Passar para o conteúdo principal
Todas as coleçõesTermos e Políticas
Política de Segurança da Informação
Política de Segurança da Informação

Esta política estabelece diretrizes a serem observadas pelos colaboradores, terceiros e partes interessadas da Base39 e empresas do grupo, com os objetivos de garantir a confidencialidade, integridade e disponibilidade em todas as atividades executadas

Atualizado há mais de uma semana

Termos e Definições

  • Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a Base39.

  • Ativo: Tudo aquilo que possui valor para a Base39.

  • Ativo de informação: Patrimônio intangível da Base39, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, de natureza legal, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas à Base39 por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da Base39 ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

  • Backup: Armazenamento de cópia de segurança de dados para ser utilizada na recuperação de informações sempre que necessário. O backup tem por finalidade restaurar as informações de forma íntegra visando garantir a continuidade do trabalho.

  • Colaborador(es): Sócios, empregados efetivos e temporários, prestadores de serviços contratados, , estagiários e jovens aprendizes da Base39, bem como os Terceiros.

Objetivo

Esta Política de Segurança da Informação, também chamada de PSI, tem por objetivo definir diretrizes e boas práticas no tratamento e na proteção das informações, preservando a confidencialidade, integridade e disponibilidade na geração, utilização, armazenamento e distribuição, independentemente do meio em que ela esteja contida.

Estabelece a busca contínua de ações destinadas a preservar os princípios básicos da segurança aplicados à informação que deverão ser observadas por todos os Colaboradores e Terceiros, além de procedimentos específicos, bem como a implementação de controles e processos para o seu atendimento.

Elaborada para prevenir causas de incidentes de segurança da informação e minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo na Base39 como resultado de ameaças ou falhas.

Público-alvo

A PSI se aplica a todo indivíduo ou organização que possui ou possuiu vínculo com a Base39, tais como Colaboradores, ex-colaboradores, prestadores de serviço, ex-prestadores de serviço e Terceiros, que possuíram, possuem ou virão a possuir acesso às informações da Base39 e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura Base39.

Diretrizes

A PSI tem por objetivo proteger a informação de diversos tipos de ameaças, de modo a assegurar a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

Todos os procedimentos da Base39 deverão ser realizados considerando os seguintes princípios básicos da segurança da informação:

  • Autenticidade: garante que a informação é proveniente da fonte anunciada;

  • Confidencialidade: garante que a informação seja acessível apenas por agentes autorizados e dela se utilizem estritamente para o desempenho de suas funções na qualidade de colaborador da Base39, impedindo que a informação se torne pública ou acessível a qualquer terceiro que esteja fora da Base39;

  • Integridade: garante que a informação seja mantida em seu estado original desde sua criação, protegendo durante a guarda ou transmissão contra alterações indevidas, intencionais ou acidentais até o descarte, se aplicável;

  • Disponibilidade: garante que a informação e os serviços essenciais estarão disponíveis para os usuários quando requeridos;

  • Não repúdio: capacidade de identificar uma ação já executada, de forma que o executor não possa negar a autoria;

Gestão de Riscos

Todos os produtos e serviços desenvolvidos, adquiridos, implementados ou disponibilizados devem ser submetidos a um processo formal de análise, avaliação e tratamento de riscos, visando atingir o grau de segurança adequado para a Base39.

Gestão de Continuidade

A Base39 deve implementar planos de continuidade de negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de segurança da informação estabelecidos nos ambientes de produção.

Deve haver redundância dos ativos, para que atendam aos requisitos de disponibilidade.

Governança em Proteção de Dados Pessoais

A Base39 deve implementar, seguir e aprimorar continuamente as diretrizes estabelecidas na Política de Governança em Proteção de Dados Pessoais e Política de Privacidade, que visam assegurar a privacidade e a segurança dos dados pessoais tratados no âmbito da oferta e disponibilização de soluções.

Gestão de Incidentes de Segurança da Informação e/ou Privacidade

Todos os Colaboradores devem reportar quaisquer incidentes de segurança, para que estes possam ser classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade.

Classificação da Informação

As informações da Base39 somente poderão ser utilizadas em cumprimento aos propósitos de negócios e o acesso dependerá da função exercida e da autorização prévia do responsável pela informação.

Todas as informações devem ser classificadas com base em sua sensibilidade para o negócio, conforme os critérios estabelecidos na Política de Classificação da Informação.

Gestão de Acessos

No ato da contratação, mudança de área ou desligamento de Colaboradores ou finalização do vínculo de Terceiros, devem existir processos que registrem, revisem e ajustem os acessos físicos e lógicos de acordo com as novas funções desempenhadas, para garantir os acessos somente as informações e recursos necessários ao seu novo cargo ou função.

