Política de Segurança da Informação

1. INTRODUÇÃO

A Política de Segurança da Informação da Softfocus é uma declaração formal da organização acerca do seu compromisso com a proteção das informações de sua propriedade e ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores seu propósito é estabelecer as diretrizes a serem seguidas no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação, e também em garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação, conforme indicativos nas metodologias ISO 27000 e na legislação da lei 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD).

2. OBJETIVO

Este documento estabelece as diretrizes e as responsabilidades gerais para a proteção dos ativos de informação e dados pessoais sob controle e operação da Softfocus, que devem nortear seu modelo de governança, os processos de negócios implantados, as normas de segurança externas ou internas, a capacitação dos usuários, as características dos recursos utilizados – tecnológicos ou não, o grau de Compliance atingido pela instituição e por terceiros prestadores de serviços que incluem tratamento de dados pessoais que impactam diretamente no nível de segurança da informação na instituição.

O objetivo da Segurança da Informação é assegurar a continuidade do negócio e minimizar danos causados pelo impacto de incidentes de segurança.

A finalidade da Política de Segurança da Informação é proteger os ativos de Informação da Softfocus e seus respectivos clientes, conforme firmado em contrato, contra todas as ameaças, sejam elas internas ou externas, propositais ou acidentais.

É política da empresa assegurar que:

• As informações serão protegidas contra acesso não-autorizado;
• A confidencialidade das informações será assegurada;
• A Integridade das informações será mantida;
• Requisitos do negócio quanto à disponibilidade da informação e sistemas serão atendidos;
• A Gestão de Risco será executada para identificar e avaliar riscos de segurança para que medidas apropriadas possam ser adotadas;
• A classificação de ativos de informação será aplicada;
• Requisitos legais e regulatórios do país, bem como requisitos contratuais de segurança, serão atendidos; e
• Treinamento/Conscientização em Segurança de Informações é mandatório para todos os colaboradores.

Procedimentos, processos, normas e/ou diretrizes adicionais deverão ser elaborados para apoiar a implementação da política global de acordo com a legislação local. Estas regras definem o nível mínimo de conformidade para todos os colaboradores sobre Segurança da Informação.

Exceções a esta Política de Segurança da Informação requerem aprovação do Comitê de Segurança da Informação.

3. ABRANGÊNCIA

Esta Política de Segurança da Informação é aplicável a todos os funcionários, contratados e terceiros que utilizem o ambiente físico ou lógico, ou tenham acesso a informações pertencentes à Softfocus. 

Esta Política Geral de Segurança da Informação e Proteção de Dados Pessoais estabelece padrões comportamentais relacionados à proteção de dados e à segurança das informações, considerando as atividades da Softfocus,  regulamentação vigente e requisitos de clientes. 

As informações ou dados regulados por esta política podem se apresentar sob quaisquer formas, sejam digitais ou analógicas, eletrônicas ou impressas, arquivos, mensagens, banco de dados de uso interno, dados coletados na internet ou mesmo informação circulada oralmente nas dependências da instituição.

3.1. RESPONSABILIDADES

Nesse documento, estão descritas as responsabilidades gerais no que tange à segurança da informação e dados pessoais sob controle e operação da Softfocus. 

Diretoria: é responsável por  aprovar, revisar periodicamente as políticas organizacionais; Prover os recursos necessários para a manutenção e melhoria do Sistema de Gestão e da Segurança da Informação; Engajar os demais líderes e colaboradores a respeito do cumprimento de processos e objetivos organizacionais.

