InfoconsigAcessar sistema

Política de Segurança da Informação

Compromisso formal com a proteção da informação

Aplicada a todos os ativos tangíveis e intangíveis da Infoconsig Tecnologia, em ambiente físico ou lógico.

1. Introdução

1.1. Consideramos a Segurança da Informação como parte integrante do ciclo de vida dos processos de negócios da empresa. Esta Política é uma declaração formal da Infoconsig Tecnologia sobre seu compromisso com a proteção da informação, devendo ser cumprida por todos os usuários das informações de sua propriedade e/ou sob sua guarda.

2. Objetivo

2.1. A Política de Segurança da Informação (PSI) tem como objetivo definir a direção, os princípios e as regras básicas de gestão da segurança da informação, visando garantir a confidencialidade, integridade e disponibilidade da informação de sua propriedade ou sob sua guarda, em conformidade com as disposições constitucionais, legais e regimentais vigentes.

3. Abrangência

3.1. A PSI é um normativo interno com valor jurídico e aplicabilidade imediata, restrita a todos os ativos tangíveis ou intangíveis da empresa, seja em ambiente físico ou lógico, compreendendo as seguintes áreas:

  • Direção da Empresa
  • Segurança da Informação
  • Infraestrutura
  • Recursos Humanos
  • Governança de TI
  • Controles Internos e Riscos Operacionais

4. Documentos de referência

  • ABNT NBR ISO/IEC 27001:2013
  • Lista de obrigações legais, regulamentares e contratuais
  • Plano de negócios da empresa

5. Princípios básicos de Segurança da Informação

  • Confidencialidade — garantir o acesso às informações somente para pessoas autorizadas ou sistemas habilitados;
  • Integridade — garantir a exatidão da informação;
  • Disponibilidade — garantir que a informação esteja sempre disponível;
  • Celeridade — respostas rápidas a incidentes e falhas;
  • Ética — garantir direitos e interesses legítimos dos usuários e clientes;
  • Clareza — regras de segurança precisas, concisas e de fácil entendimento;
  • Legalidade — conformidade das ações com as atribuições regimentais e legais;
  • Publicidade — manuseio transparente da informação, observados critérios legais.

6. Diretrizes gerais

6.1. Todo dado ou conteúdo escrito, verbal ou apresentado de modo tangível ou intangível, com valor pessoal ou para a empresa, deve ser considerado informação sigilosa e usado com cautela, apenas por pessoas autorizadas.

6.2. Devem ser preservados confidencialidade, integridade e disponibilidade.

6.3. Devem ser protegidos os recursos institucionais, a marca, a reputação, o conhecimento e a propriedade intelectual da empresa.

6.4. Todos os ativos devem receber proteção contra roubo, fraude, espionagem, perda não intencional, acidentes e outras ameaças.

6.5. Princípios e regras devem ser disseminados a todos os usuários, funcionários, colaboradores e prestadores de serviços.

6.6. Todo acesso a informações e ambientes lógicos deve ser controlado.

6.7. Autorizações de acesso devem ser feitas por identidade digital (login e senha) pessoal e intransferível, revistas, confirmadas e registradas continuamente.

6.8. Manuseio, tratamento, controle e proteção dos dados devem ser realizados de forma adequada e com responsabilidade.

7. Diretrizes de Confidencialidade

7.1. Acesso somente para pessoas autorizadas ou sistemas habilitados.

7.2. Toda informação que envolva dados pessoais, financeiros, comerciais, estratégicos, técnicos e know-how — em forma de modelos, diagramas, planos, extratos, relatórios ou código — deve ser tratada como confidencial.

7.3. Devem ser estabelecidos critérios de confidencialidade e classificação da informação.

7.4. Informações confidenciais não podem ser reveladas, transferidas, compartilhadas ou divulgadas sem autorização.

7.5. Testes de desenvolvimento devem usar dados fictícios, preservando a privacidade dos dados confidenciais.

8. Diretrizes de Integridade

8.1. Deve ser garantida a exatidão da informação.

8.2. Toda informação deve ser armazenada em local apropriado e protegida contra acesso, modificação, destruição ou divulgação não autorizados.

