POLÍTICA DA SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO: buscando prover a segurança da informação e o manuseio adequado de dados em sentido amplo, durante todo seu ciclo de vida (by design), ou seja, desde a coleta até sua eliminação e/ou devolução ao proprietário e, ainda, visando se adequar à Lei Geral de Proteção de Dados (13.709/18) e demais Normas do Setor que a INFORMO está inserida, apresentamos a Política de Segurança da Informação - PSI para conhecimento e observação por todos os Colaboradores e Parceiros que tratam dados em geral em nome ou a ordem da Empresa.

2. APLICABILIDADE: o presente documento se aplica à Alta Direção, aos Gestores de todos os níveis, a todos os Colaboradores, bem como a toda e qualquer pessoa, física ou jurídica, que esteja a serviço da Empresa e que manuseie seus ativos de informação.

Nesse sentido, DEVEM todas as pessoas acima elencadas ter pleno e total conhecimento do seu teor e manter-se atualizado sobre seus termos e posteriores modificações.

3. FILOSOFIA: a Política de Segurança da Informação é o documento interno da Empresa que busca ORIENTAR e estabelecer diretrizes sobre a forma como os Ativos de Informação devem ser protegidos e sobre a responsabilidade dos nossos Colaboradores e Parceiros.

Pontuamos ainda que esta PSI está lastreada nas normatizações vigentes, tais como a Lei Geral de Proteção de Dados (13.709/18); Lei do Software (9.609/98); o Marco Civil (12.965/14) e outras Normatizações e Orientações atinentes ao nosso Setor, como por exemplo, a ISO 27001.

4. GLOSSÁRIO:

• Ameaça: toda situação, física e não física, que pode gerar riscos e, posteriormente, causar um Incidente de segurança da informação se não for devidamente tratada ou reduzida a nível aceitável.


• ANPD: Autoridade Nacional de Proteção de Dados Pessoais.


• Ativos de Informação: é todo elemento, físico (computadores, tablets, laptops, smartphones, informação num papel...) ou virtual (softwares, hardware, programas, informações digitalizadas...), que faça parte do Inventário, Rede ou Sistema da Empresa e traga valor ao negócio, cuja quebra ou violação possa afetar a CID.


• Base Legal: fundamento que autoriza o Controlador e, consequentemente, o Operador a tratar dados pessoais de Titulares (art. 7° e 11 da LGPD).


• Backup: é a cópia de um banco de dados em sentido amplo, ou seja, um conjunto estruturado de armazenamento de dados – físico ou digital.


• Ciclo de Vida: é tudo que ocorre com o dado pessoal desde sua entrada na Empresa até sua saída em definitivo.


• CID: abreviação de Confidencialidade, Integridade e Disponibilidade da Informação.


• Cliente: pessoa jurídica contratante de nossos serviços e/ou produtos, que pode estar ou não vinculada a nossa Empresa por um contrato formal. Nosso foco é, exclusivamente, "B2B", logo, não fornecemos produtos e serviços a pessoas físicas.


• Colaborador: todo aquele que, em sentido amplo, se relaciona com a nossa Empresa (Alta Direção, Gestores, Empregados, Terceiros, Parceiros, Prestadores de Serviços e afins), interna ou externamente, por meio de um contrato de trabalho, prestação de serviços, parceria comercial ou afins e que não se enquadra na condição de Cliente.


• Colaborador Empregado: toda pessoa física que possui vínculo jurídico formal celetista de emprego com a nossa Empresa.


• Controlador: pessoa natural ou jurídica, de direito público ou privado, que determina como os dados pessoais dos Titulares devem ser tratados em conformidade com a LGPD (art. 5°, VI) e Normas do Setor.


• Criptografia: forma de resguardar a confidencialidade da Informação por dificultar a leitura de seu teor por pessoas não autorizadas. Pode ser simétrica ou assimétrica.


• Dado em Sentido Amplo: é toda e qualquer informação recebida por nossa Empresa, pessoal e não pessoal, cuja guarda nos foi confiada.


• Dado Pessoal: qualquer informação relacionada a pessoa natural que possa identificá-la ou torná-la identificável, tais como: nome, RG, CPF, endereço e e-mail (art. 5°, I, da LGPD).


• Dado Pessoal Sensível: qualquer informação relacionada a pessoa natural que disponha sobre sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, ou que, de qualquer forma possa gerar uma discriminação indesejada (art. 5°, II, da LGPD).


• Empresa: INFORMO TECNOLOGIA LTDA.


