Última atualização: 01 de agosto de 2023
Política de Segurança da Informação
1. Objetivo.
A Política de Segurança da Informação tem como objetivo definir as diretrizes e responsabilidades que norteiam a proteção dos ativos de informação da GSS CARBON ("GSS"), estabelecendo normas e procedimentos para o Sistema de Gestão de Segurança da Informação, visando preservar a confidencialidade, integridade e disponibilidade das informações.
2. Abrangência.
Esta política destina-se a todas as áreas da empresa, colaboradores, parceiros externos e prestadores de serviços.
É exigido um termo de responsabilidade e ciência em que os usuários se comprometem a agir de acordo com a Política de Segurança da Informação.
Para os colaboradores e parceiros externos, o termo é assinado no ato da contratação. Para os contratos firmados com empresas terceiras, é exigida cláusula específica assegurando o compromisso com a confidencialidade das informações da GSS.
3. Conceitos e definições.
-
Segurança da Informação: Processos e metodologias que são projetados, implementados, mantidos e atualizados para assegurar a confidencialidade, integridade e disponibilidade das informações através da tecnologia, pessoas e processos a fim de detectar, prevenir e responder às ameaças.
-
Usuários: Indivíduo, ou processo (sistema) agindo em nome de um indivíduo autorizado pelo proprietário do ativo da informação para os respectivos acessos.
-
Confidencialidade: É a propriedade da informação com o fim de assegurar que as informações não serão divulgadas a pessoas, processos ou tecnologias não autorizadas.
-
Disponibilidade: É a propriedade da informação com o fim de assegurar o acesso estável às informações sempre que necessário para usuários autorizados.
-
Integridade: É a propriedade da informação com o fim de assegurar que as informações não tenham sido alteradas acidental ou deliberadamente e que sejam precisas e completas.
-
Proprietário de Ativos de Informação: É o usuário com responsabilidade direta sobre determinados ativos de informação da GSS.
-
Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.
-
Dados Pessoais Sensíveis: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
4. Papéis e responsabilidades.
As responsabilidades do grupo de Segurança da Informação (composto por membros da diretoria, membros equipe de tecnologia e jurídico) são:
-
Conduzir os esforços estratégicos para cumprimento dos objetivos de Segurança da Informação para toda a GSS;
-
Estabelecer mecanismos de proteção com vistas a prevenir, detectar, reduzir, e mitigar as vulnerabilidades nos ativos de informação;
-
Realizar ações com a finalidade de prevenir a ocorrência de incidentes de segurança;
-
Orquestrar rotinas e procedimentos necessários para a resposta de incidentes;
-
Realizar o monitoramento contínuo e detecção de ataques cibernéticos;
-
Certificar o controle de acesso adequado dos usuários, impedindo acessos indevidos e/ou em demasia e liberando apenas os acessos devidamente autorizados;
-
Garantir que os prestadores de serviços terceirizados e relevantes cumpram com nossas políticas e normas de segurança, bem como as obrigações regulamentares aplicáveis;
-
Garantir a conscientização da equipe através de treinamentos mandatórios e avaliações periódicas; e
-
Revisar, anualmente, esta Política.
As responsabilidades dos Usuários são:
-
Conhecer e cumprir rigorosamente a Política de Segurança da Informação, bem como toda a documentação correlata;
-
Manter seus dispositivos, computadores, smartphones, etc., próprios ou fornecidos pela organização, atualizados e protegidos de acordo com as melhores práticas e recomendações;
-
Zelar pela segurança de suas credenciais (nome de usuário, senha, múltiplo fator de autenticação e chaves privadas) corporativas, departamentais ou de rede;
-
Responder pela utilização inadequada dos direitos de acesso concedidos (e-mail, sistemas, internet, correio eletrônico), inclusive de outros usuários que estão sob sua gestão e/ou responsabilidade;
-
Participar das campanhas de conscientização de segurança da informação.
As responsabilidades dos Proprietários de Ativos de Informação são:
-
Salvo exceções, os gestores das áreas são os proprietários dos ativos de informação sob responsabilidade da sua área de atuação, e devem:
-
Cumprir e transmitir as suas equipes as disposições estabelecidas pela Política de Segurança da Informação a fim de que o mesmo tenha ampla divulgação no ambiente de trabalho;
-
Garantir que as inconformidades ocorridas em suas áreas sejam identificadas e reportadas, e que sejam adotadas as medidas corretivas apropriadas conforme controles de segurança da informação;
-
Realizar os procedimentos adequados para desligamento e encerramentos contratuais vigentes;
-
Proteger os ativos de sua área (físico e lógico), de acordo com os critérios de classificação das informações definidos pela Instituição;
-
Aplicar sanções àqueles que deliberadamente violarem as determinações desta Política, suas Normas e Instruções, mediante orientação da área de Segurança da Informação;
-
Avaliar as solicitações de acesso considerando a premissa de privilégio mínimo, que consiste em aprovar apenas os acessos essenciais com o fim de evitar permissões em demasia e desnecessárias.
5. Classificação da informação.
As informações da GSS devem ser classificadas em níveis, de acordo com a sua criticidade.
Devem ser consideradas as necessidades de negócio e de compartilhamento ou restrição de acesso, com análise de impactos em relação ao uso indevido das informações.
Os níveis de classificação da informação são:
-
Confidencial: Nível de classificação mais alto. São informações que podem comprometer as operações da organização, tanto em nível financeiro como em competitividade ou reputação e exige aprovação do(a) proprietário(a) do ativo de informação.
-
Restrita: Nível de confidencialidade médio. São informações estratégicas que devem ficar disponíveis apenas para determinados grupos de pessoas que obtiveram o acesso aprovado pelo(a) proprietário(a) do ativo da informação.
-
Interna: Nível de confidencialidade baixo. São informações que podem ser compartilhadas entre todos colaboradores e parceiros da GSS, mas não devem ser compartilhadas publicamente.
-
Pública: Nível de confidencialidade inexistente. São informações que não exigem sigilo e podem ser divulgadas para o público em geral, sem impacto ao negócio.
6. Diretrizes gerais.
A informação é um ativo que possui extremo valor e importância para a GSS e seus negócios.
As lideranças da GSS estão comprometidas e apoiam as metas e princípios de segurança da informação.
As informações da GSS, dos seus clientes, e parceiros de negócios são tratadas e protegidas de forma ética e transparente, de acordo com as leis vigentes, regulações aplicáveis, e normas internas, apenas para a finalidade de negócio.
Os acessos às informações e recursos serão concedidos apenas se houver a devida autorização da pessoa proprietária do ativo de informação em questão e do(a) líder da pessoa que solicitou o acesso.
Para a concessão de acessos deve ser aplicado o conceito de privilégio mínimo, com acesso apenas aos recursos e informações imprescindíveis para a execução das atividades profissionais pertinentes à GSS.
A classificação das informações deve respeitar o ciclo de vida da informação desde a sua geração até o descarte. A rotulagem e o manuseio apropriado da informação e os seus ativos relacionados, no formato físico e eletrônico, deve ser realizado refletindo os níveis de classificação das informações conforme estabelecidos.
Os ativos de informação devem ser identificados, inventariados e protegidos de acessos indevidos. Devem possuir documentação e rotinas de manutenção atualizadas.
Qualquer informação ou produto resultante do trabalho dos usuários, no escopo de suas atividades contratadas, é de propriedade da GSS. Ao término do contrato de trabalho, os usuários devem manter as informações privadas e produtos gerados, salvo por cláusula contratual prevista, sob posse da GSS.
A GSS se reserva o direito de monitorar, inspecionar ou auditar o acesso e o uso de aplicativos e informações de sua propriedade ou sob sua guarda com ou sem o consentimento, presença ou conhecimento dos usuários, mas respeitando aspectos legais.
Nenhum software utilizado pela GSS para controle e proteção de suas informações pode ser alterado ou desabilitado pelos Usuários.
Os procedimentos para desenvolvimento de aplicações e sistemas devem seguir as boas práticas de mercado para a segurança, garantindo que a segurança da informação esteja projetada e implementada no ciclo de vida do desenvolvimento dos sistemas de informação.
