O objetivo desta Política de Segurança da Informação e Privacidade é formalizar as diretrizes corporativas que foram estabelecidas pela Administração e aprovadas pelo Comitê de Segurança da Informação da Avivatec, devendo estas ser seguidas por todos os colaboradores, clientes e fornecedores, quando houver a necessidade de tratar as informações corporativas, de clientes e privadas, estabelecendo as premissas de controle e o gerenciamento destas informações e das tecnologias utilizadas, estejam estas em meios tecnológicos ou não.
Os controles e estruturas específicos para preservação da privacidade e da proteção das informações, bem como das tecnologias por meio das quais as informações são tratadas, estão definidos nas normas, procedimentos e padrões de privacidade e segurança da informação da Avivatec.
Esta política é aplicável a todos que tratam informações corporativas e de clientes pela e para a Avivatec, incluindo funcionários, terceiros, clientes, colaboradores e fornecedores contratados. Todos que acessarem os sistemas de informação e efetuarem quaisquer tratamentos de dados sob custódia e controle da Avivatec devem aderir e respeitar esta Política de Segurança da Informação e Privacidade bem como as demais estruturas e definições de controle contidas nos demais documentos de Segurança da Informação que operacionalizam e sustentam esta política, a fim de manter a confidencialidade, a integridade e a disponibilidade dos ativos de informação da Avivatec.
Todos os colaboradores e prestadores de serviços da Avivatec são responsáveis pelo cumprimento integral das diretrizes estabelecidas na presente política.
O Comitê de Segurança da Informação é responsável pela aprovação da Política de Segurança da Informação e Privacidade.
Todos os termos, conceitos e definições utilizados neste documento e nos demais documentos correlatos a este, têm os significados estipulados e convencionados a seguir, devendo tais definições prevalecer sobre uso comum e/ou referências coletadas de outras fontes.
Informação: É a designação dada a todos os tipos de dados digitais ou não, escritos, falados, impressos, gravados, projetados, visualizados ou representados por alguma outra forma ou meio e que são produzidos ou utilizados pela Avivatec para realizar as atividades de negócio. Podem ser dados escritos, falados, transmitidos, digitados, armazenados, reproduzidos ou processados em qualquer meio, seja ele equipamento, papel, telefone, programa de computador, base de dados, conversa ou outro meio de tratamento possível existente.
Gestor da Informação ou Controlador: É a designação dada a uma área, pessoa ou função em nível gerencial ou de liderança na estrutura organizacional da Avivatec que trata, produz, cria e/ou responde institucionalmente ou legalmente por determinado tipo de informação, bem como sua acurácia, precisão, utilização e proteção. O Gestor ou Controlador define quais os ambientes, recursos, controles e proteções que as informações sob sua responsabilidade devem atender, indicando onde estão e quais os controles que devem possuir sobre acesso, divulgação e salvaguarda.
Tratador de Informação ou Operador: É a designação dada à área ou função que implementa e mantém as condições, controles e regulamentações definidas pelo Gestor ou Controlador para cada tipo e categoria de informação. O Operador ou Tratador opera os recursos que armazenam, processam e/ou manipulam as informações, independentemente da tecnologia ou dos meios utilizados serem ou não digitais.
Usuário de Informação: É a designação dada à área ou função que acessa e utiliza a informação de acordo com a autorização de acesso que lhe foi dada e do meio pelo qual tal informação será acessada. Sua responsabilidade pela informação está em assegurar que somente será utilizada para a finalidade que foi autorizada pelo Gestor ou Controlador da Informação.
Meios de Informação: É a designação dada aos recursos, serviços, ambientes, locais, mídias, sistemas e equipamentos utilizados para tratar a informação. São exemplos de meios de informação: máquinas de cópia, impressoras, centrais de telefonia, computadores, servidores de rede, redes de computador, notebooks, computadores e agendas de mão, fragmentadoras, arquivos, câmeras, celulares, gravadores de mídias, catracas, crachás, serviços de vigilância, serviços de transporte de dados, serviços de telecomunicações, serviços de arquivamento, serviço de web e outros.
Informações Vitais: Consistem em informações consideradas imprescindíveis para o desenvolvimento das atividades de negócio da Avivatec, por um determinado período de tempo ou indefinidamente. Caso não possam ser utilizadas ou acessadas poderão comprometer a continuidade dos negócios ou causar grandes perdas financeiras, de imagem ou operacional. São exemplos de informações vitais: dados de identificação de funcionários e clientes, dados financeiros corporativos, dados comerciais de projetos e serviços e outros imprescindíveis para as operações da Avivatec.
