
Política Geral de
Segurança da Informação
1. INTRODUÇÃO
A ROCCO E MORENO SOCIEDADE DE ADVOGADOS, inscrita no CNPJ nº21.947.529/0001/97, situada na Avenida Paulista, 302, Cj. 50 - Bela Vista, São Paulo/SP - CEP: 01310-000, aqui denominada apenas como ROCCO E MORENO, estabelece esta Política Geral de Segurança da Informação (PGSI) para garantir as características básicas de confidencialidade, integridade e disponibilidade de seus ativos de informação.
Esta política define diretrizes e controles para proteção das informações, prevenção de incidentes, conformidade legal (incluindo LGPD) e resposta eficiente a eventos de segurança. Como estratégia serão observadas as melhores técnicas de detecção, prevenção, monitoramento e resposta à incidentes de maneira a fortalecer a gestão do risco de segurança.
2. ABRANGÊNCIA
Esta política se aplica a todos os dados e informações da Rocco e Moreno, independentemente do formato ou meio utilizado (físico ou digital), abrangendo todos os colaboradores, sócios, estagiários, fornecedores, parceiros e terceiros com acesso às informações da organização.
3. OBJETIVO
O objetivo desta política é estabelecer diretrizes que garantam a proteção das informações da ROCCO E MORENO, minimizando riscos operacionais, legais e financeiros decorrentes de falhas de segurança.
Ainda, esta política tem como propósitos complementares:
a) Estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores adotar padrões de comportamento seguro, adequados às metas e necessidades da organização;
b) Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;
c) Resguardar as informações da empresa, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
d) Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus colaboradores, clientes e parceiros;
e) Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da organização como resultado de falhas de segurança.
4. DIRETRIZES
A informação é um ativo pertencente à Organização, considerado de valor e utilizada pelos usuários nas suas atividades profissionais, devendo ser protegida para permitir o uso adequado na realização dos objetivos da Organização por meio de suas atividades operacionais e de negócio.
A Organização representada pela Presidência, Diretoria Executiva e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação e, para isto adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida, revisada periodicamente e seguida em todos os níveis da Organização.
Para garantir a segurança da Informação a Organização deverá:
a) Manter um processo contínuo de proteção à informação visando os requisitos básicos de confidencialidade, integridade e disponibilidade;
b) Definir e manter controles nos sistemas de tecnologia e procedimentos manuais evitando que a informação não seja criada, alterada, acessada, transmitida ou destruída de forma indevida;
c) Disponibilizar políticas, normas e procedimentos complementares à esta política de segurança a todas as partes interessadas e autorizadas a acessar ou usar a informação;
d) Manter um programa contínuo de conscientização sobre as práticas de segurança da informação para os usuários;
e) Atender integralmente as regulamentações, leis e/ou cláusulas contratuais que se referem a segurança da informação quando aplicáveis;
f) Tratar integralmente incidentes de segurança da informação, garantindo que sejam adequadamente investigados, corrigidos, registrados, classificados, documentados e, quando necessário, comunicados as autoridades apropriadas;
g) Implementar plano para a continuidade do negócio com objetivo de suportar situações de contingência quando houver destruição parcial ou total de recursos de informação utilizados nas atividades da Organização, considerando limites técnicos e financeiros previamente definidos;
h) Classificar a informação em relação ao seu nível de sigilo para permitir melhor controle;
i) Melhorar continuamente a Gestão de Segurança da Informação por meio da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
Para garantir a segurança da informação, a ROCCO E MORENO adota as seguintes diretrizes:
4.1. Controles Técnicos e Operacionais
-
Back-up das informações em nuvem segura.
-
Restrição de acesso baseada no princípio do menor privilégio.
-
Monitoramento contínuo de acessos e atividades suspeitas.
4.2. Gestão de Incidentes de Segurança
-
Relato imediato de incidentes para a Gerência de Segurança da Informação.
-
Análise do impacto e identificação da causa raiz pelo Comitê Gestor de Segurança da Informação (CGSI).
-
Notificação aos titulares de dados pessoais afetados, se necessário, conforme exigido pela LGPD.
-
Plano de recuperação e reforço dos controles de segurança.
4.3. Conformidade com a LGPD e Proteção de Dados Pessoais
-
Classificação dos dados conforme a sensibilidade e base legal.
-
Implementação de medidas de anonimização ou pseudonimização quando aplicável.
-
Garantia dos direitos dos titulares de dados (acesso, correção, eliminação, etc.).
-
Revisão periódica dos contratos de fornecedores para conformidade com a LGPD.
-
Revisão periódica da Política de Privacidade e Proteção de Dados conforme a LGPD.
4.4. Plano de Continuidade de Negócios
-
Definição de procedimentos de contingência para falhas críticas.
