As pessoas são a base da nossa transformação.

Os melhores resultados acontecem em conjunto.

Política de Segurança da Informação e Privacidade

1. Objetivo

O objetivo desta Política de Segurança da Informação e Privacidade é formalizar as diretrizes corporativas que foram estabelecidas pela Administração e aprovadas pelo Comitê de Segurança da Informação da Avivatec, devendo estas ser seguidas por todos os colaboradores, clientes e fornecedores, quando houver a necessidade de tratar as informações corporativas, de clientes e privadas, estabelecendo as premissas de controle e o gerenciamento destas informações e das tecnologias utilizadas, estejam estas em meios tecnológicos ou não.

Os controles e estruturas específicos para preservação da privacidade e da proteção das informações, bem como das tecnologias por meio das quais as informações são tratadas, estão definidos nas normas, procedimentos e padrões de privacidade e segurança da informação da Avivatec.

 

2. Abrangência

Esta política é aplicável a todos que tratam informações corporativas e de clientes pela e para a Avivatec, incluindo funcionários, terceiros, clientes, colaboradores e fornecedores contratados. Todos que acessarem os sistemas de informação e efetuarem quaisquer tratamentos de dados sob custódia e controle da Avivatec devem aderir e respeitar esta Política de Segurança da Informação e Privacidade bem como as demais estruturas e definições de controle contidas nos demais documentos de Segurança da Informação que operacionalizam e sustentam esta política, a fim de manter a confidencialidade, a integridade e a disponibilidade dos ativos de informação da Avivatec.

 

3. Referências

  • NRM 01 – Norma de Gestão de Backup e Restore;
  • NRM 02 – Norma de Gestão e Tratamento de Vulnerabilidades de TI;
  • NRM 04 – Norma de Gestão e Controle de Acessos Lógicos;
  • NRM 13 – Norma de Reporte de Incidentes de Segurança da Informação
  • NRM 16 – Norma de Classificação da Informação;
  • NRM 17 – Norma de Gestão de Ativos;
  • Norma de Indicadores do SGSI;
  • Política de Continuidade de Negócios;
  • Política de Gestão de Contratos;
  • Guia de Boas Práticas Para Desenvolvimento Seguro;
  • Lei 13.709 de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD);
  • ABNT NBR ISO/IEC 27001:2013 – Sistema de Gestão de Segurança da Informação;
  • ABNT NBR ISO/IEC 27002:2013 – Código de Prática para Gestão da Segurança da Informação.

 

4. Responsabilidades

4.1. Colaboradores

Todos os colaboradores e prestadores de serviços da Avivatec são responsáveis pelo cumprimento integral das diretrizes estabelecidas na presente política.

4.2. Comitê de Segurança da Informação

O Comitê de Segurança da Informação é responsável pela aprovação da Política de Segurança da Informação e Privacidade.

 

5. Definições

Todos os termos, conceitos e definições utilizados neste documento e nos demais documentos correlatos a este, têm os significados estipulados e convencionados a seguir, devendo tais definições prevalecer sobre uso comum e/ou referências coletadas de outras fontes.

Informação: É a designação dada a todos os tipos de dados digitais ou não, escritos, falados, impressos, gravados, projetados, visualizados ou representados por alguma outra forma ou meio e que são produzidos ou utilizados pela Avivatec para realizar as atividades de negócio. Podem ser dados escritos, falados, transmitidos, digitados, armazenados, reproduzidos ou processados em qualquer meio, seja ele equipamento, papel, telefone, programa de computador, base de dados, conversa ou outro meio de tratamento possível existente.

Gestor da Informação ou Controlador: É a designação dada a uma área, pessoa ou função em nível gerencial ou de liderança na estrutura organizacional da Avivatec que trata, produz, cria e/ou responde institucionalmente ou legalmente por determinado tipo de informação, bem como sua acurácia, precisão, utilização e proteção. O Gestor ou Controlador define quais os ambientes, recursos, controles e proteções que as informações sob sua responsabilidade devem atender, indicando onde estão e quais os controles que devem possuir sobre acesso, divulgação e salvaguarda.

Tratador de Informação ou Operador: É a designação dada à área ou função que implementa e mantém as condições, controles e regulamentações definidas pelo Gestor ou Controlador para cada tipo e categoria de informação. O Operador ou Tratador opera os recursos que armazenam, processam e/ou manipulam as informações, independentemente da tecnologia ou dos meios utilizados serem ou não digitais.

