Política de segurança da informação
Política de segurança da informação
Data de Atualização: 27 de Agosto de 2024
Política de segurança da informação
Data de Atualização: 27 de Agosto de 2024
Introdução
A IGMA DIGITAL PRODUCT COMPANY ("IGMA") está comprometida com a proteção dos dados pessoais e com a segurança da informação, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) e a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Esta Política de Segurança da Informação (PSI) define as diretrizes, responsabilidades e procedimentos para garantir a segurança das informações tratadas pela IGMA, especialmente em um ambiente de trabalho remoto.
Introdução
A IGMA DIGITAL PRODUCT COMPANY ("IGMA") está comprometida com a proteção dos dados pessoais e com a segurança da informação, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) e a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Esta Política de Segurança da Informação (PSI) define as diretrizes, responsabilidades e procedimentos para garantir a segurança das informações tratadas pela IGMA, especialmente em um ambiente de trabalho remoto.
Objetivo
O objetivo desta PSI é estabelecer as diretrizes e procedimentos para proteger as informações tratadas pela IGMA contra acessos não autorizados, perdas, alterações, destruições, ou qualquer forma de tratamento inadequado ou ilícito, garantindo a integridade, confidencialidade e disponibilidade das informações.
Objetivo
O objetivo desta PSI é estabelecer as diretrizes e procedimentos para proteger as informações tratadas pela IGMA contra acessos não autorizados, perdas, alterações, destruições, ou qualquer forma de tratamento inadequado ou ilícito, garantindo a integridade, confidencialidade e disponibilidade das informações.
Âmbito de aplicação
Esta PSI se aplica a todos os colaboradores, fornecedores, parceiros, e quaisquer terceiros que tratem informações da IGMA. A política abrange todas as informações processadas, armazenadas ou transmitidas pela empresa, independentemente do meio ou formato, com atenção especial ao ambiente de trabalho remoto.
Âmbito de aplicação
Esta PSI se aplica a todos os colaboradores, fornecedores, parceiros, e quaisquer terceiros que tratem informações da IGMA. A política abrange todas as informações processadas, armazenadas ou transmitidas pela empresa, independentemente do meio ou formato, com atenção especial ao ambiente de trabalho remoto.
Diretrizes gerais
Confidencialidade: Garantir que as informações sejam acessíveis apenas por pessoas autorizadas e que sejam tratadas de forma confidencial.
Integridade: Assegurar a precisão e completude das informações e dos métodos de processamento das mesmas.
Disponibilidade: Garantir que as informações estejam disponíveis e utilizáveis sob demanda por pessoas autorizadas.
Autenticidade: Garantir que as informações e seus remetentes sejam autênticos e verificados.
Legalidade: Garantir que todas as atividades de tratamento de dados sejam conduzidas em conformidade com a LGPD e a legislação aplicável.
Diretrizes gerais
Confidencialidade: Garantir que as informações sejam acessíveis apenas por pessoas autorizadas e que sejam tratadas de forma confidencial.
Integridade: Assegurar a precisão e completude das informações e dos métodos de processamento das mesmas.
Disponibilidade: Garantir que as informações estejam disponíveis e utilizáveis sob demanda por pessoas autorizadas.
Autenticidade: Garantir que as informações e seus remetentes sejam autênticos e verificados.
Legalidade: Garantir que todas as atividades de tratamento de dados sejam conduzidas em conformidade com a LGPD e a legislação aplicável.
Segurança no trabalho remoto
Redes Seguras: Todos os colaboradores que trabalham remotamente devem utilizar redes seguras e protegidas por senhas fortes. O uso de redes Wi-Fi públicas para acessar informações sensíveis da empresa é proibido.
VPNs Corporativas: A IGMA fornecerá e exigirá o uso de VPNs (Virtual Private Networks) corporativas para acessar sistemas e informações da empresa remotamente.
