Política de Segurança da Informação

1. Objetivos

Estabelecer diretrizes sobre a Segurança da Informação na Tripla, com o objetivo de preservar a confidencialidade, integridade e disponibilidade dos ativos de informação, em conformidade com a legislação vigente, normas técnicas pertinentes, valores éticos e melhores práticas de Segurança da Informação e o alinhamento adequado entre as diversas áreas de negócio.

2. Abrangência

Este documento aplica-se a toda organização, colaboradores e prestadores de serviço da Tripla.

3. Termos e Definições

Informação: Qualquer dado ou conhecimento que tem valor para a organização independente do meio ou formato, digital ou físico.

Ativo da Informação: Quaisquer recursos de informação que tenha valor para a organização e que tenha a capacidade de processar, transmitir e/ou armazenar informações, incluindo a própria informação. Exemplo: Hardware, software, sistema, documentos físicos ou eletrônicos, pessoas, entre outros.

Colaborador: Qualquer empregado ou estagiário registrado na empresa Tripla, independentemente de seu nível hierárquico e/ou Contrato de Trabalho/Estágio.

Fornecedor: é a pessoa física ou jurídica que, por força de contrato firmado com este objetivo, forneça bens ou produtos de qualquer natureza a Tripla.

Fragilidades em Sistemas ou Serviços: são vulnerabilidades encontradas em softwares e aplicativos que podem ser exploradas por ameaças colocando em risco a confidencialidade, disponibilidade e integridade das informações.

Incidente de Segurança da Informação: É indicado por um ou vários eventos de segurança da informação, indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança das informações.

Mídias de Armazenamento: são os recursos materiais ou eletrônicos utilizados para o armazenamento de informações, incluindo dispositivos eletrônicos como fitas, discos, HDs externos (dispositivos de armazenamento magnético), pen drives (além de outros dispositivos que utilizam memória flash), CDs e DVDs (dispositivos de armazenamento óptico), bem como documentos impressos ou manuscritos.

Segurança da Informação (SI): É a proteção da informação dos vários tipos de ameaças a fim de garantir a continuidade dos negócios e minimizar os riscos associados. Essa proteção é realizada por meio da preservação da confidencialidade, integridade e disponibilidade das informações. A segurança da informação é obtida a partir da

implantação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, diretrizes, estruturas organizacionais, treinamento, comunicação e conscientização além de softwares e hardwares específicos.

Confidencialidade: Propriedade de que a informação não seja disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.

Disponibilidade: Propriedade de ser acessível e utilizável sob demanda, por um usuário autorizado.

Integridade: Propriedade da exatidão e completude da informação. Condição na qual a informação ou os recursos de processamento da informação são protegidos contra modificações não autorizadas.

Sistema de Gestão de Segurança da Informação (SGSI): Sistema estabelecido, implementado, mantido e continuamente melhorado para atender aos requisitos de segurança da informação da organização.

Tecnologia da Informação (TI): Conjunto de todas as atividades e soluções providas por recursos de computação que visam a produção, o armazenamento, a transmissão, o acesso, a segurança e o uso das informações

Usuário: é o Empregado, Estagiário, Prestador de Serviço, Fornecedor ou Visitante que, por qualquer meio e ainda que momentaneamente, tenham acesso à Infraestrutura ou ambiente de Tecnologia de Informação da Tripla.

Visitante: é a pessoa física que não se enquadre em qualquer outra definição e que, por breve período, tenha acesso às dependências e aos Recursos de Tecnologia da Informação da Tripla.

4. Papéis e Responsabilidades

Alta Direção

·         Estar alinhada e comprometida com a Política de Segurança da Informação, normas, diretrizes, controles, processos e procedimentos internos;

·         Definir responsabilidades e alocar os recursos necessários para a implantação, manutenção e melhoria da Segurança da Informação;

·         Demonstrar a importância de atendimento aos requisitos e diretrizes de SI definidos pela Tripla.

Colaboradores e Fornecedores:

·         Conhecer e cumprir as diretrizes estabelecidas na Política de Segurança da Informação da Tripla, bem como de seus controles, processos e procedimentos internos;

·         Utilizar os recursos de TI e os ativos de informação da Tripla para fins profissionais e observando sempre os requisitos de ética e de legalidade previstos no código de conduta;

·         Zelar pela guarda dos recursos de TI e os ativos de informação da Tripla, cuidando de sua integridade física, da inviolabilidade das informações contidas no mesmo, bem como devolvê-los quando requisitados.

