Política de Segurança da Informação e Cibernética
1. INTRODUÇÃO
Esta Política estabelece as diretrizes gerais de Segurança da Informação e Cibernética adotadas pelo grupo ELSYS, aplicáveis ao tratamento de dados e informações, em meio analógico ou digital, no contexto de suas atividades, processos, produtos e serviços.
2. OBJETIVO
Formalizar as diretrizes gerais relacionadas ao SGSIC – Sistema de Gestão de Segurança da Informação e Cibernética da ELSYS, orientando a proteção de dados, informações e recursos tecnológicos e reforçando o compromisso institucional da ELSYS com a segurança da informação e cibernética.
3. ABRANGÊNCIA
As diretrizes estabelecidas neste documento aplicam-se às atividades, processos e relações que envolvam o tratamento de dados e informações no âmbito das empresas do grupo ELSYS, devendo ser observadas por colaboradores, terceiros, parceiros, fornecedores e demais partes que atuem em nome da ELSYS ou utilizem ativos e informações sob sua responsabilidade.
4. SIGLAS E DEFINIÇÕES
Ameaça: Acontecimentos indesejados que podem comprometer os ativos e resultar em danos para a ELSYS.
Ativo: Tudo o que representa valor e que compõe o patrimônio da ELSYS.
Autenticidade: Critério de garantia da procedência de uma informação ou dado, permitindo que a fonte seja identificada, reconhecida e fidedigna, quanto a criação, emissão e edição.
Confidencialidade: Critério de garantia de que as informações, dados e recursos tecnológicos sejam acessados e utilizados somente por aqueles expressamente autorizados e devidamente protegidas do acesso e conhecimento alheio.
Cibernético: Nome dado aos recursos e serviços tecnológicos mantidos, operados e/ou custodiados por fornecedores tecnológicos terceirizados, em plataformas digitais externas à rede tecnológica da ELSYS e que necessitam de estruturas da internet para que possam ser utilizados.
Cibersegurança: Também conhecida como segurança cibernética, é a prática de proteger os recursos digitais definidos, operados e/ou trafegados em estruturas virtuais, em nuvem e\ou relacionadas à internet e que são providas por prestadores de serviços tecnológicos digitais privados ou públicos.
Disponibilidade: Critério de garantia de que as informações, dados e recursos tecnológicos estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
Grupo ELSYS: nomenclatura utilizada para designar todas as filiais, controladas e coligadas relacionadas à ELSYS. Para os fins deste documento, sempre que houver menção à ELSYS, considera-se também, quando aplicável, as empresas do Grupo ELSYS.
Gestor da informação: responsável pela gestão das informações sob sua responsabilidade, incluindo sua classificação, uso, compartilhamento, retenção e proteção, em conformidade com as diretrizes e normativos aplicáveis da ELSYS.
Incidente de Segurança da Informação: Ocorrência identificada de um evento indesejado que afeta ou pode afetar recursos tecnológicos, sistemas, dados e informações, digitais ou analógicas, ocasionando a violação total ou parcial das diretrizes e definições dessa Política ou de Normas Complementares, com possível impacto potencial à integridade, confidencialidade e disponibilidade dos ativos da ELSYS.
Informação: Conjunto de dados digitais e/ou analógicos que são utilizados para produção, transmissão e compartilhamento de conhecimento e/ou para operação dos processos de negócio da ELSYS.
Integridade: Critério de garantia de que as informações, dados e recursos tecnológicos estão completos, corretos e que representam a realidade sobre aquilo a que se referem durante o seu ciclo de vida.
Legalidade: Garantia de que as ações e operações envolvendo dados, informações e recursos tecnológicos estão em conformidade com as disposições do Ordenamento Jurídico Brasileiro em vigor.
Recursos Tecnológicos: Designação dada ao conjunto de sistemas, softwares, aplicativos, equipamentos e serviços que armazenam, processam, transportam e destroem dados e que viabilizam a automação dos processos de negócio.
Firmware: Software desenvolvido, pela ELSYS ou por terceiros e fornecedores, para fazer funcionar um produto ou aparelho específico que permite que as funcionalidades e características desse produto estejam operacionais. Também conhecido como software embarcado nos produtos fabricados e disponibilizados pela ELSYS.
Serviços Cibernéticos: Serviços terceirizados de tecnologia baseados em nuvem e internet, prestados por provedores públicos ou privados.
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos reguladores, tais como Políticas, Normas, Procedimentos e Códigos da ELSYS.
