Limpar
Limpar
HomePolítica de Segurança da Informação

Política de Segurança da Informação

  1. Objetivos 

Estabelecer diretrizes sobre a Segurança da Informação na Tripla, com o objetivo de preservar a confidencialidade, integridade e disponibilidade dos ativos de informação, em conformidade com a legislação vigente, normas técnicas pertinentes, valores éticos e melhores práticas de Segurança da Informação e o alinhamento adequado entre as diversas áreas de negócio.  

  1. Partes envolvidas 

Este documento aplica-se a toda organização, colaboradores e prestadores de serviço da Tripla. 

  1. Termos e definições 

Ativo da Informação: Quaisquer recursos de informação que tenha valor para a organização e que tenha a capacidade de processar, transmitir e/ou armazenar informações, incluindo a própria informação. Exemplo: Hardware, software, sistema, documentos físicos ou eletrônicos, pessoas, entre outros. 

Colaborador: Qualquer empregado ou estagiário registrado na empresa Tripla, independentemente de seu nível hierárquico e/ou Contrato de Trabalho/Estágio. 

Fornecedor: é a pessoa física ou jurídica que, por força de contrato firmado com este objetivo, forneça bens ou produtos de qualquer natureza a Tripla. 

Fragilidades em Sistemas ou Serviços: são vulnerabilidades encontradas em softwares e aplicativos que podem ser exploradas por ameaças colocando em risco a confidencialidade, disponibilidade e integridade das informações. 

Incidente de Segurança da Informação: É indicado por um ou vários eventos de segurança da informação, indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança das informações. 

Mídias de Armazenamento: são os recursos materiais ou eletrônicos utilizados para o armazenamento de informações, incluindo dispositivos eletrônicos como fitas, discos, HDs externos (dispositivos de armazenamento magnético), pen drives (além de outros dispositivos que utilizam memória flash), CDs e DVDs (dispositivos de armazenamento óptico), bem como documentos impressos ou manuscritos. 

Segurança da Informação (SI): É a proteção da informação dos vários tipos de ameaças a fim de garantir a continuidade dos negócios e minimizar os riscos associados. Essa proteção é realizada por meio da preservação da confidencialidade, integridade e disponibilidade das informações. A segurança da informação é obtida a partir da implantação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, diretrizes, estruturas organizacionais, treinamento, comunicação e conscientização além de softwares e hardwares específicos. 

Confidencialidade: Propriedade de que a informação não seja disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados. 

Disponibilidade: Propriedade de ser acessível e utilizável sob demanda, por um usuário autorizado. 

Integridade: Propriedade da exatidão e completude da informação. Condição na qual a informação ou os recursos de processamento da informação são protegidos contra modificações não autorizadas. 

Tecnologia da Informação (TI): Conjunto de todas as atividades e soluções providas por recursos de computação que visam a produção, o armazenamento, a transmissão, o acesso, a segurança e o uso das informações 

Usuário: é o Empregado, Estagiário, Prestador de Serviço, Fornecedor ou Visitante que, por qualquer meio e ainda que momentaneamente, tenham acesso à Infraestrutura  ou o ambiente de Tecnologia de Informação da Tripla. 

Visitante: é a pessoa física que não se enquadre em qualquer outra definição e que, por breve período, tenha acesso às dependências e aos Recursos de Tecnologia da Informação da Tripla. 

  1. Papéis e responsabilidades 

Alta Direção 

  • Estar alinhada e comprometida com a Política de Segurança da Informação, normas, diretrizes, controles, processos e procedimentos internos; 
  • Definir responsabilidades e alocar os recursos necessários para a implantação, manutenção e melhoria da Segurança da Informação; 
  • Demonstrar a importância de atendimento aos requisitos e diretrizes de SI definidos pela Tripla. 

Colaboradores e Fornecedores 

  • Conhecer e cumprir as diretrizes estabelecidas na Política de Segurança da Informação da Tripla, bem como de seus controles, processos e procedimentos internos; 
  • Utilizar os recursos de TI e os ativos de informação da Tripla para fins profissionais e observando sempre os requisitos de ética e de legalidade previstos no código de conduta; 
  • Zelar pela guarda dos recursos de TI e os ativos de informação da Tripla, cuidando de sua integridade física, da inviolabilidade das informações contidas no mesmo, bem como devolvê-los quando requisitados.  
  • Proteger as informações às quais tenha acesso, garantindo que recebam o tratamento adequado de acordo com sua classificação e procedimentos em respeito ao compromisso de sigilo profissional assumido; 
  • Fazer uso seguro de dispositivos de autenticação, tais como o crachá, as contas de acesso e suas correspondentes senhas e os certificados digitais, os quais devem ser usados de forma individual e não podem ser compartilhados em hipótese alguma; 
  • Relatar imediatamente quaisquer situações de violação ou que possibilitem a violação dos controles de segurança da informação que venha a tomar conhecimento. 

