Alinhada à ISO/IEC 27001:2022 e à LGPD — Versão 1.0

Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e controles para proteger os ativos de informação da organização, atendendo aos requisitos da ISO/IEC 27001:2022 e da LGPD.

Esta política aplica-se a:

• Todos os colaboradores, terceiros, estagiários e prestadores;
• Todos os sistemas, dispositivos, ambientes e processos corporativos;
• Todas as informações tratadas pela empresa, em qualquer formato.

• Confidencialidade – acesso apenas por pessoas autorizadas.
• Integridade – informação íntegra e não alterada indevidamente.
• Disponibilidade – acesso contínuo às informações quando necessário.
• Transparência (LGPD) – clareza sobre operações de tratamento.
• Finalidade (LGPD) – tratamento baseado em propósito legítimo.
• Minimização – coleta de dados estritamente necessária.
• Conformidade – cumprimento de requisitos legais e regulatórios.
• Responsabilização – demonstração de boas práticas.

• Pública – livre divulgação.
• Interna – uso limitado aos colaboradores.
• Confidencial – acesso restrito a áreas autorizadas.
• Restrita – acesso altamente controlado; inclui dados pessoais sensíveis.

A empresa se compromete a:

• Utilizar bases legais adequadas;
• Obter consentimento quando necessário;
• Garantir direitos dos titulares;
• Manter registro das operações de tratamento;
• Nomear Encarregado de Dados (DPO);
• Realizar Relatórios de Impacto (RIPD), quando aplicável.

• Princípio do menor privilégio;
• Credenciais únicas e intransferíveis;
• Autenticação multifator quando aplicável;
• Desativação imediata de contas inativas;
• Registro e monitoramento de acessos a dados pessoais.

• Uso exclusivo para fins profissionais;
• Proibição de instalar softwares não autorizados;
• Proibição de conteúdos ilícitos, ofensivos ou perigosos;
• Reporte imediato de e-mails suspeitos (phishing).

• Áreas críticas com controle de acesso físico;
• Registro e acompanhamento de visitantes;
• Proteção física de documentos e equipamentos.

• Antimalware atualizado em todos os dispositivos;
• Monitoramento de tráfego e ameaças;
• Bloqueio de sites e aplicações inseguras.

• Backups regulares e testados periodicamente;
• Armazenamento seguro, preferencialmente com redundância;
• Retenção conforme legislação;
• Descarte seguro de dados e mídias.

• Segmentação de redes conforme criticidade;
• Criptografia para transmissão de dados sensíveis;
• Uso de firewalls, IDS/IPS e monitoramento contínuo.

• Avaliação periódica de riscos de segurança;
• Implementação de medidas mitigatórias;
• Análise de riscos relacionada ao tratamento de dados pessoais.

• Registro e resposta imediata a incidentes;
• Investigações formais e plano de contenção;
• Notificação à ANPD e aos titulares (quando exigido);
• Elaboração de relatório pós-incidente.

• Planos BCP e DRP atualizados e testados periodicamente;
• Definição de RTO e RPO;
• Procedimentos formais para continuidade operacional.

• Treinamentos obrigatórios periódicos;
• Campanhas de conscientização;
• Obrigações reforçadas para áreas críticas.

• Auditorias internas regulares;
• Revisão de controles técnicos e administrativos;
• Verificação periódica de conformidade LGPD.

• Colaboradores: seguir esta política e reportar incidentes.
• Gestores: garantir conformidade em suas equipes.
• TI: manter infraestrutura segura.
• DPO: supervisionar privacidade e atender autoridades.

Violação desta política pode resultar em:

• Advertência, suspensão ou desligamento;
• Medidas civis, criminais e administrativas previstas em lei.

Esta política será revisada:

• Anualmente, ou;
• Quando houver mudanças legais, tecnológicas ou procedimentais.