695663699-Politica-de-Seguranca-da-Informacao-Interna-PSI-001

Prévia do material em texto

SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 1 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
 
 
Alteração do item 6.2 – troca do nome dispositivos móveis para dispositivos endpoint e 
inclusão do subitem Controle de Acesso a Ambientes ou Sistemas na AlmavivA no tópico 
6.10 Gestão de Terceiros. 
 
Rev. Data Elaborado por Descrição da revisão 
Data da 
próxima 
aprovação 
00 02/05/2023 Danielle Brito Criação do documento 02/05/2024 
01 06/07/2023 Danielle Brito 
Alteração do item 6.2 – troca do nome 
dispositivos móveis para dispositivos 
endpoint e inclusão do subitem 
Controle de Acesso a Ambientes ou 
Sistemas na AlmavivA no tópico 6.10 
Gestão de Terceiros 
06/07/2024 
 
Elaborado por: 
 
Analisado por: Aprovado por: 
Equipe de GRC – 
Governança, Riscos e 
Compliance 
Gerência de GRC – Governança, Risco 
e Compliance 
Diretoria de Segurança da 
Informação e Privacidade 
 
 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 2 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
1 OBJETIVO: 
 
 Garantir a confidencialidade, integridade, disponibilidade e legalidade da 
informação necessária para o negócio do Grupo AlmavivA do Brasil. 
 A implementação dessa política é importante para sustentar e demonstrar 
nossa capacidade e integridade em lidar com todas as partes interessadas. 
Portanto, essa política assegura que: 
▪ As informações estão protegidas contra acesso não autorizado; 
▪ A confidencialidade da informação é mantida; 
▪ As informações não são divulgadas às entidades não autorizadas por 
meio de ações deliberadas ou descuidadas; 
▪ A integridade das informações é mantida para impedir modificações 
não autorizadas; 
▪ As informações estão disponíveis para usuários autorizados, quando 
necessário; 
▪ Requisitos contratuais, de regulamentação e legais são cumpridos; 
▪ Sempre que ocorrer alterações legais, regulamentares ou normativas 
que impactem o negócio do Grupo AlmavivA do Brasil, uma análise 
crítica é realizada a fim de que as adequações, se necessário, sejam 
realizadas; 
▪ Os planos de continuidade da atividade são produzidos, mantidos e 
testados de acordo com as expectativas da gestão; 
▪ Treinamento de segurança da informação e privacidade são dados a 
todos os colaboradores e, quando aplicável, a provedores externos; 
▪ Potenciais violações de segurança da informação e suspeitas de 
vulnerabilidades sejam relatadas, investigadas e mitigadas; 
▪ Cada indivíduo tenha conhecimento adequado dos controles de 
gestão, dos controles operacionais e técnicos que ajudam a proteger 
os recursos e bens tecnológicos de informação do Grupo AlmavivA 
do Brasil; 
▪ As metas e objetivos são divulgados para as partes interessadas 
envolvidas, para que cada indivíduo tenha uma compreensão 
adequada de seu papel e responsabilidade em relação à segurança 
da informação e à missão da organização; 
▪ As políticas, procedimentos e práticas são comunicados às partes 
envolvidas do Grupo AlmavivA do Brasil; 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 3 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
▪ A melhoria contínua do Sistema de Gestão da Segurança da 
Informação e Privacidade é um compromisso de todos na AlmavivA. 
 
2 CAMPO DE APLICAÇÃO: 
 
Esta política se aplica a todos os colaboradores, terceiros, fornecedores que 
utilizem o ambiente de processamento ou acessem informações 
pertencentes ao Grupo AlmavivA do Brasil. 
 
 
3 REFERÊNCIAS: 
 
• PSI-002 – Política de Segurança da Informação Pública 
• NBR ISO/IEC 27001:2022 – Segurança da informação, segurança 
cibernética e proteção à privacidade — Sistemas de gestão da 
segurança da informação — Requisitos. 
• NBR ISO/IEC 27002:2022 – Segurança da informação, segurança 
cibernética e proteção à privacidade — Controles de segurança da 
informação. 
• NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da 
ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação 
– Requisitos e diretrizes. 
• Lei nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados 
Pessoais). 
 
