Política de Segurança da Informação

1. Objetivo

A Cassini Tecnologia LTDA estabelece sua Política de Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada às boas práticas do mercado, a normas internacionalmente aceitas e à legislação brasileira pertinente, com o objetivo de garantir níveis adequados de proteção a informações e dados pessoais operados pela organização, de seus clientes e colaboradores sob sua responsabilidade.

2. Propósito

Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da Cassini Tecnologia adotar padrões de comportamento seguro, bem como:

• Orientar quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação dos dados pessoais;
• Resguardar as informações da Cassini Tecnologia, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
• Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e de seus colaboradores, clientes, fornecedores e parceiros;
• Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio como resultado de falhas de segurança.

3. Política

Esta política se aplica a todos os colaboradores, fornecedores e parceiros da Cassini Tecnologia que possuem acesso às informações e dados pessoais da organização e/ou fazem uso de recursos computacionais compreendidos na infraestrutura interna.

3.1 É política da Cassini Tecnologia:

• Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade sejam atingidos por meio da adoção de controles contra ameaças de fontes externas e internas;
• Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, como colaboradores, terceiros contratados, fornecedores e, onde pertinente, clientes;
• Garantir a educação e a conscientização sobre as práticas de segurança da informação adotadas pela organização;
• Atender integralmente aos requisitos de segurança da informação dos dados pessoais aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;
• Tratar integralmente incidentes de segurança da informação de dados pessoais, garantindo que sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicados às autoridades apropriadas;
• Garantir a continuidade do negócio por meio da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;
• Melhorar continuamente a Gestão de Segurança da Informação por meio da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

4. Papéis e responsabilidades

4.1 Comitê Gestor de Segurança da Informação (CGSI)

Fica constituído o Comitê Gestor de Segurança da Informação — CGSI, contando com a participação de, pelo menos, um Gerente de Desenvolvimento, um Gerente de Tecnologia da Informação e pelo menos três membros com conhecimento em tecnologia da informação, tanto em suporte a infraestrutura quanto em sistemas. É responsabilidade do CGSI:

• Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
• Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
• Garantir que as atividades de segurança da informação sejam executadas em conformidade com a política;
• Promover a divulgação da política e disseminar uma cultura de segurança da informação no ambiente da organização.

4.2 Gestores

Os gestores são responsáveis por garantir que as diretrizes desta Política sejam compreendidas e cumpridas pelas equipes sob sua responsabilidade:

• Assegurar que os colaboradores conheçam e cumpram esta Política e demais normas de Segurança da Informação;
• Orientar quanto ao uso adequado das informações e dos recursos tecnológicos;
• Comunicar prontamente ao CGSI qualquer incidente, suspeita de incidente ou descumprimento desta Política;
• Apoiar ações de conscientização, treinamentos e melhorias relacionadas à Segurança da Informação;
• Garantir que acessos às informações sejam concedidos, revisados e revogados conforme a função do colaborador.

4.3 Funcionários

Todos os funcionários, colaboradores, estagiários, aprendizes e demais pessoas com acesso às informações ou recursos da Cassini Tecnologia são responsáveis pela proteção das informações sob sua guarda:

• Cumprir integralmente esta Política e as normas e procedimentos de Segurança da Informação;
• Utilizar as informações e os recursos tecnológicos exclusivamente para fins profissionais e autorizados;
• Proteger credenciais de acesso, mantendo sigilo sobre senhas e outros mecanismos de autenticação;
• Comunicar imediatamente ao gestor ou ao CGSI qualquer incidente, suspeita de incidente ou vulnerabilidade identificada;
• Evitar práticas que possam comprometer a confidencialidade, integridade ou disponibilidade das informações.

4.4 Fornecedores

Os fornecedores, prestadores de serviço e terceiros com acesso às informações ou recursos da Cassini Tecnologia devem cumprir esta Política e as cláusulas contratuais relacionadas à Segurança da Informação:

• Utilizar as informações exclusivamente para os fins previstos em contrato;
• Manter a confidencialidade das informações acessadas;
• Adotar medidas de segurança compatíveis com os riscos envolvidos;
• Comunicar imediatamente qualquer incidente de Segurança da Informação que possa impactar a organização;
• Devolver ou eliminar informações ao término do contrato, conforme orientações da organização.

4.5 Clientes e parceiros

Quando aplicável, clientes e parceiros com acesso às informações ou sistemas da Cassini Tecnologia devem respeitar as diretrizes de Segurança da Informação acordadas contratualmente:

• Utilizar as informações recebidas de forma ética, segura e conforme o previsto em contrato;
• Preservar a confidencialidade das informações compartilhadas;
• Comunicar eventuais incidentes de Segurança da Informação relacionados às informações da Cassini Tecnologia;
• Cumprir as obrigações legais, regulatórias e contratuais aplicáveis à Segurança da Informação.

5. Sanções e punições

As violações desta política — mesmo que por mera omissão ou tentativa não consumada —, bem como das demais normas e procedimentos de segurança, são passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e demissão por justa causa aos colaboradores celetistas. Para colaboradores pessoa jurídica e cooperados, poderá implicar a imediata rescisão do contrato entre as partes.

A aplicação de sanções e punições é realizada conforme análise do Comitê Gestor de Segurança da Informação, considerando a gravidade da infração, o efeito alcançado e a recorrência. No caso de terceiros contratados ou prestadores de serviço, o CGSI analisa a ocorrência e delibera sobre a efetivação das sanções conforme termos previstos em contrato.

Para violações que impliquem atividades ilegais, ou que possam incorrer em dano à organização, o infrator será responsabilizado pelos prejuízos, cabendo a aplicação das medidas judiciais pertinentes.

6. Casos omissos

Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para posterior deliberação. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança não se esgotam, em razão da contínua evolução tecnológica e do constante surgimento de novas ameaças. Desta forma, não constituem rol enumerativo, sendo obrigação do usuário da informação adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir a proteção às informações e dados pessoais.

7. Histórico de alterações