Política de Segurança da Informação

Versão 2 - 14/05/2021

1 - Objetivos

O objetivo da Política de Segurança da Informação (PSI) é fornecer diretrizes para proteger as informações, o fluxo de informações e serviços fornecidos aos clientes, bem como os dados e serviços de TI que garantem as operações da empresa. Além disso, a PSI deve considerar a propriedade intelectual da empresa, como códigos-fonte, informações e privacidade dos funcionários e dados dos clientes.

A proteção de dados deve levar em consideração as leis e regulamentos relativos aos dados da empresa e clientes e dos serviços prestados. Isso também se aplica a dados de clientes submetidos a normas específicas para o setor do cliente (ex.: Instituições Financeiras). Entre essas normas e leis citamos:

• Marco Civil.
• Lei Geral de Proteção de Dados (LGPD).
• B3 (PQO) - para clientes do mercado financeiro.
• RESOLUÇÃO Nº 4.893 do Banco Central - para clientes do mercado financeiro.

Todos estes documentos estão disponíveis no diretório do Sistema de Gestão da Segurança da Informação SGSI, na pasta Documentação/Legislação. A PSI também contempla os compromissos assumidos nos contratos com clientes de forma a cumprir os requisitos de segurança estipulados no mesmo.

2 - Escopo

Esta política se aplica a todos os usuários da informação da WINCO SISTEMAS, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a WINCO SISTEMAS, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da WINCO SISTEMAS e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura WINCO SISTEMAS.

3 - Papéis e Responsabilidades

3.1 Comitê Gestor da Segurança da Informação - CSI

É um Grupo de Trabalho multidisciplinar permanente, efetivado pela diretoria da WINCO SISTEMAS, que tem por finalidade tratar questões ligadas à Segurança da Informação.

É responsabilidade do CSI:

• Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
• Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
• Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;
• Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da WINCO SISTEMAS.

3.2 Gerenciamento da Segurança Da Informação

É responsabilidade da Assessoria de Informática, juntamente com a equipe de infraestrutura o Gerenciamento da Segurança da Informação:

• Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CSI;
• Elaborar e propor ao CSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir este PSI;
• Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
• Realizar a gestão dos incidentes de segurança da informação, garantindo o seu adequado tratamento.

3.3 Usuários da Informação

São usuários da informação os empregados com vínculo empregatício de qualquer área da WINCO SISTEMAS ou terceiros alocados na prestação de serviços à WINCO SISTEMAS, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da WINCO SISTEMAS para o desempenho de suas atividades profissionais.

É responsabilidade dos Usuários da Informação:

• Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;
• Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, suas normas e procedimentos a Assessoria de Informática ou, quando pertinente, ao Comitê Gestor de Segurança da Informação CSI;
• Comunicar à Assessoria de Informática qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da WINCO SISTEMAS;
• Assinar o Termo de Uso de Sistemas de Informação da WINCO SISTEMAS, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
• Assinar o Termo de Confidencialidade ou NDA (Non Disclosure Agreement) pelo qual se compromete a não divulgar informações que não sejam públicas e zelar pela confidencialidade das mesmas.

3.4 Gestor da Informação

Gestor da Informação é um usuário da informação ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

É responsabilidade dos colaboradores apontados como Gestor da Informação:

• Definir a classificação das informações sob sua responsabilidade com base nas categorias de classificação definidos pela PSI, mantendo um registro atualizado dos itens classificados;
• Controlar as informações geradas em sua área de negócio e atuação;
• Revisar periodicamente a classificação das informações sob sua guarda.

4 - Classificação da Informação

Para efeitos de classificação da informação, definimos as seguintes categorias:

• INFORMAÇÃO PÚBLICA: Informação oficialmente liberada pela WINCO SISTEMAS para o público geral. A divulgação deste tipo de informação não causa problemas a WINCO SISTEMAS ou a seus clientes, podendo ser compartilhada livremente com o público geral, desde que seja mantida sua integridade.
• INFORMAÇÃO DE USO INTERNO: Informação liberada exclusivamente para usuários e departamentos específicos da WINCO SISTEMAS, não podendo ser compartilhada com o público em geral. Estas informações só podem ser compartilhadas mediante autorização expressa.
• INFORMAÇÃO CONFIDENCIAL: Informação de caráter sigiloso, podendo ser comunicada exclusivamente a usuários especificamente autorizados e que necessitem conhecê-las para o desempenho de suas tarefas profissionais na WINCO SISTEMAS. A divulgação ou alteração não autorizada desse tipo de informação pode causar graves danos e prejuízos para a WINCO SISTEMAS e/ou seus clientes, portanto seu compartilhamento deve ser restrito e feito de maneira controlada.

