Política de Segurança da Informação e Cibernética
1. INTRODUÇÃO
Este documento representa os principais direcionadores executivos sobre confidencialidade, disponibilidade e integridade dos dados e informações tratadas pelo grupo ELSYS.
É uma responsabilidade de todos, estarem cientes e cumprirem as diretrizes desta Política de Segurança da Informação e Cibernética que lhe couberem, buscando a aplicação prática destas em todas as atividades profissionais e pessoais que envolverem o tratamento de dados e informações, analógicas ou digitais, pelos sistemas, equipamentos e processos das empresas do grupo ELSYS.
É uma responsabilidade de todos, independentemente de cargo ou função, estarem cientes e cumprirem as diretrizes desta Política de Segurança da Informação, além de buscar a aplicação prática destas em todas as suas atividades profissionais e pessoais envolvendo os sistemas de informação e o tratamento dos dados sob custódia e proteção da ELSYS.
2. OBJETIVO
Formalizar as diretrizes relacionadas ao SGSIC – Sistema de Gestão de Segurança da Informação e Cibernética da ELSYS, direcionando as iniciativas e controles de proteção das informações e dados para consolidação e promoção de uma cultura de segurança da informação e cibernética.
3. ABRANGÊNCIA
As diretrizes estabelecidas por este documento são aplicáveis para todas as atividades, processos e ações relacionadas a todo tratamento de dados e informações, analógicas e digitais das empresas do grupo ELSYS. Possui valor jurídico e aplicabilidade imediata e indistinta, com vigência a partir da data de sua publicação. Deve ser respeitado por todos os colaboradores, terceiros, parceiros, fornecedores e clientes que utilizarem as informações e sistemas de informação disponibilizados para tratar dados de propriedade ou sob custódia das empresas do grupo ELSYS.
4. SIGLAS E DEFINIÇÕES
Ameaça: Acontecimentos indesejados que podem comprometer os ativos e resultar em danos para a ELSYS.
Ativo: Tudo o que representa valor e que compõe o patrimônio da ELSYS.
Autenticidade: Critério de garantia da procedência de uma informação ou dado, permitindo que a fonte seja identificada, reconhecida e fidedigna, quanto a criação, emissão e edição.
Confidencialidade: Critério de garantia de que as informações, dados e recursos tecnológicos sejam acessados e utilizados somente por aqueles expressamente autorizados e devidamente protegidas do acesso e conhecimento alheio.
Cibernético: Nome dado aos recursos e serviços tecnológicos mantidos, operados e/ou custodiados por fornecedores tecnológicos terceirizados, em plataformas digitais externas à rede tecnológica da ELSYS e que necessitam de estruturas da internet para que possam ser utilizados.
Cibersegurança: Também conhecida como segurança cibernética, é a prática de proteger os recursos digitais definidos, operados e/ou trafegados em estruturas virtuais, em nuvem e\ou relacionadas à internet e que são providas por prestadores de serviços tecnológicos digitais privados ou públicos.
Disponibilidade: Critério de garantia de que as informações, dados e recursos tecnológicos estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
Grupo ELSYS: Nomenclatura dada a todas as filiais e controladas que estiverem relacionadas ou coligadas à ELSYS. Para efeito desse documento, sempre que mencionado ELSYS equiparar-se há a empresas do Grupo ELSYS.
Gestor da informação: Colaborador responsável pela criação/recebimento, classificação, divulgação, compartilhamento, eliminação e destruição da informação. Também é incumbido da gestão dos controles sobre os acessos físicos e lógicos às informações, dados e recursos tecnológicos sob sua custódia. As atividades do gestor da Informação não podem ser delegadas para colaboradores sem alçada de gestor ELSYS.
Incidente de Segurança da Informação: Ocorrência identificada de um evento indesejado que afeta ou pode afetar recursos tecnológicos, sistemas, dados e informações, digitais ou analógicas, ocasionando a violação total ou parcial das diretrizes e definições dessa Política ou de Normas Complementares, com possível impacto potencial à integridade, confidencialidade e disponibilidade dos ativos da ELSYS.
Informação: Conjunto de dados digitais e/ou analógicos que são utilizados para produção, transmissão e compartilhamento de conhecimento e/ou para operação dos processos de negócio da ELSYS.
Integridade: Critério de garantia de que as informações, dados e recursos tecnológicos estão completos, corretos e que representam a realidade sobre aquilo a que se referem durante o seu ciclo de vida.
