Política de Segurança da Informação

A informação é um dos principais bens de qualquer organização. Assim, a INOVAMIND TECH LTDA estabelece a presente política de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção das informações e de propriedade intelectual da empesa, dos clientes, dos parceiros e do público em geral.

A Política de Segurança da Informação é uma declaração formal da INOVAMIND acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores, executivos, acionistas, prestadores de serviços, consultores, auditores, temporários, fornecedores, parceiros diversos e demais contratados que estejam a serviço e disponibilizam de ativos corporativos da INOVAMIND.

Princípios de Segurança da Informação

Nosso compromisso com o tratamento adequado das informações da INOVAMIND, clientes, parceiros e público em geral está fundamentado nos seguintes princípios:

  • Confidencialidade: garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;
  • Disponibilidade: garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
  • Integridade: garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

É fundamental para a proteção e salvaguarda das informações que os usuários adotem a ação de Comportamento Seguro e consistente com o objetivo de proteção das informações, devendo assumir atitudes pró-ativas e engajadas no que diz respeito à proteção das informações.

Diretrizes de Segurança da Informação

A Segurança da Informação na INOVAMIND estabelece os principais controles, denominados diretrizes:

  • a) As informações da INOVAMIND, dos clientes, parceiros e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
  • b) A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
  • c) Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores, para que a atividade não seja executada e controlada pelo mesmo colaborador ou equipe.
  • d) O acesso às informações e recursos só deve ser feito se devidamente autorizado.
  • e) A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas.
  • f) A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades.
  • g) A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento.
  • h) Os riscos às informações da INOVAMIND devem ser reportados ao Comitê Técnico de Desenvolvimento.
  • i) As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos colaboradores, parceiros, consultores, que devem entender e assegurar estas diretrizes.

Tratamento da Informação

A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da INOVAMIND em todo o seu ciclo de vida, que compreende:

Geração, Manuseio, Armazenamento, Transporte e Descarte.

Processo de Segurança da Informação

Para assegurar que as informações tratadas estejam adequadamente protegidas, a INOVAMIND adota os seguintes processos:

 

Gestão de Ativos da Informação

Entende-se por Ativos da Informação tudo o que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e dependências físicas).
Os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, fisicamente (salas com acesso controlado) e logicamente (configurações de blindagem ou “hardening”, patch management, autenticação e autorização) e ter documentação e planos de manutenção atualizados anualmente.

Classificação da Informação

As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis:

Pública: É uma informação da INOVAMIND ou de seus clientes ou parceiros com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.

Interna: É uma informação da INOVAMIND que ela não tem interesse em divulgar, onde o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os colaboradores, consultores e prestadores de serviços da INOVAMIND.

Confidencial: É uma informação crítica para os negócios da INOVAMIND ou de seus clientes e parceiros. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, cíveis e criminais à INOVAMIND ou aos seus clientes e parceiros. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por colaboradores, clientes e/ou parceiros.

Restrita: É toda informação que pode ser acessada somente por usuários da INOVAMIND explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio de nossa empresa.

 

Gestão de Acessos

As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da INOVAMIND. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o Colaborador, parceiro ou consultor, para que seja responsabilizado por suas ações.

 

Gestão de Riscos

Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da INOVAMIND, para que sejam recomendadas as proteções adequadas. Os cenários de riscos de segurança da informação são escalonados nos fóruns apropriados, para decisão.

Tratamento de Incidentes de Segurança da Informação

Os incidentes de Segurança da Informação da INOVAMIND devem ser reportados ao Comitê Técnico de Desenvolvimento.

 

Conscientização em Segurança da Informação

A INOVAMIND promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.

 

Segurança no Desenvolvimento de Sistemas de Aplicação

O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança da INOVAMIND e às boas práticas de segurança.

 

Propriedade Intelectual

A propriedade intelectual é composta por bens imateriais, tais como: marcas, sinais distintivos, slogans publicitários, nomes de domínio, nomes empresariais, indicações geográficas, desenhos industriais, patentes de invenção e de modelo de utilidade, obras intelectuais (tais como obras literárias, artísticas e científicas, base de dados, fotografias, desenhos, ilustrações, projetos de arquitetura, obras musicais, obras audiovisuais, textos e etc.), programas de computador e segredos empresariais (inclusive segredos de indústria e comércio).

Quaisquer informações e propriedade intelectual que pertençam a INOVAMIND, ou por ela disponibilizadas, não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas, inferidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.

 

Declaração de Responsabilidade

Os Colaboradores, consultores e Prestadores de Serviços diretamente contratados pela INOVAMIND devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação.

Os contratos firmados com o INOVAMIND devem possuir cláusula que assegure a confidencialidade das informações.

 

Medidas Disciplinares

As violações a esta política estão sujeitas às sanções disciplinares previstas, nas normas internas da INOVAMIND e na legislação vigente.

 

Referências

  • Resolução BACEN nº 4658 de 26 de abril de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
  • AWS User Guide to Financial Services Regulations in Brazil – de julho de 2018.
  • Lei nº 13.709 de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais;
  • Lei nº 12.965 de 23 de abril de 2014 – Marco Civil da Internet;
  • Lei nº 12.527 de 18 de novembro de 2011, que dispõe sobre o acesso à informação;

São Paulo, 15 de abril de 2019.

InovaMind © Desde 2018 – Soluções inovadoras – Todos os direitos reservados.