Ambiente de Trabalho Seguro: Os colaboradores devem garantir que suas áreas de trabalho remotas sejam seguras e que informações confidenciais não estejam acessíveis a pessoas não autorizadas. Documentos físicos sensíveis devem ser armazenados de forma segura e destruídos adequadamente após o uso.
Segurança no trabalho remoto
Redes Seguras: Todos os colaboradores que trabalham remotamente devem utilizar redes seguras e protegidas por senhas fortes. O uso de redes Wi-Fi públicas para acessar informações sensíveis da empresa é proibido.
VPNs Corporativas: A IGMA fornecerá e exigirá o uso de VPNs (Virtual Private Networks) corporativas para acessar sistemas e informações da empresa remotamente.
Ambiente de Trabalho Seguro: Os colaboradores devem garantir que suas áreas de trabalho remotas sejam seguras e que informações confidenciais não estejam acessíveis a pessoas não autorizadas. Documentos físicos sensíveis devem ser armazenados de forma segura e destruídos adequadamente após o uso.
Gestão de dispositivos e BYOD (Bring Your Own Device)
Requisitos de Segurança: O uso de dispositivos pessoais para fins de trabalho é permitido apenas se os dispositivos atenderem aos requisitos de segurança estabelecidos pela IGMA, como a instalação de software de segurança, criptografia de dados e monitoramento remoto.
Registro e Monitoramento: Todos os dispositivos utilizados para acessar informações da IGMA devem ser registrados e monitorados pela equipe de TI.
Gestão de dispositivos e BYOD (Bring Your Own Device)
Requisitos de Segurança: O uso de dispositivos pessoais para fins de trabalho é permitido apenas se os dispositivos atenderem aos requisitos de segurança estabelecidos pela IGMA, como a instalação de software de segurança, criptografia de dados e monitoramento remoto.
Registro e Monitoramento: Todos os dispositivos utilizados para acessar informações da IGMA devem ser registrados e monitorados pela equipe de TI.
Classificação da informação
Critérios de Classificação: As informações tratadas pela IGMA serão classificadas de acordo com o nível de sensibilidade e o impacto potencial em caso de comprometimento. As categorias de classificação incluem:
Pública
Interna
Confidencial
Sensível
Procedimento de Classificação: Todas as informações devem ser classificadas no momento da criação ou recebimento. A classificação será revisada periodicamente ou sempre que houver mudanças nas circunstâncias que justifiquem uma reclassificação.
Classificação da informação
Critérios de Classificação: As informações tratadas pela IGMA serão classificadas de acordo com o nível de sensibilidade e o impacto potencial em caso de comprometimento. As categorias de classificação incluem:
Pública
Interna
Confidencial
Sensível
Procedimento de Classificação: Todas as informações devem ser classificadas no momento da criação ou recebimento. A classificação será revisada periodicamente ou sempre que houver mudanças nas circunstâncias que justifiquem uma reclassificação.
Proteção de dados em trânsito e em repouso
Criptografia: Informações classificadas como "Confidenciais" ou "Sensíveis" devem ser protegidas por criptografia adequada tanto em trânsito quanto em repouso.
Transmissão Segura: Colaboradores devem garantir que as informações sejam transmitidas apenas por canais seguros e criptografados, como VPNs e e-mails corporativos com criptografia.
Proteção de dados em trânsito e em repouso
Criptografia: Informações classificadas como "Confidenciais" ou "Sensíveis" devem ser protegidas por criptografia adequada tanto em trânsito quanto em repouso.
Transmissão Segura: Colaboradores devem garantir que as informações sejam transmitidas apenas por canais seguros e criptografados, como VPNs e e-mails corporativos com criptografia.
Autenticação Multifator (MFA)
Requisito de Segurança: Todos os acessos a sistemas e informações corporativas da IGMA devem ser protegidos por autenticação multifator (MFA), garantindo uma camada adicional de segurança contra acessos não autorizados.
