Política de Segurança da Informação
Todas as políticas de segurança da informação estão disponíveis em local de acesso dos colaboradores e protegidas contra alterações e devidamente classificadas quanto ao seu acesso e uso. Esta política é revisada e divulgada aos colaboradores anualmente.
O compromisso da SPDL com o tratamento adequado das informações está fundamentado nos seguintes princípios:
• Confidencialidade: garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando for necessário;
• Disponibilidade: garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
• Integridade: garantimos a exatidão e a completude da informação e dos métodos de seu processamento;
• Confiabilidade: garantimos a transparência no trato com os públicos envolvidos.
Aplica-se esta Política a todas as informações presentes na SPDL, que podem existir de diversas maneiras:
• Escrita em papel;
• Armazenada e/ou transmitida por meios eletrônicos;
• Exibida em filmes ou na mídia;
• Falada em conversas formais e informais.
Uso da informação: As informações de propriedade da SPDL são utilizadas apenas para os propósitos da Organização, sendo que usuários não podem, em qualquer hipótese, apropriar-se dessas informações, seja em CDs, pen drives ou qualquer outra mídia de armazenamento de dados e todos os documentos produzidos por qualquer sistema de informação na SPDL são de propriedade exclusiva da Organização.
Identificação do usuário: É feita por meio de seu usuário de rede, senha, crachá ou outro meio qualquer, é pessoal e intransferível.
Segregação de funções: Implementada para que as atividades não sejam executadas e/ou controladas pelo mesmo colaborador ou equipe.
Monitoramento: A SPDL se reserva o direito de monitorar, automaticamente, o tráfego efetuado através das suas redes de comunicação, incluindo o acesso à Internet o uso do correio eletrônico e a obediência às normas/procedimentos escritos neste documento.
Classificação da informação: Todas as informações devem ser classificadas, com objetivo de aplicação de proteção adequada quanto ao seu acesso e uso.
Treinamentos periódicos: Periodicamente são realizados treinamentos sobre a política atual de segurança da informação, ou sempre que alterações significativas são inseridas, além de revisar as boas práticas e proteção e segurança de dados como políticas de Mesa limpa e Tela limpa.
Tratamento da informação: Toda informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da SPDL, que compreende: Geração, Manuseio, Armazenamento, Transferência, Transporte e Descarte.
Governança com as Áreas de Negócio e Tecnologia: Iniciativas e projetos das áreas de negócios e tecnologia estão alinhados com as diretrizes e arquiteturas de segurança da informação, garantindo a confidencialidade, integridade e disponibilidade das informações.
Gestão de Ativos da Informação: Tudo o que pode criar, processar, armazenar, transmitir e até excluir informação, com origem tecnológica (software e hardware) e não tecnológica (pessoas, processos e dependências físicas), são inventariados e protegidos de acessos indevidos, fisicamente e logicamente, e tem documentação e planos de manutenção atualizados periodicamente. Dispositivos móveis (pen-drives, cartões de memória, HD externo ou equivalentes) ou mídias removíveis (smartphones, câmeras, gravadores e equivalentes) estão sob atenção especial e restrições para evitar infiltração de fragilidades ou facilitar vazamento de informações. Estes recursos estão dotados de mecanismos de proteção contra vírus e malwares.
Gestão de Acessos: As concessões, revisões e exclusões de acesso são realizadas através ferramentas específicas.
E os processos da SPDL são rastreáveis, a fim de garantir que todas a ações passíveis de auditoria possam identificar individualmente o colaborador, para sua devida responsabilização.
Gestão de Riscos: Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da SPDL, para que sejam recomendadas as proteções adequadas.
Segurança Física do Ambiente: Considera controles relacionados à concessão de acesso físico ao ambiente somente a pessoas autorizadas, de acordo com a criticidade das informações previamente mapeadas e declaradas.
Segurança Cibernética: É norteada por fatores de Regulamentações vigentes, Melhores práticas e Cenário mundial e conforme sua criticidade, divide-se em Ações críticas(correções emergenciais e imediatas para mitigar riscos iminentes), Ações de Sustentação (Iniciativas de curto/médio prazo, para mitigação de risco no ambiente atual) e Ações Estruturantes (Iniciativas de médio/longo prazo que tratam a causa raiz dos riscos).
Transferência de informações/dados: Aplicação de diretrizes e padrões com proteção e segurança, através de análises e investigação de vulnerabilidades nos recursos de processamento da informação, permitindo correções/adequações a tempo, minimizando violação de dados e impedindo o vazamento dos dados tratados.
Procedimentos de backup: São executados de forma automática e abrangem dados locais, servidores de dados locais e na nuvem em datacenter, considera diretrizes e padrões para os procedimentos de testes e recuperação de dados, em atividades periódicas ou realizados em caso de crise.
Tratamento de Incidentes de Segurança da Informação e Segurança Cibernética: São reportados ao Encarregado da Proteção de Dados da SPDL (DPO) e à área de Tecnologia da Informação. O tratamento destes incidentes está mapeado em processo exclusivo de gestão de incidentes de vazamento de informações, incluindo os procedimentos de comunicação a reguladores.
Normas de Utilização da Internet: O acesso à Internet na SPDL é uma concessão feita aos usuários, e não um direito.
Normas de Utilização da Telefonia: O acesso a recursos de telefonia da SPDL é uma concessão feita aos usuários, e não um direito.
Normas de Utilização do Correio Eletrônico: As contas de correio-eletrônico têm titularidade única e exclusiva, sendo considerada como uma ferramenta de trabalho.
Normas de Utilização de Contas e Senhas para usuários: Todas as senhas de rede são pessoais e intransferíveis, devendo ser mantidas em sigilo, foram implementadas com características fortes de segurança, com tempo de expiração inferior a 60 dias. Em caso de desligamento de usuário são imediatamente bloqueados os acessos concedidos.