Política de Segurança da Informação

I - Objetivos

O objetivo da Política de Segurança da Informação (PSI) é fornecer diretrizes para proteger as informações, o fluxo de informações e serviços fornecidos aos clientes, bem como os dados e serviços de TI que garantem as operações da empresa. Além disso, a PSI deve considerar a propriedade intelectual da empresa, como códigos-fonte, informações e privacidade dos funcionários e dados dos clientes.

A proteção de dados deve levar em consideração as leis e regulamentos relativos aos dados da empresa e clientes e dos serviços prestados. Isso também se aplica a dados de clientes submetidos a normas específicas para o setor do cliente (ex.: Instituições Financeiras). Entre essas normas e leis citamos:

  • Marco Civil.
  • Lei Geral de Proteção de Dados (LGPD).
  • B3 (PQO) - para clientes do mercado financeiro.
  • RESOLUÇÃO Nº 4.658 do Banco Central - para clientes do mercado financeiro.

II - Escopo

Esta política se aplica a todos os usuários da informação da WINCO SISTEMAS, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a WINCO SISTEMAS, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da WINCO SISTEMAS e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura WINCO SISTEMAS.

III - Papéis e Responsabilidades

III-1 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI

É um Grupo de Trabalho multidisciplinar permanente, efetivado pela diretoria da WINCO SISTEMAS, que tem por finalidade tratar questões ligadas à Segurança da Informação. É responsabilidade do CGSI:

  • Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
  • Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
  • Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PGSI;
  • Promover a divulgação da PGSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da WINCO SISTEMAS.

III-2 GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO

É responsabilidade da Gerência de Segurança da Informação:

  • Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CGSI;
  • Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PGSI;
  • Identificar e avaliar as principais ameaças à segurança da informação,bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
  • Realizar a gestão dos incidentes de segurança da informação, garantindo o seu adequado tratamento.

III-3 USUÁRIOS DA INFORMAÇÃO

São usuários da informação os empregados com vínculo empregatício de qualquer área da WINCO SISTEMAS ou terceiros alocados na prestação de serviços à WINCO SISTEMAS, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da WINCO SISTEMAS para o desempenho de suas atividades profissionais.

É responsabilidade dos Usuários da Informação:

  • Ler, compreender e cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;
  • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos a Gerência de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação;
  • Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da WINCO SISTEMAS;
  • Assinar o Termo de Uso de Sistemas de Informação da WINCO SISTEMAS, formalizando a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
  • Assinar o Termo de Confidencialidade ou NDA (Non Disclosure Agreement) pelo qual se compromete a não divulgar informações que não sejam públicas e zelar pela confidencialidade das mesmas.

III-4 GESTOR DA INFORMAÇÃO

Gestor da Informação é um usuário da informação que ocupe cargo específico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

É responsabilidade dos colaboradores apontados como Gestor da Informação:

  • Definir a classificação das informações sob sua responsabilidade com base nas categorias de classificação definidos pela PSI, mantendo um registro atualizado dos itens classificados;
  • Controlar as informações geradas em sua área de negócio e atuação;
  • Revisar periodicamente a classificação das informações sob sua guarda.

IV - Classificação da Informação

Para efeitos de classificação da informação, definimos as seguintes categorias:

  • INFORMAÇÃO PÚBLICA: Informação oficialmente liberada pela WINCO SISTEMAS para o público geral. A divulgação deste tipo de informação não causa problemas a WINCO SISTEMAS ou a seus clientes, podendo ser compartilhada livremente com o público geral, desde que seja mantida sua integridade.
  • INFORMAÇÃO DE USO INTERNO: Informação liberada exclusivamente para usuários e departamentos específicos da WINCO SISTEMAS, não podendo ser compartilhada com o público em geral. Estas informações só podem ser compartilhadas mediante autorização expressa.
  • INFORMAÇÃO CONFIDENCIAL: Informação de caráter sigiloso, podendo ser comunicada exclusivamente a usuários especificamente autorizados e que necessitem conhecê-las para o desempenho de suas tarefas profissionais na WINCO SISTEMAS. A divulgação ou alteração não autorizada desse tipo de informação pode causar graves danos e prejuízos para a WINCO SISTEMAS e/ou seus clientes, portanto seu compartilhamento deve ser restrito e feito de maneira controlada.

A classificação da informação deverá ser realizada pelos gestores da informação ou colaboradores designados por estes.

Os procedimentos para rotulagem, manuseio e descarte das informações será definido em documento em anexo.

V - Prevenção de Incidentes de Segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da WINCO SISTEMAS LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

A política de prevenção de incidentes engloba:

  • Controle de acesso aos dados e sistemas de informação;
  • Proteção contra ataques cibernéticos;
  • Backups de dados.

Controle de Acesso

A WINCO SISTEMAS fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa. O acesso a ativos/serviços de informação é fornecido a critério da WINCO SISTEMAS, que define permissões baseadas nas necessidades laborais dos usuários.

As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais e o acesso às mesmas deverá ser autenticado com senhas ou certificados digitais usadas em conjunto ou separadamente.

Proteção contra Ataques Cibernéticos

A proteção contra ataques cibernéticos inclui mas não se limita a:

  • Uso de antivírus nos servidores e estações de trabalho;
  • Uso de firewall;
  • Segmentação das redes, inclusive as hospedadas na nuvem;
  • Atualização de segurança dos sistemas operacionais e aplicativos;
  • Testes periódicos de vulnerabilidade.

Backup de Dados

O backup dos dados é feito diariamente. Alguns dados podem ter backups incrementais em intervalos menores, como é o caso dos dados do Winco Talk Manager, cujos backups são feitos de 2 em 2 horas.

VI - Resposta a incidentes

No caso de algum incidente, a WINCO SISTEMAS acionará o Plano de Respostas a Incidentes. Esse plano deverá contemplar:

  • Definição da ação imediata para interromper ou minimizar o incidente;
  • Investigação do Incidente - levantar a origem e as causas;
  • Restauração dos recursos afetados;
  • Remoção das possíveis falhas que permitiram a ocorrência do incidente;
  • Comunicação do incidente aos canais apropriados.

VII - Treinamento sobre Confidencialidade e Proteção de Dados

Todos os colaboradores da WINCO SISTEMAS serão submetidos a treinamento em relação a confidencialidade e proteção de dados.

Os seguintes assuntos serão abordados:

  • Importância da Confidencialidade dos dados da empresa, dos clientes e dos colaboradores da empresa;
  • Uso adequado de senhas;
  • Melhores práticas de segurança onde serão alertados contra:
    • Phishing;
    • Engenharia Social;
    • Ferramentas de segurança como antivírus.

Além do treinamento, todos os colaboradores têm de assinar um Termo de Confidencialidade/NDA (Non Disclosure Agreement) que explicita as informações sigilosas bem como o compromisso de manter a confidencialidade dos mesmos.





Atenciosamente,
Equipe Winco

Winco Sistemas | Copyright © - Todos os direitos reservados

+55 11 4063-8400  |  +55 31 4063-8512  |  +55 48 4052-9174

Rua Amazonas, 669 - salas 31/35/36/37  |  Centro - São Caetano do Sul - SP

Top