Ameaça: Um fenômeno, ação ou acontecimento indesejável que pode ocorrer sobre um determinado dado ou Meio de Informação e que, se ocorrer, pode resultar em danos e perdas, comprometendo as operações e negócios. São exemplos de ameaças: greve, inundação, roubo, furto, sabotagem, espionagem, incêndio, assassinato, extorsão, fraude, alagamento, invasão e outros.
Impactos: Consistem nas consequências estimadas ou aferidas a partir de uma determinada ameaça ou ação sobre informações ou seus respectivos Meios de Informação. Podem ser representados em itens tangíveis e intangíveis tais como: prejuízos, custos adicionais, multas, danos de imagem, sanções, represálias, perda de mercado e de clientes, perda de receita, dentre outros.
Vulnerabilidades: São falhas ou deficiências nas atividades, ações ou nos processos de tratamento dos dados e/ou na operação dos meios de informação. Podem ser representadas em grupos de origem das fraquezas ou falhas, assim como podem ser operacionais, sistêmicas, organizacionais ou culturais. São exemplos de vulnerabilidades: falta de pessoal suficiente, falta de conhecimento, má configuração, não execução de uma obrigação ou atividade, esquecimento, negligência, dentre outras.
Risco: É a probabilidade de uma ou mais ameaças causarem impactos. Geralmente estão associados à exploração de vulnerabilidades ou fraquezas existentes no controle e/ou na gestão de informações ou Meios de Informação. São classificados em categorias, com o principal objetivo de priorização das ações de correção e/ou controle das vulnerabilidades.
Ambientes: São considerados como ambientes todas as instalações físicas e lógicas sobre as quais a Avivatec tem controle ou domínio de gestão e onde são executados total ou parcialmente os processos de negócio, bem como tratadas as informações. São exemplos de ambientes: websites, domínios de rede, prédios, andares, salas de reunião, escritórios, datacenters, cloud e outros.
Política: Documento que: a) trata dos assuntos estratégicos e de interesse geral; b) não contém exceções ou tratamentos diferenciados em suas definições; c) é único, alinhado a um plano diretor; d) usa linguagem simples e de fácil entendimento; e) deve ser amplamente divulgado após ser aprovado pelo nível hierárquico competente.
Normas: São documentos com uma abrangência mais restrita ou específica a uma área, processo, ativo ou recurso. As normas devem ser totalmente alinhadas e amparadas por uma Política, sustentando e embasando orientações, padrões e procedimentos para que possam ser cumpridas na íntegra. Devem definir o que pode ou não pode ser executado assim como quem deve executar, quando e onde.
Integridade: Conceito que define a garantia de que a informação seja mantida completa e em seu estado original, visando protegê-la, na guarda, tratamento, manuseio ou transmissão, contra alterações indevidas, intencionais ou acidentais e que possam afetar seu valor ou significado.
Confidencialidade: Conceito que define a garantia de que o acesso à informação será concedido ou obtido somente por pessoas autorizadas pelo Gestor ou Controlador da Informação, por um período específico e por um motivo conhecido e autorizado.
Disponibilidade: Conceito que define a garantia de que os usuários autorizados obterão acesso à informação e aos meios de informação correspondentes sempre que for necessário utilizar ou tratar a informação para uma finalidade de negócio.
DLP (Data Loss Prevention): Conceito que abrange ferramentas utilizadas no processo de prevenção e monitoramento a ocorrências de vazamento de informações por meios e plataformas eletrônicas ou digitais. Consiste em mecanismo que inspeciona atividades de envio e recebimento de arquivos e mensagens eletrônicas, buscando tipos de dados específicos contidos nas mensagens ou nos arquivos a elas anexados.
Sandbox: Mecanismo para separar em um ambiente tecnológico apartado os programas ou arquivos suspeitos com o objetivo de mitigar falhas ou verificar a integridade destes programas e arquivos.
VPN (Virtual Private Network): Tipo de conexão tecnológica entre um equipamento de TI e uma rede de TI que permite o tráfego de dados entre estas redes e computadores de forma segura, utilizando recurso de criptografia para criar um “túnel” blindado que evita que o conteúdo trafegado seja exposto ou acessado por outros.
Criptografia: Conjunto de princípios e técnicas empregados para cifrar ou codificar uma escrita ou código e torná-los ininteligíveis para os que não tenham acesso às convenções, certificados e chaves combinadas.
Backup: Processo que realiza cópias de segurança de dados e mantém estes em uma localidade lógica e física distinta do original e que poderá proporcionar a recuperação destes em casos de serem perdidos ou terem a integridade comprometida.
IPS (Intrusion Prevention System) / IDS (Intrusion Detection System): Ferramentas de software com uso voltado para segurança de uma rede de computadores que examinam o tráfego desta rede para tentar detectar e prevenir acessos não autorizados e/ou a exploração de vulnerabilidades.