• Encarregado de Dados Pessoais ou DPO: pessoa, física ou jurídica, designada pela Empresa para auxiliar, precipuamente, no tratamento de dados pessoais perante os Titulares e a Autoridade Nacional de Proteção de Dados - ANP (art. 5°, VIII, da LGPD).


• Firewall: dispositivo utilizado nas Redes para controlar acessos internos e externos e minimizar riscos indesejados.


• Incidente de Segurança: é a materialização da ameaça.


• Informação: todo dado em sentido amplo ou conjunto de dado em sentido amplo, pessoal ou não, que tem valor de ativo para a Empresa ou que, por força de Lei, contrato ou algum documento válido, demande ser devidamente protegido.


• LGPD: abreviação de Lei Geral de Proteção de Dados (13.709/18).


• Log: termo técnico para registrar transações quando determinados programas e softwares são utilizados.


• Malwares: são softwares mal-intencionados que podem gerar prejuízos à CID + sua Autenticidade.


• Mídias Removíveis: CD(s), Pen Drives e afins.


• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador e a ordem deste, desde que seja emitida nos termos da Lei (art. 5°, VII, da LGPD).


• PDCA: (Plan, Do, Check and Act) - planeje, faça, verifique e aja.


• PSI: abreviação de Política de Segurança da Informação.


• Phishing: forma de fraude na Internet que busca fazer a vítima realizar uma transação não autorizada.


• SI: abreviação de Segurança da Informação


• Software e Programas: são os meios tecnológicos que possibilitam a interação dos Colaboradores com o sistema da Empresa, internos e externos, e a gestão no dia a dia.


• TI: abreviação de Tecnologia da Informação.


• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento por Controladores e/ou Operadores (art. 5°, V, da LGPD).


• Tratamento: toda operação realizada com dados em sentido amplo, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5°, X, da LGPD).


• Usuários: todo aquele que, de alguma forma, se relaciona com a nossa Empresa


• VPN: virtual private network - forma de acessar remotamente a rede da Empresa de modo seguro.

5. OBJETIVOS: esta Política de Segurança da Informação tem por objetivos principais:

• Orientar e estabelecer REGRAS e DIRETRIZES claras para a Empresa e seus Colaboradores/Parceiros quanto à forma que os ativos de informação devem ser tratados e protegidos em ambientes corporativos.


• Demonstrar o posicionamento INEQUÍVOCO da Empresa em buscar proteger seus ativos de informação, bem como os dados em sentido amplo que estejam sob nossa guarda, tanto na condição de proprietária, como de Controladora ou de Operadora.


• Deixar CLARO que o aqui disposto DEVE ser seguido por todos os Colaboradores/Parceiros, no que lhes for aplicável; e, no que for pertinente, pelos demais Usuários, em prol da máxima segurança dos ativos da informação da Empresa, mormente, se envolverem tratamento de dados confidenciais, pessoais e/ou pessoais sensíveis de Clientes e/ou Titulares, ou puderem prejudicar o desenvolvimento sustentável da própria INFORMO.


• Estabelecer PROCEDIMENTOS específicos de segurança da informação que DEVERÃO ser implementados pela Empresa; seguidos pelos Colaboradores/Parceiros e, no que for pertinente, pelos Usuários para se obter melhores controles e gestão de PROCESSOS, PESSOAS e TECNOLOGIA, em prol da CID e da Autenticidade das informações.


• Buscar preservar, CONTINUAMENTE, a CID + a Autenticidade da informação, ou seja, a:

1. Confidencialidade: garantia de que somente as pessoas certas e devidamente autorizadas tenham acesso a determinados tipos de Informação - limitação de acesso e conteúdo a quem realmente precisa, segregação de funções, criptografia e afins;


2. Integridade: garantia de que a informação seja fidedigna e não sofra nenhum tipo de transmissão e/ou alteração indevida, acidental ou dolosa, de conteúdo - por exemplo, através de logs, monitoramento e auditoria;


3. Disponibilidade: garantia de que a informação esteja disponível quando for necessário para não inviabilizar a continuidade do negócio - Redundância, Planos de Continuidade e de Recuperação, Backup e Restore;


4. Autenticidade: garantia de que a identidade de quem está encaminhando ou acessando a Informação está correta

6. RELEVÂNCIA DA SEGURANÇA DA INFORMAÇÃO E DOS ATIVOS: a informação e seus ativos são elementos extremamente importantes para nossa Empresa e, logicamente, para a boa e adequada manutenção do relacionamento com os Clientes, Colaboradores, Parceiros e Usuários. Nesse sentido, deve ser devidamente protegida por todos aqueles mencionados no Item 2 contra ameaças e riscos durante todo o seu ciclo de vida, para a boa manutenção da CID e de sua Autenticidade, principalmente para resguardar dados confidenciais, relevantes e/ou pessoais de seus, respectivamente, Proprietários e Titulares.

