Política de Segurança da Informação
Versão 1.0.0 - Junho/2021
A Política de Segurança da Informação é uma declaração formal sobre nosso comprometimento com a proteção dos dados e informações de nossa propriedade e/ou sob nossa guarda, devendo ser cumprida e respeitada por todos os nossos clientes e colaboradores. O Mercado de Negócios, que lida com dados sensíveis de clientes, tem como objetivo a implantação da Política de Segurança da Informação para garantir a segurança dos dados das quais são de sua responsabilidade, que as informações provenientes de fontes externas (fornecedores e clientes) que trafegam pelo sistema desenvolvido e fornecido pelo Mercado de Negócios, estejam protegidas, evitando qualquer intercepção, fraude ou perda. Além de prover a conscientização interna, para que as normas sejam seguidas por todos seus membros, garantindo a confidencialidade, integridade e disponibilidade das informações, não somente de clientes e fornecedores, porém dos próprios colaboradores da companhia.
● ABNT ISO GUIA 73:2009 – Gestão de riscos – Vocabulário – Definições de termos genéricos relativos à gestão de riscos.
● ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos.
● ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação.
● Marco Civil da Internet (Lei no 12.965/2014) – Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
● Lei Geral de Proteção de Dados Pessoais (Lei no 13.709/2019) – Dispõe sobre o tratamento de dados pessoais.
3.1. Ativos de Informação
Conforme definição da norma ABNT NBR ISO/IEC 27002:2013, “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. […] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.” Assim, para efeitos desta Política de Segurança da Informação, são considerados os seguintes Ativos de Informação:
● Recursos de Tecnologia da Informação;
● Dados de sistemas providos pelo Mercado de Negócios
● Processos internos da Mercado de Negócios;
3.2. Princípios da Segurança da Informação
Princípios Básicos
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação não estará disponível ou divulgado a indivíduos, entidades ou aplicativos sem autorização.
Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.
3.3. Incidentes de Segurança da Informação
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de RTIs levando a perda de um dos princípios da Segurança da Informação, mencionados anteriormente. São exemplos de incidentes de segurança:
● Tentativas de ganhar acesso não autorizado a sistemas ou dados lógicos ou físicos;
● Indisponibilidade de informações e dados para a execução de rotinas e processos;
● Ataques de negação de serviço;
● Exploração de vulnerabilidades de protocolos;
● Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio de um gestor;
● Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.
3.4. Sistema de Gestão da Segurança da Informação
O Sistema de Gestão da Segurança da Informação (SGSI) deverá fazer parte do sistema de gestão global do Mercado de Negócios, baseado em uma aproximação de risco empresarial, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação.
a. Estrutura
A estrutura apresentada pela ISO 27.001 para um sistema de gestão da segurança da informação, leva em consideração o contexto em que a organização está situada, bem como as expectativas e requisitos passados pela Liderança e pela equipe de apoio que irá participar da execução do sistema. O ciclo da segurança da informação inicia em seu planejamento, passa por sua operação, avaliação do desempenho do sistema e por fim sua melhoria contínua. Desta forma, liderança e apoio retornam a segurança da informação gerenciada.
Este ciclo de planejamento, operação, avaliação de desempenho e melhoria, que se repete ao longo do tempo, junto com a liderança e o apoio é a garantia da efetividade para a segurança da informação do Mercado de Negócios. O Sistema de Gestão para a Segurança da Informação abrange as esferas da Tecnologia (controles de segurança em ativos tecnológicos e o uso seguro da tecnologia), Processos, Ambientes e Pessoas (conscientização de pessoas no tratamento e uso seguro das informações).
b. Detalhamento
A Norma ABNT NBR ISO/IEC 27.002 Código de Práticas para Controles de Segurança da Informação fornece diretrizes de práticas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes e os riscos da segurança da informação da organização.
3.5. Controle de Acessos
O Mercado de Negócios deve controlar o acesso físico e lógico, às suas dependências e aos seus RTIs. Para isso, ela deve garantir que cada
colaborador possua uma credencial de uso pessoal, intransferível e de conhecimento exclusivo. Os acessos físicos aos ambientes controlados e lógicos às informações e recursos computacionais devem ser autorizados pelos gestores ou diretoria.
3.6. Análise dos Recursos de Tecnologia da Informação (RTIs)
O Mercado de Negócios deve analisar, periodicamente, seus processos e RTIs, assegurando que estes estejam documentados e com seus gestores identificados e cientes, assim como suas vulnerabilidades e ameaças de segurança identificadas.
3.7. Tratamento de Incidentes de Segurança da Informação
Deve ser feito um acompanhamento e a análise da vulnerabilidade dos incidentes de Segurança da Informação mencionados nesta política.
3.8. Continuidade do Negócio e Contingência dos RTIs
Para mitigar os riscos de interrupção causados por incidentes de segurança e manter os níveis de serviços de TI adequados no Mercado de Negócios, são elaboradas ações de prevenção e recuperação, sempre alinhando a Política de Segurança da Informação com as Normas de Continuidade do Negócio.
