Política de Segurança da Informação Atlas Governance
1. OBJETIVO
I. Esta Política tem o objetivo de estabelecer as diretrizes de Segurança da Informação (“SI”) aos Colaboradores, Fornecedores e Prestadores de Serviços visando preservar a integridade, confidencialidade e disponibilidade das informações sob gestão da ATLAS GOVERNANCE (“ATLAS”).
2. ABRANGÊNCIA
I. Esta Política abrange todos os conselheiros, membros de comitês, sócios, investidores, diretores, gerentes, empregados, estagiários ou jovens aprendizes (no conjunto “Colaboradores”), cooperados e pessoas físicas ou jurídicas que representem ou se relacionem diretamente com a ATLAS (“Terceiros”).
3. DESCRIÇÃO GERAL DA POLÍTICA
- Esta Política descreve a conduta adequada e segura para o manuseio, controle e proteção das informações contra destruição, modificação, divulgação indevida e acessos não autorizados, sejam acidentais ou intencionais, respeitando igualmente os direitos autorais e de propriedade intelectual.
- A ATLAS reconhece a importância de identificar e de proteger toda informação pertencente à organização em sua totalidade, desde a escolha do formato até a maneira em que for armazenada, compartilhada e divulgada.
- Esta Política visa garantir a aplicação de normas e diretrizes, evitando o uso indevido, destruição ou a divulgação não autorizada das informações de propriedade da ATLAS, tendo como finalidade garantir a continuidade do negócio e maximizar o retorno das atividades.
- As informações administrativas, comerciais, tecnológicas ou de negócio são ativos que, como qualquer outro ativo importante, devem ser adequadamente protegidas, sendo essenciais para os negócios da ATLAS.
- A definição das políticas, normas e procedimentos específicos de SI orientam as condições de uso dos Recursos de Informação, bem como a implementação de controles e processos para seu atendimento, e proteção das Informações da ATLAS quanto à:
- Integridade: garantia de que a Informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
- Confidencialidade: garantia de que o acesso à Informação seja obtido somente por pessoas autorizadas.
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à Informação e aos ativos correspondentes sempre que necessário.
- Privacidade: garantia do manuseio adequado dos dados pessoais referentes ao acesso, consentimento, aviso, sensibilidade e em atendimento à Lei Geral de Proteção de Dados, de nº 13.709/2018 (“LGPD”) e outras leis aplicáveis.
3.1. Critérios e Diretrizes
- Todos os colaboradores, prestadores de serviço/fornecedores e demais terceiros que necessitem acessar e/ou utilizar qualquer informação da Atlas devem zelar pela proteção das informações do negócio contra violações de confidencialidade, integridade isponibilidade. Ao assinarem contrato de trabalho e/ou prestação de serviços, formalizando a relação de emprego ou negócios com a Atlas, celebram o termo de não divulgação, confidencialidade e outras avenças (NDA). Ademais, se obrigam a cumprir as disposições das políticas corporativas da organização que formalizam o compromisso anticorrupção e antifraude, não-discriminação, proteção de ativos e informação, e todos os demais normativos de integridade e respeito às leis e boas práticas de Compliance e Segurança.
- A organização controla seus ativos de informação, contudo, caso ocorra algum incidente relacionado à SI, deve ser seguido o processo descrito no “PR CYS 001 - Gestão e Resposta a Incidentes”, por meio do qual os casos serão tratados pela Área de SI de tica, tempestiva e adequada.
- Todas as políticas e procedimentos respeitarão as diretrizes do procedimento “PR GSI 001 - Controle de Documentos e Registros”. Estes devem ser: i. revisadas periodicamente, ii. comunicados a todos os envolvidos, iii. disponibilizados em local acesso e consulta, e iv. protegidos de alterações indevidas.
- As exceções a esta Política devem ser formalmente avaliadas e aprovadas pela direção competente quando aplicável.
- Toda Informação deve ser classificada conforme as diretrizes e necessidades de negócio que estão definidas no item 5.1.4 desta Política. Toda e qualquer informação produzida e/ou armazenada pela ATLAS, assim como as que são obtidas através de um acordo de confidencialidade ou documento equivalente (ex. NDA), independentemente de sua classificação, são de propriedade da ATLAS, e, portanto, ativos corporativos valiosos que devem ser gerenciados com o devido cuidado.
