Política de Segurança da Informação e Cibernética

1. INTRODUÇÃO

Esta Política estabelece as diretrizes gerais de Segurança da Informação e Cibernética adotadas pelo grupo ELSYS, aplicáveis ao tratamento de dados e informações, em meio analógico ou digital, no contexto de suas atividades, processos, produtos e serviços.

2. OBJETIVO

Formalizar as diretrizes gerais relacionadas ao SGSIC – Sistema de Gestão de Segurança da Informação e Cibernética da ELSYS, orientando a proteção de dados, informações e recursos tecnológicos e reforçando o compromisso institucional da ELSYS com a segurança da informação e cibernética.

3. ABRANGÊNCIA

As diretrizes estabelecidas neste documento aplicam-se às atividades, processos e relações que envolvam o tratamento de dados e informações no âmbito das empresas do grupo ELSYS, devendo ser observadas por colaboradores, terceiros, parceiros, fornecedores e demais partes que atuem em nome da ELSYS ou utilizem ativos e informações sob sua responsabilidade.

 

4. SIGLAS E DEFINIÇÕES

Ameaça: Acontecimentos indesejados que podem comprometer os ativos e resultar em danos para a ELSYS.

Ativo: Tudo o que representa valor e que compõe o patrimônio da ELSYS.

Autenticidade: Critério de garantia da procedência de uma informação ou dado, permitindo que a fonte seja identificada, reconhecida e fidedigna, quanto a criação, emissão e edição.

Confidencialidade: Critério de garantia de que as informações, dados e recursos tecnológicos sejam acessados e utilizados somente por aqueles expressamente autorizados e devidamente protegidas do acesso e conhecimento alheio.

Cibernético: Nome dado aos recursos e serviços tecnológicos mantidos, operados e/ou custodiados por fornecedores tecnológicos terceirizados, em plataformas digitais externas à rede tecnológica da ELSYS e que necessitam de estruturas da internet para que possam ser utilizados.

Cibersegurança: Também conhecida como segurança cibernética, é a prática de proteger os recursos digitais definidos, operados e/ou trafegados em estruturas virtuais, em nuvem e\ou relacionadas à internet e que são providas por prestadores de serviços tecnológicos digitais privados ou públicos.

Disponibilidade: Critério de garantia de que as informações, dados e recursos tecnológicos estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

Grupo ELSYS: nomenclatura utilizada para designar todas as filiais, controladas e coligadas relacionadas à ELSYS. Para os fins deste documento, sempre que houver menção à ELSYS, considera-se também, quando aplicável, as empresas do Grupo ELSYS.

Gestor da informação: responsável pela gestão das informações sob sua responsabilidade, incluindo sua classificação, uso, compartilhamento, retenção e proteção, em conformidade com as diretrizes e normativos aplicáveis da ELSYS.

Incidente de Segurança da Informação: Ocorrência identificada de um evento indesejado que afeta ou pode afetar recursos tecnológicos, sistemas, dados e informações, digitais ou analógicas, ocasionando a violação total ou parcial das diretrizes e definições dessa Política ou de Normas Complementares, com possível impacto potencial à integridade, confidencialidade e disponibilidade dos ativos da ELSYS.

Informação: Conjunto de dados digitais e/ou analógicos que são utilizados para produção, transmissão e compartilhamento de conhecimento e/ou para operação dos processos de negócio da ELSYS.

Integridade: Critério de garantia de que as informações, dados e recursos tecnológicos estão completos, corretos e que representam a realidade sobre aquilo a que se referem durante o seu ciclo de vida.

Legalidade: Garantia de que as ações e operações envolvendo dados, informações e recursos tecnológicos estão em conformidade com as disposições do Ordenamento Jurídico Brasileiro em vigor.

Recursos Tecnológicos: Designação dada ao conjunto de sistemas, softwares, aplicativos, equipamentos e serviços que armazenam, processam, transportam e destroem dados e que viabilizam a automação dos processos de negócio.

Firmware: Software desenvolvido, pela ELSYS ou por terceiros e fornecedores, para fazer funcionar um produto ou aparelho específico que permite que as funcionalidades e características desse produto estejam operacionais. Também conhecido como software embarcado nos produtos fabricados e disponibilizados pela ELSYS.

Serviços Cibernéticos: Serviços terceirizados de tecnologia baseados em nuvem e internet, prestados por provedores públicos ou privados.

Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos reguladores, tais como Políticas, Normas, Procedimentos e Códigos da ELSYS.