-
Testes periódicos de backup e recuperação de dados
5. RESPONSABILIDADES
5.1. ALTA DIREÇÃO
São atribuições da Alta Direção:
a) Elaborar e aprovar esta Política e suas futuras revisões, considerando as sugestões fornecidas pelo CGSI.
b) Analisar em conjunto com o CGSI a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação.
c) Tomar decisões sobre o compartilhamento de informações e dados da instituição.
d)Decidir sobre treinamentos, iniciativas de conscientização e estratégias de comunicação interna relacionadas à privacidade de informações e dados.
e)Acompanhar e apoiar a execução dos planos de ação estabelecidos pelo CGSI para corrigir eventuais lacunas nas iniciativas de privacidade
5.2. COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI
É responsabilidade do CGSI:
a) Analisar, revisar e propor a aprovação de políticas e normas complementares à esta política de segurança da informação;
b) Fomentar junto a alta direção a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
c) Garantir que as atividades de segurança da informação sejam executadas em conformidade com esta política;
d) Promover a divulgação aos usuários da informação, bem como a conscientização sobre esta política, tomando as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Organização.
5.2. GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO
É responsabilidade da Gerência de Segurança da Informação:
a) Conduzir a Gestão e operacionalizar a segurança da informação na Organização, tendo como base esta política e as resoluções do CGSI;
b) Apoiar o CGSI em suas deliberações;
c) Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir esta política;
d) Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
e) Tomar as ações cabíveis para se fazer cumprir os termos desta política;
f) Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.
5.3. GESTORES DA INFORMAÇÃO
É responsabilidade do gestor de cada área de negócio:
a) Gerenciar a informação gerada ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas definidas pelo CGSI;
b) Identificar, classificar e rotular a informação gerada ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos definidos na Política de Classificação da Informação;
c) Revisar a informação gerada ou sob a responsabilidade da sua área de negócio periodicamente, ajustando a classificação e rotulagem conforme necessário;
d) Autorizar o acesso à informação e sistemas de informação sob sua responsabilidade, realizando a revisão periódica deste acesso, concedendo ou revogando o acesso à informação ou sistemas de informação de acordo com os procedimentos previstos nesta política e demais normas e deliberações do CGSI.
e) Identificar e avaliar as principais ameaças à segurança da informação em sua área de negócio, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
f) Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado
5.4. USUÁRIOS DA INFORMAÇÃO
É responsabilidade do Usuário da Informação:
a) Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;
b) Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos a Gerência de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação;
c) Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou possa vir a colocar em risco a segurança das informações da Organização;
d) Assinar o Termo de Uso de Sistemas de Informação da Organização, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
e) Responder pela inobservância da Política de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.
6. SANÇÕES E PUNIÇÕES
O não cumprimento das diretrizes estabelecidas neste documento e/ou das regras definidas nas normas e procedimentos de segurança da informação serão consideradas violações e acarretará sanções administrativas e/ou contratuais, incluindo advertência verbal, advertência por escrito, suspensão não remunerada, podendo chegar à rescisão contratual por justa causa de colaboradores e estagiários, ou mesmo o cancelamento de contrato de prestação de serviços.
A aplicação de sanções e punições será realizada após a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado e a recorrência, sendo especificamente:
a) No caso de sanções e punições de colaboradores serão ainda observadas as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave e;
b) No caso de terceiros contratados ou prestadores de serviços, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.
Para o caso de violações que sejam constatadas atividades ilegais, ou que possam resultar em dano a Organização, o infrator será responsabilizado pelos prejuízos causados, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos acima desta política.
7. CASOS OMISSOS
As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol exaustivo, sendo obrigação do usuário da informação adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção da informação, sendo em última instância os novos casos e omissões avaliados pelo Comitê Gestor de Segurança da Informação.
8. GLOSSÁRIO
Ameaça: conjunto de fatores ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
Ativo: entidade física ou digital que tem valor para a Organização.
Ativo de informação: Patrimônio intangível da Organização, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a Organização por parceiros, clientes, colaboradores e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional interna ou externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.
Comitê Gestor de Segurança da Informação (CGSI): grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações.
Confidencialidade: propriedade da informação de se tornar acessível apenas a indivíduo autorizado, vedada a disponibilização ou divulgação sem tal autorização.
Controle: Medida de segurança adotada pela Organização para o tratamento de um risco específico.
Disponibilidade: Propriedade da informação de serem acessíveis e utilizáveis sob demanda, por indivíduo previamente autorizadas.
Gestor da Informação: Usuário da informação que ocupe cargo atribuído e específico com a responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.
Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação, confirmado ou sob suspeita, que tem possibilidade significativa de afetar as operações ou ameaçar as informações da Organização.
Integridade: Propriedade da informação de serem exatos, atualizados e completos.
Risco de segurança da informação: Potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.
Segurança da informação: Ações que objetivam viabilizar e assegurar a preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da Organização.
Usuário da informação: Qualquer pessoa, física ou jurídica, com vínculo empregatício ou terceiros alocados na prestação de serviços da Organização, devidamente autorizados a utilizar manipular qualquer ativo de informação da Organização para o desempenho de suas atividades profissionais.
Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da Organização.
9. REVISÕES
Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.
Para solicitar informações sobre o tratamento de seus dados, obter lista de quais dados pessoais seus estão em nossa base de dados, solicitar correções/alterações ou solicitar exclusão de suas informações pessoais de nossos bancos de dados, entre em contato conosco através do e-mail encarregado@roccoemoreno.com.br
.