Nesse diapasão, DEVEM os nossos Colaboradores/Parceiros agir, continuamente, de forma consciente, responsável, proativa, ética e segura, para minimizar ameaças e riscos de violação à Confidencialidade, Integridade, Disponibilidade e à Autenticidade dos ativos de informação em sentido amplo e daqueles que foram confiados à INFORMO.

Dito de outra maneira, para assegurar a CID + sua Autenticidade, os ativos de informação devem ser utilizados de forma ADEQUADA e SUSTENTÁVEL por todos aqueles mencionados no Item 2 desde a coleta/recebimento até sua eliminação/devolução ao Titular, Controlador e/ou Proprietário.

7. COMITÊ E REVISÃO: a Empresa criará um Comitê Multidisciplinar que ficará responsável por gerir esta PSI e revisá-la, ao menos, uma vez ao ano. Ocorrendo fato relevante, esta PSI DEVE ser revista e atualizada em período inferior ao acima dito para manter-se fiel ao seu propósito. Tal nomeação se dará por ata.

O Comitê Multidisciplinar DEVERÁ fazer com que esta PSI seja conhecida e cumprida por todos aqueles mencionados no Item 2, possibilitando que estes tenham acesso facilitado e conhecimento amplo desta PSI e de suas posteriores atualizações, para que possam observá-la em seu dia a dia em prol de todos.

Por fim, caberá ainda a este Comitê Multidisciplinar:

• analisar a necessidade de novos investimentos para garantir a manutenção de Ativos de Segurança frente a natural evolução tecnológica e provisioná-los;


• avaliar e estabelecer responsabilidades decorrentes da violação a esta PSI com observância à dosimetria das penas e a intenção do Infrator.

8. DIRETRIZES: sem prejuízos de outras, são elas:

8.1. AMPLA DIVULGAÇÃO E REVISÃO PERIÓDICA: esta PSI e suas atualizações devem ser divulgadas a todos os Colaboradores/Parceiros de forma inequívoca para que tomem amplo conhecimento, sigam o seu conteúdo e para que possam auxiliar o Comitê Multidisciplinar a melhorá-la continuamente. Ademais, deve ser revisada, ao menos, uma vez ao ano ou quando houver fato relevante que justifique uma menor periodicidade.

8.2. CIÊNCIA DE MONITORAMENTOS E GRAVAÇÕES: esta PSI deixa claro aos Colaboradores/Parceiros que os ambientes, sistemas, computadores, smartphones, e-mails, equipamentos, redes e demais Ativos da Empresa ou que estejam sendo utilizados para a prestação dos objetos sociais da INFORMO podem ser monitorados e, sendo o caso, gravados/registrados, mediante aviso prévio, Termos ou através de ajustes contratuais que versem sobre estes pontos especificamente, e, claro, desde que tais atos sejam realizados em conformidade com a Legislação vigente. Lembramos que a Empresa concede ativos em sentido amplo a seus Colaboradores/Parceiros para que estes os utilizem de forma ética e responsável à finalidade que lhes foi previamente esclarecida.

8.3. PROPRIEDADE DAS INFORMAÇÕES: toda Informação recebida pelos Colaboradores/Parceiros ou oriundas da atividade para a qual foram contratados é de propriedade da Empresa, salvo se houver Lei ou cláusula contratual expressa em sentido contrário ou se a Informação for oriunda de Cliente cuja guarda ou backup foi, meramente, confiada à Empresa.

8.4. CONFIDENCIALIDADE: o nível de confidencialidade da Informação deve ser objeto de cláusula contratual ou documento específico junto aos Clientes e Colaboradores/Parceiros, como condição indispensável para que o nível de acesso aos Ativos da Empresa possa ser outorgado de forma apropriada - só se deve dar acesso àquilo que o Colaboradores/Parceiros efetivamente precisa conhecer e tem o direito de saber à mercê da Legislação existente e dos bons costumes, principalmente em razão do disposto na LGPD.

8.5. COMUNICABILIDADE: esta PSI deverá ser comunicada a todos os Colaboradores/Parceiros no momento de sua contratação e/ou logo após sofrer qualquer atualização para que fiquem CIENTES de suas obrigações e responsabilidades, do modo como devem agir em relação aos ativos da Empresa e dos Clientes. Tal comunicabilidade deve ser registrada pela Empresa mediante documento hábil e ser objeto de treinamentos específicos e periódicos. Esta diretriz também impõe a todos aqueles mencionados no Item 2 a obrigação de comunicar,IMEDIATAMENTE, toda e qualquer ameaça ou incidente de informação que tenha conhecimento para que eventual dano não seja maximizado e as medidas contraceptivas possam ser tomadas o quanto antes.

Toda ameaça e/ou incidente à informação ou a ativos deve ser levado ao Comitê Multidisciplinar para análise, sugestão de solução e para aprimoramentos futuros que busquem evitar a ocorrência de situações análogas.

Ressalva-se ainda que, à mercê desta DIRETRIZ, o Gestor do setor e a Alta Direção devem ser previamente informados sobre o fim do prazo de retenção de ativos da informação para verificarem, antes de sua devolução e/ou eliminação, se o ato está em conformidade com esta PSI, a Legislação vigente, as Normas do setor ou com eventual contrato/obrigação existente. Ademais, quando tal ato envolver dados pessoais, antes da sua devolução ou exclusão, deve haver consulta formal ao DPO para saber sua opinião em face da LGPD.

8.6. IMPLANTAÇÃO DE NOVAS TECNOLOGIAS SENTIDO AMPLO: todo novo sistema ou projeto que vier a ser implementado pela Empresa ou por esta em seus Clientes para aprimoramento da garantia da CID + a Autenticidade da Informação e/ou da prestação de um melhor serviço DEVE ser previamente testado e validado por empresa idônea ou pelo setor de TI. A ausência da realização desta exigência deve ser justificada previamente a sua realização. A validação deve ser documentada e/ou registrada, nos moldes definidos pela INFORMO.

Se tal aprimoramento envolver dados pessoais ou pessoais sensíveis, a Empresa REALIZARÁ, previamente e ser for o caso, a implementação da nova tecnologia, nos moldes da LGPD ou de solicitação da ANPD, a elaboração de RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS para verificar se o meio proposto está em nível aceitável e se está adequado para a situação em concreto.

8.7. IMPLANTAÇÃO DE CONTROLES E REGISTROS: a Empresa deverá criar e possuir controles, auditáveis, de SI em nível adequado à Informação que detêm. Além disso, deve possuir condições de REGISTRAR todo o ocorrido com as Informações que possuir ou estiver custodiando desde a coleta/recebimento até a sua eliminação/devolução (by design), principalmente se envolverem dados pessoais ou pessoais sensíveis. O Titular tem o direito de saber sobre os seus dados pessoais de maneira simplificada, clara e objetiva (arts. 17 a 22 da LGPD), quando a Empresa for a Controladora, quando for Operador a solicitação deve ser encaminhada à Controladora.

Visando reforçar ainda mais esta DIRETRIZ, um Plano De Contingência e um outro de Continuidade De Sistemas e Serviços mais relevantes deverão ser elaborados e testados periodicamente (ao menos uma vez ao ano) pelo setor de TI, para o fim de reduzir riscos à CID + Autenticidade das informações em custódia.

Deverão ser elaborados controles apropriados para registrar as operações realizadas com os dados pessoais que sejam auditáveis e perante os demais dados em sentido amplo que a Empresa julgar relevante para minimizar ameaças e riscos de incidentes.

Por fim, o ambiente físico da Empresa deve ser periodicamente avaliado para verificar se está em conformidade com as melhores práticas de segurança da informação e em proporções adequadas para manutenção de sua sustentabilidade.

8.8. ANONIMIZAÇÃO (art. 5°, III e XI da LGPD) E PSEUDONIMIZAÇÃO: tais técnicas deverão ser utilizadas, sempre que possíveis, em relação a dados pessoais.

8.9. QUANTO A DADOS PESSOAIS: proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1° da LGPD); se atentar para os FUNDAMENTOS do art. 2° da LGPD (I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.); TRATA-LOS com BOA-FÉ e com observância dos princípios mencionados no art. 6° da LGPD; SOLICITAR somente o que for necessário (art. 6°, III da LGPD), informando previamente ao Titular a finalidade da coleta e as consequências de sua não aceitação; RESPEITAR os direitos dos Titulares em conformidade com os arts. 17 a 22 da LGPD; havendo dúvida sobre o tratamento de tais Informações, conversar previamente com o nosso DPO (dpo@informo.com.br). Não coletar Dados Pessoais sem que existe uma BASE LEGAL (art. 7°, da LGPD); NÃO COLETAR dados de CRIANÇAS e ADOLESCENTES, sem a prévia autorização da Alta Direção e sem que haja motivo legal que justifique (art. 14 da LGPD).

