- Objetivo
Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da CAF e de seus clientes. Posiciona-se como documento estratégico para promover o uso seguro dos ativos de informação da CAF. Assim, deve ser entendida como uma declaração formal da empresa acerca de seu compromisso com a proteção das informações sobre sua custódia, devendo ser cumprida por todos os colaboradores, incluindo terceirizados.
- Escopo e Premissas
Esta política delineia diretrizes abrangentes para a proteção das informações, garantindo os princípios fundamentais de confidencialidade, integridade e disponibilidade. Seu escopo envolve a totalidade das operações da CAF e estabelece premissas essenciais para a preservação da segurança da informação em todos os níveis da organização.
- Abrangência e Aplicabilidade
Esta Política se aplica a todas as áreas e colaboradores da CAF, independentemente de seu nível hierárquico. A observância destas diretrizes é obrigatória e reflete a Governança Corporativa acerca dos temas de Segurança da Informação Corporativa da CAF.
- Definições
Segurança da Informação: visa a preservar as propriedades de confidencialidade, integridade, disponibilidade, não se limitando a sistemas computacionais, informações, sejam elas em meio eletrônico, físico ou mesmo acessadas de forma verbal, bem como os sistemas de armazenamento.
- Diretrizes
A CAF é comprometida com a observância da legislação em vigor aplicável. Para orientar suas atividades empresariais de maneira eficaz, é essencial estabelecer uma Política de Segurança da Informação estruturada e transparente, promovendo aderência e conformidade.
5.1. Pilares da Segurança da Informação
A segurança da informação é aqui caracterizada pela preservação dos seguintes pilares:
Confidencialidade: A CAF visa garantir que o acesso às informações da companhia, de seus clientes, fornecedores e terceiros sejam obtidos somente por pessoas autorizadas e quando o acesso de fato for necessário.
Integridade: A CAF visa garantir a exatidão e a completude das informações e dos métodos de seu processamento, bem como a integridade dos dados de clientes que estejam sob sua responsabilidade.
Disponibilidade: A CAF visa garantir que a informação esteja sempre disponível aos profissionais que de fato possuam o acesso necessário para tal e assegure que os dados estejam disponíveis de acordo com o nível de acordo de serviço contratado pelos clientes.
5.2. Aspectos Gerais
As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da CAF, não podendo ser interpretado como de uso pessoal.
As informações de clientes e terceiros, devem ser tratadas de forma ética e sigilosa, de acordo com as leis vigentes.
As informações de clientes e terceiros devem ser utilizadas somente para os fins para os quais foram autorizados.
É crucial que todos os colaboradores, incluindo os terceirizados, estejam cientes de que o uso das informações e dos sistemas de informação pode ser monitorado. Os registros obtidos desse monitoramento podem ser utilizados como evidência em investigações de processo.
A CAF mantém um compromisso com o cliente em adotar técnicas e meios de segurança mais adequados e disponíveis em relação à segurança dos dados trafegados, processados e/ou armazenados nos sistemas da CAF.
Os colaboradores devem possuir uma identificação única (física e lógica), pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações.
Somente profissionais autorizados devem possuir acesso às informações da CAF e de seus clientes.
Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de uma pessoa ou equipe.
Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades.
Informações confidenciais como senhas e/ou qualquer informação que o profissional possua em seu poder durante exercício do seu cargo devem sempre ser mantidas de forma secreta, sendo terminantemente proibido seu compartilhamento.
As responsabilidades no que tange à garantia dos pilares da segurança da informação devem ser amplamente divulgadas na CAF fazendo valer firmemente a aplicação das diretrizes aqui descritas.
Essa política é apoiada por um conjunto de normativas e procedimentos de segurança da informação estabelecidos pela CAF.
A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os titulares de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.
A CAF está comprometida com a melhoria contínua de sua abordagem para segurança da informação, através da implementação, manutenção e melhoria do seu sistema de gestão de segurança da informação conforme a ISO/IEC 27001.
5.3. Gestão de Acessos e Identidade
Os acessos lógicos dos colaboradores, incluindo terceirizados, devem ser controlados de forma que somente às informações necessárias ao desempenho de suas atividades estejam disponíveis, mediante aprovação formal.
O acesso físico dos colaboradores, incluindo terceirizados e visitantes aos locais que possuem recursos tecnológicos da CAF deve ser controlado, mediante aprovação formal.
5.4. Tratamento da Informação
Para assegurar a proteção adequada às informações da CAF, implementamos um método de classificação e rotulagem da informação de acordo com o grau de confidencialidade e criticidade para os negócios da CAF:
- A classificação deve seguir os seguintes rótulos: Restrita, Confidencial, Interna ou Pública, considerando assim, as necessidades relacionadas ao negócio;
- Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da CAF em todo o seu ciclo de vida, que abrange geração, manuseio, armazenamento, transporte e descarte;
- A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes ou terceiros de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.
