Política de Segurança da Informação

Março 2025 - Versão 5.0 Classificação do Documento: PÚBLICO
‍
Última atualização desta Política de Segurança da Informação disponibilizada no site https://www.sossego.com.br/politica-de-seguranca em 06 de Março de 2025.

1. Objetivo

Nosso compromisso é estabelecer diretrizes e normas que garantam a proteção das informações, assegurando a confidencialidade, integridade e disponibilidade dos dados. Buscamos criar uma cultura organizacional baseada em qualidade, segurança, privacidade, confiança e transparência, promovendo boas práticas e comportamentos seguros entre nossos colaboradores, clientes e parceiros.

Além disso, nos comprometemos com a melhoria contínua do Sistema Integrado de Gestão, garantindo conformidade com os requisitos aplicáveis ao nosso negócio, à segurança da informação, à privacidade de dados e à legislação vigente.

2. Referências
‍
● Norma ABNT NBR ISO/IEC ISO 27001:2022 - Segurança da informação, segurança cibernética e proteção à privacidade - Sistemas de gestão da segurança da informação - Requisitos.
● Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018.

3. Abrangência

Esta Política se aplica a todos os colaboradores, ex-colaboradores, prestadores de serviço, ex. prestadores de serviço, qualquer pessoa com poderes de representação da organização e suas controladas direta ou indiretamente respeitando os acordos operacionais estabelecidos, que possuíram, possuem ou virão a possuir acesso às informações da Sossego e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura.

‍
4. Responsabilidades
‍
‍As responsabilidades relativas à segurança da informação na Sossego são distribuídas entre diferentes grupos e indivíduos para garantir uma abordagem ampla e eficaz na proteção das informações. A atribuição clara de responsabilidades é essencial para a efetiva implementação e manutenção das práticas de segurança.
‍

Direção Executiva
‍
● Definir e endossar a política de segurança da informação.
● Assegurar a alocação de recursos adequados para a segurança da informação.
● Promover a cultura de segurança em toda a organização.
‍

Gestores de Departamento

● Implementar e cumprir a política de segurança da informação em seus respectivos departamentos.
● Assegurar que todos os funcionários em seus departamentos estejam cientes de suas responsabilidades de segurança.
● Identificar informações sensíveis e garantir que elas sejam adequadamente protegidas.

Equipe de Tecnologia e Segurança da Informação
‍
‍ ● Desenvolver, implementar e manter medidas de segurança técnicas.
● Realizar auditorias de segurança e avaliações de riscos regularmente.
● Gerenciar acessos e controles, incluindo a administração de privilégios de usuários.
● Responder a incidentes de segurança e recuperar sistemas e dados conforme necessário.

Colaboradores

● Cumprir todas as políticas e procedimentos de segurança da informação.
● Relatar imediatamente quaisquer suspeitas de violações de segurança ou incidentes ao departamento de TI.
● Participar de treinamentos e programas de conscientização sobre segurança da informação.

Parceiros e Fornecedores

● Aderir às exigências de segurança da informação da Sossego conforme estipulado em contratos e acordos.
● Garantir que suas práticas de segurança estão em conformidade com as expectativas e requisitos da Sossego.

Área Jurídica

● Requerer a inserção de cláusulas que obriguem o cumprimento desta Política de Segurança da Informação e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da organização e preservando sua confidencialidade.

Recursos Humanos

‍● Disponibilizar a política e as normas de Segurança da Informação para todos os colaboradores e assegurar que estejam cientes das diretrizes, normas e procedimentos internos;
● Notificar o desligamento dos colaboradores a equipe de Tecnologia para tomar medidas relativas à segurança da informação, com relação bloqueios, exclusão ou transferência de direitos relativos a sessões/contas;
● Garantir que os ex-colaboradores devolvam todos os ativos de Tecnologia eSegurança da Informação à Empresa.
‍

Oficial de Proteção de Dados (“DPO”)

● Monitorar a conformidade com as leis de proteção de dados, como a LGPD.
● Ser o ponto de contato entre a Sossego e as autoridades reguladoras.
● Garantir que os direitos dos titulares dos dados sejam respeitados e cumpridos.

Cada nível da organização têm papeis essenciais a desempenhar, e a colaboração contínua entre esses grupos é vital para manter a segurança das informações e a integridade operacional da Sossego. A conscientização e o treinamento regular são imperativos para garantir que todos os envolvidos compreendam suas responsabilidades e como suas ações impactam a segurança global das informações.
‍

Estrutura

‍A estrutura de documentos de Segurança da Informação da organização é composta por diretrizes contempladas nas rotinas de Segurança da Informação e outras áreas, as quais são complementares à presente Política. Existem documentos, processos e ferramentas que detalham as diretrizes corporativas a serem cumpridas por todos os colaboradores e terceiros associados à Organização para atingir o objetivo proposto.

