Política Geral de Segurança da Informação
1.Introdução
1.1. Este documento apresenta a Política de Segurança da Informação da Dígitro Tecnologia. Essa política foi desenvolvida em conformidade com os princípios e os objetivos estratégicos, foi aprovada pela direção e seu propósito é proteger os ativos de informação e fornecer recursos para tratar as ameaças, sejam elas internas ou externas, deliberadas ou acidentais.
1.2. A DÍGITRO aposta em soluções que ultrapassam as barreiras da comunicação corporativa e que impulsionam o desenvolvimento de tecnologias as quais promovem o crescimento de cidades inteligentes. Nossa tecnologia é sentida na forma de nos comunicarmos, de nos relacionarmos e de trabalharmos por uma sociedade mais justa.
1.3. A Dígitro possui camadas de segurança, incluindo firewalls, sistemas de proteção(IPS) contra intrusão(IDS), anti malware, DLP, segregação de rede, proteção de endpoints, criptografia e demais ferramentas que atuam na segurança cibernética.
1.4. Os produtos e serviços da Dígitro são desenvolvidos desde sua concepção utilizando os princípios fundamentais estabelecidos no conceito do Privacy by Design.
1.5. Os serviços de segurança da Dígitro são configurados, monitorados e mantidos de acordo com as melhores práticas de mercado.
1.6. A Dígitro toma medidas técnicas e administrativas para proteger informações através dos serviços contra uso indevido e acesso não autorizado, divulgação, alteração ou destruição.
1.7. A DÍGITRO compreende que, em seus processos de negócio onde existe tratamento de informações e essas informações passam por diferentes meios de suporte, armazenamento e comunicação e a empresa atua para manter em segurança adequada todos os níveis de acessibilidade, autenticidade, confidencialidade e disponibilidade.
1.8. Dessa forma, a DÍGITRO estabelece sua POLÍTICA DE SEGURANÇA DA INFORMAÇÃO , como parte integrante do seu sistema de gestão corporativo, compatível com os requisitos da legislação brasileira, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para todas as informações tratadas pela empresa.
2. Propósito
2.1. Estabelecer as regras de conduta para acessar os sistemas de informação, gerenciar a estrutura de segurança desses sistemas e manipular informações pertencentes à empresa, em vários locais e em diferentes mídias. Isso inclui informações armazenadas em computadores, transmitidas através da rede (entre fornecedores, clientes, desenvolvedores e prestadores de serviços, entre outros), cópias físicas, mensagens em meio eletrônico, armazenadas em mídias, pendrives, discos rígidos externos e por meio de nuvem (como AWS e Google).
2.2. Este documento apresenta a Política de Segurança da Informação e Privacidade da Dígitro. Essa política foi desenvolvida em conformidade com os princípios e os objetivos estratégicos, foi aprovada pela direção e seu propósito é proteger os ativos de informação e fornecer recursos para tratar as ameaças, sejam elas internas ou externas, deliberadas ou acidentais.
2.3. Este documento rege e referencia as regras de conduta para acesso aos sistemas de informação, bem como para administração da estrutura de segurança desses sistemas e manuseio das informações pertencentes à empresa, em vários locais e em diferentes mídias, incluindo informações armazenadas em computadores, transmitidas através da rede (entre fornecedores, clientes, desenvolvedores, prestadores de serviços etc.), cópias físicas, mensagens em meio eletrônico, armazenadas ou em trânsito.
2.4. Prevenir possíveis causas de violações de informações e incidentes de segurança da informação e minimizar os riscos .
3. Objetivo
O objetivo da Política de Segurança da Informação é assegurar a continuidade do negócio, trabalhar na prevenção de riscos de forma a minimizar o impacto em caso de incidentes de segurança. Nesse contexto, os princípios adotados pela empresa para estabelecer essa política são:
- Confidencialidade
Grau em que o acesso à informação é restrito a um grupo definido e autorizado a ter esse acesso. A confidencialidade é um princípio da segurança da informação que garante que os arquivos da empresa sejam acessados somente por pessoas autorizadas, controlando e restringindo acessos;
- Integridade
Refere-se à manutenção das condições iniciais das informações de acordo com a forma em que foram produzidas e armazenadas. A integridade é o princípio da segurança da informação que garante que os dados estejam em sua originalidade e não alterados ou corrompidos.
