A Transportadora Contatto reconhece a importância da
Segurança da Informação como ferramenta para cumprimento da sua missão, visão e
valores, bem como investe constantemente no crescimento profissional de seus
colaboradores e em tecnologias que garantam a excelência de seus serviços.
Por isso, é essencial a
proteção dos seus ativos, uma vez que quando utilizados de modo indevido podem
gerar danos irreparáveis à Transportadora Contatto, além de afetar a sua imagem
perante o mercado. Deste modo, preservar ativos como: a informação, equipamentos
tecnológicos e a sua reputação torna-se essencial.
Desta forma, a Política de Segurança da Informação foi
elaborada para garantir a sua aderência à legislação vigente, especialmente no
que tange à Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/2018) e aos
requisitos do negócio.
É responsabilidade de todos, independentemente de cargo
ou função, estarem cientes e cumprirem a Política de Segurança da Informação da
Transportadora Contatto, bem como ter expresso conhecimento dos termos da Política
de Privacidade disponível no site, além de aplicá-las constantemente nas suas
atividades diárias, respeitando e disseminando o seu conteúdo.
Esta Política de Segurança da Informação (PSI) tem como objetivos:
- Declarar formalmente o comprometimento da Direção da
Transportadora Contatto na promoção de diretrizes estratégicas, responsabilidades,
competências, a fim de garantir a proteção dos seus ativos tangíveis e
intangíveis;
- Estabelecer as responsabilidades e os limites de
atuação dos colaboradores da Transportadora Contatto em relação à segurança da
informação, reforçando a cultura interna e priorizando as ações necessárias
conforme o negócio.
Esta PSI é um documento interno, com valor jurídico e aplicabilidade
imediata e indistinta, a partir de sua publicação, aos colaboradores da
Transportadora Contatto.
Considera-se, para os
fins deste PSI, os conceitos abaixo descritos, com base nas disposições
legais e de utilização comum entre os colaboradores:
Ameaça: causa potencial
de um incidente indesejado, que pode resultar em dano à Transportadora
Contatto.
Aplicativos de Comunicação: conjunto de código e instruções compiladas, executados ou
interpretados por um Recurso de Tecnologia da Informação e Comunicação,
armazenados em um dispositivo ou na nuvem, que são usados para troca rápida de
mensagens, conteúdos e informações multimídia.
Ativo: é qualquer coisa
que tenha valor para a Transportadora Contatto e precisa ser adequadamente
protegido.
Ativo Intangível: todo
elemento que possui valor para a Transportadora Contatto e que esteja em
suporte digital ou se constitua de forma abstrata, mas registrável ou
perceptível, a exemplo, mas não se limitando à dados, reputação, imagem, marca
e conhecimento.
Autenticidade: garantia
de que a informação é procedente e fidedigna, sendo capaz de gerar evidências
não repudiáveis da identificação de quem a criou, editou ou emitiu.
Backup: salvaguarda de
informações, realizada por meio de reprodução e/ou espelhamento de uma base de
arquivos, com a finalidade de plena capacidade de recuperação em caso de
incidente ou necessidade de restore, ou ainda, constituição de infraestrutura
de acionamento imediato em caso de incidente ou necessidade justificada da
Transportadora Contatto.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em
vários locais, em suporte eletrônico ou físico.
Colaborador: empregado,
estagiário, prestador de serviço, terceirizado, fornecedor, menor aprendiz ou
qualquer outro indivíduo ou organização que venham a ter relacionamento
profissional, direta ou indiretamente, com a Transportadora Contatto.
Confidencialidade: garantia
de que as informações sejam acessadas somente por aqueles expressamente
autorizados e que sejam devidamente protegidas do conhecimento alheio.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Dado Pessoal: informação relacionada a pessoa natural
identificada ou identificável. Poderão ser igualmente considerados dados
pessoais, para fins do disposto na Lei Geral de Proteção de Dados Pessoais,
aqueles utilizados para formação do perfil comportamental de determinada pessoa
natural, se identificada.
Disponibilidade: garantia
de que as informações e os Recursos de Tecnologia da Informação e Comunicação
estejam disponíveis sempre que necessário e mediante a devida autorização para
seu acesso ou uso.