4 DEFINIÇÕES 
 
▪ Informação: A informação pode existir em diversos formatos tais como: 
impressa ou escrita em papel, armazenada eletronicamente, transmitida 
por correio eletrônico e/ou por outros meios eletrônicos, mostrada em 
filmes ou falada em conversas. Independentemente de sua natureza ou 
de sua origem, e da forma apresentada, compartilhada e/ou 
armazenada, ela deve estar protegida de acordo com sua relevância em 
relação ao negócio das empresas. 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 4 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
▪ Confidencialidade: a informação não pode ser disponibilizada ou 
acessada sem autorização prévia do seu proprietário; 
▪ Integridade: a informação é protegida contra modificações não 
autorizadas; 
▪ Disponibilidade: a informação fica disponível para acesso para pessoas 
que necessitam da mesma para o desempenho de suas atividades; 
▪ Legalidade: garantia de que as informações produzidas respeitem a 
legislação vigente; 
▪ Logs: arquivos de registros de eventos; 
▪ Malware: software malicioso; 
▪ Política: conjunto de princípios e normas; 
▪ Software: programa de computador; 
▪ Stakeholders: termo utilizado para referenciar as partes interessadas ou 
envolvidos em um processo e/ou projeto. 
 
5 RESPONSABILIDADES: 
 
Compete a Alta Direção: 
 
i. Tomar decisões administrativas (sanções disciplinares) referentes aos 
casos de descumprimento das políticas e normas da organização; 
ii. Prover recursos necessários para o estabelecimento, implementação, 
manutenção e melhoria contínua do Sistema de Gestão da Segurança 
da Informação e Privacidade; 
iii. Apoiar o desenvolvimento e a implementação de políticas de segurança 
da informação; 
iv. Comprometer-se a seguir as políticas e normas da AlmavivA, agindo de 
forma exemplar. 
 
 
 
 
 
 
 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 5 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
Compete ao Comitê de Segurança da Informação e Privacidade: 
 
i. Criar melhorias e aprovar a política de segurança da informação e as 
demais políticas de Segurança da Informação e Privacidade; 
ii. Tratar todas as não conformidades e acompanhar as ações corretivas 
definidas; 
III. Criar projetos relacionados à melhoria da gestão de tecnologia e 
segurança da informação, bem como acompanhá-los; 
iv. Analisar as sanções disciplinares cabíveis no caso de ocorrência de um 
incidente de segurança; 
v. O comitê de Segurança da Informação e Privacidade é uma comissão 
composta por colaboradores dos seguintes setores: Segurança da 
Informação, Jurídico, Tecnologia da Informação, Segurança Corporativa, 
Qualidade. 
 
Compete à área de Segurança da Informação e Privacidade: 
 
i. Assegurar e manter a aplicação das diretrizes estabelecidas nas políticas e 
procedimentos de segurança da informação dentro do Grupo AlmavivA do 
Brasil; 
ii. Definir políticas, normas, procedimentos e diretrizes técnicas de segurança 
da informação; 
iii. Auxiliar os proprietários das informações quanto à sua classificação; 
iv. Auxiliar os proprietários dos ativos na definição e implementação de 
controles e processos de segurança da informação; 
v. Coletar, analisar e elaborarrelatórios gerenciais sobre os incidentes de 
segurança da informação; 
vi. Elaborar e organizar os programas de conscientização em segurança da 
informação; 
vii. Suportar o desenvolvimento das políticas e normas de segurança da 
informação com o intuito de assegurar a conformidade com a legislação 
vigente. 
 
 
 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 6 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
Compete à área de Tecnologia da Informação / Segurança Corporativa: 
 
i. Apoiar na análise do incidente, e planejar a correção no caso de se tratar de 
uma vulnerabilidade. 
ii. Identificar as vulnerabilidades de segurança e riscos associados aos ativos 
de tecnologia da informação; 
iii. Coordenar e suportar a implantação das medidas de segurança; 
iv. Analisar os incidentes de segurança associados aos ativos de tecnologia da 
informação e traçar as ações necessárias para a correção dos desvios; 
v. Gerenciar e monitorar os acessos lógicos aos sistemas; 
vi. Fornecer identificação e senha de acesso, conforme estabelecido na norma 
de controle de acesso; 
vii. Garantir que os usuários tenham acesso somente às informações 
aprovadas pelo gestor da área; 
viii. Revisar periodicamente os acessos aos sistemas de informação; 
ix. Gerir e monitorar os logs e similares com o intuito de identificar desvios de 
segurança; 
x. Sugerir, recomendar e verificar a implementação das melhores práticas de 
segurança em todos os serviços sob sua responsabilidade. 
 
