Política de Segurança

1. Objetivo

A presente Política de Segurança da Informação tem como objetivo proteger os ativos de informação da empresa contra ameaças internas e externas, garantindo a integridade, confidencialidade e disponibilidade das informações. Esta política estabelece diretrizes para o uso seguro dos sistemas de informação e infraestrutura de TI.

2. Abrangência

Esta política se aplica a todos os colaboradores, fornecedores, parceiros e terceiros que têm acesso aos sistemas e dados da empresa. A adesão à política é obrigatória para todos os envolvidos, independentemente da sua posição hierárquica ou contrato.

3. Definições

Confidencialidade: Garantir que a informação seja acessível apenas para pessoas devidamente autorizadas.
Integridade: Preservar a exatidão e completude das informações e métodos de processamento.
Disponibilidade: Assegurar que os dados estejam acessíveis e utilizáveis sob demanda por uma entidade autorizada.

4. Diretrizes

4.1. Controle de Acesso

O acesso aos sistemas e informações será concedido de acordo com o papel e a necessidade do colaborador (princípio do menor privilégio).
Todos os acessos devem ser autenticados através de mecanismos seguros, como senhas fortes, autenticação multifator (MFA) e cartões de segurança, se aplicável.
Senhas devem ser alteradas a cada 90 dias e não devem ser compartilhadas.

4.2. Proteção de Dados

Todos os dados sensíveis, tanto internos quanto de clientes, devem ser criptografados durante o armazenamento e a transmissão.
O uso de dispositivos pessoais para acessar dados corporativos está sujeito a autorização prévia e deverá ser monitorado.
Backups regulares das informações críticas serão realizados e armazenados em locais seguros.

4.3. Uso de Dispositivos e Redes

Os dispositivos corporativos devem ser utilizados apenas para fins relacionados ao trabalho. A instalação de softwares não autorizados é proibida.
Todos os dispositivos devem ter soluções de segurança instaladas, como antivírus, firewall e sistemas de monitoramento de ameaças.
O uso de redes públicas e não seguras para acessar sistemas corporativos deve ser evitado. Quando necessário, utilizar VPNs seguras.

4.4. Monitoramento e Auditoria

Todos os acessos e atividades nos sistemas corporativos serão monitorados. Logs de acesso e atividades serão mantidos e auditados regularmente.
Tentativas de violação de segurança devem ser reportadas imediatamente ao departamento de TI ou ao responsável pela segurança da informação.

4.5. Treinamento e Conscientização

Todos os colaboradores devem participar de treinamentos regulares sobre segurança da informação.
Programas de conscientização serão realizados para promover a cultura de segurança e a importância da proteção das informações.

4.6. Gerenciamento de Incidentes de Segurança

Incidentes de segurança, como perda de dados, acessos não autorizados ou falhas de sistema, devem ser comunicados imediatamente à equipe de segurança.
Um plano de resposta a incidentes será seguido para mitigar e investigar os eventos de segurança, com documentação e ações corretivas.

5. Penalidades

O não cumprimento desta política pode resultar em medidas disciplinares, que variam de advertências até demissão por justa causa, dependendo da gravidade da infração.

6. Revisão e Atualização

Esta política será revisada anualmente ou sempre que ocorrerem mudanças significativas nos processos de negócios ou na infraestrutura de TI.

7. Responsabilidades

A responsabilidade pela implementação e gestão desta política é do Departamento de Segurança da Informação, em conjunto com a alta direção da empresa.