Legalidade: Garantia de que as ações e operações envolvendo dados, informações e recursos tecnológicos estão em conformidade com as disposições do Ordenamento Jurídico Brasileiro em vigor.
Recursos Tecnológicos: Designação dada ao conjunto de sistemas, softwares, aplicativos, equipamentos e serviços que armazenam, processam, transportam e destroem dados e que viabilizam a automação dos processos de negócio.
Serviços Cibernéticos: Serviços terceirizados de tecnologia baseada em nuvem e internet com provedores privados ou públicos
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos reguladores, tais como Políticas, Normas, Procedimentos e Códigos da ELSYS.
TIC: sigla para “tecnologia da informação e comunicação”.
5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
5.1. A ELSYS deve preservar e proteger todo ativo de informação e recursos tecnológicos de sua propriedade ou sob sua custódia, durante todo o ciclo de vida, independente do meio e formato em que estiver contida;
5.2. A ELSYS deve prevenir e reduzir a chance de ocorrência e os impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade dos ativos que trata em suas operações;
5.3. A ELSYS deve zelar pela transparência e ética na utilização e tratamentos que realizar com os ativos que possui e/ou custodia, coibindo todo e qualquer tipo de violação, ilegalidade ou ação danosa decorrentes do mal uso destes;
5.4. A ELSYS deve cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados à segurança da informação e cibernética em todas as suas operações de negócio.
6. PRINCÍPIOS DE SEGURANÇA CIBERNÉTICA
6.1. A ELSYS deve assegurar que todos os recursos e meios de comunicação de dados através da internet sejam protegidos por senhas, criptografia e recursos que assegurem a proteção e o controle desses ativos;
6.2. A ELSYS apenas se utilizará de provedores de serviços cibernéticos que estiverem em conformidade com as boas práticas de segurança da informação e cibernética e que atenderem as regulamentações e leis brasileiras;
6.3. A ELSYS deve zelar pelo controle e pela proteção de todos os ambientes, recursos e dados digitais em meio cibernético que estiverem sob sua responsabilidade e/ou viabilizarem seus processos de negócio nos meios e canais digitais;
6.4. A ELSYS deve assegurar que todos os produtos, serviços, aplicativos e softwares que produz, comercializa, utiliza e mantém estão alinhados e aderentes aos princípios e conceitos de segurança e privacidade desde o desenho, principalmente aqueles que interagem com estruturas, serviços e comunicações com a internet.
6.5. A ELSYS deve garantir que os softwares e equipamentos de tecnologia que produz e utiliza possuem procedência identificada e que os defeitos, vícios, vulnerabilidades e falhas destes sejam periodicamente verificados e tratados para que não gerem exposição excessiva a ataques para a empresa, os parceiros, fornecedores e clientes.
7. DIRETRIZES
7.1. Interpretação: Todas as configurações de recursos tecnológicos e definições de documentos reguladores, tais como: Políticas, Normas e Procedimentos de Segurança da Informação e Cibernética, devem ser interpretados de forma FECHADA, ou seja, tudo o que não estiver sendo tratado, autorizado ou explicitamente referenciado, deve ser mantido na forma mais restritiva possível e deve ser submetido a análise, autorização e deliberação prévios do Comitê de Segurança da Informação e Privacidade da ELSYS.
7.2. Propriedade: Todos os recursos tecnológicos, dados e informações, gerados, acessados, manuseados, tratados, armazenados e/ou descartados pelos processos e atividades profissionais realizados pela ELSYS ou em nome desta, são considerados ATIVOS da ELSYS e deverão ser inventariados e mantidos sob proteção e controle até o final do ciclo de vida e depreciação total do valor que representam.
7.3. Propriedade Intelectual: A utilização de obras intelectuais, softwares, informações, bases de dados, desenhos industriais, marcas, identidade visual ou qualquer outro sinal distintivo deve respeitar os direitos outorgados pelo autor da obra e caso pertençam à ELSYS, em qualquer meio, inclusive na Internet e mídias sociais, devem ter o uso previamente autorizado pelo responsável ELSYS pela obra e deve estar sempre vinculada as atividades profissionais.