Compete à área de Recursos Humanos: 
 
i. Colher as assinaturas nos termos de uso e responsabilidade, e arquivá-los; 
ii. Informar imediatamente à área de Tecnologia da Informação, responsável 
pela gestão dos acessos lógicos e físicos, todos os desligamentos, 
afastamentos e modificações no quadro funcional; 
iii. Divulgar as políticas e normas a todos os colaboradores, e arquivar os 
certificados de participação dos colaboradores nos respectivos prontuários 
 
Compete à área de Governança de Segurança da Informação: 
 
i. Gerir toda documentação do Sistema de Gestão de Segurança da 
Informação; 
ii. Realizar as conscientizações das políticas e demais documentações de 
Segurança da Informação; 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 7 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
iii. Realizar análises críticas das políticas, objetivos e controles implementados 
pela área de Segurança da Informação e Infraestrutura; 
iv. Definir políticas, normas, procedimentos e diretrizes não técnicas, de 
segurança da informação. 
 
Compete a todos: 
 
i. Zelar pela Segurança da Informação no Grupo AlmavivA do Brasil; 
ii. Seguir as diretrizes contidas nesta política e demais políticas e 
procedimentos de segurança da informação; 
iii. Manter a segurança física de equipamentos e informações; 
iv. Participar dos programas de conscientização providos; 
v. Informar fragilidades, vulnerabilidades e riscos pertinentes a Segurança da 
Informação que venham a ter conhecimento; 
vi. Acompanhar incidentes e propor melhorias, evitando reincidências de 
problemas; 
vii. Utilizar com responsabilidade e para fins de trabalho e de forma 
profissional, ética e legal os ativos de tecnologia da informação; 
viii. Proteger as informações contra acesso, modificação, destruição ou 
divulgação não autorizada; 
ix. Garantir que os sistemas e informações sob sua responsabilidade estejam 
protegidos; 
x. Comunicar qualquer descumprimento da Política de Segurança da 
Informação. 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 8 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
6 DIRETRIZES 
 
6.1 MESA LIMPA E TELA LIMPA 
 
 As diretrizes de mesa limpa e tela limpa visam garantir que informações 
sensíveis não sejam deixadas em locais de fácil acesso em períodos em 
que o responsável pela informação não se encontre no local; além disso, 
tais diretrizes reduzem o risco de uma violação de segurança, fraudes e 
roubo de informações causadas por documentos que estão sendo deixados 
sozinhos nas instalações da empresa. Segue abaixo algumas orientações: 
 
▪ As informações críticas do negócio devem ser guardadas em lugar 
seguro quando não em uso, principalmente quando o escritório está 
desocupado. 
▪ Documentos com informações sensíveis devem ser recolhidos 
imediatamente, a fim de impedir que uma pessoa não autorizada 
tenha acesso à informação. 
▪ Caso sua mesa tenha gavetas essas devem estar sempre 
trancadas; 
▪ Não deixar exposto anotações de trabalho em períodos aos quais 
você não estiver presente (Ex: Saída para almoço, café, fim de 
turno etc.); 
▪ Ao descartar algum documento sensível procure utilizar a 
fragmentadora de papel; 
▪ Quando participar de reunião sempre antes de sair da sala lembre-
se de apagar o quadro, levar e guardar em local seguro suas 
anotações, a sala deverá ser entregue sem anotações no quadro ou 
papéis com informações nas mesas; 
▪ Todo documento impresso deve ser recolhido e armazenado em 
local seguro, jamais enviar algum documento para impressão e 
deixar este sem destino apropriado; 
▪ Jamais anotar sua senha e deixá-la em local exposto. (Procure 
decorar sua senha ou utilizar aplicações que fazem a função de 
cofre, evite anotar). 
 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 9 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
 MESA LIMPA E TELA LIMPA NA OPERAÇÃO 
 
▪ Papéis, canetas, comida, telefones, fones de ouvido, smart watches 
ou relógios que conectem ao celular são expressamente proibidos. 
Salvo quando determinado pelo cliente para a execução de suas 
funções. 
▪ Na estação de trabalho (PA) só pode haver os equipamentos 
necessários e obrigatórios ao trabalho. 
▪ Ao sair da estação de trabalho, o equipamento deve ser bloqueado. 
 
6.2 DISPOSITIVOS ENDPOINT DO USUÁRIO 
 
O Grupo AlmavivA do Brasil definiu as seguintes diretrizes de uso dos 
dispositivos endpoint, utilizados para a realização de atividades profissional: 
 Dispositivos Endpoint Corporativos 
 Quando se descreve “Dispositivo Endpoint”, entende-se qualquer 
equipamento eletrônico com atribuições de mobilidade, tais como: 
notebooks, tablets, smartphones, pen drives, câmeras e outros. 
 Os dispositivos endpoint disponibilizados pelo Grupo AlmavivA do Brasil 
são equipamentos protegidos por aplicações de controle e se destinam 
exclusivamente ao uso profissional e sua utilização deve ser aprovada pelo 
gestor de cada área para fins específicos de cada função. 
 É responsabilidade do colaborador, no caso de furto ou roubo de um 
dispositivo endpoint fornecido pelo Grupo AlmavivA do Brasil, comunicar 
imediatamente seu gestor direto.. O colaborador também deve procurar a 
ajuda das autoridades policiais registrando, imediatamente, um boletim de 
ocorrência (BO) relativo ao evento. 
 O colaborador toma ciência, nesta política, de que o uso indevido do 
Dispositivo Endpoint fornecido pelo Grupo AlmavivA do Brasil, caracterizará 
que ele está assumindo todos os riscos da sua má utilização, sendo este o 
único responsável por quaisquer danos, diretos ou indiretos, presentes ou 
futuros, que venham a causar ao Grupo AlmavivA do Brasil e/ou a terceiros. 
 A disponibilização de notebook para o colaborador como ferramenta de 
trabalho para uso contínuo pressupõe que o colaborador não utilizará seu 
equipamento pessoal, valendo-se de uma única máquina para uso 
profissional. 
 
SISTEMA DE GESTÃODE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 10 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
 No ato da entrega de qualquer dispositivo, o colaborador deverá assinar o 
Termo de Responsabilidade. 
 É expressamente proibido o uso dos dispositivos endpoint da AlmavivA 
para fins ilícitos, contra os costumes não condizentes com o trabalho e a 
missão da empresa, incluindo, mas não se limitando, a: 
 Criação de perfil ou e-mail falso; 
 Publicação em redes sociais ou envio de e-mail para fins de difamação e 
ofensas; 
▪ Pirataria; 
▪ Pornografia; 
▪ Pedofilia; 
▪ Concorrência desleal; 
▪ Outros. 
Observação: O Grupo AlmavivA do Brasil, na qualidade de proprietário dos 
equipamentos fornecidos, reserva-se no direito de monitorá-los e 
inspecioná-los, a qualquer tempo, de forma que não deve existir qualquer 
expectativa de privacidade. 
 Dispositivos Endpoint Pessoais 
 Entendem-se como dispositivos pessoais, todo recurso tecnológico 
adquirido pelo próprio colaborador para fins pessoais como, por exemplo, 
celular, notebook, tablet e outros. 
 O Grupo AlmavivA do Brasil permite o uso de dispositivos pessoais desde 
que não interfira na carga horária, na qualidade e eficiência esperada pela 
empresa, atendendo às orientações e regras a seguir: 
▪ Não é permitido extrair fotos e vídeos das dependências da empresa 
que identifiquem pessoas sem o respectivo consentimento desta, 
informações, bem como extrair obras sem autorização e quaisquer 
equipamentos da empresa; 
▪ Notebooks, celulares e tablets pessoais não devem ser conectados à 
rede da empresa, sendo seu uso permitido, apenas com recursos de 
acesso pertencentes ao próprio colaborador. Informações corporativas 
não podem ser armazenadas em dispositivos pessoais; 
Observação: As exceções devem ser tratadas por cada gestor de área e 
aprovados pela área de Segurança da Informação. 
 O Grupo AlmavivA do Brasil não se responsabiliza pela segurança e 
manutenção de qualquer recurso pessoal, sendo de inteira responsabilidade 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 11 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
do colaborador, sua guarda e manuseio. Mais informações estão descritas 
no Termo de Adesão ao Trabalho Remoto. 
 
