Política de Segurança da Informação para Terceiros
Objetivo
Estabelecer diretrizes e normas de Segurança da Informação para que todo e qualquer terceiro que mantenha relacionamento com a Dufrio e dela obtenha informações empresariais, independente do meio, especialmente empresas/entes que prestem quaisquer serviços que envolvam, direta ou indiretamente, recursos de TI, tais como, mas não se limitando a internet, e-mails, plataformas digitais, etc, isto é, qualquer tratamento de dados da Dufrio.
Isso para que tais terceiros estejam cientes e sigam as diretrizes que estão descritas neste documento, a fim de proteger a segurança dos dados, informações e operações da Dufrio.
1. Principais fundamentos de compromisso
O compromisso com o tratamento adequado das informações da Dufrio, de seus clientes, fornecedores parceiros, prestadores de serviço e público em geral está fundamentado nos seguintes princípios:
• Confidencialidade: Garantir que o acesso à informação seja obtido somente por pessoas autorizadas e
quando ele for de fato necessário;
• Disponibilidade: Garantir que as pessoas autorizadas tenham acesso à informação sempre que necessário;
• Integridade: Garantir a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.
• Segurança: Garantir que o ambiente de coleta, tratamento, armazenamento e desuso dos dados/informações seja seguro, protegido pelos mais altos padrões de mercado.
2. Diretriz
a) As informações da Dufrio, dos seus clientes e do público em geral devem ser tratadas por terceiros de forma ética, sigilosa e de acordo com as leis vigentes e normas internas, evitando-se o mau uso e a exposição indevida de informações da Dufrio e de seus clientes.
b) A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
c) O acesso às informações e recursos só deve ser feito se devidamente autorizado pela Dufrio, incluindo o acesso aos ambientes físicos, onde ocorre o tratamento de informações.
d) A identificação de qualquer terceiro deve ser única e pessoal, qualificando-o como responsável pelas ações realizadas.
e) A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os terceiros autorizados devem ter acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades ou dos negócios com a Dufrio.
f) A senha de acesso concedida ao terceiro deve ser utilizada como sua assinatura eletrônica e deve ser mantida secreta e intransferível, sendo proibido o seu compartilhamento. E todos os cuidados com o uso da senha devem ser tomados, para que não seja exposta ou vaze por descuido ou mal uso.
g) Os riscos às informações da Dufrio devem ser reportados pelo terceiro à área de Segurança da Informação da Dufrio assim que forem identificados.
h) As responsabilidades decorrentes desta Política, assim como pelo seu descumprimento, ou da legislação aplicável à Segurança da Informação e à Política de Segurança da Informação da Dufrio devem ser amplamente divulgadas pelos Terceiros entre seus empregados, colaboradores, parceiros, etc. que devem entender e assegurar o cumprimento destas diretrizes.
i) A informação deve receber a proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da Dufrio em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.
j) Os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, além de ter a documentação e planos de manutenção atualizados.
k) As informações devem ser classificadas de acordo com a confidencialidade e o nível de proteção necessária, nos seguintes níveis: Confidencial, Restrita, Interna e Pública. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
l) As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e processos eficazes a fim de promover as necessidades de alterações destes acessos, além de amplamente rastreáveis. A rastreabilidade das concessões, revisões e exclusões de acesso garante que todas as ações passíveis de auditoria possam
identificar individualmente o Terceiro, para que seja responsabilizado por suas ações.
m) Os riscos devem ser identificados por meio de um processo estabelecido pelo Terceiro para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação, para que sejam recomendadas as proteções adequadas. Os cenários de riscos de Segurança da Informação deverão ser escalonados nos fóruns apropriados do Terceiro para decisão e adoção das medidas necessárias e cabíveis.
n) Os incidentes de Segurança da Informação que envolverem qualquer informação da Dufrio aqui mencionada devem ser reportados imediatamente pelo Terceiro/ à área de Segurança da Informação da Dufrio.
o) O Terceiro deve preservar os requisitos de segurança da informação na aquisição de produtos, contratação de serviços ou pessoas e no relacionamento com seus próprios colaboradores, fornecedores, terceiros, parceiros, contratados e estagiários.
p) O Terceiro deve estabelecer a sua própria política de Segurança da Informação e normas de Gestão de Riscos de Segurança da Informação, Privacidade dos Dados Pessoais e Continuidade dos Negócios, identificando e corrigindo as vulnerabilidades, as ameaças, os riscos e os impactos que envolvam os ativos de informação, por meio da gestão de riscos de segurança e de continuidade dos negócios, procedimentos de teste, análise de logs e avaliação periódicas.
q) O Terceiro deve promover a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
r) O Terceiro deverá permitir que a Dufrio ou seus representantes legais tenham acesso acompanhado ao seu ambiente de Segurança da Informação, sempre que solicitado, mediante agendamento prévio, e nunca em prazo superior a 48h do pedido de acesso/visita, justamente para acompanhamento, pela Dufrio, do cumprimento da presente política, que poderá, inclusive, ensejar rescisão por justa causa nos contratos celebrados, caso não esteja sendo cumprida a contento, expondo a Dufrio aos riscos que esta política busca justamente mitigar.
3. Informações gerais
A seguinte Política tem o intuito de:
• Orientar todos os seus Terceiros, conforme Objetivo (fornecedores, parceiros, prestadores de serviço, etc.) quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação da Dufrio;
• Prevenir possíveis causas de incidentes de Segurança da Informação;
• Resguardar ativos de informação e ativos tecnológicos da Dufrio, garantindo requisitos de confidencialidade, integridade e disponibilidade;
• Minimizar os riscos de perdas financeiras, da confiança do cliente ou de qualquer outro impacto negativo no negócio como resultado de falhas de segurança.
4. Disposições finais
Esta diretriz entra em vigor nesta data e revoga todas as disposições ao contrário.
Caso sejam identificados desvios no cumprimento desta diretriz, sanções previstas na legislação vigente poderão ser aplicadas após a apuração dos fatos, além da reparação por perdas e danos à Dufrio
Para isto, devem ser envolvidas as pessoas abaixo, seguindo obrigatoriamente esta ordem:
• Gestor da(s) área(s) envolvida(s);
• Gerente Jurídico e de Recursos Humanos;
• Diretor responsável pelo processo