7.4. Classificação da Informação: Todos os recursos tecnológicos e informações, digitais ou analógicas, de propriedade ou sob a responsabilidade da ELSYS, devem ser classificados quanto a propriedade, criticidade e sensibilidade e devem ser protegidos com controles específicos durante todo o ciclo de vida, conforme definido na Norma de Classificação da Informação.
7.5. Sigilo: É vedada, a qualquer tempo, a revelação de informação sigilosa ou sensível de propriedade ou sob a responsabilidade da ELSYS, sem a prévia e formal autorização do gestor da informação, procedendo o registro desses, excetuando-se os ativos com classificação na categoria pública, que possuem definições específicas.
7.6. Uso dos Ativos: Todos os ativos de propriedade ou sob responsabilidade da ELSYS devem possuir mecanismos de identificação e autenticação individualizados para os usuários e ser utilizados somente em benefício dos processos e atividades de negócio de interesse da ELSYS e em conformidade com as leis e princípios morais e éticos vigentes na sociedade brasileira.
7.7. Entrada de Dados: Todo dado ou informação, digital ou analógico, somente pode ser inserido nos recursos tecnológicos da ELSYS se forem obtidos de maneira lícita, em conformidade com a legislação aplicável e não devem ser alienados, emprestados, cedidos, comercializados, disponibilizados ou negociados por, para ou em nome da ELSYS.
7.8. Uso de Dispositivos Móveis Particulares: O uso de dispositivos móveis, incluindo, mas não se limitando a celulares e tablets particulares na execução de qualquer atividade profissional em benefícios da ELSYS, deve ser previamente registrado e estar em conformidade com as definições e princípios da norma para dispositivos móveis particulares.
7.9. Uso de computadores e serviços cibernéticos pessoais: O uso de computadores e serviços cibernéticos pessoais, tais como e-mail, armazenamento e equipamentos virtuais em nuvem, para a execução de atividades profissionais em benefício da ELSYS, devem ser evitados e apenas podem ocorrer após deliberação e aprovação do Comitê de Segurança da Informação e Privacidade e nos casos de contingência ou emergência, após a situação ser analisada e aprovada pelo gestor responsável da área do colaborador que utilizará o equipamento pessoal.
7.10. Repositórios Digitais e Dispositivos Removíveis: É vedado pela ELSYS, o uso de repositórios digitais de dados e de dispositivos removíveis de armazenamento de dados que sejam pessoais ou não gerenciados e administrados pela ELSYS, mesmo que em caráter provisório ou temporário.
7.11. Aplicativos de mensageria e Comunicação Instantânea: O uso de aplicativos de mensageria e comunicação instantânea para troca de dados e informações corporativas deve ser registrado e controlado, atendendo as regras e disposições da Norma de Mídias Sociais e Aplicativos de Comunicação Instantânea.
7.12. Mídias Sociais: O uso das mídias sociais oficiais para realização das atividades profissionais em favor da ELSYS deve ocorrer de forma controlada e restrita aos objetivos do negócio, devendo tais atividades serem executadas por meio dos recursos tecnológicos e de comunicação providos e autorizados pelos gestores das comunicações oficiais da ELSYS.
7.13. Publicações nas Mídias Sociais: Recomendamos que seja evitada a exposição de opiniões e publicações que sejam discriminatórias, partidárias e que possam afetar a reputação e a idoneidade da ELSYS, de seus colaboradores e sócios. Caso necessite realizar postagens sobre a ELSYS, procure se pautar pelo bom senso e caso tenha dúvidas quanto a melhor forma de fazer, procure os departamentos de Marketing, Gente & Gestão e Jurídico.
7.14. Controle de Acesso: Todo acesso físico e lógico aos ambientes, recursos tecnológicos, serviços, sistemas, ativos e informações da ELSYS devem ser controlados, sendo que as credenciais, tokens, chaves e demais dispositivos de acesso devem ser de uso individual e devem permitir a modificação periódica por parte do custodiante para que exista a responsabilização do indivíduo que realizará a guarda e a preservação do meio de acesso.
7.15. Ambientes Lógicos: Todos os sistemas de informação e recursos tecnológicos que suportam os processos e as informações de negócio da ELSYS devem ser mantidos confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução das atividades profissionais de interesse da ELSYS.
7.16. Áudio, Vídeos e Imagens: Qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da ELSYS, apenas é permitida com a prévia e formal autorização de um gestor e de um encarregado pela proteção das informações, devendo tais tipos de dados permanecerem armazenados em recursos de propriedade e controle exclusivos da ELSYS.
