Política de Segurança da Informação: mudanças entre as edições

De Projeto ESG da DPS TECH SA
Ir para navegação Ir para pesquisar
← Edição anterior
Conteúdo deletado Conteúdo adicionado
Sem resumo de edição
 
(2 revisões intermediárias por um outro usuário não estão sendo mostradas)
Linha 1: Linha 1:
Política de Segurança da Informação
= Política de Segurança da Informação =
'''Alinhada à ISO/IEC 27001:2022 e à LGPD — Versão 1.0'''


== 1. Objetivo ==
Alinhada à ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD)*
Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e controles para proteger os ativos de informação da organização, atendendo aos requisitos da ISO/IEC 27001:2022 e da LGPD.



1. Objetivo

Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade.


2. Abrangência


== 2. Abrangência ==
Esta política aplica-se a:
Esta política aplica-se a:
* Todos os colaboradores, terceiros, estagiários e prestadores;
* Todos os sistemas, dispositivos, ambientes e processos corporativos;
* Todas as informações tratadas pela empresa, em qualquer formato.


== 3. Princípios da Segurança da Informação e da Privacidade ==
* Todos os colaboradores, terceiros, prestadores de serviços, consultores e fornecedores.
* '''Confidencialidade''' – acesso apenas por pessoas autorizadas.
* Todos os sistemas, processos, infraestruturas, bancos de dados, dispositivos e demais ativos de informação sob responsabilidade da organização.
* '''Integridade''' – informação íntegra e não alterada indevidamente.
* Todo tratamento de dados pessoais e dados pessoais sensíveis, conforme definições da LGPD.
* '''Disponibilidade''' – acesso contínuo às informações quando necessário.

* '''Transparência (LGPD)''' – clareza sobre operações de tratamento.

* '''Finalidade (LGPD)''' – tratamento baseado em propósito legítimo.
3. Princípios da Segurança da Informação e da Privacidade
* '''Minimização''' – coleta de dados estritamente necessária.

* '''Conformidade''' – cumprimento de requisitos legais e regulatórios.
Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios:
* '''Responsabilização''' – demonstração de boas práticas.

* **Confidencialidade**: Garantir que a informação seja acessada somente por pessoas autorizadas.
* **Integridade**: Preservar a exatidão e completude das informações.
* **Disponibilidade**: Garantir acesso às informações sempre que necessário.
* **Transparência (LGPD)**: Garantir clareza sobre o tratamento de dados pessoais.
* **Finalidade (LGPD)**: Tratar dados pessoais apenas para propósitos legítimos, específicos e informados.
* **Minimização de Dados (LGPD)**: Coletar apenas os dados estritamente necessários.
* **Responsabilização e Prestação de Contas**: Demonstrar conformidade com normas e requisitos legais.


4. Classificação da Informação

As informações devem ser classificadas conforme seu nível de criticidade:

* **Pública** – Informações de livre divulgação.
* **Interna** – Informações cujo acesso é restrito ao ambiente corporativo.
* **Confidencial** – Acesso limitado a áreas definidas; inclui dados pessoais.
* **Restrita** – Informações altamente sensíveis; inclui dados pessoais sensíveis (LGPD).


5. Tratamento de Dados Pessoais (LGPD)

A organização compromete-se a:

* Tratar dados pessoais conforme princípios da LGPD.
* Definir bases legais adequadas para cada operação de tratamento.
* Obter consentimento quando necessário, de forma livre, informada e inequívoca.
* Assegurar os direitos dos titulares, incluindo acesso, correção, exclusão e portabilidade.
* Manter registro das operações de tratamento.
* Nomear um **Encarregado de Proteção de Dados (DPO)**.
* Realizar Relatórios de Impacto à Proteção de Dados (RIPD) quando aplicável.


