Politica de Seguranca da Informacao: mudanças entre as edições
Ir para navegação
Ir para pesquisar
Conteúdo deletado Conteúdo adicionado
Sem resumo de edição |
Sem resumo de edição |
||
| Linha 4: | Linha 4: | ||
1. Objetivo |
|||
Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade. |
Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade. |
||
2. Abrangência |
|||
Esta política aplica-se a: |
Esta política aplica-se a: |
||
| Linha 18: | Linha 18: | ||
3. Princípios da Segurança da Informação e da Privacidade |
|||
Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios: |
Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios: |
||
| Linha 31: | Linha 31: | ||
4. Classificação da Informação |
|||
As informações devem ser classificadas conforme seu nível de criticidade: |
As informações devem ser classificadas conforme seu nível de criticidade: |
||
| Linha 41: | Linha 41: | ||
5. Tratamento de Dados Pessoais (LGPD) |
|||
A organização compromete-se a: |
A organização compromete-se a: |
||
| Linha 54: | Linha 54: | ||
6. Controles de Acesso |
|||
Em conformidade com a ISO 27001: |
Em conformidade com a ISO 27001: |
||
| Linha 65: | Linha 65: | ||
7. Uso Aceitável dos Recursos Tecnológicos |
|||
* O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais. |
* O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais. |
||
| Linha 73: | Linha 73: | ||
8. Segurança Física e Ambiental |
|||
* Deve haver controle de acesso físico às instalações críticas. |
* Deve haver controle de acesso físico às instalações críticas. |
||
| Linha 80: | Linha 80: | ||
9. Proteção Contra Malware e Ameaças Digitais |
|||
* Sistemas devem possuir proteção antimalware atualizada. |
* Sistemas devem possuir proteção antimalware atualizada. |
||
| Linha 87: | Linha 87: | ||
10. Backup, Retenção e Descarte Seguro |
|||
* Backups devem seguir políticas definidas e ser testados regularmente. |
* Backups devem seguir políticas definidas e ser testados regularmente. |
||
| Linha 94: | Linha 94: | ||
11. Segurança em Redes e Comunicações |
|||
* Redes devem ser segmentadas conforme criticidade dos ativos. |
* Redes devem ser segmentadas conforme criticidade dos ativos. |
||
| Linha 100: | Linha 100: | ||
* Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados. |
* Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados. |
||
12. Gestão de Riscos |
|||
* A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001. |
* A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001. |
||
| Linha 106: | Linha 106: | ||
13. Gestão de Incidentes de Segurança e Privacidade |
|||
* Todo incidente deve ser reportado imediatamente ao setor responsável. |
* Todo incidente deve ser reportado imediatamente ao setor responsável. |
||
| Linha 114: | Linha 114: | ||
14. Continuidade de Negócios |
|||
* Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados. |
* Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados. |
||
| Linha 120: | Linha 120: | ||
15. Treinamento, Conscientização e Conformidade |
|||
* Todos os colaboradores devem receber treinamento periódico sobre: |
* Todos os colaboradores devem receber treinamento periódico sobre: |
||
| Linha 129: | Linha 129: | ||
16. Auditorias e Monitoramento |
|||
* Auditorias internas devem ser realizadas periodicamente. |
* Auditorias internas devem ser realizadas periodicamente. |
||
| Linha 136: | Linha 136: | ||
17. Responsabilidades |
|||
* Todos os colaboradores devem cumprir integralmente esta política. |
* Todos os colaboradores devem cumprir integralmente esta política. |
||
| Linha 143: | Linha 143: | ||
18. Penalidades |
|||
O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD. |
O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD. |
||
19. Revisão da Política |
|||
Esta política deverá ser revisada: |
Esta política deverá ser revisada: |
||
Edição das 18h11min de 15 de novembro de 2025
- Política de Segurança da Informação
- Alinhada à ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD)*
1. Objetivo
Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade.
2. Abrangência
Esta política aplica-se a:
- Todos os colaboradores, terceiros, prestadores de serviços, consultores e fornecedores.
- Todos os sistemas, processos, infraestruturas, bancos de dados, dispositivos e demais ativos de informação sob responsabilidade da organização.
- Todo tratamento de dados pessoais e dados pessoais sensíveis, conforme definições da LGPD.
3. Princípios da Segurança da Informação e da Privacidade
Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios:
- **Confidencialidade**: Garantir que a informação seja acessada somente por pessoas autorizadas.
- **Integridade**: Preservar a exatidão e completude das informações.
- **Disponibilidade**: Garantir acesso às informações sempre que necessário.
- **Transparência (LGPD)**: Garantir clareza sobre o tratamento de dados pessoais.