8.10. RESPONSABILIDADES: o não cumprimento do presente PSI sujeitará o Infrator a penalidades cíveis, penais, administrativas, trabalhistas e, afins, conforme será detalhado mais adiante. Além disso, poderá ocasionar a cessão do vínculo, de qualquer natureza, com a Empresa.

8.11. EVIDÊNCIA: todos os requisitos de segurança da informação, a forma como é feita o tratamento de Dados Pessoais e dos demais Dados em Sentido Amplo, os testes de Planos de Contingência e de Continuidade, devem ser registrados para haver evidências concretas de suas realizações.

9. VALOR DA INFORMAÇÃO: os Gestores de cada setor sob a orientação da Alta Direção devem estabelecer o nível de importância de toda Informação que estiver sob sua responsabilidade, com base nos seguintes parâmetros:

• CONFIDENCIAL: são informações, em regra, que: (i) RECEBEMOS de nossos Clientes ou coletamos de nossos Colaboradores/Parceiros cuja confidencialidade faça parte da relação contratual ou decorra de imposição legal; possuem NATUREZA CRÍTICA ao negócio ou à Filosofia da Empresa que, se violadas, podem gerar GRAVE DANO à nossa credibilidade junto ao mercado; (ii) ENVOLVAM Dados Pessoais e Pessoais Sensíveis cujo CICLO DE VIDA e MANUSEIO devem estar em conformidade com a LGPD e demais Normatizações vinculadas a este tipo de Ativo; (iii) se divulgadas PODEM OCASIONAR dano imensurável (administrativo, cível, criminal...) à IMAGEM e MARCA da Empresa ou aos nossos Clientes.


• INTERNA: são aquelas que pertencem à Empresa e que podem e/ou devem ser compartilhadas com todos os Colaboradores que atuem ou falem em nome da Empresa licitamente. Não devem ser divulgadas aos demais Usuários, salvo se algum deles for o proprietário da Informação e solicitar esclarecimentos de modo formal, para evitar riscos à Empresa e perda de confiança perante seus Clientes e Usuários. O acesso a tal Informação por pessoa não autorizada gera riscos de médio e pequeno valor à Empresa e pode levar a readequação de seu conteúdo, mormente se versar sobre procedimentos só devem ficar restritos aos Colaboradores Empregados e alguns poucos Externos.


• PÚBLICA: são de cunho meramente informativo e/ou promocional que podem ser externadas aos Usuários, para atender determinação Legislativa/Normativa ou por não ocasionar prejuízos à Empresa.


• SPAM: são Informações recebidas por mensagens indesejadas que também são popularmente conhecidas como lixo eletrônico que, não devem ser abertas, encaminhadas, reencaminhadas ou respondidas pelos nossos Colaboradores, pois podem trazer ameaças como PHISHING e MALWARES que, por sua vez, podem violar a CID + sua Autenticidade e trazer prejuízos significativos à Empresa.

10. RESPONSABILIDADES: os ativos da informação da INFORMO - softwares, hardwares, programas, computadores, laptops, smartphones e afins - bem como nossos sistemas de comunicação, de segurança de ambientes e das Informações propriamente ditas são utilizados pelos Colaboradores/Parceiros para o exercício das atividades profissionais e dentro de limites pré-estabelecidos contidos em Orientações em apartado, como por exemplo: Política de Controle de HD e SW (P02) - onde consta por menores todos os requisitos a serem observados quanto a este tema.

O uso pessoal de recursos que a Empresa disponibiliza aos Colaboradores/Parceiros só é permitido, nos moldes aqui expostos ou em Termo próprio, e desde que não prejudique o desempenho do Usuário, dos Sistemas, Serviços e nem coloque em risco a CID + a sua Autenticidade das informações que estão conosco. Destarte, repita-se que, a Empresa poderá MONITORAR e REGISTRAR a forma como tais equipamentos e periféricos estão sendo utilizados, nos limites legais, para minimizar riscos de ameaças, de usos abusivos/indevidos ou de que estejam em desconformidade com esta PSI, afinal à SI é um direito e obrigação de todos os Colaboradores/Parceiros.

