Politica de Seguranca da Informacao: mudanças entre as edições

Política de Segurança da Informação

Alinhada à ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD)*

1. Objetivo

Esta Política de Segurança da Informação (PSI) tem como finalidade estabelecer diretrizes e controles voltados à proteção dos ativos de informação da organização, de acordo com os requisitos da norma ISO/IEC 27001:2022 e com as obrigações legais da LGPD. A PSI visa assegurar a confidencialidade, integridade, disponibilidade e proteção adequada dos dados pessoais tratados, garantindo práticas consistentes de gestão de riscos e conformidade.

2. Abrangência

Esta política aplica-se a:

• Todos os colaboradores, terceiros, prestadores de serviços, consultores e fornecedores.
• Todos os sistemas, processos, infraestruturas, bancos de dados, dispositivos e demais ativos de informação sob responsabilidade da organização.
• Todo tratamento de dados pessoais e dados pessoais sensíveis, conforme definições da LGPD.

3. Princípios da Segurança da Informação e da Privacidade

Em conformidade com a ISO 27001 e com a LGPD, a organização adota os seguintes princípios:

• **Confidencialidade**: Garantir que a informação seja acessada somente por pessoas autorizadas.
• **Integridade**: Preservar a exatidão e completude das informações.
• **Disponibilidade**: Garantir acesso às informações sempre que necessário.
• **Transparência (LGPD)**: Garantir clareza sobre o tratamento de dados pessoais.
• **Finalidade (LGPD)**: Tratar dados pessoais apenas para propósitos legítimos, específicos e informados.
• **Minimização de Dados (LGPD)**: Coletar apenas os dados estritamente necessários.
• **Responsabilização e Prestação de Contas**: Demonstrar conformidade com normas e requisitos legais.

4. Classificação da Informação

As informações devem ser classificadas conforme seu nível de criticidade:

• **Pública** – Informações de livre divulgação.
• **Interna** – Informações cujo acesso é restrito ao ambiente corporativo.
• **Confidencial** – Acesso limitado a áreas definidas; inclui dados pessoais.
• **Restrita** – Informações altamente sensíveis; inclui dados pessoais sensíveis (LGPD).

5. Tratamento de Dados Pessoais (LGPD)

A organização compromete-se a:

• Tratar dados pessoais conforme princípios da LGPD.
• Definir bases legais adequadas para cada operação de tratamento.
• Obter consentimento quando necessário, de forma livre, informada e inequívoca.
• Assegurar os direitos dos titulares, incluindo acesso, correção, exclusão e portabilidade.
• Manter registro das operações de tratamento.
• Nomear um **Encarregado de Proteção de Dados (DPO)**.
• Realizar Relatórios de Impacto à Proteção de Dados (RIPD) quando aplicável.

6. Controles de Acesso

Em conformidade com a ISO 27001:

• O acesso deve seguir o princípio do menor privilégio.
• Credenciais devem ser pessoais e intransferíveis.
• Autenticação multifator (MFA) deve ser implementada sempre que possível.
• Contas inativas devem ser removidas ou bloqueadas imediatamente.
• Acesso a dados pessoais deve ser registrado e monitorado.

7. Uso Aceitável dos Recursos Tecnológicos

• O uso dos recursos corporativos deve estar estritamente ligado às atividades profissionais.
• É proibida a instalação de softwares sem autorização.
• É proibido armazenar, transmitir ou manipular dados pessoais de forma não autorizada.
• Recursos não devem ser utilizados para fins ilícitos, antiéticos ou que comprometam a segurança.

8. Segurança Física e Ambiental

• Deve haver controle de acesso físico às instalações críticas.
• Visitantes devem ser registrados e acompanhados.
• Documentos físicos contendo dados pessoais ou informações sensíveis devem ser armazenados em locais seguros.

9. Proteção Contra Malware e Ameaças Digitais

• Sistemas devem possuir proteção antimalware atualizada.
• Políticas de e-mail e navegação devem incluir filtros de segurança.
• Treinamentos de prevenção a phishing devem ser realizados periodicamente.

10. Backup, Retenção e Descarte Seguro

• Backups devem seguir políticas definidas e ser testados regularmente.
• Prazos de retenção devem obedecer aos requisitos legais e contratuais.
• Dados pessoais devem ser descartados de forma segura e irreversível quando não forem mais necessários.

11. Segurança em Redes e Comunicações

• Redes devem ser segmentadas conforme criticidade dos ativos.
• Informações sensíveis e dados pessoais devem ser transmitidos somente em canais criptografados.
• Firewalls, IDS/IPS e demais controles devem ser utilizados e monitorados.

12. Gestão de Riscos

• A organização deve manter processo formal de avaliação e tratamento de riscos, conforme a ISO 27001.
• Riscos relacionados ao tratamento de dados pessoais devem ser avaliados com base na LGPD.

13. Gestão de Incidentes de Segurança e Privacidade

• Todo incidente deve ser reportado imediatamente ao setor responsável.
• Devem existir processos formais para resposta, contenção e registro de incidentes.
• Vazamentos de dados pessoais devem seguir os requisitos de notificação previstos na LGPD.
• Quando aplicável, deve-se comunicar a ANPD e os titulares afetados.

14. Continuidade de Negócios

• Planos de continuidade e recuperação devem estar estabelecidos, atualizados e testados.
• Processos críticos devem ter medidas de contingência.

15. Treinamento, Conscientização e Conformidade

• Todos os colaboradores devem receber treinamento periódico sobre:

• Segurança da informação (ISO 27001)
• Proteção de dados pessoais (LGPD)
• A organização deve promover ações contínuas de conscientização.

16. Auditorias e Monitoramento

• Auditorias internas devem ser realizadas periodicamente.
• Controles e registros devem ser avaliados conforme requisitos da ISO 27001.
• Tratamentos de dados devem ser revisados conforme a LGPD.

17. Responsabilidades

• Todos os colaboradores devem cumprir integralmente esta política.
• Gestores devem garantir que seus times estejam em conformidade.
• O Encarregado (DPO) é responsável pela comunicação com a ANPD e pelos temas de privacidade.

18. Penalidades

O descumprimento desta política pode resultar em medidas disciplinares internas, responsabilidade civil, penal e sanções previstas na LGPD.

19. Revisão da Política

Esta política deverá ser revisada:

• Anualmente;
• Quando houver alterações regulatórias relevantes;
• Quando houver mudanças significativas nos processos ou no ambiente tecnológico.