Política de SEGURANÇA ST IT Cloud

1. Introdução
Este documento contempla a política de segurança da informação da ST IT Cloud compartilhada com todos os profissionais, prestadores de serviços e parceiros de negócio.

Este documento consiste em um conjunto de orientações que valorizam e definem o uso adequado das informações, possibilitando ambientes de TI seguros, confiáveis e íntegros.

O comprometimento de todos em conhecer e vivenciar esta política é de extrema importância para alcançarmos um padrão de excelência na gestão de segurança, proporcionando a evolução dos nossos negócios de forma cada vez mais transparente e segura.

A adoção de políticas, normas e procedimentos que visem garantir a segurança da informação deve ser uma das prioridades do Compliance, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da organização.

A informação pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo, etc.

Por princípio, a segurança da informação deve abranger três aspectos básicos, destacados a seguir:

Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação.
Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações.
Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.
A informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem e perda não intencional, acidentes e outras ameaças.

Em geral, o sucesso da Política de Segurança da Informação adotada pela ST IT Cloud depende da combinação de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados, à segurança da informação e à maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, prestadores de serviços, associados e sócios.

2. Objetivo da empresa
A empresa tem como objetivo principal gerar valor para seus clientes e ser referência em soluções inovadoras para isso contamos com os melhores Parceiros e uma Equipe Certificada e capacitada com base nos princípios de liderança.

3. Processos da Segurança da Informação
3.1. Comitê de Segurança da Informação e Compliance (CSIC)

Esse comitê deverá ser constituído pelos Diretores com a atribuição de aprovar as diretrizes da Política de Segurança da Informação, assim como alterá-las conforme as necessidades da Organização e seus clientes.

Portanto, a revisão e a manutenção desta política são de responsabilidade do comitê. A periodicidade da revisão será anual ou realizada no momento em que for necessário.

Atribuições:

Propor ajustes, aprimoramentos e modificações desta Política;
Propor melhorias e aprovar as Normas de Segurança da Informação;
Definir a classificação das informações pertencentes e/ou custodiadas pela ST IT Cloud com base na política de classificação da informação;
Analisar os casos de violação desta Política e das Normas de Segurança da Informação, comunicar à Diretoria Executiva, quando for necessário;
Coordenar as ações dos Comitês Interdepartamentais viabilizando possíveis ajustes no plano de ação;
Garantir o sucesso de implantação do Modelo de Gestão de Segurança da Informação considerando os atuais e futuros desafios;
Realizar reuniões periódicas quando solicitadas, aprovar e propor adequações relacionados à melhoria da segurança da informação da ST IT Cloud;
As reuniões devem ser realizadas semestralmente podendo haver convocação em frequência maior ou extraordinariamente, sempre que necessário.

3.2. Segurança da Informação
Responsável pela gestão de todas as frentes de Segurança da Informação da ST IT Cloud. Sua missão é estabelecer e utilizar uma metodologia para avaliar, implementar e monitorar as diretrizes de proteção dos bens de informações visando garantir a continuidade dos negócios e serviços da ST IT Cloud.

Atribuições:

Viabilizar, controlar a implementação e divulgar, de forma corporativa, a Política, Normas e Padrões de Segurança da Informação para todos os profissionais, a arquitetura e os processos pertinentes à Segurança da Informação;
Elaborar, participar e propor ao Comitê de Segurança da Informação a arquitetura e os processos pertinentes à Segurança da Informação;
Apoiar e disseminar a cultura de Segurança da Informação;
Apoiar os auditores internos e, eventualmente, externos;
Elaborar e divulgar as normas e procedimentos de Segurança da Informação, assim como mantê-los sempre atualizados;
Elaborar e implementar projetos de suporte à Segurança da Informação;
Definir e Implantar a arquitetura de acesso lógico aos softwares de Segurança da Informação com apoio da área de Tecnologia;
Fornecer suporte técnico aos clientes/parceiros regionais sobre aspectos de Segurança da Informação. Essas administrações regionais estão subordinadas tecnicamente a área de Segurança da Informação Corporativa;
Assegurar em nível de software, o controle de acesso lógico aos recursos computacionais com apoio das áreas técnicas, monitorando todo o ambiente de segurança;
Garantir que todos os procedimentos e controles de acesso lógico aos recursos de informática atendam às exigências de integridade, confiabilidade e confidencialidade dos dados e informações, assim como a continuidade das operações dos negócios;
Assegurar a adequação, a efetividade e a eficácia das Tecnologias empregadas e as operações de segurança lógica como (hardwares, softwares, técnicas de criptografia, firewalls, autenticadores, antivírus e demais recursos pertinentes) e físicos (acesso biométrico, etc), com apoio da área de Tecnologia;
Assegurar a definição das nomenclaturas e padrões de identificador de acesso (ID), logins e logons pela área de Tecnologia;
Analisar os riscos pertinentes à segurança da informação da ST IT Data e apresentar relatórios sobre tais riscos;
Realizar trabalhos de análise de vulnerabilidades, com intuito de assegurar o nível de segurança dos sistemas de informações e dos demais ambientes em que armazenam, processam ou transmitem as informações custodiadas da ST IT Cloud;
Solicitar informações às demais áreas da ST IT Data e realizar testes e avaliações de segurança, no intuito de verificar o cumprimento e aderência da Política de Segurança da Informação, sempre que necessário.

3.3. Proprietário da Informação

O proprietário da informação pode ser um diretor ou um gerente responsável pelo sistema ou processo da ST IT Cloud, responsável por estabelecer diretrizes de segurança da informação na Organização. A concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinado conjunto de informações pertencentes à ST IT Data ou sob a sua guarda envolve a área de Tecnologia e proprietário da informação.

Atribuições:

Elaborar, para toda informação sob sua responsabilidade, matriz que relaciona cargos e funções da ST IT Cloud às autorizações de acesso concedidas;
Autorizar a liberação de acesso à informação sob sua responsabilidade, observadas a matriz de cargos e funções, a Política, Normas e Procedimentos de Segurança da Informação da ST IT Cloud;
Manter registro e controle atualizados de todas as liberações de acesso concedidas, determinando, sempre que necessário, a pronta suspensão ou alteração de tais liberações;
Reavaliar, sempre que necessário, as liberações de acesso concedidas, cancelando aquelas que não forem mais necessárias;
Analisar e fornecer os relatórios de controle de acesso fornecidos pela área de Tecnologia, com o objetivo de identificar desvios em relação à Política, as Normas e Procedimentos de Segurança da Informação, tomando as ações corretivas necessárias;
Participar da investigação de incidentes de segurança relacionados à informação sob sua responsabilidade;
Participar, sempre que convocado, das reuniões do Comitê de Segurança da Informação e Compliance, prestando os esclarecimentos solicitados.

3.4. Recursos Humanos

Atribuições:

Colher a assinatura do Termo de Adoção da Política de Segurança da Informação de todos prestadores de serviços (terceiros, estagiários, temporários, CLT’s, associados, sócios e outros);
Colher a assinatura do Termo de Sigilo e Confidencialidade (NDA) dos funcionários e estagiários, arquivando-o nos respectivos prontuários;
Indicar, conforme o NDA, que existe a cessão de propriedade intelectual e não concorrência.
Colher a assinatura do Termo de Sigilo e Confidencialidade específico para os profissionais da área de Tecnologia;
Comunicar à equipe de Tecnologia a existência de novos funcionários;
Informar, prontamente, à equipe de TI (Controle de Acesso), todos os desligamentos, afastamentos e modificações no quadro funcional da empresa.

3.5. Processo de Divulgação da PSI
A Política de Segurança da Informação deve ser de conhecimento de todos os funcionários, estagiários, prestadores de serviços, associados e sócios da organização, portanto deve ser amplamente divulgada, inclusive e principalmente para novos prestadores de serviços.

Métodos de divulgação:

Reuniões corporativas;
Palestras de conscientização;
Site público da ST IT Cloud;
Uma vez que a Política de Segurança da Informação da ST IT Cloud seja de conhecimento de todos, não poderá ser admissível que os prestadores de serviços aleguem o desconhecimento das regras nelas estabelecidas.