·         Proteger as informações às quais tenha acesso, garantindo que recebam o tratamento adequado de acordo com sua classificação e procedimentos em respeito ao compromisso de sigilo profissional assumido;

·         Fazer uso seguro de dispositivos de autenticação, tais como o crachá, as contas de acesso e suas correspondentes senhas e os certificados digitais, os quais devem ser usados de forma individual e não podem ser compartilhados em hipótese alguma;

·         Relatar imediatamente quaisquer situações de violação ou que possibilitem a violação dos controles de segurança da informação que venha a tomar conhecimento.

Consultoria de Segurança da Informação

·         Estabelecer diretrizes e definições táticas e operacionais para as ações e projetos relacionados à SI;

·         Garantir que o processo e/ou controle de Segurança da Informação está adequado para o propósito estabelecido;

·         Monitorar e medir as ações de melhoria de SI analisando as implementações realizadas e propondo correções e ajustes;

Serviços de TI e SI

·         Apoiar o desenvolvimento da cultura de SI na organização;

·         Garantir a disponibilidade da infraestrutura de tecnologia da informação de acordo com os requisitos definidos;

·         Implantar, configurar e manter tecnologias e sistemas utilizados de acordo com as diretrizes da organização e melhores práticas de segurança da informação;

·         Aplicar os requisitos de Segurança da Informação em todas as entregas, atividades e desenvolvimentos realizados.

·         Participar dos programas de capacitação, conscientização e comunicação sobre SI;

·         Recomendar ações pertinentes considerando técnicas, produtos, procedimentos, avanços tecnológicos que podem ser usados pela Tripla para melhorar a eficácia e o desempenho da SI;

Gente & Gestão

·         Apoiar o desenvolvimento da cultura de SI na organização.

·         Garantir o direcionamento dos colaboradores para as trilhas obrigatórias de treinamentos referente a Segurança da Informação.

·         Analisar e aplicar as medidas necessárias quando alguma diretriz dessa política, ou das demais políticas, for descumprida.

·         Incluir as responsabilidades sobre a Segurança de Informação nos contratos de trabalho, quando apropriado.

5. Princípios de Segurança da Informação

A informação é um dos principais bens de qualquer organização. Para a devida proteção desse bem, a Tripla estabelece a presente política de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção da propriedade intelectual e das informações da organização, dos ativos, dos clientes e do público em geral, conforme diretrizes abaixo:

·         As informações da Tripla e dos seus clientes devem ser tratadas de forma ética e sigilosa e de acordo com as leis, regulamentações vigentes e normas internas, evitando-se mau uso e exposição indevida;

·         Toda informação relacionada às operações da Tripla constitui ativo dessa instituição, essencial à condução e à continuidade dos negócios, e em última análise, à sua existência;

·         As relações com os parceiros de negócio devem ser pautadas pelo respeito mútuo, pela ética e transparência nas negociações e pelo respeito aos contratos celebrados conforme Código de Ética e Conduta;

·         Os riscos que comprometem a confidencialidade, integridade e disponibilidade dos ativos de informação que suportam processos críticos da Tripla e das informações críticas de seus clientes, devem ser permanentemente identificados, avaliados e tratados;

·         As informações dos colaboradores e demais partes interessadas devem ser protegidas contra acesso, alteração e divulgação não autorizada;

·         Os recursos e as informações de propriedade da Tripla são disponibilizados aos colaboradores e prestadores de serviço exclusivamente para o exercício de suas atividades funcionais, portanto deve-se ter o zelo e conduta ética necessários, e sempre respeitar o disposto nas normas, diretrizes e procedimentos internos;

6. Diretrizes

6.1. Classificação da Informação

A seguinte classificação da informação deverá ser observada no tratamento das informações da Tripla:

Informação Pública: É toda informação que pode ser acessada por colaboradores da organização, clientes, fornecedores, prestadores de serviços e público em geral.

Informação Interna: É toda informação que só pode ser acessada por colaboradores da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.

Informação Restrita: É toda informação que pode ser acessada por colaboradores e parceiros da organização. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro/cliente.

Informação Confidencial: É toda informação que pode ser acessada somente por Colaboradores da organização explicitamente indicados pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização.

Para mais orientações sobre a Classificação de Informação, consultar a Política de Classificação da Informação, disponível no sistema oficial de controle de documentos Tripla.

6.2. Relacionamento na cadeia de suprimentos

Os requisitos de segurança da informação para mitigar os riscos associados ao acesso de fornecedores aos ativos da organização devem ser acordados com o fornecedor e documentados por meio de contratos ou aditivos contratuais quando necessários.

6.3. Gestão de Incidentes de Segurança da Informação

A Tripla possui uma Política de Gestão de Incidentes, que visa gerenciar os incidentes, fragilidades ou eventos relacionados aos requisitos de confidencialidade, integridade e disponibilidade dos ativos de informação.

