Soow Ética

Política de Segurança da Informação (PSI)

Política de Segurança da Informação — PLT-SIG-001

ESCOPO 

Aplica-se a Todos os dados pessoais e informações confidenciais tratados pela Soow Sigma, incluindo, mas não se limitando a dados de clientes, funcionários (atuais e antigos), fornecedores, parceiros e quaisquer outros titulares de dados que interajam com a empresa. Abrange todas as formas de tratamento de dados, incluindo coleta, armazenamento, uso, compartilhamento, transmissão e descarte, em ambientes físicos e digitais. 

Gestão da segurança da informação referente a monitoramento e suporte técnico aos clientes, projeto de implantação de ferramentas de segurança da informação e consultoria em clientes, gerenciamento de riscos de segurança da informação através de levantamento de informação sobre o ambiente de segurança da informação, negócio e privacidade de dado e clientes e suporte a operação de área de Customer experience. 

OBJETIVO 

Esta Política estabelece a base para a melhoria contínua do Sistema de Gestão de Segurança da Informação, além de orientar a definição e revisão dos objetivos desse Sistema. 

A Política de Segurança da Informação da SOOW SIGMA é uma declaração formal da empresa acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores. Seu propósito é estabelecer as diretrizes a serem seguidas pela Empresa no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação. 

Definição da Estrutura Normativa da Política de Segurança da Informação 

A estrutura normativa da Segurança da Informação da SOOW SIGMA é composta por um conjunto de documentos com três níveis hierárquicos distintos, relacionados a seguir: 

  • Política de Segurança da Informação (Política): constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à segurança da informação; 
  • Normas de Segurança da Informação (Normas): estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política, a serem seguidos em diversas situações em que a informação é tratada; 
  • Procedimentos de Segurança da Informação (Procedimentos): instrumentalizam o disposto nas Normas e na Política, permitindo a direta aplicação nas atividades da SOOW SIGMA. 

ABRANGÊNCIA 

A Política de Segurança da Informação da SOOW SIGMA é aplicável a todos os gestores, funcionários, estagiários, colaboradores e prestadores de serviço da SOOW SIGMA, aqui referidos coletivamente como usuários/colaboradores. 

DIRETRIZES 

A informação é um ativo que possui grande valor para a SOOW SIGMA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. 

A adoção de políticas e procedimentos que visem garantir a segurança da informação deve ser prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da organização. 

A informação pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo etc. 

Por princípio, a segurança da informação deve abranger três aspectos básicos, destacados a seguir: 

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação; 
  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações; 
  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. 

Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não intencional, acidentes e outras ameaças. 

Em empresas grandes e complexas, a proteção da informação não é uma tarefa trivial. 

Em geral, o sucesso da Política de Segurança da Informação adotada por uma instituição depende da combinação de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados à segurança da informação e à maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, funcionários e colaboradores. 

A SOOW SIGMA optou por implementar um Sistema de Gestão de Segurança da Informação conforme a norma ISO 27001, com a finalidade de garantir a confidencialidade, integridade e disponibilidade das informações, protegendo-as contra uma ampla gama de ameaças. O objetivo é assegurar a continuidade dos processos, minimizar danos e maximizar o retorno sobre os investimentos, aproveitando oportunidades de negócios e promovendo a melhoria contínua. 

A SOOW SIGMA dispõe de um robusto conjunto de documentos baseados na norma ISO 27001, entre os quais destacamos, sem prejuízo de outros, os seguintes, que estão diretamente relacionados a esta Política: 

  • Manual de Boas Práticas; 
  • Política da Privacidade e Proteção de Dados Pessoais; 
  • Política de Cookies; 
  • Anexos contratuais / Termos Gerais de Privacidade e Proteção de Dados Pessoais (entre a Soow Sigma e seus colaboradores, clientes e fornecedores); 
  • Gestão de Controle de Acessos; 
  • Critérios Definidos para Senhas; 
  • Gestão de incidentes; 
  • Gestão de não conformidades e ações corretivas; 
  • Controle de registro e instalação de Softwares; 
  • Due Diligence de LGPD de fornecedores. 

PRINCÍPIOS 

A informação é um ativo que possui grande valor para a SOOW SIGMA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. 

A adoção de políticas e procedimentos que visem garantir a segurança da informação deve ser prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da organização. 

A direção da SOOW SIGMA, estabelece os seguintes objetivos como base, ponto de partida e apoio aos objetivos e princípios de segurança da informação: 

  • Garantir que todos os incidentes de segurança sejam registrados e tratados pela equipe de SOC; 
  • Assegurar que todos os colaboradores participem de treinamento e reciclagem a cada 6 meses; 
  • Determinar e tratar todos os riscos através do CSA – Cyber Security Assessment – Executado anualmente
  • Garantir o direito de remoção dos seus dados pelos seus clientes; 
  • Responsável por cumprir suas obrigações e garantir todos os direitos dos titulares dos dados, previstos na Lei Geral de Proteção de Dados Pessoais (LGPD) e refletidos na Política de Privacidade e Proteção de Dados Pessoais da Soow Sigma; 
  • A Soow Sigma adota a accountability como um de seus princípios fundamentais. Isso significa que a empresa se compromete a demonstrar sua responsabilidade no tratamento de dados pessoais, implementando medidas eficazes para garantir a proteção da privacidade e a segurança da informação. 

COMPROMISSO 

A alta direção, ao elaborar e implementar este Sistema de Gestão de Segurança da Informação, assume os seguintes compromissos: 

  • Desenvolver produtos e serviços em conformidade com os requisitos legais, identificando a legislação pertinente às áreas de atuação da organização, incorporando-a ao escopo do Sistema de Gestão de Segurança da Informação. 
  • Estabelecer e garantir o cumprimento de requisitos contratuais com as partes interessadas. 
  • Implementar medidas para a prevenção e detecção de vírus e outros softwares maliciosos, por meio da criação de políticas específicas e da formalização de acordos com organizações especializadas. 
  • Gerenciar a continuidade dos negócios, elaborando planos de continuidade com base em metodologias reconhecidas internacionalmente. 
  • Definir as consequências para violações da política de segurança, as quais serão refletidas nos contratos com partes interessadas, fornecedores e subcontratados. 
  • Atuar com a máxima ética profissional em todas as circunstâncias. 
  • Promover a Due Diligence em relação à LGPD com parceiros e fornecedores. 
  • Incentivar a cultura de privacidade e proteção de dados pessoais em todas as esferas da organização. 
  • Monitorar a conformidade das atividades da empresa com esta Política, com a LGPD e com as normas correlatas à Segurança da Informação. 
  • Orientar e treinar os colaboradores sobre suas responsabilidades e os meios apropriados para o uso seguro de equipamentos, dados e informações, por meio de programas de capacitação e orientações documentadas. 

COMPROMETIMENTOS DA ORGANIZAÇÃO

A alta direção da SOOW SIGMA declara seu compromisso em:
Proteger a informação e os ativos associados, assegurando a confidencialidade, integridade e disponibilidade deles;
A organização compromete-se a identificar e cumprir todos os requisitos legais regulatórios, contratuais e outros requisitos aplicáveis à segurança da informação;
Satisfazer os requisitos aplicáveis relacionados à segurança da informação, incluindo:
– o Requisitos legais e regulatórios (ex.: LGPD, GDPR, leis setoriais);
– o Requisitos contratuais com clientes, fornecedores e parceiros;
– o Requisitos internos e de partes interessadas relevantes;
A organização compromete-se a promover a melhoria contínua do Sistema de Gestão da Segurança da Informação (SGSI), visando o aumento constante da sua eficácia, adequação e alinhamento com as necessidades estratégicas da organização;
Estabelecer e revisar periodicamente objetivos de segurança da informação, assegurando que estejam alinhados à estratégia corporativa e aos riscos identificados;
Garantir a conscientização e o treinamento contínuo de todos os colaboradores sobre suas responsabilidades no tratamento da informação.

RESPONSABILIDADE 

O Comitê de Segurança e Privacidade da Soow Sigma é responsável: 

  1. Pela implementação e monitoramento desta Política; 
  2. Pela elaboração de treinamentos e normas internas complementares; 
  3. Pela investigação de ameaças ou incidentes; 
  4. Pela implementação do Plano de Contingência; 
  5. Pelo apoio à alta direção no planejamento dos investimentos e estratégias pertinentes à Segurança da Informação. 

AMEAÇAS E INCIDENTES 

Eventuais ameaças à segurança da informação ou incidentes devem ser imediatamente comunicadas ao Comitê de Segurança e Privacidade da Soow Sigma, via e-mail dpo@soow.com.br. O mesmo canal está disponível para dúvidas, solicitações, reclamações ou sugestões sobre Segurança da Informação, Privacidade e Proteção de Dados Pessoais. 

ATUALIZAÇÃO 

Esta Política de Segurança da Informação será revisada periodicamente para garantir sua adequação e será disponibilizada publicamente, no site institucional da empresa, para garantir que todas as partes interessadas tenham acesso às suas diretrizes 

Baixar PDF