Objetivo:
Garantir a proteção dos ativos de informação da organização, minimizando riscos relacionados à confidencialidade, integridade e disponibilidade da informação, assim como garantir a conformidade com as leis e regulamentos aplicáveis.

Escopo:
Esta Política de Segurança da Informação se aplica a todos os colaboradores, contratados, prestadores de serviços e qualquer pessoa que tenha acesso aos recursos tecnológicos, sistemas e informações da organização.

1. Princípios de Segurança.
Confidencialidade: Garantir que a informação seja acessível apenas por pessoas autorizadas.
Integridade: Assegurar que a informação seja mantida precisa, completa e atualizada.
Disponibilidade: Garantir que os recursos de informação estejam acessíveis quando necessários.

2. Gestão de Acessos.
Autenticação e Controle de Acesso:
Acesso a sistemas e informações será concedido com base na necessidade de conhecimento.
Todos os usuários devem ser autenticados adequadamente por meio de credenciais fortes (como senhas, autenticação de dois fatores, etc.).
Os privilégios de acesso serão revogados imediatamente em caso de desligamento ou mudança de função do colaborador.
Senhas:
As senhas devem ser complexas e trocadas periodicamente.
Não será permitido o compartilhamento de senhas entre usuários.
Permissões de Acesso:
A concessão de permissões será baseada no princípio do menor privilégio.

3. Proteção contra Ameaças.
Antivírus e Firewall:
Todos os dispositivos da organização devem ser protegidos por antivírus e firewall atualizados.
Verificações regulares contra malwares serão realizadas.
Backup de Dados:
A organização deve realizar backups periódicos dos dados críticos para garantir a recuperação em caso de falha ou ataque.
Os backups devem ser armazenados de maneira segura e testados regularmente.

4. Proteção Física.
Acesso aos Servidores:
O acesso físico aos servidores e sistemas críticos será restrito a pessoal autorizado.
Instalações físicas com sistemas críticos devem ser monitoradas por câmeras e protegidas por sistemas de controle de acesso.
Equipamentos Pessoais:
Equipamentos pessoais (como notebooks, celulares, etc.) utilizados para fins corporativos devem ser protegidos por senha e criptografia.

5. Comunicação e Uso de Recursos.
Uso de E-mail e Internet:
O uso do e-mail corporativo deve ser restrito a fins profissionais. O uso de e-mail para comunicação pessoal deve ser evitado.
O acesso à internet será monitorado, e sites de conteúdo impróprio ou perigoso (como aqueles relacionados a malware) serão bloqueados.

Transferência de Dados:
O compartilhamento de informações confidenciais deve ser feito de forma segura, utilizando criptografia quando necessário.

6. Treinamento e Conscientização.
Treinamentos Regulares:
Todos os colaboradores devem receber treinamento inicial e periódicos sobre segurança da informação, políticas de segurança e boas práticas.

Conscientização sobre Phishing e Ameaças Cibernéticas:
A organização promoverá campanhas de conscientização para prevenir ataques como phishing e engenharia social.

7. Incidentes de Segurança.
Notificação de Incidentes:
Qualquer incidente de segurança (como vazamento de dados ou ataque cibernético) deve ser imediatamente comunicado ao setor responsável pela segurança da informação.

Análise de Incidentes:
Todos os incidentes de segurança serão analisados para determinar a causa raiz e implementar ações corretivas para prevenir recorrências.

8. Conformidade Legal e Regulamentar.
Leis e Regulamentos:
A organização compromete-se a cumprir todas as leis e regulamentações aplicáveis à proteção de dados e à segurança da informação, como a LGPD (Lei Geral de Proteção de Dados) no Brasil ou GDPR na Europa.

Auditorias.
A organização realizará auditorias periódicas para garantir que a Política de Segurança da Informação esteja sendo seguida e que os controles de segurança sejam eficazes.

9. Revisão e Atualização.
Esta política será revisada anualmente ou sempre que houver mudanças significativas nos sistemas de informação ou na legislação aplicável.

10.Aprovação e Responsabilidade.
A responsabilidade pela implementação e manutenção desta política é atribuída ao Comitê de Segurança da Informação e à alta direção da organização. Todos os colaboradores devem aderir a esta política.

1° Revisão, Itapecerica da Serra, 4 de fevereiro de 2025.