Política de Segurança da Informação

1. INTRODUÇÃO

Este documento de Política de Segurança da Informação é destinado a representar os principais direcionadores executivos sobre a confidencialidade, a disponibilidade e a integridade das informações corporativas da ELSYS.

É uma responsabilidade de todos, independentemente de cargo ou função, estarem cientes e cumprirem as diretrizes desta Política de Segurança da Informação, além de buscar a aplicação prática destas em todas as suas atividades profissionais e pessoais envolvendo os sistemas de informação e o tratamento dos dados sob custódia e proteção da ELSYS.

 

 

2. OBJETIVO

Formalizar as diretrizes estratégicas relacionadas ao SGSI – Sistema de Gestão de Segurança da Informação da ELSYS, garantindo a proteção das informações e estabelecendo os principais objetivos de controle e ações para consolidação de uma cultura de segurança da informação.

 

 

3. ABRANGÊNCIA

Este documento público e corporativo da ELSYS estabelece as diretrizes para todas as atividades, processos e ações relacionadas ao uso dos sistemas de informação e ao tratamento de informações corporativas da ELSYS. Possui valor jurídico e aplicabilidade imediata e indistinta, com vigência a partir da data de sua publicação. Deve ser respeitado por todos os colaboradores, terceiros, parceiros, fornecedores e clientes que utilizarem os sistemas de informação disponibilizados para tratar dados de propriedade ou sob custódia da ELSYS.

 

 

4. SIGLAS E DEFINIÇÕES

Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano a ELSYS.

Ativo: É qualquer coisa que tenha valor para a ELSYS e precisa ser adequadamente protegido.

Autenticidade: Garantia de que a informação é procedente e fidedigna, sendo capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu.

Confidencialidade: Garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento alheio.

Disponibilidade: Garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

Gestor da informação ou de Área: Colaborador responsável pela criação/recebimento, classificação, divulgação, compartilhamento, eliminação e destruição da informação. Também é incumbido da gestão de validação, liberação e cancelamento dos acessos à informação destes. Vale ressaltar que tais atividades podem ser delegadas para outro colaborador, desde que concedidas pelo Gestor da informação.

Incidente de Segurança da Informação: Ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou Normas Complementares, falha de controles ou situação previamente desconhecida, que possa ser relevante à segurança da informação.

Informação: Conjunto de dados que, processados ou não, podem ser tratados ou utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.

Integridade: Garantia de que as informações estão completas, corretas e representam a realidade sobre aquilo a que se referem durante o seu ciclo de vida.

Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico Brasileiro em vigor.

Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos reguladores, tais como Políticas, Normas, Procedimentos e Códigos da ELSYS.

 

5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

5.1. A ELSYS deve preservar e proteger toda a informação de sua propriedade ou sob sua custódia, durante todo o ciclo de vida, independente do meio e formato em que estiver contida;

5.2. A ELSYS deve prevenir e reduzir a chance de ocorrência e os impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações que trata em suas operações;

5.3. A ELSYS deve zelar pela transparência e ética na utilização e tratamentos que realizar com as informações que possui e/ou custodia, coibindo todo e qualquer tipo de violação, ilegalidade ou ação danosa decorrentes do mal uso destas informações;

5.4. A ELSYS deve cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados à segurança da informação em todas as suas operações de negócio.

 

6. DIRETRIZES GERAIS DE SEGURANÇA DA INFORMAÇÃO

6.1. Interpretação: Todos os documentos reguladores, Políticas, Normas e Procedimentos de Segurança da Informação devem ser interpretados de forma FECHADA ou RESTRITIVA, ou seja, tudo o que não estiver sendo tratado ou referenciado nos documentos só deve ser realizado após prévia autorização ou deliberação do Comitê de Segurança da Informação e Privacidade da ELSYS.

6.2. Propriedade: Todas as informações geradas, acessadas, manuseadas, tratadas, armazenadas e descartadas nos processos e atividades profissionais realizadas pela ELSYS ou em nome desta, são consideradas ATIVOS de propriedade da ELSYS e deverão ser mantidos controlados até a depreciação total do valor que representam ou o final do ciclo de vida.

6.3. Propriedade Intelectual: A utilização de obras intelectuais, softwares, bases de dados, desenhos industriais, marcas, identidade visual ou qualquer outro sinal distintivo atual ou futuro da ELSYS em qualquer meio, inclusive na Internet e mídias sociais, deve ser previamente autorizada pelo gestor responsável pela obra e deve estar sempre vinculada as atividades profissionais.

6.4. Classificação da Informação: Todas as informações de propriedade ou sob a responsabilidade da ELSYS devem ser classificadas e protegidas com controles específicos em todo o ciclo de vida, conforme definido na Norma de Classificação da Informação.

6.5. Sigilo: É vedada, a qualquer tempo, a revelação de informação sigilosa ou sensível de propriedade ou sob a responsabilidade da ELSYS, sem a prévia e formal autorização do gestor responsável pela informação e registro, excetuando-se a informação pública.

6.6. Uso dos Ativos: Os ativos de propriedade ou sob responsabilidade da ELSYS devem ser utilizados somente em benefício dos processos e atividades de negócio de interesse da ELSYS e em conformidade com as leis e princípios morais e éticos vigentes na sociedade brasileira.

6.7. Entrada de Dados: Todo dado ou informação somente pode ser inserido nos sistemas de informação e nos equipamentos e redes de tecnologia da ELSYS se forem obtidos de maneira lícita, em conformidade com a legislação aplicável e não devem ser alienados, emprestados, cedidos, comercializados, disponibilizados ou negociados por, para ou em nome da ELSYS.

