Política de Segurança de Alto Nível

  •  Esta política tem por objetivo estabelecer diretrizes do Sistema de Gestão de Segurança da Informação (SGSI) que permitam aos colaboradores e parceiros de negócios (Empresas prestadoras de serviço que apoiam a entrega das atividades aos nossos clientes) da IBLISS conhecer e adotar padrões de comportamento seguro ao tratar, armazenar, processar, transmitir ou excluir informações no seu ambiente
    digital ou físico; 
  • Garantir a segurança das informações da IBLISS, seus clientes, parceiros, colaboradores ou fornecedores às quais se tem acesso, preservando os requisitos de confidencialidade, integridade, disponibilidade e privacidade; 
  • Prevenir a ocorrência de incidentes de segurança da informação e casos de responsabilidade legal; 
  • Minimizar os riscos de perdas financeiras, desconfiança de clientes e do mercado ou qualquer outro impacto negativo na IBLISS originado de um incidente de segurança da informação.  

Esta política é aplicável a todos os funcionários que utilizam recursos e informações dos ambientes da IBLISS Digital Security.
Neste documento, estão sinalizadas regras corporativas para utilização dos seguintes recursos:

  • Classificação da Informação;
  • Uso apropriado da Internet;
  • Comunicação Eletrônica;
  • Privacidade;
  • Trabalho Remoto;
  • Segurança Lógica e Física;
  • Criptografia;
  • Senhas;
  • Ações de conscientização Interna;
  • Logs e Monitoramento.
  • Alta Direção:

A Alta Direção da IBLISS Digital Security deve se empenhar para:

  • Disseminar as boas práticas contidas nesta Política de Segurança da Informação, bem como em todas as outras Normas e Procedimentos;
  • Apoiar e se comprometer com as diretrizes presentes neste documento;
  • Zelar para que aspectos de Segurança da Informação sejam considerados na execução de todos os projetos da IBLISS Digital Security;
  • Apoiar e participar das ações de conscientização interna promovidas pela IBLISS Digital Security;
  • Apoiar e se comprometer com a sustentação do Sistema de Gestão de Segurança da Informação (SGSI).

Gestores

Cabe aos gestores:

  • Ter atuação exemplar no cumprimento das regras desta Política, suas Normas e seus Procedimentos;
  • Garantir que sua equipe tome conhecimento a respeito desta Política, suas Normas e seus Procedimentos e quaisquer alterações que estas possam sofrer devido a revisões periódicas;
  • Apoiar e participar das ações de conscientização interna promovidas pela IBLISS Digital Security, disseminando-as para sua equipe;
  • Adaptar os processos sob sua responsabilidade conforme diretrizes previstas nesta Política, suas Normas e seu Procedimentos.

Encarregado de Proteção de Dados Pessoais (DPO)

Cabe ao Encarregado de Proteção de Dados Pessoais (DPO):
 
  • “Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências”. (Art.41, § 2º, I, LGPD);
  • “Receber comunicações da Autoridade Nacional e adotar providências”. (Art.41, § 2º, II, LGPD);
  • “Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”. (Art.41, § 2º, III, LGPD);
  • “Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”. (Art.41, § 2º, IV, LGPD).

Demais Colaboradores

Cabe aos demais Colaboradores:

  •  Respeitar esta Política de Segurança da Informação, sob riscos de receber as penalidades cabíveis;
  • Atualizar-se constantemente com relação a esta Política e suas respectivas Normas e Procedimentos;
  • Participar das ações de conscientização interna promovidas pela IBLISS Digital Security;
  • Conhecer suas responsabilidades específicas sobre a Segurança da Informação e sempre buscar aumentar seu conhecimento no assunto;
  • Comunicar às partes responsáveis qualquer indício ou ocorrência de Incidentes de Segurança da Informação, conforme previsto no Procedimento de Gestão de Incidentes de Segurança da Informação;
  • Não compartilhar, sob quaisquer meios, informações classificadas como internas, restritas e confidenciais (conforme Procedimento de Gestão de Documentos, publicado em nossa intranet – Me consulta aí – Diretório: https://iblisscombr.sharepoint.com/sites/meconsultai) da IBLISS Digital Security
    ou que estejam sob sua custódia.

Toda informação criada, transmitida ou processada na IBLISS Digital Security deverá ser rotulada e classificada.
A IBLISS Digital Security adota a seguinte linha de classificação para as suas informações: interna, restrita, confidencial e pública.
A descrição detalhada e o uso apropriado de cada classificação estão disponíveis em nosso Procedimento de Gestão de Documentos disponibilizado em:
https://iblisscombr.sharepoint.com/sites/meconsultai

Os mecanismos de acesso à internet de propriedade da IBLISS Digital Security são de uso profissional. Atividades de cunho pessoal são permitidas, desde que respeitando nosso Código de Ética e Conduta, bem como as regras desta Política.

