Linkedin Facebook Instagram
Solicite um orçamento

Política Operacional de Segurança da Informação

IINTRODUÇÃO

A Idlewild, visando estabelecer uma aliança duradoura e de confiança com seus clientes, colaboradores e fornecedores, e com o objetivo de satisfazer as necessidades dos seus clientes com excelência, confidencialidade, integridade e disponibilidade, está comprometida com a proteção das informações de sua propriedade utilizadas no fornecimento de seus serviços.

O estabelecimento de um Sistema de Gestão de Segurança e Privacidade da Informação é um compromisso da alta direção da Idlewild cujo foco é:

  • Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da Idlewild ou que sejam utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus serviços.
  • Garantir o atendimento à legislação vigente e requisitos
  • Promover a capacitação de seus
  • Praticar a melhoria contínua do Sistema de Gestão da Segurança e Privacidade da Informação.

Esta Política é endossada e complementada pela Política de Privacidade, pelo Código de Ética e Conduta, pelos Acordos de Confidencialidade e pelo Termo Aditivo de Contrato de Trabalho – Alteração do regime presencial de trabalho para o regime teletrabalho (Home Office) Parcial ou Integral.

Abrangência

Esta Política aplica-se a todos os colaboradores usuários dos recursos e das informações da Idlewild.

Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as leis abaixo relacionadas, mas não se limitando a elas:

Cabe a Alta Direção da Idlewild, juntamente com áreas internas envolvidas, revisar e manter atualizado os registros de legislação aplicável e efetuar ações de adequação, quando aplicável.

Demais partes interessadas na cadeia operacional da Idlewild(clientes, fornecedores, terceiros, pessoas jurídicas/subcontratados, entre outros), de acordo com sua abrangência e aplicabilidade, também deverão respeitar à legislação a ela aplicável.

 

  • Constituição Federal;
  • Código de Defesa do Consumidor
  • Lei Federal nº 159, de 8 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
  • Lei Federal nº 610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
  • Lei Federal nº 279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
  • Lei Federal nº 129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
  • Lei Federal nº 406, de 10 de janeiro de 2002 (Institui o Código Civil)
  • Decreto-Lei nº 848, de 7 de dezembro de 1940 (Institui o Código Penal)
  • Lei Federal nº 983, de 14 de julho de 2000 (Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940:

– Código Penal e dá outras providencias.

  • Lei nº 965, de 23 de abril de 2014 (Lei do Marco Civil da Internet)
  • Lei Federal nº 709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)
  • Lei Anticorrupção (Lei Nº 846, de 1º de agosto de 2013)
  • Lei nº 097/2000 e Decreto nº 9.579, de 22 de novembro de 2018, relativa à Lei da Aprendizagem e de empregabilidade de menores.
  • LEI Nº 737, DE 30 DE NOVEMBRO DE 2012. Lei Contra Crimes Digitais.
  • Lei nº 452, de 1º de maio de 1943

Termos e Definições

Para os efeitos desta Política, aplicam-se os seguintes termos e definições:

  • Aceitação de risco: decisão de aceitar um
  • Áreas críticas: dependências da Idlewild ou de seus clientes onde esteja situado um ativo de informação relacionado a informações críticas para os negócios da empresa ou de seus clientes.
  • Ameaça: causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.
  • Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco.
  • Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
  • Ação corretiva: ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável.
  • Ataque: tentativa para destruir, expor, alterar, desabilitar, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um ativo.
  • Ativo: qualquer componente, recurso ou conjunto destes aplicáveis para a preservação da confidencialidade, integridade e disponibilidade de dados e informações (hardware, software, infraestrutura, pessoas com seus conhecimentos, etc.).
  • Ativo da informação: conhecimento ou dados que tenham valor para a
  • Autenticidade: propriedade que garante a autoria de um determinado
  • CGSI: Comitê Gestor de Segurança da Informação, grupo multidisciplinar que reúne representantes de diversas áreas da empresa, aprovado pela Diretoria, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI – Sistema de Gestão de Segurança da Informação.
  • Comunicação de risco: troca ou compartilhamento de informações sobre riscos entre o tomador de decisões e outras partes interessadas.
  • Confiabilidade: característica de comportamento consistente e resultados
  • Confidencialidade: característica de informação não está disponível nem pode ser revelada a indivíduos, entidades ou processos não autorizados.
  • Controle: meios de gerenciamento de risco, incluindo políticas, procedimentos, guias, práticas ou estruturas organizacionais, que podem ser administrativos, técnicos, de gestão ou de natureza legal.
  • Controle de acesso: meios para assegurar que o acesso a ativos é autorizado e restrito com base nos requisitos de segurança e de negócios.
  • Critérios de risco: termos de referência pelos quais é avaliada a importância do
  • Dados pessoais: quaisquer informações associadas a uma pessoa física identificada ou identificável fornecidas pela Idlewild e/ou acessadas em seu nome e/ou que se relacionem à condição de pessoa física vinculada à Idlewild, incluindo, mas não se limitando a, nome, endereço, telefone, e-mail, dados bancários.
  • Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da
    • Nota: os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, nos requisitos legais ou regulamentares, nas obrigações contratuais e nos requisitos de negócio da empresa para a segurança da informação.
  • Disponibilidade: característica do que é acessível e utilizável sob demanda por uma entidade autorizada.
  • Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede indicando uma possível violação da Política de Segurança da Informação e Privacidade ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
  • Gestão de riscos: atividades coordenadas para direcionar e controlar uma empresa no que se refere a riscos.
  • Informações críticas para os negócios da Idlewild: toda informação que, se for alvo de acesso, modificação, destruição ou divulgação não autorizada, resultará em perdas operacionais ou financeiras à Idlewild ou seus clientes. Exemplo: dados dos clientes, fontes de sistema, regras de negócios, informações estratégias ou de negócio de clientes obtida em reuniões, planejamento estratégico da Idlewild, prospecções, informações estratégicas da Idlewild.
  • Impacto: mudança adversa nos objetivos de negócios.
  • Incidente de segurança da informação: um único evento ou uma série de eventos de segurança da informação indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • Integridade: propriedade de salvaguarda da exatidão e completeza dos
  • Mitigação: limitação das consequências negativas de um determinado
  • Não repúdio: capacidade de provar a ocorrência de um evento alegado ou de ação e de suas entidades de origem, a fim de resolver disputas sobre a ocorrência ou não ocorrência de evento ou ação e envolvimento de entidades no evento.
  • Risco: combinação da probabilidade de um evento e suas consequências.
  • Risco de segurança da Informação: possibilidade de uma ameaça explorar uma vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos à empresa.
  • Risco residual: risco remanescente após o tratamento de
  • Sanitização de dados: Compreendido em Forense Digital, o processo de limpeza de mídias de armazenamento de dados, consiste em apagar, de forma irreversível todos os dados de um dispositivo de armazenamento, ou seja, eliminar permanentemente suas informações residuais.
  • Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação.
    • Nota: adicionalmente, outras propriedades, tais como a autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar
  • Sistema de gestão: estrutura de políticas, procedimentos, guias e recursos associados para atingir os objetivos da empresa .
  • Sistema de Gestão da Segurança da Informação – SGSI: parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
  • Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco.
  • Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

