Atualizado em 22 de setembro de 2020.
A informação é um dos principais bens de qualquer organização. Assim, a INOVAMIND TECH LTDA estabelece a presente política de Segurança da Informação (“Política”), a fim de garantir a aplicação dos princípios e diretrizes de proteção das informações e de propriedade intelectual da empresa, dos clientes, dos parceiros e do público em geral.
A Política de Segurança da Informação é uma declaração formal da INOVAMIND acerca de seu compromisso com a proteção das informações de sua propriedade e/ou
sob sua guarda, devendo ser cumprida por todos os seus colaboradores, executivos, acionistas, prestadores de serviços, consultores, auditores, temporários, fornecedores, representantes, distribuidores, parceiros diversos e demais contratados que estejam a serviço e/ou de algum modo disponibilizem os ativos corporativos da INOVAMIND.
Lembramos que esta Política pode ser alterada a qualquer momento, de tempos em tempos, sendo que a última versão sempre estará disponível no seguinte link: https://inovamind.com.br/politica-seguranca-de-informacao/. As alterações serão aplicáveis desde o momento em que forem disponibilizadas no site.
Esta Política deve ser lida e entendida em conjunto a Política de Privacidade de Dados disponível no link: https://inovamind.com.br/uso-de-dados/.
Em caso de dúvidas, pedimos a gentileza de entrar em contato conosco a qualquer momento pelo nosso site (www.inovamind.com.br) e por e-mail (contato@inovamind.com.br).
I. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
Nosso compromisso com o tratamento adequado das informações coletadas e tratadas pela INOVAMIND, clientes, parceiros e público em geral está fundamentado nos seguintes princípios:
- Confidencialidade: garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;
- Disponibilidade: garantimos que as pessoas autorizadas e titulares de dados tenham acesso à informação sempre que necessário;
- Integridade: garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.
É fundamental para a proteção e salvaguarda das informações que os usuários das aplicações, soluções e plataformas da InovaMind adotem a ação de Comportamento Seguro e consistente com o objetivo de proteção das informações, devendo assumer atitudes pró-ativas e engajadas no que diz respeito à proteção das informações.
II. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO
A INOVAMIND estabelece os seguintes controles para realizar a Segurança da Informação, também denominados “diretrizes”:
-
- a) As informações coletadas e tratadas pela INOVAMIND, assim como dos clientes, parceiros e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida;
-
- b) A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;
-
- c) Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores, para que a atividade não seja executada e controlada pelo mesmo colaborador ou equipe;
-
- d) O acesso às informações e recursos só deve ser feito se devidamente autorizado ou mediante o enquadramento em bases legais que permitam o acesso com seu o consentimento;
-
- e) A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
-
- f) A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;
-
- g) A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento;
-
- h) Os riscos às informações da INOVAMIND devem ser reportados ao Comitê Técnico de Desenvolvimento, mediante envio de e-mail para jung.park@inovamind.com.br, Encarregado de Dados da INOVAMIND;
-
- i) As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos colaboradores, parceiros, consultores, que devem entender e assegurar estas diretrizes.
III. TRATAMENTO DA INFORMAÇÃO
A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da INOVAMIND em todo o seu ciclo de vida, que compreende: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
IV. PROCESSO DE SEGURANÇA DA INFORMAÇÃO
Para assegurar que as informações tratadas estejam adequadamente protegidas, a INOVAMIND adota os seguintes processos:
-
- a) Gestão de Ativos da Informação
Entende-se por Ativos da Informação tudo o que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e dependências físicas).
Os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, fisicamente (salas com acesso controlado) e logicamente (configurações de blindagem ou “hardening”, patch management, autenticação e autorização) e ter documentação e planos de manutenção atualizados anualmente.
- a) Gestão de Ativos da Informação
-
- b) Classificação da Informação
- As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis:
- Pública: É uma informação da INOVAMIND ou de seus clientes ou parceiros com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.
-
- Interna: É uma informação da INOVAMIND que ela não tem interesse em divulgar, onde o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da INOVAMIND, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os colaboradores, consultores e prestadores de serviços da INOVAMIND.
-
- Confidencial: É uma informação crítica para os negócios da INOVAMIND ou de seus clientes e parceiros. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, cíveis e criminais à INOVAMIND ou aos seus clientes e parceiros. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por colaboradores, clientes e/ou parceiros.
-
- Restrita: É toda informação que pode ser acessada somente por usuários da INOVAMIND explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio de nossa empresa.
- Ressalta-se que todos os dados pessoais que a INOVAMIND possui em seu banco de dados respeita as disposições da Lei Geral de Proteção de Dados, bem como é garantido a todos os seus titulares os regulares exercícios de opt-in e opt-out previstos na referida Lei. Maiores informações podem ser verificadas em nossa Política de Privacidade de Dados disponível no link: https://inovamind.com.br/uso-de-dados.
-
- c) Gestão de Acessos
As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da INOVAMIND. - Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, parceiro ou consultor, para que seja responsabilizado por suas ações.
- c) Gestão de Acessos
-
- d) Gestão de Riscos
Os riscos são identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da INOVAMIND, para que sejam recomendadas as proteções adequadas. - Os cenários de riscos de segurança da informação são escalonados nos fóruns apropriados, para decisão interna da INOVAMIND.
- d) Gestão de Riscos
-
- e) Tratamento de Incidentes de Segurança da Informação
Os incidentes de Segurança da Informação da INOVAMIND devem ser reportados ao Comitê Técnico de Desenvolvimento mediante envio de e-mail para jung.park@inovamind.com.br, Encarregado de Dados da INOVAMIND. - Os incidentes de Segurança da Informação que envolvam os dados pessoais protegidos pela Lei Geral de Proteção de Dados, devem ser imediatamente comunicados para o Encarregado de Dados da InovaMind, mediante envio de e-mail para jung.park@inovamind.com.br;
- e) Tratamento de Incidentes de Segurança da Informação
-
- f) Conscientização em Segurança da Informação
A INOVAMIND promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação para todos os seus administradores, colaboradores, consultores, parceiros, distribuidores, representantes comercias e demais contratados, com o objetivo de fortalecer a cultura de Segurança da Informação.
- f) Conscientização em Segurança da Informação
-
- g) Segurança no Desenvolvimento de Sistemas de Aplicação
O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança da INOVAMIND e às boas práticas de segurança.
- g) Segurança no Desenvolvimento de Sistemas de Aplicação
V. PROPRIEDADE INTELECTUAL
O conceito de propriedade intelectual envolve os bens imateriais, tais como: marcas, sinais distintivos, slogans publicitários, nomes de domínio, nomes empresariais, indicações geográficas, desenhos industriais, patentes de invenção e de modelo de utilidade, obras intelectuais (tais como obras literárias, artísticas e científicas, base de dados, fotografias, desenhos, ilustrações, projetos de arquitetura, obras musicais, obras audiovisuais, textos e etc.), programas de computador e segredos empresariais (inclusive segredos de indústria e comércio).
Quaisquer informações e propriedade intelectual que pertençam a INOVAMIND, ou por ela disponibilizadas, não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas, inferidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.
VI. DECLARAÇÃO DE RESPONSABILIDADE
Os administradores, colaboradores, consultores, parceiros, distribuidores, representantes comerciais e demais contratados pela INOVAMIND devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação e Privacidade de Uso de Dados.
Todos os contratos firmados com a INOVAMIND possuem cláusula que assegure a confidencialidade das informações.
VII. MEDIDAS DISCIPLINARES
Quaisquer violações à esta Política sujeitará os infratores às sanções disciplinares previstas nas normas internas da INOVAMIND, bem como demais sanções no âmbito criminal, trabalhista e cível, conforme aplicável.
VIII. REFERÊNCIAS
- Resolução BACEN nº 4658 de 26 de abril de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
- AWS User Guide to Financial Services Regulations in Brazil – de julho de 2018.
- Lei nº 13.709 de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais;
- Lei nº 12.965 de 23 de abril de 2014 – Marco Civil da Internet;
- Lei nº 12.527 de 18 de novembro de 2011, que dispõe sobre o acesso à informação;
- Demais legislações aplicáveis.