Política de Segurança da Informação
1. Objetivo
Garantir a disponibilidade, integridade, confidencialidade, legalidade, Autenticidade e
não repúdio da Informação, fundamento dos princípios da “Classe A Serviços”
(ClasseA), traçando as diretrizes de Segurança da Informação, praticadas pela
Empresa, seus colaboradores e parceiros.
2. Introdução
A presente “Política de Segurança da Informação” (PSI) é vinculada a normas ISO
27001 e 27701 e está baseada nas recomendações da norma ABNT NBR ISO/IEC
27002:2022.
“Segurança da Informação é a proteção da informação de vários tipos de ameaças e
vários níveis para garantir a continuidade do negócio, minimizar o risco ao negócio,
maximizar o retorno sobre os investimentos e as oportunidades de negócio” (ABNT NBR
ISO/IEC 17799:2005).
2.1 Definições
PSI: Política de Segurança da Informação, inclui todas as Políticas envolvendo a
comunicação da Empresa.
GSI: Departamento de Gestão de Segurança da Informação.
CGC: Comitê Gestor de Crise.
Segurança Cibernética: Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado, visa proteger somente assuntos relacionados ao digital.
LGPD: Lei geral de proteção de Dados Pessoais.
Ativo: Hardware, software ou informação, qualquer elemento que represente valor para a Organização.
Matriz Raci: A cerca dos ativos, todas as responsabilidades e escopos devem ser
definidas e atribuídas, um dos Itens mestres para composição de políticas, pois esta
indica ao GSI onde colher, averiguar e validar as informações.
Pentest: O teste de intrusão, também traduzido como “teste de penetração”, é um
método que avalia a segurança de um sistema de computador ou de uma rede,
simulando um ataque de uma fonte maliciosa.
Shadow IT: Refere a sistemas de tecnologia da informação implantados por
departamentos que não sejam o departamento central de TI, para contornar as
deficiências dos sistemas centrais de informação.
Confidencialidade: Garantia de que o acesso à informação seja obtido somente por
pessoas autorizadas, medidas estas para proteger a privacidade dos dados.
Integridade: Pilar da exatidão e integridade da informação e dos métodos de
processamento para proporcionar segurança e autenticidade da informação acessada.
Disponibilidade: Propriedade onde as informações e os ativos estarão disponíveis aos usuários autorizados sempre que necessário.
Autenticidade: Propriedade que garante a condição do documento ser autêntico,
verdadeiro tal qual fora criado, propriedade que garante o não repúdio.
Vulnerabilidade: Refere-se à incapacidade de resistir aos efeitos de uma ação hostil,
fragilidades de um ativo que podem potencialmente serem exploradas por ameaças.
Risco: Probabilidade de um evento e o que sua consequência possa causar de impacto na organização e seus objetivos do negócio.
Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano a um sistema ou organização, onde potencialmente remove, desabilita, danifica ou destrói um recurso ou informação.
Incidente: Evento que não faz parte da rotina operacional do Ambiente, pode causar,
ou causa, redução na qualidade de um serviço ou uma interrupção, uma ameaça
concretizada se torna um incidente.
Evento: Toda ocorrência identificada nos sistemas, serviços ou rede que indique ou não uma possível violação da segurança da informação, os eventos são os registros e
monitoramento do Ambiente.
Criptografia: Técnicas para codificar informações, tornando as ininteligíveis e em
segredo.
Violação de Dados: Incidente de segurança envolvendo dados pessoais ou dados
sensíveis.
3. Abrangência
Este documento consiste na Política de Segurança da Informação (PSI) da ClasseA,
que deve ser mantido como regimento interno tal qual os estatutos da Empresa, pois
estabelece diretrizes para a proteção de ativos e definição de responsabilidades. Todo
seu conteúdo deve ser adotado, cumprido e aplicado em todas as áreas da companhia.
Esta versão pode ser alterada a qualquer momento, suas alterações devem ser
aprovadas pela Diretoria e veiculada em nossos canais de comunicação. As
informações desta Política são revisadas e atualizadas ao mínimo uma vez ao ano, ou
conforme as demandas de Negócio ou Legais se tornem necessárias. Ela é válida a
partir do seu momento de publicação. Ela estabelece diretrizes, condutas e tratativas.
A classificação das informações, onde os devidos tratamentos e requisitos de segurança sejam aplicados na medida da importância dos dados e dos sistemas de processamento desses dados.
Gestão dos acessos às informações, composta por segregação de funções e de
Ambientes para garantir o devido uso sem desvios de conduta, tratamento ou
processamentos dos dados nos sistemas computacionais.