6.3 GESTÃO DE ATIVOS DE INFORMAÇÃO 
 
 As diretrizes relacionadas aos ativos de TI estão estabelecidas no 
documento Política de Gestão de Ativos de Informação e Associados. Este 
documento determina dentre outras coisas informações sobre: 
▪ Inventário dos ativos de informação e associados: determinação de 
como são realizados e periodicidade dos inventários; 
▪ Proprietário dos ativos: designação das responsabilidades dos 
proprietários dos ativos; 
▪ Uso aceitável dos ativos: estabelecimento de regras para o uso 
aceitável das informações, dos ativos associados com informação, e os 
recursos de processamento da informação devem ser identificados, 
documentados e implementados; 
▪ Devolução de ativos: definição das regras de devolução de ativos da 
organização que estejam sob posse dos colaboradores e partes 
externas, após o encerramento de suas atividades, do contrato ou 
acordo. 
 
6.4 CLASSIFICAÇÃO DA INFORMAÇÃO 
 
 O processo de classificação da informação estabelecido pela AlmavivA tem 
o objetivo de proteger a informação contra a revelação. Para isso, todo e 
qualquer tipo de informação criada e/ou armazenada dentro das instalações 
da empresa deverá ser classificada por uma das seguintes opções: 
• Pública: São informações com conteúdo público para pessoas que 
trabalham interna ou externamente à empresa. 
• Interna: São informações relacionadas normalmente com a organização 
interna da empresa e que, caso reveladas para pessoas que não mantém 
vínculo com a mesma, ou que não tenham acordo de confidencialidade, 
podem expor sua importância e estimular eventuais fraudes. 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 12 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
• Restrita: São informações de importância especial para a empresa, 
relacionadas normalmente com uma área ou um processo e que, caso 
reveladas para pessoas que não mantém vínculo com o assunto, ou que 
não tenham acordo de confidencialidade, podem expor sua importância e 
estimular eventuais prejuízos para a empresa. 
• Confidencial: São informações de importância crucial para os objetivos 
da empresa, podendo versar sobre assuntos variados, como política 
empresarial, chaves privativas dos clientes, implementação de novos 
produtos. Sua revelação prematura, ou indesejada, pode trazer sérios 
problemas para a administração da empresa, gerando graves prejuízos 
financeiros e a perda de participação ou competitividade no mercado. 
Na Política de Classificação da Informação estão estabelecidas as formas 
de controle das informações para cada um dos critérios definidos pela 
organização. 
 
6.5 GESTÃO DE INCIDENTES 
 
É dever de todos notificar quaisquer fragilidades de segurança da informação, 
observada ou suspeita nos sistemas ou serviços do Grupo AlmavivA do Brasil. 
As diretrizes estão definidas na Política de Gestão de Incidentes. 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 13 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
6.6 PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS 
 