Usuário de Informação: É a designação dada à área ou função que acessa e utiliza a informação de acordo com a autorização de acesso que lhe foi dada e do meio pelo qual tal informação será acessada. Sua responsabilidade pela informação está em assegurar que somente será utilizada para a finalidade que foi autorizada pelo Gestor ou Controlador da Informação.

Meios de Informação: É a designação dada aos recursos, serviços, ambientes, locais, mídias, sistemas e equipamentos utilizados para tratar a informação. São exemplos de meios de informação: máquinas de cópia, impressoras, centrais de telefonia, computadores, servidores de rede, redes de computador, notebooks, computadores e agendas de mão, fragmentadoras, arquivos, câmeras, celulares, gravadores de mídias, catracas, crachás, serviços de vigilância, serviços de transporte de dados, serviços de telecomunicações, serviços de arquivamento, serviço de web e outros.

Informações Vitais: Consistem em informações consideradas imprescindíveis para o desenvolvimento das atividades de negócio da Avivatec, por um determinado período de tempo ou indefinidamente. Caso não possam ser utilizadas ou acessadas poderão comprometer a continuidade dos negócios ou causar grandes perdas financeiras, de imagem ou operacional. São exemplos de informações vitais: dados de identificação de funcionários e clientes, dados financeiros corporativos, dados comerciais de projetos e serviços e outros imprescindíveis para as operações da Avivatec.

Ameaça: Um fenômeno, ação ou acontecimento indesejável que pode ocorrer sobre um determinado dado ou Meio de Informação e que, se ocorrer, pode resultar em danos e perdas, comprometendo as operações e negócios. São exemplos de ameaças: greve, inundação, roubo, furto, sabotagem, espionagem, incêndio, assassinato, extorsão, fraude, alagamento, invasão e outros.

Impactos: Consistem nas consequências estimadas ou aferidas a partir de uma determinada ameaça ou ação sobre informações ou seus respectivos Meios de Informação. Podem ser representados em itens tangíveis e intangíveis tais como: prejuízos, custos adicionais, multas, danos de imagem, sanções, represálias, perda de mercado e de clientes, perda de receita, dentre outros.

Vulnerabilidades: São falhas ou deficiências nas atividades, ações ou nos processos de tratamento dos dados e/ou na operação dos meios de informação. Podem ser representadas em grupos de origem das fraquezas ou falhas, assim como podem ser operacionais, sistêmicas, organizacionais ou culturais. São exemplos de vulnerabilidades: falta de pessoal suficiente, falta de conhecimento, má configuração, não execução de uma obrigação ou atividade, esquecimento, negligência, dentre outras.

Risco: É a probabilidade de uma ou mais ameaças causarem impactos. Geralmente estão associados à exploração de vulnerabilidades ou fraquezas existentes no controle e/ou na gestão de informações ou Meios de Informação. São classificados em categorias, com o principal objetivo de priorização das ações de correção e/ou controle das vulnerabilidades.

Ambientes: São considerados como ambientes todas as instalações físicas e lógicas sobre as quais a Avivatec tem controle ou domínio de gestão e onde são executados total ou parcialmente os processos de negócio, bem como tratadas as informações. São exemplos de ambientes: websites, domínios de rede, prédios, andares, salas de reunião, escritórios, datacenters, cloud e outros.

Política: Documento que: a) trata dos assuntos estratégicos e de interesse geral; b) não contém exceções ou tratamentos diferenciados em suas definições; c) é único, alinhado a um plano diretor; d) usa linguagem simples e de fácil entendimento; e) deve ser amplamente divulgado após ser aprovado pelo nível hierárquico competente.

Normas: São documentos com uma abrangência mais restrita ou específica a uma área, processo, ativo ou recurso. As normas devem ser totalmente alinhadas e amparadas por uma Política, sustentando e embasando orientações, padrões e procedimentos para que possam ser cumpridas na íntegra. Devem definir o que pode ou não pode ser executado assim como quem deve executar, quando e onde.

Integridade: Conceito que define a garantia de que a informação seja mantida completa e em seu estado original, visando protegê-la, na guarda, tratamento, manuseio ou transmissão, contra alterações indevidas, intencionais ou acidentais e que possam afetar seu valor ou significado.

Confidencialidade: Conceito que define a garantia de que o acesso à informação será concedido ou obtido somente por pessoas autorizadas pelo Gestor ou Controlador da Informação, por um período específico e por um motivo conhecido e autorizado.

