Esta Política de Segurança da Informação (PSI) estabelece as diretrizes e os requisitos para proteger as informações da CONVERSYS contra todas as ameaças, internas ou externas, deliberadas ou acidentais, garantindo a continuidade do negócio, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades de negócio.
Esta política aplica-se a todos os funcionários, fornecedores, contratados e outras partes interessadas que tenham acesso às informações e aos sistemas de informação da CONVERSYS, cobrindo todas as formas de informação, incluindo digital, física e verbal.
Para garantir a clareza e facilitar a compreensão desta política, apresentamos os seguintes termos e definições:
A alta direção da CONVERSYS compromete-se com a implementação, manutenção e melhoria contínua do Sistema de Gestão de Segurança da Informação (SGSI), assegurando a alocação adequada de recursos e a revisão regular desta política.
A CONVERSYS adota os princípios de confidencialidade, integridade e disponibilidade como fundamentais para a gestão da segurança da informação, buscando proteger as informações contra acesso não autorizado, assegurar a precisão das informações e garantir a disponibilidade das informações quando necessário.
Compromisso com o SGSI: Assegurar o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria do SGSI.
Alocação de Recursos: Providenciar recursos suficientes para a segurança da informação, incluindo pessoal, tecnologia e financeiro.
Definição de Políticas: Aprovar a política de segurança da informação e quaisquer alterações significativas à mesma.
Liderança do SGSI: Atuar como ponto focal para a gestão da segurança da informação dentro da organização.
Desenvolvimento de Políticas e Procedimentos: Desenvolver, implementar e manter políticas e procedimentos de segurança da informação em linha com os objetivos organizacionais.
Conscientização e Treinamento: Coordenar programas de treinamento e conscientização em segurança da informação para todos os funcionários.
Implementação de Controles: Implementar e manter os controles de segurança técnica de acordo com as diretrizes estabelecidas pelo CISO e pelas políticas de segurança da informação.
Monitoramento e Avaliação: Monitorar e avaliar a eficácia dos controles de segurança da informação e relatar quaisquer deficiências ou incidentes ao CISO.
Implementação do SGSI: Garantir que as políticas e procedimentos de segurança da informação sejam implementados e seguidos dentro de seus respectivos departamentos.
Gestão de Riscos: Identificar e gerir riscos de segurança da informação relacionados às atividades de seu departamento.
Cumprimento das Políticas: Seguir todas as políticas e procedimentos de segurança da informação relevantes para suas atividades.
Reporte de Incidentes: Reportar qualquer suspeita de incidente de segurança da informação de acordo com os procedimentos estabelecidos.
Classificação e Proteção: Classificar as informações de acordo com a política de classificação da organização e garantir a proteção adequada de acordo com o nível de classificação.
Revisão de Acessos: Revisar periodicamente os acessos às informações sob sua responsabilidade para garantir que sejam apropriados.
Propósito e Uso Adequado: Os ativos de informação da CONVERSYS, incluindo redes, dispositivos, aplicações e dados, devem ser utilizados exclusivamente para fins profissionais e de negócios, conforme autorizado pela empresa. Qualquer uso para fins pessoais, sem a devida autorização, é estritamente proibido.
Responsabilidade dos Usuários: Os usuários são responsáveis por qualquer atividade realizada com o uso de suas credenciais e devem assegurar a segurança e a confidencialidade de suas senhas e dispositivos.
Segurança de Dados: É obrigatório seguir todas as políticas e procedimentos de segurança da informação para proteger os dados contra acessos não autorizados, divulgação, alteração, destruição ou uso indevido.
Software e Aplicativos: A instalação de software nos dispositivos da empresa deve ser realizada somente com a aprovação da equipe de TI. Os usuários não devem instalar software não licenciado, pirata ou de fontes não confiáveis, para evitar riscos de segurança.
Acesso à Internet: O acesso à internet deve ser feito de forma responsável e ética. Sites que contêm material ofensivo, perigoso, ilegal ou que violam as políticas da empresa são estritamente proibidos.
Comunicação Eletrônica: As comunicações eletrônicas devem ser utilizadas de maneira profissional. Informações sensíveis ou confidenciais devem ser compartilhadas de forma segura e, preferencialmente, criptografadas
Monitoramento e Conformidade: Os usuários devem estar cientes de que as atividades realizadas nos sistemas e redes da CONVERSYS podem ser monitoradas para assegurar a conformidade com as políticas de uso aceitável.
A política de Tela Limpa e Mesa Limpa da CONVERSYS visa reduzir o risco de exposição acidental de informações sensíveis ou confidenciais. Estas práticas são essenciais para manter a segurança da informação dentro do ambiente de trabalho, seja ele no escritório ou remoto. Abaixo, detalhamos as práticas recomendadas:
Bloqueio Automático: Configure seus dispositivos para bloquear automaticamente após um período de inatividade. Isso minimiza o risco de exposição de informações caso você se afaste do dispositivo.
Encerramento de Sessões: Sempre encerre sessões ativas em aplicativos e serviços da web quando não estiverem em uso, especialmente em dispositivos compartilhados ou públicos.
Proteção de Tela: Use proteções de tela que ocultem o conteúdo da tela quando o dispositivo estiver bloqueado.
Verificação do Ambiente: Antes de sair de sua estação de trabalho ou finalizar uma videochamada, verifique se nenhuma informação sensível está visível na tela para outros.
Documentos e Anotações: Guarde documentos impressos, anotações e materiais sensíveis em armários ou gavetas trancadas quando não estiverem em uso. Não deixe esses materiais em cima da mesa ao se ausentar.
Dispositivos Móveis e Mídia de Armazenamento: Armazene dispositivos móveis, unidades flash, discos externos e qualquer outra mídia de armazenamento em local seguro e trancado quando não estiverem em uso.
Limpeza no Final do Dia: Ao final do dia, certifique-se de que sua mesa esteja livre de qualquer material que contenha informações sensíveis. Isso inclui limpar quadros brancos utilizados em reuniões ou brainstormings.
Descarte Seguro: Utilize trituradores de papel ou pontos de coleta seguros para o descarte de documentos sensíveis. Nunca descarte documentos sensíveis intactos em lixeiras comuns.
Impressões sensíveis: Informações sensíveis ou confidenciais, quando impressas, deverão ser retiradas da impressora imediatamente.
Armazenamento de informações: As informações da Conversys deverão ser armazenadas 100% em cloud, mesmo quando o usuário está em home office.
Gestão de equipamentos corporativos: Todos os equipamentos deverão estar vinculados a Plataforma MDM (Intune) que faz a gestão dos dispositivos.
Todas as informações serão classificadas conforme o seu valor, requisitos legais, sensibilidade e criticidade para a CONVERSYS. Esta classificação determinará o nível de proteção e as medidas de segurança aplicáveis.
Os rótulos de confidencialidade são usados para classificar mensagens de e-mail, documentos, sites e muito mais.
Foram definidos os níveis de classificação:
Público (mais baixa): Documento público aberto a envio sem restrições.
Sensível: Dados sensíveis pertinentes a projetos, finanças etc. Podem ser compartilhados com devidas precauções.
Interno: Não deve ser compartilhado fora da empresa.
Restrito: Informações internas, restritas por grupo ou área. Não devem ser compartilhadas para fora da empresa sem devida autorização. Para documentos, necessário definir grupo de acesso.
Confidencial (mais alta) – possui 2 opções:
Todos Conversys: Informações confidenciais. Não devem ser compartilhadas para fora da empresa sem a autorização da diretoria.
Determinado: Informações confidenciais restritas a um grupo. Para documentos, selecionar grupos com permissão de acesso.
O acesso às informações e aos sistemas de informação será concedido com base no menor privilégio e necessidade de saber, de modo a minimizar os riscos de acesso não autorizado.
Todos os funcionários e partes interessadas são responsáveis por reportar imediatamente qualquer suspeita de incidente de segurança da informação. A CONVERSYS possui um processo estabelecido para a gestão de incidentes, visando responder, investigar e remediar tais incidentes de forma eficaz.
A CONVERSYS mantém planos de continuidade dos negócios que incluem estratégias de recuperação para garantir a disponibilidade contínua de informações e sistemas críticos.
A CONVERSYS compromete-se a cumprir todas as leis, regulamentos e requisitos contratuais aplicáveis à segurança da informação, incluindo a proteção de dados pessoais e a propriedade intelectual.
Esta PSI será revisada anualmente e após quaisquer eventos significativos que possam afetar o SGSI, para garantir sua continuidade, adequação e eficácia.
A CONVERSYS promove programas regulares de conscientização, educação e treinamento em segurança da informação para garantir que todos os funcionários e partes interessadas estejam cientes de suas responsabilidades.
A gestão de riscos de segurança da informação é um processo contínuo na CONVERSYS, envolvendo a identificação, análise e tratamento de riscos para assegurar que eles se mantenham dentro de níveis aceitáveis.
Esta política entra em vigor imediatamente e é obrigatória para todas as partes mencionadas. Todos são encorajados a se familiarizarem com esta política e a integrarem os princípios de segurança da informação em suas atividades diárias para proteger as informações da CONVERSYS.
