1.1.1. Definir os princípios e diretrizes gerais que visam a preservação da segurança da informação, primando pela confidencialidade, integridade, disponibilidade, bem como legalidade dos processos que amparam a operacionalização e gestão das atividades da Instituição;
1.1.2. Estabelecer as responsabilidades e limites de atuação dos Dirigentes, Colaboradores, Prestadores de Serviços e Parceiros da EMPRESA DN4 em relação à segurança da informação e comunicação, em uma cultura baseada na responsabilidade.
2. DECLARAÇÃO DE COMPROMETIMENTO
2.1. Os Dirigentes do EMPRESA DN4 estão comprometidos e apoiam os princípios estabelecidos nesta PSIC de proteção de seus recursos tangíveis e intangíveis de acordo com as necessidades de negócio e em conformidade com o ambiente legal, primando pela confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações.
3. APLICAÇÃO
3.1. Esta PSIC é um documento com valor jurídico e aplicabilidade imediata e indistinta, a partir da sua publicação, Dirigentes, Colaboradores, Prestadores de Serviços e Parceiros da EMPRESA DN4.
4. PRINCÍPIOS
4.1. Preservar e proteger as informações sob a responsabilidade da EMPRESA DN4, inclusive as contidas nos recursos de Tecnologia da Informação e Comunicação (TIC), dos diversos tipos de ameaça e desvios de finalidade em todo o seu ciclo de vida, estejam elas em qualquer suporte ou formato.
4.2. Prevenir e mitigar impactos gerados por incidentes envolvendo a segurança da informação e
comunicação.
4.3. Assegurar a confidencialidade, a integridade, a disponibilidade e a autenticidade, assim como a legalidade no desenvolvimento das atividades do negócio.
4.4. Cumprir a legislação vigente no Brasil e demais instrumentos regulamentares relacionados às atividades da Instituição no que diz respeito à segurança da informação, aos objetivos institucionais e aos princípios de privacidade, morais e éticos.
5. DIRETRIZES GERAIS
5.1. Interpretação: Esta PSIC e seus documentos complementares devem ser interpretados de forma restritiva, dentro do princípio de aplicação do menor privilégio possível, ou seja, no contexto de uso de informações e recursos de TIC (, tudo o que não estiver expressamente permitido só deve ser realizado após prévia autorização do Comitê de Segurança da Informação e Comunicação (CSIC) ou Gestores diretamente responsáveis, devendo ser levada em consideração a análise de risco e a necessidade do negócio à época de sua solicitação.
5.2. Publicidade: Esta PSIC e seus documentos complementares devem ser divulgados aos dirigentes, colaboradores e terceiros, visando a sua disponibilidade para todos os que se relacionam com a EMPRESA DN4, ou que, direta ou indiretamente, são impactados.
5.3. Propriedade: As informações geradas, acessadas, manuseadas, armazenadas ou descartadas pelos dirigentes, colaboradores e terceiros no exercício de suas atividades profissionais, bem como os demais recursos tangíveis e intangíveis disponibilizados pela instituição a esses atores, são de propriedade exclusiva da DN4 e devem ser empregadas exclusivamente em atividades de interesse institucional.
5.3.1. Quando houver novos Dirigentes, Colaboradores, Prestadores de Serviços e Parceiros da EMPRESA DN4, deverá ser assinado o Termo de Compromisso para Dirigentes e Colaboradores ou Termo de Compromisso de Segurança da Informação para Terceiros – Pessoa Jurídica.
5.4. Classificação da Informação: Todas as informações de propriedade ou sob a responsabilidade da EMPRESA DN4 devem ser classificadas e protegidas com controles compatíveis em todo o seu ciclo de vida, por meio da implementação de ferramentas e formalização de processos em instrumento específico, nos termos dos Normativos Internos de Segurança da Informação.