6. Controles de Acesso

Em conformidade com a ISO 27001:

* O acesso deve seguir o princípio do menor privilégio.
* Credenciais devem ser pessoais e intransferíveis.
* Autenticação multifator (MFA) deve ser implementada sempre que possível.
* Contas inativas devem ser removidas ou bloqueadas imediatamente.
* Acesso a dados pessoais deve ser registrado e monitorado.


7. Uso Aceitável dos Recursos Tecnológicos

* O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais.
* É proibida a instalação de softwares sem autorização.
* É proibido armazenar, transmitir ou manipular dados pessoais de forma não autorizada.
* Recursos não devem ser utilizados para fins ilícitos, antiéticos ou que comprometam a segurança.


8. Segurança Física e Ambiental

* Deve haver controle de acesso físico às instalações críticas.
* Visitantes devem ser registrados e acompanhados.
* Documentos físicos contendo dados pessoais ou informações sensíveis devem ser armazenados em locais seguros.


9. Proteção Contra Malware e Ameaças Digitais

* Sistemas devem possuir proteção antimalware atualizada.
* Políticas de e-mail e navegação devem incluir filtros de segurança.
* Treinamentos de prevenção a phishing devem ser realizados periodicamente.


10. Backup, Retenção e Descarte Seguro

* Backups devem seguir políticas definidas e ser testados regularmente.
* Prazos de retenção devem obedecer aos requisitos legais e contratuais.
* Dados pessoais devem ser descartados de forma segura e irreversível quando não forem mais necessários.


11. Segurança em Redes e Comunicações

* Redes devem ser segmentadas conforme criticidade dos ativos.
* Informações sensíveis e dados pessoais devem ser transmitidos somente em canais criptografados.
* Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados.

12. Gestão de Riscos

* A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001.
* Riscos relacionados ao tratamento de dados pessoais devem ser avaliados com base na LGPD.


13. Gestão de Incidentes de Segurança e Privacidade

* Todo incidente deve ser reportado imediatamente ao setor responsável.
* Devem existir processos formais para resposta, contenção e registro de incidentes.
* Vazamentos de dados pessoais devem seguir os requisitos de notificação previstos na LGPD.
* Quando aplicável, deve-se comunicar a ANPD e os titulares afetados.


14. Continuidade de Negócios

* Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados.
* Processos críticos devem ter medidas de contingência.



== 4. Classificação da Informação ==
15. Treinamento, Conscientização e Conformidade
* '''Pública''' – livre divulgação.
* '''Interna''' – uso limitado aos colaboradores.
* '''Confidencial''' – acesso restrito a áreas autorizadas.
* '''Restrita''' – acesso altamente controlado; inclui dados pessoais sensíveis.


== 5. Tratamento de Dados Pessoais (LGPD) ==
* Todos os colaboradores devem receber treinamento periódico sobre:
A empresa se compromete a:
* Utilizar bases legais adequadas;
* Obter consentimento quando necessário;
* Garantir direitos dos titulares;
* Manter registro das operações de tratamento;
* Nomear Encarregado de Dados (DPO);
* Realizar Relatórios de Impacto (RIPD), quando aplicável.


== 6. Controles de Acesso ==
* Segurança da informação (ISO 27001)
* Princípio do menor privilégio;
* Proteção de dados pessoais (LGPD)
* Credenciais únicas e intransferíveis;
* A organização deve promover ações contínuas de conscientização.
* Autenticação multifator quando aplicável;
* Desativação imediata de contas inativas;
* Registro e monitoramento de acessos a dados pessoais.


== 7. Uso Aceitável dos Recursos de TI ==
* Uso exclusivo para fins profissionais;
* Proibição de instalar softwares não autorizados;
* Proibição de conteúdos ilícitos, ofensivos ou perigosos;
* Reporte imediato de e-mails suspeitos (phishing).


== 8. Segurança Física e Ambiental ==
16. Auditorias e Monitoramento
* Áreas críticas com controle de acesso físico;
* Registro e acompanhamento de visitantes;
* Proteção física de documentos e equipamentos.