Dispositivos Móveis: equipamentos
que podem ser facilmente transportados devido a sua portabilidade, com
capacidade de registro, armazenamento ou processamento de informações, além da
possibilidade de estabelecer conexões com a Internet e outros sistemas, redes
ou qualquer dispositivo.
Dispositivos Removíveis de Armazenamento de
Informação: dispositivos capazes de armazenar
informações que pode ser removida do equipamento, possibilitando a
portabilidade dos dados, como CD, DVD e pen drive.
Gestor da informação: colaborador
responsável pela criação/recebimento, classificação, divulgação,
compartilhamento, eliminação e destruição da informação. Também é incumbido da
gestão de validação, liberação e cancelamento dos acessos à informação destes.
Vale ressaltar que tais atividades podem ser delegadas para outro colaborador,
desde que concedidas pelo Gestor da informação.
Homologação: processo de
avaliação e aprovação técnica de Recursos de Tecnologia da Informação e Comunicação
para serem utilizados dentro do ambiente da Transportadora Contatto.
Identidade Digital: é a
identificação do colaborador em ambientes lógicos, sendo composta por seu nome
de usuário (login) e senha ou por outros mecanismos de identificação e autenticação
como crachá magnético, certificado digital, token e biometria.
Incidente de Segurança da Informação e Comunicação: ocorrência identificada de um estado de sistema, dados,
informações, serviço ou rede, que indica possível violação à Política de Segurança
da Informação ou Normas Complementares, falha de controles ou situação
previamente desconhecida, que possa ser relevante à segurança da informação.
Informação: conjunto de
dados que, processados ou não, podem ser utilizados para produção, transmissão e
compartilhamento de conhecimento, contidos em qualquer meio, suporte ou
formato.
Integridade: garantia de
que as informações estejam íntegras durante o seu ciclo de vida.
Internet: rede mundial de
computadores interconectada pelo protocolo TCP/IP cuja infraestrutura tem
caráter aberto e colaborativo, acessível por meio de dispositivos com conexão e
autorizações suficientes e que permite obter informação de qualquer outro
dispositivo que também esteja conectado à rede, desde que configurado
adequadamente.
Legalidade: garantia de
que todas as informações sejam criadas e gerenciadas de acordo com as
disposições do Ordenamento Jurídico em vigor.
Recursos de Tecnologia da Informação e Comunicação
(Recursos de TI): hardware, software, serviços de
conexão e comunicação ou de infraestrutura física necessários para criação,
registro, armazenamento, manuseio, transporte, compartilhamento e descarte de
informações.
Repositórios Digitais (Cyberlockers): Plataformas de armazenamento na Internet, a exemplo de Google
Drive, OneDrive, Dropbox, iCloud, Box, SugarSync, Slideshare e Scribd.
Risco: combinação da
probabilidade da concretização de uma ameaça e seus potenciais impactos.
Segurança da Informação:
é a preservação da confidencialidade, integridade, disponibilidade, legalidade
e autenticidade da informação. Visa proteger a informação dos diversos tipos de
ameaças para garantir a continuidade dos negócios, minimizar os danos aos
negócios, maximizar o retorno dos investimentos e de novas oportunidades de
transação.
Tentativa de Burla: atos
que busquem violar as diretrizes estabelecidas nos documentos normativos da
Transportadora Contatto e sejam frustrados por erro durante o planejamento ou
durante sua execução.
Violação: qualquer
atividade que desrespeite as regras estabelecidas nos documentos normativos da
Transportadora Contatto.
PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
- Preservar e proteger a informação da Transportadora Contatto ou sob
sua responsabilidade, em todo o seu ciclo de vida, contida em qualquer suporte
ou formato, de vulnerabilidades e ameaças;
- Prevenir e reduzir impactos gerados pelos incidentes de segurança da
informação, assegurando a confidencialidade, integridade, disponibilidade,
autenticidade e legalidade no desenvolvimento das atividades profissionais;
- Zelar por relações transparentes e éticas e coibir toda forma de
corrupção, fraude, suborno, favorecimento e extorsão praticados por
colaboradores;
- Cumprir a legislação brasileira e os demais instrumentos
regulamentares relacionados ao negócio no que diz respeito à segurança da
informação.