INFORMAÇÃO DOCUMENTADA

Estrutura Normativa

Os documentos que compõem a estrutura normativa são divididos em 5 categorias:

  1. Política (nível estratégico): define as regras de alto nível que representam os princípios básicos que a Idlewild decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as políticas operacionais e os procedimentos sejam criados e detalhados.
  2. Política operacional: constituída do presente documento, define regras específicas que orientam e regulam responsabilidades e ações em nível
  3. Procedimentos (nível operacional): instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da Idlewild.
  4. Manuais: guia de instruções que apoia a execução de um processo ou o uso de um software.
  5. Templates: modelos de documentos e controles sob controle de versão. Todos os processos e templates são disponibilizados no Portal de Processos e os registros estão no repositório de documentos da Idlewild. Toda informação documentada que evidenciar a execução de um processo deve ter seu armazenamento controlado visando sua pronta recuperação.

Novos documentos ou revisões devem ser submetidos pelos gestores das áreas em questão para aprovação da alta direção antes de serem disponibilizados, conforme processo Informação Documentada, pertencente à Qualidade.

Cópias impressas do conteúdo do Portal de Processos Idlewild não são consideradas válidas e são proibidas.

Os documentos integrantes da estrutura devem ser divulgados a todos os colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Idlewild quando de sua admissão através dos meios oficiais de divulgação interna da empresa, conforme o Plano de Comunicação da Idlewild, e podem ser disponibilizados pelo software de gestão de RH vigente, pelo Portal de Processos e pelo repositório de documentos compartilhados, de maneira que seu conteúdo possa ser consultado a qualquer momento.

Toda alteração realizada na Política de Segurança da Informação e Privacidade deverá ser repassada à CEO ou à Diretoria Administrativa para aprovação. Após sua aprovação, a política deverá ser divulgada e os colaboradores treinados.

Classificação das Informações

Define-se como necessária a classificação de toda informação de propriedade da

Idlewild ou sob sua custódia, de maneira proporcional ao seu valor para a empresa. Informações que compõem o SGSI devem ser classificadas em:

  • Confidenciais – são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da Idlewild. Podem ser protegidas, por exemplo, por criptografia.
  • Restritas – são informações estratégicas que devem estar disponíveis apenas para grupos restritos de Estão protegidas por restrição de acesso às pastas em que estão contidas no drive de rede e nos diferentes níveis de acesso nos sistemas e no Portal da Idlewild.
  • Internas – são aquelas que não podem ser divulgadas para pessoas de fora da Idlewild, mas que, caso isso aconteça, não causam grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
  • Públicas – são dados que não necessitam de proteção específica contra vazamentos, pois podem ser de conhecimento público.

Informações relativas aos colaboradores, ao setor financeiro da Idlewild e informações de clientes (dados cadastrais e documentos) são sempre consideradas restritas, sendo seu acesso concedido apenas às pessoas que precisam delas para exercerem suas atividades e prestar o serviço contratado. Para possibilitar o controle adequado da informação, devem ser utilizados os níveis de acesso descritos em Procedimentos Gerais de Infraestrutura e TI.

DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação e Privacidade da Idlewild que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.

Define-se como necessária a proteção das informações que sejam da Idlewild ou que estejam sob sua custódia, sendo fator primordial nas atividades profissionais de cada colaborador, estagiário, jovem aprendiz ou prestador de serviços da empresa:

  1. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da Idlewild e devem estar atentos a ameaças externas e internas, bem como fraudes, roubo de informações e acesso indevido a sistemas de informação sob responsabilidade da Idlewild.
  2. Assuntos confidenciais não devem ser expostos
  3. Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados.
  4. Somente softwares homologados podem ser utilizados no ambiente computacional da Idlewild.
  5. Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislação pertinente e respeitando o procedimento de descarte.
  6. Todos os dados considerados imprescindíveis ao negócio da Idlewild devem ser protegidos através de rotinas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação.
  7. O acesso às dependências da Idlewild deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  8. O acesso lógico a sistemas computacionais disponibilizados pela Idlewild deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  9. São de propriedade da Idlewild todas as criações, códigos fonte ou procedimentos desenvolvidos por qualquer colaborador, estagiário, jovem aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa.
  10. Não é permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou outros equipamentos de gravação, como câmeras em dispositivos móveis, nas dependências da Idlewild, exceto se for autorizado pela alta direção. É estritamente proibido fotografar ou filmar a tela dos computadores, seja no escritório ou em home office.
  11. Não é permitido a instalação de impressoras nos computadores da Idlewild, exceto quando autorizado pela alta direção. O acesso às impressoras já instaladas no escritório também deve ser autorizado pela alta direção mediante a solicitação do gestor.
  12. Colaboradores que trabalham em regime de home office deverão sempre exercer suas atividades no endereço fornecido à Idlewild, em uma rede de acesso à internet particular, protegida por senha. É estritamente proibido o exercício de suas funções em outro endereço, que implica transporte da máquina e acesso em outra rede, exceto mediante autorização da alta direção, após ser comunicado o novo local, a necessidade e após análise de riscos. Nenhum acesso aos dados e sistemas da Idlewild deve ser feito em rede pública (aeroportos, restaurantes, ).
  13. Os computadores disponibilizados pela Idlewild aos colaboradores, estagiários e jovens aprendizes, para exercício de suas atividades, são de uso exclusivo para atividades relacionadas à Idlewild e não podem ser utilizados para atividades pessoais. Quando autorizado pela alta direção, os computadores poderão ser utilizados para treinamentos, palestras ou webinários online. É permitido aos jovens aprendizes assistirem aulas pela plataforma formal do instituto responsável por sua contratação, porém são estritamente vedados pesquisas na internet e armazenamento de arquivos.
  14. Não é permitido a conexão de dispositivos móveis particulares (notebooks, tablets, celulares) à rede principal da Idlewild, seja em segmentos cabeados ou sem fio. Caso seja necessário, deve ser liberado apenas com autorização prévia formal da alta direção. Para clientes e dispositivos dos próprios funcionários pode ser disponibilizada uma rede WiFi separada para visitantes.

