Política de Segurança da Informação

1. Apresentação

Esta Política de Segurança da Informação (PSI) estabelece diretrizes, responsabilidades e controles para proteger os ativos de informação do Grupo Disbral, assegurando a confidencialidade, integridade e disponibilidade das informações, bem como a conformidade com a legislação vigente.

2. Objetivo

Definir princípios e regras para o uso adequado de recursos, controle de acessos, proteção tecnológica e física, resposta a incidentes, continuidade de negócios e responsabilidades, aplicáveis a todos que interagem com informações do Grupo Disbral.

3. Bases Normativas e Referências

Esta Política observa boas práticas e normas reconhecidas, incluindo, sem se limitar a:

• ISO/IEC 27001:2013, ANEXO A;
• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD);

4. Escopo

Aplica-se a colaboradores, estagiários, temporários, terceiros, fornecedores, prestadores e qualquer pessoa que acesse informações, sistemas, redes, dispositivos ou instalações do Grupo Disbral.

5. Princípios de Segurança

• Confidencialidade: acesso à informação apenas por quem precisa saber;
• Integridade: proteção contra alteração não autorizada;
• Disponibilidade: informação e serviços acessíveis quando necessários;
• Legalidade e Transparência: conformidade com leis e normas aplicáveis.

6. Classificação e Rotulagem de Informações

As informações devem ser classificadas e rotuladas, no mínimo, nas seguintes classes:

• Pública: divulgação irrestrita;
• Interna: uso interno com divulgação controlada;
• Confidencial: acesso restrito a quem precisa saber;
• Confidencial Restrito: acesso altamente limitado e controlado.

Devem existir regras de armazenamento, transmissão, compartilhamento e descarte seguro compatíveis com a classificação.

7. Responsabilidades

• Diretoria/Comitê de Compliance: patrocínio, aprovação e revisão da PSI;
• Gestores: assegurar cumprimento da PSI em suas áreas e tratar desvios;
• TI/SI: implementar e manter controles técnicos e monitoramento;
• Usuários: cumprir esta política e reportar incidentes ou suspeitas.

8. Uso Aceitável dos Recursos (Internet, E-mail, Sistemas)

• Recursos de TI destinam-se primariamente a fins corporativos;
• É proibido compartilhar credenciais, burlar controles, disseminar conteúdo ilícito/ofensivo;
• E-mails institucionais devem conter aviso de confidencialidade;
• Instalações de software devem ser autorizadas pela TI.

9. Controle de Acesso e Usuários Privilegiados

• Aplicar o princípio do menor privilégio e segregação de funções;
• Contas Corporativas separadas das contas de uso pessoal;
• Revisões periódicas de acessos e desativação imediata quando do desligamento;
• Autenticação multifator (MFA) em sistemas críticos e no acesso remoto.

10. Segurança Física – Mesa Limpa e Tela Limpa

• Bloquear a estação ao se ausentar e proteger documentos físicos;
• Evitar exposição de informações sensíveis em áreas comuns;
• Descarte seguro de mídias e papéis.

11. Controles Técnicos

• Antivírus: solução homologada, atualizações e varreduras periódicas;
• Backups: rotinas definidas diárias e mensais, testes de restauração e monitoramento de falhas;
• Vulnerabilidades: correções priorizadas por criticidade (CVSS) e janelas de manutenção;
• Logs/Auditoria: registro de eventos relevantes e retenção conforme requisitos legais e de negócio;
• Proteção de Endpoints e Redes: políticas de firewall, criptografia quando aplicável.

12. Gestão de Incidentes de Segurança

Todos os incidentes (ou suspeitas) devem ser reportados imediatamente ao time responsável. O tratamento deve incluir registro, classificação, contenção, erradicação, recuperação, lições aprendidas e comunicações internas/externas quando aplicável.

13. Treinamento e Conscientização

Promover programas periódicos de conscientização em segurança da informação para todos os públicos do escopo.

14. LGPD e Privacidade

• Tratamento de dados pessoais baseado em bases legais adequadas;
• Atendimento a solicitações de titulares por canal específico;
• Avaliações de impacto e registro de operações quando aplicável.

15. Auditorias e Conformidade

Esta política está sujeita a auditorias internas/externas e verificações de conformidade. Não conformidades devem gerar plano de ação e prazos de correção.

16. Penalidades

O descumprimento desta política pode resultar em medidas disciplinares, civis e/ou criminais, conforme normas internas e legislação.

17. Vigência e Atualizações

Esta política será reavaliada a cada 4 (quatro) anos ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais.

18. Contato

Para dúvidas sobre esta política contate nosso Encarregado de Proteção de Dados (DPO): [email protected].

Política de Segurança da Informação: