Baixe o app para aproveitar ainda mais
Prévia do material em texto
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 1 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna Alteração do item 6.2 – troca do nome dispositivos móveis para dispositivos endpoint e inclusão do subitem Controle de Acesso a Ambientes ou Sistemas na AlmavivA no tópico 6.10 Gestão de Terceiros. Rev. Data Elaborado por Descrição da revisão Data da próxima aprovação 00 02/05/2023 Danielle Brito Criação do documento 02/05/2024 01 06/07/2023 Danielle Brito Alteração do item 6.2 – troca do nome dispositivos móveis para dispositivos endpoint e inclusão do subitem Controle de Acesso a Ambientes ou Sistemas na AlmavivA no tópico 6.10 Gestão de Terceiros 06/07/2024 Elaborado por: Analisado por: Aprovado por: Equipe de GRC – Governança, Riscos e Compliance Gerência de GRC – Governança, Risco e Compliance Diretoria de Segurança da Informação e Privacidade SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 2 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna 1 OBJETIVO: Garantir a confidencialidade, integridade, disponibilidade e legalidade da informação necessária para o negócio do Grupo AlmavivA do Brasil. A implementação dessa política é importante para sustentar e demonstrar nossa capacidade e integridade em lidar com todas as partes interessadas. Portanto, essa política assegura que: ▪ As informações estão protegidas contra acesso não autorizado; ▪ A confidencialidade da informação é mantida; ▪ As informações não são divulgadas às entidades não autorizadas por meio de ações deliberadas ou descuidadas; ▪ A integridade das informações é mantida para impedir modificações não autorizadas; ▪ As informações estão disponíveis para usuários autorizados, quando necessário; ▪ Requisitos contratuais, de regulamentação e legais são cumpridos; ▪ Sempre que ocorrer alterações legais, regulamentares ou normativas que impactem o negócio do Grupo AlmavivA do Brasil, uma análise crítica é realizada a fim de que as adequações, se necessário, sejam realizadas; ▪ Os planos de continuidade da atividade são produzidos, mantidos e testados de acordo com as expectativas da gestão; ▪ Treinamento de segurança da informação e privacidade são dados a todos os colaboradores e, quando aplicável, a provedores externos; ▪ Potenciais violações de segurança da informação e suspeitas de vulnerabilidades sejam relatadas, investigadas e mitigadas; ▪ Cada indivíduo tenha conhecimento adequado dos controles de gestão, dos controles operacionais e técnicos que ajudam a proteger os recursos e bens tecnológicos de informação do Grupo AlmavivA do Brasil; ▪ As metas e objetivos são divulgados para as partes interessadas envolvidas, para que cada indivíduo tenha uma compreensão adequada de seu papel e responsabilidade em relação à segurança da informação e à missão da organização; ▪ As políticas, procedimentos e práticas são comunicados às partes envolvidas do Grupo AlmavivA do Brasil; SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 3 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna ▪ A melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade é um compromisso de todos na AlmavivA. 2 CAMPO DE APLICAÇÃO: Esta política se aplica a todos os colaboradores, terceiros, fornecedores que utilizem o ambiente de processamento ou acessem informações pertencentes ao Grupo AlmavivA do Brasil. 3 REFERÊNCIAS: • PSI-002 – Política de Segurança da Informação Pública • NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos. • NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação. • NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes. • Lei nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados Pessoais). 4 DEFINIÇÕES ▪ Informação: A informação pode existir em diversos formatos tais como: impressa ou escrita em papel, armazenada eletronicamente, transmitida por correio eletrônico e/ou por outros meios eletrônicos, mostrada em filmes ou falada em conversas. Independentemente de sua natureza ou de sua origem, e da forma apresentada, compartilhada e/ou armazenada, ela deve estar protegida de acordo com sua relevância em relação ao negócio das empresas. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 4 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna ▪ Confidencialidade: a informação não pode ser disponibilizada ou acessada sem autorização prévia do seu proprietário; ▪ Integridade: a informação é protegida contra modificações não autorizadas; ▪ Disponibilidade: a informação fica disponível para acesso para pessoas que necessitam da mesma para o desempenho de suas atividades; ▪ Legalidade: garantia de que as informações produzidas respeitem a legislação vigente; ▪ Logs: arquivos de registros de eventos; ▪ Malware: software malicioso; ▪ Política: conjunto de princípios e normas; ▪ Software: programa de computador; ▪ Stakeholders: termo utilizado para referenciar as partes interessadas ou envolvidos em um processo e/ou projeto. 5 RESPONSABILIDADES: Compete a Alta Direção: i. Tomar decisões administrativas (sanções disciplinares) referentes aos casos de descumprimento das políticas e normas da organização; ii. Prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade; iii. Apoiar o desenvolvimento e a implementação de políticas de segurança da informação; iv. Comprometer-se a seguir as políticas e normas da AlmavivA, agindo de forma exemplar. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 5 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna Compete ao Comitê de Segurança da Informação e Privacidade: i. Criar melhorias e aprovar a política de segurança da informação e as demais políticas de Segurança da Informação e Privacidade; ii. Tratar todas as não conformidades e acompanhar as ações corretivas definidas; III. Criar projetos relacionados à melhoria da gestão de tecnologia e segurança da informação, bem como acompanhá-los; iv. Analisar as sanções disciplinares cabíveis no caso de ocorrência de um incidente de segurança; v. O comitê de Segurança da Informação e Privacidade é uma comissão composta por colaboradores dos seguintes setores: Segurança da Informação, Jurídico, Tecnologia da Informação, Segurança Corporativa, Qualidade. Compete à área de Segurança da Informação e Privacidade: i. Assegurar e manter a aplicação das diretrizes estabelecidas nas políticas e procedimentos de segurança da informação dentro do Grupo AlmavivA do Brasil; ii. Definir políticas, normas, procedimentos e diretrizes técnicas de segurança da informação; iii. Auxiliar os proprietários das informações quanto à sua classificação; iv. Auxiliar os proprietários dos ativos na definição e implementação de controles e processos de segurança da informação; v. Coletar, analisar e elaborarrelatórios gerenciais sobre os incidentes de segurança da informação; vi. Elaborar e organizar os programas de conscientização em segurança da informação; vii. Suportar o desenvolvimento das políticas e normas de segurança da informação com o intuito de assegurar a conformidade com a legislação vigente. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 6 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna Compete à área de Tecnologia da Informação / Segurança Corporativa: i. Apoiar na análise do incidente, e planejar a correção no caso de se tratar de uma vulnerabilidade. ii. Identificar as vulnerabilidades de segurança e riscos associados aos ativos de tecnologia da informação; iii. Coordenar e suportar a implantação das medidas de segurança; iv. Analisar os incidentes de segurança associados aos ativos de tecnologia da informação e traçar as ações necessárias para a correção dos desvios; v. Gerenciar e monitorar os acessos lógicos aos sistemas; vi. Fornecer identificação e senha de acesso, conforme estabelecido na norma de controle de acesso; vii. Garantir que os usuários tenham acesso somente às informações aprovadas pelo gestor da área; viii. Revisar periodicamente os acessos aos sistemas de informação; ix. Gerir e monitorar os logs e similares com o intuito de identificar desvios de segurança; x. Sugerir, recomendar e verificar a implementação das melhores práticas de segurança em todos os serviços sob sua responsabilidade. Compete à área de Recursos Humanos: i. Colher as assinaturas nos termos de uso e responsabilidade, e arquivá-los; ii. Informar imediatamente à área de Tecnologia da Informação, responsável pela gestão dos acessos lógicos e físicos, todos os desligamentos, afastamentos e modificações no quadro funcional; iii. Divulgar as políticas e normas a todos os colaboradores, e arquivar os certificados de participação dos colaboradores nos respectivos prontuários Compete à área de Governança de Segurança da Informação: i. Gerir toda documentação do Sistema de Gestão de Segurança da Informação; ii. Realizar as conscientizações das políticas e demais documentações de Segurança da Informação; SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 7 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna iii. Realizar análises críticas das políticas, objetivos e controles implementados pela área de Segurança da Informação e Infraestrutura; iv. Definir políticas, normas, procedimentos e diretrizes não técnicas, de segurança da informação. Compete a todos: i. Zelar pela Segurança da Informação no Grupo AlmavivA do Brasil; ii. Seguir as diretrizes contidas nesta política e demais políticas e procedimentos de segurança da informação; iii. Manter a segurança física de equipamentos e informações; iv. Participar dos programas de conscientização providos; v. Informar fragilidades, vulnerabilidades e riscos pertinentes a Segurança da Informação que venham a ter conhecimento; vi. Acompanhar incidentes e propor melhorias, evitando reincidências de problemas; vii. Utilizar com responsabilidade e para fins de trabalho e de forma profissional, ética e legal os ativos de tecnologia da informação; viii. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada; ix. Garantir que os sistemas e informações sob sua responsabilidade estejam protegidos; x. Comunicar qualquer descumprimento da Política de Segurança da Informação. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 8 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna 6 DIRETRIZES 6.1 MESA LIMPA E TELA LIMPA As diretrizes de mesa limpa e tela limpa visam garantir que informações sensíveis não sejam deixadas em locais de fácil acesso em períodos em que o responsável pela informação não se encontre no local; além disso, tais diretrizes reduzem o risco de uma violação de segurança, fraudes e roubo de informações causadas por documentos que estão sendo deixados sozinhos nas instalações da empresa. Segue abaixo algumas orientações: ▪ As informações críticas do negócio devem ser guardadas em lugar seguro quando não em uso, principalmente quando o escritório está desocupado. ▪ Documentos com informações sensíveis devem ser recolhidos imediatamente, a fim de impedir que uma pessoa não autorizada tenha acesso à informação. ▪ Caso sua mesa tenha gavetas essas devem estar sempre trancadas; ▪ Não deixar exposto anotações de trabalho em períodos aos quais você não estiver presente (Ex: Saída para almoço, café, fim de turno etc.); ▪ Ao descartar algum documento sensível procure utilizar a fragmentadora de papel; ▪ Quando participar de reunião sempre antes de sair da sala lembre- se de apagar o quadro, levar e guardar em local seguro suas anotações, a sala deverá ser entregue sem anotações no quadro ou papéis com informações nas mesas; ▪ Todo documento impresso deve ser recolhido e armazenado em local seguro, jamais enviar algum documento para impressão e deixar este sem destino apropriado; ▪ Jamais anotar sua senha e deixá-la em local exposto. (Procure decorar sua senha ou utilizar aplicações que fazem a função de cofre, evite anotar). SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 9 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna MESA LIMPA E TELA LIMPA NA OPERAÇÃO ▪ Papéis, canetas, comida, telefones, fones de ouvido, smart watches ou relógios que conectem ao celular são expressamente proibidos. Salvo quando determinado pelo cliente para a execução de suas funções. ▪ Na estação de trabalho (PA) só pode haver os equipamentos necessários e obrigatórios ao trabalho. ▪ Ao sair da estação de trabalho, o equipamento deve ser bloqueado. 6.2 DISPOSITIVOS ENDPOINT DO USUÁRIO O Grupo AlmavivA do Brasil definiu as seguintes diretrizes de uso dos dispositivos endpoint, utilizados para a realização de atividades profissional: Dispositivos Endpoint Corporativos Quando se descreve “Dispositivo Endpoint”, entende-se qualquer equipamento eletrônico com atribuições de mobilidade, tais como: notebooks, tablets, smartphones, pen drives, câmeras e outros. Os dispositivos endpoint disponibilizados pelo Grupo AlmavivA do Brasil são equipamentos protegidos por aplicações de controle e se destinam exclusivamente ao uso profissional e sua utilização deve ser aprovada pelo gestor de cada área para fins específicos de cada função. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo endpoint fornecido pelo Grupo AlmavivA do Brasil, comunicar imediatamente seu gestor direto.. O colaborador também deve procurar a ajuda das autoridades policiais registrando, imediatamente, um boletim de ocorrência (BO) relativo ao evento. O colaborador toma ciência, nesta política, de que o uso indevido do Dispositivo Endpoint fornecido pelo Grupo AlmavivA do Brasil, caracterizará que ele está assumindo todos os riscos da sua má utilização, sendo este o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venham a causar ao Grupo AlmavivA do Brasil e/ou a terceiros. A disponibilização de notebook para o colaborador como ferramenta de trabalho para uso contínuo pressupõe que o colaborador não utilizará seu equipamento pessoal, valendo-se de uma única máquina para uso profissional. SISTEMA DE GESTÃODE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 10 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna No ato da entrega de qualquer dispositivo, o colaborador deverá assinar o Termo de Responsabilidade. É expressamente proibido o uso dos dispositivos endpoint da AlmavivA para fins ilícitos, contra os costumes não condizentes com o trabalho e a missão da empresa, incluindo, mas não se limitando, a: Criação de perfil ou e-mail falso; Publicação em redes sociais ou envio de e-mail para fins de difamação e ofensas; ▪ Pirataria; ▪ Pornografia; ▪ Pedofilia; ▪ Concorrência desleal; ▪ Outros. Observação: O Grupo AlmavivA do Brasil, na qualidade de proprietário dos equipamentos fornecidos, reserva-se no direito de monitorá-los e inspecioná-los, a qualquer tempo, de forma que não deve existir qualquer expectativa de privacidade. Dispositivos Endpoint Pessoais Entendem-se como dispositivos pessoais, todo recurso tecnológico adquirido pelo próprio colaborador para fins pessoais como, por exemplo, celular, notebook, tablet e outros. O Grupo AlmavivA do Brasil permite o uso de dispositivos pessoais desde que não interfira na carga horária, na qualidade e eficiência esperada pela empresa, atendendo às orientações e regras a seguir: ▪ Não é permitido extrair fotos e vídeos das dependências da empresa que identifiquem pessoas sem o respectivo consentimento desta, informações, bem como extrair obras sem autorização e quaisquer equipamentos da empresa; ▪ Notebooks, celulares e tablets pessoais não devem ser conectados à rede da empresa, sendo seu uso permitido, apenas com recursos de acesso pertencentes ao próprio colaborador. Informações corporativas não podem ser armazenadas em dispositivos pessoais; Observação: As exceções devem ser tratadas por cada gestor de área e aprovados pela área de Segurança da Informação. O Grupo AlmavivA do Brasil não se responsabiliza pela segurança e manutenção de qualquer recurso pessoal, sendo de inteira responsabilidade SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 11 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna do colaborador, sua guarda e manuseio. Mais informações estão descritas no Termo de Adesão ao Trabalho Remoto. 6.3 GESTÃO DE ATIVOS DE INFORMAÇÃO As diretrizes relacionadas aos ativos de TI estão estabelecidas no documento Política de Gestão de Ativos de Informação e Associados. Este documento determina dentre outras coisas informações sobre: ▪ Inventário dos ativos de informação e associados: determinação de como são realizados e periodicidade dos inventários; ▪ Proprietário dos ativos: designação das responsabilidades dos proprietários dos ativos; ▪ Uso aceitável dos ativos: estabelecimento de regras para o uso aceitável das informações, dos ativos associados com informação, e os recursos de processamento da informação devem ser identificados, documentados e implementados; ▪ Devolução de ativos: definição das regras de devolução de ativos da organização que estejam sob posse dos colaboradores e partes externas, após o encerramento de suas atividades, do contrato ou acordo. 6.4 CLASSIFICAÇÃO DA INFORMAÇÃO O processo de classificação da informação estabelecido pela AlmavivA tem o objetivo de proteger a informação contra a revelação. Para isso, todo e qualquer tipo de informação criada e/ou armazenada dentro das instalações da empresa deverá ser classificada por uma das seguintes opções: • Pública: São informações com conteúdo público para pessoas que trabalham interna ou externamente à empresa. • Interna: São informações relacionadas normalmente com a organização interna da empresa e que, caso reveladas para pessoas que não mantém vínculo com a mesma, ou que não tenham acordo de confidencialidade, podem expor sua importância e estimular eventuais fraudes. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 12 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna • Restrita: São informações de importância especial para a empresa, relacionadas normalmente com uma área ou um processo e que, caso reveladas para pessoas que não mantém vínculo com o assunto, ou que não tenham acordo de confidencialidade, podem expor sua importância e estimular eventuais prejuízos para a empresa. • Confidencial: São informações de importância crucial para os objetivos da empresa, podendo versar sobre assuntos variados, como política empresarial, chaves privativas dos clientes, implementação de novos produtos. Sua revelação prematura, ou indesejada, pode trazer sérios problemas para a administração da empresa, gerando graves prejuízos financeiros e a perda de participação ou competitividade no mercado. Na Política de Classificação da Informação estão estabelecidas as formas de controle das informações para cada um dos critérios definidos pela organização. 6.5 GESTÃO DE INCIDENTES É dever de todos notificar quaisquer fragilidades de segurança da informação, observada ou suspeita nos sistemas ou serviços do Grupo AlmavivA do Brasil. As diretrizes estão definidas na Política de Gestão de Incidentes. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 13 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna 6.6 PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS A AlmavivA disponibiliza ferramentas para proteção dos seus ativos/serviços de informação e recursos computacionais, incluindo estações de usuários, dispositivos móveis e servidores corporativos, contra ameaças e códigos maliciosos tais como vírus, cavalos de tróia, worms, ferramentas de captura de tela e dados digitados, softwares de propaganda e similares. Apenas a ferramenta disponibilizada pela empresa deve ser utilizada na proteção contra códigos maliciosos. Mesmo com a existência de ferramentas para proteção contra códigos maliciosos, os usuários da AlmavivA devem adotar um comportamento seguro, reduzindo a probabilidade de infecção ou propagação de códigos maliciosos. Os usuários devem seguir as seguintes regras para proteção contra códigos maliciosos: ▪ Não tentar efetuar o tratamento e correção de códigos maliciosos por iniciativa própria; ▪ Reportar imediatamente a área de tecnologias da informação qualquer infecção ou suspeita de infecção por código malicioso; ▪ Não desenvolver, testar ou armazenar qualquer parte de um código malicioso de qualquer tipo, a menos que expressamente autorizado; ▪ Efetuar uma varredura com a ferramenta de proteção contra códigos maliciosos fornecida pela empresa antes de utilizar arquivos armazenados em mídias removíveis, baixados da internet ou recebidos nos serviços de e-mail ou comunicadores instantâneos; ▪ Não habilitar macros para arquivos recebidos de fontes suspeitas, baixados da internet ou recebidos nos serviços de e-mail ou comunicadores instantâneos. Caso necessário, poderá ser solicitado o apoio da equipe de segurança da informação para validar se o arquivo representa ou não uma ameaça. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 14 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna 6.7 GESTÃO DE ACESSO A AlmavivA estabelece diretrizes na Política de Segurança Lógica relacionadas a: ▪ Controle de acesso: tem o intuito de limitar o acesso à informação e aos recursos de processamento da informação; ▪ Acessoàs redes e aos serviços de rede: os usuários devem somente receber acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar. ▪ Gerenciamento de acesso do usuário: processo formal para cancelamentos, provisionamento de acessos temporários e análise crítica dos direitos de acesso do usuário; ▪ Senhas: a utilização de senhas de acesso AlmavivA obedece a padrões de complexidade e não podem ser reutilizadas. Quaisquer dúvidas devem ser endereçadas ao e-mail sip@almavivadobrasil.com.br. 6.8 CONSCIENTIZAÇÃO A AlmavivA possui programa de comunicados e treinamentos para todos os colaboradores e partes interessadas apropriadas. Compete a todos: ▪ Ler os comunicados encaminhados via e-mail; ▪ Realizar os treinamentos disponibilizados; ▪ Ler as políticas e procedimentos divulgados. 6.9 TRABALHO REMOTO A equipe de Segurança da Informação e Privacidade reuniu algumas boas práticas relacionadas ao trabalho remoto e à segurança da informação no Guia de Boas Práticas de Trabalho Remoto. 6.10 GESTÃO DE TERCEIROS Todos os terceiros devem se comprometer a agir de acordo com a Política de Segurança da Informação e a Política de Privacidade, sendo imprescindível que o contrato firmado entre as empresas possua cláusulas mailto:sip@almavivadobrasil.com.br SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 15 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna que assegurem a confidencialidade das informações e a adesão à Política de Segurança da Informação e a de Privacidade. Os fornecedores precisam ser analisados de acordo com o grau de criticidade em relação a confidencialidade, integridade e disponibilidade das informações. Antes da contratação deverá ser feito uma análise crítica de acordo com a confidencialidade das informações (Análise de mercado / Certificações / Referenciais). O terceiro deve cumprir o compromisso firmado em termo de confidencialidade e utilizar recursos para proteger a transmissão de informações, mediante aprovação da área de Segurança da Informação e Privacidade (SIP), e acompanhamento do gestor do contrato. Ao findar o período do contrato é de responsabilidade do Gestor do contrato comunicar as áreas envolvidas para garantir um término seguro, ou seja, com o desprovimento dos direitos de acesso, devolução dos ativos, eliminação segura das informações e demais requisitos que se fizerem necessário. É dever de todos os gestores de contrato apoiarem a área de Segurança da Informação e Privacidade no que tange ao cumprimento das cláusulas contratuais e no comprometimento dos terceiros sob sua gestão em relação a Política de Segurança da Informação e Privacidade. I. CONTROLE DE ACESSO A AMBIENTES OU SISTEMAS NA ALMAVIVA Antes do início da prestação do serviço, caso o fornecedor precise de acesso a ambientes ou sistemas da Almaviva, é necessário: ▪ Apresentar NDA assinado ao time de SI para solicitação do DA (De Acordo) de liberação do acesso à VPN e, ▪ Criar contas nominais para cada pessoa (limitando ao mínimo de credencias) e, informar os emails dos usuários associados ao fornecedor. ▪ Renovar a solicitação das credenciais a cada 3 meses, se o prazo do serviço ultrapassar tal período. ▪ Respeitar a ativação do MFA (múltiplo fato de autenticação) na ativação de contas de VPN. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 16 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna ▪ Informar os servidores/ aplicativos alvos do destino, sendo que não é permitido o acesso total a rede corporativa do Grupo Almaviva. 6.11 SEGURANÇA DA INFORMAÇÃO EM PROJETOS A área de segurança da informação e privacidade deverá ser envolvida em todos os projetos da AlmavivA. Sua participação é necessária para realizar avaliações de riscos de segurança da informação e privacidade, desde o momento da concepção do projeto até o seu final. Todos os requisitos de segurança da informação e privacidade, de negócio e as soluções elaboradas devem ser devidamente documentada. 6.12 DESENVOLVIMENTO SEGURO Os requisitos de segurança da informação e privacidade devem ser aplicados em todo desenvolvimento, aquisição, manutenção e atualização de softwares, sistemas e aplicativos a fim de garantir que a segurança da informação e privacidade esteja projetada e implementada no desenvolvimento de todo ciclo de vida dos sistemas de informação da AlmavivA. 6.13 CONTROLE DE SOFTWARE Devem ser utilizados apenas softwares licenciados e homologados pela AlmavivA. Quaisquer atualizações dos softwares seja “free”, “share” ou licenciados, para o Usuário Final, só podem ser executados e autorizados pela área de Gestão de TI. As atualizações dos Sistemas Operacionais e demais softwares da Microsoft, são obrigatórias e disponibilizadas pela área de Gestão de TI A Equipe de segurança da informação deve ser envolvida na avaliação de aquisição ou utilização ou mudanças em softwares críticos que afetem a operação. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE (SGSIP) Página 17 de 17 PSI-001 Título: Política de Segurança da Informação - Interna Revisão: 01 Data de Emissão: 06/07/2023 Classificação: Interna 6.14 RISCOS Os riscos mapeados de segurança da informação e privacidade devem ser analisados, identificados, classificados, tratados e priorizados de acordo com os critérios de avaliação de riscos e objetivos definidos pelas empresas. A Segurança da Informação possui Política de Gestão de Riscos de Segurança da Informação e Privacidade. É dever de todos que identificarem algum risco ou vulnerabilidade em sistemas informar a área de Segurança da Informação e Privacidade. 7 DISPOSIÇÕES FINAIS Qualquer necessidade de ação em desacordo com as regras estabelecidas na Política de Segurança da Informação, na Política de Privacidade e suas políticas complementares devem ser direcionadas à Segurança da Informação para análise do risco, seu registro, e envio para a apreciação pela alçada competente e/ou Comitê de Segurança da Informação e Privacidade. O colaborador que fizer uso indevido ou não autorizado dos recursos das empresas, violar controle de segurança, ou de qualquer modo agir em desacordo com os termos dessa política, fica sujeito à aplicação de medidas disciplinares legalmente previstas, podendo haver responsabilização penal, civil e/ou administrativa, na forma da legislação em vigor.
Compartilhar