Autenticação Multifator (MFA)
Requisito de Segurança: Todos os acessos a sistemas e informações corporativas da IGMA devem ser protegidos por autenticação multifator (MFA), garantindo uma camada adicional de segurança contra acessos não autorizados.
Política de atualização e Patch Management
Manutenção Regular: Todos os dispositivos utilizados para acessar informações da IGMA devem ter os sistemas operacionais, softwares e aplicativos regularmente atualizados com as últimas correções de segurança.
Verificações Periódicas: A equipe de TI realizará verificações periódicas para garantir a conformidade com os requisitos de atualização e segurança.
Política de atualização e Patch Management
Manutenção Regular: Todos os dispositivos utilizados para acessar informações da IGMA devem ter os sistemas operacionais, softwares e aplicativos regularmente atualizados com as últimas correções de segurança.
Verificações Periódicas: A equipe de TI realizará verificações periódicas para garantir a conformidade com os requisitos de atualização e segurança.
Segurança física e Controle de acesso
Área de Trabalho Remota: Colaboradores devem garantir que suas áreas de trabalho remotas sejam seguras, com controle de acesso físico para impedir o acesso não autorizado a informações corporativas.
Documentos Físicos: Documentos físicos sensíveis devem ser armazenados de forma segura e destruídos adequadamente após o uso.
Segurança física e Controle de acesso
Área de Trabalho Remota: Colaboradores devem garantir que suas áreas de trabalho remotas sejam seguras, com controle de acesso físico para impedir o acesso não autorizado a informações corporativas.
Documentos Físicos: Documentos físicos sensíveis devem ser armazenados de forma segura e destruídos adequadamente após o uso.
Plano de resposta a Incidentes remotos
Identificação e Contenção: Em caso de incidente de segurança, a equipe responsável deve agir imediatamente para conter e mitigar os impactos.
Notificação: A IGMA deve notificar a ANPD e os titulares dos dados pessoais envolvidos, conforme os prazos estipulados pela LGPD e pela Resolução CD/ANPD nº 2.
Análise e Relatório: Após a contenção do incidente, uma análise detalhada será conduzida para determinar a causa raiz e evitar recorrências. Um relatório completo será preparado e arquivado.
Plano de resposta a Incidentes remotos
Identificação e Contenção: Em caso de incidente de segurança, a equipe responsável deve agir imediatamente para conter e mitigar os impactos.
Notificação: A IGMA deve notificar a ANPD e os titulares dos dados pessoais envolvidos, conforme os prazos estipulados pela LGPD e pela Resolução CD/ANPD nº 2.
Análise e Relatório: Após a contenção do incidente, uma análise detalhada será conduzida para determinar a causa raiz e evitar recorrências. Um relatório completo será preparado e arquivado.
Política de uso de ferramentas de colaboração e comunicação
Ferramentas Autorizadas: A IGMA permite o uso de ferramentas de colaboração e comunicação específicas, como Slack, Teams, Google Meet e Zoom, que foram aprovadas por atenderem aos requisitos de segurança da empresa.
Proibição de Ferramentas Não Autorizadas: O uso de ferramentas não autorizadas para troca de informações corporativas é proibido.
Política de uso de ferramentas de colaboração e comunicação
Ferramentas Autorizadas: A IGMA permite o uso de ferramentas de colaboração e comunicação específicas, como Slack, Teams, Google Meet e Zoom, que foram aprovadas por atenderem aos requisitos de segurança da empresa.
Proibição de Ferramentas Não Autorizadas: O uso de ferramentas não autorizadas para troca de informações corporativas é proibido.
Treinamento em Segurança para Trabalho Remoto
Treinamento Regular: Todos os colaboradores devem participar de treinamentos regulares em segurança da informação com foco no trabalho remoto, incluindo como identificar e evitar ameaças como phishing, engenharia social, e outras tentativas de comprometimento de informações.
