, client representatives, business partners or even other associates–unless you are sure of the identity and authority of that person.

Be on the lookout for potential scams or social engineering efforts, which request information about you, ADP, or our clients.

Report security incidents to your Local Business Security Champion immediately.







For more information, refer to

104-Acceptable Use of Electronic Communications and Data Protection Policy

105-Information Handling and Classification Policy

22. Do not use production data (example, client data, Associate data, etc.) for development, testing, training, presentations or any purpose other than providing production service, client-specific acceptance testing, or production diagnostics.

Client data may be stored in various forms, including but not limited to: o Hard copy o Electronic o Voice recordings

Do not copy client data from production to test environments. If this is required for business purposes, the data must be de-identified to ensure data cannot be traced to a client, client employee or customer.

Any situation that requires use of client data for non-client specific development or testing must go through GSO Operational Risk Management process.

For more information, refer to the 113-Application Management Policy

23. Classify data and label it appropriately. Classifications include:

Public

ADP Internal Use Only

ADP Confidential ADP Restricted

For more information see 105-Information Handling and Classification Policy

24. Use only secure methods to transmit confidential data.

Secure transmissions include, but are not limited to: secure email, secure file transfer (application-to-application), and encrypted electronic media (example, CD or USB drive).

Confirm that the recipient list is correct

Under no circumstances should you send confidential information outside of ADP without using a secure method.

If you are unsure as to what tools or methods that exist that will allow you to securely transmit confidential data please contact your Business Security Officer.

For more information see

104-Acceptable Use of Electronic Communications and Data Protection Policy


SECURING YOUR WORKSTATION AND COMPUTERS Protect the information entrusted to you by securing your workspace and computer.







Your Responsibilities: 25. ADP issued laptops, cellular phones and other mobile devices are often stolen or lost.

These devices must remain in your possession at all times or be secured in a locked office or cabinet if you leave them unattended.

If you must leave your laptop or mobile device in a vehicle, lock it in the trunk so that it cannot be seen

Never leave your laptop overnight in a vehicle.

Do not check a laptop or mobile device as baggage on any form of transportation or leave it in a hotel luggage storage area.

Do not keep passwords, access cards, key fobs/tokens, or hard copy confidential information with your laptop.

Do not share your passwords or access credentials with anyone. Only ADP authorized personnel can provide maintenance/support for ADP issued equipment.

For more information see the Mobile Device Physical Security Standard, which is located in the Related Documents-Policy 103.

26. Every time you leave your workspace lock your computer. If you need assistance, please

contact your local computer support. For more information, refer to the 110-Access and Authentication Policy.

27. Practice safe computing.

Do not open email from unknown sources

Do not click on unknown links or open attachments

Be very suspicious of emails seeking your credentials or confidential information.

For a current list of known fraudulent emails please visit the Global Security Organization Services Portal.

For more information, refer to the 104-Acceptable Use of Electronic Communications and Data Protection Policy.

28. Keep confidential data (hard copy and electronic) for only as long as it is needed.

Maintaining a clean desk is an important way to keep confidential information out of the wrong hands. Retain documents in accordance with the ADP Global Records Information Management Policy, as well as your individual Business Unit practices. For more information, refer to the 105-Information Handling and Classification Policy.

29. Use only approved document disposal services or shred all hardcopy documents containing confidential information when you are finished using them. Similarly, use only approved methods that fully remove all data when disposing of, sending out for repair, or preparing to reuse electronic media such as CD, magnetic tape, hard drive, USB flash drive and other mobile devices. For more information, refer to the


106-Physical Security Policy











30. Only use ADP authorized desktop computers, laptops and mobile devices for ADP work, including those devices remotely connected to an ADP network with VPN. For more information, refer to


107-Security Operations Management Policy

110-Access and Authentication Policy

MAINTAINING PHYSICAL SECURITY Safeguard access to ADP facilities.

Your responsibilities: 31. Openly display your ADP identification badge at all times when in ADP facilities. For more

information, refer to the 106-Physical Security Policy.

32. Report any person not displaying a badge to your supervisor or nearest security staff member. For more information, refer to the 106-Physical Security Policy.

33. Make sure others do not “tailgate” into a facility behind you, and that your guests and

vendors sign in with building security or reception, obtain and wear visitor passes, and are accompanied at all times. For more information, refer to the 106-Physical Security Policy.

34. If you forgot your badge at home, misplace your badge or lose your badge, it must be

reported immediately. For more information, refer to the 106-Physical Security Policy. LEARNING ABOUT SECURITY Stay aware, informed and alert in order to maintain security. Threats and technology are constantly changing. Visit the Global Security Organization Services Portal for more information. Your responsibility:

35. ADP offers its associates various forms of security awareness and training that can be found in iSucceed, which is ADP’s Talent Management System. Stay current by taking full advantage of this training. Know where to find security information on the Global Security Organization Services Portal. Know where to find ADP’s security, risk and privacy policies on PolicyHub. For more information, refer to

101-Security, Risk, and Privacy Policy

103-Information Security Responsibilities for Associates and Managers Policy

107-Security Operations Management Policy

REPORTING SECURITY INCIDENTS AND VIOLATIONS Promptly report all Security Incidents, violations and suspicious activity so that they may be




https://adp.policyhub.com/PolicyHub/







properly addressed.