 A AlmavivA disponibiliza ferramentas para proteção dos seus ativos/serviços 
de informação e recursos computacionais, incluindo estações de usuários, 
dispositivos móveis e servidores corporativos, contra ameaças e códigos 
maliciosos tais como vírus, cavalos de tróia, worms, ferramentas de captura 
de tela e dados digitados, softwares de propaganda e similares. 
 Apenas a ferramenta disponibilizada pela empresa deve ser utilizada na 
proteção contra códigos maliciosos. 
 Mesmo com a existência de ferramentas para proteção contra códigos 
maliciosos, os usuários da AlmavivA devem adotar um comportamento 
seguro, reduzindo a probabilidade de infecção ou propagação de códigos 
maliciosos. 
 Os usuários devem seguir as seguintes regras para proteção contra códigos 
maliciosos: 
▪ Não tentar efetuar o tratamento e correção de códigos maliciosos por 
iniciativa própria; 
▪ Reportar imediatamente a área de tecnologias da informação qualquer 
infecção ou suspeita de infecção por código malicioso; 
▪ Não desenvolver, testar ou armazenar qualquer parte de um código 
malicioso de qualquer tipo, a menos que expressamente autorizado; 
▪ Efetuar uma varredura com a ferramenta de proteção contra códigos 
maliciosos fornecida pela empresa antes de utilizar arquivos 
armazenados em mídias removíveis, baixados da internet ou recebidos 
nos serviços de e-mail ou comunicadores instantâneos; 
▪ Não habilitar macros para arquivos recebidos de fontes suspeitas, 
baixados da internet ou recebidos nos serviços de e-mail ou 
comunicadores instantâneos. Caso necessário, poderá ser solicitado o 
apoio da equipe de segurança da informação para validar se o arquivo 
representa ou não uma ameaça. 
 
 
 
 
 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 14 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
6.7 GESTÃO DE ACESSO 
 
A AlmavivA estabelece diretrizes na Política de Segurança Lógica relacionadas 
a: 
▪ Controle de acesso: tem o intuito de limitar o acesso à informação e aos 
recursos de processamento da informação; 
▪ Acessoàs redes e aos serviços de rede: os usuários devem somente 
receber acesso às redes e aos serviços de rede que tenham sido 
especificamente autorizados a usar. 
▪ Gerenciamento de acesso do usuário: processo formal para 
cancelamentos, provisionamento de acessos temporários e análise crítica 
dos direitos de acesso do usuário; 
▪ Senhas: a utilização de senhas de acesso AlmavivA obedece a padrões de 
complexidade e não podem ser reutilizadas. Quaisquer dúvidas devem ser 
endereçadas ao e-mail sip@almavivadobrasil.com.br. 
 
6.8 CONSCIENTIZAÇÃO 
 
A AlmavivA possui programa de comunicados e treinamentos para todos os 
colaboradores e partes interessadas apropriadas. 
Compete a todos: 
▪ Ler os comunicados encaminhados via e-mail; 
▪ Realizar os treinamentos disponibilizados; 
▪ Ler as políticas e procedimentos divulgados. 
 
6.9 TRABALHO REMOTO 
 
A equipe de Segurança da Informação e Privacidade reuniu algumas boas 
práticas relacionadas ao trabalho remoto e à segurança da informação no 
Guia de Boas Práticas de Trabalho Remoto. 
 
6.10 GESTÃO DE TERCEIROS 
 
Todos os terceiros devem se comprometer a agir de acordo com a Política 
de Segurança da Informação e a Política de Privacidade, sendo 
imprescindível que o contrato firmado entre as empresas possua cláusulas 
mailto:sip@almavivadobrasil.com.br
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 15 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
que assegurem a confidencialidade das informações e a adesão à Política 
de Segurança da Informação e a de Privacidade. 
Os fornecedores precisam ser analisados de acordo com o grau de 
criticidade em relação a confidencialidade, integridade e disponibilidade das 
informações. 
Antes da contratação deverá ser feito uma análise crítica de acordo com a 
confidencialidade das informações (Análise de mercado / Certificações / 
Referenciais). 
O terceiro deve cumprir o compromisso firmado em termo de 
confidencialidade e utilizar recursos para proteger a transmissão de 
informações, mediante aprovação da área de Segurança da Informação e 
Privacidade (SIP), e acompanhamento do gestor do contrato. 
Ao findar o período do contrato é de responsabilidade do Gestor do contrato 
comunicar as áreas envolvidas para garantir um término seguro, ou seja, 
com o desprovimento dos direitos de acesso, devolução dos ativos, 
eliminação segura das informações e demais requisitos que se fizerem 
necessário. 
É dever de todos os gestores de contrato apoiarem a área de Segurança da 
Informação e Privacidade no que tange ao cumprimento das cláusulas 
contratuais e no comprometimento dos terceiros sob sua gestão em relação 
a Política de Segurança da Informação e Privacidade. 
 