3.9. Conformidade
Este documento deve passar por um programa de revisão e atualização periódico, para garantir que todos os pontos aqui mencionados estejam implementados e sendo cumpridos dentro da empresa. Auditoria Interna incluirá em seu planejamento de trabalho anual as revisões dos controles internos descritos na Política de Segurança da Informação.
4.1. Divulgação da Política
O Mercado de Negócios deve garantir que esta política e suas normas complementares sejam divulgadas aos clientes e membros da empresa.
Deve ser esclarecido que é responsabilidade de cada cliente e colaborador a consulta esporádica e voluntária para identificar possíveis atualizações dos documentos.
4.2. Autorização de uso
Esta política e suas normas complementares devem ser interpretadas de forma restritiva, dentro do princípio de aplicação do menor privilégio possível, no qual os usuários e clientes têm acesso somente aos recursos de informação necessários para o pleno desempenho de suas atividades.
Tudo que não estiver expressamente permitido só poderá ser realizado após prévia autorização, devendo ser levado em consideração a análise de risco e a necessidade da solicitação.
4.3 Incidentes de Segurança da Informação
a. Comunicação de Incidentes:
O Mercado de Negócios sempre comunicará o cliente na ocasião da detecção de algum incidente de Segurança da Informação, sendo tal comunicação feita por meio do sistema de gestão de tickets da Mercado de Negócios, e encaminhado ao e-mail do cliente cadastrado junto ao Mercado de Negócios.
Quando o cliente detectar qualquer problema que possa evidenciar um incidente de segurança da informação o mesmo deverá comunicar ao Mercado de Negócios imediatamente, preferencialmente por meio do e-mail security@mercadodenegocios.com.
b. Tentativa de violação:
Qualquer tentativa de violação às diretrizes e controles estabelecidos pela Mercado de Negócios, quando constatada, deve ser tratada como um incidente de segurança.
4.4. Manuseio das informações
a. Informações contidas nos sistemas do Mercado de Negócios.
As informações armazenadas nos sistemas oferecidos pelo Mercado de Negócios são de uso exclusivo do cliente contratante, sendo explicitamente vedado ao Mercado de Negócios qualquer tipo de compartilhamento e/ou divulgação sem a prévia autorização por escrito do cliente.
Qualquer tentativa de decodificação e/ou engenharia reversa pelos clientes para obtenção de informações é considerado uma violação da presente política, sendo cabíveis sanções administrativas e judiciais.
b. Tratamento de dados pessoais
Observada a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13709/2019), o Mercado de Negócios enquadra-se como Operador da informação, realizando o processamento das informações em nome do cliente (Controlador). Sendo assim, o Mercado de Negócios não realiza qualquer processamento das informações que não sejam exclusivamente para uso do cliente contratante.
4.5. Gestão da informação
A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada. A gestão da informação deve ser assegurada por meio de medidas que proporcionem acesso e divulgação devidamente autorizados e de acordo com a legislação vigente.
4.6. Controle de Acesso
O Mercado de Negócios deve controlar o acesso aos seus sistemas. Desse modo, a empresa deve garantir que cada colaborador e cliente possua uma credencial de uso individual, intransferível, de conhecimento exclusivo e qualificando-o como responsável pelas ações realizadas.
a. Credenciais de acesso
As credenciais de acesso aos sistemas (usuário e senha) devem ser de uso pessoal, sendo vedado a clientes e colaboradores o compartilhamento de credenciais de uso do sistema, sob qualquer hipótese.
b. Gestão de senhas
O Mercado de Negócios recomenda que sejam adotadas senhas de alta complexidade, que devem ter um cumprimento de no mínimo oito dígitos, sendo formada por no mínimo três classes de caracteres diferentes.
4.7. Termos/Contratos
O contrato com os colaboradores, funcionários, estagiários e prestadores de serviços deve respeitar os termos e condições desta Política de Segurança da Informação. Junto ao contrato, um Termo de Confidencialidade, Responsabilidade e Sigilo deverá ser acordado, relacionado com o escopo de sua contratação e também sanções administrativas ou pecuniárias em caso de sua violação. O Mercado de Negócios deve prover auditorias periódicas que visam certificar o cumprimento dos requisitos de segurança e as responsabilidades previamente estabelecidas.
4.8. Violação
As ocorrências que podem ser consideradas violações desta Política de Segurança da Informação devem ser avaliadas pela área de Segurança da Informação do Mercado de Negócios. Se caso constatado como um incidente, deve ser encaminhado para um Comitê de decisão para avaliar as medidas a serem tomadas.
4.9. Fale Conosco
Se após a leitura desta Política de Segurança da Informação, você ainda tiver qualquer dúvida, ou por qualquer razão precisar se comunicar conosco para assuntos relacionados, você pode entrar em contato pelo e-mail abaixo:
Encarregado (DPO): E-mail: dpo@mercadodenegocios.com