Disponibilidade: Conceito que define a garantia de que os usuários autorizados obterão acesso à informação e aos meios de informação correspondentes sempre que for necessário utilizar ou tratar a informação para uma finalidade de negócio.

DLP (Data Loss Prevention): Conceito que abrange ferramentas utilizadas no processo de prevenção e monitoramento a ocorrências de vazamento de informações por meios e plataformas eletrônicas ou digitais. Consiste em mecanismo que inspeciona atividades de envio e recebimento de arquivos e mensagens eletrônicas, buscando tipos de dados específicos contidos nas mensagens ou nos arquivos a elas anexados.

Sandbox: Mecanismo para separar em um ambiente tecnológico apartado os programas ou arquivos suspeitos com o objetivo de mitigar falhas ou verificar a integridade destes programas e arquivos.

VPN (Virtual Private Network): Tipo de conexão tecnológica entre um equipamento de TI e uma rede de TI que permite o tráfego de dados entre estas redes e computadores de forma segura, utilizando recurso de criptografia para criar um “túnel” blindado que evita que o conteúdo trafegado seja exposto ou acessado por outros.

Criptografia: Conjunto de princípios e técnicas empregados para cifrar ou codificar uma escrita ou código e torná-los ininteligíveis para os que não tenham acesso às convenções, certificados e chaves combinadas.

Backup: Processo que realiza cópias de segurança de dados e mantém estes em uma localidade lógica e física distinta do original e que poderá proporcionar a recuperação destes em casos de serem perdidos ou terem a integridade comprometida.

IPS (Intrusion Prevention System) / IDS (Intrusion Detection System): Ferramentas de software com uso voltado para segurança de uma rede de computadores que examinam o tráfego desta rede para tentar detectar e prevenir acessos não autorizados e/ou a exploração de vulnerabilidades.

Log:  Também conhecido como Trilha de Auditoria, é um arquivo de registro de eventos relevantes de um ambiente ou sistema de TI, normalmente utilizado para registrar as atividades realizadas por um usuário no recurso de TI ou meio de informação a fim de verificar a responsabilidade por ações executadas pelo usuário ou para diagnóstico de problemas ou situações de não conformidade.

 

6. Sistema de Gestão de Segurança da Informação

O Sistema de Gestão de Segurança da Informação (SGSI) implementado na Avivatec tem uma abordagem organizacional voltada à proteção das informações e de seus critérios de confidencialidade, integridade e disponibilidade.

Todas as etapas do SGSI da Avivatec devem seguir o modelo PDCA (Plan-Do-Check-Act).

Devem ser estabelecidos políticas, objetivos, processos e procedimentos para a gestão de segurança da informação e privacidade.

A partir do plano de ação oriundo do escopo do SGSI, devem-se criar indicadores e metas que contemplem os resultados esperados para o seu desempenho.

Os indicadores do SGSI devem sempre fornecer dados confiáveis para a direção da Avivatec, bem como para as demais partes interessadas, de forma que esses dados possibilitem uma análise crítica que apoie as tomadas de decisão.

A área de Segurança da Informação deve realizar o monitoramento dos indicadores de acordo com o intervalo de cada processo, visando acompanhar a maturidade de segurança alcançada e a adesão dos processos ao risco estabelecido.

Mensalmente os indicadores devem ser apresentados no Comitê de Segurança da Informação para acompanhamento.

Todas as diretrizes referentes à gestão dos indicadores de SGSI devem ser tratadas na “Norma de Indicadores do SGSI”.

 

7. Diretrizes de Segurança da Informação

7.1. Classificação da Informação

Todos os ativos de informação trafegados no ambiente da Avivatec devem ser identificados, classificados e atribuídos a um gestor responsável que deverá estabelecer critérios relativos ao nível de confidencialidade da informação gerada por sua área, de acordo com os níveis abaixo:

    • Confidencial: O acesso aos documentos e ao processo é exclusivo a um grupo específico de pessoas a quem for atribuída permissão;
    • Público: Todos os conteúdos de todos os documentos de um determinado processo podem ser visualizados por qualquer pessoa dentro ou fora da organização;
    • Interno: O acesso ao conteúdo dos documentos em um processo é permitido apenas dentro da organização.