- Disponibilidade
Grau em que as informações estão disponíveis para o usuário e para o sistema de informações que está em operação no momento em que a organização exige. É o princípio da segurança da informação que garante que os dados possam ser acessados sempre que necessário.
- Autenticidade
Propriedade que algo/ alguém é o que diz ser. É o processo de identificar e registrar o usuário que está enviando ou modificando uma informação.
- Não Repúdio
Garante, em protocolos e transações, as proteções contra comportamentos omissos ou maliciosos onde participantes neguem ações realizadas.
4. Escopo
4.1. A atuação da Política de Segurança da Informação da Dígitro contempla o prédio sede da empresa, localizada na cidade de Florianópolis e os escritórios das seguintes localidades: Santa Catarina, São Paulo (capital) e Brasília, abrangendo todos os ativos de negócio que suportam as atividades da empresa..
4.2. A política aborda aspectos de segurança física, segurança lógica, e conformidade com aspectos legais, envolvendo processos, pessoas e tecnologias.
5. Diretrizes
5.1. Todos os colaboradores, credenciados, prestadores de serviços terceirizados devem conhecer, compreender e praticar a política de segurança na empresa.
5.2. O acesso, o armazenamento, o manuseio, a divulgação e a destruição das informações, independentemente do meio, devem ser realizados de acordo com sua criticidade.
5.3. Os ambientes que contenham informações críticas devem ter acesso físico liberado somente para pessoas autorizadas.
5.4. A identificação do colaborador é pessoal e intransferível, qualificando-o como responsável por todas as atividades realizadas com ela.
5.5. Os recursos corporativos disponibilizados aos colaboradores devem ser utilizados apenas como instrumento de trabalho.
5.6. Os serviços e os processos críticos da empresa devem ser mantidos em funcionamento na eventualidade de incidentes, falhas e intempéries.
5.7. Todos os processos e procedimentos de segurança definidos na empresa devem estar de acordo com as normas e as leis jurídicas vigentes.
5.8. Requisitos de segurança devem ser considerados e aplicados na construção e nas manutenções realizadas em soluções desenvolvidas pela empresa.
5.9. Os relacionamentos da Dígitro com terceiros devem ocorrer em conformidade com os requisitos de segurança acordados entre as partes.
5.10. O objetivo da Proteção de Dados na DÍGITRO é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos na organização.
5.11. A empresa adota todas as medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação das necessidades da empresa.
6. Conscientização
6.1. Os colaboradores e demais pessoas ou empresas que se relacionam com a Dígitro são informados sobre a existência e a extensão das medidas, práticas e procedimentos de segurança das informações corporativas.
6.2. A conscientização dos colaboradores ocorre através de eventos, sites informativos, canais de comunicação internos, treinamentos direcionados para disseminar o conhecimento relacionado a área de segurança da informação e proteção de dados.
6.3. Realização de eventos para promover o conhecimento e a conscientização dos recursos humanos internos, e as atualizações realizadas nas políticas, normas, procedimentos e demais documentos relacionados ao tema serão notificadas a todas as partes interessadas.
7. É Política da Dígitro
7.1. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos onde a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;
7.2. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;
7.3. Garantir que todos os colaboradores conheçam, compreendam e pratiquem a política de segurança na empresa. O comprometimento e a responsabilidade com a segurança são obrigações de todos.
7.4. O acesso, o armazenamento, o manuseio, a divulgação e a destruição das informações, independentemente do meio, devem ser realizados de acordo com sua criticidade e a finalidade.
7.5. Os ambientes que contenham informações críticas devem ter acesso físico liberado somente para pessoas autorizadas.
7.6. A identificação do colaborador é pessoal e intransferível, qualificando-o como responsável por todas as atividades realizadas com ela.
7.7. Os recursos corporativos disponibilizados aos colaboradores devem ser utilizados apenas como instrumento de trabalho.