8.3. Informações em meio físico devem ser guardadas em gavetas/armários trancados ou em local seguro quando não em uso.

8.4. Devem ser estabelecidos espaços físicos e lógicos seguros para áreas que criam, desenvolvem, processam ou armazenam informações críticas.

8.5. Manutenção contínua dos ativos críticos, protegidos contra falta de energia e outras interrupções.

8.6. Descarte de informações confidenciais e dos recursos de TIC que as contenham deve passar por procedimentos de destruição que impossibilitem recuperação.

8.7. Recursos de TIC devem ser usados com senha de bloqueio automático, antivírus, antispyware, firewall e mecanismos contra softwares maliciosos.

9. Diretrizes de Disponibilidade

9.1. Deve ser garantida a disponibilidade da informação.

9.2. Todo acesso a dados pessoais com autorização expressa, via identidade digital (login e senha) pessoal e intransferível ou chaves de segurança fornecidas pela pessoa.

9.3. Toda informação deve ser armazenada em local apropriado e protegida contra acesso, modificação, destruição ou divulgação não autorizados.

9.4. Identidades digitais de usuários em casos de desligamento, rescisão ou término de contrato devem ser desativadas.

9.5. Deve existir plano de cópias de segurança dos dados, com redundância de servidores em locais diferentes.

10. Requisitos do SGSI

10.1. Deve ser mantido um Sistema de Gestão de Segurança da Informação (SGSI) com o propósito de alinhar objetivos, estratégias e planos de negócios, reduzindo incidentes.

10.2. O SGSI deve alinhar segurança da informação e continuidade de negócios, em conformidade com requisitos legais e contratuais.

10.3. O SGSI deve ser implementado conforme esta Política.

10.4. Devem ser estabelecidos papéis e responsabilidades de todos os usuários, funcionários, gestores e colaboradores.

10.5. Controles e salvaguardas devem ser revisados periodicamente, conforme Metodologia de Avaliação de Riscos definida pela empresa.

10.6. Identidade do solicitante e necessidade real do compartilhamento devem ser confirmadas antes de qualquer transmissão de informação confidencial.

10.7. Deve existir um conjunto de estratégias e planos de Continuidade do Negócio para preservar serviços essenciais após desastre ou falha tecnológica.

10.8. Recursos dos equipamentos devem ser monitorados constantemente, permitindo identificar problemas e planejar atualizações.

10.9. Todo documento, relatório, banco de dados, sistema e planilha deve ser salvo em arquivo digital armazenado em Data Center fora da unidade da empresa.

11. Disposições finais

11.1. A PSI deve ser interpretada de forma restritiva. Casos excepcionais só podem ser realizados após autorização expressa da Diretoria.

11.2. Exceções ocorrerão de forma pontual, com aprovação por liberalidade da empresa e duração limitada, podendo ser revogadas a qualquer tempo.

11.3. Ações indevidas, ilícitas, não autorizadas ou contrárias a esta Política estarão sujeitas às sanções previstas em Regimento Geral, contratos de prestação de serviços, contratos de trabalho e demais normas da empresa.

11.4. A PSI deve ser mantida atualizada no website da empresa. Em caso de indisponibilidade, pode ser solicitada por contato@infoconsig.com.br.

11.5. Dúvidas devem ser esclarecidas pelo e-mail contato@infoconsig.com.br.

11.6. Casos de incidente, infração ou suspeita devem ser comunicados imediatamente, pessoalmente ou pelo e-mail contato@infoconsig.com.br.

11.7. Esta política passa a ter validade a partir de sua publicação no website da empresa.

11.8. A revisão é anual e concomitante à construção ou revisão dos Planos Estratégicos da empresa, ou extraordinariamente a qualquer tempo.