- As violações da Política estão sujeitas às sanções disciplinares que devem ser discutidas e alinhadas entre gestor da área, Cultura e Pessoas e Ricos e Compliance.
- Deve ser estabelecido um Comitê de SI, formado por grupo multidisciplinar com a responsabilidade de deliberar sobre assuntos estratégicos da SI, bem como direcionar tomadas de decisão.
- Devem ser cumpridos os requisitos legais inerentes à proteção, ao uso, a captação, ao processamento, ao armazenamento e ao descarte das informações de todo e qualquer público de relacionamento da empresa, utilizadas por colaboradores, terceiros e/ou prestadores de serviço, devendo ser particularmente controladas através dos meios cabíveis.
- Não é permitida a cópia e/ou envio de informações confidenciais, dados pessoais ou internos da ATLAS e de seus clientes sem autorização expressa do titular ou proprietário da Informação.
- É dever de todos os Colaboradores, e Terceiros da ATLAS:
- Proteger e salvaguardar os ativos da ATLAS de perda, roubo, mau uso e desperdício;
- Proteger o sigilo de informações confidenciais e não públicas de propriedade da ATLAS e seus clientes;
- Tomar todas as medidas necessárias para garantir a segurança de cópias impressas de informações confidenciais; e
- Ter discrição ao falar sobre assuntos envolvendo a ATLAS e seus clientes em locais públicos, tais como restaurantes, aviões ou ao utilizar qualquer dispositivo móvel fora do escritório.
- O Gestor tem a responsabilidade de zelar e instruir os seus Colaboradores a tomar todos os cuidados para que as informações, dados pessoais ou internos sejam tratados de acordo com as políticas e normas da Atlas.
- Os usuários não devem armazenar informações confidenciais, dados pessoais ou internos e de clientes em seus discos locais, devendo utilizar os repositórios de colaboração definidos e homologados pela ATLAS (ex. intranet, SharePoint, portal Atlas ou outro local de acesso controlado).
- As devidas necessidades de mudanças ou melhorias nos processos e rotinas da ATLAS devem estar em conformidade com as diretrizes estabelecidas pela ATLAS.
- Situações que possam colocar a organização em posição de violação da lei ou regulamentos não são toleradas.
3.1.1. Gestão de Riscos de Segurança da Informação
- A análise e o tratamento de riscos devem ser realizados por meio de um processo estruturado e periódico, que garanta a identificação, classificação, quantificação e recomendações de ações e respostas a todos os riscos mapeados.
- Todos os riscos identificados devem ser registrados e acompanhados em um controle específico que armazene todas as informações relevantes para a análise e o tratamento dos riscos (ex. reports, matriz de riscos, etc).
- Análises de segurança devem ser realizadas em projetos, mudanças complexas e aquisições de tecnologia com o propósito de recomendar controles de segurança necessários.
- Análises regulares de vulnerabilidades sobre os ativos de informação devem ser realizadas a fim de identificar e promover o tratamento dos riscos de segurança.
3.1.2. Gestão de Acessos e Identidades
- Cada Colaborador e terceiro deve possuir uma única conta (username /login) pessoal e intransferível, conforme o perfil de acesso definido, devendo os usuários ser identificados e registrados nos acessos aos recursos de informática.
- Para elevar o nível de segurança dos acessos, os usuários devem definir para si senhas fortes como meio de validação de sua identidade quando dos acessos a estações de trabalho, sistemas, etc. tal como recomendado pelas boas práticas de SI, sendo proibido o seu compartilhamento. Quando aplicável, os acessos devem ser realizados com um segundo fator de autenticação (2factor), conforme as diretrizes estabelecidas pela organização.
- O período de duração da concessão do acesso deve ser pertinente à função do usuário e de acordo com as orientações do Gestor responsável, devendo ser cancelada ao fim do contrato com terceiros ou desligamento do colaborador.
- Periodicamente, as contas dos usuários e seus privilégios nos aplicativos devem ser verificados ou atestados, de forma a promover a manutenção e atualização da base de cadastro e a exclusão de usuários desligados, contas em desuso ou em duplicidade.