- As
informações geradas, acessadas, manuseadas, armazenadas ou descartadas no
exercício das atividades realizadas pelos colaboradores, bem como os demais
ativos intangíveis e tangíveis disponibilizados, são de propriedade ou estão
sob a responsabilidade e direito de uso exclusivo da Transportadora Contatto e devem
ser utilizados unicamente para fins profissionais.
- A
utilização de obras intelectuais, softwares, marcas, identidade visual ou
qualquer outro sinal distintivo atual ou futuro da Transportadora Contatto em
qualquer suporte, inclusive na Internet e mídias sociais, deve ser previamente
autorizada pela Transportadora Contatto e vinculada as atividades
profissionais.
- Todas
as informações de propriedade ou sob a responsabilidade da Transportadora
Contatto serão classificadas e protegidas com controles específicos em todo o
seu ciclo de vida.
- É
vedada, a qualquer tempo, a revelação de dados pessoais, dados pessoais
sensíveis, informações de propriedade ou sob a responsabilidade da
Transportadora Contatto, sem a prévia e formal autorização pelo titular dos
dados pessoais, salvo nas hipóteses previstas em lei.
- Os
Recursos de TI de propriedade ou sob a responsabilidade da Transportadora
Contatto devem ser utilizados somente para fins profissionais, de modo lícito,
ético e moral e conforme as regras da Transportadora Contatto.
- A
Transportadora Contatto tem um inventário de hardware e software, sendo ela a
responsável pelo seu registro, armazenamento e atualização.
- Os
dispositivos móveis devem ser utilizados quando fornecidos ou autorizados
prévia e expressamente pelo Gerente da Área do colaborador, conforme a função
do colaborador e as necessidades do negócio.
- Não é permitido o uso de Recursos de
informática ou Dispositivos Móveis particulares na execução de qualquer
atividade profissional, exceto quando autorizado e fundamentado pelo Gerente da
Área do colaborador e aprovado pelo Gerente da Área de TI & Projetos.
- O uso de aplicativos de comunicação
instantânea para troca de informações corporativas deve atender as regras estabelecidas
pela Área de TI & Projetos.
- O
uso das mídias sociais para realização das atividades profissionais em favor da
Transportadora Contatto deve ocorrer somente quando necessário e de forma
restrita aos objetivos do negócio, de acordo com o Código de Conduta e Ética
vigente e a Política de Privacidade Tais atividades devem ser executadas por
meio dos Recursos de TI da Transportadora Contatto ou pela área de Gestão e
Pessoas – Marketing.
- O
colaborador deve ser cauteloso, ético e seguro em relação à sua exposição de
modo que não afete a reputação da Transportadora Contatto, a exemplo de
rotinas, trajetos e contatos, além do dever de preservar o sigilo profissional
nas mídias sociais.
- A Transportadora Contatto controla o
acesso físico e lógico aos seus ambientes, ativos e informações. Desse modo, o
colaborador recebeu uma identidade digital de uso individual, intransferível e,
sempre que aplicável, de conhecimento exclusivo.
- O colaborador é responsável pelo
uso, proteção e sigilo de sua identidade digital, não sendo permitido
compartilhar, revelar, salvar, replicar, publicar ou fazer uso não autorizado
de suas credenciais, tal qual de terceiros.
- Os sistemas e Recursos de TI & Projetos
que suportam os processos e as informações da Transportadora Contatto são
confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para
execução de suas atividades profissionais. Para garantir a segurança acima
estabelecida, A Transportadora Contatto utiliza os seguintes sistemas de
proteção, ativos e atualizados:
- contra programas maliciosos e
acessos indevidos, como antivírus e firewall;
- para indicar tentativas de intrusão
realizada aos ambientes lógicos, como Sistemas de Detecção a Intrusão
(Intrusion Detection Systems) ou IPS (Intrusion Protection Systems);
- contra mensagens eletrônicas
indesejadas ou não autorizadas, como Antispam.