5.5. Sigilo: É vedada a revelação de qualquer informação de propriedade ou sob a responsabilidade da EMPRESA DN4, por seus dirigentes, colaboradores e terceiros, sem a prévia e formal autorização para tanto, inclusive no âmbito acadêmico, excetuando-se a hipótese de que a informação esteja previamente classificada como “pública”.
5.6. Privacidade e Proteção de Dados: A EMPRESA DN4 respeita a privacidade dos titulares de dados e garante a disponibilidade, integridade e confidencialidade dos dados pessoais em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado pessoal, a finalidade e a gravidade dos riscos, seguindo a Política de Privacidade e Tratamento de Dados do EMPRESA DN4.
5.7. Uso dos Recursos de TIC: Os recursos de TIC de propriedade da EMPRESA DN4
devem ser utilizados apenas para fins profissionais, de modo lícito, ético, moral e aprovado administrativamente.
5.7.1. Os dirigentes, colaboradores e terceiros devem utilizar apenas recursos de TIC previamente homologados e autorizados pelo responsável da TIC ou gestor imediato para a realização de suas atividades profissionais, sejam eles onerosos, gratuitos, livres ou licenciados.
5.8. Recursos de TIC Particulares: O uso de recursos de TIC particulares na execução de qualquer atividade profissional, na interação com os ambientes físicos ou lógicos ou com as informações da EMPRESA DN4 não poderão ocorrer por meio da rede cabeada e wifi de transmissão de dados, exceto quando autorizado pelo responsável da TIC e gestor imediato.
5.9. Repositórios digitais: É vedado aos dirigentes, colaboradores e terceiros o uso de repositórios digitais não homologados pelo responsável da TIC ou gestor para armazenar ou publicar informações de propriedade da Empresa DN4 ou sob sua responsabilidade, salvo casos em que a informação esteja previamente classificada como “pública”.
5.10. Mídias Sociais: A participação do colaborador nas mídias sociais deve ser realizada em acordo com as vedações previstas no artigo sexto do Código de Ética da EMPRESA DN4 e estar de acordo com norma de Uso de Redes Sociais.
5.10.1. Dirigentes, colaboradores e terceiros são responsáveis por suas condutas no uso das mídias sociais. Por isso, cuidados devem ser tomados em relação ao excesso de exposição (rotinas, trajetos, intimidade, etc.), no uso de conteúdos autorizados e legítimos e na preservação do sigilo profissional.
5.11. Controle de acesso: A EMPRESA DN4 controla o acesso físico e lógico às suas dependências e aos seus recursos de TIC. Desse modo, dirigentes, colaboradores e terceiros devem possuir uma credencial de acesso de uso individual, intransferível, podendo estar disposta como senha digital, cartão de acesso ou uma autorização por escrito e assinada pelo responsável legal.
5.11.1. Dirigentes, colaboradores e terceiros são responsáveis pelo uso e sigilo de suas credenciais de acesso. Não é permitido, em qualquer hipótese, compartilhar, revelar ou fazer uso não autorizado de credenciais de terceiros, sendo responsável direto pela conduta ou/e dano causado, mediante apuração de responsabilidade em processo administrativo disciplinar devidamente instaurado.
5.12. Áudio, Vídeos e Fotos: É vedada qualquer atividade relacionada à captura de dados e seu compartilhamento público, inclusive no âmbito acadêmico, na internet e/ou nas mídias sociais, envolvendo gravação de áudio, vídeo ou foto de informações confidenciais, restritas a uso interno, sensíveis ou enquadradas como dados pessoais, que sejam utilizadas na realização das atividades profissionais dentro das dependências do EMPRESA DN4 por seus dirigentes, colaboradores e terceiros, sem a prévia e formal autorização para tanto, exceto se ocorrer em razão justificável como necessário para cumprimento das atividades profissionais prestadas pelo colaborador.
5.13. Monitoramento: A EMPRESA DN4 realiza o monitoramento, inclusive de forma remota, de todo cesso e uso de suas informações, recursos de TIC e seus ambientes físicos e lógicos, visando a eficácia dos controles implantados, a proteção de seu patrimônio e sua reputação, possibilitando ainda a identificação de eventos ou alertas de incidentes referente a segurança da informação.