Em caso da identificação de incidentes, a notificação pode ser feita através do sistema Freshservice, na opção “Relatar um Incidente”. É permitido utilizar outro canal em casos de emergência, porém, em seguida, deve ser realizado o registro da ocorrência no canal adequado.

Para mais informações sobre o processo, acesse a Política de Gestão de Incidentes.

6.4. Continuidade do negócio

A Tripla se compromete em garantir a continuidade do negócio e para isso desenvolveu uma Política de Continuidade do Negócio, em que

define níveis adequados de disponibilidade dos ativos de informação críticos para o negócio e, em conjunto com a Gerência de TI, indica os recursos necessários para implementação e verificação de eficácia de um Plano de Continuidade.

6.5. Gestão de Riscos

A Tripla se compromete em estabelecer e operacionalizar um processo de gestão de riscos para identificar ameaças e reduzir vulnerabilidades e possíveis impactos nos ambientes da empresa. O processo provê as seguintes etapas: identificação, análise, classificação, tratamento e priorização dos riscos de acordo com os critérios de avaliação de riscos e objetivos definidos pela companhia.

6.6. Dados Pessoais

Cuidados especiais devem ser tomados quando dados pessoais forem transmitidos, processados ou armazenados.

A Tripla disponibiliza uma Política de Privacidade de Dados para clientes, colaboradores, ex-colaboradores, candidatos, fornecedores e prestadores de serviços que está disponível no site corporativo www.tripla.com.br > Política de Privacidade - Tripla.

6.7. Acesso à informação e Sistemas de Informação

Colaboradores e terceiros podem ter acesso concedido à informação ou sistemas de informação necessários para o cumprimento de suas atividades. O acesso será concedido com o mínimo de privilégio possível.

Credenciais de autenticação pessoal usadas para acessar esses sistemas de informação não devem ser divulgadas ou compartilhadas com outras pessoas.

Privilégios elevados devem ser justificados a partir de critérios pré-definidos, estão sujeitos a análises regulares e frequentes e serão monitorados e controlados de forma adequada. Controles avançados serão implementados para proteger a Tripla do uso inadequado potencial de contas de acesso privilegiadas.

A Política de Gestão de Acessos descreve os controles a serem implementados para garantir que o acesso à informação e sistemas de informação estejam de acordo com o mínimo privilégio possível.

6.8. Direitos e Proteção da Informação

Toda informação gerada pelos funcionários no curso de seu trabalho é de propriedade intelectual e de direito autoral da Tripla, até onde as leis aplicáveis permitem.

A Tripla implementa políticas e procedimentos de segurança para proteger as informações de possíveis ameaças. Os recursos de proteção são implementados de maneira física e lógica.

Alguns exemplos de controles, não se limitando a eles, são: utilização de câmeras de segurança, backups e criptografia das informações armazenadas, políticas de trabalho remoto, entre outras, integrantes dos controles de segurança que compõem o SGSI.

O uso de informações pertencentes à Tripla fora do ambiente de trabalho é proibido, a menos que tal uso tenha autorização prévia por escrito do Gestor responsável pela informação.

6.9. Prevenção de Vazamento de Dados

A Tripla mantém controles de segurança com a finalidade de prevenir o vazamento de dados para proteger informações sensíveis contra vazamentos não autorizados. Controles técnicos e organizacionais são implementados, incluindo o monitoramento contínuo de uso, controles de acesso, mascaramento de dados, criptografia e filtragem de rede.

Todos os colaboradores recebem treinamento para compreender e aderir às boas práticas de segurança para a prevenção de vazamento de dados, conforme o programa de treinamento e conscientização do SGSI.

Qualquer evento suspeito ou confirmado de vazamento de dados deve ser imediatamente relatado à equipe de segurança da informação. Esta equipe conduzirá uma análise do evento, tomará as ações cabíveis e implementará ações corretivas para evitar recorrências.

6.10. Conscientização em Segurança da Informação

A Tripla realiza treinamentos adequados para os colaboradores, com o apoio da área de Recursos humanos sobre Segurança da Informação. A Tripla também analisa as qualificações necessárias que os colaboradores precisam para a realização de suas atividades.

Atividades do Programa de Conscientização à Segurança da Informação são aplicadas de forma recorrente, considerando ações como campanhas de engenharia social com a realização de testes de phishing, a publicação de boletins, comunicados ou folhetos de conscientização avaliados como necessárias

Os treinamentos podem abordar temas mais corriqueiros e relevantes para o dia a dia dos colaboradores, como: uso seguro de ferramentas de e-mail, identificação de sites e aplicações seguras, uso de mídias sociais e afins, mas também pode abordar temas sobre ameaças mais

prevalentes no cenário nacional e mundial em determinado momento do tempo, como: ransomware, ataques de engenharia social para obtenção de credenciais de acesso à organização e vazamento de dados.