Senhas de Usuários

Todas as senhas dos Colaboradores devem ser confidenciais, pessoais e intransferíveis. As senhas devem conter requisitos mínimos de segurança de acordo com a Política de Senhas.

Utilização dos Ativos de Tecnologia da Informação

Os ativos de tecnologia da informação são recursos corporativos, de propriedade da Base39, disponibilizados apenas para a execução das atividades funcionais dos Colaboradores. É responsabilidade do Colaborador zelar pela proteção e pelas informações contidas nos ativos sob sua responsabilidade. Devem ser utilizados somente ativos homologados e autorizados pela Base39.

Criptografia

O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a autenticidade, confidencialidade e integridade das informações.

Relacionamento com Terceiros

A proteção dos ativos acessados por Terceiros deve ser garantida, cabendo a cada uma das áreas envolvidas a responsabilidade por assegurar que os requisitos de segurança da informação sejam implementados e acordados com os Terceiros, para que se mitiguem os riscos associados aos acessos.

Aquisição, Desenvolvimento e Manutenção de Sistemas

Todo sistema de propriedade da Base39, seja ele adquirido ou desenvolvido internamente, deve ser submetido a um processo de avaliação de riscos antes de sua implantação, de forma a garantir seu alinhamento com as práticas de segurança da informação estabelecidas nesta PSI.

Auditoria e Conformidade

A Base39 deve auditar periodicamente as práticas de segurança da informação de forma a avaliar a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta PSI e na legislação aplicável.

Monitoramento

A Base39 deve, em conformidade com a legislação em vigor, monitorar o acesso e a utilização de seus ativos, tais como ambientes, equipamentos e sistemas tecnológicos, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente.

Conflitos

Na existência de conflito entre os controles de segurança e uma necessidade de negócio específica, um novo cenário de controle deve ser analisado e implementado a fim de viabilizar os objetivos da Base39, havendo ainda a necessidade de registro da aceitação dos riscos remanescentes por parte da diretoria.

Propriedade da Informação

Toda a informação produzida, enviada ou recebida pelos Colaboradores e Terceiros como resultado da atividade profissional, pertence à Base39, o que inclui o conteúdo de todas as caixas de e-mails bem como todos os arquivos gravados nos diversos tipos de mídias. As exceções devem ser explícitas e formalizadas em contrato entre as partes.

Comunicação e Treinamento

A PSI está disponível para todos os Colaboradores na Intranet, devendo ser consultada regularmente.

Todos os Colaboradores e envolvidos nas atividades sob controle da empresa, de acordo com o escopo, devem estar cientes desta PSI, receber treinamentos e conscientização em segurança da informação periodicamente, sendo no momento da contratação e/ou anualmente.

Papéis e responsabilidades

Comitê Gestor de Segurança da Informação – CGSI

O Comitê Gestor de Segurança da Informação, também chamado de CGSI é composto por, pelo menos, um representante da gestão das seguintes áreas internas: Gestão, Business Development, Negócios, Marketing, Operações, Financeiro & Pessoas, Sucesso do Cliente, Crédito & Dados, BI, Engenharia & Produto e Encarregado de Dados.

O CSGI possui as seguintes responsabilidades:

  1. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;

  2. Garantir a disponibilidade dos recursos necessários para uma efetiva gestão da segurança da informação;

  3. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;

  4. Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Base39;

  5. Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado, de acordo com as normas legais e infralegais, principalmente as que se conectam com a Lei Geral de Proteção de Dados, Marco Civil da Internet e Código de Defesa do Consumidor, sempre com o auxílio do Encarregado de Dados.

  6. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;

  7. Garantir a disponibilidade dos recursos necessários para uma efetiva gestão da segurança da informação;

  8. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;

  9. Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Base39;

  10. Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado, de acordo com as normas legais e infralegais, principalmente as que se conectam com a Lei Geral de Proteção de Dados, Marco Civil da Internet e Código de Defesa do Consumidor, sempre com o auxílio do Encarregado de Dados.