Ressalta-se que as situações previstas nessa Política não são exaustivas, sendo certo que outras relacionadas ao uso dos equipamentos no ambiente de trabalho ou dúvidas quanto à segurança da informação podem ocorrer.

Quanto a essas situações, não expressamente previstas nesta Política e/ou nas demais Políticas e no nosso Código de Ética e Conduta, a Idlewild conta com o bom senso de seus funcionários e caso dúvidas permaneçam, os departamentos de TI e de RH/Gestão de Pessoas podem sempre ser contatados para tirar dúvidas por meio dos e-mails TI@korntraducoes.com.br e RH@korntraducoes.com.br.

Avaliação de Riscos de Segurança da Informação

A gestão do SGSI da Idlewild deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da empresa por meio do mapeamento de vulnerabilidades, ameaças, impacto e probabilidade de ocorrência, bem como da adoção de controles que mitigam estes riscos junto aos responsáveis pelos ativos aos quais os riscos estão associados.

Competências Necessárias para Segurança da Informação

Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na Idlewild, garantindo assim o sucesso do SGSI. A competência exigida deve:

  1. Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;
  2. Reter informações documentadas adequadas como prova de competência.

AMBIENTE FÍSICO

O acesso ao ambiente físico da Idlewild é controlado e monitorado. Os visitantes e fornecedores devem se restringir à recepção e à sala de reuniões, quando necessário, sendo restrito o acesso aos demais ambientes, sendo necessária a presença de um fornecedor no ambiente restrito, deverá ter o acompanhamento de um funcionário da Idlewilda todo momento.

Não é permitida a entrada de colaboradores e fornecedores fora do expediente, exceto quando estritamente necessário e mediante autorização prévia da alta direção, sendo que terceiros devem estar sempre acompanhados por um colaborador da Idlewild.

Todo o detalhamento quanto ao controle de acesso às instalações da Idlewild, proteção contra ameaças externas, alarmes, utilidades (alimentação elétrica, água, ar- condicionado e outros) está descrito nos Procedimentos Gerais de Infraestrutura e TI.

Fornecedores

Os contratos celebrados com fornecedores que possam ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação. Os fornecedores mais relevantes e críticos, no que tange à segurança da informação, que atuam diretamente com a Idlewild recebem treinamento nas diretrizes estabelecidas nessa política.

POLÍTICA DE MESA LIMPA E TELA LIMPA

Todos os colaboradores, estagiários e jovens aprendizes que atuam em nome da Idlewild devem estar cientes e praticar as orientações e diretrizes constantes nesta política e elas devem ser respeitadas tanto em atividades dentro do escritório da Idlewild quanto em atividades em home office, quando pertinentes a essa modalidade.

O objetivo desta Política de Mesa Limpa e Tela Limpa é assegurar que dados e informações, tanto em formato digital quanto físico, e ativos, tangíveis ou não, não sejam deixados desprotegidos no local de trabalho durante seu uso ou quando alguém deixa seu local de trabalho, seja por um curto período, em períodos de paralisação (almoço, reuniões, etc.) ou ao final do expediente.

Os colaboradores, estagiários e jovens aprendizes devem:

  • Utilizar os ativos da Idlewild, em uso interno ou externo (home office ou alocação em cliente), com cuidado, visando garantir sua preservação e seu funcionamento adequado.
  • Bloquear as estações de trabalho quando se afastarem ou se ausentarem do local de trabalho para impedir acesso não autorizado.
  • Não deixar desnecessariamente sobre a mesa documentos impressos. Quando não estiverem em uso, esses devem ser armazenados em armários ou gavetas trancados, especialmente fora do horário do expediente.
  • Manter chaves de armários ou de salas em locais protegidos ou de local com acesso somente ao pessoal autorizado.
  • Não guardar pastas com documentos sensíveis, confidenciais, estratégicos ou com dados pessoais em locais de fácil acesso.
  • Informações sensíveis ou críticas para os negócios da Idlewild devem ser mantidas em local seguro (armários com chave ou, quando digitais, em pastas com acesso restrito).
  • Não anotar ou deixar informações confidenciais ou sensíveis em quadros de aviso ou em locais visíveis.
  • Não deixar anotações, recados e lembretes à mostra sobre a mesa ou colados em paredes, divisórias, murais ou teclados e monitores do computador, incluindo, mas não se limitando a: senhas de acesso ou de desbloqueio de tela, telefones, endereços de e-mail de clientes ou contatos, informações confidenciais, entre outros.
  • Destruir os documentos impressos antes de descartá-los. Sempre que possível, utilizar máquina fragmentadora ou, caso seja em grande quantidade, empresa especializada em descarte e reciclagem. Nesse último caso, sempre acompanhado de um colaborador da Idlewild para garantir a destruição correta das informações.
  • Não imprimir documentos apenas para sua leitura. Leia-os nas telas dos ativos de informações, Busque uma cultura sem papel pois diminui o risco da segurança da informação e beneficia a natureza.
  • Caso precise imprimir, retirar imediatamente da impressora os documentos com informações pessoais, sensíveis ou confidenciais.
  • Caso utilize scanner ou equipamento para cópia de imagem, retire o documento a ser copiado imediatamente após o uso.
  • Posicionar mesas e móveis de forma que dados confidenciais e sensíveis não sejam visíveis de janelas, corredores, passagens de pessoas próximas ou que tenham visão dos ativos com dados e informações como telas e papéis sobre
  • Após o final do expediente ou em ausência prolongada, manter o espaço de trabalho limpo e organizado, documentos guardados, gavetas e armários trancados e computador ou dispositivo móvel desligado, especialmente aqueles conectados em rede/internet. Durante o uso do equipamento, encerre devidamente os aplicativos ou serviços que não estiverem em uso para o desenvolvimento de suas atuais atividades.
  • Descartar informações deixadas em salas de reunião (apagar quadros, triturar folhas ou outro recurso utilizado durante a reunião).
  • Não consumir alimentos na estação de trabalho, tanto no escritório quanto no ambiente home office evitando, a degradação e má conservação dos equipamentos e documentos. A Idlewild permite o uso de garrafinhas com tampa bem vedada e apenas contendo água e nenhum outro líquido (como chás, cafés, refrigerantes, sucos, ) em cima das mesas, mas nunca nas mesas que houver documentos. Para esses casos recomendamos que coloquem na gaveta ou na prateleira mais próxima, para evitar o derramamento de líquidos.