6.11. Segurança Física e do ambiente

Instalações que abrigam ativos de informação devem possuir proteção física adequada contra acessos não autorizados, incêndios, altas temperaturas ou outras formas de desastres naturais ou causados pelo homem. Devem ser protegidas por barreiras de segurança e controles de acesso apropriados, de forma a serem fisicamente seguras contra acessos físicos não autorizados, impedindo perdas, danos, furtos, interferências, comprometimento de ativos e/ou interrupções dos serviços providos pela Tripla.

Deve-se utilizar controles de entrada que permitam a rastreabilidade dos acessos físicos realizados nas áreas seguras.

Não são autorizados trabalhos não supervisionados em áreas seguras que contenham informações sensíveis e equipamentos críticos de processamento de informações, tanto por motivos de segurança, quanto para prevenir atividades mal-intencionadas.

O acesso de Prestadores de Serviços, Fornecedores e Visitantes será permitido somente após cadastro, sendo necessário o fornecimento de documento pessoal e informações sobre o motivo da visita e o local de destino.

·         É vedada a circulação de visitantes pela organização, exceto sua presença no lobby, sem o devido acompanhamento de um colaborador autorizado para fazê-lo.

·         Os visitantes podem permanecer sem o devido acompanhamento na seguinte situação:

·         Quando o visitante participa de processo seletivo na organização com a realização de provas presenciais em sala reservada para tal atividade com monitoramento por câmera.

6.12. Vulnerabilidades

A Tripla realiza a gestão das vulnerabilidades através de sistemas de varreduras para prevenir, detectar e reduzir vulnerabilidades e incidentes relacionados aos sistemas coorporativos, obtendo, desta forma, informações sobre novas vulnerabilidades técnicas e gerando um repertório de aprendizados das vulnerabilidades dos sistemas corporativos.

A organização realiza a mitigação ou remediação destas vulnerabilidades utilizando critérios de priorização conforme criticidade dos ativos envolvidos, garantindo que estes ativos se mantenham sempre atualizados e com uma superfície de ataque mínima.

Para assegurar que a empresa possa gerir suas estratégias contra ameaças à segurança da informação e esteja atualizada sobre as melhores práticas e informações relevantes sobre tema, serão

mantidos pela equipe de Segurança da Informação o contato com grupos especializados, podendo ser utilizados portais oficiais de empresas especializadas ou através de grupos de contato em redes sociais.

Cabe ao Gestor de Segurança da Informação avaliar as informações coletadas e incluir o tema nas avaliações de risco do SGSI caso seja necessário.

7. Conformidade

A Tripla se compromete em atender e estar em conformidade com todos os requisitos legais e reguladores aplicáveis, contratos, assim como estar em conformidade com as políticas e normas internas de segurança da organização.

Todos os colaboradores, prestadores de serviços e fornecedores da Tripla são responsáveis por garantir uma gestão adequada das informações de acordo com esses requisitos.

A Tripla analisa criticamente, ao menos uma vez ao ano, a implementação da Segurança da Informação de acordo com as políticas e procedimentos da empresa, e se compromete em realizar ajustes e evoluções nas diretrizes sempre que for pertinente e adequado, orientado às estratégias e objetivos organizacionais, buscando conformidade com as boas práticas de Segurança da Informação.

8. Políticas e Procedimentos de apoio para Segurança da Informação

A Tripla está comprometida com a melhoria contínua e, por isso, mantém um Sistema de Gestão de Segurança da Informação (SGSI) implementado e atualizado. O SGSI inclui controles abrangentes que asseguram a proteção das informações em seus aspectos organizacionais, humanos, físicos e tecnológicos.

Todos os procedimentos operacionais e de segurança devem ser documentados, implementados e regularmente revisados.

9. Sanções administrativas

Violações à política, normas, diretrizes e procedimentos internos de SI, observadas sua natureza e gravidade, estarão sujeitas à aplicação de procedimentos disciplinares, nos termos da legislação trabalhista ou das penalidades previstas nos contratos de prestação de serviços, Contrato Individual de Trabalho do Colaborador e em contratos com Terceiros.

10. Referências

POL – 002 - Código de Ética e Conduta;

POL-008-Política de Gestão de Incidentes

POL-006 - Política de Gestão de Acessos

POL – 012 – Continuidade do Negócio

POL – 013 – Política Interna de Privacidade e Proteção de dados

PS – 008 – Gestão de Riscos

POL – 010 – Uso de Aceitável dos Ativos

POL – 011 – Uso de Recursos Computacionais

POL - 007 - Política de Classificação da Informação

Norma NBR ISO 27002:2013 – Código de prática para controles de segurança da informação;

Norma NBR ISO 27001:2013 – Sistemas de gestão da segurança da informação.