Gestores da Informação

Cada um dos Gestores da Informação possuem as seguintes responsabilidades:

  1. Gerenciar as informações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte, conforme as normas estabelecidas pela Base39;

  2. Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela Base39 de acordo com a Política de Classificação da Informação;

  3. Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem, conforme necessário;

  4. Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

  5. Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela Base39;

  6. Apoiar o CGSI em suas deliberações;

  7. Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir esta PSI;

  8. Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;

  9. Tomar as ações cabíveis para se fazer cumprir os termos desta PSI;

  10. Gerenciar as informações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte, conforme as normas estabelecidas pela Base39;

  11. Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela Base39 de acordo com a Política de Classificação da Informação;

  12. Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem, conforme necessário;

  13. Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

  14. Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela Base39;

  15. Apoiar o CGSI em suas deliberações;

  16. Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir esta PSI;

  17. Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;

  18. Tomar as ações cabíveis para se fazer cumprir os termos desta PSI;

Colaboradores

Cada um dos Titulares de Dados, definidos no item 3 desta política, possuem as seguintes responsabilidades:

  1. Ler, compreender e cumprir integralmente os termos da PSI, bem como as demais normas e procedimentos de segurança aplicáveis;

  2. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a PSI, suas normas e procedimentos ao encarregado de dados, aos gestores da informação ou, quando pertinente, ao CGSI;

  3. Comunicar aos gestores da informação qualquer evento que viole esta PSI ou coloque em risco a segurança das informações ou dos recursos computacionais da Base39;

  4. Assinar o termo de uso de sistemas de informação da Base39, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

  5. Ler, compreender e cumprir integralmente os termos da PSI, bem como as demais normas e procedimentos de segurança aplicáveis;

  6. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a PSI, suas normas e procedimentos ao encarregado de dados, aos gestores da informação ou, quando pertinente, ao CGSI;

  7. Comunicar aos gestores da informação qualquer evento que viole esta PSI ou coloque em risco a segurança das informações ou dos recursos computacionais da Base39;

  8. Assinar o termo de uso de sistemas de informação da Base39, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

Encarregado de Dados

O Encarregado de Dados possui diversas atribuições, dentre elas:

  1. Aceitar reclamações e comunicações dos Titulares dos Dados, prestar esclarecimentos e adotar providências;

  2. Receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e demais órgãos administrativos, regulatórios e/ou judiciais, bem como adotar as providências necessárias para cumprir com as determinações, responder questionamentos etc., sempre conciliando a proteção do Titular dos Dados e os direitos da Base39;

  3. Orientar os funcionários e os contratados da Base39 a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e segurança da informação;

  4. Atuar como ponto de contato para o exercício dos direitos dos Titulares dos Dados, processamento de suas consultas e, quando for o caso, capacitação da área responsável pela gestão daquelas requisições;

  5. Participar das reuniões do comitê gestor de privacidade para tomadas de decisões em conjunto;

  6. Zelar pela manutenção e atualização do programa de adequação implementado pela Base39, inclusive dos documentos regulatórios, políticas e manuais elaborados;

  7. Aceitar reclamações e comunicações dos Titulares dos Dados, prestar esclarecimentos e adotar providências;

  8. Receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e demais órgãos administrativos, regulatórios e/ou judiciais, bem como adotar as providências necessárias para cumprir com as determinações, responder questionamentos etc., sempre conciliando a proteção do Titular dos Dados e os direitos da Base39;

  9. Orientar os funcionários e os contratados da Base39 a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e segurança da informação;

  10. Atuar como ponto de contato para o exercício dos direitos dos Titulares dos Dados, processamento de suas consultas e, quando for o caso, capacitação da área responsável pela gestão daquelas requisições;

  11. Participar das reuniões do comitê gestor de privacidade para tomadas de decisões em conjunto;

  12. Zelar pela manutenção e atualização do programa de adequação implementado pela Base39, inclusive dos documentos regulatórios, políticas e manuais elaborados;

Recursos Humanos

  1. Garantir que as diretrizes de segurança em recursos humanos definidas na PSI sejam seguidas pelos colaboradores e terceiros;

  2. Garantir que as diretrizes de segurança em recursos humanos definidas na PSI sejam seguidas pelos colaboradores e terceiros;

Controle de revisão

Este documento deve ser anualmente revisado e atualizado tempestivamente em caso de alteração de regras, responsabilidades, processos e atividades.

Normas e legislações aplicáveis

  • Lei n° 9.609/1998 (Lei do Software);

  • Lei n° 13.709/2018: Lei Geral de Proteção de Dados Pessoais (LGPD);

  • ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos;

  • ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação;

Canais de contato

Em hipótese de dúvidas sobre os temas abordados por esta política ou assuntos relacionados, favor entrar em contato com o e-mail [email protected].

Nós garantimos a confidencialidade e anonimato das informações reportadas, bem como a não retaliação a denunciantes que agirem de boa-fé.

Artigos relacionados
Política de Privacidade
Política de Uso Aceitável
Respondeu à sua pergunta?