Os casos não previstos ou que estejam omissos nesta política deverão ser encaminhados para o departamento de TI.

POLÍTICA PARA TRANSFERÊNCIA DE INFORMAÇÕES

  • Colaboradores da Idlewild partes externas que tratam ou possuem acesso aos ativos da Idlewild devem ser comunicados e estar conscientes e orientados dos requisitos de segurança da informação dos ativos, informações e dados pessoais
  • Os procedimentos estabelecidos pela Idlewild segurança, controle de acesso, uso de softwares e antivírus, armazenamento e término do tratamento de dados e informações devem ser seguidas por todos os envolvidos, incluindo colaboradores e fornecedores/ terceirizados, conforme aplicável.
  • Acordo de Confidencialidade de dados e informações, incluindo a privacidade dos dados, são assinados, entre partes, com colaboradores internos e fornecedores/terceirizados.

POLÍTICA PARA USO DE DISPOSITIVOS MÓVEIS

O objetivo dessa política é estabelecer padrões na utilização de dispositivos móveis para garantir a Segurança da Informação e o atendimento às legislações.

Entende-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, como notebooks, tablets e telefones celulares, de propriedade da Idlewild ou particulares, em caso de telefones celulares utilizados, com aprovação da alta direção, para a realização de atividades profissionais relacionadas à empresa.

  • Todos os dispositivos móveis da Idlewild disponibilizados devem ser cadastrados e configurados com identificação única, pessoal e intransferível, com padrões mínimos de segurança e com um usuário responsável pelo uso.
  • Os dispositivos móveis disponibilizados devem ser utilizados única e exclusivamente pelos usuários que assumiram a responsabilidade pelo seu uso.
  • Os telefones celulares particulares autorizados para uso em atividades da Idlewild devem atender aos requisitos de segurança informados pelo departamento de TI.
  • Caso seja fornecido um chip de operadora de telefone celular para utilização em contatos profissionais, a identificação do chip e do responsável pelo seu uso deve ser mantida sob controle do departamento de TI.
  • O uso de credenciais compartilhadas é desencorajado. Entretanto, em situações nas quais as credenciais nominais não são possíveis, o compartilhamento de credenciais deve, obrigatoriamente, ser feitas por meio do cofre de senhas.
  • Conforme a política de mesa limpa e tela limpa, o dispositivo deve ser bloqueado enquanto não estiver sendo utilizado, de forma a proteger o acesso de pessoas não autorizadas.
  • Seguindo as recomendações da Política da mesa limpa e tela limpa, os dispositivos móveis devem ser bloqueados quando não estiverem em uso de forma a proteger as informações o acesso por pessoas não autorizadas.
  • Transporte o aparelho com cuidado: não é permitido o transporte do notebook em via transporte público, somente em condução particular, como carro privativo ou transportes por aplicativos Uber. Em caso de solicitação de transporte por parte da Korn, o reembolso do transporte pode ser solicitado ao departamento financeiro. Em caso de carro próprio, o notebook deve estar protegido contra impactos em mochilas ou bolsas.
  • Evite o seu superaquecimento, use o notebook somente em cima de mesas, não utilize em cima de camas, almofadas e travesseiros.
  • Cuidados com as intercorrências do tempo, evitar deixar o notebook próximo a janelas ou locais úmidos.

COMPARTILHAMENTO DE DADOS

Apenas os computadores fornecidos pela Idlewild devem ser utilizados pelos colaboradores, estagiários e jovens aprendizes, não sendo permitido a nenhum colaborador da empresa o acesso aos dados em computadores pessoais. Todos os dados deverão ser armazenados nas pastas adequadas do drive de rede. O departamento de TI deve verificar periodicamente todos os compartilhamentos existentes e garantir que dados considerados confidenciais ou restritos estejam com o devido controle de acesso. Na necessidade do uso de uma máquina virtual, por razão de continuidade do negócio, ela poderá ser acessada por meio de um computador pessoal, quando autorizado pela alta direção da Idlewild e seguindo as diretrizes do departamento de TI.

Todos na Idlewild devem considerar a informação como um bem da empresa, um dos recursos críticos para a realização do negócio.

Privacidade da Informação sob custódia da empresa

Define-se como necessária a proteção da privacidade das informações que estão sob custódia da Idlewild, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios aos quais a Idlewild detém total controle administrativo, físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da Idlewild e reafirmam o seu compromisso com a melhoria contínua desse processo:

  1. As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados;
  2. As informações são recebidas pela Idlewild, tratadas e armazenadas de forma segura e íntegra, com acessos restritos e manipuladas apenas pelas pessoas necessárias para prestação do serviço;
  3. As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;
  4. As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados, além de assinatura de contrato de confidencialidade;
  5. As informações somente são fornecidas a terceiros mediante autorização prévia, por escrito, do cliente ou para o atendimento de exigência legal ou regulamentar;
  6. As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais somente são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes.

Criação de Acessos e Conta de e-Mail para Não Colaboradores

Não é permitida a criação de acessos e conta de e-mail para pessoas que não sejam colaboradores da Idlewild, exceto estagiários e jovens aprendizes.

Caso terceiros precisem de credencial de acesso lógico a sistemas ou ferramentas que dependam de e-mail para o seu correto funcionamento, o gerente do colaborador deverá justificar a necessidade e solicitar a aprovação da Alta Direção. Nesses casos, o acesso do terceiro deve ser restrito a correspondências relacionadas ao desempenho de suas funções dentro da empresa, em horário comercial e de acordo com as políticas da Idlewild.

Prestadores de serviços da Idlewild não devem integrar qualquer lista de distribuição e/ou pastas públicas da Idlewild que possam conter informações destinadas a colaboradores.

Gestão de Acessos

Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação do acesso até a sua revogação.

  1. GERENCIAMENTO DE SENHA
    • As senhas de todos os acessos deverão ser trocadas a cada 3 (três)
    • Usuários novos devem trocar a sua senha no primeiro
    • As senhas de acesso à máquina, à VPN (Virtual Private Network) e ao e-mail e drive devem ter no mínimo 12 (dez) caracteres. As demais senhas devem seguir definição de cada aplicação.
    • As senhas do dispositivo celular ou tablete deverá ser de 6(seis)
    • As senhas de acesso à máquina, à VPN e ao e-mail e drive devem exigir nível de complexidade contendo números, caracteres especiais, letras maiúsculas e minúsculas. As demais senhas devem seguir essa determinação quando possível, senão seguir definição de cada aplicação.
    • O acesso à VPN deverá ser feito utilizando senha de acesso do servidor do
    • As novas senhas não devem coincidir com as últimas 24 (vinte e quatro) senhas digitadas.
    • As senhas não devem ser salvas na aplicação, e muito menos serem anotadas em papel, devendo ser digitadas a cada acesso.

Revisões de Acessos Lógicos

O departamento de TI fará revisões periódicas dos acessos, podendo ser feita de forma conjunta com os usuários. Colaboradores, estagiários e jovens aprendizes devem informar sempre que notar qualquer anormalidade ou acesso não necessário ao seu trabalho.

  1. LIBERAÇÃO DE ACESSO
    • Deverá ser utilizada identificação única, pessoal e exclusiva para assegurar a responsabilidade de cada usuário em suas ações.
  • Disponibilizar os acessos considerando o mínimo necessário para o usuário possa executar suas funções.
  • Novos colaboradores, estagiários e jovens aprendizes recebem acesso conforme a função que irão desempenhar. Essa informação deverá ser fornecida ao TI conforme Procedimento de Recrutamento Seleção e Admissão do RH.
  • Os privilégios deverão ser autorizados pela diretoria de cada área (Diretoria Administrativa ou Diretoria Comercial e Financeira).
  • Não é permitida a utilização de usuários genéricos (não nominais), a não ser em sistemas que não possuam esta funcionalidade;
  • A liberação de acesso está formalizada nos Procedimentos Gerais de Infraestrutura e TI.
    • O controle de privilégios é feito por grupos de usuários ou função que exerça (perfil) de forma a facilitar o gerenciamento dos privilégios.
    • Senhas administrativas ou genéricas, quando liberadas, deverão ter controle específico. O departamento de TI mantém uma lista atualizada de pessoas (Colaboradores/Fornecedores) que possuem tais senhas para que seja possível realizar as demais operações de revogação e controle de mudança.
    • A liberação de acesso a fornecedores ou consultores deverá ser analisada criticamente junto aos responsáveis pela aplicação, toda aplicação deverá ter um responsável.
  1. REVOGAÇÃO DE ACESSO

A revogação de acesso pode ocorrer nas situações de desligamento de colaborador conforme fluxo de desligamento, mudança de função, encerramento de contrato com fornecedor ou solicitação.

  • TI deverá manter os registros de acessos sempre atualizados para que seja possível, no momento da revogação, conseguir realizar a exclusão ou inativação imediata dos acessos dos usuários.
  • O acesso de colaboradores, estagiários ou jovens aprendizes desligados da empresa é bloqueado seguindo o Processo de Recrutamento Seleção e Admissão do RH.
  1. MUDANÇAS DE FUNÇÃO E ANÁLISE CRÍTICA DOS DIREITOS DE ACESSO
  • TI e Gestores deverão ser comunicados formalmente das mudanças de função, seguindo o Processo de Recrutamento Seleção e Admissão do TI deverá analisar junto ao novo gestor os acessos e permissões.

 

  1. SEGREGAÇÃO DE FUNÇÕES
    • Um critério de segregação de funções para liberação de permissões, baseado em “cargos/funções/operação”, deve ser considerado, de forma que o usuário (Colaborador, estagiário, jovem aprendiz, cliente, fornecedor) tenha acesso somente ao indispensável para execução de sua atividade.
    • Mudanças de privilégios devem ser autorizadas pela liderança.

 

  1. FERRAMENTA DE ACESSO REMOTO
    • O acesso a estação de trabalho e servidores por aplicativos de assistência remota deve ser feito apenas por ferramentas autorizadas e sempre com o conhecimento de TI. As ferramentas utilizadas pela Idlewild e o procedimento para esses acessos estão descritos em Procedimentos Gerais de Infraestrutura e TI.
    • Os acessos e seus logs deverão ser analisados periodicamente a fim de evitar acessos indevidos.
  2. REDEFINIÇÃO DE SENHAS
    • A redefinição da senha deve ser feita pelo proprietário da conta por meio do próprio sistema. No caso da senha estiver bloqueada, deverá ter a comunicação por meio de canais seguros e homologados como WhatsApp para que o TI realize o desbloqueio, TI deverá comunicar que a senha será desbloqueada ou redefinida, a pedido dele, por e-mail ao proprietário a fim de garantir a integridade da operação.
    • Quando uma senha genérica ou administrativa for alterada isso deverá ser comunicado ao responsável e pessoas que a utilizam.

Prevenção de Ataques

  1. SINCRONIZAÇÃO DE RELÓGIOS

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários e aconteça o não repúdio.

  1. NAVEGAÇÃO NA INTERNET

Considera-se a Internet meio essencial para busca de informações e produtividade do trabalho, portanto, seu uso em estações de trabalho está liberado sob monitoramento. Tal monitoramento deve ser capaz de:

  • Detectar os acessos que estão sendo realizados;
  • Detectar os arquivos baixados e enviados através da Internet;
  • Identificar possíveis desvios de conduta ou vazamento de informação.

Devem ser seguidas as normas quanto ao uso da Internet determinadas no Código de Ética e Conduta da Idlewild.

.REDES E SEGREGAÇÃO DE REDES

Considerando que a maior parte de nossos colaboradores trabalha em regime de home office, as informações e aplicações utilizadas pela Idlewild estão em servidores na nuvem, com proteção de Firewall por meio da VPN, implementada em software para abrangência de todos os equipamentos utilizados tanto internamente, no escritório, quanto externamente.

No escritório físico da Idlewild, não é permitido o acesso à rede Wireless principal ou cabeada por visitantes. Caso haja necessidade de conexão, deve ser disponibilizado acesso apenas a rede Wireless para visitantes.

A descrição da rede está detalhada nos Procedimentos Gerais de Infraestrutura e TI.

  1. ESTAÇÕES E SERVIDORES
    • Estações de trabalho e servidores deverão ter controle de sessão O bloqueio deverá ser feito automaticamente após um período de inatividade determinado por TI conforme Procedimentos Gerais de Infraestrutura e TI.
  • O acesso das estações de trabalho deverá ser por meio das credenciais fornecidas pelo departamento de TI, e seguindo os padrões determinados de senha.
  • Transferência de dados pela porta USB deverá estar
  • Informações confidenciais deverão ser armazenadas criptografadas, seguindo orientações definidas nos Procedimentos Gerais de Infraestrutura e TI. Notebooks deverão ter seu HD criptografado.
  • Não é permitido o compartilhamento de pastas nos computadores de colaboradores da Idlewild. Os dados devem sempre estar no drive de rede e os que necessitam de compartilhamento entre colaboradores devem ser alocados em pastas apropriadas atentando-se às permissões de acesso aplicáveis aos referidos dados.
  1. MIDIAS REMOVIVEIS

É proibida a utilização de mídias removíveis (como dispositivos de armazenamento USB, HD externo, etc.). Caso a utilização seja estritamente necessária para alguma atividade, o colaborador deverá justificar ao gestor responsável, que avaliará a possibilidade, junto ao departamento de TI, de liberação seguindo-se as premissas e necessidades previstas nesta Política.

  1. TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES

A troca de informações com clientes ou fornecedores deve ser realizada por canais seguros.

  • Adotar sempre a prática da criptografia nos canais de comunicação (e- mail com chaves PGP, chaves criptográficas, voip criptografado, SFTP, gerenciadores de arquivos).
  • Não se deve transferir informações confidenciais por canais não
  1. POLÍTICA DE USO DO ANTIVIRUS

 

  • Todo o dispositivo da Idlewild deve possuir instalado a solução de antivírus corporativo.
  • Todo e qualquer dispositivo que possui o antivírus instalado será scaneado para verificar se ele está ou não infectado
  • Diariamente o antivírus fará uma varredura em todos os computadores da empresa procurando por pragas virtuais. Esta varredura contemplará todo o dispositivo.
  • O departamento de TI será responsável pela manutenção da ferramenta e tem autonomia para, caso julguem necessário, tomar medidas proativas para combater ou prevenir uma disseminação de pragas

POLÍTICA PARA O USO DE CONTROLES CRIPTOGRÁFICOS

Procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações por meio da ativação de recursos de segurança da informação e configuração de canal seguro de comunicação devem ser estabelecidos e mantidos pelo departamento de TI. Esses procedimentos devem conter regras sobre o uso efetivo e adequado de controles criptográficos na proteção da informação.

Visando a garantia da integridade e da recuperação da informação, é proibida a implantação de controles criptográficos não homologados ou com tecnologia defasada pelo departamento de TI.

Gestão de Backups

Para garantia da integridade dos sistemas e dados, o departamento de TI é responsável pelos sistemas que realizam as cópias de segurança (Backup), que estão definidas nesta Política e nos Procedimentos Gerais de Infraestrutura e TI, as quais garantem que:

  • As aplicações e informações lógicas devem possuir backup de dados realizados de forma periódica.
  • Os backups devem ser armazenados em locais diferentes do ambiente de produção.
  • Backups, quando trafegados ou armazenados em mídias físicas, devem ser
  • Os backups deverão ser testados regularmente em um período máximo de 6 meses, ou testados imediatamente caso exista alguma mudança no ambiente. Os testes deverão ser documentados para auditoria.

Propriedade Intelectual

São de propriedade da Idlewild todos os projetos, criações, produtos e inovações levantadas e desenvolvidas internamente ou procedimentos desenvolvidos por qualquer colaborador durante o curso de seu vínculo empregatício.

Uso do correio eletrônico (e-mail)

O correio eletrônico fornecido pela Idlewild é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da Idlewild, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Os colaboradores são informados de que todos os e-mails trocados nos computadores da Idlewildpor eles utilizados poderão ser rastreados e verificados.

É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis e inúteis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem da Idlewild;
  • Possam prejudicar a imagem de outras empresas;
  • Sejam incoerentes com as políticas da Idlewild.

Devem também ser seguidas as normas constantes no Código de Ética e Conduta da Idlewild.

E-mails suspeitos recebidos (como suspeita de phishing, , suspeita de vírus em arquivo, entre outros) deve ser feito contato direto com um membro da equipe de TI(Não enviar e-mail para não propagar o vírus) para que possa ser feito o acesso remoto e analisar a mensagem suspeita.

Caso um e-mail seja enviado indevidamente para um destinatário, comprometendo a segurança da informação da Idlewild e/ou das suas partes interessadas, deve ser feita a comunicação imediata ao e-mail privacidade@korntraducoes.com.br para que sejam tomadas as ações necessárias.

Não é permitido o acesso de e-mails pessoais pelo computador da Idlewild.

O serviço de e-mail deve observar:

  • E-mails deverão ser trafegados por canal
  • A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam por parte tanto do serviço de e-mail, quanto pelo antivírus e controle de conteúdo.

Instant Messenger

 É permitido apenas o uso do Google Chat pelo login da Idlewild para comunicação interna;

É permitido o Skype apenas para uso organizacional;

A comunicação com clientes e fornecedores via WhatsApp Business deve ser feita preferencialmente pelo aplicativo instalado no computador. O uso do WhatsApp Business, tanto versão web quanto aplicativo, é monitorado pelo departamento de TI para acompanhar a entrada e saída de arquivos e pode ser bloqueado conforme diretrizes de segurança que estejam vigentes na Idlewild.

A utilização desses aplicativos no computador da Idlewild deve ser exclusivamente com contatos internos da Idlewild ou com contatos externos (clientes e fornecedores) quando tratar de assuntos relacionados à empresa.

Outros aplicativos são proibidos e, em caso de necessidade, é obrigatório contatar o CGSI para validação.

Softwares ilegais e direito autoral

A Idlewild respeita os direitos autorais dos softwares, não permitindo o uso de softwares não licenciados. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário contatar o departamento de TI para qualquer tipo de instalação (mesmo que sejam softwares que precisem apenas ser copiados e executados).

Periodicamente, o departamento de TI fará inspeção nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta política. Caso sejam encontrados softwares não autorizados, estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais softwares não autorizados se responsabilizam perante a Idlewild por quaisquer problemas ou prejuízos causados em decorrência de tal ato.

O departamento de TI mantém as evidências da propriedade de licenças de uso de software e registros do uso adequado do número de licenças garantindo os direitos de propriedade intelectual. Este item é aplicado conforme item Inventário de Ativos desta Política Operacional de Segurança da Informação e respectivos procedimentos.

A Idlewild também não executa cópia de todo ou partes de livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral e sem a devida citação das referências cabíveis.

Ações disciplinares podem ocorrer na violação deste item e serão aplicadas pelo CGSI conforme o item Sanções desta Política Operacional de Segurança da Informação.

Inventário de Ativos

Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento da empresa ou informações. Os pontos críticos a serem monitorados, por exemplo, espaço para armazenamento, espaço para crescimento de banco de dados, quantidade de computadores e licenças de software.

  • Todos os softwares e hardwares da Idlewild devem ser inventariados e controlados pelo departamento de TI.
  • Não é permitida a instalação de nenhum software sem o consentimento do departamento de TI.
  • Não é permitido contratar e utilizar nenhum software para uso organizacional, na nuvem ou desktop, sem o consentimento do departamento de TI.
  • Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento do departamento de TI.
  • O departamento de TI deverá ter processos para detecção de softwares
  • Ativos em posse de colaboradores e fornecedores devem ser controlados. Em caso de desligamento ou encerramento de contrato, o ativo deverá ser devolvido conforme procedimento estabelecido pelo departamento de TI.
  • Softwares devem possuir gestão de suas licenças e uso controlado pelo departamento de TI.
  • O inventário deve ser atualizado, pelo departamento de TI, a cada aquisição ou

Descarte, destruição e reutilização de equipamentos e mídias

Todas as mídias utilizadas na operação dos processos do SGSI devem ser guardadas, reutilizadas e destruídas de forma segura e protegida, como incineração, trituração ou sanitização dos dados. O descarte de mídias pode ser feito por meio de uma empresa especializada.

Deve-se assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou gravados com segurança:

  • A formatação de dispositivos de armazenamento para reutilização deve ser realizada através de formatação com processo seguro por meio da sanitização de dados por um profissional da área de TI.
  • Dispositivos defeituosos ou não mais utilizados deverão ser destruídos, impedindo qualquer recuperação de dados.
  • Papéis confidenciais ou de uso interno deverão ser armazenados em locais seguros e não podem ser descartados sem antes terem sido picotados por uma fragmentadora, cabendo a cada responsável adotar esta prática com todos os documentos sob sua responsabilidade.

Papéis e Responsabilidades

É dever de todos – colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Idlewild – cumprir com as seguintes obrigações:

Colaboradores, estagiários, aprendizes e prestadores de serviços

Define-se como necessária a classificação de toda informação que seja de propriedade da Idlewild ou que estejam sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado dela:

  1. Zelar continuamente pela proteção das informações da Idlewild ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada;
  2. Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Idlewild;
  3. Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos;
  4. Garantir a continuidade do processamento das informações críticas para os negócios da Idlewild;
  5. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;
  6. Atender às leis que regulamentam as atividades da Idlewild e seu mercado de atuação;
  7. Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
  8. Comunicar imediatamente ao DPO, CGSI ou Qualidade qualquer descumprimento da Política de Segurança da Informação e Privacidade e/ou dos procedimentos de Segurança da Informação;
  9. Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso dessas informações em relação a terceiros ou para uso pessoal.
  10. Toda solicitação de acesso aos Recursos de TI deverá ser documentada formalmente e justificada quanto à sua real necessidade.
  11. É responsabilidade dos usuários a conservação, integridade, utilização e informações constantes nos Dispositivos Móveis que utiliza

Comitê Gestor de segurança da informação (CGSI)

O CGSI é um grupo multidisciplinar composto por representantes de diversas áreas da Idlewild, designados pela Alta Direção. Seu objetivo é definir e implementar estratégias para manter o Sistema de Gestão de Segurança da Informação (SGSI).

As reuniões do CGSI ocorrem trimestralmente para planejamento e revisão de ações. Reuniões extraordinárias são convocadas para decisões urgentes.

Diretores e Gestores

Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da Idlewild ou de um cliente.

Gerentes e diretores podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo deles a responsabilidade final pela sua proteção.

Compete a este papel:

  1. Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade e, na identificação de possíveis problemas e ou ameaças, verificar possíveis causas e iniciar procedimento de tomada de ação corretiva, quando necessário.
  2. Cumprir e fazer cumprir a política, as normas e os procedimentos de segurança da informação e privacidade;
  3. Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade;
  4. Sugerir ao CGSI, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas;
  5. Acompanhar a ação corretiva até sua conclusão e analisar criticamente as ações corretivas executadas, para verificar sua eficácia e identificar possíveis ajustes necessários.
  6. Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação;

Comunicar imediatamente ao CGSI eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade e de possíveis ações corretivas que requeiram o envolvimento do CSGI.

Alta Direção

A Alta Direção da Idlewild está comprometida com o sistema de gestão de segurança da informação e privacidade devendo:

  1. Estabelecer as responsabilidades e atribuições do Comitê Gestor de Segurança da Informação;
  2. Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos de forma compatível com a orientação estratégica da Idlewild;
  3. Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da Idlewild;
  4. Providenciar para que os recursos necessários para o sistema de gestão de segurança da informação estejam disponíveis;
  5. Comunicar a importância da gestão eficaz da segurança da informação e do cumprimento dos requisitos do sistema de gestão da segurança da informação e privacidade;
  6. Certificar que o sistema de gestão de segurança da informação alcance seus resultados pretendidos;
  7. Coordenar e incentivar as pessoas a contribuírem com a eficácia do sistema de gestão da segurança da informação e privacidade;
  8. Promover a melhoria contínua deste SGSI; e
  9. Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade.
  10. Analisar criticamente, juntamente com o Comitê Gestor de Segurança da Informação (CGSI) os registros e resultados das auditorias realizadas na Idlewild, incluindo o status de suas ações corretivas, listadas abaixo.

A análise deve ser realizada logo após a realização das respectivas auditorias e devem ser feitos registros adequados destas análises realizadas, bem como de ações de correção e melhoria definidas nas análises.

  • Auditoria do Sistema de Informação conforme processo Controles de auditoria de sistemas de informação.
  • Auditoria interna do SGQ e SGSI: Já descrito nesta Política, no item Auditoria Interna e na operacionalização do processo Auditoria Interna, apresentado no Portal de Processos.
  • Auditoria de certificação ou de manutenção da certificação do SGQ e SGSI por OCC – Organismo de Certificação Credenciado.
  1. Requerer a área da Qualidade o planejamento das auditorias conforme periodicidades abaixo:
    • Auditoria do Sistema de Informação:
    • Auditoria interna:
    • Auditoria de certificação ou de manutenção da certificação: conforme plano de auditoria acordado com OCC.

Área de Recursos Humanos

Cabe, adicionalmente, à Área de Recursos Humanos:

  1. Assegurar-se de que os colaboradores, estagiários, jovens aprendizes comprovem, por escrito, estar cientes da estrutura normativa do SGSI e dos documentos que a compõem;
  2. Para os novos colaboradores, estagiários e jovens aprendizes, deve ser aplicado o treinamento em segurança da informação no início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante esse período;
  3. Ter planos de reciclagem das normas internas da Idlewild;
  4. Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da Idlewild.

Área de Qualidade

Cabe à área de Qualidade:

  1. Consolidar e coordenar a implantação, execução, monitoramento e melhoria do SGSI;
  2. Convocar, coordenar e prover apoio às reuniões do CGSI;
  3. Prover, quando solicitado pelo CGSI, as informações de gestão de segurança da informação que estejam sendo tratadas conjuntamente com os processos do SGQ;
  4. Coordenar as reuniões de análise crítica do SGSI e acompanhar os planos de ação resultantes delas;
  5. Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação;
  6. Efetuar auditorias e inspeções de conformidade periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua;
  7. Desenvolver junto a área de Gestão de Pessoas um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação;
  8. Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação e a necessidade de seguir a Política, as Normas e os Procedimentos referentes ao Sistema de Gestão de Segurança da Informação (SGSI);
  9. Estabelecer junto a Alta Direção normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento desse objetivo.

MELHORIA CONTÍNUA

  • Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes.
  • Deve-se considerar a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação e

AUDITORIA INTERNA

Todo ativo de informação sob responsabilidade da Idlewild é passível de auditoria em data e horários determinados pelo CGSI. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Alta Direção e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da Idlewild ou de seus clientes de forma que se misturem ou impeçam o acesso às informações de propriedade ou sob responsabilidade da Idlewild. Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, o departamento de TI poderá realizar monitoramento e controle proativos, mantendo a confidencialidade do processo e das informações obtidas.

Em ambos os casos, as informações obtidas poderão servir como indício ou evidência em processo administrativo e/ou legal.

As auditorias internas são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.

As auditorias internas devem ser realizadas a cada um ano, por auditores internos ou externos, capacitados e treinados, com conhecimento na norma ISO 27001 e da LGPD. Deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos.

As auditorias externas devem ser realizadas para manter a validade das certificações definidas.

Ação Corretiva

Quando forem identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas elas devem ser registradas para análise e tratamento. Toda não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácia das ações, conforme o processo de Não Conformidade da Qualidade.

Contato com Autoridades

 Os contatos com autoridades estão consolidados no Plano de Comunicações da Idlewild.

A gestão dos contatos com autoridades é da responsabilidade da Gestão de Pessoas que deve consolidar, comunicar e divulgar em repositório conhecido e acessível da Idlewild a lista dos contatos atualizados periodicamente.

Análise Crítica do SGSI

A Idlewild deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Tal análise deve ter a participação direta da Alta Direção e deve considerar:

  1. O resultado das ações de análises críticas anteriores do SGSI;
  2. Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação;
  3. Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:
    • não conformidades e ações corretivas;
    • resultados de monitoramento e medição;
    • resultados de auditorias internas ou externas do SGSI; e
    • cumprimento dos objetivos da segurança da informação;
  4. Comentários das partes interessadas;
  5. Os resultados da avaliação de risco e a situação do plano de tratamento do risco;
  6. Oportunidades para a melhoria contínua;
  7. Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros).

As saídas das análises críticas devem incluir decisões relacionadas a oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

A Idlewild deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.

Análise Crítica de Conformidade Técnica

A Idlewild efetua a verificação e análise crítica de conformidade técnica considerando:

  1. Realização da Auditoria do Sistema de Informação seguindo checklist definido no processo Controles de auditoria de sistemas de informação, que seja realizada por pessoa capacitada em TI, interna ou externa à Idlewild, como um profissional de sistemas experiente, considerando:
    • Que seja feito por profissional independente à área de TI e diferente do profissional que já realizou o processo Controles de auditoria de sistemas de informação internamente;
    • Periodicidade de execução no mínimo anualmente;
    • O checklist deve ser totalmente preenchido em todos seus requisitos de verificação e que o profissional, com base em sua experiência e inclua outros itens de verificação conforme apropriado;
    • Que os registros definidos no checklist e outros que o profissional definiu, sejam devidamente documentados e mantidos em locais apropriados.
  2. Se aplicável e viável tecnicamente, devido a possíveis riscos mapeados e levantados sobre os ativos do sistema de segurança da informação, conforme processo Riscos para o Sistema de Gestão da Segurança da Informação (SGSI) executar teste de invasão ou avaliações de vulnerabilidades, considerando:
  • Seja feito quando na análise de riscos realmente requerer, pela sua criticidade, a necessidade de execução teste de invasão ou avaliações de vulnerabilidades (como por exemplo pentest; penetration test, teste de intrusão, testes de invasão e avaliações de vulnerabilidades)
  • Feito por empresas ou profissionais com capacitação comprovada e com procedimentos claramente definidos para sua realização.
  • Para o acontecimento do pentest, será necessária uma autorização por parte da Alta Direção, contendo o escopo da realização. É proibida a execução de pentest sem a devida autorização, conforme previsto em lei, e fora do escopo definido previamente.
  • Que os registros dos testes de invasão ou avaliações de vulnerabilidades que forem executados, sejam devidamente documentados, entregues pelo profissional executante e mantidos em locais apropriados. E caso sejam encontradas vulnerabilidades, as recomendações para solucioná- las deverão ser incluídas no relatório final.

Denúncias

Qualquer descumprimento desta Política ou ainda suspeitas ou evidências devem ser reportadas à Idlewild por meio do e-mail privacidade@korntraducoes.com.br ou por correspondência para:

A/C DPO

Classificação: SIGILOSA

Endereço: Av. Nove de Julho, 3384 – conj. 64/65 – Jardim Paulista, São Paulo – SP, 01406- 000.

Violações e Sanções Violações

 São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não sendo está uma lista exaustiva:

  1. Quaisquer ações ou situações que possam expor a Idlewild ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;
  2. Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa da Alta Direção;
  3. Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Idlewild ou de seus clientes;
  4. Descumprir alguns dos itens estabelecidos nesta política de segurança;
  5. A não comunicação imediata à diretoria ou DPO de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação que porventura um colaborador, estagiário, jovem aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

 

Sanções

 

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da Idlewild são consideradas faltas graves, podendo ser aplicadas as sanções constantes no Código de Ética e Conduta da Idlewild: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Podem ainda ocorrer sanções definidas pelo CGSI sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

TRABALHE CONOSCO
  • Contato
  • Av. Nove de Julho, 3384 - conj. 64/65 - Jardim Paulista, São Paulo - SP, 01406-000
  • Menu
  • Nossas redes sociais
Linkedin Facebook Instagram

Este site usa cookies para garantir que você obtenha a melhor experiência em nosso site.

aceitar