Informações da Empresa jamais devem ser copiadas (em qualquer modalidade) sem a devida autorização escrita da Alta Direção ou do Gestor do setor, principalmente de forem CONFIDENCIAIS. É TERMINANTEMENTE proibido copiar informações da Empresa em mídias ou backups particulares ou similares.

10.1. COLABORADORES E PARCEIROS: é de inteira responsabilidade de cada um destes ressarcir todo e qualquer prejuízo ou dano que der causa, culposa ou dolosamente, à Empresa, aos nossos Usuários e/ou aos Ativos que estiver na posse, em decorrência da inobservância desta PSI e demais normativas que gravitam em nosso Setor. Logo, devem estar conscientes que o nível de sigilo das informações e ativos que tiverem acesso deve ser preservado desde a fase da contração/pactuação e mesmo após o término do relacionamento. Além disso, só devem agir em conformidade as Orientações da INFORMO.

Por fim, devem estar CIENTES que finalizado o relacionamento com a Empresa, devem aqueles, IMEDIATAMENTE, devolver todos os equipamentos que estiverem INVENTARIADOS em seu nome ou em posse e que pertençam à Empresa, sem retenção de informação que legalmente tenha direito de fazer.

10.2. GESTORES EM GERAL: DEVEM: (i) ter postura exemplar em relação à Segurança da Informação e as Normas Corporativas servindo como exemplo para todos os Colaboradores/Parceiros; (ii) exigir que cada um de nossos Colaboradores/Parceiros e certos Usuários, desde a fase pré-contratual até a pós-contratual, conheçam nossa PSI e demais Normas Internas e se comprometam a segui-las antes mesmo de terem acesso a qualquer tipo de Ativo da Informação ou relacionamento comercial; (iii) limitar acessos para quem efetivamente precisa tê-los e nos limites do que necessitam para realizar o trabalho;(iv) registrar o compromisso de Colaboradores/Parceiros e certos Usuários em seguir o aqui exposto de forma INDELÉVEL e ÉTICA; (v)atualizar esta PSI em conformidade com as boas práticas e as mudanças sofridas em seu Setor de atuação.

10.3. PARCEIROS: DEVEM entender e seguir as Orientações da INFORMO, tratando os riscos associados à sua condição especial, principalmente se as informações que lhe forem confiadas para uma segunda guarda envolverem dados pessoais, pessoais sensíveis e/ou confidenciais, e, assim, cumprir rigorosamente a Legislação vigente para o setor e de proteção de dados. Devem ainda possuir Políticas e meios apropriados de resguardo da CID + sua Autenticidade em conformidade coma as Leis e Diretrizes vigentes, como por exemplo, mas não só, a LGPD, Lei do Software, o Marco Civil da Internet, Acesso à Informação e etc. A parceria poderá ser cancelada, a qualquer tempo, por culpa do Parceiro, se for verificada qualquer desconformidade com a Legislação, bem como se os meios utilizados por aquele para resguardar a CID + sua Autenticidade forem inadequados. O Parceiro deve saber ainda que poderá ser responsabilizado por qualquer dano ou prejuízo, diretos ou indiretos, que ocasionar à Empresa ou aos Clientes ou Usuários desta por ter agido em desconformidade ou fora dos padrões esperados e pactuados para o nível de Informação que lhe foi custodiada, mormente se estiver atuando como Agente (art. 5°, IX da LGPD).

Consigna-se ainda que INFORMO possuí Política específica de Relacionamento com Fornecedores mas relevantes (P17) .

10.4. USUÁRIOS: agir com cuidado e urbanismo ao tratar os Ativos da Informação desta Empresa, dentro e fora do ambiente de trabalho, locais públicos, seja por qualquer meio de comunicação ou perante qualquer pessoa. AGIR com responsabilidade e cordialidade. Por fim consigna-se que todos os Usuários devem proteger os ativos de informação que estiverem sob sua posse, sejam de qualquer natureza.

10.5. TECNOLOGIA DA INFORMAÇÃO INTERNA: faz parte de um Sistema de Gestão de Segurança da Informação a observação de alguns requisitos para garantir um ambiente seguro dentro da INFORMO. Estas definições estão contidas em alguns documentos conforme sua aplicabilidade, listamos abaixo algumas das principais obrigações que devem ser observados e deverão ser auditados sempre que necessário conforme disposto na Política de Auditoria (P05):

• testar, periodicamente, a eficácia dos controles utilizados pela Empresa e Colaboradores/Parceiros e informar aos Gestores ou à Alta Direção eventuais ameaças e riscos que constatar;