7.8. Os serviços e os processos críticos da empresa devem ser mantidos em funcionamento de acordo com o plano de continuidade da empresa.
7.9. Todos os processos e procedimentos de segurança definidos na empresa devem estar de acordo com as normas e as leis jurídicas vigentes.
7.10. Requisitos de segurança devem ser considerados e aplicados na construção e nas manutenções realizadas em soluções desenvolvidas pela empresa.
7.11. Os relacionamentos da Dígitro com terceiros devem ocorrer em conformidade com os requisitos de segurança, compliance e proteção de dados acordados entre as partes.
7.12. Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.
7.13. Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.
8. Papeis e responsabilidades
8.1. Trata-se de um comitê multidisciplinar composto por representantes de algumas áreas, que possuem poder decisório e reúnem-se para tratar de assuntos referentes ao tema.
8.2. É responsabilidade do comitê apoiar e promover a Segurança das Informações Corporativas contemplando o fator humano, físico e tecnológico. As discussões acontecem em reuniões presenciais, on-line e por meio de listas de discussões.
8.3. É responsabilidade do Comitê Corporativo de Segurança da Informação e Privacidade.
8.3. 1. Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;
8.3.2. Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;
8.3.3. Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS (PGDP) e a legislação vigente;
8.3.4. Promover a divulgação da POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo da DÍGITRO.
9. Time de Segurança da Informação
9.1 É responsabilidade do time de Segurança da Informação:
9.1.1. Garantir que políticas, normas e procedimentos de Segurança da Informação sejam ajustados de forma a atender os requisitos da Política Geral de Proteção de Dados Pessoais;
9.1.2. Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger as informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos estabelecidos na legislação e nos sistemas da empresa.
9.1.3. Realizar o tratamento de incidentes de segurança da informação garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável.
9.1.4. Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à autoridade nacional e ao titular dos dados pessoais em casos de ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
9.1.5. É responsabilidade da Equipe de Segurança disseminar, para a empresa, informações sobre mecanismos e procedimentos de segurança adotados pela empresa, verificar se esses procedimentos estão sendo seguidos em sua área e orientar em casos de eventuais dúvidas.
10. Usuários da Informação
10.1. É responsabilidade dos Usuários da Informação:
10.1.1. É responsabilidade de todos os usuários manter uma conduta consistente com as políticas e procedimentos aqui definidos e referenciados.
10.1.2. Ler, compreender e cumprir integralmente as normas e procedimentos da empresa;
10.1.3. Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela DÍGITRO;
10.1.4. Responder pela inobservância da Política Geral de Proteção de Dados Pessoais, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.
11. Sanções e punições
10.1. É responsabilidade dos Usuários da Informação:
10.1.1. É responsabilidade de todos os usuários manter uma conduta consistente com as políticas e procedimentos aqui definidos e referenciados.
10.1.2. Ler, compreender e cumprir integralmente as normas e procedimentos da empresa;
10.1.3. Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela DÍGITRO;
10.1.4. Responder pela inobservância da Política Geral de Proteção de Dados Pessoais, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.
12. Documentos de Referência
12.1. Este documento constitui parte da iniciativa da Dígitro em atingir alinhamento com o código de prática de Segurança da Informação, Segurança Cibernética, Proteção à Privacidade e Sistemas de Gestão da Segurança da Informação, ABNT NBR ISO/IEC 27001/2022, ABNT NBR ISO/IEC 27002:2022 e é sustentado pelas normas e procedimentos disponibilizados pela empresa em seus repositórios.
12.2. Os documentos estão disponíveis na Intranet, no kit Qualidade, no site do Protege e no portal do RH. Essa lista está sujeita a alterações considerando a necessidade de inclusão de novos documentos.
13. Revisões
13.1. Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Corporativo de Segurança da Informação e Privacidade.
14. Gestão da Política
14.1. A Política Geral de Segurança da Informação é aprovada pelo Comitê Corporativo de Segurança da Informação e Privacidade, em conjunto com as Diretorias da DÍGITRO.
A presente política foi aprovada no dia 01/09/2023