Tratativas quanto ao descarte e ou destruição de componentes que armazenam e
processam e operam informações.
Regras e definições quanto ao nível da classificação da informação, das operações de
acesso, processamento de dados, garantindo trilha de auditoria e logs que atendam aos requisitos normativos, contratuais, regulatórios e legais.
Gestão e resposta a incidentes de segurança cibernética, contendo planos detalhados
com coleta e análise dos dados para garantir a pronta recuperação dos sistemas de
informação e comunicação aos devidos órgãos normativos e pessoas envolvidas de
acordo com as Operações da Empresa.
Gestão de riscos aos processos de negócio, operação e processamento digital,
avaliando as ameaças, mitigando vulnerabilidades com a finalidade de trazer as
operações ao mínimo impacto dos possíveis riscos. Isso vale e é exigido de parceiros e
fornecedores de softwares ou serviços.
Desenvolvimento seguro de sistemas, proteção a ameaças relacionadas a pessoas,
tecnologias e instalações físicas, e outros riscos direta ou indiretamente relacionados
às operações da Empresa.
Gerencia do Plano de Continuidade de Negócios, utilizando diretrizes que garantam a
continuidade, integridade e disponibilidade das operações e serviços oferecidos pela
ClasseA aos seus clientes, fornecedores, e todos envolvidos nos processos de negócio.
Prevenção, proteção e detecção a vazamento de informações, intrusão de códigos
maliciosos e softwares não autorizados no ambiente computacional, uso de criptografia para proteção dos dados e nos backups (cópias de segurança das informações).
Treinamentos em segurança cibernética, Segurança da Informação e aos Pilares das
nossas políticas internas a todos os colaboradores direta e indiretamente ligados às
operações e processos de negócio da Empresa.
4. Escopo da área de tecnologia e segurança da informação
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade da
informação necessária para a realização do negócio da Empresa, ser o gestor e o apoio do processo de segurança digital, protegendo as informações da organização,
catalisando, coordenando, desenvolvendo e/ou implementando ações com o intuito de garantir a todos o acesso e entendimento da necessidade do compromisso da
Organização com esse documento.
5. Dever dos colaboradores da ClasseA
Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a ClasseA e deve sempre ser tratada profissionalmente, bem como se manter alinhado ao nosso Código de Ética, este uma das principais Políticas Internas da ClasseA que também tem por função Ambientar nossos Colaboradores em toda sua trajetória no Grupo e Depois de sua passagem também.
6. Classificação das Informações
É de responsabilidade do Gestor de cada área estabelecer a rotulagem da informação
que o seu setor manipula, com critérios relativos ao nível de confidencialidade da
informação (relatórios e/ou mídias) gerada por sua área de acordo com as definições:
Pública, Interna, Confidencial ou Restrita.
6.1 Pública
É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral, cuja divulgação externa não compromete a Empresa. Exemplos de Informação Pública: Agenda de Negócios, Participação em Eventos Política de Segurança da Informação.
6.2 Interna
São as informações disponíveis aos colaboradores da ClasseA, para a execução de suas tarefas rotineiras, não se destinando ao público externo, pois seu grau de confidencialidade assim o define. Exemplos de informação Interna: Memorandos, Políticas Internas, Avisos e Campanhas Internas.
6.3 Restrita
São informações que podem ser acessadas por um número mais restrito de Colaboradores e parceiros da organização. Sua publicação não autorizada pode violar leis vigentes (Ex: LGPD), acordos de confidencialidade, podendo causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro. Exemplos de informação Restrita: Dados de Funcionários ou Pessoas Físicas
identificáveis, Processos Judiciais.
6.4 Confidencial
É toda informação que pode ser acessada somente por usuários da organização explicitamente indicados pelo nome ou área a que pertencem, em geral, associadas ao interesse estratégico da Empresa. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente deve orientar seus subordinados que tenham acesso a esse tipo de informação, por necessidade da função exercida, a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. Exemplos de informação Confidencial: Atas de reuniões da Governança, Indicadores e estatísticas dos processos de Negócio, resultados de auditorias Internas. Todo documento não classificado é Considerado Confidencial.
7. Gestão da segurança da informação
Sendo a informação o Ativo mais valioso da Corporação, cabe a esta promover
orientações aos seus colaboradores e treinamentos em Segurança da Informação, pois ela precisa transitar no cotidiano das atividades da Empresa, tal qual a responsabilidade do ponto eletrônico, pois só os controles digitais não são suficientes para manter um Ambiente Seguro, todos os colaboradores precisam estar envolvidos e participativos no tema em suas atividades rotineiras.