5.14. Inspeção dos Recursos de TIC: A EMPRESA DN4, sempre que considerar necessário, poderá auditar ou inspecionar os recursos de TIC que interagem com seus ambientes lógicos, físicos ou com suas informações, incluindo os recursos de TIC de propriedade de terceiros, quando autorizada a entrada em suas dependências, independentemente da interação com seus ambientes e informações.
5.15. Documentação: Cada setor deve aplicar e monitor os relatórios de validação de riscos e declaração de aplicabilidade para garantir a compreensão e orientar a rápida recuperação em situações de contingência que envolvam recursos de TIC.
5.16. Conformidade: A DN4 Nacional deve possuir e manter um programa de revisão/atualização desta PSIC e de seus documentos complementares. A revisão deve ocorrer a cada dois anos, ou quando mudanças significativas são propostas ou ocorrem, visando a garantia de que todos os requisitos de segurança técnicos e legais implementados sejam cumpridos, atualizados e em conformidade com a legislação vigente.
5.17. Capacitação: Os responsáveis de cada setor devem possuir um Plano Contínuo de Capacitação
em Segurança da Informação e disseminação da PSIC da EMPRESA DN4, em especial voltado a colaboradores cujas atividades sejam direcionadas a atividades correlatas a segurança da informação e privacidade de dados.
5.18. Conscientização: A EMPRESA DN4 deve realizar ações contínuas de conscientização em segurança da Informação.
5.19. Comitê de Segurança da Informação e Comunicação (CSIC): Deve manter um Comitê de Segurança da Informação e Comunicação (CSIC), com composição multidisciplinar, ou seja, formado por representantes de várias unidades internas, cuja principal função está em assessorar a implementação as ações relacionadas à Segurança da Informação e Comunicação, além de avaliar os controles e incidentes relacionados.
5.20. Equipe de Resposta a Incidentes: Cada DN4 deve manter uma Equipe de Resposta a Incidentes em Segurança da Informação e Comunicação, interna ou terceirizada, com composição fixa ou variável, competente e preparada para receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança da informação.
5.21. Canal de Ouvidoria: A EMPRESA DN4 possui um canal de Ouvidoria através de seu atendimento de Help Desk, divulgado aos conselheiros, dirigentes, colaboradores e terceirizados para reportar, imediatamente, os possíveis casos de incidentes de segurança da informação e comunicação, podendo fazê-lo formalmente identificado ou com uso de denúncia anônima. Os comunicados categorizados como incidentes de segurança da informação e comunicação serão tratados como prioridade, sendo feito o encaminhamento adequado aos profissionais envolvidos na tratativa dos incidentes.
6. PENALIDADES
6.1. Violações: Os incidentes de segurança da informação identificados como violações devem ser avaliados pelo CSIC correspondente à origem do incidente, que deve elaborar e encaminhar um relatório para a Comissão de Ética da empresa DN4, quando couber, que, após análise, poderá instaurar e apurar as responsabilidades dos envolvidos em procedimento próprio, sugerindo à área gestora da relação a aplicação de sanções administrativas cabíveis previstas em cláusulas contratuais, normas e políticas incidentes sobre o regime de pessoal e outros documentos normativos da DN4, além da legislação vigente.
6.2. Tentativa de Burla: A tentativa de burlar as diretrizes e controles estabelecidos, quando constatada, deve ser tratada como uma violação.
7. DISPOSIÇÕES FINAIS
7.1. O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela EMPRESA DN4.
7.2. Os casos omissos e eventual procedimento diverso do previsto nesta Política de Segurança da informação e Comunicação serão submetidos à análise pelo comitê responsável.
7.3. Esta PSIC, bem como os demais documentos que a complementam, encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitadas a comissão da Empresa DN4.