TIC: sigla para “tecnologia da informação e comunicação”.
5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
5.1. A ELSYS deve preservar e proteger todos os ativos de informação e recursos tecnológicos de sua propriedade ou sob sua responsabilidade, durante todo o ciclo de vida, independente do meio e formato em que estiver contido;
5.2. A ELSYS deve prevenir e reduzir a chance de ocorrência e os impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade dos ativos sob sua responsabilidade;
5.3. A ELSYS deve zelar pela transparência e ética na utilização e nos tratamentos que realizar com os ativos de informação que possui e/ou custodia, coibindo todo e qualquer tipo de violação, ilegalidade ou ação danosa decorrentes do mal uso destes;
5.4. A ELSYS deve cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados à segurança da informação e cibernética em todas as suas operações de negócio, softwares e produtos que envolvam tecnologia.
6. PRINCÍPIOS DE SEGURANÇA CIBERNÉTICA
6.1. A ELSYS deve assegurar que todos os recursos e meios de comunicação de dados através da internet sejam protegidos por senhas, criptografia e recursos que assegurem a proteção e o controle desses ativos;
6.2. A ELSYS apenas se utilizará de provedores de serviços cibernéticos que estiverem em conformidade com as boas práticas de segurança da informação e cibernética e que atenderem as regulamentações e leis brasileiras;
6.3. A ELSYS deve zelar pelo controle e pela proteção de todos os ambientes, recursos e dados digitais em meio cibernético que estiverem sob sua responsabilidade e/ou viabilizarem seus processos de negócio nos meios e canais digitais;
6.4. A ELSYS deve assegurar que todos os produtos, serviços, aplicativos e softwares que produz, comercializa, representa, utiliza e mantém estão alinhados e aderentes aos princípios e conceitos de segurança e privacidade desde o desenho, principalmente aqueles que interagem com estruturas, serviços e comunicações com a internet.
6.5. A ELSYS deve garantir que os softwares e equipamentos de tecnologia que produz, representa e utiliza, inclusive os firmwares, possuem procedência identificada e que os defeitos, vícios, vulnerabilidades e falhas destes sejam periodicamente verificados e tratados para que não gerem exposição excessiva a ataques para a empresa, os parceiros, fornecedores e clientes.
7. DIRETRIZES
7.1. Interpretação: As diretrizes e controles de Segurança da Informação e Cibernética devem ser observados de forma restritiva, de modo que situações não expressamente autorizadas ou regulamentadas sejam tratadas conforme os processos internos aplicáveis e com observância da proteção adequada dos ativos, dados e informações da ELSYS.
7.2. Propriedade: Todos os recursos tecnológicos, dados e informações, gerados, acessados, manuseados, tratados, armazenados e/ou descartados pelos processos e atividades profissionais realizados pela ELSYS ou em nome desta, são considerados ATIVOS da ELSYS e deverão ser inventariados e mantidos sob proteção e controle até o final do ciclo de vida e depreciação total do valor que representam.
7.3. Propriedade Intelectual: A utilização de obras intelectuais, softwares, informações, bases de dados, desenhos industriais, marcas, identidade visual ou qualquer outro sinal distintivo deve respeitar os direitos outorgados pelo autor da obra e caso pertençam à ELSYS, em qualquer meio, inclusive na Internet e mídias sociais, devem ter o uso previamente autorizado pelo responsável ELSYS pela obra e deve estar sempre vinculada as atividades profissionais.
7.4. Classificação da Informação: Todos os recursos tecnológicos e informações, digitais ou analógicas, de propriedade ou sob a responsabilidade da ELSYS, devem ser classificados quanto a propriedade, criticidade e sensibilidade e devem ser protegidos com controles específicos durante todo o ciclo de vida, conforme definido na Norma de Classificação da Informação.
7.5. Sigilo: É vedada, a qualquer tempo, a revelação de informação sigilosa ou sensível de propriedade ou sob a responsabilidade da ELSYS, sem a prévia e formal autorização do gestor da informação, procedendo o registro desses, excetuando-se os ativos com classificação na categoria pública, que possuem definições específicas.
7.6. Retenção e Descarte Seguro: As informações, dados e registros sob responsabilidade da ELSYS devem ser mantidos pelo período aplicável à sua finalidade, requisitos legais, regulatórios ou de negócio e, ao final de seu ciclo de vida, descartados de forma segura e controlada, de modo a evitar acesso, recuperação ou uso indevido.