6.8. Uso dos Recursos de TIC/Dispositivos Móveis Particulares: O uso de Recursos de tecnologia da informação e comunicação de dados, incluindo dispositivos móveis e celulares particulares na execução de qualquer atividade profissional deve ser previamente registrado e autorizado por um Gestor e encarregados pela proteção das informações corporativas.

6.9. Repositórios Digitais e Dispositivos Removíveis: É vedado o uso de repositórios digitais ou dispositivos removíveis pessoais e não autorizados pela ELSYS, mesmo que em caráter provisório, para armazenar ou transmitir quaisquer tipos de dados e informações corporativas.

6.10. Aplicativos de mensageria e Comunicação Instantânea: O uso de aplicativos de mensageria e comunicação instantânea para troca de dados e informações corporativas deve ser registrado e controlado, atendendo as regras e disposições da Norma de Mídias Sociais e Aplicativos de Comunicação Instantânea.

6.11. Mídias Sociais: O uso das mídias sociais oficiais para realização das atividades profissionais em favor da ELSYS deve ocorrer de forma controlada e restrita aos objetivos do negócio, devendo tais atividades serem executadas por meio dos recursos tecnológicos e de comunicação providos e autorizados pelos gestores das comunicações oficiais da ELSYS.

6.12. Publicações nas Mídias Sociais: Recomendamos que seja evitada a exposição de opiniões e publicações que sejam discriminatórias, partidárias e que possam afetar a reputação e a idoneidade da ELSYS, de seus colaboradores e sócios. Caso necessite realizar postagens sobre a ELSYS, procure se pautar pelo bom senso e caso tenha dúvidas quanto a melhor forma de fazer, procure os departamentos de Marketing, Gente & Gestão e Jurídico.

6.13. Controle de Acesso: Todo acesso físico e lógico aos ambientes, recursos tecnológicos, ativos e informações da ELSYS devem ser controlados, sendo que as credenciais, tokens, chaves e demais dispositivos de acesso devem ser mantidos para uso individual, em caráter intransferível e mantidos em condições que não permitam a alienação e a divulgação.

6.14. Ambientes Lógicos: Todos os sistemas de informação e Recursos de TIC que suportam os processos e as informações de negócio da ELSYS devem ser mantidos confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução das atividades profissionais de interesse da ELSYS.

6.15. Áudio, Vídeos e Imagens: Qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da ELSYS, devem possuir a prévia e formal autorização de um gestor e de um encarregado pela proteção das informações, devendo tais tipos de dados permanecerem armazenados em recursos de propriedade e controle exclusivos da ELSYS.

6.16. Salvaguarda (backup): Todas as informações e dados necessários para a execução dos processos e atividades de negócio da ELSYS devem possuir mecanismos e recursos apropriados de salvaguarda, a fim de atender os requisitos operacionais e legais, além de assegurar a continuidade do negócio em casos de falhas e incidentes de segurança.

6.17. Monitoramento: Todos os ambientes e ativos físicos e lógicos de valor e relevância expressivos, devem ser providos de recursos e controles que permitam a monitoração pela ELSYS, visando a proteção e preservação deste patrimônio e a preservação da reputação e da identificação e rastreabilidade sobre eventos e incidentes de segurança da informação.

6.18. Aquisição de dados: Em nenhuma situação ou condição, dados pessoais, sigilosos e/ou sujeitos a direitos de propriedade intelectual ou direito autoral poderão ser adquiridos e utilizados nos sistemas de informação e recursos de TI da ELSYS sem que exista comprovação de autorização dos titulares e/ou proprietários dos dados e da legalidade da transação.

6.19. Auditoria e Inspeção: A ELSYS pode auditar ou inspecionar todo e qualquer Recurso de TIC que estiver em suas dependências ou que tenham autorização para interagir com seus dados, informações e ambientes operacionais de negócio, independentemente de aviso ou autorização prévios, sempre que considerar necessário e atendendo aos princípios da proporcionalidade, razoabilidade e privacidade dos dados pessoais dos proprietários ou portadores.

6.20. Gestão de Risco: Todos os riscos relacionados à segurança da informação devem ser identificados, registrados, classificados e tratados pela Tecnologia da Informação da ELSYS em conformidade com as melhores práticas adotadas no Brasil e dentro de ações e medidas razoáveis para evitar perdas e danos.

6.21. Gestão de Incidentes: Todos os incidentes e violações de segurança que ocorrerem e/ou forem presenciados por quaisquer colaboradores, terceiros, parceiros e demais participantes dos processos de negócio da ELSYS devem ser registrados, tratados e acompanhados até a resolução completa e a devida apuração das responsabilidades, atendendo aos princípios de sigilo e tempestividade necessários.

6.22. Capacitação: A ELSYS deve estabelecer um plano periódico e anual de capacitação direcionado ao desenvolvimento, capacitação e manutenção das habilidades e conhecimentos sobre segurança da informação para todos os que necessitarem acessar informações, dados, sistemas e recursos de TIC corporativos.

6.23. Revisão e Atualização: A ELSYS deve possuir e manter um programa de revisão/atualização desta PSI e das Normas Complementares sempre que se fizer necessário, desde que não exceda o período máximo de 12 (dozes) meses, visando à garantia que todos os requisitos de segurança técnicos e legais implementados estejam sendo cumpridos e atualizados.

 

7. PENALIDADES

7.1. Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política será tratada como uma violação e deve ser registrada e tratada como um incidente de segurança da informação, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.

7.2. A simples tentativa de burlar quaisquer das diretrizes e controles estabelecidos nesta política, quando constatada, deve ser tratada como uma violação ou incidente de segurança.

 

8. DISPOSIÇÕES FINAIS

O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela ELSYS.

 

9. REVISÃO E APROVAÇÃO

Este documento foi revisado e atualizado pela ELSYS em Agosto de 2023 e esta versão passa a vigorar plenamente após sua aprovação e publicação.