Cabe ao setor de gestão de Segurança da Informação:
- Montar subcomitê de Segurança da Informação Envolvendo outras lideranças da Empresa conforme estratégia adotada junto a Diretoria;
- Propor melhorias e ajustes na PSI;
- Estar sempre alinhado junto ao CGC;
- Apuração, análise e toda governança dos incidentes em Segurança da Informação;
- Apoio na Gestão dos processos em Tecnologia da Informação.
8. Dados Pessoais e LGPD
A ClasseA tem o compromisso em não acumular ou manter Dados Pessoais Sensíveis
a LGPD além daqueles relevantes na condução do seu negócio e que por razões legais
a Empresa possui o direito ou obrigação de mantê-los, bem como operá-los e ou controlá-los, nossas operações têm um número reduzido de dados Sensíveis, no entanto isso não nos exime do nosso compromisso com nossos Clientes e Parceiros e estar em concordância com a legislação vigente. Todos os Dados armazenados são considerados dados restritos e quer estejam em repouso ou não são protegidos por criptografia conforme nossas políticas internas. Todo fluxo e manipulação desses dados, quer seja de Colaboradores Internos ou não, são operados e ou controlados mediante a Termos de Confidencialidade e não Declaração, geralmente disposto em contratos baseados na Lei vigente do País.
A Empresa possui controles e ferramentas para o monitoramento dos Dados pessoais em concordância com a Lei Geral de Proteção de Dados Pessoais.
9. Segurança Cibernética
A Gerência de TI da ClasseA, é responsável por estabelecer as políticas, procedimentos e controles em segurança Digital para manter a integridade, disponibilidade e a confidencialidade das informações contidas nos ambientes Corporativos, com o intuito de reduzir impactos e possíveis vulnerabilidades no Ambiente, para evitar a ocorrência de incidentes de Segurança da Informação. Possui como diretrizes básicas:
- Gestão dos Acessos através do Monitoramento do Processo contido na nossa Política de Acessos.
- Assegurar a confidencialidade, integridade e disponibilidade das informações da Organização.
- Garantir que os Ativos (Dados e Informações) sejam utilizados apenas para as finalidades aprovadas pela Organização, com monitoração, rastreabilidade e auditoria.
- Gestão, Detecção e Tratamento de Vulnerabilidades.
- Pentests Semestrais.
- Prevenção a Ameaças e Ataques Cibernéticos, bem como resposta a ataques cibernéticos.
- Melhoria contínua dos processos e recursos necessários a Política de Segurança da Informação.
10. Responsabilidades
Os gestores das Empresas, áreas e Departamentos do Grupo ClasseA são responsáveis pelas definições dos direitos de acesso de seus subordinados aos Sistemas de informações das Companhias, cabendo a eles verificarem se eles estão acessando exatamente as rotinas compatíveis com as suas respectivas funções. A Empresa possui auditoria das ações dos usuários em seus Sistemas. Esse processo
conta com o apoio direto do Departamento de Segurança da Informação, que aguarda
o acionamento ou promove revisão anual das liberações.
A Diretoria da ClasseA é a responsável em viabilizar as condições necessárias para a
aplicabilidade das diretrizes desta Política de Segurança da Informação.
A área de Gestão de Segurança da Informação é responsável pela atualização das
Políticas que compõe este documento.
O Comitê de Gestão de Crise é o responsável em fomentar a área de GSI com as
Demandas e Compliances de Negócio.
11. Sanções
O não cumprimento desta Política de Segurança da Informação implica falta grave e
poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do
contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Havendo
qualquer omissão de qualquer conduta que possa comprometer em qualquer nível a
Empresa ou a lealdade das relações para com a ClasseA implicará as mesmas sanções
do descumprimento da nossa Política de Segurança da Informação.
12. Gestão dos processos em tecnologia da informação
Uso de Antivírus: Todas as estações de trabalho, dispositivos móveis e Servidores
devem ter a solução corporativa do Antivírus instalado. A atualização do antivírus é
automática, conforme as Rotinas estabelecidas do Servidor que provê esse Serviço. O
usuário não tem permissão para desabilitar o programa antivírus instalado nas estações de trabalho ou notebooks, no entanto caso isso ocorra, o colaborador está sujeito a penalidades descritas no nosso Código de Conduta e Ética.
Uso do Correio Eletrônico (E-MAIL) Corporativo: O correio eletrônico fornecido pela
ClasseA é um instrumento de comunicação interna e externa para a realização do
negócio da empresa. As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da Empresa, não podem ser contrárias à legislação vigente e nem aos princípios éticos da ClasseA conforme explicitado em nosso Código de Conduta e Ética. Nossos domínios são hospedados na Azure (Microsoft) que dispões de um robusto sistema de Proteção Cibernética e Compliance Corporativo.