4. Diretrizes
A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da ST IT Cloud que constituem os principais pilares da Gestão de Segurança da Informação da ST IT Cloud, norteando a elaboração das Normas e dos procedimentos.

4.1. Leis e Regulamentações

Cabe ao Comitê de Segurança da Informação e Compliance:

Manter as áreas da ST IT Cloud informadas sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e/ou ações envolvendo a gestão de segurança da informação;
Incluir, na análise e na elaboração de contratos, sempre que necessárias cláusulas específicas relacionadas à segurança da informação, com o objetivo de proteger os interesses da ST IT Cloud;
Avaliar, quando solicitada, as Normas e os Procedimentos de Segurança da Informação elaborados pelas diversas áreas da ST IT Cloud.

4.2. Classificação da Informação
O Comitê, representado por seus membros, é designado proprietário das informações custodiadas pela ST IT Cloud, com a responsabilidade da gestão da sua segurança durante todo o ciclo de vida da informação.

O Comitê deve classificar as Informações custodiadas pela ST IT Cloud utilizando um dos seguintes níveis de Classificações de Informação:

Confidencial: Informação que, se revelada a pessoas não autorizadas, pode ter um impacto significativo nas obrigações legais ou regulatórias, na condição financeira ou reputação, da ST IT Cloud ou de seus clientes. Dados de autenticação como: senhas, PINs, chaves privadas de criptografia, informações sobre ou pertencente a clientes e funcionários, Informação que o Comitê de Segurança da Informação determina ter o potencial de fornecer uma vantagem competitiva ou ter um impacto significativo sobre a ST IT Data se revelada a pessoas não autorizadas. A essas informações será utilizado o princípio do “Need to Know”, em que só serão fornecidas pelo proprietário da informação aos profissionais que devem ter acesso a elas para a execução da sua atividade.
Interna: Informação que é normalmente compartilhada dentro da ST IT Data, não é destinada a distribuição fora da ST IT Cloud e não é classificada como RESTRITA ou CONFIDENCIAL.
Pública: Informação que é livremente disponível fora da ST IT Cloud ou é destinada a uso público pelo Comitê Corporativo. Cada gestor para o gerenciamento de risco dos processos sob sua responsabilidade deve seguir esta política através de práticas e procedimentos estabelecidos na ST IT Cloud e em sua área.
Com base no processo de gerenciamento de risco, na classificação da informação, e na classificação da infraestrutura que a suporta, cada gestor deve especificar os requisitos para proteção da informação e deve implementar os controles suficientes para assegurar a proteção especificada.

4.3. Identificação e Autenticação

Todas as plataformas de Tecnologia da ST IT Cloud devem autenticar a identidade de acesso (incluindo outros sistemas que acessam estas plataformas) antes de iniciar uma sessão ou transação, a menos que o prestador de serviços tenha direitos de acesso limitados a leitura de dados com classificação INTERNA ou PÚBLICA.

Todo acesso deve possuir uma identidade e ser identificado para cada plataforma de Tecnologia por:

Um ID (Iogin) não compartilhado.
Um método de autenticação que possibilite a identificação do acesso, por exemplo: senha única (estática) ou dinâmica, chave privada, dados biométricos ou outro mecanismo de autenticação homologado pelo Comitê Corporativo.
Todo prestador de serviço é responsável por toda atividade associada ao seu login e identidade ou sob sua custódia.
Os prestadores de serviços devem seguir as seguintes práticas para proteção de senhas estáticas:
Nunca podem ser compartilhadas ou apresentadas a terceiros.
Nunca podem ser apresentadas/escritas em claro (com exceção de senha pré-expirada, utilizada no processo de senha inicial).
Um processo documentado deve ser implementado para garantir que todas as senhas estáticas sejam mudadas periodicamente e que os IDs (Iogin) sejam desabilitados depois de um período definido de inatividade, compatível com o nível de risco, com a classificação da informação e com a classificação da infraestrutura correspondente. Com a aprovação do Comitê Corporativo, este requisito pode ser substituído por um processo de esclarecimento periódico dos prestadores de serviços quanto à necessidade de troca de senhas para a garantia da eficácia deste método de autenticação.