7.4. Qualquer dúvida relativa a esta PSIC deve ser encaminhada a comissão da DN4 Nacional por meio do e-mail RH@DN4.com.br.
7.5. Os setores e departamentos da EMPRESA DN4 deverão regulamentar os procedimentos que vierem a ser necessários para operacionalizar as diretrizes aqui estabelecidas, no prazo de até 90 dias a partir da publicação desta Política de Segurança da Informação e Comunicação.
7.6. Esta PSIC entra em vigor na data de aprovação e publicação.
8. DEFINIÇÕES
8.1. Autenticidade: Garantia de que a informação foi criada, editada ou emitida por quem se disse ter sido, sendo capaz de gerar evidências não repudiáveis em relação ao criador, editor ou emissor.
8.2. Colaborador: Empregado, estagiário, menor aprendiz, empregado com contrato de trabalho temporário ou qualquer outro indivíduo ocupante de cargo ou emprego na EMPRESA DN4.
8.3. Confidencialidade: Garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento dos não autorizados.
8.4. Credencial de Acesso: É a identificação do colaborador em ambientes lógicos, sendo composta por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação como crachá magnético, certificado digital, token e biometria.
8.5. Dirigentes: Diretores e Conselheiros da EMPRESA DN4.
8.6. Disponibilidade: Garantia de que as informações e os recursos de Tecnologia da Informação e Comunicação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
8.7. Informação: É o conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.
8.8. Integridade: Garantia de que as informações estejam fidedignas em relação à última alteração durante o seu ciclo de vida.
8.9. Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.
8.10. Recurso: É qualquer coisa que tenha valor material ou imaterial, sendo tangível ou intangível, para o EMPRESA DN4 e precisa ser adequadamente protegido.
8.11. Recurso Intangível: Todo elemento que possui valor para a EMPRESA DN4 e que esteja em suporte digital ou se constitua de forma abstrata, mas registrável ou perceptível, a exemplo, mas não se limitando a dados, reputação, imagem, marca e conhecimento.
8.12. Recurso Tangível: caracteriza-se por possuir um corpo físico.
8.13. Repositórios Digitais (Cyberlockers): Plataformas de armazenamento na Internet, a exemplo, mas não se limitando ao Google Drive, OneDrive, Dropbox, iCloud, Box, SugarSync, Slideshare e Scribd.
8.14. Risco: Combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.
8.15. Sigilo profissional: Trata da manutenção de segredo para informação valiosa, cujo domínio de divulgação deva ser fechado, ou seja, restrito a um cliente, a uma organização ou a um grupo, uma vez que a ele é confiada a manipulação da informação.
8.16. Tentativa de Burla: Atos que busquem violar as diretrizes estabelecidas nos documentos normativos da EMPRESA DN4 e sejam frustrados por erro durante o planejamento ou durante sua execução.
8.17. Terceiro: Prestador de serviço, terceirizado, fornecedor, credenciado, consultor, instrutor e parceiro.
8.18. Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da EMPRESA DN4.
8.19. Comitê de Segurança da Informação e Comunicação (CSIC): comitê responsável pela regulação interna das normas e diretrizes das informações e comunicações ocorridas.
8.20. PSIC: Política de Segurança da Informação e Comunicação.
8.21. TIC: Recursos de Tecnologia da Informação e Comunicação.
8.22. DN4: DN4 Tecnologia Soluções e Serviços Ltda, detentora dos software´s Gestão DN4 e My Rental.
9. DOCUMENTOS DE REFERÊNCIA
9.1. ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Empresas
de Gestão de Segurança da Informação – Requisitos.
9.2. ABNT NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código
de prática para a Gestão da Segurança da Informação.
9.3. ABNT NBR ISO/IEC 27701:2019 – Tecnologia da Informação – Técnicas de segurança – gestão da
privacidade da informação — Requisitos e diretrizes
9.4. Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018.
9.5. Lei de Acesso à Informação (LAI) 12.527 de 18/11/2011.
9.6. Sebrae