Novos Sistemas, Apps e Equipamentos: O Setor de TI é responsável pela aplicação da
Política da ClasseA em relação à definição de compra e substituição de “software” e
“hardware”. Qualquer necessidade de novos Apps dentro da Corporação ou de novos
equipamentos, será validada e homologada pela área de TI com aprovação da Gerência. Não é permitido a compra ou o desenvolvimento de “Softwares” ou “Hardwares” diretamente pelos usuários. Essa diretiva visa inibir ao máximo Shadow IT.
Internet: O acesso à Internet é autorizado para os usuários conforme seu perfil, são
acessos aos conteúdos que necessitarem para o desenvolvimento de suas atividades
na Empresa. Demais conteúdos são bloqueados por padrão. Há política específica a
este controle.
Programas e Aplicativos: A ClasseA respeita direitos autorais dos programas que
utiliza, reconhece que deve pagar o justo valor por eles, é terminantemente proibido o
uso de programas ilegais (Sem licenciamento) na Corporação.
Backup: Todos os dados da ClasseA são protegidos através de rotinas sistemáticas de
Backup. Cópias de segurança do sistema integrado e servidores de rede que são de
responsabilidade do Setor Interno, são executadas diariamente e possuem política
específica a este fim.
Segurança e Integridade dos Bancos de Dados: O gerenciamento do(s) banco(s) de
dados é responsabilidade exclusiva do Setor de Ti, que visa proteger usando as
tecnologias digitais disponíveis, mantendo integro e disponível ao negócio com as
devidas configurações necessárias ao Funcionamento Seguro.
Admissão e Desligamento de Colaboradores: O setor de Recrutamento e Seleção
informa ao setor de Suporte, toda e qualquer movimentação de funcionários, temporários, estagiários ou prestadores de Serviços a área de TI, para que os mesmospossam ser ativados ou desativados no sistema da Companhia e terem os privilégios de Perfil atribuído ao respectivo login de acordo com a função que este exercerá dentro da ClasseA. O novo CI, deverá nortear suas ações em consoante com esta PSI e nosso Código de Conduta e Ética.
Acessos Físicos: Não será permitida a entrada ou permanência de visitantes nas
dependências da Empresa e ou em Datacenter terceirizado sem acompanhamento de
um colaborador responsável pelo ambiente.
Propriedade Intelectual: São de propriedade da ClasseA, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a empresa.
Política de Senhas: A senha do Colaborador é pessoal e intransferível que protege a
identidade do Colaborador. O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa Identidade).
A ClasseA possui política de senha e esta é aplicada a todos os colaboradores.
Uso de Dispositivos, Notebooks e estações de Trabalho: Tais equipamentos devem
permanecer o maior tempo possível disponível aos Colaboradores, para que estes
possam exercer suas funções em sua plenitude. Os equipamentos devem conter,
antivírus e somente os App’s homologados pela Empresa. Em nosso Código de Ética
são descritos os compromissos e responsabilidades dos Colaboradores no tocante a
todos os Ativos da Empresa. Caracteriza-se por dispositivo móvel qualquer
equipamento eletrônico com atribuições de mobilidade, seja de propriedade da ClasseA ou particular com prévia aprovação da Gerência de TI, como: notebooks, smartphones e pendrives. Todos deverão estar de acordo com nossa Política de Acessos.
Trabalho Remoto: Os colaboradores devem seguir as mesmas diretrizes do trabalho
presencial, prezando pela qualidade e confidencialidade das informações e segundo as diretrizes das políticas internas de conduta e ética e privacidade.
Segurança Cibernética, Física e Compliance de Rede (defense-in-depth): A ClasseA, através das suas diversas Políticas, normas e atuações, protege os Ativos da Informação em várias camadas, desde CFTV, Identificação presencial do Colaborador, gestão de acessos e credenciais, níveis de privilégio e vários pontos de monitoramento e proteção, de forma que fique implementada e funcional a Defesa em Profundidade.
13. Disposições Gerais
As dúvidas decorrentes de fatos não descritos nesta Política, deverão ser encaminhadas à Governança para avaliação e decisão. Esta PSI entra em vigor a partir da data de sua publicação e pode ser alterada a qualquer tempo, por decisão da Diretoria ou pela sua atualização em si, mediante o surgimento de fatos relevantes que apareçam ou não tenham sido contemplados neste documento.
14. Histórico de Alterações
Revisão: 25/07/2024
Data: 25/07/2024
Versão: 8
Escopo: Revisão
Observação: Sem Alterações
Aprovação: Diretoria
Data Publicação: 25/07/2024
