Carregando

Política Corporativa de Segurança da Informação

I. DEFINIÇÕES, DIRETRIZES E PRINCÍPIOS

  1. Para efeitos desta Política Coorporativa de Segurança da Informação, consideram-se as seguintes definições.
  2. Segurança da Informação: conjunto de ações que tem como principal objetivo a proteção de um grupo de informações, para que seja preservado o valor que estas possuem ante um indivíduo ou empresa;
  3. Informação: conjunto de conhecimento adquirido por meio do tratamento de dados;
  4. Dado: todo e qualquer registro existente, englobando, inclusive, os Dados Pessoais;
  5. Dado Pessoal: registro relacionado a pessoa natural identificada ou identificável;
  6. Dado Pessoal Sensível: registro sobre origem racial/étnica, saúde, vida sexual, caráter religioso, filosófico, político, sindical, e dados genéticos e biométricos;
  7. Titular: pessoa a quem se referem os dados objeto de tratamento;
  8. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma determinada finalidade.
  9. Tratamento de Dados: qualquer operação realizada com os dados.
  10. Risco: riscos associados à violação da confidencialidade, disponibilidade e integridade das informações tratadas pelo escritório;
  11. Incidente: ocorrência ou ameaça fundamentada que afete, de alguma forma, os dados e o seu tratamento.
  12. Comitê de Segurança da Informação: grupo formado pelo Encarregado pelo Tratamento de dados, Sócio da empresa e um profissional do RH, sendo no mínimo 3 e no máximo 5.
  13. Encarregado de Segurança da Informação: Membro do Comitê de Segurança da Informação responsável por receber e responder quaisquer demandas decorrentes desta Política, ainda que oriundas de órgãos e pessoas externas ao escritório.
  1. Firmam-se como bases desta Política os seguintes princípios:
  2. Confidencialidade: garantir que o acesso ao banco de dados e às informações tratadas pelo escritório será feito apenas por pessoal devidamente autorizado;
  3. Integridade: garantir que os dados contidos no escritório serão tratados com ética, para a finalidade pela qual foram coletados, e que com segurança quanto à sua qualidade;
  4. Disponibilidade: garantir que os dados e as informações estejam disponíveis para acesso do pessoal autorizado sempre que necessário.
  1. Para instruir o processo de tratamento dos dados, devem ser observadas as seguintes diretrizes:
  2. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  3. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  4. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  5. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
  6. Qualidade: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  7. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  8. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  9. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  10. Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos e/ou abusivos;
  11. Responsabilização: adoção de medidas eficazes, capazes de comprovar a observância e cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