TIC: sigla para “tecnologia da informação e comunicação”.

5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

5.1. A ELSYS deve preservar e proteger todos os ativos de informação e recursos tecnológicos de sua propriedade ou sob sua responsabilidade, durante todo o ciclo de vida, independente do meio e formato em que estiver contido;

5.2. A ELSYS deve prevenir e reduzir a chance de ocorrência e os impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade dos ativos sob sua responsabilidade;

5.3. A ELSYS deve zelar pela transparência e ética na utilização e nos tratamentos que realizar com os ativos de informação que possui e/ou custodia, coibindo todo e qualquer tipo de violação, ilegalidade ou ação danosa decorrentes do mal uso destes;

5.4. A ELSYS deve cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados à segurança da informação e cibernética em todas as suas operações de negócio, softwares e produtos que envolvam tecnologia.

6. PRINCÍPIOS DE SEGURANÇA CIBERNÉTICA

6.1. A ELSYS deve assegurar que todos os recursos e meios de comunicação de dados através da internet sejam protegidos por senhas, criptografia e recursos que assegurem a proteção e o controle desses ativos;

6.2. A ELSYS apenas se utilizará de provedores de serviços cibernéticos que estiverem em conformidade com as boas práticas de segurança da informação e cibernética e que atenderem as regulamentações e leis brasileiras;

6.3. A ELSYS deve zelar pelo controle e pela proteção de todos os ambientes, recursos e dados digitais em meio cibernético que estiverem sob sua responsabilidade e/ou viabilizarem seus processos de negócio nos meios e canais digitais;

6.4. A ELSYS deve assegurar que todos os produtos, serviços, aplicativos e softwares que produz, comercializa, representa, utiliza e mantém estão alinhados e aderentes aos princípios e conceitos de segurança e privacidade desde o desenho, principalmente aqueles que interagem com estruturas, serviços e comunicações com a internet.

6.5. A ELSYS deve garantir que os softwares e equipamentos de tecnologia que produz, representa e utiliza, inclusive os firmwares, possuem procedência identificada e que os defeitos, vícios, vulnerabilidades e falhas destes sejam periodicamente verificados e tratados para que não gerem exposição excessiva a ataques para a empresa, os parceiros, fornecedores e clientes.

7. DIRETRIZES

7.1. Interpretação: As diretrizes e controles de Segurança da Informação e Cibernética devem ser observados de forma restritiva, de modo que situações não expressamente autorizadas ou regulamentadas sejam tratadas conforme os processos internos aplicáveis e com observância da proteção adequada dos ativos, dados e informações da ELSYS.

7.2. Propriedade: Todos os recursos tecnológicos, dados e informações, gerados, acessados, manuseados, tratados, armazenados e/ou descartados pelos processos e atividades profissionais realizados pela ELSYS ou em nome desta, são considerados ATIVOS da ELSYS e deverão ser inventariados e mantidos sob proteção e controle até o final do ciclo de vida e depreciação total do valor que representam.

7.3. Propriedade Intelectual: A utilização de obras intelectuais, softwares, informações, bases de dados, desenhos industriais, marcas, identidade visual ou qualquer outro sinal distintivo deve respeitar os direitos outorgados pelo autor da obra e caso pertençam à ELSYS, em qualquer meio, inclusive na Internet e mídias sociais, devem ter o uso previamente autorizado pelo responsável ELSYS pela obra e deve estar sempre vinculada as atividades profissionais.

7.4. Classificação da Informação: Todos os recursos tecnológicos e informações, digitais ou analógicas, de propriedade ou sob a responsabilidade da ELSYS, devem ser classificados quanto a propriedade, criticidade e sensibilidade e devem ser protegidos com controles específicos durante todo o ciclo de vida, conforme definido na Norma de Classificação da Informação.

7.5. Sigilo: É vedada, a qualquer tempo, a revelação de informação sigilosa ou sensível de propriedade ou sob a responsabilidade da ELSYS, sem a prévia e formal autorização do gestor da informação, procedendo o registro desses, excetuando-se os ativos com classificação na categoria pública, que possuem definições específicas.

7.6. Retenção e Descarte Seguro: As informações, dados e registros sob responsabilidade da ELSYS devem ser mantidos pelo período aplicável à sua finalidade, requisitos legais, regulatórios ou de negócio e, ao final de seu ciclo de vida, descartados de forma segura e controlada, de modo a evitar acesso, recuperação ou uso indevido.