Lideranças: Todos os gestores são diretamente responsáveis pela Implementação da Política dentro de suas áreas de negócio e pela adesão pelas suas equipes. Cumprir e fazer cumprir a política geral de segurança da informação, as políticas complementares (normas) e os procedimentos de segurança da informação e proteção de dados pessoais da Softfocus, bem como a legislação de regência pertinentes à segurança da informação e proteção de dados pessoais; Garantir às suas equipes o pleno conhecimento da política de segurança da informação, das políticas complementares e dos procedimentos de segurança da informação e proteção de dados da Softfocus; Garantir a inclusão de cláusulas de segurança da informação nos instrumentos jurídicos firmados com outras instituições, bem como meios de garantir seu cumprimento ou a responsabilização em casos de incidentes; Propor a alteração ou criação de procedimentos de segurança da informação e proteção de dados pessoais, relacionados às suas respectivas áreas; Manter os procedimentos referentes às suas áreas de atuação atualizados; Comunicar imediatamente ao Comitê de Segurança da Informação eventuais situações que possam representar risco e/ou vulnerabilidades relacionadas à segurança da informação e proteção de dados pessoais; Em eventuais casos de violação de segurança da informação sob controle e operação da Softfocus, tomar, imediatamente, as ações cabíveis junto aos seus colaboradores e/ou usuários, comunicando o fato, prontamente, ao Comitê de Segurança da Informação; 

Comitê de Segurança da Informação: é responsável por garantir a segurança e a organização de segurança dentro da Softfocus, sendo diretamente responsável por manter a Política de Segurança, metas anuais de segurança e prover aconselhamento e assistência em sua implementação; Realizar o Planejamento de campanhas de conscientização e (trilhas de segurança)  do Sistema de Gestão de Segurança da Informação; Conduzir avaliações e revisões de riscos de Segurança da Informação, estabelecendo as ações necessárias para tratamento dos riscos; Revisar periodicamente as medidas de segurança da informação; Planejar e coordenar auditorias internas, listas de verificações do Sistema de Gestão de Segurança da Informação; Conduzir em conjunto com a Liderança as reuniões de Análise Crítica do SGSI.

Encarregado de Dados Pessoais da Softfocus (DPO): é responsável por estabelecer relacionamento e comunicação com Titulares de Dados Pessoais e Autoridade Nacional de Proteção de Dados; Receber e tratar as requisições dos Titulares de Dados Pessoais; Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Avaliar riscos envolvendo Dados Pessoais tratados pela Softfocus e controladores com os quais os dados foram compartilhados;

Colaboradores:  É responsabilidade de cada colaborador aderir à Política de Segurança da Informação e aos padrões, procedimentos e diretrizes relacionados. Violações podem resultar em ações disciplinares. Todos os colaboradores devem reportar violações de Segurança de Informações, reais ou potenciais, ao Comitê de Segurança da Informação.  No caso de um incidente de segurança deve-se seguir o processo P.SGSI.001 – Processo Gestão de Incidentes de Segurança da Informação.

É dever de todos considerar a informação como sendo um bem organizacional um dos recursos críticos para realização do negócio, que possuem grande valor para Softfocus e seus parceiros e que deve sempre ser tratada profissionalmente para proteger a informação contra vários tipos de ameaças, garantir a continuidade dos serviços e produtos, maximizar o retorno sobre os investimentos e possibilitar a geração de novas oportunidades de negócio.

4. DESCRIÇÃO

4.1 Diretrizes Gerais

As diretrizes a seguir listadas devem nortear todos os atos de gestão da informação, incluindo toda e qualquer elaboração ou alteração de políticas, processos e procedimentos de segurança da informação e proteção de dados.

São diretrizes gerais de segurança da informação e proteção de dados pessoais na Softfocus:

• • Conformidade: é necessário garantir que os requisitos legais, regulamentares e contratuais sejam observados e cumpridos ao longo das atividades executadas pela Softfocus. O cumprimento destes requisitos garantem que a Softfocus se mantenha uma empresa íntegra e responsável.
  • Conscientização: é necessário garantir que cada usuário conheça o seu papel no processo de tratamento de dados e informações, os riscos inerentes à sua atuação, os limites a eles impostos e as consequências de seus atos;
  • Responsabilidade compartilhada: a responsabilidade de zelar pela segurança das informações e proteção de dados é compartilhada por cada usuário ou colaborador, independentemente do nível hierárquico ou de seu nível de participação no processo de tratamento;
  • Comprometimento: proteger os dados e as informações tratadas na instituição é fundamental para assegurar a continuidade de sua existência. Sendo assim, é necessário difundir, nos mais diversos níveis da estrutura hierárquica a necessidade e o desejo de colaborar com a implantação e manutenção de boas práticas;
  • Prevenção: todo e qualquer projeto ou ação da Softfocus deve ser planejada levando em conta a necessidade de evitar vazamentos de dados pessoais e informações e assegurar a eficácia das estratégias de segurança da informação;
  • Finalidade: só é permitido o tratamento de dados e informações que obedeçam a propósitos legítimos, específicos, e explicitamente autorizados pelo titular;
  • Adequação: não é permitido nenhum tratamento com finalidade diferente daquela autorizada pelo titular dos dados ou pela Liderança da Softfocus;
  • Não discriminação: nenhum dado pode ser tratado com finalidades discriminatórias, abusivas ou ilícitas;
  • Responsabilização e prestação de contas: é necessário manter-se capaz de demonstrar, a qualquer tempo, a observância e o cumprimento das normas de proteção de dados pessoais e a eficácia das medidas de controle adotadas;
  • Análise de riscos: os riscos e vulnerabilidades institucionais devem ser analisados periodicamente e de forma sistemática, a fim de que medidas atenuantes possam ser tomadas antes que ocorram incidentes;

• Continuidade: garantir a continuidade do negócio através da adoção, implementação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;

• Resposta: ocorrendo incidentes de segurança da informação, a ERIS (Equipe de Resposta a Incidentes de Segurança da informação) deve, sempre, responder de maneira transparente e ágil, de forma a minimizar os efeitos dos incidentes e preservar a confiança;
• Reavaliação: todas as medidas adotadas devem ser, periodicamente, reavaliadas e ajustadas, sempre que necessário.

4.2 Objetivos de segurança da organização

A Softfocus tem como parte de seu Planejamento Estratégico estabelecer os objetivos globais da organização. Através deste Planejamento, estabelecer objetivos em relação à Segurança da Informação, sendo estes objetivos desdobrados em indicadores de performance, que apoiam o monitoramento da eficácia dos processos e controles relacionados à Segurança da Informação.

Como objetivos primordiais a Softfocus estabelece:

• Implementar e disseminar uma cultura de Segurança da Informação;
• Obter compliance com os requisitos dos clientes, reforçando a preocupação e o engajamento da organização com as melhores práticas para Segurança da Informação;
• Manter os níveis de risco de Segurança da Informação dentro dos níveis adequados de controle;
• Implementar medidas técnicas e controles de segurança da informação eficazes

4.3 Gestão da Segurança da Informação

Uma estrutura de gestão deve ser estabelecida para iniciar e controlar a implementação de Segurança de Informações dentro da Softfocus. A Diretoria da Softfocus deve aprovar e apoiar os desenvolvimentos da política de segurança e ações de implementação de segurança dentro da empresa.

Um Comitê para gestão de segurança corporativa deverá ser estabelecido, através do Departamento de Tecnologia da Informação, com a tarefa de promover boas práticas de Segurança de Informações em toda a companhia e apoiar os gestores, usuários, colaboradores e outros a cumprir suas responsabilidades de Segurança de Informações.

4.3.1 Cooperação com Terceiros (Parcerias, Joint Ventures, Fornecedores, Contratados)

Sempre que a Softfocus entrar em parcerias, joint ventures, insourcing ou outros acordos com terceiros, é recomendável realizar uma análise de risco com relação a questões de segurança. Esta análise de risco fornecerá os controles e procedimentos de segurança, que devem ser acordados e definidos em um contrato seguindo os controles de negócio normais deste tipo de acordo.

Contratos da Softfocus com fornecedores devem incluir uma cláusula e/ou termos de confidencialidade, declarando que seus funcionários estarão em conformidade com a política, padrões e procedimentos de segurança. É responsabilidade da gestão local, assegurar que funcionários que não pertençam à empresa sejam informados sobre a política de segurança.

Outsourcing de sistemas de informação ou processos de negócios necessitam de uma análise de risco. Esta análise indicará os controles e procedimentos a serem implementados no contrato.

4.3.2 Criação de serviço

Quando a Softfocus estiver desenvolvendo novos serviços, uma análise dos riscos e requisitos de segurança deve ser realizada. 

4.3.3 Contratos

Boas práticas de segurança são frequentemente o resultado da cooperação entre a Softfocus, seus clientes e outros fornecedores. Portanto, as responsabilidades de todas as partes atendimento aos requisitos de segurança acordadas devem ser descritas em propostas iniciais, contratos resultantes, Acordos de Nível de Serviço ou Termos de Confidencialidade.

4.4 Classificação 

4.4.1 Propriedade

Para manter a proteção adequada de ativos, todos os ativos mais importantes devem ser inventariados (hardware e software) e ter um proprietário nomeado (hardware, software e informação). Colaboradores específicos, envolvidos na operação dos processos de negócio da Softfocus, que possuem habilidades específicas, conhecimento e experiência de difícil substituição, também podem ser considerados como ativos importantes e devem ser identificados em um plano de sucessão.

4.4.2 Classificação da Informação

Para assegurar que a informação recebe um nível adequado de proteção, é recomendável que seja classificada de acordo com o padrão de classificação da SOFTFOCUS.

Na criação da informação, o emissor da mesma é responsável por sua classificação imediata. O mesmo é responsável pela correta classificação e é recomendável que analise criticamente a classificação de acordo com procedimentos de controle de informação documentada da Softfocus. As diretrizes para classificação da informação estão disponíveis na D.SGSI.005 – Política de Classificação da Informação.

4.4.3 Salvaguarda de Registros 

Registros importantes da Softfocus devem ser protegidos contra perda, destruição e falsificação. Alguns registros podem necessitar de retenção segura para atender a requisitos estatutários ou regulamentares, bem como apoiar atividades essenciais de negócios.

Exemplos disso são registros que podem ser exigidos como evidência de que uma empresa opera dentro de regras estatutárias ou regulamentares, ou para assegurar defesa adequada contra ação criminal ou civil potencial, ou para confirmar o status financeiro de uma companhia com relação a acionistas, sócios e auditores. A lei ou regulamentação nacional pode definir o período e conteúdo de dados para retenção de informações. Quando são escolhidos meios eletrônicos de armazenagem, é importante seguir procedimentos para assegurar a capacidade para acessar dados (tanto a legibilidade da mídia quanto do formato) por todo o período de retenção, para salvaguardar contra perda devido à mudança futura de tecnologia.

4.4.4 Classificação de Ativos

A D.SGSI.006 – Política de Gestão de Ativos descreve as diretrizes de proteção dos ativos da organização por meio do estabelecimento e manutenção de inventários e definição de proprietários a estes ativos, visando a manutenção de informações sobre a eficácia dos controles de segurança, assegurando a proteção adequada. 

4.4.5 Segurança dos Colaboradores

O recrutamento de colaboradores é responsabilidade do Departamento de Gente e Gestão. Os termos e condições de emprego da Softfocus devem incluir uma cláusula com a qual os funcionários estão familiarizados e concordam com a Política de Segurança de Informação. No caso de uma violação da Política de Segurança, pode ser tomada ação disciplinar. Essa ação pode variar de uma advertência verbal (com ou sem observação no arquivo pessoal) até e inclusive demissão. A gravidade do incidente deve orientar a severidade da ação a ser tomada. O contrato deve estar estabelecido antes que seja permitido o acesso às instalações, recursos e/ou informações da Softfocus.

Os funcionários da Softfocus devem assinar um acordo de confidencialidade que normalmente é parte de seus termos e condições de emprego.

É recomendável que os acordos de confidencialidade sejam analisados criticamente quando houver alterações nos termos e condições de emprego, particularmente quando funcionários estão em vias de deixar a organização, ou os contratos em vias de expirar. 

É recomendável que as responsabilidades de segurança sejam incluídas nas descrições de cargo onde for adequado. 

Em caso de encerramento de contrato de trabalho com a Softfocus, o gestor é responsável por orientar quanto a devolução do o que é de propriedade da Softfocus e garantir a comunicação para que todos os privilégios de acesso sejam imediatamente removidos.

4.4.5.1 Segregação de Funções e Nível de Autorização

Quando apropriado, as lideranças devem separar os cargos, tarefas e responsabilidades para evitar que um indivíduo subverta um processo crítico da Softfocus ou de cliente.

A liderança deve certificar-se que os colaboradores desempenham somente aquelas funções exigidas para seu cargo dentro da companhia. Eles também são responsáveis por verificar se os colaboradores somente têm as autorizações necessárias para desempenhar esse cargo. 

4.4.5.2 Manual de Ética e Conduta e Processo Disciplinar

O Manual de Ética e Conduta da Softfocus define regras para conduta pessoal, que cada membro da equipe é recomendado a seguir e deve incluir segurança e questões relacionadas.

No caso de uma violação da Política de Segurança, a gestão responsável pode tomar medidas disciplinares. Tais medidas podem variar desde advertência verbal até e inclusive demissão. 

Serão responsabilizados pelos seus atos e omissões não aderentes a esta política aqueles que criarem, modificarem, armazenarem e transmitirem qualquer informação pertencente ao Softfocus. A utilização inadequada da informação pode resultar em sanções contratuais, além de penalidades previstas por lei.

4.4.5.3 Aspectos Comportamentais

Toda instituição é formada por pessoas e, para garantir a proteção das informações e dados pessoais sob controle e operação da Softfocus, faz-se necessário que os colaboradores e prestadores de serviço adotem comportamento íntegro e consistente com o objetivo de proteção das informações e dados pessoais na Softfocus, com destaque para os seguintes itens:

• Colaboradores e fornecedores devem assumir atitudes proativas em respeito à proteção dos dados pessoais e segurança da informação, buscando, dia a dia, a identificação de riscos e vulnerabilidades e a proposição de melhorias de controles e processos administrativos no tratamento destes dados; 
• Os colaboradores devem sempre adotar uma mentalidade de risco;
• Os colaboradores devem informar ao Comitê de Segurança da Informação tão logo tomem conhecimento de qualquer falha de segurança ou vulnerabilidade na estrutura de informação da Softfocus;
• Quanto às campanhas de conscientização internas (trilhas de segurança da informação), os colaboradores devem ler com atenção aos comunicados/treinamentos, aplicando as orientações no seu dia-a-dia de trabalho;
• A distribuição, divulgação, reprodução ou qualquer outra forma de compartilhamento de informação ou dado pessoal sob controle da Softfocus, ou mesmo de terceiros que a Softfocus seja, eventualmente, guardiã, confidencial ou não, está proibida, exceto quando houver autorização expressa do titular dos dados ou da gestão da Softfocus, nos termos da Lei Geral de Proteção de Dados;
• Dados impressos ou em meio digital, quando não estiverem em uso, devem ser guardados de maneira adequada, de preferência, protegidos por chaves ou senhas;
• Computadores devem ser bloqueados com senha, impedindo a visualização de arquivos em uso, sempre que o usuário se afastar dos mesmos;
• Ao terminar o trabalho diário não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas , conforme D.SGSI.007 – Política Mesa e Tela Limpa;
• O uso de senhas de usuário é obrigatório, pessoal e intransferível para acesso às informações e ao ambiente computacional, ainda que estas venham a ser acessadas remotamente, em equipamentos particulares. Deve-se, ainda, evitar manter as senhas anotadas em papéis ou em outros sistemas visíveis e ao alcance de terceiros;
• A Softfocus investe cada dia mais na segurança e continuidade do seu ambiente. Os serviços e produtos críticos da Softfocus estão hospedados em ambiente Cloud, o que aumenta o nível de continuidade das operações;
• Atentar ao cumprimento dos requisitos legais ou contratuais na execução das atividades cotidianas;
• Dúvidas sobre as Políticas e Normas de Segurança da Informação devem ser esclarecidas com o Comitê de Segurança da Informação da Softfocus, através do e-mail: infosec@softfocus.com.br

4.4.5.4 Educação, Treinamento e Conscientização

É recomendável que os colaboradores recebam treinamento e educação para assegurar que estão conscientes das Políticas e padrões de segurança da Softfocus, e entendem a necessidade e importância em apoiar a implementação das ações no transcorrer de seu trabalho normal. O objetivo da capacitação mencionada neste item é assegurar que cada colaborador possua o conhecimento atualizado da estrutura normativa, a fim de que possa executar suas tarefas de maneira segura e consciente.

4.4.6 Gestão de Incidentes de Segurança e Vulnerabilidades

Incidentes de segurança devem ser notificados o mais rápido possível. A Equipe de Resposta de Incidentes de Segurança é responsável por tomar as devidas ações, após a notificação conforme P.SGSI.001 – Processo Gestão de Incidentes de Segurança da Informação.

É recomendável que fragilidades/vulnerabilidades na segurança também sejam notificadas, conforme  P.SGSI.002 – Processo Gestão de Vulnerabilidades

4.4.7 Gestão de Acessos

4.4.7.1 Acesso Físico e do Ambiente

No ambiente do servidor e em local que contém os dados sensíveis da Softfocus, é PROIBIDO qualquer tipo de gravação de áudios e vídeos, a não ser em um local designado (mediante a liberação do Comitê de Segurança da Informação) especificamente para essa finalidade. Essa regra é aplicada para todos os usuários, sem qualquer exceção. 

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança de  Acesso Físico.

4.4.7.2 Acesso Lógico

Direitos de acesso lógico serão concedidos somente a pessoas contratadas pela Softfocus, sejam estes visitantes, colaboradores ou fornecedores.

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança de Acesso Lógico.

4.4.7.3 Acesso Físico e do Ambiente

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança de  Acesso Físico e do Ambiente.

4.4.7.4 Acesso Remoto

A Softfocus permite o acesso remoto para usuários somente para uso em suas atividades profissionais.

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança de Acesso Remoto

4.4.7.5  Uso de Dispositivos Pessoais e Dispositivos Móveis (PODs)

Ao contrário dos dispositivos de Tecnologia da Informação e Comunicação (TIC) de propriedade da organização, os Dispositivos de Propriedade Pessoal (PODs) são dispositivos de TIC de propriedade de funcionários ou de terceiros (como fornecedores, consultorias e contratados de manutenção). 

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança para Uso de Dispositivos Pessoais e Dispositivos Móveis (PODs)

4.4.7.6 Gerenciamento de Senhas

A D.SGSI.005 – Política de Acessos descreve as diretrizes de segurança para Gerenciamento de Senhas

4.4.8 Backup e Recuperação

Instalações adequadas de backup devem ser fornecidas para assegurar que software de sistemas, software de aplicativo e dados possam ser recuperados após uma falha de mídia ou de sistema. A D.SGSI.03 – Politica de Backup descreve as diretrizes para garantir  integridade, disponibilidade e recuperação dos dados armazenados nos sistemas da Softfocus. É recomendável que o processo de backup e restauração seja testado regularmente.

4.5 Segurança no Uso do Correio Eletrônico

É recomendável que os colaboradores da SOFTFOCUS exerçam com cuidado o encaminhamento de mensagens, reconhecendo que certas informações são dirigidas a indivíduos específicos e podem não ser adequadas para distribuição geral em comunicações eletrônicas. Assim como as informações sensíveis não sejam encaminhadas a qualquer parte fora da SOFTFOCUS sem a aprovação prévia do proprietário da informação. 

A D.SGSI.010 – Política de Uso do Correio Eletrônico descreve as diretrizes para segurança na utilização do Correio Eletrônico

4.6  Gestão de Continuidade do Negócio 

Os riscos para sua continuidade no negócio de um desastre potencial nas suas atividades críticas de negócio devem ser avaliados. É recomendável que sejam desenvolvidos planos de continuidade de negócio para oferecer proteção contra a perda de ativos (hardware, software e informações) ou indisponibilidade de serviços. 

O P.SGSI.004 – Plano de Continuidade descreve assegura que todos os desastres possíveis que apresentem riscos inaceitáveis serão adequadamente cobertos, documentados e testado, de tal modo que o impacto no negócio seja minimizado e as atividades interrompidas possam ser restabelecidas o mais rápido possível. 

Plano de continuidade de negócio deve ser capaz de entregar os requisitos de disponibilidade contratados aos clientes e devem ser testados pelo menos uma vez por ano e auditados.

Caberá ao Comitê de Segurança da Informação, garantir a manutenção do Plano de  Continuidade do Negócio.

4.7 Conformidade

4.7.1. Conformidade com a Política de Segurança

O desenho, operação e uso de cada instalação, rede, sistema, aplicativo e suas informações devem estar em conformidade com a Política de Segurança da Informação, acordos contratuais, leis relevantes e outros requisitos normativos. 

4.7.2 Conformidade com Políticas de Clientes

É recomendável que os colaboradores trabalhando em locais de clientes, estejam familiarizados e ajam de acordo com as políticas de segurança, padrões e procedimentos do cliente, bem como com os equivalentes da Softfocus. 

4.7.3 Conformidade com Requisitos Legais

Devem ser estabelecidos controles para assegurar conformidade com os acordos nacionais, leis e regulamentos. É recomendável que sejam aplicados controles para proteger informações pessoais, em conformidade com a legislação relevante.

Aplica-se a este documento toda a legislação nacional, cujo conteúdo pode ser obtido integral e gratuitamente no sítio da Presidência da República, em http://www.planalto.gov.br.

O D.SGSI.009 – Requisitos Legais e Normativos tem como objetivo o controle e atualização das legislações e normas aplicáveis 

4.7.4 Verificação de Conformidade

A conformidade com esta política e subsequentes padrões e procedimentos de segurança será revisada sob a responsabilidade do Comitê de Segurança da Informação, através de aplicação de Listas de Verificação e auditorias internas. Não conformidades serão relatadas à gestão responsável. Gestores devem assegurar que ações serão tomadas oportuna e adequadamente, de forma auditável, para resolver não conformidades.

4.8 Divulgação e Acesso a Política de Segurança da Informação

Esta Política de Segurança da Informação, bem como toda e qualquer política complementar deverá permanecer disponível no sítio eletrônico da Softfocus – em local de fácil acesso – sendo seus conteúdos integralmente compartilhados em toda a rede interna da instituição. Qualquer cliente ou fornecedor interessado poderá ter acesso  a informação com a máxima presteza se assim solicitado.

4.9 Termos e Definições 

• • Confidencialidade: A informação não é disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.
  • Integridade: É compreendida por:
    • Integridade de dados: Dados não são alterados ou destruídos de forma não autorizada.
    • Integridade de Sistemas: O sistema executa a sua função da maneira prevista, sem que haja manipulações deliberadas ou acidentais não autorizadas.
  • Disponibilidade: Ativos que são acessíveis a partes autorizadas nos momentos apropriados.
  • Autenticidade: É um processo que estabelece a validade.
  • Legalidade: A informação é armazenada, transmitida, acessada e retida de acordo com os termos legais existentes.

• Não-repúdio: São as partes envolvidas em uma transação que são capazes de provar, posteriormente, o que aconteceu.

• Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável;

• Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

• Tratamento de Dados: toda operação realizada com dados pessoais, tais como coleta, recepção, utilização, acesso, transmissão, processamento, arquivamento e eliminação;
  Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  Usuário: pessoa que utiliza ou tem acesso a informações da Softfocus, inclusive terceirizados e outras pessoas prévia e expressamente autorizadas;
• Colaborador: empregado, estagiário ou voluntário que, formalmente vinculado à Softfocus, execute atividades no âmbito da instituição, de forma remunerada ou não;
  Prestador de serviço: pessoa física ou jurídica, vinculada a instituição mediante contrato formal ou tácito, que preste ou tenha prestado serviço à Softfocus;
• Comitê de Segurança da Informação: órgão interno responsável pelo acompanhamento e avaliação das políticas de segurança da informação e proteção de dados pessoais, a quem compete, ainda, sugerir normas e procedimentos que fortaleçam o controle da instituição, composto por representantes da Softfocus.
• ERIS: Equipe de Resposta a Incidentes de Segurança da informação: órgão interno responsável pelo acompanhamento e avaliação dos incidentes de segurança, composto por representantes de áreas da Softfocus.
• Gestor de Ativo de Informação: colaborador da Softfocus formalmente indicado, responsável pela classificação, concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinado conjunto de informações e dados pessoais sob controle e/ou operação desta;
  Controlador de Dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado da Proteção de Dados (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
• Ativo de Informação: Qualquer componente (seja humano, tecnológico, software ou etc) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.

5. REGULAMENTAÇÃO

Estas instruções reguladoras têm por finalidade definir as condições de uso dos recursos oferecidos pela Softfocus, com base nos padrões e normas da família ISO 27000 e Legislação Brasileira, além das exigências nos aspectos de segurança da Softfocus.

6. REVISÃO E ATUALIZAÇÃO DA POLÍTICA

A política de segurança da informação deve ser revisada e atualizada periodicamente, no mínimo anualmente, para garantir que esteja alinhada com as melhores práticas, requisitos da Softfocus e de seus clientes. 

7. CONTROLE DE DOCUMENTOS

7.1 Histórico de Versão

7.1 Estrutura de Normas da Segurança da Informação e Proteção de Dados Pessoais

Para permitir uma abordagem estruturada para a Segurança de Informações foi definida uma arquitetura em camadas. A estrutura consiste nos seguintes elementos:

• Política de Segurança e Proteção da Informação e Dados Pessoais: representada por este documento, estabelece a estrutura e as diretrizes gerais concernentes à segurança da informação, demonstrando o compromisso da Softfocus com a Segurança de Informações. É aprovada pela Diretoria e deve ser revisada anualmente;
• Políticas Complementares de Segurança da Informação e Proteção de Dados Pessoais: constituídas por definições táticas dos processos e orientações formais relacionadas à gestão de segurança da informação, exigem a aprovação por parte da Diretoria e revisão anual;
• Procedimentos, Processos de Segurança da Informação e Proteção de Dados Pessoais: idealizados no âmbito das lideranças e partes do processo, cuidam de detalhar e dar apoio adicional na implementação da política de segurança, devendo se apresentar de maneira objetiva, orientando, passo a passo, a atividade operacional. Sua implementação dependerá da aprovação dos envolvidos no processo.

Controles de Segurança da Informação: os controles de segurança consistem em um conjunto amplo de medidas de segurança, compreendendo práticas de segurança comuns, e são necessários para implementar a política de segurança da Softfocus. Sua implementação dependerá da aprovação dos envolvidos no processo/controle.

8. REFERÊNCIAS