‍Arquitetura de Segurança da Informação: Estabelece e orienta os modelos de referência e componentes tecnológicos de Segurança da Informação a serem utilizados em sistemas de informação, com base em sua criticidade para a Organização.
‍
Gestão de ativos tecnológicos: Estabelece a gestão de ativos físicos e lógicos, considerando além dos ativos internos, também aqueles que podem ser transitados fora do ambiente tecnológico da Organização.

Classificação da Informação: Estabelece as diretrizes para a adequada lassificação e proteção da informação de acordo com o nível de confidencialidade eimportância que possui para os negócios da Organização.
‍
Conscientização em Segurança da Informação: Elaborar e disseminar o programa de conscientização de Segurança da Informação.
‍
Plano de Continuidade e Recuperação de Negócio: Estabelece e mantém a capacidade de preservação e continuidade dos negócios, considerando o mínimo necessário, ou seja, processos, pessoas, tecnologias e negócios críticos que devem ser mantidos em caso decenário de crise.
‍
Proteção de dados: Estabelece os padrões de proteção de dados de forma a manter a confidencialidade, integridade e disponibilidade dos dados da Organização.
‍
Trabalho remoto: Estabelece ao colaborador uma modalidade de trabalho para exercer suas atividades profissionais, obedecendo sua jornada de trabalho em sua própria residência, ou em outro ambiente físico fora da empresa.
‍
Gestão de Identidades e acessos: Controla e segrega o acesso a dados e transações, mitigando o excesso de privilégios que possam levar a vazamento de informações, acesso indevido, fraudes ou mesmo ações que impactem a imagem da Organização.
‍
Gestão de Riscos: Estabelece diretrizes adequadas para identificação, avaliação, comunicação, tratamento e aceitação dos riscos que possam definir o nível de aceitação de riscos ocasionar impacto negativo ou positivo.
‍
Resposta a incidentes: Atua sobre incidentes de Segurança da Informação e a resposta a estes visando a redução de impacto provocado por ações indevidas ou em não conformidade com as políticas da Organização.
‍
Métricas e relatórios: Mantém a Organização informada quanto à exposição dos negócios a riscos de Segurança da Informação que possam comprometer a imagem, operações, saúde financeira, compliance ou sua reputação.
‍
Segurança de redes: Mantém a proteção do ambiente de rede da Organização em relação às informações trafegadas, por meio de um conjunto de controles de Segurança daInformação.

‍Operações de Segurança da Informação: Realiza a sustentação das ferramentas deSegurança da Informação, processos de autorização e atendimento a dúvidas e problemas relacionados à Segurança da Informação.

Privacidade: Preserva a privacidade de dados pessoais, entendidos como aqueles que identificam ou tornam identificáveis pessoas físicas, nos processos de negócio e em canais da Organização, mediante a sua confidencialidade, integridade, finalidade, autenticidade e disponibilidade.
‍
Monitoramento de Segurança da Informação: Monitora, correlaciona, analisa e realiza medições quanto à proteção, desvios de conduta, ações indevidas e/ou não autorizadas, internas e externas, de forma a preservar a segurança dos usuários, clientes, colaboradores, parceiros de negócio e das estratégias da Organização.
‍
Desenvolvimento Seguro: Preserva a proteção dos sistemas, aplicativos e aplicações web da organização, desde suas etapas de desenvolvimento até a manutenção em ambientes de produção.
‍
Estratégia de Segurança da Informação: Define e dá ciência à Diretoria e áreas influenciadas sobre o alinhamento de Segurança da Informação à estratégia de negócio.

‍Gestão de Segurança da Informação para terceiros: Estabelece as diretrizes de Segurança da Informação e avalia o cumprimento dos requisitos pelos terceiros no momento da contratação, durante as renovações e o monitoramento contínuo.
‍
Inteligência de Ameaças: Mapeia e identifica ameaças de Segurança da Informação que possam comprometer a Organização, possibilitando ações preventivas através de soluções de segurança integradas de tecnologia, processos, procedimentos e pessoas, minimizando possíveis impactos na Organização antes que possam ocorrer, prejudicando a estratégia da organização.
‍
Gestão de Vulnerabilidades: Minimiza o risco de Segurança da Informação da Organização mediante a identificação e direcionamento sobre as vulnerabilidades tecnológicas.

‍Segurança em Nuvem: Estabelece as diretrizes de Segurança da Informação e avalia o cumprimento dos requisitos em ambientes e provedores de nuvem, além de realizar o monitoramento contínuo.

Segurança Física: Assegura o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.

Criptografia: Assegura o uso efetivo e adequado da criptografia para proteger aconfidencialidade, autenticidade e/ou a integridade da informação.

Disposições Gerais
‍
Os casos não previstos ou as dúvidas porventura existentes, poderão ser tratados pelointeressado junto à Gerência de Segurança da Informação via e-mail seg.info@sossego.com.br.

‍
Penalidades
‍
O descumprimento da política pode ocasionar medidas disciplinares.

Quer saber em primeira mão, quando algum documento for atualizado?