4.4. Confidencialidade e Integridade

Os gestores devem informar a todos da ST IT Cloud, os clientes e os fornecedores, prestadores de serviços em geral dos sistemas de informação e dos processos que todas as informações armazenadas, transmitidas ou manuseadas por estes processos e sistemas são de propriedade da ST IT Cloud, de seus clientes ou licenciadas por terceiros. Sempre que permitido pela legislação, a ST IT Cloud reserva o direito de revisar e monitorar estas informações para fins administrativos, de segurança ou legais.

Informações confidenciais da ST IT Cloud, independentemente da mídia ou ambiente onde estejam sendo mantidas, devem ser protegidas contra acessos não autorizados e com as devidas aprovações. Este padrão se aplica, mas não está limitado, aos seguintes tipos de mídia ou ambiente, nos quais as informações estão contidas, registradas ou armazenadas: cartões, CD, DVD, cópia impressa, disco magnético, fita magnética, pen drive, microfilme, disco ótico, documentos em geral, equipamentos de processamento, de rede, Internet, etc.

Para a proteção adequada das informações custodiadas pela ST IT Cloud, que estão sendo manuseadas nas estações de trabalho, sempre que o prestador de serviços se ausentar do ambiente, em particular fora do horário de trabalho, é sua responsabilidade bloquear a estação de trabalho, solicitar e utilizar os recursos disponibilizados pela ST IT Cloud para proteger as informações de acessos não autorizados. Para a proteção adequada das informações custodiadas pela ST IT Cloud, que estão sendo manuseadas em equipamentos portáteis (notebook), todos os prestadores de serviços devem cumprir os requerimentos definidos pela norma específica.

As informações classificadas como RESTRITA ou CONFIDENCIAL, no momento em que não forem mais úteis a ST IT Cloud ou seus clientes, considerados os períodos de retenção estabelecidos por lei, regulamento ou contrato, devem ser destruídas segundo os procedimentos definidos.

Cada gestor deve assegurar que Terceiros (clientes ou fornecedores) protejam adequadamente as informações custodiadas pela ST IT Cloud às quais eles têm acesso:

Monitorando os Terceiros que armazenam, processam, gerenciam ou acessam as informações da ST IT Cloud (exceto as informações classificadas como INTERNA ou PÚBLICA) ou têm conexão com os recursos de rede da ST IT Cloud, para que cumpram os padrões aqui definidos.
Realizando avaliações de segurança da informação nos Terceiros de acordo com os procedimentos aprovados pelo Comitê Corporativo.
Formalizando acordos de confidencialidade NDA – “Non Disclosure Agreement” ou disposições equivalentes, aprovados pela área jurídica da ST IT Data, com os Terceiros que armazenem, processem, gerenciem ou acessem informações custodiadas pela ST IT Cloud (exceto informações classificadas como PÚBLICA).

4.5. Adoção de Comportamento Seguro
É fundamental para a proteção e salvaguarda das informações que os profissionais adotem comportamento seguro e consistente com o objetivo de proteção das informações da ST IT Data, com destaque para os seguintes itens:

Sócios, profissionais e prestadores de serviços devem assumir atitude proativa e engajada no que diz respeito à proteção das informações da ST IT Data;
Todos na ST IT Data devem compreender as ameaças externas que podem afetar a segurança das informações da empresa, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação;
Todo tipo de acesso à informação da ST IT Data que não for explicitamente autorizado é proibido;
Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, elevadores, táxis, espaços de coworking, etc.);
As senhas de acesso são pessoais e intransferíveis, não podendo ser compartilhadas, divulgadas a terceiros (inclusive profissionais da própria empresa), anotadas em papel ou em sistema visível ou de acesso não-protegido;
Somente softwares homologados pela equipe de TI da ST IT Data podem ser instalados nas estações de trabalho, o que deve ser feito, com exclusividade, pela equipe de Tecnologia da ST IT Data, respeitando as questões legais de licenciamento;
A política para uso de internet e correio eletrônico deve ser rigorosamente seguida;
Arquivos de origem desconhecida nunca devem ser abertos e/ou executados;
Documentos impressos e arquivos contendo informações confidenciais devem ser adequadamente armazenados e protegidos;
Qualquer tipo de dúvida sobre a Política de Segurança da Informação e suas Normas deve ser imediatamente esclarecido com a área de Segurança Corporativa;
Todas as normas de segurança da informação devem ser rigorosamente seguidas. Casos não previstos devem ser imediatamente submetidos para análise e a validação à área de Segurança Corporativa.