7. Desenvolvimento de sistemas.
Os sistemas desenvolvidos pela GSS devem dispor de três ambientes segregados, voltados ao desenvolvimento interno, homologação e regime de produção.
O desenvolvimento de sistemas deve ser realizado em conformidade com as normas, diretrizes e padrões definidos internamente, bem como estar de acordo com a Política de Segurança da Informação.
Os procedimentos para desenvolvimento de aplicações e sistemas devem seguir as boas práticas de mercado para a segurança, garantindo que a segurança da informação esteja projetada e implementada no ciclo de vida do desenvolvimento dos sistemas de informação.
As manutenções de sistemas já implantados que impliquem em mudanças significativas nos mesmos e/ou no ambiente, devem incluir no seu planejamento o gerenciamento dos riscos envolvidos.
Todos os produtos gerados durante o ciclo de vida de desenvolvimento de sistemas devem estar hospedados em repositórios sujeitos a mecanismos de controle de acesso, garantindo que somente colaboradores autorizados tenham acesso a estes produtos. Os códigos-fonte de programas devem ser armazenados utilizando sistemas de controle de fontes.
Norma específica para desenvolvimento de sistemas deve definir os critérios de segurança necessários aos sistemas, bem como os processos a serem incluídos na metodologia de desenvolvimento de sistemas, para garantir a segurança da informação dos novos sistemas e daqueles em manutenção, durante todo o ciclo de vida dos sistemas. Quanto mais cedo os critérios de segurança forem definidos, menores são os custos e os riscos envolvidos na sua entrega.
Todos os sistemas e plataformas desenvolvidos devem contar com uma solução de backup e recuperação de dados. O procedimento para recuperação de dados deve ser claramente documentado e testado regularmente.
Com relação à aceitação do sistema e sua implantação em ambiente de produção é necessário que o mesmo possua um gestor responsável, e que tenha sido avaliado com sucesso em testes de vulnerabilidade e de carga. Além disso, deve existir um conjunto de documentos que descreva o sistema e/ou produto a ser implantado, que permita o seu gerenciamento e suporte.
8. Contratação de serviços de terceiros e de computação em nuvem.
A contratação de serviços de terceiros para o processamento e armazenamento de dados, e de computação na nuvem deve seguir requisitos mínimos, avaliando a relevância do serviço contratado, criticidade, e a sensibilidade dos dados e das informações a serem processadas, armazenadas e gerenciados pelo serviço.
Os contratos de desenvolvimento de software devem conter cláusula contratual que garanta a entrega do código fonte e da documentação no padrão da organização, de acordo com os marcos do projeto, garantindo-se a completa documentação ao término ou no momento da interrupção do contrato.
Os serviços contratados para processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que possam assegurar:
-
O cumprimento da legislação e da regulamentação em vigor;
-
A confidencialidade, integridade, e a disponibilidade das informações e dados armazenados e processados pelo prestador de serviços;
-
O acesso aos dados e informações a serem processadas ou armazenados pelo prestador de serviço sempre que for necessário;
-
Disponibilidade de ferramentas e informações necessárias para realizar o monitoramento dos serviços prestados;
-
Segregação dos dados dos clientes através de controles lógicos ou físicos;
-
A disponibilização da quantidade e qualidade de controles de acesso implementados voltados à proteção dos dados da instituição;
-
Adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões de aplicativos e sistemas disponibilizados pela internet.
9. Análise e gestão de riscos.
Os riscos de Segurança da Informação devem ser identificados e acompanhados através de um processo de análise de vulnerabilidades, quantificando e qualificando as ameaças e seus respectivos impactos sobre os ativos de informação, para associação dos níveis de proteção adequados.
10. Gestão de incidentes de segurança da informação.
Incidentes de Segurança da Informação deverão ser reportados ao grupo de Segurança da Informação e serão tratados conforme procedimento detalhado no documento correspondente.
11. Da revisão e atualização de política de segurança da informação.
A política de Segurança da Informação deverá ser revista e atualizada, ao menos anualmente, com vistas a se manter em sintonia com as regras de negócios, com as melhores práticas do mercado, leis, regulamentos e demais aspectos.
Última atualização: 01 de agosto de 2023