7.7. Uso dos Ativos: Todos os ativos de propriedade ou sob responsabilidade da ELSYS devem possuir mecanismos de identificação e autenticação individualizados para os usuários e ser utilizados somente em benefício dos processos e atividades de negócio de interesse da ELSYS e em conformidade com as leis e princípios morais e éticos vigentes na sociedade brasileira.

7.8. Entrada de Dados: Todo dado ou informação, digital ou analógico, somente pode ser inserido nos recursos tecnológicos da ELSYS se forem obtidos de maneira lícita, em conformidade com a legislação aplicável e não devem ser alienados, emprestados, cedidos, comercializados, disponibilizados ou negociados por, para ou em nome da ELSYS.

7.9. Uso de Dispositivos Móveis Particulares: O uso de dispositivos móveis particulares em atividades relacionadas à ELSYS deverá observar as diretrizes internas aplicáveis e os requisitos de segurança definidos pela companhia.

7.10. Proteção de Dados Pessoais e Privacidade: O tratamento de dados pessoais realizado no contexto das atividades da ELSYS deve observar a legislação aplicável, os princípios de privacidade e segurança e os normativos internos vigentes, de forma compatível com a finalidade, necessidade e proteção adequada dessas informações.

7.11. Uso de Computadores e Serviços Cibernéticos Particulares: O uso de computadores, contas, serviços de e-mail, armazenamento em nuvem e outros serviços cibernéticos particulares em atividades relacionadas à ELSYS deverá observar as diretrizes internas aplicáveis e somente poderá ocorrer nas hipóteses autorizadas pela companhia.

7.12. Uso de Inteligência Artificial: O uso de soluções de inteligência artificial em atividades relacionadas à ELSYS deverá observar critérios de segurança, privacidade, confidencialidade, conformidade legal e aderência aos normativos internos, sendo vedada a inserção de informações sigilosas, sensíveis, estratégicas ou dados pessoais em ferramentas não aprovadas ou não compatíveis com os requisitos definidos pela companhia.

7.13. Repositórios Digitais e Dispositivos Removíveis: É vedado o uso de repositórios digitais de dados e de dispositivos removíveis de armazenamento que sejam pessoais ou não gerenciados pela ELSYS, ainda que em caráter provisório ou temporário.

7.14. Terceiros e Fornecedores: Terceiros e fornecedores que tenham acesso a dados, informações, sistemas, ambientes ou ativos da ELSYS deverão atuar em conformidade com as diretrizes desta Política, com as obrigações contratuais aplicáveis e com os requisitos de segurança e privacidade definidos pela companhia.

7.15. Aplicativos de Mensageria e Comunicação Instantânea: O uso de aplicativos de mensageria e comunicação instantânea para troca de dados e informações corporativas deve ser registrado e controlado, em conformidade com as regras e disposições da norma aplicável.

7.16. Mídias Sociais: O uso das mídias sociais oficiais para realização das atividades profissionais em favor da ELSYS deve ocorrer de forma controlada e restrita aos objetivos do negócio, devendo tais atividades serem executadas por meio dos recursos tecnológicos e de comunicação providos e autorizados pelos gestores das comunicações oficiais da ELSYS.

7.17. Publicações nas Mídias Sociais: Recomenda-se evitar a exposição de opiniões e publicações discriminatórias, partidárias ou que possam afetar a reputação e a idoneidade da ELSYS, de seus colaboradores e sócios. Em caso de dúvida sobre publicações relacionadas à ELSYS, devem ser observadas as orientações das áreas responsáveis.

7.18. Controle de Acesso: O acesso a ambientes, sistemas, recursos tecnológicos, ativos e informações da ELSYS deve observar critérios de autorização, proteção e responsabilidade compatíveis com a natureza da informação e com os processos internos aplicáveis.

7.19. Trabalho Remoto: As atividades realizadas em regime remoto deverão observar os requisitos de segurança da informação, privacidade e proteção dos ativos da ELSYS, incluindo o uso adequado dos recursos disponibilizados, a proteção do ambiente de trabalho e a adoção dos cuidados necessários para evitar acessos não autorizados, exposição indevida ou perda de informações.

7.20. Ambientes Lógicos: Todos os sistemas de informação e recursos tecnológicos que suportam os processos e as informações de negócio da ELSYS devem ser mantidos confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução das atividades profissionais de interesse da ELSYS.