As diretrizes de tratamento, processos e metodologia para identificação, análise e rotulagem da informação estão documentadas na “Norma de Classificação da Informação”.

7.2. Gestão de Ativos

O gerenciamento de ativos é de fundamental importância, pois está relacionado à forma de administrar os riscos com eficiência, tomar decisões de investimentos capazes de acarretar o máximo rendimento dos ativos, reduzir perdas e garantir confiabilidade e qualidade dentro de um mercado regulado e exigente.

As diretrizes de gestão dos ativos da Avivatec, bem como as responsabilidades de proteção adequadas com base na ISO 27001:2013, estão documentadas na “Norma de Gestão de Ativos”.

7.3. Gestão de Acesso Lógico

O controle de acessos lógico aos ambientes tecnológicos é uma das premissas de uma segurança de informações eficiente e efetiva, provendo tempestivamente os acessos necessários para que um colaborador execute as atividades e funções sob sua alçada e cargo, impedindo que contas de acesso e arquivos de dados sejam acessados e modificados ou apagados por pessoal não identificado e não autorizado.

Os critérios de controle do acesso lógico aos sistemas de informação e arquivos de dados da Avivatec estão documentados na “Norma de Gestão e Controle de Acessos Lógicos”.

7.4. Gestão de Continuidade de Negócios

A continuidade de negócios e a recuperação de desastres estão relacionados a conceitos de continuidade operacional, contingência, flexibilidade operacional e outros relacionados à sobrevivência da organização quando da ocorrência de situações de desastres ou de anormalidades de negócio.

As diretrizes de continuidade de negócio e recuperação de desastres da Avivatec estão documentadas na “Política de Continuidade de Negócios”.

7.5. Gestão de Incidentes

O registro e o reporte dos incidentes de segurança da informação e de privacidade ocorridos em uma organização é essencial para que as áreas envolvidas na apuração e na tratativa do evento iniciem as ações que visem minimizar os efeitos e consequências dos eventos ocorridos assegurando a possibilidade de resolução do incidente o mais breve possível e a não perda das trilhas de auditoria.

Registrar e comunicar um incidente de forma clara, completa e correta permite a adoção de ações e contramedidas tempestivas e eficientes, além de possibilitar a elaboração de estudos específicos, baseados em lições aprendidas e estatísticas, visando implementar melhorias nos controles existentes e a adoção de novos controles para minimização das ocorrências de eventos semelhantes.

A regulamentação do reporte e do registro de incidentes de segurança da informação e de privacidade da Avivatec está documentada na “Norma de Reporte de Incidentes de Segurança da Informação”.

7.6. Desenvolvimento Seguro

As boas práticas para desenvolvimento seguro devem ser a referência no ciclo de desenvolvimento de softwares da Avivatec, tanto para uso interno como para serem aplicadas nos projetos e serviços de sustentação de produtos de software prestados para os clientes.

As orientações e controles de segurança da informação adequados ao desenvolvimento dos sistemas, aplicações e aplicativos da Avivatec estão documentados no “Guia de Boas Práticas Para Desenvolvimento Seguro”.

7.7. Gestão de Vulnerabilidade

Manter o conhecimento e a gestão das vulnerabilidades do ambiente de TI é fundamental para assegurar a integridade e a disponibilidade dos dados e dos ambientes tecnológicos envolvidos no processamento de informações, principalmente no que se refere ao acompanhamento das correções das vulnerabilidades conhecidas, dentro de um tempo adequado e aceito pelo negócio, diminuindo assim a janela de exposição.

A Avivatec reconhece a importância da gestão das vulnerabilidades tecnológicas e assegura o compromisso pleno em tratar tempestivamente todas as vulnerabilidades críticas encontradas em seus ambientes de tecnologia para manter níveis de segurança adequados aos padrões requeridos pelo mercado brasileiro para o tratamento de dados.

As diretrizes para o processo de gestão e tratamento de vulnerabilidades dos ambientes de TI da Avivatec estão documentadas na “Norma de Gestão e Tratamento de Vulnerabilidades de TI”.

7.8. Gestão de Backup e Restore

Salvaguardar os ativos de dados e de sistemas do ambiente de tecnologia é uma das importantes responsabilidades compartilhadas entre a Infraestrutura e a Segurança da Informação da Avivatec. Esta atividade ocorre por meio das definições de backup e recuperação de dados que devem ser utilizadas nos sistemas tecnológicos.