7.7. Uso dos Ativos: Todos os ativos de propriedade ou sob responsabilidade da ELSYS devem possuir mecanismos de identificação e autenticação individualizados para os usuários e ser utilizados somente em benefício dos processos e atividades de negócio de interesse da ELSYS e em conformidade com as leis e princípios morais e éticos vigentes na sociedade brasileira.
7.8. Entrada de Dados: Todo dado ou informação, digital ou analógico, somente pode ser inserido nos recursos tecnológicos da ELSYS se forem obtidos de maneira lícita, em conformidade com a legislação aplicável e não devem ser alienados, emprestados, cedidos, comercializados, disponibilizados ou negociados por, para ou em nome da ELSYS.
7.9. Uso de Dispositivos Móveis Particulares: O uso de dispositivos móveis particulares em atividades relacionadas à ELSYS deverá observar as diretrizes internas aplicáveis e os requisitos de segurança definidos pela companhia.
7.10. Proteção de Dados Pessoais e Privacidade: O tratamento de dados pessoais realizado no contexto das atividades da ELSYS deve observar a legislação aplicável, os princípios de privacidade e segurança e os normativos internos vigentes, de forma compatível com a finalidade, necessidade e proteção adequada dessas informações.
7.11. Uso de Computadores e Serviços Cibernéticos Particulares: O uso de computadores, contas, serviços de e-mail, armazenamento em nuvem e outros serviços cibernéticos particulares em atividades relacionadas à ELSYS deverá observar as diretrizes internas aplicáveis e somente poderá ocorrer nas hipóteses autorizadas pela companhia.
7.12. Uso de Inteligência Artificial: O uso de soluções de inteligência artificial em atividades relacionadas à ELSYS deverá observar critérios de segurança, privacidade, confidencialidade, conformidade legal e aderência aos normativos internos, sendo vedada a inserção de informações sigilosas, sensíveis, estratégicas ou dados pessoais em ferramentas não aprovadas ou não compatíveis com os requisitos definidos pela companhia.
7.13. Repositórios Digitais e Dispositivos Removíveis: É vedado o uso de repositórios digitais de dados e de dispositivos removíveis de armazenamento que sejam pessoais ou não gerenciados pela ELSYS, ainda que em caráter provisório ou temporário.
7.14. Terceiros e Fornecedores: Terceiros e fornecedores que tenham acesso a dados, informações, sistemas, ambientes ou ativos da ELSYS deverão atuar em conformidade com as diretrizes desta Política, com as obrigações contratuais aplicáveis e com os requisitos de segurança e privacidade definidos pela companhia.
7.15. Aplicativos de Mensageria e Comunicação Instantânea: O uso de aplicativos de mensageria e comunicação instantânea para troca de dados e informações corporativas deve ser registrado e controlado, em conformidade com as regras e disposições da norma aplicável.
7.16. Mídias Sociais: O uso das mídias sociais oficiais para realização das atividades profissionais em favor da ELSYS deve ocorrer de forma controlada e restrita aos objetivos do negócio, devendo tais atividades serem executadas por meio dos recursos tecnológicos e de comunicação providos e autorizados pelos gestores das comunicações oficiais da ELSYS.
7.17. Publicações nas Mídias Sociais: Recomenda-se evitar a exposição de opiniões e publicações discriminatórias, partidárias ou que possam afetar a reputação e a idoneidade da ELSYS, de seus colaboradores e sócios. Em caso de dúvida sobre publicações relacionadas à ELSYS, devem ser observadas as orientações das áreas responsáveis.
7.18. Controle de Acesso: O acesso a ambientes, sistemas, recursos tecnológicos, ativos e informações da ELSYS deve observar critérios de autorização, proteção e responsabilidade compatíveis com a natureza da informação e com os processos internos aplicáveis.
7.19. Trabalho Remoto: As atividades realizadas em regime remoto deverão observar os requisitos de segurança da informação, privacidade e proteção dos ativos da ELSYS, incluindo o uso adequado dos recursos disponibilizados, a proteção do ambiente de trabalho e a adoção dos cuidados necessários para evitar acessos não autorizados, exposição indevida ou perda de informações.
7.20. Ambientes Lógicos: Todos os sistemas de informação e recursos tecnológicos que suportam os processos e as informações de negócio da ELSYS devem ser mantidos confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução das atividades profissionais de interesse da ELSYS.
7.21. Áudio, Vídeos e Imagens: Qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da ELSYS, apenas é permitida com a prévia e formal autorização de um gestor e de um encarregado pela proteção das informações, devendo tais tipos de dados permanecerem armazenados em recursos de propriedade e controle exclusivos da ELSYS.
7.22. Salvaguarda (backup): Todas as informações, dados e softwares necessários para a execução dos processos e atividades de negócio da ELSYS devem possuir mecanismos e recursos apropriados de salvaguarda, a fim de atender os requisitos operacionais e legais, assegurando também a continuidade do negócio em casos de falhas e incidentes de segurança.
7.23. Monitoramento: Todos os ambientes tecnológicos e ativos físicos e lógicos de valor e relevância expressivos, devem ser monitorados, visando a proteção e preservação deste patrimônio e da reputação da ELSYS, tornando possível a identificação e a rastreabilidade das ações, eventos e incidentes de segurança da informação que ocorrerem.
7.24. Aquisição de dados: Em nenhuma situação ou condição, dados pessoais, dados sigilosos e/ou sujeitos a direitos de propriedade intelectual ou direito autoral, tais como bases de dados, códigos fonte e outros do gênero, poderão ser adquiridos e utilizados nos processos de negócio da Todo dado ou informação, incluindo código fonte de software, deve possuir a comprovação da origem, da autorização dos titulares e/ou proprietários dos direitos de uso e da legalidade da transação, antes de ser inserido nos ambientes tecnológicos da ELSYS.
7.25. Auditoria e Inspeção: A ELSYS pode auditar ou inspecionar todo e qualquer recurso tecnológico que estiver em suas dependências físicas, lógicas e virtuais ou que tenham autorização para interagir com seus dados, informações e ambientes tecnológicos e operacionais de negócio, independentemente de aviso ou autorização prévios, sempre que considerar necessário e atendendo aos princípios da proporcionalidade, razoabilidade e privacidade dos dados pessoais dos proprietários ou portadores.
7.26. Gestão de Risco: Todos os riscos relacionados à segurança da informação e a segurança cibernética devem ser identificados, registrados, classificados e tratados pela ELSYS em conformidade com as melhores práticas adotadas no Brasil e dentro de ações e medidas razoáveis para evitar perdas e danos à empresa, aos clientes e aos fornecedores e parceiros.
7.27. Gestão de Incidentes: Incidentes e violações de segurança identificados no contexto das operações da ELSYS deverão ser comunicados e tratados de acordo com os processos internos aplicáveis, observados os princípios de sigilo, tempestividade e proporcionalidade.
7.28. Comunicação de Eventos: A ELSYS deverá manter canais apropriados para comunicação de vulnerabilidades, erros, falhas, incidentes e demais ocorrências relacionadas à segurança da informação e cibernética, assegurando o tratamento adequado das comunicações recebidas.
7.29. Capacitação e Conscientização: A ELSYS deve estabelecer um programa anual de capacitação e conscientização de segurança da informação e cibernética direcionado ao desenvolvimento e manutenção das habilidades e conhecimentos de todos que necessitarem acessar informações, dados, sistemas e recursos tecnológicos corporativos.
7.30. Atualização e correção: Todos os programas de computador, softwares, aplicativos e equipamentos disponibilizados ou utilizados pela ELSYS, deverão ser mantidos atualizados quanto às correções disponibilizadas pelos fabricantes e quando produzidos internamente, deverão ter as correções internas aplicadas em prazo razoável para que não ocorra a exploração das vulnerabilidades e defeitos identificados nesses ativos.
7.31. Revisão e Atualização: Todos os documentos reguladores sobre segurança da informação e cibernética deverão ser revisados sempre que necessário e, obrigatoriamente, em periodicidade não superior a 12 (doze) meses, ou sempre que houver alteração relevante de contexto regulatório, tecnológico, organizacional ou de risco.
8. PENALIZADES
8.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente de segurança da informação, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente, o que inclui, mas não se limita, à aplicação de justa causa.
8.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.
9. DISPOSIÇÕES FINAIS
9.1. Este documento deverá ser lido e interpretado em conjunto com as leis brasileiras aplicáveis, bem como com as normas, procedimentos e demais instrumentos reguladores vigentes da ELSYS.
10. REVISÃO E APROVAÇÃO
10.1. Esta Política foi aprovada em junho de 2026 e entra em vigor em 1º de junho de 2026, podendo ser revisada periodicamente ou sempre que houver necessidade de atualização, em conformidade com os processos de governança documental da ELSYS.