1. OBJETIVO
Este documento define todas as regras e princípios básicos para garantir a proteção das informações da BPO Innova. Estas instruções são elaboradas e mantidas levando em conta a Segurança de Informação dos fornecedores e suas infraestruturas que se relacionam com a realização dos serviços prestados.
2. ABRANGÊNCIA
Este documento aplica-se a todos os fornecedores e parceiros que tratam dados da BPO Innova.
3. VIGÊNCIA
Esta Política passa a vigorar a partir da data da sua publicação.
4. DEFINIÇÕES
SI: Segurança da Informação.
5. DOCUMENTOS RELACIONADOS
DO.001 – Manual do Sistema de Gestão de Segurança da Informação
PO.001 – Política de Segurança da Informação.
6. DIRETRIZES
- Segurança da Informação de Recursos Humanos
- Conscientização Sobre Segurança da Informação
A educação em segurança da informação deve ser um processo contínuo e praticado regularmente a fim de reduzir riscos. Todos os colaboradores do fornecedor de serviços que tenham acesso aos sistemas de informação devem anualmente participar de um programa de conscientização em segurança da informação.
- Acordos de confidencialidade
Contratos de não-divulgação firmados pelos funcionários e contratados devem permanecer em vigor após a rescisão ou mudança na relação trabalhista.
- Classificação da Informação
Os dados devem ser classificados com base nas exigências de confidencialidade, integridade e disponibilidade das informações. O devido conjunto de medidas para a identificação de tratamento da informação deve estar definido e implementado.
- Tratamento de Mídia
O fornecedor de serviços deverá estabelecer um procedimento seguro para o tratamento das mídias (discos rígidos internos/externos, drives de memória etc.), considerando o descarte de forma a fim de prevenir a divulgação não autorizada de dados.
- Controle de Acesso
O acesso aos ativos deve ser gerenciado pelo proprietário dos ativos. Em particular, as normas de controle de acesso devem ser estabelecidas, documentadas e revisadas periodicamente, de forma a refletir a relidade de acessos pertinentes.
O acesso aos dados, sistemas e aplicativos deve ser controlado por um procedimento seguro de autenticação.
Os processos de gestão de acesso de usuário devem ser definidos e formalizados, incluindo as etapas de provisionamento, alteração e exclusão. O acesso de usuário deve ser atribuído conforme necessário.
O processo deve garantir a responsabilização pelas ações de gestão de acesso de usuário. Revisões formais de direitos de acesso de usuário devem ser realizadas em intervalos regulares, dependendo da criticidade do ativo, no mínimo uma vez por ano, a fim de identificar qualquer acesso não autorizado e garantir a devida segregação de atribuições.
- Política mesa e tela limpa
Deve ser estabelecida uma política de mesa e tela limpa nas instalações de processamento de informações, levando com conta as classificações de informação, a disponibilidade e intergidade das informações, as exigências legais e contratuais e os riscos presentes nas circunstâncias concretas.
- Segurança de Serviços de Rede
Cada serviço de rede, seja local ou terceirizado, deve incluir mecanismos de segurança (proteção, detecção e reação) adaptados à sensibilidade dos dados sendo transmitidos. Esses mecanismos de segurança devem ser implementados na rede ou diretamente nos sistemas, aplicativos, estações de trabalho e/ou banco de dados.
Todas as transferências de dados devem ser realizadas por ferramentas explicitamente validadas por equipe tecnicamente qualificada à escolha e responsabilidade do fornecedor.
- Trabalho Remoto
Deve ser estabelecido uma Política de Trabalho Remoto, visando assegurar a confiencialidade, a integridade e a disponibilidade das informações tratadas fora do ambiente de trabalho.
- Backup de Informações e Sistemas
As políticas de backup e restore devem ser definidas para os dados, software e sistemas tratam dados da BPO Innova.
- Relações com Terceiros
Os serviços entregues por terceiros devem seguir as diretrizes estabelecidas nesta Política, sendo de total responsabilidade do fornecedor de serviços a garantia pelo cumprimento dos serviços e de todas as obrigações contratuais e legais.
- Aquisição, Desenvolvimento e Manutenção de Sistemas
Todos os fornecedores de softwares, desenvolvimento ou manutenção de sistemas, além desta Política, devem seguir as diretrizes da PO.005 – Política de Aquisição, Desenvolvimento e Manutenção de Sistemas.
Sempre que o fornecedor de serviços iniciar um novo projeto de TI ou mudança substancial em sistema de informação existente, recomendamos que os itens obrigatórios de segurança sejam documentados.
- Gestão de Incidentes
Os incidentes de Segurança da Informação devem ser identificados e gerenciados por processos consistentes, disciplinados e compartilhados.
No caso de um incidente de Segurança da Informação, a equipe responsável pela Segurança da Informação do fornecedor deve realizar a pronta comunicação e a coordenação do esforço coletivo até que o incidente seja declarado encerrado.
Assim que identificados e, o mais rápido possível, todos os incidentes de segurança que possam impactar a BPO Innova devem ser notificados e comunicados a Segurança da Informação da mesma.
- Observância de Leis e Normas
As atividades da empresa devem garantir a observância das obrigações legais e contratuais para assegurar que as devidas exigências de segurança sejam levadas em conta em seus processos.
Os fornecedores que tratam dados pessoais devem garantir de que os dados pessoais sejam tratados e gerenciados de acordo a Lei 13.709 de 14 de agosto de 2019 – Lei Geral de Proteção de Dados Pessoais.
Todas as exigências contratuais, legais, estatutárias e regulatórias relevantes devem ser explicitamente definidas e documentadas.
- Violações
Qualquer evento que resultar em roubo, perda, uso não autorizado, divulgação não autorizada, destruição não autorizada, ou ainda, serviços degradados ou recusados de ativos da informação, implica uma violação da Segurança da Informação.
No caso de violação desta política ou das demais políticas relacionadas à segurança da informação, a BPO Innova poderá advertir o Fornecedor, podendo até reincidir o contrato.
- HISTORICO DE ALTERAÇÃO
Edição | Data | Histórico de alteração | Aprovação |
0 | 27.12.2021 | Criação | Diretoria de Tecnologia e Inovação |