Política de segurança da informação

CONTROLE DE VERSÕES

Revisão

Alteração

Data de vigência

1.2

Edição revista do documento

4 de junho de 2020

Elaborado por

Revisado e aprovado por

Cargo

Data

Cargo

Data

Responsável legal

quarta-feira, 27 de maio de 2020

Comitê de Segurança

4 de junho de 2020

1. Introdução

Com a chegada da Sociedade da Informação, as organizações estão sendo condicionadas e impactadas em escala mundial pelo avanço exponencial de tecnologias disruptivas, permitindo realizar tratamentos sobre a informação de forma instantânea e massiva, gerando uma melhora substancial para o desenvolvimento das suas atividades de negócio.

Por isso, as organizações estão cada vez mais conscientes do impacto reputacional, financeiro e legal que implica o tratamento da informação de forma irresponsável conforme as tecnologias se tornam donas dos seus processos de negócios críticos.

Fruto desta circunstância, implementa-se a presente Política de segurança (doravante denominada “Política de Segurança da Informação”) para estabelecer as linhas gerais aplicáveis em matéria de Segurança da Informação, bem como para responder ao princípio de Responsabilidade Proativa constante na normativa europeia de proteção de dados, ou seja, o novo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas, no que se refere ao tratamento de dados pessoais e à livre circulação destes dados e pelo qual é revogada a Diretiva 95/46/CE (doravante denominada “RGPD”) e sua adequação à legislação espanhola através da nova Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitais (doravante denominada individualmente “LOPDGDD” e conjuntamente “legislação vigente em matéria de proteção de dados”), que estabelece a liberdade para aplicar as medidas técnicas e organizacionais convenientes e de cumprimento obrigatório pelo pessoal.

2. Objeto

O presente documento tem como finalidade estabelecer um marco de trabalho de boas práticas sob o qual sejam sustentadas quaisquer Políticas ou Procedimentos que seja necessário implementar para gerenciar o modo de proteger os ativos da informação da organização, sendo identificadas as ações a realizar e métodos a serem seguidos para assegurar de forma contínua uma proteção adequada dos ativos da organização.

O marco de trabalho será gerenciado através da implantação, manutenção e melhoria de um Sistema de Gestão da Segurança da Informação (SGSI) em conformidade com as boas práticas constantes na Norma UNE ISO 27001.

3. Alcance

A política de Segurança da Informação aplica-se a todos os processos de negócio que fazem parte da empresa “HOCELOT TECHNOLOGIES SPAIN S.L.U”, com o NIF B87546164 (doravante denominada “HOCELOT”), onde for tratado qualquer ativo de informação tangível ou intangível que tenha valor para a HOCELOT, provenha de qualquer fonte de informação, tais como governamentais, interna, clientes, fornecedores ou compartilhada, sobre qualquer tipologia, como, por exemplo, pública, privada, pessoal ou financeira, e sobre qualquer estado ou forma, como, por exemplo, impressa, escrita, eletrônica, publicada ou eliminada.

4. Glossário de termos

SGSI: São as siglas do Sistema de Gestão da Segurança da Informação (regulado pela Norma UNE-ISO/IEC 27001), que é um conjunto de elementos interrelacionados ou interatuantes (estrutura organizacional, políticas, planejamento de atividades, responsabilidades, processos, procedimentos e recursos) utilizado por uma organização para estabelecer uma política e certos objetivos de segurança da informação e alcançar tais objetivos, com base em um foco de gestão do risco e de melhoria contínua.

AUTENTICIDADE: Propriedade de que uma pessoa e/ou empresa que acessou e utilizou a informação é o que afirma ser.

CONFIDENCIALIDADE: Propriedade da informação de não ser colocada à disposição ou revelada a pessoas e/ou empresas não autorizadas.

INTEGRIDADE: Propriedade ou característica consistente em que o ativo de informação não foi alterado de forma não autorizada.

RASTREABILIDADE: Qualidade que permite que todas as ações realizadas sobre a informação ou um sistema de tratamento da informação sejam associadas de modo inequívoco a uma pessoa e/ou empresa.

DISPONIBILIDADE: Propriedade da informação de ser acessível e utilizável no momento que for requerido pela pessoa e/ou empresa autorizada.

ATIVO: Com relação à segurança da informação, se refere a qualquer informação ou elemento relacionado ao tratamento da mesma (sistemas, suportes, edifícios, pessoas…) que tenha valor para a organização.

RISCO: Possibilidade de que uma ameaça concreta possa explorar uma vulnerabilidade para causar uma perda ou danos em um ativo de informação. Costuma ser considerado como uma combinação da probabilidade de um evento e suas consequências.

AMEAÇA: Causa potencial de um incidente não desejado, que pode provocar danos a um sistema ou à organização.

ANÁLISE DE RISCOS: Processo para compreender a natureza do risco e determinar o nível de risco.

TRATAMENTO DE RISCOS: Processo de alterar o risco, mediante a implementação de controles.

5. Corpo normativo aplicável às atividades de tratamento

A Hocelot se compromete com o cumprimento da legislação aplicável à organização e em particular com o seguinte:

RGPD: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas, no que se refere ao tratamento de dados pessoais e à livre circulação destes dados e pelo qual é revogada a Diretiva 95/46/CE (Regulamento geral de proteção de dados).

LOPDGDD: Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitais.

RD LO 15/1999: Real Decreto 1720/2007, de 21 de dezembro, pelo qual é aprovado o Regulamento de desenvolvimento da Lei

LSSI: Lei 34/2002, de 11 de julho, de serviços da sociedade da informação e de comércio eletrônico.

UNE / ISO 27001: Norma internacional que estabelece os requisitos para o estabelecimento, implementação e melhoria contínua de um Sistema de Gestão da Segurança da Informação (SGSI) para garantir as três dimensões da informação; Disponibilidade, Confidencialidade e Integridade.

UNE / ISO 27002: Código de boas práticas para a implementação dos controles de segurança da informação.

UNE 71501-1-2-3: Guia para a gestão da Segurança da Informação.

ISO 19011: Diretrizes para a auditoria dos sistemas de gestão.

ISO 31000: Gestão do Risco – Princípios e diretrizes.

6. Missão e planejamento da estratégia

A normativa europeia em matéria de proteção de dados elevou o grau de responsabilidade das empresas, ficando refletido no seu regime sancionador. As empresas que realizarem tratamentos de dados de forma recorrente poderão incorrer em infrações que podem chegar ao valor total de 20 milhões de euros ou 4% do seu faturamento anual do exercício anterior, optando-se pela maior quantia aplicável.

A HOCELOT é uma organização que desenvolve e presta os seus serviços na nuvem através da análise massiva de dados de caráter pessoal. Por isso, mediante a implantação da política de Segurança da Informação se pretende criar um SGSI que garanta a segurança dos ativos tangíveis e intangíveis de informação, com a finalidade de garantir os mais altos padrões em matéria de segurança da informação e de proteção de dados.

A missão principal da Direção da HOCELOT está centrada em garantir um risco normativo, reputacional e financeiro considerado aceitável, se comprometendo a fornecer dos recursos necessários para o estabelecimento, implantação e melhora do SGSI mediante a constituição de um Comitê de Segurança da Informação que terá as seguintes funções:

  • Supervisionar com caráter recorrente a Política de Segurança da Informação.
  • Iniciar a realização de auditorias internas com a finalidade de garantir o cumprimento das obrigações em matéria de segurança e de proteção de dados estabelecidas pela Política de Segurança da Informação.
  • Servir como foro e ligação entre os diferentes diretivos responsáveis do cumprimento da Política de Segurança da Informação.
  • Avaliar e aprovar as iniciativas que mantém o SGSI em linha com os objetivos estabelecidos pela Direção HOCELOT na Política de Segurança da Informação.
  • Acordar as responsabilidades a serem assumidas pelos responsáveis pelo estabelecimento, implantação e melhoria do SGSI.
  • Garantir o compromisso da Direção da HOCELOT com relação à segurança da informação e em linha com a estratégia de negócio.
  • Executar tratamento de riscos com a finalidade de criar ferramentas que permitam identificar potenciais ameaças ao objeto de avaliar a implantação de controles que reduzam a sua materialização.
  • Desenvolver e implantar os controles, tanto técnicos quanto organizacionais que forem necessários para garantir a confidencialidade, integridade e disponibilidade.
  • Garantir o cumprimento da legislação vigente em matéria de proteção de dados de caráter pessoal e segurança da informação.
  • Gerar uma cultura de cumprimento normativo e de segurança com caráter interno aplicável a todo o seu pessoal, e com caráter externo aplicável a clientes e fornecedores.

Assim sendo, em conformidade com os critérios gerais estabelecidos na ISO 27001 e ISO 27002, a estratégia será sustentada com base na implantação das nossas políticas de segurança colocadas à disposição dos empregados e das partes interessadas.

 

7. Responsabilidades de segurança da informação

O Comitê de Segurança da Informação composto pelos responsáveis das aéreas principais que elaboram as políticas e procedimentos na HOCELOT tem a função de revisar e aprovar a presente política.

A seguir estão detalhadas as responsabilidades que estes assumirão:

  • Responsável de Tecnologia (CTO): é o encarregado por garantir que a estratégia da HOCELOT esteja alinhada com as Tecnologias da Informação.
  • Responsável de Segurança: é o encarregado pelo estabelecimento e controle das medidas de segurança a serem aplicadas aos diferentes arquivos de dados.
  • Responsável da engenharia de Dados (CDO): é o encarregado por garantir que a estratégia da HOCELOT esteja alinhada com o governo dos dados para implementar uma eficaz exploração deles.
  • Responsável de Sistemas e infraestrutura (DevOps): é o encarregado por garantir o bom funcionamento das tecnologias empregadas nos sistemas que processam os serviços da HOCELOT.
  • Responsável Legal: é o encarregado por supervisionar e garantir a legalidade aplicável às Políticas e Procedimentos que regem o SGSI.
  • Responsável de Recursos Humanos: é o encarregado por supervisionar e garantir que se cumpra com a segurança e os procedimentos antes, durante e depois da contratação.
  • Responsável da Administração do escritório: encarregado por supervisionar e garantir a segurança física e do entorno do escritório.

8. Liderança do órgão de governo

O Órgão de Governo da HOCELOT assumirá o compromisso máximo para garantir a implantação, manutenção, melhoria contínua do sistema de gestão da segurança da informação, bem como o cumprimento dos requisitos estabelecidos na Política de Segurança da Informação.

9. Aprovação, revisão, vigência e divulgação

A Política de Segurança da Informação foi aprovada pelo Comitê de Segurança na data indicada no cabeçalho.

Posteriormente, será ratificada através da aprovação pelo Órgão de Administração, composto por dois Administradores Solidários.

As eventuais alterações das diretrizes estabelecidas na Política de Segurança da Informação requererão igualmente a aprovação pelos Administradores Solidários da HOCELOT.

A Política de Segurança da Informação será revisada anualmente para verificar o seu cumprimento, bem como o grau de adequação à realidade normativa vigente, e sempre que for requerido com motivo da entrada em vigor de alguma norma que tenha impacto na mesma.

Será competência do Comitê da Segurança da Informação a revisão e manutenção da vigência da presente Política.