Treinamento em Segurança para Trabalho Remoto
Treinamento Regular: Todos os colaboradores devem participar de treinamentos regulares em segurança da informação com foco no trabalho remoto, incluindo como identificar e evitar ameaças como phishing, engenharia social, e outras tentativas de comprometimento de informações.
Auditoria e Verificação de Conformidade Remota
Auditorias Regulares: A IGMA realizará auditorias regulares para garantir que todos os colaboradores que trabalham remotamente estejam em conformidade com as políticas de segurança da informação.
Auditoria e Verificação de Conformidade Remota
Auditorias Regulares: A IGMA realizará auditorias regulares para garantir que todos os colaboradores que trabalham remotamente estejam em conformidade com as políticas de segurança da informação.
Canais de Suporte e Reporte
Suporte Técnico: A IGMA disponibiliza canais de suporte técnico que podem ser acessados remotamente pelos colaboradores. Qualquer dúvida ou problema relacionado à segurança da informação deve ser comunicado imediatamente através do e-mail security@igma.do.
Canais de Suporte e Reporte
Suporte Técnico: A IGMA disponibiliza canais de suporte técnico que podem ser acessados remotamente pelos colaboradores. Qualquer dúvida ou problema relacionado à segurança da informação deve ser comunicado imediatamente através do e-mail security@igma.do.
Revisão e Atualização
Revisão Periódica: Esta PSI será revisada periodicamente para garantir sua eficácia e conformidade com as mudanças legislativas, regulamentares ou organizacionais.
Comunicação de Alterações: Quaisquer alterações significativas serão comunicadas a todos os colaboradores, parceiros e terceiros relevantes.
Revisão e Atualização
Revisão Periódica: Esta PSI será revisada periodicamente para garantir sua eficácia e conformidade com as mudanças legislativas, regulamentares ou organizacionais.
Comunicação de Alterações: Quaisquer alterações significativas serão comunicadas a todos os colaboradores, parceiros e terceiros relevantes.
Responsabilidades
Diretoria: A Diretoria da IGMA é responsável pela aprovação e apoio à implementação desta PSI.
Encarregado de Proteção de Dados (DPO): O DPO da IGMA, Marcos Santos, é responsável por supervisionar a conformidade com esta política e com as obrigações da LGPD, bem como por atuar como ponto de contato com a ANPD.
Colaboradores e Parceiros: Todos os colaboradores e parceiros da IGMA são responsáveis por cumprir esta política e participar de treinamentos e atividades de conscientização em segurança da informação.
Responsabilidades
Diretoria: A Diretoria da IGMA é responsável pela aprovação e apoio à implementação desta PSI.
Encarregado de Proteção de Dados (DPO): O DPO da IGMA, Marcos Santos, é responsável por supervisionar a conformidade com esta política e com as obrigações da LGPD, bem como por atuar como ponto de contato com a ANPD.
Colaboradores e Parceiros: Todos os colaboradores e parceiros da IGMA são responsáveis por cumprir esta política e participar de treinamentos e atividades de conscientização em segurança da informação.
Notificações de mudanças na Política
Comunicação de Mudanças: Qualquer alteração significativa nesta PSI será comunicada a todos os colaboradores, parceiros e fornecedores, e será publicada nos canais oficiais da IGMA.
Notificações de mudanças na Política
Comunicação de Mudanças: Qualquer alteração significativa nesta PSI será comunicada a todos os colaboradores, parceiros e fornecedores, e será publicada nos canais oficiais da IGMA.
Plano de Resposta a Incidentes de Segurança
Objetivo: O Plano de Resposta a Incidentes de Segurança da IGMA DIGITAL PRODUCT COMPANY ("IGMA") tem como objetivo definir os procedimentos a serem seguidos em caso de incidentes de segurança da informação, minimizando os impactos, garantindo a recuperação rápida e segura dos sistemas e dados, e assegurando a conformidade com as exigências legais, incluindo as dispostas na LGPD.