7.17. Salvaguarda (backup): Todas as informações, dados e softwares necessários para a execução dos processos e atividades de negócio da ELSYS devem possuir mecanismos e recursos apropriados de salvaguarda, a fim de atender os requisitos operacionais e legais, assegurando também a continuidade do negócio em casos de falhas e incidentes de segurança.
7.18. Monitoramento: Todos os ambientes tecnológicos e ativos físicos e lógicos de valor e relevância expressivos, devem ser monitorados, visando a proteção e preservação deste patrimônio e da reputação da ELSYS, tornando possível a identificação e a rastreabilidade das ações, eventos e incidentes de segurança da informação que ocorrerem.
7.19. Aquisição de dados: Em nenhuma situação ou condição, dados pessoais, dados sigilosos e/ou sujeitos a direitos de propriedade intelectual ou direito autoral, tais como bases de dados, códigos fonte e outros do gênero, poderão ser adquiridos e utilizados nos processos de negócio da ELSYS. Todo dado ou informação, incluindo código fonte de software, deve possuir a comprovação da origem, da autorização dos titulares e/ou proprietários dos direitos de uso e da legalidade da transação, antes de ser inserido nos ambientes tecnológicos da ELSYS.
7.20. Auditoria e Inspeção: A ELSYS pode auditar ou inspecionar todo e qualquer recurso tecnológico que estiver em suas dependências físicas, lógicas e virtuais ou que tenham autorização para interagir com seus dados, informações e ambientes tecnológicos e operacionais de negócio, independentemente de aviso ou autorização prévios, sempre que considerar necessário e atendendo aos princípios da proporcionalidade, razoabilidade e privacidade dos dados pessoais dos proprietários ou portadores.
7.21. Gestão de Risco: Todos os riscos relacionados à segurança da informação e a segurança cibernética devem ser identificados, registrados, classificados e tratados pela ELSYS em conformidade com as melhores práticas adotadas no Brasil e dentro de ações e medidas razoáveis para evitar perdas e danos à empresa, aos clientes e aos fornecedores e parceiros.
7.22. Gestão de Incidentes: Todos os incidentes e violações de segurança que ocorrerem e/ou forem presenciados por quaisquer colaboradores, terceiros, parceiros, clientes e demais que interajam com os produtos, serviços e processos de negócio da ELSYS devem ser registrados, tratados e acompanhados até a resolução completa e a devida apuração das responsabilidades, atendendo aos princípios de sigilo e tempestividade necessários.
7.23. Comunicação de Eventos: Deverá ser definido e mantido um canal de comunicação unificado com os responsáveis pela segurança da informação e cibernética da ELSYS para que as vulnerabilidades, erros, falhas, incidentes e ocorrências percebidas possam ser tempestivamente comunicados e através do qual haverá o retorno das providências adotadas pela empresa.
7.24. Capacitação e Conscientização: A ELSYS deve estabelecer um programa anual de capacitação e conscientização de segurança da informação e cibernética direcionado ao desenvolvimento e manutenção das habilidades e conhecimentos de todos que necessitarem acessar informações, dados, sistemas e recursos tecnológicos corporativos.
7.25. Atualização e correção: Todos os programas de computador, softwares, aplicativos e equipamentos disponibilizados ou utilizados pela ELSYS, deverão ser mantidos atualizados quanto às correções disponibilizadas pelos fabricantes e quando produzidos internamente, deverão ter as correções internas aplicadas em prazo razoável para que não ocorra a exploração das vulnerabilidades e defeitos identificados nesses ativos.
7.26. Revisão e Atualização: Todos os documentos reguladores sobre segurança da informação e cibernética deverão ser revisados sempre que se fizer necessário, desde que não exceda o período máximo de 12 (dozes) meses, visando à garantia que todos os requisitos técnicos e legais implementados estejam sendo cumpridos e mantidos atualizados.
8. PENALIZADES
8.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente de segurança da informação, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente, o que inclui, mas não se limita, à aplicação de justa causa.
8.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.
9. DISPOSIÇÕES FINAIS
9.1. O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela ELSYS.
10. REVISÃO E APROVAÇÃO
10.1. Este documento foi revisado e atualizado pela ELSYS em outubro de 2024 e esta versão passa a vigorar plenamente após sua aprovação e publicação.