É necessário assegurar o backup e a restauração de dados em todos os ambientes tecnológicos, sejam eles provenientes de sistemas, servidores, aplicações, arquivos, mensagens ou pacotes em elementos de rede. Para tanto, é necessário que ocorra a classificação correta da criticidade dos ativos de dados, bem como a definição dos atributos e permissões de acesso, da relevância do dado, do tempo de retenção, do local de armazenamento e, principalmente, das estratégias e ferramentas de backup e recuperação de dados que serão utilizadas.

A responsabilidade pelo planejamento e execução das atividades e rotinas de backup são da Segurança da Informação e da Infraestrutura, respectivamente, e ocorrem conforme as definições estabelecidas pelos gestores de negócio, incluindo a periodicidade e os horários para não comprometer o desempenho e disponibilidade do ambiente de TI.

Os controles, responsabilidades e obrigações relacionados às atividades de backup e recuperação de dados da Avivatec estão documentados na “Norma de Gestão de Backup e Restore”.

7.9. Gestão de Contratos

Para a contratação de terceiros prestadores de serviço, sejam pessoas físicas ou jurídicas, que pretendam iniciar um vínculo contratual com a Avivatec, é fundamental estabelecer parâmetros qualitativos mínimos.

Todo e qualquer processo de contratação de terceiros deve seguir as diretrizes de gestão de contratos da Avivatec, visando manter a isonomia e equidade do processo, a redução de riscos e o aumento da segurança jurídica e operacional da Avivatec

Os controles, responsabilidades e definições sobre os serviços de terceiros estão descritos na “Política de Gestão de Contratos”.

 

8. Diretrizes de Privacidade

8.1. Conduta e comprometimento com a privacidade e a proteção dos dados e informações

    1. Toda informação coletada e tratada pela Avivatec deve possuir um Gestor ou Controlador designado e que atuará como responsável por determinar o nível de proteção e controle apropriado ao tipo de informação da área que gerencia e à necessidade de negócio, lei ou regulamentação que houver, sobre segurança e/ou privacidade;
    2. Todos os colaboradores, independentemente do nível hierárquico ou função, devem reconhecer a importância das informações que utilizam ou tratam em suas atividades e rotinas de trabalho, observar e respeitar os controles e as boas práticas definidos pela Política de Segurança da Informação e Privacidade, bem como pelos demais documentos e normas de segurança da informação da Avivatec, preservando o valor desses dados e informações, minimizando as situações de abusos ou má utilização, respeitando e aderindo às definições estabelecidas pelas leis, contratos e regulamentações existentes;
    3. O acesso e a utilização dos dados, informações e sistemas de informação existentes e utilizados pela Avivatec somente devem ocorrer para propósitos diretamente relacionados ao seu negócio e dentro das necessidades e responsabilidades compatíveis com a função do colaborador ou com a atribuição contratual estabelecida;
    4. Assim que percebida a ocorrência de um vazamento de informações ou de um incidente de privacidade ou de segurança da informação, todas as medidas cabíveis devem ser tomadas para conter os efeitos e desdobramentos dessa situação e o responsável pela Segurança da Informação deverá ser acionado para acompanhar e fazer valer todas as medidas complementares ou reparadoras cabíveis;
    5. Quando houver a participação de terceiros, fornecedores ou prestadores de serviço no tratamento dos dados e informações sob custódia da Avivatec, e for necessário que esses terceiros acessem, criem, mantenham, utilizem ou destruam os dados e/ou as informações, deve existir uma formalização contratual estabelecida que obrigue estes terceiros a manter a integridade, a confidencialidade e a disponibilidade equivalentes aos níveis de proteção existentes na Avivatec e a não reproduzir, copiar, fornecer, utilizar ou divulgar estes dados e informações para outros sem autorização formal da Avivatec;
    6. Nenhuma senha, credencial e/ou conta individual para acesso a dados e informações ou sistemas de informação pode ser emprestada ou compartilhada com outros que não seja o próprio responsável que recebeu este recurso de acesso ao dado e à informação, não devendo em nenhuma situação serem utilizadas contas, credenciais e senhas genéricas, padrões de fábrica ou não individuais para acessar os dados, os sistemas e as informações sob custódia da Avivatec;
    7. É proibido obter, acessar, armazenar ou distribuir dados e/ou informações, de qualquer fonte, origem ou natureza, que sejam contra a ordem pública, ilícitos ou que afetem a moral ou os bons costumes, ou ainda comprometam os sistemas, softwares, documentos e equipamentos da Avivatec.

8.2. Obtenção, classificação, armazenamento e destruição de informações

    1. A obtenção de informações externas deverá ser realizada sempre a partir de origem confiável, de forma legal e imparcial. Quando se tratar de informação originada de um terceiro, itens como privacidade individual, licenciamento e direitos autorais devem ser verificados cuidadosamente para identificar se não foram violados – sem prejuízo da responsabilidade integral do terceiro pela informação fornecida, devendo ainda ser assegurado que a respectiva informação não seja alterada ou modificada indevidamente;
    2. Informações de clientes, fornecedores ou colaboradores envolvendo orientação política, credo ou religião, participação em entidades sindicais, questões étnicas, raciais ou de gênero, bem como antecedentes familiares ou criminais, são consideradas informações pessoais sensíveis por lei e não devem ser coletadas nas operações de negócio da Avivatec. Exceções podem existir desde que exista aprovação formal dos riscos envolvidos por parte do Gestor ou Controlador das informações ou mediante mandado judicial;
    3. As informações da organização que forem classificadas como CONFIDENCIAIS segundo os critérios definidos nos documentos de Privacidade e de Segurança da Informação, quando não mais necessárias nas operações da Avivatec, devem ser descartadas, destruídas ou inutilizadas de forma que não possam mais ser acessadas ou recuperadas. O mesmo cuidado deverá ser repassado via obrigação contratual com terceiros e fornecedores que obtiverem acesso, tratamento ou custódia dessas categorias de dados e informações;
    4. Todas as informações utilizadas nas operações de negócio, estejam estas em meios eletrônicos, tais como sistemas, softwares ou arquivos digitais, ou em meios físicos, tais como arquivos em papel, conversas e documentos, devem ser classificadas quanto a seu nível de confidencialidade, levando-se em conta definições e critérios de classificação estabelecidos nos documentos de Privacidade e de Segurança da Informação da Avivatec;
    5. As informações classificadas como CONFIDENCIAIS segundo os critérios definidos nos documentos de Privacidade e de Segurança da Informação da Avivatec, somente podem ser armazenadas em locais que possuam as devidas proteções de controle de acesso definidas pelo Gestor responsável e em conformidade com os controles definidos para tal categoria de informação;
    6. Todas as informações classificadas como CONFIDENCIAIS devem ensejar um prazo de retenção e armazenamento mínimo de 5 (cinco) anos ou mais, caso exista obrigação legal, e conforme os controles definidos pelo Gestor ou Controlador responsável, sendo determinado por este o período necessário pelo qual as referidas informações devem permanecer com as classificações que lhes foram atribuídas;
    7. As informações de negócio apenas podem ser armazenadas em dispositivos, equipamentos e localidades controlados, de forma que seja permitida a criação e recuperação de cópias de segurança e o uso de controles de restrição de acesso físico e lógico, quando necessário, não podendo permanecer em discos locais de equipamentos dos usuários, em impressoras ou em locais públicos ou de grande circulação de pessoas;
    8. As informações armazenadas em meios eletrônicos e/ou portáteis devem ser catalogadas e armazenadas em áreas e recursos inventariados e controlados, não devendo ser fornecidas a terceiros sem autorização do responsável pela informação e/ou pela aprovação do Comitê de Segurança da Informação.

8.3. Manuseio, uso, transmissão e fornecimento de informações

    1. Somente é permitido o fornecimento ou a utilização de informações para/por terceiros ou entidades externas à organização nas seguintes situações:
      1. Quando o Titular e/ou o Gestor responsável pela informação aprovar;
      2. Quando houver um mandado judicial válido;
      3. Quando houver interesse público envolvido, desde que mediante aprovação do Titular e/ou do Gestor responsável pela informação;
      4. Quando houver necessidade operacional, desde que itens como a privacidade pessoal e outras garantias legais não sejam violadas.
    2. As informações classificadas como CONFIDENCIAIS devem ser manuseadas e transmitidas apenas com as proteções e controles definidos pelo Gestor responsável pela proteção dos dados e informações, mediante aprovação pelo Gestor da informação e em linha com o definido nos documentos de Privacidade e de Segurança da Informação da Avivatec;
    3. Toda informação considerada como CONFIDENCIAL, quando manuseada ou utilizada nas operações de negócio, deve ensejar uma cópia de emergência ou recurso de contingência definido e implementado, de modo a permitir a recuperação dessa informação quando da ocorrência de quaisquer indisponibilidades ou desastres;
    4. Todo e qualquer incidente de segurança ou desastre que envolva uma informação classificada como CONFIDENCIAL deve ser prontamente registrado e comunicado à área de Segurança da Informação, que determinará todos os cuidados e medidas de contenção e tratamento desse incidente ou desastre, visando minimizar seus impactos e efeitos. Esta obrigação de registro e comunicação imediatos deve ser estendida contratualmente a terceiros, clientes e parceiros que utilizarem esse tipo de informação da organização.