Definição de Incidente de Segurança: Um incidente de segurança é qualquer evento identificado que comprometa a confidencialidade, integridade, ou disponibilidade das informações tratadas pela IGMA. Exemplos de incidentes incluem, mas não se limitam a:
Acesso não autorizado a sistemas ou dados.
Perda ou roubo de dispositivos contendo informações corporativas.
Infecções por malware, como vírus ou ransomware.
Divulgações não autorizadas de informações confidenciais ou sensíveis.
Interrupções inesperadas nos serviços de TI.
Equipe de Resposta a Incidentes (ERI): A IGMA manterá uma Equipe de Resposta a Incidentes (ERI) composta por membros da equipe de TI, o Encarregado de Proteção de Dados (DPO), e outros profissionais chave designados pela direção. A ERI será responsável por coordenar a resposta a qualquer incidente de segurança, tomando as medidas necessárias para mitigar os impactos e restaurar as operações normais.
Etapas do Plano de Resposta a Incidentes
Identificação
Monitoramento contínuo dos sistemas e redes para identificar possíveis incidentes de segurança.
Notificação imediata à ERI quando um incidente for detectado ou suspeitado.
Contenção
Ação rápida para conter o incidente, impedindo que ele se espalhe ou cause mais danos.
Isolamento dos sistemas ou redes comprometidos, se necessário, para evitar a propagação do incidente.
Erradicação
Identificação e eliminação das causas do incidente, como malware ou falhas de segurança.
Aplicação de patches, correções ou outras medidas de segurança para garantir que a vulnerabilidade não seja explorada novamente.
Recuperação
Restauração dos sistemas e serviços afetados para a normalidade, garantindo que as operações possam continuar sem interrupções significativas.
Verificação completa para garantir que o sistema esteja seguro antes de retornar ao estado operacional normal.
Comunicação
Notificação à ANPD e aos titulares dos dados pessoais afetados, conforme exigido pela LGPD, dentro dos prazos regulamentares.
Comunicação interna e externa clara e concisa para manter todas as partes interessadas informadas sobre o status do incidente e as medidas tomadas.
Análise Pós-Incidente
Revisão detalhada do incidente para determinar a causa raiz e identificar oportunidades de melhoria nos procedimentos de segurança.
Criação de um relatório completo do incidente, incluindo as etapas de resposta, a análise pós-incidente e as recomendações de ações preventivas.
Registro e Documentação: Todos os incidentes de segurança, independentemente de sua gravidade, devem ser registrados detalhadamente em um relatório de incidentes. Este relatório deve incluir:
Descrição do incidente.
Data e hora da detecção e das ações tomadas.
Membros da ERI envolvidos e suas responsabilidades.
Medidas adotadas durante cada etapa do processo de resposta.
Resultados da análise pós-incidente.
Ações corretivas e preventivas recomendadas.
Os relatórios serão armazenados e mantidos por um período mínimo de 5 anos, ou conforme exigido pela legislação aplicável.
Treinamento e Simulações: A IGMA realizará treinamentos regulares para todos os colaboradores, focados no reconhecimento e resposta a incidentes de segurança da informação. Além disso, a ERI conduzirá simulações periódicas de incidentes para garantir que todos os membros da equipe estejam preparados para agir de forma eficaz em situações reais.
Revisão do Plano de Resposta a Incidentes: O Plano de Resposta a Incidentes será revisado anualmente, ou após a ocorrência de um incidente significativo, para garantir sua eficácia e conformidade com as melhores práticas de segurança e com as exigências regulatórias.
Plano de Resposta a Incidentes de Segurança
Objetivo: O Plano de Resposta a Incidentes de Segurança da IGMA DIGITAL PRODUCT COMPANY ("IGMA") tem como objetivo definir os procedimentos a serem seguidos em caso de incidentes de segurança da informação, minimizando os impactos, garantindo a recuperação rápida e segura dos sistemas e dados, e assegurando a conformidade com as exigências legais, incluindo as dispostas na LGPD.
