Linkedin Facebook Instagram
Solicite um orçamento

Política Operacional de Segurança da Informação

INTRODUÇÃO

Idlewild Burg.  (“Idlewild Burg.” ou “nós”), visando estabelecer uma aliança duradoura e de confiança com seus clientes, colaboradores e fornecedores, e com o objetivo de satisfazer as necessidades dos seus clientes com excelência, confidencialidade, integridade e disponibilidade, está comprometida com a proteção das informações de sua propriedade utilizadas no fornecimento de seus serviços.

O estabelecimento de um Sistema de Gestão de Segurança e Privacidade da Informação é um compromisso da alta direção da Idlewild Burg cujo foco é:

  • Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da Idlewild Burg ou que sejam utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus serviços.
  • Garantir o atendimento à legislação vigente e requisitos contratuais.
  • Promover a capacitação de seus colaboradores.
  • Praticar a melhoria contínua do Sistema de Gestão da Segurança e Privacidade da Informação.

Esta Política é endossada e complementada pela Política de Privacidade, pelo Código de Ética e Conduta, pelos Acordos de Confidencialidade e pelo Termo Aditivo de Contrato de Trabalho – Alteração do regime presencial de trabalho para o regime teletrabalho (Home Office) Parcial ou Integral.

Abrangência

Esta Política aplica-se a todos os colaboradores usuários dos recursos e das informações da Idlewild Burg.

Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as leis abaixo relacionadas, mas não se limitando a elas:

Cabe a Alta Direção da Idlewild Burg, juntamente com áreas internas envolvidas, revisar e manter atualizado os registros de legislação aplicável e efetuar ações de adequação, quando aplicável.

Demais partes interessadas na cadeia operacional da Idlewild Burg (clientes, fornecedores, terceiros, pessoas jurídicas/subcontratadas, entre outros), de acordo com sua abrangência e aplicabilidade, também deverão respeitar à legislação a ela aplicável.

  • Constituição Federal;
  • Código de Defesa do Consumidor
  • Lei Federal nº 8.159, de 8 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
  • Lei Federal nº 9.610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
  • Lei Federal nº 9.279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
  • Lei Federal nº 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
  • Lei Federal nº 10.406, de 10 de janeiro de 2002 (Institui o Código Civil)
  • Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Institui o Código Penal)
  • Lei Federal nº 9.983, de 14 de julho de 2000 (Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940:

– Código Penal e dá outras providências.

  • Lei nº 12.965, de 23 de abril de 2014 (Lei do Marco Civil da Internet)
  • Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)
  • Lei Anticorrupção (Lei Nº 12.846, de 1º de agosto de 2013)
  • Lei nº 10.097/2000 e Decreto nº 9.579, de 22 de novembro de 2018, relativa à Lei da Aprendizagem e da Empregabilidade de menores.
  • LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. Lei Contra Crimes Digitais.
  • Lei nº 5.452, de 1º de maio de 1943

 

Termos e Definições

Para os efeitos desta Política, aplicam-se os seguintes termos e definições:

  • Aceitação de risco: decisão de aceitar um risco.
  • Áreas críticas: dependências da Idlewild Burg ou de seus clientes onde esteja situado um ativo de informação relacionado a informações críticas para os negócios da empresa ou de seus clientes.
  • Ameaça: causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.
  • Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco.
  • Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
  • Ação corretiva: ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável.
  • Ataque: tentativa para destruir, expor, alterar, desabilitar, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um ativo.
  • Ativo: qualquer componente, recurso ou conjunto destes aplicáveis para a preservação da confidencialidade, integridade e disponibilidade de dados e informações (hardware, software, infraestrutura, pessoas com seus conhecimentos, etc.).
  • Ativo da informação: conhecimento ou dados que tenham valor para a empresa.
  • Autenticidade: propriedade que garante a autoria de um determinado dado.
  • CGSI: Comitê Gestor de Segurança da Informação, grupo multidisciplinar que reúne representantes de diversas áreas da empresa, aprovado pela Diretoria, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI – Sistema de Gestão de Segurança da Informação.
  • Comunicação de risco: troca ou compartilhamento de informações sobre riscos entre o tomador de decisões e outras partes interessadas.
  • Confiabilidade: característica de comportamento consistente e resultados desejados.
  • Confidencialidade: a característica de informação não está disponível nem pode ser revelada a indivíduos, entidades ou processos não autorizados.
  • Controle: meios de gerenciamento de risco, incluindo políticas, procedimentos, guias, práticas ou estruturas organizacionais, que podem ser administrativos, técnicos, de gestão ou de natureza legal.
  • Controle de acesso: meios para assegurar que o acesso a ativos é autorizado e restrito com base nos requisitos de segurança e de negócios.
  • Critérios de risco: termos de referência pelos quais é avaliada a importância do risco.
  • Dados pessoais: quaisquer informações associadas a uma pessoa física identificada ou identificável fornecidas pela Idlewild Burg e/ou acessadas em seu nome e/ou que se relacionem à condição de pessoa física vinculada à Idlewild Burg, incluindo, mas não se limitando a, nome, endereço, telefone, e-mail, dados bancários.
  • Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da empresa.
    • Nota: os objetivos de controle estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, nos requisitos legais ou regulamentares, nas obrigações contratuais e nos requisitos de negócio da empresa para a segurança da informação.
  • Disponibilidade: característica do que é acessível e utilizável sob demanda por uma entidade autorizada.
  • Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede indicando uma possível violação da Política de Segurança da Informação e Privacidade ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
  • Gestão de riscos: atividades coordenadas para direcionar e controlar uma empresa no que se refere a riscos.
  • Informações críticas para os negócios da Idlewild Burg: toda informação que, se for alvo de acesso, modificação, destruição ou divulgação não autorizada, resultará em perdas operacionais ou financeiras à Idlewild Burg ou seus clientes. Exemplo: dados dos clientes, fontes de sistema, regras de negócios, informações estratégicas ou de negócio de clientes obtidas em reuniões, planejamento estratégico da Idlewild Burg, prospecções, informações estratégicas da Idlewild Burg.
  • Impacto: mudança adversa nos objetivos de negócios.
  • Incidente de segurança da informação: um único evento ou uma série de eventos de segurança da informação indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • Integridade: propriedade de salvaguarda da exatidão e completeza dos ativos.
  • Mitigação: limitação das consequências negativas de um determinado evento.
  • Não repúdio: capacidade de provar a ocorrência de um evento alegado ou de ação e de suas entidades de origem, a fim de resolver disputas sobre a ocorrência ou não ocorrência de evento ou ação e envolvimento de entidades no evento.
  • Risco: combinação da probabilidade de um evento e suas consequências.
  • Risco de segurança da Informação: possibilidade de uma ameaça explorar uma vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos à empresa.
  • Risco residual: risco remanescente após o tratamento de riscos.
  • Sanitização de dados: Compreendido em Forense Digital, o processo de limpeza de mídias de armazenamento de dados, consiste em apagar, de forma irreversível todos os dados de um dispositivo de armazenamento, ou seja, eliminar permanentemente suas informações residuais.
  • Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação.
    • Nota: adicionalmente, outras propriedades, tais como a autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.
  • Sistema de gestão: estrutura de políticas, procedimentos, guias e recursos associados para atingir os objetivos da empresa .
  • Sistema de Gestão da Segurança da Informação – SGSI: parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
  • Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco.
  • Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

INFORMAÇÃO DOCUMENTADA

Estrutura Normativa

Os documentos que compõem a estrutura normativa são divididos em 5 categorias:

  1. Política (nível estratégico): define as regras de alto nível que representam os princípios básicos que a Idlewild Burg decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as políticas operacionais e os procedimentos sejam criados e detalhados.
  2. Política operacional: constituída do presente documento, define regras específicas que orientam e regulam responsabilidades e ações em nível operacional.
  3. Procedimentos (nível operacional): instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da Idlewild Burg.
  4. Manuais: guia de instruções que apoia a execução de um processo ou o uso de um software.
  5. Templates: modelos de documentos e controles sob controle de versão.

Todos os processos e templates são disponibilizados no Portal de Processos e os registros estão no repositório de documentos da Idlewild Burg. Toda informação documentada que evidencie a execução de um processo deve ter seu armazenamento controlado visando sua pronta recuperação.

Novos documentos ou revisões devem ser submetidos pelos gestores das áreas em questão para aprovação da alta direção antes de serem disponibilizados, conforme processo Informação Documentada, pertencente à Qualidade.

Cópias impressas do conteúdo do Portal de Processos Idlewild Burg não são consideradas válidas e são proibidas.

Os documentos integrantes da estrutura devem ser divulgados a todos os colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Idlewild Burg quando de sua admissão através dos meios oficiais de divulgação interna da empresa, conforme o Plano de Comunicação da Idlewild Burg, e podem ser disponibilizados pelo software de gestão de RH vigente, pelo Portal de Processos e pelo repositório de documentos compartilhados, de maneira que seu conteúdo possa ser consultado a qualquer momento.

Toda alteração realizada na Política de Segurança da Informação e Privacidade deverá ser repassada à CEO ou à Diretoria Administrativa para aprovação. Após sua aprovação, a política deverá ser divulgada e os colaboradores treinados.

Classificação das Informações

Define-se como necessária a classificação de toda informação de propriedade da Idlewild Burg ou sob sua custódia, de maneira proporcional ao seu valor para a empresa.

Informações que compõem o SGSI devem ser classificadas em:

  • Confidenciais – são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da Idlewild Burg. Podem ser protegidas, por exemplo, por criptografia.
  • Restritas – são informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Estão protegidas por restrição de acesso às pastas em que estão contidas no drive de rede e nos diferentes níveis de acesso nos sistemas e no Portal da Idlewild Burg.
  • Internas – são aquelas que não podem ser divulgadas para pessoas de fora da Idlewild Burg, mas que, caso isso aconteça, não causam grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
  • Públicas – são dados que não necessitam de proteção específica contra vazamentos, pois podem ser de conhecimento público.

Informações relativas aos colaboradores, ao setor financeiro da Idlewild Burg e informações de clientes (dados cadastrais e documentos) são sempre consideradas restritas, sendo seu acesso concedido apenas às pessoas que precisam delas para exercerem suas atividades e prestarem o serviço contratado. Para possibilitar o controle adequado da informação, devem ser utilizados os níveis de acesso descritos em Procedimentos Gerais de Infraestrutura e TI.

DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação e Privacidade da Idlewild Burg que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.

Define-se como necessária a proteção das informações que sejam da Idlewild Burg ou que estejam sob sua custódia, sendo fator primordial nas atividades profissionais de cada colaborador, estagiário, jovem aprendiz ou prestador de serviços da empresa:

  1. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da Idlewild Burg e devem estar atentos a ameaças externas e internas, bem como fraudes, roubo de informações e acesso indevido a sistemas de informação sob responsabilidade da Idlewild Burg.
  2. Assuntos confidenciais não devem ser expostos publicamente.
  3. Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados.
  4. Somente softwares homologados podem ser utilizados no ambiente computacional da Idlewild Burg.
  5. Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislação pertinente e respeitando o procedimento de descarte.
  6. Todos os dados considerados imprescindíveis ao negócio da Idlewild Burg devem ser protegidos através de rotinas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação.
  7. O acesso às dependências da Idlewild Burg deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  8. O acesso lógico a sistemas computacionais disponibilizados pela Idlewild Burg deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  9. São de propriedade da Idlewild Burg todas as criações, códigos fonte ou procedimentos desenvolvidos por qualquer colaborador, estagiário, jovem aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa.
  10. Não é permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou outros equipamentos de gravação, como câmeras em dispositivos móveis, nas dependências da Idlewild Burg, exceto se for autorizado pela alta direção. É estritamente proibido fotografar ou filmar a tela dos computadores, seja no escritório ou em home office.
  11. Não é permitido a instalação de impressoras nos computadores da Idlewild Burg, exceto quando autorizado pela alta direção. O acesso às impressoras já instaladas no escritório também deve ser autorizado pela alta direção mediante a solicitação do gestor.
  12. Colaboradores que trabalham em regime de home office deverão sempre exercer suas atividades no endereço fornecido à Idlewild Burg, em uma rede de acesso à internet particular, protegida por senha. É estritamente proibido o exercício de suas funções em outro endereço, que implica transporte da máquina e acesso em outra rede, exceto mediante autorização da alta direção, após ser comunicado o novo local, a necessidade e após análise de riscos. Nenhum acesso aos dados e sistemas da Idlewild Burg deve ser feito em rede pública (aeroportos, restaurantes, etc.).
  13. Os computadores disponibilizados pela Idlewild Burg aos colaboradores, estagiários e jovens aprendizes, para exercício de suas atividades, são de uso exclusivo para atividades relacionadas à Idlewild Burg e não podem ser utilizados para atividades pessoais. Quando autorizado pela alta direção, os computadores poderão ser utilizados para treinamentos, palestras ou webinários online. É permitido aos jovens aprendizes assistirem aulas pela plataforma formal do instituto responsável por sua contratação, porém são estritamente vedadas pesquisas na internet e armazenamento de arquivos.
  14. Não é permitido a conexão de dispositivos móveis particulares (notebooks, tablets, celulares) à rede principal da Idlewild Burg, seja em segmentos cabeados ou sem fio. Caso seja necessário, deve ser liberado apenas com autorização prévia formal da alta direção. Para clientes e dispositivos dos próprios funcionários pode ser disponibilizada uma rede WiFi separada para visitantes.

 

Ressalta-se que as situações previstas nesta Política não são exaustivas, sendo certo que outras relacionadas ao uso dos equipamentos no ambiente de trabalho ou dúvidas quanto à segurança da informação podem ocorrer.

Quanto a essas situações, não expressamente previstas nesta Política e/ou nas demais políticas e no nosso Código de Ética e Conduta, a Idlewild Burg conta com o bom senso de seus funcionários e caso dúvidas permaneçam, os departamentos de TI e de RH/Gestão de Pessoas podem sempre ser contatados para tirar dúvidas por meio dos e-mails it@korntranslations.com e hr@korntranslations.com.

Uso Aceitável de Inteligência Artificial (GenAI)

  1. Proteção de Dados: É estritamente proibido inserir dados pessoais (PII), informações financeiras, contratos ou segredos de negócio em ferramentas de Inteligência Artificial públicas ou gratuitas, onde os dados possam ser utilizados para treinamento do modelo.
  1. Ferramentas Homologadas: O uso de IA para processamento de dados deve ocorrer exclusivamente através de ferramentas corporativas homologadas pela TI.
  1. Responsabilidade: O conteúdo gerado por IA deve ser validado por um humano. A responsabilidade pela precisão e integridade da informação permanece sendo do colaborador.

 

Avaliação de Riscos de Segurança da Informação

A gestão do SGSI da Idlewild Burg deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da empresa por meio do mapeamento de vulnerabilidades, ameaças, impacto e probabilidade de ocorrência, bem como da adoção de controles que mitigam estes riscos junto aos responsáveis pelos ativos aos quais os riscos estão associados.

Competências Necessárias para Segurança da Informação

Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na Idlewild Burg, garantindo assim o sucesso do SGSI. A competência exigida deve:

  1. Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;
  2. Reter informações documentadas adequadas como prova de competência.

 

 

AMBIENTE FÍSICO

O acesso ao ambiente físico da Idlewild Burg é controlado e monitorado. Os visitantes e fornecedores devem se restringir à recepção e à sala de reuniões, quando necessário, sendo restrito o acesso aos demais ambientes, sendo necessária a presença de um fornecedor no ambiente restrito, deverá ter o acompanhamento de um funcionário da Idlewild Burg a todo momento.

Não é permitida a entrada de colaboradores e fornecedores fora do expediente, exceto quando estritamente necessário e mediante autorização prévia da alta direção, sendo que terceiros devem estar sempre acompanhados por um colaborador da Idlewild Burg.

Todo o detalhamento quanto ao controle de acesso às instalações da Idlewild Burg, proteção contra ameaças externas, alarmes, utilidades (alimentação elétrica, água, ar-condicionado e outros) está descrito nos Procedimentos Gerais de Infraestrutura e TI.

Fornecedores

Os contratos celebrados com fornecedores que possam ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação. Os fornecedores mais relevantes e críticos, no que tange à segurança da informação, que atuam diretamente com a Idlewild Burg recebem treinamento nas diretrizes estabelecidas nesta política.

POLÍTICA DE MESA LIMPA E TELA LIMPA

Todos os colaboradores, estagiários e jovens aprendizes que atuam em nome da Idlewild Burg devem estar cientes e praticar as orientações e diretrizes constantes nesta política e elas devem ser respeitadas tanto em atividades dentro do escritório da Idlewild Burg quanto em atividades em home office, quando pertinentes a essa modalidade.

O objetivo desta Política de Mesa Limpa e Tela Limpa é assegurar que dados e informações, tanto em formato digital quanto físico, e ativos, tangíveis ou não, não sejam deixados desprotegidos no local de trabalho durante seu uso ou quando alguém deixa seu local de trabalho, seja por um curto período, em períodos de paralisação (almoço, reuniões, etc.) ou ao final do expediente.

Os colaboradores, estagiários e jovens aprendizes devem:

  • Utilizar os ativos da Idlewild Burg, em uso interno ou externo (home office ou alocação em cliente), com cuidado, visando garantir sua preservação e seu funcionamento adequado.
  • Bloquear as estações de trabalho quando se afastarem ou se ausentar do local de trabalho para impedir acesso não autorizado.
  • Não deixar desnecessariamente sobre a mesa documentos impressos. Quando não estiverem em uso, esses devem ser armazenados em armários ou gavetas trancados, especialmente fora do horário do expediente.
  • Manter chaves de armários ou de salas em locais protegidos ou de local com acesso somente ao pessoal autorizado.
  • Não guardar pastas com documentos sensíveis, confidenciais, estratégicos ou com dados pessoais em locais de fácil acesso.
  • Informações sensíveis ou críticas para os negócios da Idlewild Burg devem ser mantidas em local seguro (armários com chave ou, quando digitais, em pastas com acesso restrito).
  • Não anotar ou deixar informações confidenciais ou sensíveis em quadros de aviso ou em locais visíveis.
  • Não deixar anotações, recados e lembretes à mostra sobre a mesa ou colados em paredes, divisórias, murais ou teclados e monitores do computador, incluindo, mas não se limitando a: senhas de acesso ou de desbloqueio de tela, telefones, endereços de e-mail de clientes ou contatos, informações confidenciais, entre outros.
  • Destruir os documentos impressos antes de descartá-los. Sempre que possível, utilizar máquina fragmentadora ou, caso seja em grande quantidade, empresa especializada em descarte e reciclagem. Nesse último caso, sempre acompanhado de um colaborador da Idlewild Burg para garantir a destruição correta das informações.
  • Não imprimir documentos apenas para sua leitura. Leia-os nas telas dos ativos de informações, preferencialmente. Busque uma cultura sem papel pois diminui o risco da segurança da informação e beneficia a natureza.
  • Caso precise imprimir, retirar imediatamente da impressora os documentos com informações pessoais, sensíveis ou confidenciais.
  • Caso utilize scanner ou equipamento para cópia de imagem, retire o documento a ser copiado imediatamente após o uso.
  • Posicionar mesas e móveis de forma que dados confidenciais e sensíveis não sejam visíveis de janelas, corredores, passagens de pessoas próximas ou que tenham visão dos ativos com dados e informações como telas e papéis sobre mesas.
  • Após o final do expediente ou em ausência prolongada, manter o espaço de trabalho limpo e organizado, documentos guardados, gavetas e armários trancados e computador ou dispositivo móvel desligado, especialmente aqueles conectados em rede/internet. Durante o uso do equipamento, encerre devidamente os aplicativos ou serviços que não estiverem em uso para o desenvolvimento de suas atuais atividades.
  • Descartar informações deixadas em salas de reunião (apagar quadros, triturar folhas ou outro recurso utilizado durante a reunião).
  • Não consumir alimentos na estação de trabalho, tanto no escritório quanto no ambiente home office evitando, a degradação e má conservação dos equipamentos e documentos. A Idlewild Burg permite o uso de garrafinhas com tampa bem vedada e apenas contendo água e nenhum outro líquido (como chás, cafés, refrigerantes, sucos, etc.) em cima das mesas, mas nunca nas mesas que houver documentos. Para esses casos recomendamos que coloquem na gaveta ou na prateleira mais próxima, para evitar o derramamento de líquidos.

 

Os casos não previstos ou que estejam omissos nesta política deverão ser encaminhados para o departamento de TI.

POLÍTICA PARA TRANSFERÊNCIA DE INFORMAÇÕES

  • Colaboradores da Idlewild Burg partes externas que tratam ou possuem acesso aos ativos da Idlewild Burg devem ser comunicados e estar conscientes e orientados dos requisitos de segurança da informação dos ativos, informações e dados pessoais relacionados.
  • Os procedimentos estabelecidos pela Idlewild Burg segurança, controle de acesso, uso de softwares e antivírus, armazenamento e término do tratamento de dados e informações devem ser seguidos por todos os envolvidos, incluindo colaboradores e fornecedores/ terceirizados, conforme aplicável.
  • O Acordo de Confidencialidade de Dados e Informações, incluindo a privacidade dos dados, são assinados, entre partes, com colaboradores internos e fornecedores/terceirizados.

 

 

POLÍTICA PARA USO DE DISPOSITIVOS MÓVEIS

O objetivo dessa política é estabelecer padrões na utilização de dispositivos móveis para garantir a Segurança da Informação e o atendimento às legislações.

Entende-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, como notebooks, tablets e telefones celulares, de propriedade da Idlewild Burg ou particulares, em caso de telefones celulares utilizados, com aprovação da alta direção, para a realização de atividades profissionais relacionadas à empresa.

  • Todos os dispositivos móveis da Idlewild Burg disponibilizados devem ser cadastrados e configurados com identificação única, pessoal e intransferível, com padrões mínimos de segurança e com um usuário responsável pelo uso.
  • Os dispositivos móveis disponibilizados devem ser utilizados única e exclusivamente pelos usuários que assumiram a responsabilidade pelo seu uso.
  • Os telefones celulares particulares autorizados para uso em atividades da Idlewild Burg devem atender aos requisitos de segurança informados pelo departamento de TI.
  • Caso seja fornecido um chip de operadora de telefone celular para utilização em contatos profissionais, a identificação do chip e do responsável pelo seu uso deve ser mantida sob controle do departamento de TI.
  • O uso de credenciais compartilhadas é desencorajado. Entretanto, em situações nas quais as credenciais nominais não são possíveis, o compartilhamento de credenciais deve, obrigatoriamente, ser feito por meio do cofre de senhas.
  • Conforme a política de mesa limpa e tela limpa, o dispositivo deve ser bloqueado enquanto não estiver sendo utilizado, de forma a proteger o acesso de pessoas não autorizadas.
  • Seguindo as recomendações da Política da Mesa Limpa e Tela Limpa, os dispositivos móveis devem ser bloqueados quando não estiverem em uso de forma a proteger as informações e o acesso por pessoas não autorizadas.
  • Transporte o aparelho com cuidado: não é permitido o transporte do notebook em via transporte público, somente em condução particular, como carro privativo ou transportes por aplicativos Uber. Em caso de solicitação de transporte, o reembolso do transporte pode ser solicitado ao departamento financeiro. Em caso de carro próprio, o notebook deve estar protegido contra impactos em mochilas ou bolsas.
  • Evite o seu superaquecimento, use o notebook somente em cima de mesas, não utilize em cima de camas, almofadas e travesseiros.
  • Cuidados com as intercorrências do tempo, evitar deixar o notebook próximo a janelas ou locais úmidos.

 

COMPARTILHAMENTO DE DADOS

Apenas os computadores fornecidos pela Idlewild Burg devem ser utilizados pelos colaboradores, estagiários e jovens aprendizes, não sendo permitido a nenhum colaborador da empresa o acesso aos dados em computadores pessoais. Todos os dados deverão ser armazenados nas pastas adequadas do drive de rede. O departamento de TI deve verificar periodicamente todos os compartilhamentos existentes e garantir que dados considerados confidenciais ou restritos estejam com o devido controle de acesso. Na necessidade do uso de uma máquina virtual, por razão de continuidade do negócio, ela poderá ser acessada por meio de um computador pessoal, quando autorizado pela alta direção da Idlewild Burg e seguindo as diretrizes do departamento de TI.

Todos na Idlewild Burg devem considerar a informação como um bem da empresa, um dos recursos críticos para a realização do negócio.

Privacidade da Informação sob custódia da empresa

Define-se como necessária a proteção da privacidade das informações que estão sob custódia da Idlewild Burg, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios aos quais a Idlewild Burg detém total controle administrativo, físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da Idlewild Burg e reafirmam o seu compromisso com a melhoria contínua desse processo:

  1. As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados;
  2. As informações são recebidas pela Idlewild Burg, tratadas e armazenadas de forma segura e íntegra, com acessos restritos e manipuladas apenas pelas pessoas necessárias para prestação do serviço;
  3. As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;
  4. As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados, além de assinatura de contrato de confidencialidade;
  5. As informações somente são fornecidas a terceiros mediante autorização prévia, por escrito, do cliente ou para o atendimento de exigência legal ou regulamentar;
  6. As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais somente são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes.

 

Criação de Acessos e Conta de e-Mail para Não Colaboradores

Não é permitida a criação de acessos e conta de e-mail para pessoas que não sejam colaboradores da Idlewild Burg, exceto estagiários e jovens aprendizes.

Caso terceiros precisem de credencial de acesso lógico aos sistemas ou ferramentas que dependam de e-mail para o seu correto funcionamento, o gerente do colaborador deverá justificar a necessidade e solicitar a aprovação da Alta Direção. Nesses casos, o acesso do terceiro deve ser restrito a correspondências relacionadas ao desempenho de suas funções dentro da empresa, em horário comercial e de acordo com as políticas da Idlewild Burg.

Prestadores de serviços da Idlewild Burg não devem integrar qualquer lista de distribuição e/ou pastas públicas da Idlewild Burg que possam conter informações destinadas a colaboradores.

Gestão de Acessos

Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação do acesso até a sua revogação.

  1. GERENCIAMENTO DE SENHA
    • As senhas de todos os acessos deverão ser trocadas a cada 3 (três) meses.
    • Usuários novos devem trocar a sua senha no primeiro acesso.
    • As senhas de acesso à máquina, e ao e-mail e drive devem ter no mínimo 12 (dez) caracteres. As demais senhas devem seguir a definição de cada aplicação.
    • As senhas do dispositivo celular ou tablet deverão ser de 6 (seis) caracteres.
    • As senhas de acesso à máquina ao e-mail e drive devem exigir nível de complexidade contendo números, caracteres especiais, letras maiúsculas e minúsculas. As demais senhas devem seguir essa determinação quando possível, senão seguir a definição de cada aplicação.
    • As novas senhas não devem coincidir com as últimas 24 (vinte e quatro) senhas digitadas.
    • As senhas não devem ser salvas na aplicação, e muito menos serem anotadas em papel, devendo ser digitadas a cada acesso.
    • A utilização de Autenticação de Múltiplo Fator (MFA/2FA) é obrigatória para contas com privilégios administrativos e para acesso a dados confidenciais. Para as demais contas de perfil padrão, o uso de MFA é altamente recomendado, devendo a segurança ser garantida pela complexidade da senha e troca periódica.

Revisões de Acessos Lógicos

O departamento de TI fará revisões periódicas dos acessos, podendo ser feita de forma conjunta com os usuários. Colaboradores, estagiários e jovens aprendizes devem sempre informar ao notar qualquer anormalidade ou acesso não necessário ao seu trabalho.

  1. LIBERAÇÃO DE ACESSO
    • Deverá ser utilizada identificação única, pessoal e exclusiva para assegurar a responsabilidade de cada usuário em suas ações.
    • Disponibilizar os acessos considerando o mínimo necessário para que o usuário possa executar suas funções.
    • Novos colaboradores, estagiários e jovens aprendizes recebem acesso conforme a função que irão desempenhar. Essa informação deverá ser fornecida ao TI conforme Procedimento de Recrutamento Seleção e Admissão do RH.
    • Os privilégios devem ser autorizados pela diretoria de cada área (Diretoria Administrativa ou Diretoria Comercial e Financeira).
    • Não é permitida a utilização de usuários genéricos (não nominais), a não ser em sistemas que não possuam esta funcionalidade;
    • A liberação de acesso está formalizada nos Procedimentos Gerais de Infraestrutura e TI.
    • O controle de privilégios é feito por grupos de usuários ou função que exerça (perfil) de forma a facilitar o gerenciamento dos privilégios.
    • Senhas administrativas ou genéricas, quando liberadas, deverão ter controle específico. O departamento de TI mantém uma lista atualizada de pessoas (Colaboradores/Fornecedores) que possuem tais senhas para que seja possível realizar as demais operações de revogação e controle de mudança.
    • A liberação de acesso a fornecedores ou consultores deverá ser analisada criticamente junto aos responsáveis pela aplicação, toda aplicação deverá ter um responsável.
  2. REVOGAÇÃO DE ACESSO

A revogação de acesso pode ocorrer nas situações de desligamento de colaborador conforme fluxo de desligamento, mudança de função, encerramento de contrato com fornecedor ou solicitação.

  • TI deverá manter os registros de acessos sempre atualizados para que seja possível, no momento da revogação, conseguir realizar a exclusão ou inativação imediata dos acessos dos usuários.
  • O acesso de colaboradores, estagiários ou jovens aprendizes desligados da empresa é bloqueado seguindo o Processo de Recrutamento Seleção e Admissão do RH.

 

  1. MUDANÇAS DE FUNÇÃO E ANÁLISE CRÍTICA DOS DIREITOS DE ACESSO
    • TI e Gestores deverão ser comunicados formalmente das mudanças de função, seguindo o Processo de Recrutamento Seleção e Admissão do RH. TI deverá analisar junto ao novo gestor os acessos e permissões.

 

  1. SEGREGAÇÃO DE FUNÇÕES
    • Um critério de segregação de funções para liberação de permissões, baseado em “cargos/funções/operação”, deve ser considerado, de forma que o usuário (Colaborador, estagiário, jovem aprendiz, cliente, fornecedor) tenha acesso somente ao indispensável para execução de sua atividade.
    • Mudanças de privilégios devem ser autorizadas pela liderança.

 

  1. FERRAMENTA DE ACESSO REMOTO
    • O acesso a estação de trabalho e servidores por aplicativos de assistência remota deve ser feito apenas por ferramentas autorizadas e sempre com o conhecimento de TI. As ferramentas utilizadas pela Idlewild Burg e o procedimento para esses acessos estão descritas em Procedimentos Gerais de Infraestrutura e TI.
    • Os acessos e seus logs deverão ser analisados periodicamente a fim de evitar acessos indevidos.
  2. REDEFINIÇÃO DE SENHAS
    • A redefinição da senha deve ser feita pelo proprietário da conta por meio do próprio sistema. No caso da senha estiver bloqueada, deverá ter a comunicação por meio de canais seguros e homologados como WhatsApp para que o TI realize o desbloqueio, TI deverá comunicar que a senha será desbloqueada ou redefinida, a pedido dele, por e-mail ao proprietário a fim de garantir a integridade da operação.
    • Quando uma senha genérica ou administrativa for alterada isso deverá ser comunicado ao responsável e pessoas que a utilizam.

 

Prevenção de Ataques

 

  1. SINCRONIZAÇÃO DE RELÓGIOS

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários e aconteça o não repúdio.

  1. NAVEGAÇÃO NA INTERNET

Considera-se a Internet meio essencial para busca de informações e produtividade do trabalho, portanto, seu uso em estações de trabalho está liberado sob monitoramento. Tal monitoramento deve ser capaz de:

  • Detectar os acessos que estão sendo realizados;
  • Detectar os arquivos baixados e enviados através da Internet;
  • Identificar possíveis desvios de conduta ou vazamento de informação.

Devem ser seguidas as normas quanto ao uso da Internet determinadas no Código de Ética e Conduta da Idlewild Burg.

.

  1. REDES E SEGREGAÇÃO DE REDES

Considerando que a maior parte de nossos colaboradores trabalha em regime de home office, as informações e aplicações utilizadas pela organização estão hospedadas em servidores na nuvem (SaaS), protegidas por criptografia em trânsito (HTTPS/TLS) e controles de acesso baseados em identidade. A segurança dos dispositivos é garantida por soluções de proteção de endpoint (Antivírus/EDR) instaladas em todos os equipamentos corporativos, tanto no escritório quanto externamente.     No escritório físico da Idlewild Burg, não é permitido o acesso à rede Wireless principal ou cabeada por visitantes. Caso haja necessidade de conexão, deve ser disponibilizado acesso apenas a rede Wireless para visitantes.

A descrição da rede está detalhada nos Procedimentos Gerais de Infraestrutura e TI.

  1. ESTAÇÕES E SERVIDORES
    • Estações de trabalho e servidores deverão ter controle de sessão inativa. O bloqueio deverá ser feito automaticamente após um período de inatividade determinado por TI conforme os Procedimentos Gerais de Infraestrutura e TI.
    • O acesso das estações de trabalho deverá ser por meio das credenciais fornecidas pelo departamento de TI, e seguindo os padrões determinados de senha.
    • Transferência de dados pela porta USB deverá estar bloqueada.
    • Informações confidenciais deverão ser armazenadas criptografadas, seguindo orientações definidas nos Procedimentos Gerais de Infraestrutura e TI. Notebooks deverão ter seu HD criptografado.
    • Não é permitido o compartilhamento de pastas nos computadores de colaboradores da Idlewild Burg. Os dados devem sempre estar no drive de rede e os que necessitam de compartilhamento entre colaboradores devem ser alocados em pastas apropriadas atentando-se às permissões de acesso aplicáveis aos referidos dados.
  2. MÍDIAS REMOVÍVEIS

É proibida a utilização de mídias removíveis (como dispositivos de armazenamento USB, HD externo, etc.). Caso a utilização seja estritamente necessária para alguma atividade, o colaborador deverá justificar ao gestor responsável, que avaliará a possibilidade, junto ao departamento de TI, de liberação seguindo as premissas e necessidades previstas nesta Política.

  1. TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES

A troca de informações com clientes ou fornecedores deve ser realizada por canais seguros.

  • Adotar sempre a prática da criptografia nos canais de comunicação (e-mail com chaves PGP, chaves criptográficas, voip criptografado, SFTP, gerenciadores de arquivos).
  • Não se deve transferir informações confidenciais por canais não criptografados.

 

  1. POLÍTICA DE USO DO ANTIVÍRUS

 

  • Todo o dispositivo da Idlewild Burg deve possuir instalado a solução de antivírus corporativo.
  • Todo e qualquer dispositivo que possui o antivírus instalado será escaneado para verificar se ele está ou não infectado
  • Diariamente o antivírus fará uma varredura em todos os computadores da empresa procurando por pragas virtuais. Esta varredura contemplará todo o dispositivo.
  • O departamento de TI será responsável pela manutenção da ferramenta e tem autonomia para, caso julguem necessário, tomar medidas proativas para combater ou prevenir uma disseminação de pragas virtuais.

 

POLÍTICA PARA O USO DE CONTROLES CRIPTOGRÁFICOS

Procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações por meio da ativação de recursos de segurança da informação e configuração de canais seguros de comunicação devem ser estabelecidos e mantidos pelo departamento de TI. Esses procedimentos devem conter regras sobre o uso efetivo e adequado de controles criptográficos na proteção da informação.

Visando a garantia da integridade e da recuperação da informação, é proibida a implantação de controles criptográficos não homologados ou com tecnologia defasada pelo departamento de TI.

Gestão de Backups

Para garantia da integridade dos sistemas e dados, o departamento de TI é responsável pelos sistemas que realizam as cópias de segurança (Backup), que estão definidas nesta Política e nos Procedimentos Gerais de Infraestrutura e TI, as quais garantem que:

  • As aplicações e informações lógicas devem possuir backup de dados realizados de forma periódica.
  • Os backups devem ser armazenados em locais diferentes do ambiente de produção.
  • Backups, quando trafegados ou armazenados em mídias físicas, devem ser criptografados.
  • Os backups deverão ser testados regularmente em um período máximo de 6 meses, ou testados imediatamente caso exista alguma mudança no ambiente. Os testes deverão ser documentados para auditoria.

Propriedade Intelectual

São de propriedade da Idlewild Burg todos os projetos, criações, produtos e inovações levantadas e desenvolvidas internamente ou procedimentos desenvolvidos por qualquer colaborador durante o curso de seu vínculo empregatício.

Uso do correio eletrônico (e-mail)

O correio eletrônico fornecido pela Idlewild Burg é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da Idlewild Burg, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Os colaboradores são informados de que todos os e-mails trocados nos computadores da Idlewild Burg por eles utilizados poderão ser rastreados e verificados.

É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis e inúteis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem da Idlewild Burg;
  • Possam prejudicar a imagem de outras empresas;
  • Sejam incoerentes com as políticas da Idlewild Burg.

 

Devem também ser seguidas as normas constantes no Código de Ética e Conduta da Idlewild Burg.

 

E-mails suspeitos recebidos (como suspeita de phishing, , suspeita de vírus em arquivo, entre outros)  deve ser feito contato direto com um membro da  equipe de TI(Não enviar e-mail para não propagar o vírus) para que possa ser feito o acesso remoto e analisar a mensagem suspeita.

 

Caso um e-mail seja enviado indevidamente para um destinatário, comprometendo a segurança da informação da Idlewild Burg e/ou das suas partes interessadas, deve ser feita a comunicação imediata ao e-mail privacy@korntranslations.com para que sejam tomadas as ações necessárias.

 

Não é permitido o acesso de e-mails pessoais pelo computador da Idlewild Burg.

 

O serviço de e-mail deve observar:

  • E-mails deverão ser trafegados por um canal criptografado.
  • A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam por parte tanto do serviço de e-mail, quanto pelo antivírus e controle de conteúdo.

 

Instant Messenger

 

É permitido apenas o uso do Google Chat pelo login da Idlewild Burg para comunicação interna;

A comunicação com clientes e fornecedores via WhatsApp Business deve ser feita preferencialmente pelo aplicativo instalado no computador. O uso do WhatsApp Business, tanto versão web quanto aplicativo, é monitorado pelo departamento de TI para acompanhar a entrada e saída de arquivos e pode ser bloqueado conforme as diretrizes de segurança que estejam vigentes na Idlewild Burg.

A utilização desses aplicativos no computador da Idlewild Burg deve ser exclusivamente com contatos internos da Idlewild Burg ou com contatos externos (clientes e fornecedores) quando tratar de assuntos relacionados à empresa.

Outros aplicativos são proibidos e, em caso de necessidade, é obrigatório contatar o CGSI para validação.

Softwares ilegais e direito autoral

A Idlewild Burg respeita os direitos autorais dos softwares, não permitindo o uso de softwares não licenciados. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário contatar o departamento de TI para qualquer tipo de instalação (mesmo que sejam softwares que precisam apenas ser copiados e executados).

Periodicamente, o departamento de TI fará inspeção nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta política. Caso sejam encontrados softwares não autorizados, estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais softwares não autorizados se responsabilizam perante a Idlewild Burg por quaisquer problemas ou prejuízos causados em decorrência de tal ato.

O departamento de TI mantém as evidências da propriedade de licenças de uso de software e registros do uso adequado do número de licenças garantindo os direitos de propriedade intelectual. Este item é aplicado conforme item Inventário de Ativos desta Política Operacional de Segurança da Informação e respectivos procedimentos.

A Idlewild Burg também não executa cópia de todo ou partes de livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral e sem a devida citação das referências cabíveis.

Ações disciplinares podem ocorrer na violação deste item e serão aplicadas pelo CGSI conforme o item “Sanções desta Política Operacional de Segurança da Informação”.

Inventário de Ativos

Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento da empresa ou informações. Os pontos críticos a serem monitorados, por exemplo, espaço para armazenamento, espaço para crescimento de banco de dados, quantidade de computadores e licenças de software.

  • Todos os softwares e hardwares da Idlewild Burg devem ser inventariados e controlados pelo departamento de TI.
  • Não é permitida a instalação de nenhum software sem o consentimento do departamento de TI.
  • Não é permitido contratar e utilizar nenhum software para uso organizacional, na nuvem ou desktop, sem o consentimento do departamento de TI.
  • Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento do departamento de TI.
  • O departamento de TI deverá ter processos para detecção de softwares instalados.
  • Ativos em posse de colaboradores e fornecedores devem ser controlados. Em caso de desligamento ou encerramento de contrato, o ativo deverá ser devolvido conforme procedimento estabelecido pelo departamento de TI.
  • Os softwares devem possuir gestão de suas licenças e uso controlado pelo departamento de TI.
  • O inventário deve ser atualizado, pelo departamento de TI, a cada aquisição ou descarte.
  • A instalação de softwares ou a contratação de serviços em nuvem (SaaS) sem a homologação prévia da TI é proibida. O uso de ferramentas não autorizadas (‘Shadow IT’) para armazenar dados da empresa constitui violação desta política.

Descarte, destruição e reutilização de equipamentos e mídias

Todas as mídias utilizadas na operação dos processos do SGSI devem ser guardadas, reutilizadas e destruídas de forma segura e protegida, como incineração, trituração ou sanitização dos dados. O descarte de mídias pode ser feito por meio de uma empresa especializada.

Deve-se assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou gravados com segurança:

  • A formatação de dispositivos de armazenamento para reutilização deve ser realizada através de formatação com processo seguro por meio da sanitização de dados por um profissional da área de TI.
  • Dispositivos defeituosos ou não mais utilizados deverão ser destruídos, impedindo qualquer recuperação de dados.
  • Papéis confidenciais ou de uso interno deverão ser armazenados em locais seguros e não podem ser descartados sem antes terem sido picados por uma fragmentadora, cabendo a cada responsável adotar esta prática com todos os documentos sob sua responsabilidade.

Papéis e Responsabilidades

É dever de todos – colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Idlewild Burg – cumprir com as seguintes obrigações:

Colaboradores, estagiários, aprendizes e prestadores de serviços

Define-se como necessária a classificação de toda informação que seja de propriedade da Idlewild Burg ou que estejam sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado dela:

  1. Zelar continuamente pela proteção das informações da Idlewild Burg ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada;
  2. Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Idlewild Burg;
  3. Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos;
  4. Garantir a continuidade do processamento das informações críticas para os negócios da Idlewild Burg;
  5. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;
  6. Atender às leis que regulamentam as atividades da Idlewild Burg e seu mercado de atuação;
  7. Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
  8. Comunicar imediatamente ao DPO, CGSI ou Qualidade qualquer descumprimento da Política de Segurança da Informação e Privacidade e/ou dos procedimentos de Segurança da Informação;
  9. Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso dessas informações em relação a terceiros ou para uso pessoal.

 

  1. Toda solicitação de acesso aos Recursos de TI deverá ser documentada formalmente e justificada quanto à sua real necessidade.

 

  1. É responsabilidade dos usuários a conservação, integridade, utilização e informações constantes nos Dispositivos Móveis que utiliza

Comitê Gestor de segurança da informação (CGSI)

O CGSI é um grupo multidisciplinar composto por representantes de diversas áreas da Idlewild Burg, designados pela Alta Direção. Seu objetivo é definir e implementar estratégias para manter o Sistema de Gestão de Segurança da Informação (SGSI).

As reuniões do CGSI ocorrem trimestralmente para planejamento e revisão de ações. Reuniões extraordinárias são convocadas para decisões urgentes.

 

Diretores e Gestores

 

Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da Idlewild Burg ou de um cliente.

Gerentes e diretores podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo deles a responsabilidade final pela sua proteção.

Compete a este papel:

  1. Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade e, na identificação de possíveis problemas e ou ameaças, verificar possíveis causas e iniciar procedimento de tomada de ação corretiva, quando necessário.
  2. Cumprir e fazer cumprir a política, as normas e os procedimentos de segurança da informação e privacidade;
  3. Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade;
  4. Sugerir ao CGSI, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas;
  5. Acompanhar a ação corretiva até sua conclusão e analisar criticamente as ações corretivas executadas, para verificar sua eficácia e identificar possíveis ajustes necessários.
  6. Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação;

Comunicar imediatamente ao CGSI eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade e de possíveis ações corretivas que requeiram o envolvimento do CSGI.

 

Alta Direção

A Alta Direção da Idlewild Burg está comprometida com o sistema de gestão de segurança da informação e privacidade devendo:

  1. Estabelecer as responsabilidades e atribuições do Comitê Gestor de Segurança da Informação;
  2. Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos de forma compatível com a orientação estratégica da Idlewild Burg;
  3. Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da Idlewild Burg;
  4. Providenciar para que os recursos necessários para o sistema de gestão de segurança da informação estejam disponíveis;
  5. Comunicar a importância da gestão eficaz da segurança da informação e do cumprimento dos requisitos do sistema de gestão da segurança da informação e privacidade;
  6. Certificar que o sistema de gestão de segurança da informação alcance seus resultados pretendidos;
  7. Coordenar e incentivar as pessoas a contribuírem com a eficácia do sistema de gestão da segurança da informação e privacidade;
  8. Promover a melhoria contínua deste SGSI; e
  9. Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade.
  10. Analisar criticamente, juntamente com o Comitê Gestor de Segurança da Informação (CGSI) os registros e resultados das auditorias realizadas na Idlewild Burg, incluindo o status de suas ações corretivas, listadas abaixo.

A análise deve ser realizada logo após a realização das respectivas auditorias e devem ser feitos registros adequados destas análises realizadas, bem como de ações de correção e melhoria definidas nas análises.

  • Auditoria do Sistema de Informação conforme processo Controles de auditoria de sistemas de informação.
  • Auditoria interna do SGQ e SGSI: Já descrito nesta Política, no item Auditoria Interna e na operacionalização do processo Auditoria Interna, apresentado no Portal de Processos.
  • Auditoria de certificação ou de manutenção da certificação do SGQ e SGSI por OCC – Organismo de Certificação Credenciado.
  1. Requerer a área da Qualidade o planejamento das auditorias conforme periodicidades abaixo:
  • Auditoria do Sistema de Informação: anual.
  • Auditoria interna: anual.
  • Auditoria de certificação ou de manutenção da certificação: conforme plano de auditoria acordado com OCC.

Área de Recursos Humanos

  • Cabe, adicionalmente, à Área de Recursos Humanos:
  1. Assegurar-se de que os colaboradores, estagiários, jovens aprendizes comprovem, por escrito, estar cientes da estrutura normativa do SGSI e dos documentos que a compõem;
  2. Para os novos colaboradores, estagiários e jovens aprendizes, deve ser aplicado o treinamento em segurança da informação no início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante esse período;
  3. Ter planos de reciclagem das normas internas da Idlewild Burg;
  4. Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da Idlewild Burg.

Área de Qualidade

Cabe à área de Qualidade:

  1. Consolidar e coordenar a implantação, execução, monitoramento e melhoria do SGSI;
  2. Convocar, coordenar e prover apoio às reuniões do CGSI;
  3. Prover, quando solicitado pelo CGSI, as informações de gestão de segurança da informação que estejam sendo tratadas conjuntamente com os processos do SGQ;
  4. Coordenar as reuniões de análise crítica do SGSI e acompanhar os planos de ação resultantes delas;
  5. Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação;
  6. Efetuar auditorias e inspeções de conformidade periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua;
  7. Desenvolver junto a área de Gestão de Pessoas um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação;
  8. Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação e a necessidade de seguir a Política, as Normas e os Procedimentos referentes ao Sistema de Gestão de Segurança da Informação (SGSI);
  9. Estabelecer junto a Alta Direção normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento desse objetivo.

MELHORIA CONTÍNUA

  • Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes.
  • Deve-se considerar a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação e privacidade.

 

AUDITORIA INTERNA

Todo ativo de informação sob responsabilidade da Idlewild Burg é passível de auditoria em datas e horários determinados pelo CGSI. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Alta Direção e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da Idlewild Burg ou de seus clientes de forma que se misturem ou impeçam o acesso às informações de propriedade ou sob responsabilidade da Idlewild Burg.

Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, o departamento de TI poderá realizar monitoramento e controle proativos, mantendo a confidencialidade do processo e das informações obtidas.

Em ambos os casos, as informações obtidas poderão servir como indício ou evidência em processo administrativo e/ou legal.

As auditorias internas são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.

As auditorias internas devem ser realizadas a cada um ano, por auditores internos ou externos, capacitados e treinados, com conhecimento na norma ISO 27001 e da LGPD. Deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos.

As auditorias externas devem ser realizadas para manter a validade das certificações definidas.

 

Ação Corretiva

Quando forem identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas elas devem ser registradas para análise e tratamento.

Toda não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácia das ações, conforme o processo de Não Conformidade da Qualidade.

 

Contato com Autoridades

 

Os contatos com autoridades estão consolidados no Plano de Comunicações da Idlewild Burg.

A gestão dos contatos com autoridades é da responsabilidade da Gestão de Pessoas que deve consolidar, comunicar e divulgar em repositório conhecido e acessível da Idlewild Burg a lista dos contatos atualizados periodicamente.

 

Análise Crítica do SGSI

A Idlewild Burg deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Tal análise deve ter a participação direta da Alta Direção e deve considerar:

  1. O resultado das ações de análises críticas anteriores do SGSI;
  2. Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação;
  3. Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados de auditorias internas ou externas do SGSI; e

4) cumprimento dos objetivos da segurança da informação;

  1. d) Comentários das partes interessadas;
  2. e) Os resultados da avaliação de risco e a situação do plano de tratamento do risco;
  3. f) Oportunidades para a melhoria contínua;
  4. g) Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros).

As saídas das análises críticas devem incluir decisões relacionadas a oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

A Idlewild Burg deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.

 

Análise Crítica de Conformidade Técnica

A Idlewild Burg efetua a verificação e análise crítica de conformidade técnica considerando:

  1. Realização da Auditoria do Sistema de Informação seguindo checklist definido no processo Controles de auditoria de sistemas de informação, que seja realizada por pessoa capacitada em TI, interna ou externa à Idlewild Burg, como um profissional de sistemas experiente, considerando:
    • Que seja feito por profissional independente à área de TI e diferente do profissional que já realizou o processo Controles de auditoria de sistemas de informação internamente;
    • Periodicidade de execução no mínimo anualmente;
    • O checklist deve ser totalmente preenchido em todos seus requisitos de verificação e que o profissional, com base em sua experiência e inclua outros itens de verificação conforme apropriado;
    • Que os registros definidos no checklist e outros que o profissional definiu, sejam devidamente documentados e mantidos em locais apropriados.
  2. Se aplicável e viável tecnicamente, devido a possíveis riscos mapeados e levantados sobre os ativos do sistema de segurança da informação, conforme processo Riscos para o Sistema de Gestão da Segurança da Informação (SGSI) executar teste de invasão ou avaliações de vulnerabilidades, considerando:
    • Seja feito quando na análise de riscos realmente requerer, pela sua criticidade, a necessidade de execução teste de invasão ou avaliações de vulnerabilidades (como por exemplo pentest; penetration test, teste de intrusão, testes de invasão e avaliações de vulnerabilidades)
    • Feito por empresas ou profissionais com capacitação comprovada e com procedimentos claramente definidos para sua realização.
    • Para o acontecimento do pentest, será necessária uma autorização por parte da Alta Direção, contendo o escopo da realização. É proibida a execução de pentest sem a devida autorização, conforme previsto em lei, e fora do escopo definido previamente.
    • Que os registros dos testes de invasão ou avaliações de vulnerabilidades que forem executados, sejam devidamente documentados, entregues pelo profissional executante e mantidos em locais apropriados. E caso sejam encontradas vulnerabilidades, as recomendações para solucioná-las deverão ser incluídas no relatório final.

 

Denúncias

Qualquer descumprimento desta Política ou ainda suspeitas ou evidências devem ser reportadas à Idlewild Burg por meio do e-mail privacy@korntranslations.com ou por correspondência para:

A/C DPO

Classificação: SIGILOSA

Endereço: Av. Paulista, 2202 – Sala 9, andar intermediário – Jardim Paulista, São Paulo – SP, 01310-300

Violações e Sanções

Violações

 

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não sendo está uma lista exaustiva:

  1. Quaisquer ações ou situações que possam expor a Idlewild Burg ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;
  2. Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa da Alta Direção;
  3. Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Idlewild Burg ou de seus clientes;
  4. Descumprir alguns dos itens estabelecidos nesta política de segurança;
  5. A não comunicação imediata à diretoria ou DPO de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação que porventura um colaborador, estagiário, jovem aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

 

Sanções

 

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da Idlewild Burg são consideradas faltas graves, podendo ser aplicadas as sanções constantes no Código de Ética e Conduta da Idlewild Burg: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Podem ainda ocorrer sanções definidas pelo CGSI sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

Data da Publicação no site: 12/02/2026

Este site usa cookies para garantir que você obtenha a melhor experiência em nosso site.

aceitar