A classificação da informação deverá ser realizada pelos gestores da informação ou colaboradores designados por estes.

5 - Prevenção de Incidentes de Segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da WINCO SISTEMAS LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

A política de prevenção de incidentes engloba:

• Controle de acesso aos dados e sistemas de informação;
• Proteção contra ataques cibernéticos;
• Backups de dados.

5.1 Controle de Acesso

A WINCO SISTEMAS fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa. O acesso a ativos/serviços de informação é fornecido a critério da WINCO SISTEMAS, que define permissões baseadas nas necessidades laborais dos usuários.

As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais e o acesso às mesmas deverá ser autenticado com senhas ou certificados digitais usados em conjunto ou separadamente.

5.2 Proteção contra Ataques Cibernéticos

A proteção contra ataques cibernéticos inclui mas não se limita a:

• Uso de antivírus nos servidores e estações de trabalho;
• Uso de firewall;
• Segmentação das redes, inclusive as hospedadas na nuvem;
• Atualização de segurança dos sistemas operacionais e aplicativos;
• Testes periódicos de vulnerabilidade.

5.3 Backup de Dados

O backup dos dados é feito diariamente. Suas diretrizes seguem o documento DO-12-04 - Política de Cópias de Segurança que está disponível no diretório do Sistema de Gestão de Segurança da Informação.

6 - Resposta a incidentes

No caso de algum incidente, a WINCO SISTEMAS acionará o Plano de Respostas a Incidentes. Esse plano deverá contemplar:

• Definição da ação imediata para interromper ou minimizar o incidente;
• Investigação do Incidente - levantar a origem e as causas;
• Restauração dos recursos afetados;
• Remoção das possíveis falhas que permitiram a ocorrência do incidente;
• Comunicação do incidente aos canais apropriados.

Mais informações sobre o Plano de Recuperação de Desastres estão no documento: PL-17.1-01 - Business Continuity Disaster Recovery Plan.

7 - Treinamento sobre Confidencialidade e Proteção de Dados

Todos os colaboradores da WINCO SISTEMAS serão submetidos a treinamento em relação a confidencialidade e proteção de dados.

Os seguintes assuntos serão abordados:

• Importância da Confidencialidade dos dados da empresa, dos clientes e dos colaboradores da empresa;
• Uso adequado de senhas;
• Melhores práticas de segurança onde serão alertados contra:
  • Phishing;
  • Engenharia Social;
• Ferramentas de segurança como antivírus.

Além do treinamento, todos os colaboradores têm de assinar um Termo de Confidencialidade/NDA (Non Disclosure Agreement) que explicita as informações sigilosas bem como o compromisso de manter a confidencialidade dos mesmos. Os Modelos do Termo de Confidencialidade / NDA estão no documento: FO-A7-01- NDA e Termo de Confidencialidade.

8 - Melhora Contínua da Gestão de Segurança

Deve ser garantida a melhora contínua dos sistemas e controles de segurança da informação de forma a identificar e melhorar possíveis pontos fracos.

Os sistemas e controles de segurança também deverão sofrer revisões periódicas para atualizá-los diante de mudanças tanto no cenário interno quanto externo. Como exemplo de mudanças podemos citar novas legislações, novos serviços e contratos bem como mudanças tecnológicas e adoção de novos sistemas.

Todos incidentes de segurança deverão ser analisados para identificar melhoras que possam evitar ou mitigar a repetição do evento. Também deverá ser feito uma crítica ao procedimento de resposta ao incidente para avaliar possíveis melhoras no mesmo.

Atenciosamente,
Equipe Winco