Política de Segurança da Informação
1. INTRODUÇÃO
Este documento de Política de Segurança da Informação é destinado a representar os principais direcionadores executivos sobre a confidencialidade, a disponibilidade e a integridade das informações corporativas da ELSYS.
É uma responsabilidade de todos, independentemente de cargo ou função, estarem cientes e cumprirem as diretrizes desta Política de Segurança da Informação, além de buscar a aplicação prática destas em todas as suas atividades profissionais e pessoais envolvendo os sistemas de informação e o tratamento dos dados sob custódia e proteção da ELSYS.
2. OBJETIVO
Formalizar as diretrizes estratégicas relacionadas ao SGSI – Sistema de Gestão de Segurança da Informação da ELSYS, garantindo a proteção das informações e estabelecendo os principais objetivos de controle e ações para consolidação de uma cultura de segurança da informação.
3. ABRANGÊNCIA
Este documento público e corporativo da ELSYS estabelece as diretrizes para todas as atividades, processos e ações relacionadas ao uso dos sistemas de informação e ao tratamento de informações corporativas da ELSYS. Possui valor jurídico e aplicabilidade imediata e indistinta, com vigência a partir da data de sua publicação. Deve ser respeitado por todos os colaboradores, terceiros, parceiros, fornecedores e clientes que utilizarem os sistemas de informação disponibilizados para tratar dados de propriedade ou sob custódia da ELSYS.
4. SIGLAS E DEFINIÇÕES
Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano a ELSYS.
Ativo: É qualquer coisa que tenha valor para a ELSYS e precisa ser adequadamente protegido.
Autenticidade: Garantia de que a informação é procedente e fidedigna, sendo capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu.
Confidencialidade: Garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento alheio.
Disponibilidade: Garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
Gestor da informação ou de Área: Colaborador responsável pela criação/recebimento, classificação, divulgação, compartilhamento, eliminação e destruição da informação. Também é incumbido da gestão de validação, liberação e cancelamento dos acessos à informação destes. Vale ressaltar que tais atividades podem ser delegadas para outro colaborador, desde que concedidas pelo Gestor da informação.
Incidente de Segurança da Informação: Ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou Normas Complementares, falha de controles ou situação previamente desconhecida, que possa ser relevante à segurança da informação.
Informação: Conjunto de dados que, processados ou não, podem ser tratados ou utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.
Integridade: Garantia de que as informações estão completas, corretas e representam a realidade sobre aquilo a que se referem durante o seu ciclo de vida.
Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico Brasileiro em vigor.
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos reguladores, tais como Políticas, Normas, Procedimentos e Códigos da ELSYS.
5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
5.1. A ELSYS deve preservar e proteger toda a informação de sua propriedade ou sob sua custódia, durante todo o ciclo de vida, independente do meio e formato em que estiver contida;
5.2. A ELSYS deve prevenir e reduzir a chance de ocorrência e os impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações que trata em suas operações;
5.3. A ELSYS deve zelar pela transparência e ética na utilização e tratamentos que realizar com as informações que possui e/ou custodia, coibindo todo e qualquer tipo de violação, ilegalidade ou ação danosa decorrentes do mal uso destas informações;
5.4. A ELSYS deve cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados à segurança da informação em todas as suas operações de negócio.
6. DIRETRIZES GERAIS DE SEGURANÇA DA INFORMAÇÃO
6.1. Interpretação: Todos os documentos reguladores, Políticas, Normas e Procedimentos de Segurança da Informação devem ser interpretados de forma FECHADA ou RESTRITIVA, ou seja, tudo o que não estiver sendo tratado ou referenciado nos documentos só deve ser realizado após prévia autorização ou deliberação do Comitê de Segurança da Informação e Privacidade da ELSYS.
6.2. Propriedade: Todas as informações geradas, acessadas, manuseadas, tratadas, armazenadas e descartadas nos processos e atividades profissionais realizadas pela ELSYS ou em nome desta, são consideradas ATIVOS de propriedade da ELSYS e deverão ser mantidos controlados até a depreciação total do valor que representam ou o final do ciclo de vida.
6.3. Propriedade Intelectual: A utilização de obras intelectuais, softwares, bases de dados, desenhos industriais, marcas, identidade visual ou qualquer outro sinal distintivo atual ou futuro da ELSYS em qualquer meio, inclusive na Internet e mídias sociais, deve ser previamente autorizada pelo gestor responsável pela obra e deve estar sempre vinculada as atividades profissionais.
6.4. Classificação da Informação: Todas as informações de propriedade ou sob a responsabilidade da ELSYS devem ser classificadas e protegidas com controles específicos em todo o ciclo de vida, conforme definido na Norma de Classificação da Informação.
6.5. Sigilo: É vedada, a qualquer tempo, a revelação de informação sigilosa ou sensível de propriedade ou sob a responsabilidade da ELSYS, sem a prévia e formal autorização do gestor responsável pela informação e registro, excetuando-se a informação pública.
6.6. Uso dos Ativos: Os ativos de propriedade ou sob responsabilidade da ELSYS devem ser utilizados somente em benefício dos processos e atividades de negócio de interesse da ELSYS e em conformidade com as leis e princípios morais e éticos vigentes na sociedade brasileira.
6.7. Entrada de Dados: Todo dado ou informação somente pode ser inserido nos sistemas de informação e nos equipamentos e redes de tecnologia da ELSYS se forem obtidos de maneira lícita, em conformidade com a legislação aplicável e não devem ser alienados, emprestados, cedidos, comercializados, disponibilizados ou negociados por, para ou em nome da ELSYS.
