Institucional Vendas Diretas Seguros Fale Conosco Trabalhe Conosco
Institucional Vendas Diretas Seguros Fale Conosco Trabalhe Conosco

Política de Segurança da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS PESSOAIS


    1 - OBJETIVO

Têm como objetivo definir os fundamentos, orientações, atribuições e procedimentos destinados à proteção das informações do GRUPO FABERGE. A presente política busca assegurar a confidencialidade, integridade e disponibilidade das informações, promovendo o uso responsável, a redução de riscos associados à segurança da informação e o atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD), além de outras regulamentações aplicáveis.


    2 - CAMPO DE APLICAÇÃO

Esta política se aplica a todos os colaboradores das empresas do GRUPO FABERGE.


    3 - DA APLICABILIDADE

A presente política estabelece princípios e diretrizes para a implementação de ações e controles que garantam a segurança das informações e de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas. Esta Política se aplica a todos os ativos de informação do GRUPO FABERGE, incluindo dados, sistemas, aplicativos, dispositivos e redes. Além disso, aplica-se a todos os colaboradores, funcionários, contratados, parceiros e terceiros que acessam ou processam as informações do GRUPO FABERGE. Esta política se aplica em todas as instalações físicas administradas ou utilizadas pelo GRUPO FABERGE.


    4 - DOS TERMOS E SUAS DEFINIÇÕES

CONFIDENCIALIDADE: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados;

DADOS PESSOAIS: informação relacionada a pessoa natural identificada ou identificável;

DADOS PESSOAIS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

DISPONIBILIDADE: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

INTEGRIDADE: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

SEGURANÇA DA INFORMAÇÃO: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

TITULAR DO DADO: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.



    5 - DIRETRIZES

A presente Política de Segurança da Informação do GRUPO FABERGE, tem como finalidade estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.

Esta Política de Segurança da Informação aplica-se a todas as unidades do GRUPO FABERGE, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade do GRUPO FABERGE.


        5.1 – DISPOSIÇÕES GERAIS

São objetivos da Política de Segurança da Informação:

            I. estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;

            II. II. estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações;

            III. estabelecer competências e responsabilidades quanto à segurança da informação;

            IV. nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;

            V. promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional do GRUPO FABERGE.

Para os efeitos desta Portaria e de suas regulamentações, aplicam-se os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.


        5.2 – DOS PRINCÍPIOS

As ações de segurança da informação do GRUPO FABERGE são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:

            I. disponibilidade, integridade, confidencialidade e autenticidade das informações;

            II. continuidade dos processos e serviços essenciais para o funcionamento do GRUPO FABERGE;

            III. economicidade da proteção dos ativos de informação;

            IV. respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

            V. observância da publicidade como preceito geral e do sigilo como exceção;

            VI. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

            VII. alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do GRUPO FABERGE, assim como demais normas específicas de segurança da informação da Administração Pública Federal; e

            VIII. conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis.

Estas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito GRUPO FABERGE e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.


        5.3 – DAS AÇÕES DE SEGURANÇA

As normas, procedimentos, manuais e metodologias de segurança da informação do GRUPO FABERGE devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

As ações de segurança da informação devem:

            I. considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do GRUPO FABERGE;

            II. ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades do GRUPO FABERGE;

            III. ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;

            IV. visar à prevenção da ocorrência de incidentes.

O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos ao GRUPO FABERGE. Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no GRUPO FABERGE compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.

É condição para acesso aos recursos de tecnologia da informação do GRUPO FABERGE a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação do GRUPO FABERGE.

A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação do GRUPO FABERGE, devem ser divulgadas amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

Os Usuários de Informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação. As ações de capacitação devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.


        5.4 DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

A estrutura de Gestão de Segurança da Informação é composta por:

    I - Alta Administração: fornece os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação do GRUPO FABERGE, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados bem como formalizar e aprovar a Política de Segurança da Informação do GRUPO FABERGE, inclusive suas alterações e atualizações.

    II - Comitê de Segurança da Informação: assessorar na implementação das ações de segurança da informação; constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação; propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação; deliberar sobre normas internas de segurança da informação; avaliar as ações propostas pelo gestor de segurança da informação.

    III - Gestor de Segurança da Informação: coordenar o Comitê de Segurança da Informação; coordenar a elaboração da Política de Segurança da Informação - PSI e das normas internas de segurança da informação do órgão, observadas a legislação vigente e as melhores práticas sobre o tema; assessorar a Alta Administração na implementação da Política de Segurança da Informação; estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação; promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham no órgão; incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação; propor recursos necessários às ações de segurança da informação; acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos; verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação; acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;

    IV - Gestor de Tecnologia da Informação e Comunicação: planeja, implementa e melhora continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução.

    V - Encarregado pelo Tratamento de Dados Pessoais: conduz o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

    VI - Responsável pela Unidade de Controle Interno: apoia, supervisiona e monitora as atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU nº 3, de 9 de junho de 2017.

    VII - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos: facilita, coordena e executa as atividades de prevenção, tratamento e resposta a incidentes cibernéticos no GRUPO FABERGE; monitora as redes computacionais; detecta e analisa ataques e intrusões; trata incidentes de segurança da informação; identifica vulnerabilidades e artefatos maliciosos; recupera sistemas de informação; promove a cooperação com outras equipes.

    VIII – Usuários de informação: conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação do GRUPO FABERGE. Todos os Usuários de Informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.


    6 - DAS DISPOSIÇÕES FINAIS

É vedada a utilização dos recursos de tecnologia da informação disponibilizados pelo GRUPO FABERGE para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente; o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pelo GRUPO FABERGE; a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pelo GRUPO FABERGE periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.