Política de Privacidade
Objetivo
O objetivo desta política é estabelecer diretrizes e normas de Segurança da Informação para que os colaboradores da W4Cyber adotem padrões de comportamento seguros, adequados às metas e necessidades da empresa. Isso inclui:
•Garantir a confidencialidade, integridade e disponibilidade das informações.
•Prevenir possíveis incidentes e responsabilidades legais para a instituição, seus empregados, clientes e parceiros.
A W4Cyber manterá esta política sempre disponível, atualizada, e, quando necessário, divulgará seu conteúdo e/ou atualizações.
Referências
•ABNT NBR ISO/IEC ISO 27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade – Requisitos de gestão da segurança da informação.
•ABNT NBR ISO/IEC ISO 27701:2019: Técnicas de segurança.
•ABNT NBR ISO/IEC ISO 37301:2021: Sistemas de Gestão de Compliance.
•Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709/2018.
Abrangência
Esta política se aplica a todos os colaboradores, ex-colaboradores, prestadores de serviço, ex-prestadores, pessoas com poderes de representação da organização e suas controladas, respeitando os acordos operacionais. A política cobre todos que possuam ou venham a possuir acesso às informações da W4Cyber ou que façam uso de recursos computacionais da infraestrutura.
Papéis e Responsabilidades
5.1. Todos os Colaboradores
•Responsáveis pelo uso de sua identificação e autenticação.
•Devem acessar informações apenas para o desempenho de suas funções ou outras situações permitidas.
•Ler, compreender e cumprir a Política de Segurança da Informação e demais normas aplicáveis.
•Comunicar à equipe de Segurança da Informação sobre possíveis violações.
•Assinar o “Termo de Aceite da PSI”, formalizando o conhecimento e aceitação da política.
5.2. Alta Direção
•Zelar pela sustentabilidade do negócio, considerando aspectos econômicos, sociais e de governança.
•Formular e apoiar diretrizes de gestão e segurança da informação.
•Garantir a adequação da estrutura de segurança da informação.
5.3. Gestores
•Liderar ações para atingir os objetivos da W4Cyber.
•Reportar resultados de segurança e monitorar riscos.
•Garantir a aplicação e cumprimento da Política de Segurança da Informação por colaboradores e terceiros.
5.4. Segurança da Informação
•Implementar e monitorar controles de segurança da informação.
•Prevenir e responder a riscos e ameaças de segurança.
•Propor e gerenciar projetos e iniciativas de segurança.
5.5. Tecnologia da Informação
•Gerenciar os riscos de segurança e garantir a efetividade dos controles.
•Monitorar acessos e garantir a configuração adequada de equipamentos e sistemas.
5.6. Governança, Risco, Compliance e Auditoria
•Identificar, avaliar, mitigar e reportar riscos de segurança da informação.
•Garantir a conformidade com as expectativas legais e regulatórias.
5.7. Área Jurídica
•Incluir cláusulas de conformidade com a Política de Segurança da Informação nos contratos de prestadores de serviços.
5.8. Recursos Humanos
•Disponibilizar a política de segurança e garantir a assinatura do Termo de Ciência.
•Notificar a equipe de TI sobre desligamentos para tomar medidas de segurança.
Diretrizes
6.1. Princípios de Segurança
A Segurança da Informação visa garantir a continuidade dos negócios, assegurando:
•Confidencialidade: Somente pessoas autorizadas têm acesso à informação.
•Integridade: A informação é mantida em seu estado original, protegida contra alterações indevidas.
•Disponibilidade: Usuários autorizados podem acessar informações sempre que necessário.
6.2. Estrutura
A estrutura de documentos de Segurança da Informação da organização inclui:
•Arquitetura de Segurança da Informação: Define os modelos de referência e componentes tecnológicos.
•Gestão de Ativos Tecnológicos: Gerencia ativos físicos e lógicos, incluindo os fora do ambiente da organização.
•Classificação da Informação: Diretrizes para classificar e proteger as informações conforme sua importância.
•Conscientização em Segurança da Informação: Programa de conscientização de colaboradores.
•Plano de Continuidade de Negócio: Mantém a capacidade de continuidade dos negócios em cenários de crise.
•Proteção de Dados: Estabelece padrões de proteção de dados.
•Trabalho Remoto: Define diretrizes para o trabalho remoto.
•Gestão de Identidades e Acessos: Controla o acesso a dados e transações.
•Gestão de Riscos: Diretrizes para identificação, avaliação e tratamento de riscos.
•Resposta a Incidentes: Define ações para responder a incidentes de segurança.
•Métricas e Relatórios: Mantém a organização informada sobre riscos de segurança.
•Segurança de Redes: Protege o ambiente de rede da organização.
•Operações de Segurança da Informação: Sustentação de ferramentas e processos de segurança.
•Privacidade: Preserva a privacidade de dados pessoais.
•Monitoramento de Segurança da Informação: Monitora e analisa incidentes de segurança.
•Segurança de Software: Protege sistemas e aplicativos.
•Estratégia de Segurança da Informação: Alinha a segurança da informação com a estratégia de negócio.
•Gestão de Segurança da Informação para Terceiros: Avalia a conformidade de terceiros.
•Inteligência de Ameaças: Identifica e previne ameaças de segurança.
•Gestão de Vulnerabilidades: Gerencia vulnerabilidades tecnológicas.
•Segurança em Nuvem: Avalia a segurança de ambientes em nuvem.
•Segurança Física: Define diretrizes para proteção física de dados.
•Criptografia: Garante o uso adequado da criptografia para proteger informações.
Disposições Gerais
Os casos não previstos ou dúvidas sobre esta política devem ser encaminhados à Gerência de Segurança da Informação.
Penalidades
O descumprimento desta política pode resultar em medidas disciplinares.