 
I. CONTROLE DE ACESSO A AMBIENTES OU SISTEMAS NA 
ALMAVIVA 
 
Antes do início da prestação do serviço, caso o fornecedor precise de acesso a 
ambientes ou sistemas da Almaviva, é necessário: 
▪ Apresentar NDA assinado ao time de SI para solicitação do DA (De Acordo) 
de liberação do acesso à VPN e, 
▪ Criar contas nominais para cada pessoa (limitando ao mínimo de 
credencias) e, informar os emails dos usuários associados ao fornecedor. 
▪ Renovar a solicitação das credenciais a cada 3 meses, se o prazo do 
serviço ultrapassar tal período. 
▪ Respeitar a ativação do MFA (múltiplo fato de autenticação) na ativação de 
contas de VPN. 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 16 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
▪ Informar os servidores/ aplicativos alvos do destino, sendo que não é 
permitido o acesso total a rede corporativa do Grupo Almaviva. 
 
6.11 SEGURANÇA DA INFORMAÇÃO EM PROJETOS 
 
A área de segurança da informação e privacidade deverá ser envolvida em 
todos os projetos da AlmavivA. Sua participação é necessária para realizar 
avaliações de riscos de segurança da informação e privacidade, desde o 
momento da concepção do projeto até o seu final. Todos os requisitos de 
segurança da informação e privacidade, de negócio e as soluções 
elaboradas devem ser devidamente documentada. 
 
 
6.12 DESENVOLVIMENTO SEGURO 
 
Os requisitos de segurança da informação e privacidade devem ser aplicados 
em todo desenvolvimento, aquisição, manutenção e atualização de softwares, 
sistemas e aplicativos a fim de garantir que a segurança da informação e 
privacidade esteja projetada e implementada no desenvolvimento de todo ciclo 
de vida dos sistemas de informação da AlmavivA. 
 
6.13 CONTROLE DE SOFTWARE 
 
Devem ser utilizados apenas softwares licenciados e homologados pela 
AlmavivA. 
Quaisquer atualizações dos softwares seja “free”, “share” ou licenciados, 
para o Usuário Final, só podem ser executados e autorizados pela área de 
Gestão de TI. 
As atualizações dos Sistemas Operacionais e demais softwares da Microsoft, 
são obrigatórias e disponibilizadas pela área de Gestão de TI 
A Equipe de segurança da informação deve ser envolvida na avaliação de 
aquisição ou utilização ou mudanças em softwares críticos que afetem a 
operação. 
 
 
SISTEMA DE GESTÃO 
DE SEGURANÇA DA INFORMAÇÃO 
E PRIVACIDADE (SGSIP) 
Página 17 de 17 
PSI-001 
Título: Política de Segurança da Informação - Interna Revisão: 01 
Data de Emissão: 06/07/2023 Classificação: Interna 
 
 
6.14 RISCOS 
 
Os riscos mapeados de segurança da informação e privacidade devem ser 
analisados, identificados, classificados, tratados e priorizados de acordo com os 
critérios de avaliação de riscos e objetivos definidos pelas empresas. A 
Segurança da Informação possui Política de Gestão de Riscos de Segurança da 
Informação e Privacidade. 
É dever de todos que identificarem algum risco ou vulnerabilidade em 
sistemas informar a área de Segurança da Informação e Privacidade. 
 
7 DISPOSIÇÕES FINAIS 
 
Qualquer necessidade de ação em desacordo com as regras estabelecidas na 
Política de Segurança da Informação, na Política de Privacidade e suas 
políticas complementares devem ser direcionadas à Segurança da Informação 
para análise do risco, seu registro, e envio para a apreciação pela alçada 
competente e/ou Comitê de Segurança da Informação e Privacidade. 
O colaborador que fizer uso indevido ou não autorizado dos recursos das 
empresas, violar controle de segurança, ou de qualquer modo agir em 
desacordo com os termos dessa política, fica sujeito à aplicação de medidas 
disciplinares legalmente previstas, podendo haver responsabilização penal, civil 
e/ou administrativa, na forma da legislação em vigor.