1. Objetivo e Escopo

Esta política visa proteger os ativos de informação contra todas as ameaças, internas ou externas, deliberadas ou acidentais, garantindo a continuidade dos negócios, minimizando riscos e maximizando o retorno sobre os investimentos e as oportunidades de negócios no ambiente do e-brom.

2. Princípios de Segurança

A confidencialidade, integridade e disponibilidade da informação serão mantidas através de medidas de controle adequadas, visando proteger contra acesso não autorizado, alterações indevidas e interrupções de serviço. (como são/serão?)

3. Gestão de Ativos de Informação

Todos os ativos de informação serão inventariados e classificados em termos de sua importância para o negócio, requisitos legais, sensibilidade e criticidade para a empresa. (como são/serão?)

4. Controle de Acesso

O acesso aos ativos de informação será restrito a autorizações específicas baseadas no princípio do menor privilégio e necessidade de saber. (como é ou será tratado?)

5. Gestão de Riscos

Um processo contínuo de avaliação de riscos será implementado para identificar, quantificar e priorizar riscos contra os ativos de informação. (como é ou será?)

6. Incidentes de Segurança

Procedimentos serão estabelecidos para a gestão e reporte de incidentes de segurança da informação, visando uma resposta rápida e eficaz. (como fazemos ou podemos fazer?)

7. Gestão de Mudanças

Mudanças nos sistemas de informação serão controladas, garantindo a segurança da informação durante todo o processo de mudança. (como é feito ou será feito?)

8. Treinamento e Conscientização

Programas de treinamento serão realizados regularmente para assegurar que todos os colaboradores estejam cientes de suas responsabilidades na proteção da informação.

9. Auditoria e Conformidade

Auditorias regulares serão realizadas para assegurar a conformidade com esta política e identificar oportunidades de melhoria. (como é feito ou será feito?)

10. Revisão e Atualização

Esta política será revisada anualmente e atualizada conforme necessário para refletir mudanças no ambiente de negócios ou legislação.

11. Critérios e Controles conforme Classificação das Informações

As informações serão classificadas em categorias, como Confidencial, Restrito, Interno e Público, com base em sua sensibilidade e importância para a empresa. Para cada categoria, serão aplicados controles específicos de segurança:

Confidencial: Acesso restrito a diretores e gerentes, criptografia forte e armazenamento seguro.

Restrito: Acesso limitado a funcionários específicos, autenticação de dois fatores.

Interno: Acesso controlado dentro da organização, medidas básicas de segurança.

Público: Informações destinadas à divulgação pública, sem necessidade de controles rigorosos.

Estes critérios asseguram que as informações sejam manipuladas e armazenadas de forma adequada, minimizando riscos e garantindo a conformidade com os requisitos de segurança e privacidade.

12. Gestão de Backup e Testes de Restore

Serão implementados processos rigorosos para a execução regular de backups de dados críticos, com a periodicidade definida com base na classificação da informação e na análise de riscos. Os testes de restore serão realizados periodicamente para garantir a integridade e a recuperação eficaz dos dados. Logs detalhados evidenciando a execução desses processos serão mantidos e revisados para assegurar a conformidade e a eficiência das operações de backup e restore. Como é feito hoje?

13. Conformidade dos Prestadores de Serviço

A empresa assegurará que todos os prestadores de serviço contratados, que tenham acesso, processem ou armazenem dados ou informações em nome da empresa, cumpram com os mesmos requisitos de segurança da informação estabelecidos para a organização. Acordos de nível de serviço (SLAs) e contratos incluirão cláusulas específicas de segurança da informação, e auditorias regulares serão realizadas para verificar a conformidade.

14. Revisão da Política

Esta política deve ser revisada e aprovada pela direção da empresa e revisada periodicamente para assegurar sua eficácia e conformidade com as melhores práticas e legislações aplicáveis

15. Aprovação

Esta política foi aprovada nesta data pela direção da empresa e comunicada a todos os envolvidos na gestão e manipulação de informações

Caio C. C. Regatieri - caio.regatieri@ebrom.app

CTO - E-brom

Ribeirão Preto/SP, 08/02/2024