Log: Também conhecido como Trilha de Auditoria, é um arquivo de registro de eventos relevantes de um ambiente ou sistema de TI, normalmente utilizado para registrar as atividades realizadas por um usuário no recurso de TI ou meio de informação a fim de verificar a responsabilidade por ações executadas pelo usuário ou para diagnóstico de problemas ou situações de não conformidade.
O Sistema de Gestão de Segurança da Informação (SGSI) implementado na Avivatec tem uma abordagem organizacional voltada à proteção das informações e de seus critérios de confidencialidade, integridade e disponibilidade.
Todas as etapas do SGSI da Avivatec devem seguir o modelo PDCA (Plan-Do-Check-Act).
Devem ser estabelecidos políticas, objetivos, processos e procedimentos para a gestão de segurança da informação e privacidade.
A partir do plano de ação oriundo do escopo do SGSI, devem-se criar indicadores e metas que contemplem os resultados esperados para o seu desempenho.
Os indicadores do SGSI devem sempre fornecer dados confiáveis para a direção da Avivatec, bem como para as demais partes interessadas, de forma que esses dados possibilitem uma análise crítica que apoie as tomadas de decisão.
A área de Segurança da Informação deve realizar o monitoramento dos indicadores de acordo com o intervalo de cada processo, visando acompanhar a maturidade de segurança alcançada e a adesão dos processos ao risco estabelecido.
Mensalmente os indicadores devem ser apresentados no Comitê de Segurança da Informação para acompanhamento.
Todas as diretrizes referentes à gestão dos indicadores de SGSI devem ser tratadas na “Norma de Indicadores do SGSI”.
Todos os ativos de informação trafegados no ambiente da Avivatec devem ser identificados, classificados e atribuídos a um gestor responsável que deverá estabelecer critérios relativos ao nível de confidencialidade da informação gerada por sua área, de acordo com os níveis abaixo:
As diretrizes de tratamento, processos e metodologia para identificação, análise e rotulagem da informação estão documentadas na “Norma de Classificação da Informação”.
O gerenciamento de ativos é de fundamental importância, pois está relacionado à forma de administrar os riscos com eficiência, tomar decisões de investimentos capazes de acarretar o máximo rendimento dos ativos, reduzir perdas e garantir confiabilidade e qualidade dentro de um mercado regulado e exigente.
As diretrizes de gestão dos ativos da Avivatec, bem como as responsabilidades de proteção adequadas com base na ISO 27001:2013, estão documentadas na “Norma de Gestão de Ativos”.
O controle de acessos lógico aos ambientes tecnológicos é uma das premissas de uma segurança de informações eficiente e efetiva, provendo tempestivamente os acessos necessários para que um colaborador execute as atividades e funções sob sua alçada e cargo, impedindo que contas de acesso e arquivos de dados sejam acessados e modificados ou apagados por pessoal não identificado e não autorizado.
Os critérios de controle do acesso lógico aos sistemas de informação e arquivos de dados da Avivatec estão documentados na “Norma de Gestão e Controle de Acessos Lógicos”.
A continuidade de negócios e a recuperação de desastres estão relacionados a conceitos de continuidade operacional, contingência, flexibilidade operacional e outros relacionados à sobrevivência da organização quando da ocorrência de situações de desastres ou de anormalidades de negócio.
As diretrizes de continuidade de negócio e recuperação de desastres da Avivatec estão documentadas na “Política de Continuidade de Negócios”.
O registro e o reporte dos incidentes de segurança da informação e de privacidade ocorridos em uma organização é essencial para que as áreas envolvidas na apuração e na tratativa do evento iniciem as ações que visem minimizar os efeitos e consequências dos eventos ocorridos assegurando a possibilidade de resolução do incidente o mais breve possível e a não perda das trilhas de auditoria.
Registrar e comunicar um incidente de forma clara, completa e correta permite a adoção de ações e contramedidas tempestivas e eficientes, além de possibilitar a elaboração de estudos específicos, baseados em lições aprendidas e estatísticas, visando implementar melhorias nos controles existentes e a adoção de novos controles para minimização das ocorrências de eventos semelhantes.
A regulamentação do reporte e do registro de incidentes de segurança da informação e de privacidade da Avivatec está documentada na “Norma de Reporte de Incidentes de Segurança da Informação”.
As boas práticas para desenvolvimento seguro devem ser a referência no ciclo de desenvolvimento de softwares da Avivatec, tanto para uso interno como para serem aplicadas nos projetos e serviços de sustentação de produtos de software prestados para os clientes.
As orientações e controles de segurança da informação adequados ao desenvolvimento dos sistemas, aplicações e aplicativos da Avivatec estão documentados no “Guia de Boas Práticas Para Desenvolvimento Seguro”.