• configurar os equipamentos, instrumentos de trabalho, ferramentas e sistemas concedidos aos Colaboradores para que fiquem em conformidade com esta PSI e tenham segurança adequada ao resguardo do que realizam;


• acessos deverão ser segregados, quando cabível e nos limites do determinado pela Alta Direção/Gestor, a fim de restringir ao necessário as atuações de cada Colaborador/Parceiro e, assim reduzir, a existência de pessoas que possam excluir os Logs e trilhas de auditoria de seus próprios atos ou atuar em seu favor sem qualquer tipo de fiscalização;


• garantia de segurança reforçada para sistemas com acesso de pessoas externas, que envolvam dados confidenciais, guardando evidências que permitam a rastreabilidade do tratamento ocorrido e do que lá foi realizado;


• criptografar robustamente equipamentos e informação para minimizar a possibilidade de acessos não autorizados, principalmente se forem de uso móvel ou externo;


• realizar o descarte e eliminação responsável dos ativos físicos e digitais da INFORMO (P13);


• informar sobre atualizações de segurança relevantes e realizar a análise quanto a sua implementação;


• registrar todo o tratamento de dados pessoais realizados pela Empresa com coleta de evidências e de modo que possa ser auditado(P05);


• atribuir que cada um de nossos Colaboradores/Parceiros seja identificável por meio de login único e suas devidas credenciais de acesso;


• formatar todos os equipamentos de maneira planejada e preferencialmente em intervalos regulares, ou sempre que necessário, para evitar incidente informativo e interrupção nos serviços prestados pela INFORMO.

11. SEGURANÇAS FÍSICAS E DE SISTEMAS: todo acesso aos sistemas, equipamentos e ao interior da Empresa devem ser controlados para que somente quem e o que for devidamente autorizado possa acessar.

Os Colaboradores/Parceiros que puder autorizar acesso em cada ambiente, sistema ou equipamento da Empresa deve ser previamente definido e identificado pela Alta Direção.

Os locais da Empresa onde se encontram os principais ativos, datacenters e armazenamento de dados pessoais, em meios físicos ou digitais, devem ter acessos mais restritos e ser devidamente monitorados e resguardados contra riscos físicos, tais como, incêndio, umidade em excesso, sujeira e etc.

Normativas específicas sobre este ponto constam em diversos documentos internos, tais como:

• Política de Controle de Acesso (P03);


• Política de Segurança Física (P04);


• Procedimento de Monitoramento de Ambiente Físico (PR07);


• Procedimento de Gerenciamento de Mídias Removíveis (PR06);


• Política de Gestão de Vulnerabilidades (P06);


• Política de Continuidade de Negócios (P07).

12. EQUIPAMENTOS: os equipamentos que disponibilizamos pertencem à Empresa, cabendo a todos os Colaboradores/Parceiros, conforme já adiantado, utilizar todos os recursos de forma sustentável, correta, lícita e para a finalidade que lhe foi autorizada.

É VEDADA qualquer alteração de configuração de equipamentos ou a realização de manutenções fora da Empresa, salvo se autorizado previamente pela Alta Direção ou pelo Gestor de TI.

Havendo suspeita de vírus, invasão, o uso do equipamento deve ser cessado IMEDIATAMENTE, devendo ser encaminhado para nossa TI ou entregue ao Gestor do Colaboradores/Parceiros para avaliação sem demora da existência ou não de comprometimento da sua CID + Autenticidade.

Informações mais aprofundadas e pertinentes a cada assunto podem ser encontrado através das seguintes documentações:

• Política de Utilização de Ativos de TI (P08);


• Política de Senhas (P09);


• Procedimento de Gerenciamento de Mídias Removíveis (PR06);


• Política de Controle Criptográfico (P10);


• Política de Mesa e Tela Limpa (P11).

13. LOGS E SENHAS: o uso de qualquer sistema da Empresa para o trabalho deve ser devidamente vinculado a um Colaborador/Parceiro por LOGIN e SENHA pessoal, robusta, intransferível que NUNCA deve ser compartilhada com nenhuma outra pessoa.

Compartilhamentos e usos indevidos de senhas e métodos de identificação para ter acesso a áreas e lugares não autorizados, não serão tolerados.

A vinculação de um Colaborador/Parceiro a determinado sistema o torna responsável por tudo que lá for realizado ou ocorrer, salvo em ocorrendo culpa exclusiva de terceiros ou se presente alguma excludente legal de responsabilidade.

Aprofundamento sob este tópico pode ser obtido junto aos seguintes documentos:

• Política de Senha (P09);


• Política de Dispositivo Móvel e Home Office (P12);


• Política de Controle Criptográfico (P10);


• Termo de Responsabilidade de Uso de Equipamentos (T01).