7.21. Áudio, Vídeos e Imagens: Qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da ELSYS, apenas é permitida com a prévia e formal autorização de um gestor e de um encarregado pela proteção das informações, devendo tais tipos de dados permanecerem armazenados em recursos de propriedade e controle exclusivos da ELSYS.

7.22. Salvaguarda (backup): Todas as informações, dados e softwares necessários para a execução dos processos e atividades de negócio da ELSYS devem possuir mecanismos e recursos apropriados de salvaguarda, a fim de atender os requisitos operacionais e legais, assegurando também a continuidade do negócio em casos de falhas e incidentes de segurança.

7.23. Monitoramento: Todos os ambientes tecnológicos e ativos físicos e lógicos de valor e relevância expressivos, devem ser monitorados, visando a proteção e preservação deste patrimônio e da reputação da ELSYS, tornando possível a identificação e a rastreabilidade das ações, eventos e incidentes de segurança da informação que ocorrerem.

7.24. Aquisição de dados: Em nenhuma situação ou condição, dados pessoais, dados sigilosos e/ou sujeitos a direitos de propriedade intelectual ou direito autoral, tais como bases de dados, códigos fonte e outros do gênero, poderão ser adquiridos e utilizados nos processos de negócio da Todo dado ou informação, incluindo código fonte de software, deve possuir a comprovação da origem, da autorização dos titulares e/ou proprietários dos direitos de uso e da legalidade da transação, antes de ser inserido nos ambientes tecnológicos da ELSYS.

7.25. Auditoria e Inspeção: A ELSYS pode auditar ou inspecionar todo e qualquer recurso tecnológico que estiver em suas dependências físicas, lógicas e virtuais ou que tenham autorização para interagir com seus dados, informações e ambientes tecnológicos e operacionais de negócio, independentemente de aviso ou autorização prévios, sempre que considerar necessário e atendendo aos princípios da proporcionalidade, razoabilidade e privacidade dos dados pessoais dos proprietários ou portadores.

7.26. Gestão de Risco: Todos os riscos relacionados à segurança da informação e a segurança cibernética devem ser identificados, registrados, classificados e tratados pela ELSYS em conformidade com as melhores práticas adotadas no Brasil e dentro de ações e medidas razoáveis para evitar perdas e danos à empresa, aos clientes e aos fornecedores e parceiros.

7.27. Gestão de Incidentes: Incidentes e violações de segurança identificados no contexto das operações da ELSYS deverão ser comunicados e tratados de acordo com os processos internos aplicáveis, observados os princípios de sigilo, tempestividade e proporcionalidade.

7.28. Comunicação de Eventos: A ELSYS deverá manter canais apropriados para comunicação de vulnerabilidades, erros, falhas, incidentes e demais ocorrências relacionadas à segurança da informação e cibernética, assegurando o tratamento adequado das comunicações recebidas.

7.29. Capacitação e Conscientização: A ELSYS deve estabelecer um programa anual de capacitação e conscientização de segurança da informação e cibernética direcionado ao desenvolvimento e manutenção das habilidades e conhecimentos de todos que necessitarem acessar informações, dados, sistemas e recursos tecnológicos corporativos.

7.30. Atualização e correção: Todos os programas de computador, softwares, aplicativos e equipamentos disponibilizados ou utilizados pela ELSYS, deverão ser mantidos atualizados quanto às correções disponibilizadas pelos fabricantes e quando produzidos internamente, deverão ter as correções internas aplicadas em prazo razoável para que não ocorra a exploração das vulnerabilidades e defeitos identificados nesses ativos.

7.31. Revisão e Atualização: Todos os documentos reguladores sobre segurança da informação e cibernética deverão ser revisados sempre que necessário e, obrigatoriamente, em periodicidade não superior a 12 (doze) meses, ou sempre que houver alteração relevante de contexto regulatório, tecnológico, organizacional ou de risco.

8. PENALIZADES

8.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente de segurança da informação, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente, o que inclui, mas não se limita, à aplicação de justa causa.
8.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.

9. DISPOSIÇÕES FINAIS

9.1. Este documento deverá ser lido e interpretado em conjunto com as leis brasileiras aplicáveis, bem como com as normas, procedimentos e demais instrumentos reguladores vigentes da ELSYS.

10. REVISÃO E APROVAÇÃO

10.1. Esta Política foi aprovada em junho de 2026 e entra em vigor em 1º de junho de 2026, podendo ser revisada periodicamente ou sempre que houver necessidade de atualização, em conformidade com os processos de governança documental da ELSYS.

TESTE