== 9. Proteção contra Malware e Ameaças Digitais ==
* Auditorias internas devem ser realizadas periodicamente.
* Antimalware atualizado em todos os dispositivos;
* Controles e registros devem ser avaliados conforme requisitos da ISO 27001.
* Monitoramento de tráfego e ameaças;
* Tratamentos de dados devem ser revisados conforme a LGPD.
* Bloqueio de sites e aplicações inseguras.


== 10. Backup, Retenção e Descarte ==
* Backups regulares e testados periodicamente;
* Armazenamento seguro, preferencialmente com redundância;
* Retenção conforme legislação;
* Descarte seguro de dados e mídias.


== 11. Segurança de Redes e Comunicações ==
17. Responsabilidades
* Segmentação de redes conforme criticidade;
* Criptografia para transmissão de dados sensíveis;
* Uso de firewalls, IDS/IPS e monitoramento contínuo.


== 12. Gestão de Riscos ==
* Todos os colaboradores devem cumprir integralmente esta política.
* Avaliação periódica de riscos de segurança;
* Gestores devem garantir que seus times estejam em conformidade.
* Implementação de medidas mitigatórias;
* O Encarregado (DPO) é responsável pela comunicação com a ANPD e pelos temas de privacidade.
* Análise de riscos relacionada ao tratamento de dados pessoais.


== 13. Gestão de Incidentes de Segurança ==
* Registro e resposta imediata a incidentes;
* Investigações formais e plano de contenção;
* Notificação à ANPD e aos titulares (quando exigido);
* Elaboração de relatório pós-incidente.


== 14. Continuidade de Negócios ==
18. Penalidades
* Planos BCP e DRP atualizados e testados periodicamente;
* Definição de RTO e RPO;
* Procedimentos formais para continuidade operacional.


== 15. Treinamento e Conscientização ==
O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD.
* Treinamentos obrigatórios periódicos;
* Campanhas de conscientização;
* Obrigações reforçadas para áreas críticas.


== 16. Auditorias e Monitoramento ==
* Auditorias internas regulares;
* Revisão de controles técnicos e administrativos;
* Verificação periódica de conformidade LGPD.


== 17. Responsabilidades ==
19. Revisão da Política
* '''Colaboradores:''' seguir esta política e reportar incidentes.
* '''Gestores:''' garantir conformidade em suas equipes.
* '''TI:''' manter infraestrutura segura.
* '''DPO:''' supervisionar privacidade e atender autoridades.


== 18. Penalidades ==
Esta política deverá ser revisada:
Violação desta política pode resultar em:
* Advertência, suspensão ou desligamento;
* Medidas civis, criminais e administrativas previstas em lei.


== 19. Revisão ==
* Anualmente;
Esta política será revisada:
* Quando houver alterações regulatórias relevantes;
* Anualmente, ou;
* Quando houver mudanças significativas nos processos ou no ambiente tecnológico.
* Quando houver mudanças legais, tecnológicas ou procedimentais.

Edição atual tal como às 21h43min de 10 de fevereiro de 2026

Política de Segurança da Informação

Alinhada à ISO/IEC 27001:2022 e à LGPD — Versão 1.0

1. Objetivo

Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e controles para proteger os ativos de informação da organização, atendendo aos requisitos da ISO/IEC 27001:2022 e da LGPD.

2. Abrangência

Esta política aplica-se a:

  • Todos os colaboradores, terceiros, estagiários e prestadores;
  • Todos os sistemas, dispositivos, ambientes e processos corporativos;
  • Todas as informações tratadas pela empresa, em qualquer formato.

3. Princípios da Segurança da Informação e da Privacidade

  • Confidencialidade – acesso apenas por pessoas autorizadas.
  • Integridade – informação íntegra e não alterada indevidamente.
  • Disponibilidade – acesso contínuo às informações quando necessário.
  • Transparência (LGPD) – clareza sobre operações de tratamento.
  • Finalidade (LGPD) – tratamento baseado em propósito legítimo.
  • Minimização – coleta de dados estritamente necessária.
  • Conformidade – cumprimento de requisitos legais e regulatórios.
  • Responsabilização – demonstração de boas práticas.