Manter o conhecimento e a gestão das vulnerabilidades do ambiente de TI é fundamental para assegurar a integridade e a disponibilidade dos dados e dos ambientes tecnológicos envolvidos no processamento de informações, principalmente no que se refere ao acompanhamento das correções das vulnerabilidades conhecidas, dentro de um tempo adequado e aceito pelo negócio, diminuindo assim a janela de exposição.
A Avivatec reconhece a importância da gestão das vulnerabilidades tecnológicas e assegura o compromisso pleno em tratar tempestivamente todas as vulnerabilidades críticas encontradas em seus ambientes de tecnologia para manter níveis de segurança adequados aos padrões requeridos pelo mercado brasileiro para o tratamento de dados.
As diretrizes para o processo de gestão e tratamento de vulnerabilidades dos ambientes de TI da Avivatec estão documentadas na “Norma de Gestão e Tratamento de Vulnerabilidades de TI”.
Salvaguardar os ativos de dados e de sistemas do ambiente de tecnologia é uma das importantes responsabilidades compartilhadas entre a Infraestrutura e a Segurança da Informação da Avivatec. Esta atividade ocorre por meio das definições de backup e recuperação de dados que devem ser utilizadas nos sistemas tecnológicos.
É necessário assegurar o backup e a restauração de dados em todos os ambientes tecnológicos, sejam eles provenientes de sistemas, servidores, aplicações, arquivos, mensagens ou pacotes em elementos de rede. Para tanto, é necessário que ocorra a classificação correta da criticidade dos ativos de dados, bem como a definição dos atributos e permissões de acesso, da relevância do dado, do tempo de retenção, do local de armazenamento e, principalmente, das estratégias e ferramentas de backup e recuperação de dados que serão utilizadas.
A responsabilidade pelo planejamento e execução das atividades e rotinas de backup são da Segurança da Informação e da Infraestrutura, respectivamente, e ocorrem conforme as definições estabelecidas pelos gestores de negócio, incluindo a periodicidade e os horários para não comprometer o desempenho e disponibilidade do ambiente de TI.
Os controles, responsabilidades e obrigações relacionados às atividades de backup e recuperação de dados da Avivatec estão documentados na “Norma de Gestão de Backup e Restore”.
Para a contratação de terceiros prestadores de serviço, sejam pessoas físicas ou jurídicas, que pretendam iniciar um vínculo contratual com a Avivatec, é fundamental estabelecer parâmetros qualitativos mínimos.
Todo e qualquer processo de contratação de terceiros deve seguir as diretrizes de gestão de contratos da Avivatec, visando manter a isonomia e equidade do processo, a redução de riscos e o aumento da segurança jurídica e operacional da Avivatec
Os controles, responsabilidades e definições sobre os serviços de terceiros estão descritos na “Política de Gestão de Contratos”.
As penalidades para aqueles que cometerem violação desta política serão aplicadas de acordo com as sanções previstas no regime trabalhista vigente, sendo responsabilidade do Comitê de Gestão de Pessoas a avaliação da severidade das penalidades a serem aplicadas.
Em caso de terceiros e parceiros, as cláusulas do contrato ou acordo comercial devem prever as sanções disciplinares cabíveis.
Esta política entra em vigência imediatamente após sua aprovação pelo Comitê de Segurança da Informação da Avivatec e continuará em vigor até que seja atualizada quanto à versão ou revogada pela Alta Administração ou pelo Comitê de Segurança da Informação.
Todas as políticas, procedimentos e instruções de trabalho, inclusive este documento, deverão ser revisados anualmente após a data de publicação, mesmo que neste período não haja alteração nos processos, controles e responsabilidades.
A revisão deverá ocorrer em data anterior em caso de novas diretrizes definidas pelo corporativo, região, alterações legais e regulatórias, entre outras mudanças.
Este documento é de propriedade exclusiva e não pode ser divulgado total ou parcialmente para terceiros sem autorização expressa da área de Governança Corporativa da Avivatec. Seu uso está restrito aos profissionais da Avivatec e não pode ser utilizado em benefício próprio ou de terceiros.
Quaisquer situações decorrentes das informações contidas neste instrumento ou em outro derivado, que possam gerar conflitos internos ou externos, deverão ser imediatamente notificadas à área de Governança Corporativa da Avivatec para que as ações pertinentes necessárias sejam tomadas.
Esta política foi revisada, validada e aprovada pelo Comitê de Segurança da Informação da Avivatec e qualquer revisão, inclusão, alteração ou exclusão em partes deste documento deverá ser executada e aprovada em nível hierárquico equivalente.
Quaisquer dúvidas referentes a este documento devem ser endereçadas à área de Segurança da Informação pelo e-mail si@avivatec.com.br.