Restrições

Fica vedado ao usuário utilizar a internet e/ou equipamentos da IBLISS Digital Security para:

  • Fazer download e distribuir qualquer tipo de software ou mídia pirata;
  • Fazer download de software não homologado pela IBLISS Digital Security, conforme previsto no Normativo de Controle de Software;
  • Compartilhar na internet informações da IBLISS Digital Security classificadas como confidencial, restrita ou interna, vide categorização conforme o Procedimento de Gestão de Documentos;
  • Opinar ou falar em nome da IBLISS Digital Security na internet ou em qualquer outro canal de comunicação, com ressalva apenas para atividades consideradas legitimamente profissionais e previamente autorizadas pela IBLISS Digital Security;
  • Acessar sites de jogos, pornografia ou conteúdo impróprio, incluindo, mas não se limitando a conteúdo obsceno, calunioso, difamatório, violento, de propaganda política ou que contenham perseguição baseada em religião, gênero, orientação sexual, etnia  entre outras condições análogas;
  • Acessar, de forma intencional, sites que possam propagar algum tipo de ameaça eletrônica à IBLISS Digital Security;
  • Realizar testes de segurança ou acessos indevidos em ambientes ou dados que não sejam expressamente autorizados pela equipe de gestão

O e-mail corporativo, bem como outras ferramentas de comunicação eletrônica são de uso exclusivamente profissional e não deverão ser utilizadas para outras finalidades.
Ressaltamos, ainda, que toda a informação trafegada através do correio eletrônico corporativo é criptografada.

Em concordância com a Lei Geral de Proteção de Dados (LGPD – Lei N° 13.709), a IBLISS Digital Security busca respeitar a privacidade de seus funcionários, parceiros, fornecedores e clientes, não coletando ou processando dados pessoais ou dados pessoais de caráter sensível sem fundamentos jurídicos e/ou sem o consentimento dos titulares.

O trabalho remoto é permitido pela IBLISS Digital Security desde que sejam respeitadas as regras estabelecidas pela Política de Trabalho Remoto.

Este item respalda os critérios definidos para estabelecer a Segurança Lógica e Física da IBLISS Digital Security.
Todo acesso à informação e aos ativos de informação da IBLISS Digital Security é controlado e revisado periodicamente, com o objetivo de manter a eficácia e a eficiência de nosso Sistema de Gestão de Segurança da Informação (SGSI). Somente pessoas previamente autorizadas possuem acesso às dependências físicas, tanto do condomínio quanto do escritório da IBLISS Digital Security.
Para mais detalhes, é recomendada leitura e a consulta de nossa Política de Controle de Acesso.

Criptografia

A IBLISS Digital Security aplica recursos de criptografia aos principais ativos de informação. Este recurso deve ser manuseado da forma mais adequada possível e por um grupo restrito de usuários da organização, conforme diretrizes de nossa Política de Controles Criptográficos.

Senhas

Senhas são mecanismos de segurança que garantem que as informações estarão disponíveis somente a pessoas autorizadas e sempre que necessário, respeitando toda a confidencialidade e sensibilidade delas.
Detalhes e mais informações a respeito de definição e gerenciamento de senhas podem ser encontrados consultando a nossa Norma para definição de senhas disponibilizada em: https://iblisscombr.sharepoint.com/sites/meconsultai.

Periodicamente, a área de Governança, realiza ações de conscientização interna em Segurança da Informação e Privacidade, valendo-se de materiais direcionados, tais como webinars, publicações na intranet, simulações de phishing e treinamentos interativos, através de cerimônias como Tech Talk.

Todas as exigências à parte desta Política de Segurança da Informação estão documentadas, aprovadas e consideradas em todas as revisões periódicas e avaliações de risco da empresa.

As ações executadas por administradores de recursos tecnológicos geram logs que podem ser extraídos quando solicitados, para fins de monitoramento e auditoria.

São consideradas violações a esta Política as seguintes situações:

  • Qualquer descumprimento das diretrizes previstas neste documento, bem comoas suas normas e procedimentos referenciados;
  • Quaisquer ações ou situações que possam expor a IBLISS Digital Security a perda financeira, de imagem ou de mercado;
  • Uso indevido dos dados corporativos, divulgação de informações confidenciais e divulgação não autorizada de informações consideradas internas;
  • Omissão de detalhes ou informações quanto a potenciais violações a esta Política, suas normas e procedimentos aqui referenciados;
  • Qualquer ato ou atividade que possa comprometer o direito à privacidade de nossos funcionários, parceiros, fornecedores e clientes;
  • Violação aos princípios estabelecidos em nosso Código de Ética e Conduta Profissional;
  • Violações a Política de Ética e Relacionamento com o Cliente que possam causarbimpactos de natureza crítica às relações comerciais entre IBLISS Digital Security e seus clientes.

Para as faltas graves descritas na Seção 13 – Violações, serão aplicáveis as seguintes penalidades, de acordo com a avaliação da falta ocorrida e com a deliberação da diretoria da IBLISS Digital Security:

  • Advertência formal a partir de critérios estabelecidos pelo setor de Recursos
    Humanos;
  • Aplicação de sanções trabalhistas previstas em legislação vigente, podendo culminar em afastamento ou desligamento por justa causa;
  • Processo cível ou criminal;
  • Término ou cessão de contrato de prestação de serviço e fim das relações comerciais;
  • Ressarcimento de potenciais prejuízos à IBLISS Digital Security;
  • Aplicação de outras ações disciplinares presentes na legislação brasileira vigente ou nos códigos de ética e relacionamentos, civis ou comerciais.

A revisão por completo desta política pela área de Governança da IBLISS Digital Security deve ocorrer, obrigatoriamente, em período não superior a 1 (um) ano, ou a
qualquer momento, em virtude de demanda competente ou de necessidade urgente, como por exemplo:

  • Incidentes de Segurança da Informação considerados significativos;
  • Mudanças significativas em modelo de negócio, estrutura organizacional ou infraestrutura física/infraestrutura lógica;
  • Novas tecnologias, metodologias e/ou vulnerabilidades encontradas; ou 
  • Novas necessidades legais, normativas e/ou de mercado.