- O usuário é responsável por zelar pela confidencialidade e sigilo de suas senhas e logins.
- Ações realizadas com identificação e senhas do usuário, como manuseio de dados em arquivos, planilhas eletrônicas e/ou sistemas, são de inteira e exclusiva responsabilidade do usuário.
- Para evitar o acesso indevido de outras pessoas aos Recursos de Tecnologia da Informação (“TI”), o usuário deve desligar o computador ou efetuar o bloqueio sempre que se afastar do equipamento.
- A Área de SI controla mecanismos automáticos de bloqueios das contas de usuários após tentativas de acesso com senha incorreta. O desbloqueio deve ser realizado apenas pela Área de SI conforme processo definido.
- A Área de SI também controla mecanismos automáticos que asseguram a alteração periódica de senha dos usuários, garantindo que possam alterar a própria senha a qualquer momento
3.1.3. Recursos de Tecnologia da Informação
- As diretrizes, responsabilidades e procedimentos a serem observados em relação ao acesso e utilização dos Recursos de TI são definidas em “PL INF 001 – Política de Uso Aceitável de Ativos”.
- Todos os Recursos Computacionais devem ser protegidos por mecanismos de autenticação, local ou nuvem, e com a utilização de duplo fator de autenticação integrado com as diretrizes normativos da ATLAS quando aplicável.
- As concessões de acesso aos Recursos Computacionais da ATLAS devem ser baseadas nas necessidades de negócio, considerando-se o perfil funcional dos usuários, conforme definidos na “PL CYS 001 - Política de Gestão de Acessos.
- Toda solicitação de acesso aos Recursos Computacionais deve ser documentada formalmente e justificada quanto à sua real necessidade.
- Toda solução de Tecnologia deve ser avaliada e homologada pela Área de SI.
- O usuário é o responsável pela conservação e integridade dos Recursos de TI que utiliza.
- O usuário para o qual for disponibilizado notebook e/ou telefone móvel corporativo deve assinar o “Termo de Responsabilidade pela Guarda e uso de Equipamentos de Trabalho”, que lhe é apresentado no mesmo momento da formalização do contrato de trabalho ou posteriormente.
3.1.4. Classificação e Transferencia da Informação
- O ativo de informação deve ser classificado com base na confidencialidade que a informação exige, em algum dos seguintes níveis:
- Informação Pública: Informação que pode ser compartilhada com pessoas externas à ATLAS, tais como: clientes, fornecedores, concorrentes, sem que esse compartilhamento gere risco para o negócio.
- Informação Interna: Informação que pode ser compartilhada com qualquer Colaborador e Terceiros contratados pela ATLAS que necessitem de acesso a esta informação, desde que seja assinado acordo de confidencialidade para tal acesso.
- Informação Confidencial: Toda Informação crítica, que pode vir a gerar impacto aos negócios da ATLAS e cuja acesso deve ser concedido, de acordo com as diretrizes e criticidade. deve receber maior grau de proteção face a sua relevância, como informações e dados pessoais (capazes de identificar individualmente) de clientes, colaboradores e terceiros.
- O ativo da informação classificado deve ter um dono, papel este atribuído ao gestor responsável pela área que produz a informação.
- O ativo de informação classificado deve ser rotulado de modo a evidenciar a classificação da informação nele contida.
- Ativos de informação não classificados devem ser tratados como informação interna.
- O dono da informação deve garantir que esta receba a proteção adequada em todo o seu ciclo de vida, que é: geração, manuseio, processamento, armazenamento, transporte e descarte.
- A informação deve ser transacionada de forma segura, e todos que a manuseie, devem utilizar os recursos tecnológicos disponibilizados e monitorados pela ATLAS.
- A ATLAS utiliza diversos controles e procedimentos para garantir que a informação seja transferida de forma segura conforme descrito no documento “PL INF 001 – Política de Uso Aceitável de Ativos”.
3.1.5. Segurança Física e do Ambiente
- Todos os Colaboradores da ATLAS realizam suas atividades de forma remota, mas, se quiserem ir ao escritório, devem solicitar o cadastro da digital à Infraestrutura, da Área de SI, pelo e-mail [email protected]
- Todo acesso físico ao escritório da ATLAS deve ser restrito, controlado e monitorado pela área de Infraestrutura.
