Politica de Seguranca da Informacao: mudanças entre as edições
Ir para navegação
Ir para pesquisar
Conteúdo deletado Conteúdo adicionado
Criou página com '# Política de Segurança da Informação *Alinhada à ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD)* ## 1. Objetivo Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integ...' |
m Fernanda moveu Política de Segurança da Informação para Politica de Seguranca da Informacao sem deixar um redirecionamento |
||
| (5 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
| Linha 1: | Linha 1: | ||
= Política de Segurança da Informação = |
|||
'''Alinhada à ISO/IEC 27001:2022 e à LGPD — Versão 1.0''' |
|||
== 1. Objetivo == |
|||
*Alinhada à ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD)* |
|||
Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e controles para proteger os ativos de informação da organização, atendendo aos requisitos da ISO/IEC 27001:2022 e da LGPD. |
|||
## 1. Objetivo |
|||
Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade. |
|||
## 2. Abrangência |
|||
== 2. Abrangência == |
|||
Esta política aplica-se a: |
Esta política aplica-se a: |
||
* Todos os colaboradores, terceiros, estagiários e prestadores; |
|||
* Todos os sistemas, dispositivos, ambientes e processos corporativos; |
|||
* Todas as informações tratadas pela empresa, em qualquer formato. |
|||
== 3. Princípios da Segurança da Informação e da Privacidade == |
|||
* Todos os colaboradores, terceiros, prestadores de serviços, consultores e fornecedores. |
|||
* '''Confidencialidade''' – acesso apenas por pessoas autorizadas. |
|||
* Todos os sistemas, processos, infraestruturas, bancos de dados, dispositivos e demais ativos de informação sob responsabilidade da organização. |
|||
* '''Integridade''' – informação íntegra e não alterada indevidamente. |
|||
* Todo tratamento de dados pessoais e dados pessoais sensíveis, conforme definições da LGPD. |
|||
* '''Disponibilidade''' – acesso contínuo às informações quando necessário. |
|||
* '''Transparência (LGPD)''' – clareza sobre operações de tratamento. |
|||
## 3. Princípios da Segurança da Informação e da Privacidade |
|||
* '''Finalidade (LGPD)''' – tratamento baseado em propósito legítimo. |
|||
* '''Minimização''' – coleta de dados estritamente necessária. |
|||
Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios: |
|||
* '''Conformidade''' – cumprimento de requisitos legais e regulatórios. |
|||
* '''Responsabilização''' – demonstração de boas práticas. |
|||
* **Confidencialidade**: Garantir que a informação seja acessada somente por pessoas autorizadas. |
|||
* **Integridade**: Preservar a exatidão e completude das informações. |
|||
* **Disponibilidade**: Garantir acesso às informações sempre que necessário. |
|||
* **Transparência (LGPD)**: Garantir clareza sobre o tratamento de dados pessoais. |
|||
* **Finalidade (LGPD)**: Tratar dados pessoais apenas para propósitos legítimos, específicos e informados. |
|||
* **Minimização de Dados (LGPD)**: Coletar apenas os dados estritamente necessários. |
|||
* **Responsabilização e Prestação de Contas**: Demonstrar conformidade com normas e requisitos legais. |
|||
## 4. Classificação da Informação |
|||
As informações devem ser classificadas conforme seu nível de criticidade: |
|||
* **Pública** – Informações de livre divulgação. |
|||
* **Interna** – Informações cujo acesso é restrito ao ambiente corporativo. |
|||
* **Confidencial** – Acesso limitado a áreas definidas; inclui dados pessoais. |
|||
* **Restrita** – Informações altamente sensíveis; inclui dados pessoais sensíveis (LGPD). |
|||
## 5. Tratamento de Dados Pessoais (LGPD) |
|||
A organização compromete-se a: |
|||
* Tratar dados pessoais conforme princípios da LGPD. |
|||
* Definir bases legais adequadas para cada operação de tratamento. |
|||
* Obter consentimento quando necessário, de forma livre, informada e inequívoca. |
|||
* Assegurar os direitos dos titulares, incluindo acesso, correção, exclusão e portabilidade. |
|||
* Manter registro das operações de tratamento. |