Consultoria de Segurança da Informação 

  • Estabelecer diretrizes e definições táticas e operacionais para as ações e projetos relacionados à SI; 
  • Garantir que o processo e/ou controle de Segurança da Informação está adequado para o propósito estabelecido; 
  • Monitorar e medir as ações de melhoria de SI analisando as implementações realizadas e propondo correções e ajustes; 

Serviços de TI e SI 

  • Apoiar o desenvolvimento da cultura de SI na organização; 
  • Garantir a disponibilidade da infraestrutura de tecnologia da informação de acordo com os requisitos definidos; 
  • Implantar, configurar e manter tecnologias e sistemas utilizados de acordo com as diretrizes da organização e melhores práticas de segurança da informação; 
  • Aplicar os requisitos de Segurança da Informação em todas as entregas, atividades e desenvolvimentos realizados. 
  • Participar dos programas de capacitação, conscientização e comunicação sobre SI; 
  • Recomendar ações pertinentes considerando técnicas, produtos, procedimentos, avanços tecnológicos que podem ser usados pela Tripla para melhorar a eficácia e o desempenho da SI; 

Recursos Humanos 

  • Apoiar o desenvolvimento da cultura de SI na organização. 
  • Garantir o direcionamento dos colaboradores para as trilhas obrigatórias de treinamentos referente a Segurança da Informação. 
  • Analisar e aplicar as medidas necessárias quando alguma diretriz dessa política, ou das demais políticas, for descumprida. 
  • Incluir as responsabilidades sobre a Segurança de Informação nos contratos de trabalho, quando apropriado. 

 

Gestores: 

  • Promover o desenvolvimento da cultura em SI por meio do exemplo, disseminando e verificando o cumprimento da política, normas, diretrizes, controles, processos e procedimentos internos, além de orientar os empregados e prestadores de serviço sob sua gestão; 
  • Zelar pela proteção das informações e dos recursos relacionados à sua área, definindo a classificação condizente com a criticidade dos mesmos e controlando os privilégios de acessos;  
  • Realizar a gestão dos riscos relativos aos processos de negócio e ativos sob sua responsabilidade; 
  • Criar e publicar procedimentos complementares para o controle dos requisitos de SI específicos de sua área, caso necessário. 
  • Analisar criticamente, a intervalos   regulares,  a   conformidade   dos   procedimentos e do processamento da informação, dentro das suas áreas de responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação. 
  1. Princípios de Segurança da Informação 

A informação é um dos principais bens de qualquer organização. Para a devida proteção desse bem, a Tripla estabelece a presente política de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção da propriedade intelectual e das informações da organização, dos ativos, dos clientes e do público em geral, conforme diretrizes abaixo: 

  • As informações da Tripla e dos seus clientes devem ser tratadas de forma ética e sigilosa e de acordo com as leis, regulamentações vigentes e normas internas, evitando-se mau uso e exposição indevida; 
  • Toda informação relacionada às operações da Tripla constitui ativo dessa instituição, essencial à condução e à continuidade dos negócios, e em última análise, à sua existência; 
  • As relações com os parceiros de negócio devem ser pautadas pelo respeito mútuo, pela ética e transparência nas negociações e pelo respeito aos contratos celebrados conforme POL – 002 – Código de Ética e Conduta; 
  • Os riscos que comprometem a confidencialidade, integridade e disponibilidade dos ativos de informação que suportam processos críticos da Tripla e das informações críticas de seus clientes, devem ser permanentemente identificados, avaliados e tratados;  
  • As informações dos colaboradores e demais partes interessadas devem ser protegidas contra acesso, alteração e divulgação não autorizada; 
  • Os recursos e as informações de propriedade da Tripla são disponibilizados aos colaboradores e prestadores de serviço exclusivamente para o exercício de suas atividades funcionais, portanto deve-se ter o zelo e conduta ética necessários, e sempre respeitar o disposto nas normas, diretrizes e procedimentos internos; 
  1. Diretrizes 
  1. Classificação da Informação 

A seguinte classificação da informação deverá ser observada no tratamento das informações da Tripla: 

Informação Pública: É toda informação que pode ser acessada por colaboradores da organização, clientes, fornecedores, prestadores de serviços e público em geral. 

Informação Interna: É toda informação que só pode ser acessada por colaboradores da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização. 

Informação Confidencial: É toda informação que pode ser acessada por colaboradores e parceiros da organização. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro/cliente. 

Informação Restrita: É toda informação que pode ser acessada somente por Colaboradores da organização explicitamente indicados pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. 

Para mais orientações sobre a Classificação de Informação, consultar a POL – 007 – Política de Classificação da Informação, disponível na Triplanet. 