4. Classificação da Informação

  • Pública – livre divulgação.
  • Interna – uso limitado aos colaboradores.
  • Confidencial – acesso restrito a áreas autorizadas.
  • Restrita – acesso altamente controlado; inclui dados pessoais sensíveis.

5. Tratamento de Dados Pessoais (LGPD)

A empresa se compromete a:

  • Utilizar bases legais adequadas;
  • Obter consentimento quando necessário;
  • Garantir direitos dos titulares;
  • Manter registro das operações de tratamento;
  • Nomear Encarregado de Dados (DPO);
  • Realizar Relatórios de Impacto (RIPD), quando aplicável.

6. Controles de Acesso

  • Princípio do menor privilégio;
  • Credenciais únicas e intransferíveis;
  • Autenticação multifator quando aplicável;
  • Desativação imediata de contas inativas;
  • Registro e monitoramento de acessos a dados pessoais.

7. Uso Aceitável dos Recursos de TI

  • Uso exclusivo para fins profissionais;
  • Proibição de instalar softwares não autorizados;
  • Proibição de conteúdos ilícitos, ofensivos ou perigosos;
  • Reporte imediato de e-mails suspeitos (phishing).

8. Segurança Física e Ambiental

  • Áreas críticas com controle de acesso físico;
  • Registro e acompanhamento de visitantes;
  • Proteção física de documentos e equipamentos.

9. Proteção contra Malware e Ameaças Digitais

  • Antimalware atualizado em todos os dispositivos;
  • Monitoramento de tráfego e ameaças;
  • Bloqueio de sites e aplicações inseguras.

10. Backup, Retenção e Descarte

  • Backups regulares e testados periodicamente;
  • Armazenamento seguro, preferencialmente com redundância;
  • Retenção conforme legislação;
  • Descarte seguro de dados e mídias.

11. Segurança de Redes e Comunicações

  • Segmentação de redes conforme criticidade;
  • Criptografia para transmissão de dados sensíveis;
  • Uso de firewalls, IDS/IPS e monitoramento contínuo.

12. Gestão de Riscos

  • Avaliação periódica de riscos de segurança;
  • Implementação de medidas mitigatórias;
  • Análise de riscos relacionada ao tratamento de dados pessoais.

13. Gestão de Incidentes de Segurança

  • Registro e resposta imediata a incidentes;
  • Investigações formais e plano de contenção;
  • Notificação à ANPD e aos titulares (quando exigido);
  • Elaboração de relatório pós-incidente.

14. Continuidade de Negócios

  • Planos BCP e DRP atualizados e testados periodicamente;
  • Definição de RTO e RPO;
  • Procedimentos formais para continuidade operacional.

15. Treinamento e Conscientização

  • Treinamentos obrigatórios periódicos;
  • Campanhas de conscientização;
  • Obrigações reforçadas para áreas críticas.

16. Auditorias e Monitoramento

  • Auditorias internas regulares;
  • Revisão de controles técnicos e administrativos;
  • Verificação periódica de conformidade LGPD.

17. Responsabilidades

  • Colaboradores: seguir esta política e reportar incidentes.
  • Gestores: garantir conformidade em suas equipes.
  • TI: manter infraestrutura segura.
  • DPO: supervisionar privacidade e atender autoridades.

18. Penalidades

Violação desta política pode resultar em:

  • Advertência, suspensão ou desligamento;
  • Medidas civis, criminais e administrativas previstas em lei.

19. Revisão

Esta política será revisada:

  • Anualmente, ou;
  • Quando houver mudanças legais, tecnológicas ou procedimentais.
Disponível em “http://esg.dpstech.com.br/index.php?title=Política_de_Segurança_da_Informação&oldid=167