5.5. Gestão de Riscos, Objetivos e Incidentes de Segurança da Informação
Os riscos devem ser identificados por meio de um processo estabelecido para Avaliação dos Riscos de Segurança da Informação que afetem o negócio e/ou suas estratégias, alinhados com o contexto do negócio de forma a preservar e proteger adequadamente a CAF.
Os incidentes de Segurança da Informação devem ser analisados, tratados, registrados, monitorados e reportados ao solicitante.
5.6. Treinamentos de Conscientização
A CAF realiza treinamentos de forma regular e periódica de conscientização em Segurança da Informação e as ações possuem diferentes formatos e abrange diferentes públicos, podendo ser, mas não se limitando a: Treinamento Presencial ou Regular, EAD, Campanhas de Engenharia Social e Simulados de Phishing.
- Responsabilidades
6.1 Todos os colaboradores, incluindo terceirizados:
- Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da CAF;
- Realizar os treinamentos obrigatórios disponibilizados pela CAF;
- Proteger as informações contra acessos, modificações, destruição ou divulgação não autorizada pela CAF;
- Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela CAF;
- Cumprir as leis e as normas que regulamentam a propriedade intelectual e concorrência desleal;
- Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões em blogs e redes sociais;
- Não compartilhar suas credenciais de acesso aos Sistemas da CAF com terceiros, inclusive outros colaboradores, exceto em caso de necessidade de suporte pela equipe de Segurança/TI;
- Comunicar imediatamente à área de Segurança da Informação sobre qualquer descumprimento ou violação desta Política, através do e-mail: [email protected], bem como reportar quaisquer incidentes de Segurança da Informação.
6.2 Segurança da Informação
- Prover ampla divulgação e revisão da Política, Normas e Procedimentos de Segurança da Informação para todos os colaboradores, incluindo terceirizados;
- Promover ações de conscientização sobre Segurança da Informação para todos os colaboradores;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento da segurança da informação da CAF;
- Administrar e Monitorar os sistemas e controles aplicados sob gerência da área de Segurança da Informação da CAF e seus clientes;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento da segurança da informação aos clientes da CAF.
6.3 Facilities
- Gerenciar o acesso físico às dependências da CAF.
6.4 Privacidade e DPO
- Orientar a CAF quanto à adoção de melhores práticas de acordo com as leis de proteção de dados;
- Monitorar e propor soluções de mitigação de riscos relacionados à privacidade;
- Educar os colaboradores dentro das melhores práticas de proteção de dados;
- Ser o ponto de comunicação entre a CAF, os titulares de dados e autoridades governamentais.
6.5 Compliance
- Revisar e validar as Políticas verificando se as mesmas estão de acordo com a legislação em vigor;
- Comunicar eventuais alterações legislativas que demandem ajustes na Políticas de Segurança da Informação;
- Dar suporte aos demais times, na condução de casos de descumprimento das Políticas de Segurança da Informação, inclusive na proposição de medidas legais, quando cabíveis;
- Apoiar as demais áreas na adoção de medidas de contenção em caso de incidentes de uso indevido de dados.
- Exceções
Os colaboradores que precisem obter uma exceção a esta Política deverão enviar uma explicação detalhada da solicitação com a aprovação do seu líder para análise, documentação e aprovação pela área de Segurança da Informação e da direção da empresa. As solicitações devem ser feitas através da abertura de chamado para a área de Segurança da Informação.
Quando autorizadas pelo Time de Segurança, os atos praticados em exceção às previsões destas Política e de seus Documentos de Apoio, o usuário poderá ser responsabilizado, caso verificada a prática de atos que possam causar danos à CAF, seus clientes ou terceiros.
- Sanções
Em caso de não cumprimento das regras estabelecidas nesta Política por parte de colaboradores ou terceirizados, serão aplicadas as sanções descritas no Código de Ética/Conduta da CAF. A severidade das sanções será determinada conforme o grau de gravidade da conduta praticada pelo colaborador.
- Disposições finais
A área de Segurança da Informação deve supervisionar o cumprimento desta Política, remetendo eventuais casos à diretoria. Em situações de dúvidas relacionadas a esta política, recomenda-se entrar em contato com a área de Segurança da Informação por meio do e-mail [email protected].
- Referências
Integram a presente Política de Segurança da Informação, para os fins legais, e devem ser igualmente observadas as previsões dos seguintes Documentos de Apoio a esta PSI:
- Código de Conduta & Ética;
- Norma ISO/IEC 27001;
- Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018;
- Política de classificação das Informações;
- Padrão de descarte seguro de Informações sensíveis;
- Política de Uso de Equipamentos;
- Procedimento de Violação de Dados Pessoais e Gestão de Incidentes de Segurança da Informação;
- Termo de aceite de Risco de Segurança da Informação.
- Histórico de Versões
Documento de propriedade da CAF.
.svg)
.svg)
.svg)
.svg){kind=logo}
.svg){kind=logo}