II. DAS MEDIDAS PREVENTIVAS E DE SEGURANÇA

  • Estabelece-se a Gestão de Acessos, definindo quem pode acessar, como pode acessar e quando pode acessar o banco de dados do escritório, no intuito de garantir a confidencialidade dos dados ali armazenados.
  • Classificação de Dados: os dados são categorizados de acordo com sua criticidade para o negócio, a fim de abrandar vulnerabilidades, conforme as seguintes classes:
  • Irrestrito;
  • Restrito (uso interno);
  • Confidencial;
  • Secreto.
  • Níveis de Acesso aos Dados: conforme as classificações apontadas acima, o Comitê de Segurança da Informação define e cataloga, deixando saber os colaboradores:
  • Qual(is) colaborador(s) pode(m) acessar o banco de dados;
  • A maneira com que estes dados podem ser acessados pelo pessoal autorizado;
  • A frequência com que estes dados podem ser acessados pelo pessoal autorizado.
  • Controle de Acessos: ratifica-se a necessidade de os acessos serem rastreáveis, para o referido controle destes.
  • Para garantir a manutenção da capacidade de lidar com cenários de risco, é imprescindível o armazenamento preventivo do banco de dados. Para tanto, cabe ao Setor de Tecnologia da Informação realizar:
  • Cópias diárias e incrementais de forma automatizada;
  • Versionamento dos arquivos;
  • Replicação em duas nuvens;
  • Backup dos dados e Virtual Machine.
  • Para assegurar a aplicabilidade dos princípios e diretrizes dispostos nos artigos 2º e 3º desta Política, devem ser observados por todos os colaboradores, no mínimo, os seguintes procedimentos:
  • A troca de senhas (tanto do computador quanto dos softwares utilizados pelo escritório) de todo e qualquer colaborador deverá ser feita, obrigatoriamente, a cada 90 (noventa) dias corridos, ou em prazo menor quando solicitado;
  • O Setor de Tecnologia da Informação será o responsável por atestar que a troca de senhas foi realizada com sucesso junto a todos os colaboradores do escritório;
  • Caberá ao Setor de Tecnologia promover a alteração das senhas do wi-fi do escritório e dos servidores a cada 90 (noventa) dias, não podendo essa senha ser informada a qualquer colaborador. Eventual necessidade de se utilizar o wi-fi deverá ser solicitada ao Setor de Tecnologia da Informação, ao qual caberá anotar a senha diretamente no computador do solicitante;
  • Os colaboradores não deverão acessar sites que não sejam estritamente vinculados ao trabalho realizado no escritório, sendo vedado, por exemplo, o acesso a e-mails particulares, sites de notícias, músicas, redes sociais, esportivos, entretenimento e quaisquer outros que não tenham justificativa profissional para o acesso;
  • Os colaboradores não deverão utilizar a rede do escritório (inclusive wi-fi) para fins particulares;
  • Os colaboradores não deverão clicar em links e anexos suspeitos, tanto de sites quanto recebidos em e-mails. Na dúvida, deverão contatar o Setor de Tecnologia da Informação para buscarem maiores informações sobre os links e anexos;
  • Os colaboradores não deverão disponibilizar o e-mail de trabalho para fins particulares, tendo ciência de que o e-mail profissional poderá ser acessado, a qualquer tempo, pela Diretoria do escritório, sem que isso caracterize violação de sigilo ou privacidade;
  • Os colaboradores não poderão, de forma alguma, disponibilizar a terceiros toda a produção realizada pelo escritório, estando cientes que responderão por perdas e danos caso o façam, sem prejuízo de demais penalidades aplicáveis;
  • Os colaboradores não deverão salvar em arquivos particulares (e inclusive enviar para e-mails particulares) quaisquer dados e informações do escritório e de seus clientes, independente do formato;
  • Os colaboradores não deverão utilizar pendrives ou outros hardwares particulares nos computadores do escritório, visando a evitar eventuais contaminações de vírus;
  • Os colaboradores não deverão utilizar pendrives ou outros hardwares do escritório para fins particulares, observando que a propriedade deles é do escritório, podendo ser acessados a qualquer tempo pela Diretoria;
  • Os colaboradores não deverão instalar softwares particulares (ou que não tenham vinculação alguma com o trabalho profissional desenvolvido no escritório) nos computadores do escritório, sendo que toda e qualquer instalação de software deve ser feita exclusivamente pelo Setor de Tecnologia da Informação;
  • Os colaboradores deverão armazenar as informações na rede do DC&NC;
  • Os colaboradores deverão se assegurar de descartar devidamente informações que não sejam mais necessárias;
  • Os colaboradores deverão identificar eventuais vulnerabilidades e nomeá-las ao Comitê de Segurança da Informação;
  • Os colaboradores deverão denunciar imediatamente incidentes ao Comitê de Segurança da Informação;
  • Os colaboradores que utilizarem seus computadores do escritório de forma externa deverão estar cientes da responsabilidade de guarda e conservação sobre o bem, respondendo objetivamente por todo e qualquer problema, vício, perda, extravio, furto ou roubo que ocorrer;
  • Os colaboradores não deverão utilizar o telefone do escritório (fixo ou celular eventualmente disponibilizado) para fins particulares;
  • Os colaboradores não deverão deixar carregadores diversos ligados nas tomadas do escritório sem que estejam efetivamente em uso, evitando-se, assim, eventual sobrecarga e ocorrências mais sérias;
  • Os colaboradores devem evitar deixar líquidos destampados e comidas em suas mesas, evitando, com isso, incidentes nos materiais do escritório;
  • Os coordenadores deverão observar o comportamento de sua equipe, além de inspecionar o bom uso de seus recursos.
  • Os colaboradores devem se manter cientes do monitoramento integral dos dispositivos fornecidos pelo escritório.
  • Também visando à implementação de medidas simples de segurança da informação, instaura-se, de imediato, a política da “mesa limpa”, por meio da qual nenhum tipo de dado ou informação pode ser deixado à vista, independente da forma, observando-se, ainda, o seguinte:
  • É obrigação de cada colaborador providenciar o bloqueio do computador sempre que se retirar da sua mesa, ainda que por curto período. Ao se ausentarem do escritório para retorno em outro dia, deverão desligar seu computador e também a tela utilizada se for apartada;
  • É obrigação de cada colaborador providenciar para que papéis, lembretes, documentos e outros sejam guardados sempre que o responsável por estes se retirar da mesa.
  • Visando à confidencialidade das informações do escritório, de seus colaboradores e de seus clientes, não é permitido utilizar como rascunhos papéis que contenham ou possa conter informações sigilosas ou protegidas por lei, tais como: contratos privados, cópias de documentos pessoais, extratos bancários, documentos que contenham algum dado sobre menores, documentos que contenham dados sensíveis de quaisquer pessoas físicas, informações pessoais de qualquer indivíduo etc.
  • Nas hipóteses previstas neste artigo, os papéis deverão ser previamente rasgados em partes mínimas (preferencialmente em fragmentadora) e posteriormente descartados de forma a impossibilitar seu uso ou a extração de quaisquer dados e informações.
  • Caberá ao Encarregado de Segurança da Informação, no prazo de até 120 (cento e vinte) dias corridos contados da publicação desta Política, promover um levantamento de todos os Dados Pessoais tratados no escritório, visando a garantir a sua conformidade com a legislação pátria. Esse levantamento deverá ser documentado e atestado por todos os colaboradores que participaram do levantamento.
  • Caberá ao Comitê de Segurança da Informação, juntamente com o Encarregado de Segurança da Informação, elaborar, documentar e arquivar um Plano de Gerenciamento de Riscos – PGR sempre que algum incidente ocorrer, o qual deverá conter, no mínimo, o seguinte:
  • A identificação do incidente, a data de sua ocorrência, a forma como foi apurada e as pessoas envolvidas;
  • O registro de todos os possíveis riscos/ameaças que o incidente acarretou;
  • A análise de riscos diretos e indiretos que decorram ou possam decorrer do incidente;
  • A explanação das medidas preventivas que serão adotadas;
  • A explanação da forma de implementação de alternativas seguras;
  • A explanação de um plano de mitigação e contingência.
  • Em consonância com o Artigo 5º, XVII, da Lei nº 13.709/2018 (LGPD), é obrigação do Comitê de Segurança da Informação a formulação de um Relatório de Impacto à Proteção de Dados Pessoais – RIPD, sempre que o tratamento de dados pessoais estiver sujeito a algum cenário de risco.
  • O RIPD deverá conter a descrição dos processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais.
  • Visando garantir a segurança das nossas informações, devem ser observados os seguintes procedimentos, referentes à Sala do Servidor
  • O acesso é restrito, sendo liberado apenas para membros da Diretoria e das equipes de TI e Segurança da Informação;
  • Todo acesso à Sala do Servidor deve ser registrado;
  • A temperatura média deve ser mantida a 21ºC.