|||
* Nomear um **Encarregado de Proteção de Dados (DPO)**. |
|||
* Realizar Relatórios de Impacto à Proteção de Dados (RIPD) quando aplicável. |
|||
## 6. Controles de Acesso |
|||
Em conformidade com a ISO 27001: |
|||
* O acesso deve seguir o princípio do menor privilégio. |
|||
* Credenciais devem ser pessoais e intransferíveis. |
|||
* Autenticação multifator (MFA) deve ser implementada sempre que possível. |
|||
* Contas inativas devem ser removidas ou bloqueadas imediatamente. |
|||
* Acesso a dados pessoais deve ser registrado e monitorado. |
|||
## 7. Uso Aceitável dos Recursos Tecnológicos |
|||
* O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais. |
|||
* É proibida a instalação de softwares sem autorização. |
|||
* É proibido armazenar, transmitir ou manipular dados pessoais de forma não autorizada. |
|||
* Recursos não devem ser utilizados para fins ilícitos, antiéticos ou que comprometam a segurança. |
|||
## 8. Segurança Física e Ambiental |
|||
* Deve haver controle de acesso físico às instalações críticas. |
|||
* Visitantes devem ser registrados e acompanhados. |
|||
* Documentos físicos contendo dados pessoais ou informações sensíveis devem ser armazenados em locais seguros. |
|||
## 9. Proteção Contra Malware e Ameaças Digitais |
|||
* Sistemas devem possuir proteção antimalware atualizada. |
|||
* Políticas de e-mail e navegação devem incluir filtros de segurança. |
|||
* Treinamentos de prevenção a phishing devem ser realizados periodicamente. |
|||
## 10. Backup, Retenção e Descarte Seguro |
|||
* Backups devem seguir políticas definidas e ser testados regularmente. |
|||
* Prazos de retenção devem obedecer aos requisitos legais e contratuais. |
|||
* Dados pessoais devem ser descartados de forma segura e irreversível quando não forem mais necessários. |
|||
## 11. Segurança em Redes e Comunicações |
|||
* Redes devem ser segmentadas conforme criticidade dos ativos. |
|||
* Informações sensíveis e dados pessoais devem ser transmitidos somente em canais criptografados. |
|||
* Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados. |
|||
## 12. Gestão de Riscos |
|||
* A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001. |
|||
* Riscos relacionados ao tratamento de dados pessoais devem ser avaliados com base na LGPD. |
|||
== 4. Classificação da Informação == |
|||
## 13. Gestão de Incidentes de Segurança e Privacidade |
|||
* '''Pública''' – livre divulgação. |
|||
* '''Interna''' – uso limitado aos colaboradores. |
|||
* '''Confidencial''' – acesso restrito a áreas autorizadas. |
|||
* '''Restrita''' – acesso altamente controlado; inclui dados pessoais sensíveis. |
|||
== 5. Tratamento de Dados Pessoais (LGPD) == |
|||
* Todo incidente deve ser reportado imediatamente ao setor responsável. |
|||
A empresa se compromete a: |
|||
* Devem existir processos formais para resposta, contenção e registro de incidentes. |
|||
* Utilizar bases legais adequadas; |
|||
* Vazamentos de dados pessoais devem seguir os requisitos de notificação previstos na LGPD. |
|||
* Obter consentimento quando necessário; |
|||
* Quando aplicável, deve-se comunicar a ANPD e os titulares afetados. |
|||
* Garantir direitos dos titulares; |
|||
* Manter registro das operações de tratamento; |
|||
* Nomear Encarregado de Dados (DPO); |
|||
* Realizar Relatórios de Impacto (RIPD), quando aplicável. |
|||
== 6. Controles de Acesso == |
|||
* Princípio do menor privilégio; |
|||
* Credenciais únicas e intransferíveis; |
|||
* Autenticação multifator quando aplicável; |
|||
* Desativação imediata de contas inativas; |
|||
* Registro e monitoramento de acessos a dados pessoais. |
|||
== 7. Uso Aceitável dos Recursos de TI == |
|||
* Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados. |
|||
* Uso exclusivo para fins profissionais; |
|||
* Processos críticos devem ter medidas de contingência. |
|||
* Proibição de instalar softwares não autorizados; |
|||
* Proibição de conteúdos ilícitos, ofensivos ou perigosos; |
|||
* Reporte imediato de e-mails suspeitos (phishing). |