4.6. Avaliação dos Riscos de Segurança da Informação

A área de Segurança da Informação Corporativa deve realizar, de forma sistemática, a avaliação dos riscos relacionados à segurança da informação da ST IT Data.

A análise dos riscos deve atuar como ferramenta de orientação ao Comitê Corporativo de Segurança da Informação, principalmente, no que diz respeito à:

Identificação dos principais riscos aos quais as informações da ST IT Data estão expostas;
Priorização das ações voltadas à mitigação dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, reformulação de sistemas etc. O escopo da análise/avaliação de riscos de segurança da informação pode ser toda a organização, partes da organização, um sistema de informação específico, componentes de um sistema específico etc.
Planejamento trimestral de identificação e análise dos riscos, podendo ser alterado o ciclo de análise conforme definido pelo Comitê de Segurança da Informação.
Implantação de ferramentas para identificação de riscos e compliance.

4.7. Gestão de Acesso a Sistemas de Informação e a Outros Ambientes

Todo acesso às informações e aos ambientes lógicos e físicos da ST IT Data deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo proprietário da informação. A política de controle de acesso deve ser documentada e formalizada por meio de Normas e Procedimentos que contemplem, pelo menos, os seguintes itens:

Procedimento formal de concessão e cancelamento de autorização de acesso aos sistemas de informação;
Comprovação da autorização do proprietário da informação;
Utilização de identificadores (ID/Login) individualizados, de forma a assegurar a responsabilidade de cada prestador de serviços por suas ações;
Verificação se o nível de acesso concedido é apropriado ao propósito do negócio e se é consistente com a Política de Segurança da Informação, as Normas e Procedimentos;
Remoção imediata de autorizações dadas aos prestadores de serviços afastados ou desligados da empresa, ou que tenham mudado de função;
Processo de revisão periódica das autorizações concedidas;
Política de atribuição, manutenção e uso de senhas.

4.8. Monitoração e Controle

Os equipamentos, os sistemas, as informações e os serviços utilizados pelos prestadores de serviços são de propriedade da ST IT Data, não podendo ser interpretados como de uso pessoal.

Todos os profissionais da ST IT Data devem ter ciência de que o uso das informações e dos sistemas de informação da ST IT Data pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da Política, as Normas e Procedimentos de Segurança da Informação e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

4.9. Treinamento e Conscientização de Segurança da Informação

Cada gestor deve garantir que todos da ST IT Data e os fornecedores, ao iniciar a relação com a ST IT Data ou quando tiverem alteração significativa na responsabilidade do trabalho, recebam treinamento sobre aspectos de segurança da informação relacionados a sua função dentro de 30 dias do início do trabalho.

Os gestores devem assegurar que todos os profissionais da ST IT Data e de fornecedores recebam anualmente material de conscientização aprovado pelo Comitê Corporativo sobre Segurança da Informação.

4.10. Produtos e Serviços de Gerenciamento da Segurança
Sistemas de detecção de invasão e demais produtos e serviços de segurança da informação só podem ser contratados se aprovados pelo Comitê Corporativo de Segurança da Informação.

Todos os alarmes de sistema associados a Segurança da Informação e eventos de segurança gerados sejam registrados e arquivados diariamente.

Quando ocorrer um Evento de Segurança, o Comitê de Segurança da Informação deve ser acionado através do processo e procedimento definidos pela área de Segurança da Informação.

Os controles da área TI devem assegurar que todas as conexões IP a Terceiros são protegidas por firewalls gerenciados pela Tecnologia e Operações ou ao menos submetidos a Diretoria de Segurança e Compliance.

Data da última atualização/revisão: 10/01/2021

pt_BRPortuguese