III. DA GARANTIA DA EFICÁCIA

  • Visando à garantia de eficácia desta PSI, fica estabelecida a obrigatoriedade de todos os colaboradores realizarem um Treinamento Periódico de Segurança da Informação, objetivando garantir a aplicabilidade das diretrizes desta Política no tratamento de dados realizados pelo escritório:
  • A formulação, estruturação e aplicação deste treinamento é de responsabilidade do Comitê de Segurança da Informação;
  • Os treinamentos deverão ser periódicos, sendo que cada colaborador deverá participar, no mínimo, a cada 12 (doze) meses corridos;
  • É obrigatório que cada colaborador tenha um documento que ateste a conclusão do treinamento;
  • O treinamento abarcará, obrigatoriamente, uma forma de questionário a ser aplicado ao final, o qual tem por objetivo verificar se o colaborador entendeu o treinamento e se encontra suficientemente instruído sobre a Segurança da Informação;
  • Caso o colaborador não atinja a média de 60% no questionário mencionado no tópico anterior, será necessário refazer o treinamento em, no máximo, 15 (quinze) dias corridos.
  • Obriga-se o registro em Ata de qualquer reunião do escritório em que sejam tomadas decisões baseadas na presente Política, devendo ser destacado.
  • O número da ata de reunião;
  • A data, a hora de início e a hora de término;
  • O nome e a atribuição dos membros presentes;
  • O que for decidido/estabelecido na reunião.
  • Os colaboradores declaram-se cientes que toda e qualquer situação que envolva ou tenha o potencial de envolver os pontos tratados nesta Política deverá ser comunicada de imediato ao Comitê de Segurança da Informação ou ao Encarregado de Segurança da Informação, ainda que por meio de aviso anônimo.
  • A presente Política de Segurança da Informação deverá, obrigatoriamente, ser revista em periodicidade anual, ou, quando necessário, em menor prazo, para que esteja sempre em conformidade com a legislação em vigor, inclusive a Lei Geral de Proteção de Dados.
  • O descumprimento das normas previstas nesta Política sujeita o responsável às medidas abaixo, cuja aplicação deve ser analisada pelo Comitê de Segurança da Informação e sancionada por maioria simples deste:
  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Curso de reciclagem acerca da importância da Segurança da Informação;
  • Desligamento do colaborador.
  • Estas sanções são aplicáveis a qualquer colaborador, seja funcionário, associado, sócio ou correspondente do escritório.
  • A aplicação de qualquer das medidas acima não exonera o colaborador de responder por eventuais perdas e danos que causar como decorrência do descumprimento das normas desta Política.
  • A presente Política deverá ser entregue e esclarecida a todos os colaboradores, que se comprometem a observá-la, cumpri-la e respeitá-la.

Última atualização: 28/12/2023.

Data443 Privacy Safe