Your Responsibilities: 36. Security incidents must be promptly reported to your Local Business Security Champion.

A security incident includes any compromise of confidential information that results in the accidental or intentional exposure of ADP or client information to an unauthorized party as well as events that compromise ADP facilities, resources or systems.

Each associate is responsible for knowing how to contact their Local Business Security Champion.

A list of the Local Business Security Champions can be found on the Global Security Organization Services Portal.

For more information, refer to the 109-Investigations, Electronic Discovery and Incident Management Policy

37. Contact your facility security department or on-site management immediately if you notice

suspicious visitors or activity. To report fraud, workplace violence or threats, call 001-800-869-7687, or email [email protected]. For more information, refer to the 106-Physical Security Policy.

PROTECTING COMPUTER HARDWARE AND SOFTWARE

38. Associates are permitted to only install ADP standard hardware and software. Installing non-standard hardware and software may violate copyright laws and security policy. For more information, refer to

Computer Hardware and Software Policy

107-Security Operations Management Policy DISCIPLINARY ACTION Failure to follow this policy may result in progressive discipline, up to and including termination of employment, subject to applicable local law. Requests to deviate from any security policy must go through the respective Business Security Officer for your BU or country. Remember: You are responsible for protecting the information that is entrusted to you. If you are not sure about how to comply with any of these requirements, or if you become aware of violations of ADP security policies, please check with your manager or Business Security Officers. You may also call the ADP Ethics Hotline at 001-800-273-8442

103.2.02 Confidentiality Agreements

Non-Disclosure Agreements (NDA's) Contract staff, contractors, consultants, vendors or other third parties should be covered under a Non-Disclosure Agreement under the Third Party contract. If persons under a Third Party's responsibility are required to access information classified as ADP Internal Use Only or higher,



mailto:[email protected]







then an individual Confidentiality Agreement should be acknowledged by the individual. Non-Disclosure Agreement should be reviewed as necessary.

103.2.03 Information Security Training

Specialized Training for Security Associates Associates assigned positions with significant security duties (example, system administrators, Global Security Organization associates, etc.), should already possess or be provided specialized security training appropriate to his/her duties. These users should be trained based on their roles and responsibilities.

103.2.04 Separation of Duties

Separation of Duties The management or execution of certain duties or of areas of responsibility should be separated to the extent possible. This will minimize the risk of theft, fraud, error and unauthorized modification or misuse of data or services. A primary and an alternate should be assigned to critical information security functions, and alternates should have the necessary expertise to perform those functions in the event the primary is not available.

103.2.05 Rotation of Critical Associates

Periodic Re-Assignment of Associates When feasible, ADP managers should periodically re-assign associates who are responsible for critical functions. This should be done where there is a high risk of potential for fraud as doing so will provide mitigation against collusion.

103.3 Transfer / Resignation / Termination Controls

103.3.01 Terminations, Resignations and Transfers







Process of Escorting Terminated Associates and Contractors Depending on the nature of the termination, and subject to local law, the terminated associate should be subject to varying levels of observation, escort and debarment. Upon termination of associates or third party individuals, management/supervisory associates should inspect all materials the terminated person wishes to remove from the premises. Terminated persons must return all ADP Confidential information in their possession, as well as all resources owned by ADP.

Reuse of Computing or Communications Equipment After Associate Termination Computing or communications equipment (example, laptop) issued to or used by terminated associates for ADP business should be examined by the appropriate support group who should re-image the equipment prior to reuse of the device or issuance to another associate, unless approved by senior management in Legal and HR. For information about handling any files/internal information retrieved from the computing equipment, please see the corporate standard entitled Revoking System Access (Deprovisioning).

Revoking System Access (Deprovisioning) As associates, third-party consultants and contractors leave ADP, because of resignation, termination, changed job responsibilities, or an extended leave of absence, their electronic systems and facilities access, including remote access and access to client information, must be revoked, unless prohibited by law. It is the authorized manager's responsibility to make the appropriate changes. This must be done within twenty-four (24) hours of notification of a change in a user's status. When an associate resigns or is terminated, the following should be performed:

The associate's domain account(s) MUST be revoked. This single action will revoke access to all systems which use the domain for authentication and authorization. When this cannot be done, then the associate's privileges and/or passwords should be changed to preclude access. All passwords known by the associate on all systems should be changed

All privileged account passwords known by the associate should be changed. The associate's access should be revoked from any files that grant access to the

account. Files owned by the associate should be identified and either archived or changed to

another associate. Previously requested or previously submitted batch jobs should be reviewed.







All ADP property should be collected, including but not limited to: Keys, identification / facility access badges, and lock combinations Tokens or other second factor authentication devices ADP and/or client sensitive data and documentation Operator procedures Program documentation ADP-owned equipment, workstations, laptops, smart phones, tablets,

pagers, notebooks, computers and tools Online files Active files and libraries Distribution lists Control lists and phone contact lists

For associates who transfer and no longer require access, this should be accomplished within a reasonable amount of time to ensure there is no interruption of customer service.

Termination Briefing The manager of the terminated associate should conduct a termination briefing to remind the associate on their continued responsibilities as defined by the Non-Disclosure Agreements (NDA) and other employment agreements and/or under any applicable local laws.