|||
== 8. Segurança Física e Ambiental == |
|||
## 15. Treinamento, Conscientização e Conformidade |
|||
* Áreas críticas com controle de acesso físico; |
|||
* Registro e acompanhamento de visitantes; |
|||
* Proteção física de documentos e equipamentos. |
|||
== 9. Proteção contra Malware e Ameaças Digitais == |
|||
* Todos os colaboradores devem receber treinamento periódico sobre: |
|||
* Antimalware atualizado em todos os dispositivos; |
|||
* Monitoramento de tráfego e ameaças; |
|||
* Bloqueio de sites e aplicações inseguras. |
|||
== 10. Backup, Retenção e Descarte == |
|||
* Segurança da informação (ISO 27001) |
|||
* Backups regulares e testados periodicamente; |
|||
* Proteção de dados pessoais (LGPD) |
|||
* Armazenamento seguro, preferencialmente com redundância; |
|||
* A organização deve promover ações contínuas de conscientização. |
|||
* Retenção conforme legislação; |
|||
* Descarte seguro de dados e mídias. |
|||
== 11. Segurança de Redes e Comunicações == |
|||
## 16. Auditorias e Monitoramento |
|||
* Segmentação de redes conforme criticidade; |
|||
* Criptografia para transmissão de dados sensíveis; |
|||
* Uso de firewalls, IDS/IPS e monitoramento contínuo. |
|||
== 12. Gestão de Riscos == |
|||
* Auditorias internas devem ser realizadas periodicamente. |
|||
* Avaliação periódica de riscos de segurança; |
|||
* Controles e registros devem ser avaliados conforme requisitos da ISO 27001. |
|||
* Implementação de medidas mitigatórias; |
|||
* Tratamentos de dados devem ser revisados conforme a LGPD. |
|||
* Análise de riscos relacionada ao tratamento de dados pessoais. |
|||
== 13. Gestão de Incidentes de Segurança == |
|||
## 17. Responsabilidades |
|||
* Registro e resposta imediata a incidentes; |
|||
* Investigações formais e plano de contenção; |
|||
* Notificação à ANPD e aos titulares (quando exigido); |
|||
* Elaboração de relatório pós-incidente. |
|||
== 14. Continuidade de Negócios == |
|||
* Todos os colaboradores devem cumprir integralmente esta política. |
|||
* Planos BCP e DRP atualizados e testados periodicamente; |
|||
* Gestores devem garantir que seus times estejam em conformidade. |
|||
* Definição de RTO e RPO; |
|||
* O Encarregado (DPO) é responsável pela comunicação com a ANPD e pelos temas de privacidade. |
|||
* Procedimentos formais para continuidade operacional. |
|||
== 15. Treinamento e Conscientização == |
|||
## 18. Penalidades |
|||
* Treinamentos obrigatórios periódicos; |
|||
* Campanhas de conscientização; |
|||
* Obrigações reforçadas para áreas críticas. |
|||
== 16. Auditorias e Monitoramento == |
|||
O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD. |
|||
* Auditorias internas regulares; |
|||
* Revisão de controles técnicos e administrativos; |
|||
* Verificação periódica de conformidade LGPD. |
|||
== 17. Responsabilidades == |
|||
## 19. Revisão da Política |
|||
* '''Colaboradores:''' seguir esta política e reportar incidentes. |
|||
* '''Gestores:''' garantir conformidade em suas equipes. |
|||
* '''TI:''' manter infraestrutura segura. |
|||
* '''DPO:''' supervisionar privacidade e atender autoridades. |
|||
== 18. Penalidades == |
|||
Esta política deverá ser revisada: |
|||
Violação desta política pode resultar em: |
|||
* Advertência, suspensão ou desligamento; |
|||
* Medidas civis, criminais e administrativas previstas em lei. |
|||
== 19. Revisão == |
|||
* Anualmente; |
|||
Esta política será revisada: |
|||
* Quando houver alterações regulatórias relevantes; |
|||
* Anualmente, ou; |
|||
* Quando houver mudanças significativas nos processos ou no ambiente tecnológico. |
|||
* Quando houver mudanças legais, tecnológicas ou procedimentais. |
|||
Edição atual tal como às 19h14min de 15 de novembro de 2025
Política de Segurança da Informação
Alinhada à ISO/IEC 27001:2022 e à LGPD — Versão 1.0
1. Objetivo
Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e controles para proteger os ativos de informação da organização, atendendo aos requisitos da ISO/IEC 27001:2022 e da LGPD.