Definição de Incidente de Segurança: Um incidente de segurança é qualquer evento identificado que comprometa a confidencialidade, integridade, ou disponibilidade das informações tratadas pela IGMA. Exemplos de incidentes incluem, mas não se limitam a:
Acesso não autorizado a sistemas ou dados.
Perda ou roubo de dispositivos contendo informações corporativas.
Infecções por malware, como vírus ou ransomware.
Divulgações não autorizadas de informações confidenciais ou sensíveis.
Interrupções inesperadas nos serviços de TI.
Equipe de Resposta a Incidentes (ERI): A IGMA manterá uma Equipe de Resposta a Incidentes (ERI) composta por membros da equipe de TI, o Encarregado de Proteção de Dados (DPO), e outros profissionais chave designados pela direção. A ERI será responsável por coordenar a resposta a qualquer incidente de segurança, tomando as medidas necessárias para mitigar os impactos e restaurar as operações normais.
Etapas do Plano de Resposta a Incidentes
Identificação
Monitoramento contínuo dos sistemas e redes para identificar possíveis incidentes de segurança.
Notificação imediata à ERI quando um incidente for detectado ou suspeitado.
Contenção
Ação rápida para conter o incidente, impedindo que ele se espalhe ou cause mais danos.
Isolamento dos sistemas ou redes comprometidos, se necessário, para evitar a propagação do incidente.
Erradicação
Identificação e eliminação das causas do incidente, como malware ou falhas de segurança.
Aplicação de patches, correções ou outras medidas de segurança para garantir que a vulnerabilidade não seja explorada novamente.
Recuperação
Restauração dos sistemas e serviços afetados para a normalidade, garantindo que as operações possam continuar sem interrupções significativas.
Verificação completa para garantir que o sistema esteja seguro antes de retornar ao estado operacional normal.
Comunicação
Notificação à ANPD e aos titulares dos dados pessoais afetados, conforme exigido pela LGPD, dentro dos prazos regulamentares.
Comunicação interna e externa clara e concisa para manter todas as partes interessadas informadas sobre o status do incidente e as medidas tomadas.
Análise Pós-Incidente
Revisão detalhada do incidente para determinar a causa raiz e identificar oportunidades de melhoria nos procedimentos de segurança.
Criação de um relatório completo do incidente, incluindo as etapas de resposta, a análise pós-incidente e as recomendações de ações preventivas.
Registro e Documentação: Todos os incidentes de segurança, independentemente de sua gravidade, devem ser registrados detalhadamente em um relatório de incidentes. Este relatório deve incluir:
Descrição do incidente.
Data e hora da detecção e das ações tomadas.
Membros da ERI envolvidos e suas responsabilidades.
Medidas adotadas durante cada etapa do processo de resposta.
Resultados da análise pós-incidente.
Ações corretivas e preventivas recomendadas.
Os relatórios serão armazenados e mantidos por um período mínimo de 5 anos, ou conforme exigido pela legislação aplicável.
Treinamento e Simulações: A IGMA realizará treinamentos regulares para todos os colaboradores, focados no reconhecimento e resposta a incidentes de segurança da informação. Além disso, a ERI conduzirá simulações periódicas de incidentes para garantir que todos os membros da equipe estejam preparados para agir de forma eficaz em situações reais.
Revisão do Plano de Resposta a Incidentes: O Plano de Resposta a Incidentes será revisado anualmente, ou após a ocorrência de um incidente significativo, para garantir sua eficácia e conformidade com as melhores práticas de segurança e com as exigências regulatórias.
Vamos juntos
criar algo incrível?
Vamos juntos
criar algo incrível?
Vamos juntos
criar algo incrível?
Vamos juntos
criar algo incrível?