8.4. Controle, monitoramento e verificação de informações

    1. Toda solicitação de acesso ou divulgação de informações somente será atendida após a verificação e autenticação da identidade do solicitante, da aprovação do gestor de negócio responsável pela informação e do registro e autorização da solicitação pela área de Segurança da Informação;
    2. Toda informação considerada CONFIDENCIAL deve corresponder a um Gestor responsável em nível executivo, bem como ser controlada quanto à proteção, prazo de retenção e controles mínimos de privacidade e segurança;
    3. Todo meio de informação utilizado para armazenar, transmitir ou tratar informações classificadas como CONFIDENCIAIS deve ser controlado e monitorado para detecção de erros, utilização não autorizada ou ações não condizentes com normas legais e objetivos de negócio;
    4. Os conceitos, responsabilidades e estruturas de políticas, normas, procedimentos e demais controles de privacidade e de segurança da informação, utilizados no suporte do ciclo de vida das informações, são divulgados a todos através de um processo anual e formal de publicação, treinamento e conscientização sobre Privacidade e Segurança da Informação, que orienta claramente como seguir as definições contidas nesta política e nos demais documentos de Privacidade e de Segurança da Informação da Avivatec;
    5. Todos os acessos e privilégios concedidos para manuseio e utilização de informações da organização devem ser monitorados e revisados periodicamente pela área de Segurança da Informação, devendo a conta de acesso de cada usuário ser bloqueada ou suspensa imediatamente após o término do relacionamento contratual entre a Avivatec e o respectivo usuário. Para tanto, deve ocorrer a comunicação imediata dos desligamentos e rescisões pelos departamentos competentes.

 

9. Processo Disciplinar

As penalidades para aqueles que cometerem violação desta política serão aplicadas de acordo com as sanções previstas no regime trabalhista vigente, sendo responsabilidade do Comitê de Gestão de Pessoas a avaliação da severidade das penalidades a serem aplicadas.

Em caso de terceiros e parceiros, as cláusulas do contrato ou acordo comercial devem prever as sanções disciplinares cabíveis.

 

10. Controle do Documento

10.1. Vigência e Revisão

Esta política entra em vigência imediatamente após sua aprovação pelo Comitê de Segurança da Informação da Avivatec e continuará em vigor até que seja atualizada quanto à versão ou revogada pela Alta Administração ou pelo Comitê de Segurança da Informação.

Todas as políticas, procedimentos e instruções de trabalho, inclusive este documento, deverão ser revisados anualmente após a data de publicação, mesmo que neste período não haja alteração nos processos, controles e responsabilidades.

A revisão deverá ocorrer em data anterior em caso de novas diretrizes definidas pelo corporativo, região, alterações legais e regulatórias, entre outras mudanças.

10.2. Confidencialidade

Este documento é de propriedade exclusiva e não pode ser divulgado total ou parcialmente para terceiros sem autorização expressa da área de Governança Corporativa da Avivatec. Seu uso está restrito aos profissionais da Avivatec e não pode ser utilizado em benefício próprio ou de terceiros.

10.3. Conflitos

Quaisquer situações decorrentes das informações contidas neste instrumento ou em outro derivado, que possam gerar conflitos internos ou externos, deverão ser imediatamente notificadas à área de Governança Corporativa da Avivatec para que as ações pertinentes necessárias sejam tomadas.

10.4. Aprovação

Esta política foi revisada, validada e aprovada pelo Comitê de Segurança da Informação da Avivatec e qualquer revisão, inclusão, alteração ou exclusão em partes deste documento deverá ser executada e aprovada em nível hierárquico equivalente.

 

11. Dúvidas

Quaisquer dúvidas referentes a este documento devem ser endereçadas à área de Segurança da Informação pelo e-mail si@avivatec.com.br.