  1. Relacionamento na cadeia de suprimentos 

Os requisitos de segurança da informação para mitigar os riscos associados ao acesso de fornecedores aos ativos da organização devem ser acordados com o fornecedor e documentados por meio de contratos ou aditivos contratuais quando necessários. 

  1. Gestão de Incidentes de Segurança da Informação 

A Tripla possui uma POL-008-Política de Gestão de Incidentes, que visa gerenciar os incidentes, fragilidades ou eventos relacionados aos requisitos de confidencialidade, integridade e disponibilidade dos ativos de informação. 

Em caso da identificação de incidentes, a notificação pode ser feita através do link https://atendimento.tripla.com.br/support/home, na opção “Relatar um Incidente”. É permitido utilizar outro canal em casos de emergência, porém, em seguida, deve ser realizado o registro da ocorrência no canal adequado. 

Para mais informações sobre o processo, acesse a Política de Gestão de Incidentes. 

  1. Continuidade do negócio 

A Tripla se compromete em garantir a continuidade do negócio e para isso desenvolveu uma POL – 012 – Continuidade do Negócio, em que define níveis adequados de disponibilidade dos ativos de informação críticos para o negócio e, em conjunto com a Gerência de TI, indica os recursos necessários para implementação e verificação de eficácia de um Plano de Continuidade.  

  1. Gestão de Riscos 

A Tripla se compromete em estabelecer e operacionalizar um processo de gestão de riscos para identificar ameaças e reduzir vulnerabilidades e possíveis impactos nos ambientes da empresa. O processo provê as seguintes etapas: identificação, análise, classificação, tratamento e priorização dos riscos de acordo com os critérios de avaliação de riscos e objetivos definidos pela companhia. 

  1. Dados Pessoais 

Cuidados especiais devem ser tomados quando dados pessoais forem transmitidos, processados ou armazenados.  

A Tripla disponibiliza uma Política de Privacidade de Dados para clientes, colaboradores, ex-colaboradores, candidatos, fornecedores e prestadores de serviços que está disponível no site corporativo www.tripla.com.br > Política de Privacidade – Tripla. 

  1. Acesso à informação e Sistemas de Informação 

Colaboradores e terceiros podem ter acesso concedido à informação ou sistemas de informação necessários para o cumprimento de suas atividades. O acesso será concedido com o mínimo de privilégio possível. 

Credenciais de autenticação pessoal usadas para acessar esses sistemas de informação não devem ser divulgadas ou compartilhadas com outras pessoas. 

Privilégios elevados devem ser justificados a partir de critérios pré-definidos, estão sujeitos a análises regulares e frequentes e serão monitorados e controlados de forma adequada. Controles avançados serão implementados para proteger a Tripla do uso inadequado potencial de contas de acesso privilegiadas.   

A POL-006 – Política de Gestão de Acessos descreve os controles a serem implementados para garantir que o acesso à informação e sistemas de informação estejam de acordo com o mínimo privilégio possível. 

  1. Direitos e Proteção da Informação 

Toda informação gerada pelos funcionários no curso de seu trabalho é de propriedade intelectual e de direito autoral da Tripla, até onde as leis aplicáveis permitem. 

A Tripla implementa políticas e procedimentos de segurança para proteger as informações de possíveis ameaças. Os recursos de proteção são implementados de maneira física e lógica. 

Alguns exemplos de controles, não se limitando a eles, são: utilização de câmeras de segurança, backups e criptografia das informações armazenadas, políticas de trabalho remoto, entre outras, como mencionadas no item 8 Políticas de Apoio para Segurança da Informação. 

O uso de informações pertencentes à Tripla fora do ambiente de trabalho é proibido, a menos que tal uso tenha autorização prévia por escrito do Gestor responsável pela informação. 

  1. Conscientização em Segurança da Informação 

A Tripla realiza treinamentos adequados para os colaboradores, com o apoio da área de Recursos humanos sobre Segurança da Informação. A Tripla também analisa as qualificações necessárias que os colaboradores precisam para a realização de suas atividades.  

Atividades do Programa de Conscientização à Segurança da Informação são aplicadas de forma recorrente, considerando ações como campanhas de engenharia social com a realização de testes de phishing, a publicação de boletins, comunicados ou folhetos de conscientização avaliados como necessárias 

Os treinamentos podem abordar temas mais corriqueiros e relevantes para o dia a dia dos colaboradores, como: uso seguro de ferramentas de e-mail, identificação de sites e aplicações seguras, uso de mídias sociais e afins, mas também pode abordar temas sobre ameaças mais prevalentes no cenário nacional e mundial em determinado momento do tempo, como: ransomware, ataques de engenharia social para obtenção de credenciais de acesso à organização e vazamento de dados. 