- **Finalidade (LGPD)**: Tratar dados pessoais apenas para propósitos legítimos, específicos e informados.
- **Minimização de Dados (LGPD)**: Coletar apenas os dados estritamente necessários.
- **Responsabilização e Prestação de Contas**: Demonstrar conformidade com normas e requisitos legais.
4. Classificação da Informação
As informações devem ser classificadas conforme seu nível de criticidade:
- **Pública** – Informações de livre divulgação.
- **Interna** – Informações cujo acesso é restrito ao ambiente corporativo.
- **Confidencial** – Acesso limitado a áreas definidas; inclui dados pessoais.
- **Restrita** – Informações altamente sensíveis; inclui dados pessoais sensíveis (LGPD).
5. Tratamento de Dados Pessoais (LGPD)
A organização compromete-se a:
- Tratar dados pessoais conforme princípios da LGPD.
- Definir bases legais adequadas para cada operação de tratamento.
- Obter consentimento quando necessário, de forma livre, informada e inequívoca.
- Assegurar os direitos dos titulares, incluindo acesso, correção, exclusão e portabilidade.
- Manter registro das operações de tratamento.
- Nomear um **Encarregado de Proteção de Dados (DPO)**.
- Realizar Relatórios de Impacto à Proteção de Dados (RIPD) quando aplicável.
6. Controles de Acesso
Em conformidade com a ISO 27001:
- O acesso deve seguir o princípio do menor privilégio.
- Credenciais devem ser pessoais e intransferíveis.
- Autenticação multifator (MFA) deve ser implementada sempre que possível.
- Contas inativas devem ser removidas ou bloqueadas imediatamente.
- Acesso a dados pessoais deve ser registrado e monitorado.
7. Uso Aceitável dos Recursos Tecnológicos
- O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais.
- É proibida a instalação de softwares sem autorização.
- É proibido armazenar, transmitir ou manipular dados pessoais de forma não autorizada.
- Recursos não devem ser utilizados para fins ilícitos, antiéticos ou que comprometam a segurança.
8. Segurança Física e Ambiental
- Deve haver controle de acesso físico às instalações críticas.
- Visitantes devem ser registrados e acompanhados.
- Documentos físicos contendo dados pessoais ou informações sensíveis devem ser armazenados em locais seguros.
9. Proteção Contra Malware e Ameaças Digitais
- Sistemas devem possuir proteção antimalware atualizada.
- Políticas de e-mail e navegação devem incluir filtros de segurança.
- Treinamentos de prevenção a phishing devem ser realizados periodicamente.
10. Backup, Retenção e Descarte Seguro
- Backups devem seguir políticas definidas e ser testados regularmente.
- Prazos de retenção devem obedecer aos requisitos legais e contratuais.
- Dados pessoais devem ser descartados de forma segura e irreversível quando não forem mais necessários.
11. Segurança em Redes e Comunicações
- Redes devem ser segmentadas conforme criticidade dos ativos.
- Informações sensíveis e dados pessoais devem ser transmitidos somente em canais criptografados.
- Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados.
12. Gestão de Riscos
- A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001.
- Riscos relacionados ao tratamento de dados pessoais devem ser avaliados com base na LGPD.
13. Gestão de Incidentes de Segurança e Privacidade
- Todo incidente deve ser reportado imediatamente ao setor responsável.
- Devem existir processos formais para resposta, contenção e registro de incidentes.
- Vazamentos de dados pessoais devem seguir os requisitos de notificação previstos na LGPD.
- Quando aplicável, deve-se comunicar a ANPD e os titulares afetados.
14. Continuidade de Negócios
- Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados.
- Processos críticos devem ter medidas de contingência.
15. Treinamento, Conscientização e Conformidade
- Todos os colaboradores devem receber treinamento periódico sobre:
* Segurança da informação (ISO 27001) * Proteção de dados pessoais (LGPD)
- A organização deve promover ações contínuas de conscientização.
16. Auditorias e Monitoramento
- Auditorias internas devem ser realizadas periodicamente.
- Controles e registros devem ser avaliados conforme requisitos da ISO 27001.
- Tratamentos de dados devem ser revisados conforme a LGPD.
17. Responsabilidades
- Todos os colaboradores devem cumprir integralmente esta política.
- Gestores devem garantir que seus times estejam em conformidade.
- O Encarregado (DPO) é responsável pela comunicação com a ANPD e pelos temas de privacidade.
18. Penalidades
O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD.
19. Revisão da Política
Esta política deverá ser revisada:
- Anualmente;
- Quando houver alterações regulatórias relevantes;
- Quando houver mudanças significativas nos processos ou no ambiente tecnológico.