Política de Segurança da Informação

1. INTRODUÇÃO

A Política de Segurança da Informação e Comunicações da Digitalpronto tem como objetivo principal definir as diretrizes estratégicas para as ações relativas à Segurança da Informação e Comunicações, com o intuito de preservar a confidencialidade, integridade, disponibilidade e autenticidade dos dados e informações produzidos, adquiridos, armazenados, em trânsito, descartados, de propriedade ou sob controle ou operação da Digitalpronto.

Esta Política procura estabelecer uma cultura corporativa em segurança, compatível com o uso aceitável das informações e dos ativos que as suportam, de forma a minimizar riscos e criar um ambiente seguro para a realização das atividades da Empresa.  

O cumprimento das diretrizes estabelecidas é de responsabilidade de todos os colaboradores e prestadores de serviço, e essencial para atingir níveis adequados de proteção à informação.

A Política está de acordo com as leis, regulamentação e autorregulação aplicáveis, e as Melhores Práticas de mercado. Os processos de segurança de dados e da informação devem assegurar: 

Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais; 

Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário; e 

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 


2. ESCOPO 

A Política de Segurança da Informação e Comunicações da Digitalpronto aplica-se a:  Todos os ambientes computacionais, centros de processamento e ativos de informação pertencentes ou custodiados pela Digitalpronto; 

Todos os empregados, estagiários, jovens aprendizes e colaboradores de qualquer natureza jurídica e prestadores de serviços da Digitalpronto.


2.1. REFERÊNCIAS NORMATIVAS 

São referências legais e normativas desta Política:   

ABNT NBR ISO/IEC 27001:2013–Tecnologia da Informação–Técnicas de Segurança– Sistemas de Gestão de Segurança da Informação – Requisitos;  

ABNT NBR ISO/IEC 27002:2013–Tecnologia da Informação–Técnicas de Segurança– Código de Prática para Controles de Segurança da Informação;

 ABNT NBR ISO/IEC 27005:2019–Tecnologia da Informação—Técnicas de segurança—Gestão de riscos de segurança da informação; 

ABNT NBR 16167:2013–Segurança da Informação–Diretrizes para classificação, rotulação e tratamento da informação; 

ABNT NBR ISO/IEC 31000: 2018-Gerenciamento de Riscos;Resolução do BACEN 4658/18.


3.
DIRETRIZES GERAIS

As diretrizes e regras adotadas pela Digitalpronto coordenam a consecução dos seguintes objetivos:

⦿ Monitoramento eficaz da efetividade dos processos e controles implementados para mitigação dos riscos de segurança cibernética e direcionados nesta Política;

⦿ Identificação tempestiva de riscos emergentes de segurança da informação a serem tratados;

⦿ Otimização contínua da capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético;

⦿ Disseminação perene de uma cultura de atenção à segurança da informação e de assimilação da proteção dos dados tratados pela Digitalpronto como premissa de qualquer desenho de processos ou soluções e como padrão essencial de qualquer procedimento operacional.


4. CONTROLES DE SEGURANÇA DA INFORMAÇÃO

O programa permanente de Segurança da Informação da Digitalpronto consiste em um amplo processo que, no horizonte dos princípios e objetivos traçados, guia a implementação de controles ou instrumentos de gestão da informação, dentre os quais se destacam: 

Classificação dos dados e das informações: Para ser possível proteger e tratar informações de maneira adequada é necessário classificar os tipos de informações existentes na Digitalpronto. A classificação é determinada com base no valor da informação, sensibilidade, criticidade, obrigações legais e contratuais, e a Companhia define rótulos para a classificação das informações, os quais devem ser observados e aplicados internamente durante o tratamento de informação. 

Desenvolvimento voltado para privacidade e segurança dos dados: A Digitalpronto possui equipes dedicadas à criação e otimização de instrumentos de melhoria de segurança das suas aplicações com foco em dados pessoais, observando-se exigências legais e melhores técnicas conhecidas no mercado. 

Direito de propriedade: A Digitalpronto zela pelo respeito a todos os aspectos da propriedade intelectual presente em seu ambiente e em suas operações. É dever de todos a abstenção do uso de informações ou propriedade intelectual da Digitalpronto para fins particulares. 

Gestão e definições de uso de ativos de informação: Ativos de informação são qualquer recurso envolvido no ciclo de vida dos dados na organização. Na Digitalpronto, esses recursos são protegidos contra acessos indevidos, e os colaboradores devem observar os cuidados inerentes a cada atividade, atuando com integridade e discernimento durante a utilização dos equipamentos da Digitalpronto, incluindo regras específicas para dispositivos móveis e conectados à sua rede. 

Gestão de acessos: A Digitalpronto adota procedimentos formais para a gestão de acesso de todo o seu ambiente de TI, contemplando processos de Concessão, Revogação, Transferência, Revisão e Autenticação de Acessos. 

Gestão de mudanças: A Digitalpronto adota diversos controles sobre alterações em sistemas internos e bases de dados da Companhia, incluindo procedimentos de revisão de código, de integridade e continuidade dos sistemas desenvolvidos, rastreamento, versionamento, testes e gerenciamento do ciclo de integração contínua. 

Gestão de redes e de criptografia: Por meio da gestão das suas redes, a Digitalpronto preserva o fluxo seguro de dados entre os componentes dos seus sistemas, observando-se a segmentação das redes e o uso de padrões de configuração seguros e criptografia forte. 

Gestão de vulnerabilidades: A Digitalpronto realiza varreduras e testes recorrentes em seu ambiente de TI, por equipe especializada em testes de segurança, para aferição de falhas e vulnerabilidades em seus sistemas, cujo tratamento é realizado por suas equipes de segurança cibernética e desenvolvimento seguro. 

Proteção contra malware: Mecanismos de proteção são implementados contra códigos maliciosos em pontos de entrada e saída dos sistemas da Digitalpronto. Esses pontos incluem firewalls, servidores de acesso remoto, estações de trabalho, servidores de e-mail, servidores web, servidores proxy e dispositivos móveis. 

Gestão de fornecedores: A partir de informações recebidas e verificações internas, a Digitalpronto avalia os riscos envolvidos na contratação de cada fornecedor, para garantir a conformidade com as regras de segurança cibernética e da informação da Companhia, de acordo com os serviços prestados. 

Manutenção, análise de logs de auditoria e compliance: Trilhas de auditoria automatizadas são implantadas para os componentes de sistemas da Digitalpronto, permitindo o rastreamento de eventos de segurança, de autenticação e de ações executadas por usuários. O cumprimento desta Política e de suas normas e procedimentos agregados são auditados, periodicamente, como forma de identificar, corrigir e/ou prevenir situações inseguras para a Digitalpronto.   

Prevenção do vazamento de informações: A Digitalpronto aplica controle de transmissão de informação em seu ambiente de TI, por meio de soluções automatizadas, que detectam, restringem e alertam a circulação indevida de dados. Os controles estão associados à classificação destas informações. 

Plano de contingência: A Digitalpronto possui plano para recuperação segura dos dados tratados pela companhia e funcionalidades dos seus sistemas, em caso de indisponibilidade de serviços críticos de tecnologia que sustentam sua operação, e conta com backup de dados. 

Treinamentos e conscientização em segurança da informação: Com o objetivo de disseminar o conhecimento e aprimoramento contínuo, a Digitalpronto realiza treinamentos e promove meios de conscientização periódicos relativos à Segurança da Informação, abrangendo todos os colaboradores e criando assim uma cultura de segurança da informação. 

Gestão de incidentes: O processo de gestão de incidentes da Digitalpronto destina-se a prevenir, detectar, responder e recuperar-se diante de evento inesperado que gere algum tipo de instabilidade, violação de política ou norma interna, ou que possa causar danos à Companhia. Todos incidentes reportados no ambiente de tecnologia da Digitalpronto passam por procedimentos de identificação, análise, classificação e comunicação, de acordo com seus efeitos e com o interesse das partes envolvidas e eventualmente afetadas.Em caso de identificação, pelo público externo, de alguma inconsistência ou falha no ambiente da Digitalpronto, a Companhia disponibiliza canal para recebimento do comunicado respectivo, pelo e-mail soc@atendesimples.com.

Comitê Gestor de Segurança da Informação  O Comitê Gestor de Segurança da Informação será composto por no mínimo cinco integrantes da Digitalpronto.  O Comitê deverá ser instalado necessariamente com a presença do Encarregado de dados (ou, na sua ausência, seu suplente), a quem caberá a sua coordenação. 


 5.
VIOLAÇÃO DA POLÍTICA

O descumprimento das diretrizes do Programa de Segurança da Informação, definidas nesta Política, constitui ofensa grave e acarreta a aplicação de sanções em conformidade com as normas vigentes.

O colaborador ou prestador de serviço que deliberadamente deixar de notificar violações a esta política também estará sujeito às medidas mencionadas acima.


6.
ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Esta Política de Segurança da Informação está sujeita a alterações a qualquer momento e com efeito imediato. Sendo assim, recomendamos que visite esta página sempre que possível para esclarecimentos e obtenção de informações atualizadas.


Versão atualizada em 30 dezembro de 2021