- A
Transportadora Contatto possui proteção física de seus servidores e implementou
controles para identificação e de acessos aos seus ambientes.
- É
vedado aos colaboradores qualquer atividade relacionada a captura de áudio,
vídeo ou imagens dentro das dependências da Transportadora Contatto.
- As
contratações em que ocorram o compartilhamento de informações de propriedade ou
sob a responsabilidade da Transportadora Contatto ou a concessão de acesso aos
seus ambientes ou ativos críticos, devem ser precedidos por termos de
confidencialidade e cláusulas contratuais relacionadas à proteção de dados
pessoais e segurança da informação.
- A
Transportadora Contatto mantém um processo de salvaguarda das informações e dos
dados necessários para completa recuperação dos seus sistemas (backup), a fim
de atender os requisitos operacionais e legais, além de garantir a continuidade
do negócio em caso de falhas ou incidentes ou sua recuperação o mais rápido
possível.
- O andamento e o resultado de uma
mudança, principalmente nos sistemas e na infraestrutura tecnológica da
Transportadora Contatto, devem preservar os controles relacionados a
disponibilidade, integridade, sigilo e autenticidade das informações e
realizados somente pela Área de TI & Projetos.
- A Transportadora Contatto possui um
canal de comunicação divulgado aos seus colaboradores para reportar possíveis
casos de incidentes de segurança da informação: informática@contatto.com.br e
especificamente para questões derivadas da Lei Geral de Proteção de Dados
através dos e-mails: lgpdcontatto@contatto.com.br
ou dpo@contatto.com.br.
- Proteção
de Dados Pessoais: A Transportadora Contatto frisa seu compromisso com relação
à privacidade e proteção dos dados, na forma da Lei Geral de Proteção de Dados
Pessoais (Lei nº. 13.709/2018). Assim deve garantir a disponibilidade,
integridade e confidencialidade dos dados pessoais, em todo o seu tratamento,
desde a coleta até a exclusão, em qualquer formato de armazenamento ou suporte,
tendo o mesmo nível de tratamento de informações confidenciais. A
Transportadora Contatto avalia as seguintes medidas de segurança da informação
quanto ao tratamento de dados pessoais:
- Tratamento autorizado nos
termos da legislação de proteção de dados pessoais vigente;
- Adoção de medidas de
segurança para proteger os dados pessoais de acesso não autorizados, situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
tratamento inadequado ou ilícito;
- Armazenamento de modo
seguro, controlado e protegido, especialmente quando se tratar de dados
pessoais sensíveis, limitando o acesso aos dados por área;
- Processos de anonimização e
pseudonimização, sempre que possível;
- Protocolos de criptografia
na transmissão e armazenamento, quando verificado necessário e/ou possível;
- Descarte seguro dos dados
pessoais ao término de sua finalidade e sua conservação de acordo com as
hipóteses legais e regulatórias;
- Transferência aos Agentes de
Tratamento de modo seguro e contratualmente previsto;
- Mapeamento de fluxos de
dados pessoais;
- Elaboração de relatórios de
impacto à proteção de dados pessoais, quando necessário e/ou solicitado pelo
Usuário dos Dados Pessoais ou pela Agência Nacional de Proteção de Dados (ANPD);
- Gestão e tratamento adequado de incidentes que envolvam dados
pessoais.
- Qualquer
dúvida relativa a esta PSI deve ser encaminhada à Área de Tecnologia da
Informação & Projetos por meio do endereço eletrônico: infomatica@contatto.com.br
- Qualquer
atividade que desrespeite as diretrizes estabelecidas nesta PSI ou em quaisquer
dos documentos complementares da Transportadora Contatto, incluindo a tentativa
de burla, deve ser considerada como uma violação e tratada a fim de apurar as
responsabilidades dos envolvidos de acordo, aplicando-se, quando o caso, as
penalidades cabíveis.
RESPONSABILIDADES
Diretoria:
- Analisar,
aprovar e declarar formalmente o seu comprometimento com esta PSI;
- Aprovar
os investimentos em segurança da informação na Transportadora Contatto,
considerando a viabilidade e os impactos de sua aplicação à qualidade dos
processos de negócio;
- Analisar e aprovar, ou não, as exceções de forma
excepcional a essa PSI.
Área de Cultura e Pessoas
- Realizar
campanhas de capacitação e divulgação da segurança da informação;
- Estipular
controles de segurança especificamente relacionados aos processos de
contratação, encerramento e modificação das atividades dos colaboradores;
- Disponibilizar
os normativos da Transportadora Contatto, além de custodiar e colher assinatura
no competente termo de consentimento.
- Autorizar
ou não, o uso das marcas, identidade visual e qualquer outro sinal distintivo
atual ou futuro da Transportadora Contatto;
- Autorizar
ou não, a gravação de áudio, vídeo ou foto das dependências da Transportadora
Contatto.
Gestor do Colaborador
- Garantir
e gerenciar o cumprimento desta PSI e demais documentos complementares pelos
seus colaboradores;
- Aplicar,
após definição com a área de Gestão Cultura e Pessoas, as sanções de violação
desta PSI e documentos complementares;
- Identificar
incidentes de segurança da informação ou qualquer ação duvidosa praticada por
seus colaboradores, comunicando o DPO imediatamente.
Colaboradores
- Estar
ciente e manter-se atualizado com esta PSI e demais documentos complementares;
- Assinar
o competente termo de consentimento;
- Utilizar
os ativos de propriedade da Transportadora Contatto ou sob sua responsabilidade
de acordo com as orientações do fabricante, do desenvolvedor e da
Transportadora Contatto, com cuidado e zelo;
- Utilizar
os ativos e informações da Transportadora Contatto somente para fins
profissionais, de forma ética e legal, respeitando os direitos e as permissões
de uso concedidas;
- Não
revelar qualquer informação de propriedade ou sob a responsabilidade da
Transportadora Contatto sem a prévia e formal autorização;
- Utilizar
as marcas e outros sinais distintivos, patentes, desenhos industriais,
softwares e demais direitos de propriedade intelectual de titularidade da
Transportadora Contatto somente para finalidades profissionais e autorizadas
pela Transportadora Contatto, de acordo com a atividade e função exercida;
- Cumprir
a legislação nacional vigente e demais instrumentos regulamentares relacionados
às atividades profissionais;
- Reportar
formalmente ao seu Gestor quaisquer eventos relativos à violação ou
possibilidade de violação de segurança ou atividades suspeitas.
Controlador
- Autorizar
ou não, a revelação de qualquer informação de propriedade ou sob a
responsabilidade da Transportadora Contatto;
- Propor,
normas e procedimentos internos relativos à segurança da informação na
Transportadora Contatto, podendo, se necessário, apresentar projetos e
investimentos para a Diretoria;
Operador
- Realizar
a gestão, manutenção e administração dos Recursos de TI de propriedade ou sob a
responsabilidade da Transportadora Contatto;
- Realizar
o registro e o monitoramento dos acessos aos ambientes lógicos da
Transportadora Contatto;
- Garantir
a rápida recuperação em situações de contingência de seus sistemas e processos
que envolvam os Recursos de TI da Transportadora Contatto;
Encarregado –
DPO:
- Promover
cultura de segurança da informação na Transportadora Contatto;
- Aceitar
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
- Receber comunicações da autoridade
nacional e adotar providências;
- Orientar
os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais;
- Auxiliar,
sempre que necessário, a área de Cultura e Pessoas na capacitação dos
colaboradores em segurança de informação;
- Executar
as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares;
- Identificar
violações ou qualquer ação duvidosa praticada pelos colaboradores no uso da
informação da Transportadora Contatto e comunicar ao CSI e ao Gestor do
colaborador.
- Analisar
os incidentes de segurança da informação reportados e submeter relatório para
deliberação da Diretoria, sempre que necessário;
- Fazer
cumprir esta PSI e demais documentos complementares por todos os colaboradores
da Transportadora Contatto;
Termo de Ciência e Responsabilidade
Através da
competente assinatura digital, todos os colaboradores da Transportadora
Contatto, individualmente, receberão o inteiro teor desta PSI, para os fins da
sua formal ciência e reafirmação do compromisso de cumpri-la e disseminá-la.