14. BACKUP: todos os backups devem ser automatizados e, quando possível, realizados com agendamento pré-estabelecido para horários que evitem problemas de fluxo na rede, no serviço, bem como da realização da atividade do Colaborador/Parceiro, seguindo o disposto na Política de Geração de Cópia de Segurança (P15).

Cada Colaborador deverá verificar se o backup de seu equipamento está atualizado e foi realizado com sucesso através do OneDrive.

Para mais informações acerca dos procedimentos de Backup, necessário consultar a Política de Backup, que versa em detalhes quanto aos procedimentos internos da INFORMO.

15. HOME OFFICE (TELETRABALHO) E TRABALHO EXTERNO: nos casos que for autorizado pela Empresa ou for compatível com o exercício da atividade do Colaborador/Parceiro, poderá ser realizado, desde que todo o disposto nesta PSI seja seguido, principalmente quanto ao que tange à responsabilidade dos Colaboradores/Parceiros e quanto ao uso de equipamentos móveis contidos nesta Política e também, na Política de Dispositivo Móvel e Home Office (P12) , Política de Mesa e Tela Limpa (P11) , Política de Segurança Física (P04) e demais normativas condizentes com o Trabalho Remoto.

16. PRIVACIDADE: a INFORMO possui documentação robusta para garantir a privacidade de Parceiros e Titulares de dados pessoais com quem se relaciona, por exemplo:

• Política de Privacidade (P18);


• Política de Comunicado Interno de Privacidade (P19);


• Termo de Uso de Website (T04);


• etc.

17. TRANSFRERÊNCIA DE DADOS: a INFORMO se compromete a proteger as informações coletadas e tratadas durante o exercício de suas atividades, seguindo o estipulado em legislações específicas e apartadas, tais como, mas não limitadas, a Lei Geral de Proteção de Dados e a Resolução nº 19 de 23 de agosto de 2024 da ANPD. Mais informações podem ser consultadas através da Política de Transferência de Informações (P16) .

18. INCIDENTES, VIOLAÇÕES E SANÇÕES: todo incidente deve ser IMEDIATAMENTE comunicado para que as medidas necessárias possam ser tomadas o quanto antes. A Empresa valorizará esta comunicação e, sendo o caso, a considerará na apuração da dosimetria de eventual responsabilização se o denunciante for quem ocasionou o ato.

Havendo violação a esta PSI, sanções corporativas e/ou legais poderão ser adotadas, sem prévio aviso, podendo culminar no desligamento do Colaborador/Parceiro e na ruptura de eventuais contratos, bem como na tomada de medidas cíveis, administrativas e criminais.

As sanções serão aplicadas proporcionalmente a gravidade do ato praticado e da postura adotada pelo Infrator será levada em conta. Os incidentes devem ser registrados conforme deliberado na Política de Gestão de Incidentes (P14).

19.1. INCIDENTES E ALTERAÇÕES EM DADOS PESSOAIS À LUZ DA LGPD: deverão ser comunicados, IMEDIATAMENTE, ao DPO, ao Gestor do setor e à Alta Direção para que orientem o Colaborador/Parceiro na forma sobre como aquele deve proceder. Além disso, deve o Colaborador/Parceiro registrar todo o ocorrido (F08) para relatar de forma fidedigna toda a situação.

As ALTERAÇÕES feitas por Colaboradores/Parceiros que envolvam tratamento de dados pessoais e/ou Confidenciais, deverão ser motivados e registrados em sistema para que possam ser auditados e, sendo o caso, noticiadas aos Titulares/Proprietários nos moldes da Legislação. Além disso, devem ser submetidos à prévia autorização do Gestor direto e/ou da Alta Direção.

20. CANAIS DE COMUNICAÇÃO: qualquer dúvida ou violação a esta PSI pode ser sanada e/ou comunicada pelo seguinte e-mail: compliance@informo.com.br.

Caso a dúvida ou violação envolva dados pessoais ou quebra de Confidenciais, pedimos também entrar em contato com o DPO (dpo@informo.com.br).

Reiteramos o posicionamento da Empresa e do DPO de estarem à total disposição para todo e qualquer esclarecimento que for necessário.

21. VIGÊNCIA: esta PSI passa a ter validade desde a data de sua aprovação pela Alta Direção e continuará valendo por TEMPO INDETERMINADO.

22. REFERÊNCIA A OUTROS DOCUMENTOS: