Política de Segurança da Informação

1. INTRODUÇÃO

‍A Política de Segurança da Informação e Comunicações da Digitalpronto tem como objetivo principal definir as diretrizes estratégicas para as ações relativas à Segurança da Informação e Comunicações, com o intuito de preservar a confidencialidade, integridade, disponibilidade e autenticidade dos dados e informações produzidos, adquiridos, armazenados, em trânsito, descartados, de propriedade ou sob controle ou operação da Digitalpronto.

Esta Política procura estabelecer uma cultura corporativa em segurança, compatível com o uso aceitável das informações e dos ativos que as suportam, de forma a minimizar riscos e criar um ambiente seguro para a realização das atividades da Empresa.  

O cumprimento das diretrizes estabelecidas é de responsabilidade de todos os colaboradores e prestadores de serviço, e essencial para atingir níveis adequados de proteção à informação.

A Política está de acordo com as leis, regulamentação e autorregulação aplicáveis, e as Melhores Práticas de mercado. Os processos de segurança de dados e da informação devem assegurar: 

• Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais; ‍
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário; e 
• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 


‍2. ESCOPO 

‍A Política de Segurança da Informação e Comunicações da Digitalpronto aplica-se a:  Todos os ambientes computacionais, centros de processamento e ativos de informação pertencentes ou custodiados pela Digitalpronto; 

Todos os empregados, estagiários, jovens aprendizes e colaboradores de qualquer natureza jurídica e prestadores de serviços da Digitalpronto.


‍2.1. REFERÊNCIAS NORMATIVAS 

‍São referências legais e normativas desta Política:   

• ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão de Segurança da Informação – Requisitos;  
• ABNT NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Controles de Segurança da Informação;
• ABNT NBR ISO/IEC 27005:2019 – Tecnologia da Informação - Técnicas de segurança - Gestão de riscos de segurança da informação; 
• ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para classificação, rotulação e tratamento da informação; 


3. DIRETRIZES GERAIS

As diretrizes e regras adotadas pela Digitalpronto coordenam a consecução dos seguintes objetivos:

• Monitoramento eficaz da efetividade dos processos e controles implementados para mitigação dos riscos de segurança cibernética e direcionados nesta Política;
• Identificação tempestiva de riscos emergentes de segurança da informação a serem tratados;
• Otimização contínua da capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético;
• Disseminação perene de uma cultura de atenção à segurança da informação e de assimilação da proteção dos dados tratados pela Digitalpronto como premissa de qualquer desenho de processos ou soluções e como padrão essencial de qualquer procedimento operacional;


‍4. CONTROLES DE SEGURANÇA DA INFORMAÇÃO

‍O programa permanente de Segurança da Informação da Digitalpronto consiste em um amplo processo que, no horizonte dos princípios e objetivos traçados, guia a implementação de controles ou instrumentos de gestão da informação, dentre os quais se destacam: 

• Classificação dos dados e das informações: Para ser possível proteger e tratar informações de maneira adequada é necessário classificar os tipos de informações existentes na Digitalpronto. A classificação é determinada com base no valor da informação, sensibilidade, criticidade, obrigações legais e contratuais, e a Companhia define rótulos para a classificação das informações, os quais devem ser observados e aplicados internamente durante o tratamento de informação. 

• Desenvolvimento voltado para privacidade e segurança dos dados: A Digitalpronto possui equipes dedicadas à criação e otimização de instrumentos de melhoria de segurança das suas aplicações com foco em dados pessoais, observando-se exigências legais e melhores técnicas conhecidas no mercado. 

• Direito de propriedade: A Digitalpronto zela pelo respeito a todos os aspectos da propriedade intelectual presente em seu ambiente e em suas operações. É dever de todos a abstenção do uso de informações ou propriedade intelectual da Digitalpronto para fins particulares. 

• Gestão e definições de uso de ativos de informação: Ativos de informação são qualquer recurso envolvido no ciclo de vida dos dados na organização. Na Digitalpronto, esses recursos são protegidos contra acessos indevidos, e os colaboradores devem observar os cuidados inerentes a cada atividade, atuando com integridade e discernimento durante a utilização dos equipamentos da Digitalpronto, incluindo regras específicas para dispositivos móveis e conectados à sua rede. 

• Gestão de acessos: A Digitalpronto adota procedimentos formais para a gestão de acesso de todo o seu ambiente de TI, contemplando processos de Concessão, Revogação, Transferência, Revisão e Autenticação de Acessos. 

• Gestão de mudanças: A Digitalpronto adota diversos controles sobre alterações em sistemas internos e bases de dados da Companhia, incluindo procedimentos de revisão de código, de integridade e continuidade dos sistemas desenvolvidos, rastreamento, versionamento, testes e gerenciamento do ciclo de integração contínua. 

• Gestão de redes e de criptografia: Por meio da gestão das suas redes, a Digitalpronto preserva o fluxo seguro de dados entre os componentes dos seus sistemas, observando-se a segmentação das redes e o uso de padrões de configuração seguros e criptografia forte. 

• Gestão de vulnerabilidades: A Digitalpronto realiza varreduras e testes recorrentes em seu ambiente de TI, por equipe especializada em testes de segurança, para aferição de falhas e vulnerabilidades em seus sistemas, cujo tratamento é realizado por suas equipes de segurança cibernética e desenvolvimento seguro. 

• Proteção contra malware: Mecanismos de proteção são implementados contra códigos maliciosos em pontos de entrada e saída dos sistemas da Digitalpronto. Esses pontos incluem firewalls, servidores de acesso remoto, estações de trabalho, servidores de e-mail, servidores web, servidores proxy e dispositivos móveis. 

• Gestão de fornecedores: A partir de informações recebidas e verificações internas, a Digitalpronto avalia os riscos envolvidos na contratação de cada fornecedor, para garantir a conformidade com as regras de segurança cibernética e da informação da Companhia, de acordo com os serviços prestados. 

• Manutenção, análise de logs de auditoria e compliance: Trilhas de auditoria automatizadas são implantadas para os componentes de sistemas da Digitalpronto, permitindo o rastreamento de eventos de segurança, de autenticação e de ações executadas por usuários. O cumprimento desta Política e de suas normas e procedimentos agregados são auditados, periodicamente, como forma de identificar, corrigir e/ou prevenir situações inseguras para a Digitalpronto.   

• Prevenção do vazamento de informações: A Digitalpronto aplica controle de transmissão de informação em seu ambiente de TI, por meio de soluções automatizadas, que detectam, restringem e alertam a circulação indevida de dados. Os controles estão associados à classificação destas informações. 

• Plano de contingência: A Digitalpronto possui plano para recuperação segura dos dados tratados pela companhia e funcionalidades dos seus sistemas, em caso de indisponibilidade de serviços críticos de tecnologia que sustentam sua operação, e conta com backup de dados. 

• Treinamentos e conscientização em segurança da informação: Com o objetivo de disseminar o conhecimento e aprimoramento contínuo, a Digitalpronto realiza treinamentos e promove meios de conscientização periódicos relativos à Segurança da Informação, abrangendo todos os colaboradores e criando assim uma cultura de segurança da informação. 

• Gestão de incidentes: O processo de gestão de incidentes da Digitalpronto destina-se a prevenir, detectar, responder e recuperar-se diante de evento inesperado que gere algum tipo de instabilidade, violação de política ou norma interna, ou que possa causar danos à Companhia. Todos incidentes reportados no ambiente de tecnologia da Digitalpronto passam por procedimentos de identificação, análise, classificação e comunicação, de acordo com seus efeitos e com o interesse das partes envolvidas e eventualmente afetadas.Em caso de identificação, pelo público externo, de alguma inconsistência ou falha no ambiente da Digitalpronto, a Companhia disponibiliza canal para recebimento do comunicado respectivo, pelo e-mail soc@atendesimples.com.

• Comitê Gestor de Segurança da Informação  O Comitê Gestor de Segurança da Informação será composto por no mínimo cinco integrantes da Digitalpronto.  O Comitê deverá ser instalado necessariamente com a presença do Encarregado de dados (ou, na sua ausência, seu suplente), a quem caberá a sua coordenação. 


 5. VIOLAÇÃO DA POLÍTICA

‍O descumprimento das diretrizes do Programa de Segurança da Informação, definidas nesta Política, constitui ofensa grave e acarreta a aplicação de sanções em conformidade com as normas vigentes.

O colaborador ou prestador de serviço que deliberadamente deixar de notificar violações a esta política também estará sujeito às medidas mencionadas acima.


6. ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

‍Esta Política de Segurança da Informação está sujeita a alterações a qualquer momento e com efeito imediato. Sendo assim, recomendamos que visite esta página sempre que possível para esclarecimentos e obtenção de informações atualizadas.

‍


Versão atualizada em 30 janeiro de 2022