- A prática de mesa limpa e tela limpa deve ser adotada, de forma a promover a segurança dos ativos de informação, classificados como confidenciais. O processamento e a guarda de dados críticos devem ser efetuados em áreas com segurança apropriada.
3.1.6. Segurança em Recursos Humanos
- Todo novo colaborador ou terceiro que venha a ter acesso a sistemas e/ou documentos assinam em seus contratos de trabalho e/ou prestação de serviços o termo de responsabilidade e confidencialidade e outras avenças (NDA), conforme descrito no ITEM 5.1 parágrafo 1° desta política.
- Deve ser promovida a disseminação das regras de SI a todos os colaboradores, por meio de planos de conscientização e capacitação, de forma continuada, com o objetivo de fortalecer a cultura de SI.
- Ao final do contrato de trabalho, os responsáveis pela Infraestrutura, da Área de SI, devem recolher todos os ativos de informática, tais como notebook, celular, headset etc., que a ATLAS tenha disponibilizado aos Colaboradores e Terceiros e a Área de SI deve revogar todos os acessos a ele(a) atribuídos.
3.1.7. Relacionamento com Fornecedores e Clientes
- Deve haver um acordo de confidencialidade assinado ou cláusulas de confidencialidade no contrato com cada fornecedor ou cliente que possa acessar, processar, armazenar ou transmitir informações da ATLAS e seus clientes, obrigando-o a seguir estritamente as regras de SI.
- Em caso de distrato ou final de vigência de um contrato com cliente ou fornecedor, o gestor do contrato deve tomar todas as providências de encerramento.
3.1.8. Tratamento de Incidentes de Segurança da Informação
- Um incidente de segurança da informação é um ou uma série de eventos não desejados ou não esperados com alta probabilidade de comprometer as operações dos negócios e ameaçar a segurança da informação.
- Todos os incidentes de segurança serão avaliados e identificados, e devem ser notificados conforme estabelecido no “PR CYS 001 - Gestão e Resposta a Incidentes”.
- . A área de SI é responsável por avaliar e escalar o incidente com base na sua criticidade, bem como realizar os procedimentos necessários para resolução do incidente e/ou redução de danos.
- Todo Colaborador e Terceiro deve notificar a área de SI sempre que identificar um incidente de segurança da informação, pelo e-mail: [email protected]
3.1.9. Conformidade e Monitoramento
- Tecnologias, metodologias, marcas e quaisquer informações que pertençam à ATLAS constituem propriedade intelectual da empresa e não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.
- Todo sistema, sempre que possível, deve gerar trilhas de auditoria que devem ser mantidas para análise posterior e apuração de responsabilidades.
- Todas as trilhas de auditoria devem ser armazenadas e protegidas de acordo com o período exigido por requisitos regulatórios ou contratuais, sejam públicos ou privados.
- Todos os sistemas ou recursos computacionais são passíveis de monitoramento e auditoria, a fim de conferir o cumprimento das regras de SI, políticas da empresa e legislação vigente.
- Devem ser realizadas auditoria interna e externa, bem como testes de segurança de forma independente, sobre a estrutura de controles de segurança de TI e sistema.
3.1.10. Proteção e Privacidade de Dados Pessoais
I. As informações de identificação pessoal dos clientes, dos colaboradores e parceiros devem ser protegidas contra acessos não autorizados, utilizada de forma transparente e apenas para a finalidade para a qual foi coletada, assim como é estabelecido nas políticas de privacidade formalizadas na ATLAS.
3.1.11. Continuidade de Negócio
- Os recursos de TI que suportam processos mapeados como críticos devem ser implantados com redundância suficiente para garantir disponibilidade em caso de um incidente grave.
- Os planos de contingência operacional devem incluir critérios de acionamento e de retorno, plano de comunicação, plano de escalação, procedimentos operacionais de contingência.
3.1.12. Conscientização de Segurança da Informação
- I. O programa de conscientização sobre SI deve garantir que todos alcancem ao menos um nível mínimo de entendimento dos assuntos de SI pertinentes a eles, como obrigações gerais sob políticas, padrões, procedimentos, diretrizes, leis, regulamentos, termos contratuais, para que eles mantenham padrões de ética e comportamentos aceitáveis perante a ATLAS e a sociedade
- II. O plano de conscientização deve acontecer pelo menos uma vez ao ano, abordando temas relevantes à SI.
3.2. Gerenciamento e Suporte à Tecnologia
3.2.1. Segurança de Redes e Interconexões
- Deve haver segregação entre os ambientes de desenvolvimento, homologação e produção a fim de evitar acessos não autorizados e/ou mudanças acidentais em ambiente produtivo, sempre que possível.
- Os relógios dos computadores, servidores, equipamentos de rede e sistemas devem ser sincronizados a um padrão de tempo confiável para garantir exatidão nos registros de auditoria.
- As conexões de rede devem ser controladas a fim de permitir somente serviços autorizados.
3.2.2. Aquisição e Manutenção de Sistemas
- Todo sistema a ser adquirido deve seguir as boas práticas de desenvolvimento seguro de software.
- Os sistemas devem possuir documentações, tais como de instalação, gerenciamento e uso, e planos de manutenção.
3.2.3. Gestão de Mudanças
- Toda mudança em ambiente produtivo deve seguir controles que sejam registrados, ter avaliado o seu potencial impacto, ter procedimento de testes e de reversão.
3.2.4. Atualizações de Segurança
- Todas as atualizações de segurança críticas disponibilizadas pelos fabricantes de sistemas e de elementos de infraestrutura devem ser aplicadas de acordo com a divulgação de cada fabricante, obedecendo os critérios de homologação.
3.2.5. Cópias de Segurança dos Dados (Backup)
- Devem ser geradas periodicamente cópias de segurança dos dados que a ATLAS trafega, os quais são armazenados em ambiente na nuvem.
3.2.6. Proteção Contra Códigos Maliciosos
- Todos os sistemas críticos da ATLAS devem obrigatoriamente possuir mecanismos de proteção contra códigos maliciosos e ameaças cibernéticas, atualizado e em funcionamento.
3.2.7. Local de Trabalho
- Quando se ausentar da mesa, o usuário deve bloquear seu dispositivo de trabalho. Para aqueles que trabalham em ambientes abertos convém guardar o dispositivo de trabalho sempre que se ausentar da mesa.
- Não deve ser concedida ao usuário final a permissão de administrador local em sua estação de trabalho, com exceção de casos previamente alinhados e formalizados.
- Nos equipamentos só poderão ser instalados softwares devidamente licenciados e aprovados pela área de SI.
- É obrigatório o uso de antivírus homologado pela ATLAS, que já acompanha os equipamentos, não sendo permitido ao Colaborador instalar outro modelo de antivírus ou desativar o que está instalado.
3.2.8. Dispositivos Móveis
- É responsabilidade de todos zelar pela proteção do dispositivo móvel cedido para o trabalho e das informações nele contidas.
- Em locais públicos deve-se manter o dispositivo sempre próximo e à vista, para evitar furtos.
- Em viagem, o dispositivo não deve ser deixado à vista no transporte por automóvel ou despachado junto com a bagagem.
- Em hotéis o dispositivo deve ser armazenado no cofre do quarto, quando disponível.
- Em caso de perda, roubo ou furto, deve-se abrir um Boletim de Ocorrência junto à delegacia e notificar rapidamente a Área de Infraestrutura e SI para a tomada de ações devidas.
2.9. Correio Eletrônico
- O correio eletrônico deve ser utilizado como recurso corporativo para o desenvolvimento das atividades profissionais dos colaboradores.
- Toda informação criada, modificada no exercício das funções e qualquer informação contida em mensagens do correio eletrônico corporativo é propriedade da ATLAS, não devendo ser utilizada para fins pessoais.
3.2.10. Navegação na Internet
- A navegação na Internet deve ser utilizada como recurso corporativo para o desenvolvimento das atividades profissionais.
- Os Colaboradores são responsáveis por sua navegação, estando sujeitos a sanções disciplinares e legais, caso ocorra descumprimento de leis e normas internas da ATLAS.