2. Abrangência
Esta política aplica-se a:
- Todos os colaboradores, terceiros, estagiários e prestadores;
- Todos os sistemas, dispositivos, ambientes e processos corporativos;
- Todas as informações tratadas pela empresa, em qualquer formato.
3. Princípios da Segurança da Informação e da Privacidade
- Confidencialidade – acesso apenas por pessoas autorizadas.
- Integridade – informação íntegra e não alterada indevidamente.
- Disponibilidade – acesso contínuo às informações quando necessário.
- Transparência (LGPD) – clareza sobre operações de tratamento.
- Finalidade (LGPD) – tratamento baseado em propósito legítimo.
- Minimização – coleta de dados estritamente necessária.
- Conformidade – cumprimento de requisitos legais e regulatórios.
- Responsabilização – demonstração de boas práticas.
4. Classificação da Informação
- Pública – livre divulgação.
- Interna – uso limitado aos colaboradores.
- Confidencial – acesso restrito a áreas autorizadas.
- Restrita – acesso altamente controlado; inclui dados pessoais sensíveis.
5. Tratamento de Dados Pessoais (LGPD)
A empresa se compromete a:
- Utilizar bases legais adequadas;
- Obter consentimento quando necessário;
- Garantir direitos dos titulares;
- Manter registro das operações de tratamento;
- Nomear Encarregado de Dados (DPO);
- Realizar Relatórios de Impacto (RIPD), quando aplicável.
6. Controles de Acesso
- Princípio do menor privilégio;
- Credenciais únicas e intransferíveis;
- Autenticação multifator quando aplicável;
- Desativação imediata de contas inativas;
- Registro e monitoramento de acessos a dados pessoais.
7. Uso Aceitável dos Recursos de TI
- Uso exclusivo para fins profissionais;
- Proibição de instalar softwares não autorizados;
- Proibição de conteúdos ilícitos, ofensivos ou perigosos;
- Reporte imediato de e-mails suspeitos (phishing).
8. Segurança Física e Ambiental
- Áreas críticas com controle de acesso físico;
- Registro e acompanhamento de visitantes;
- Proteção física de documentos e equipamentos.
9. Proteção contra Malware e Ameaças Digitais
- Antimalware atualizado em todos os dispositivos;
- Monitoramento de tráfego e ameaças;
- Bloqueio de sites e aplicações inseguras.
10. Backup, Retenção e Descarte
- Backups regulares e testados periodicamente;
- Armazenamento seguro, preferencialmente com redundância;
- Retenção conforme legislação;
- Descarte seguro de dados e mídias.
11. Segurança de Redes e Comunicações
- Segmentação de redes conforme criticidade;
- Criptografia para transmissão de dados sensíveis;
- Uso de firewalls, IDS/IPS e monitoramento contínuo.
12. Gestão de Riscos
- Avaliação periódica de riscos de segurança;
- Implementação de medidas mitigatórias;
- Análise de riscos relacionada ao tratamento de dados pessoais.
13. Gestão de Incidentes de Segurança
- Registro e resposta imediata a incidentes;
- Investigações formais e plano de contenção;
- Notificação à ANPD e aos titulares (quando exigido);
- Elaboração de relatório pós-incidente.
14. Continuidade de Negócios
- Planos BCP e DRP atualizados e testados periodicamente;
- Definição de RTO e RPO;
- Procedimentos formais para continuidade operacional.
15. Treinamento e Conscientização
- Treinamentos obrigatórios periódicos;
- Campanhas de conscientização;
- Obrigações reforçadas para áreas críticas.
16. Auditorias e Monitoramento
- Auditorias internas regulares;
- Revisão de controles técnicos e administrativos;
- Verificação periódica de conformidade LGPD.
17. Responsabilidades
- Colaboradores: seguir esta política e reportar incidentes.
- Gestores: garantir conformidade em suas equipes.
- TI: manter infraestrutura segura.
- DPO: supervisionar privacidade e atender autoridades.
18. Penalidades
Violação desta política pode resultar em:
- Advertência, suspensão ou desligamento;
- Medidas civis, criminais e administrativas previstas em lei.
19. Revisão
Esta política será revisada:
- Anualmente, ou;
- Quando houver mudanças legais, tecnológicas ou procedimentais.