  1. Segurança Física e do ambiente 

Instalações que abrigam ativos de informação devem possuir proteção física adequada contra acessos não autorizados, incêndios, altas temperaturas ou outras formas de desastres naturais ou causados pelo homem. Devem ser protegidas por barreiras de segurança e controles de acesso apropriados, de forma a serem fisicamente seguras contra acessos físicos não autorizados, impedindo perdas, danos, furtos, interferências, comprometimento de ativos e/ou interrupções dos serviços providos pela Tripla. 

Deve-se utilizar controles de entrada que permitam a rastreabilidade dos acessos físicos realizados nas áreas seguras.  

Não são autorizados trabalhos não supervisionados em áreas seguras que contenham informações sensíveis e equipamentos críticos de processamento de informações, tanto por motivos de segurança, quanto para prevenir atividades mal-intencionadas. 

O acesso de Prestadores de Serviços, Fornecedores e Visitantes será permitido somente após cadastro, sendo necessário o fornecimento de documento pessoal e informações sobre o motivo da visita e o local de destino. 

  • É vedada a circulação de visitantes pela organização, exceto sua presença no lobby, sem o devido acompanhamento de um colaborador autorizado para fazê-lo. 
  • Os visitantes podem permanecer sem o devido acompanhamento na seguinte situação: 
  • Quando o visitante participa de processo seletivo na organização com a realização de provas presenciais em sala reservada para tal atividade com monitoramento por câmera. 
  1. Vulnerabilidades 

A Tripla realiza a gestão das vulnerabilidades através de sistemas de varreduras para prevenir, detectar e reduzir vulnerabilidades e incidentes relacionados aos sistemas coorporativos, obtendo, desta forma, informações sobre novas vulnerabilidades técnicas e gerando um repertório de aprendizados das vulnerabilidades dos sistemas corporativos.  

A organização realiza a mitigação ou remediação destas vulnerabilidades utilizando critérios de priorização conforme criticidade dos ativos envolvidos, garantindo que estes ativos se mantenham sempre atualizados e com uma superfície de ataque mínima.  

  1. Conformidade 

A Tripla se compromete em atender e estar em conformidade com todos os requisitos legais e reguladores aplicáveis, contratos, assim como estar em conformidade com as políticas e normas internas de segurança da organização. 

Todos os colaboradores, prestadores de serviços e fornecedores da Tripla são responsáveis por garantir uma gestão adequada das informações de acordo com esses requisitos.  

A Tripla analisa criticamente, ao menos uma vez ao ano, a implementação da Segurança da Informação de acordo com as políticas e procedimentos da empresa, e se compromete em realizar ajustes e evoluções nas diretrizes sempre que for pertinente e adequado, orientado às estratégias e objetivos organizacionais, buscando conformidade com as boas práticas de Segurança da Informação. 

  1. Políticas de apoio para Segurança da Informação  

A Tripla se compromete com a melhoria contínua e, por isso, mantém as políticas de apoio necessárias, como a Política de Uso Aceitável dos Ativos e a POL – 011 – Uso de Recursos Computacionais, para garantir que:  

  • Todo hardware, software e ativos de informação sejam devidamente gerenciados e adequadamente protegidos por controles de acesso lógicos, físicos e de rede, 
  • As informações da Tripla fiquem disponíveis, confiáveis e acessíveis e que as informações confidenciais sejam adequadamente protegidas, 
  • Riscos sejam identificados e gerenciados, 
  • O uso de E-mail e Internet seja regulado, e 
  • Requisitos de segurança sejam identificados, projetados e implementados em aplicações corporativas e que os controles de segurança sejam testados. 
  • Todos os procedimentos operacionais e de segurança devem ser documentados, implementados e regularmente testados. 
  1. Sanções administrativas 

Violações à política, normas, diretrizes e procedimentos internos de SI, observadas sua natureza e gravidade, estarão sujeitas à aplicação de procedimentos disciplinares, nos termos da legislação trabalhista ou das penalidades previstas nos contratos de prestação de serviços, Contrato Individual de Trabalho do Colaborador e em contratos com Terceiros. 

  1. Referências 

POL – 002 – Código de Ética e Conduta; 

POL-008-Política de Gestão de Incidentes 

POL-006 – Política de Gestão de Acessos  

POL – 012 – Continuidade do Negócio 

POL – 013 – Política Interna de Privacidade e Proteção de dados 

PS – 008 – Gestão de Riscos 

POL – 010 – Uso de Aceitável dos Ativos 

POL – 011 – Uso de Recursos Computacionais 

POL – 007 – Política de Classificação da Informação 

Norma NBR ISO 27002:2013 – Código de prática para controles de segurança da informação; 

Norma NBR ISO 27001:2013 – Sistemas de gestão da segurança da informação.