6.8. Uso dos Recursos de TIC/Dispositivos Móveis Particulares: O uso de Recursos de tecnologia da informação e comunicação de dados, incluindo dispositivos móveis e celulares particulares na execução de qualquer atividade profissional deve ser previamente registrado e autorizado por um Gestor e encarregados pela proteção das informações corporativas.
6.9. Repositórios Digitais e Dispositivos Removíveis: É vedado o uso de repositórios digitais ou dispositivos removíveis pessoais e não autorizados pela ELSYS, mesmo que em caráter provisório, para armazenar ou transmitir quaisquer tipos de dados e informações corporativas.
6.10. Aplicativos de mensageria e Comunicação Instantânea: O uso de aplicativos de mensageria e comunicação instantânea para troca de dados e informações corporativas deve ser registrado e controlado, atendendo as regras e disposições da Norma de Mídias Sociais e Aplicativos de Comunicação Instantânea.
6.11. Mídias Sociais: O uso das mídias sociais oficiais para realização das atividades profissionais em favor da ELSYS deve ocorrer de forma controlada e restrita aos objetivos do negócio, devendo tais atividades serem executadas por meio dos recursos tecnológicos e de comunicação providos e autorizados pelos gestores das comunicações oficiais da ELSYS.
6.12. Publicações nas Mídias Sociais: Recomendamos que seja evitada a exposição de opiniões e publicações que sejam discriminatórias, partidárias e que possam afetar a reputação e a idoneidade da ELSYS, de seus colaboradores e sócios. Caso necessite realizar postagens sobre a ELSYS, procure se pautar pelo bom senso e caso tenha dúvidas quanto a melhor forma de fazer, procure os departamentos de Marketing, Gente & Gestão e Jurídico.
6.13. Controle de Acesso: Todo acesso físico e lógico aos ambientes, recursos tecnológicos, ativos e informações da ELSYS devem ser controlados, sendo que as credenciais, tokens, chaves e demais dispositivos de acesso devem ser mantidos para uso individual, em caráter intransferível e mantidos em condições que não permitam a alienação e a divulgação.
6.14. Ambientes Lógicos: Todos os sistemas de informação e Recursos de TIC que suportam os processos e as informações de negócio da ELSYS devem ser mantidos confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução das atividades profissionais de interesse da ELSYS.
6.15. Áudio, Vídeos e Imagens: Qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da ELSYS, devem possuir a prévia e formal autorização de um gestor e de um encarregado pela proteção das informações, devendo tais tipos de dados permanecerem armazenados em recursos de propriedade e controle exclusivos da ELSYS.
6.16. Salvaguarda (backup): Todas as informações e dados necessários para a execução dos processos e atividades de negócio da ELSYS devem possuir mecanismos e recursos apropriados de salvaguarda, a fim de atender os requisitos operacionais e legais, além de assegurar a continuidade do negócio em casos de falhas e incidentes de segurança.
6.17. Monitoramento: Todos os ambientes e ativos físicos e lógicos de valor e relevância expressivos, devem ser providos de recursos e controles que permitam a monitoração pela ELSYS, visando a proteção e preservação deste patrimônio e a preservação da reputação e da identificação e rastreabilidade sobre eventos e incidentes de segurança da informação.
6.18. Aquisição de dados: Em nenhuma situação ou condição, dados pessoais, sigilosos e/ou sujeitos a direitos de propriedade intelectual ou direito autoral poderão ser adquiridos e utilizados nos sistemas de informação e recursos de TI da ELSYS sem que exista comprovação de autorização dos titulares e/ou proprietários dos dados e da legalidade da transação.
6.19. Auditoria e Inspeção: A ELSYS pode auditar ou inspecionar todo e qualquer Recurso de TIC que estiver em suas dependências ou que tenham autorização para interagir com seus dados, informações e ambientes operacionais de negócio, independentemente de aviso ou autorização prévios, sempre que considerar necessário e atendendo aos princípios da proporcionalidade, razoabilidade e privacidade dos dados pessoais dos proprietários ou portadores.
6.20. Gestão de Risco: Todos os riscos relacionados à segurança da informação devem ser identificados, registrados, classificados e tratados pela Tecnologia da Informação da ELSYS em conformidade com as melhores práticas adotadas no Brasil e dentro de ações e medidas razoáveis para evitar perdas e danos.
6.21. Gestão de Incidentes: Todos os incidentes e violações de segurança que ocorrerem e/ou forem presenciados por quaisquer colaboradores, terceiros, parceiros e demais participantes dos processos de negócio da ELSYS devem ser registrados, tratados e acompanhados até a resolução completa e a devida apuração das responsabilidades, atendendo aos princípios de sigilo e tempestividade necessários.
6.22. Capacitação: A ELSYS deve estabelecer um plano periódico e anual de capacitação direcionado ao desenvolvimento, capacitação e manutenção das habilidades e conhecimentos sobre segurança da informação para todos os que necessitarem acessar informações, dados, sistemas e recursos de TIC corporativos.
6.23. Revisão e Atualização: A ELSYS deve possuir e manter um programa de revisão/atualização desta PSI e das Normas Complementares sempre que se fizer necessário, desde que não exceda o período máximo de 12 (dozes) meses, visando à garantia que todos os requisitos de segurança técnicos e legais implementados estejam sendo cumpridos e atualizados.
7. PENALIDADES
7.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente de segurança da informação, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.
7.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.
8. DISPOSIÇÕES FINAIS
O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela ELSYS.
9. REVISÃO E APROVAÇÃO
Este documento foi revisado e atualizado pela ELSYS em Agosto de 2023 e esta versão passa a vigorar plenamente após sua aprovação e publicação.