POLÍTICA DE SEGURANÇA DA INFORMAÇÃO EXTERNA
Objetivo
A Política de Segurança da Informação Externa tem como objetivo o cumprimento da transparência em relação aos clientes sobre as atividades relacionadas à Segurança da Informação executadas pela LUMIS bem como orientar aos fornecedores quanto ao mínimo de Segurança da Informação requerido deles no tratamento das informações referentes à LUMIS.
Estabelecer as diretrizes para criação, transmissão, processamento, utilização, armazenamento, recuperação e descarte de informações a fim de preservar as informações quanto aos seguintes princípios:
- Integridade: garantia de que a informação seja mantida em seu estado original, exata e completa;
- Confidencialidade: garantia de que o acesso à informação esteja disponível somente para pessoas, entidades ou processos autorizados;
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
A LUMIS considera em suas políticas de segurança da informação o processo contínuo no qual os riscos são identificados, analisados, avaliados, tratados e reduzidos a um nível aceitável.
Documentos de Referência
Destacamos abaixo as principais referências que orientam esta política.
- NBR ISO/IEC 27002: 2013;
- NBR ISO/IEC 27701:2019;
- CIS Controls V8.0;
- NIST 800-53;
- Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018.
Definições
Destacamos abaixo as principais definições que orientam esta política.
Colaboradores - Todos os prestadores de serviços terceiros, bem como todos e quaisquer colaboradores.
Vírus – Programa de computador malicioso que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas de arquivos;
Ransomware – Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate para restabelecer o acesso ao usuário;
Phishing – Links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais;
Incidente - Qualquer ocorrência que afete ou venha a afetar a confidencialidade, integridade e/ou disponibilidade da informação ou das tecnologias de informação, com prejuízo financeiro, reputacional ou operacional;
Fornecedores - Toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos;
Tratamento da Informação - Toda operação realizada com dados pessoais como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais;
Política Para Transferência de Informações
Os requisitos para confidencialidade da informação estão descritos em contratos através de cláusulas de confidencialidade.
Os colaboradores devem ser cautelosos na utilização de quaisquer meios de comunicação (web, e-mail, telefone etc.).
Os colaboradores devem usar navegadores e clientes de e-mail homologados e autorizados pela equipe de Tecnologia da Informação. O correio eletrônico corporativo fornecido pela LUMIS deve ser utilizado para fins das atividades corporativas.
É expressamente proibido:
- Os dados pessoais transmitidos por redes públicas de transmissão de dados devem ser criptografados antes da transmissão.
- Os dados pessoais transmitidos utilizando uma rede de transmissão de dados devem estar sujeitos a controles apropriados, projetados para assegurar que os dados alcancem o seu destino pretendido.
Política de controle de acesso
Os colaboradores sob controle do fornecedor com acesso aos dados da LUMIS, incluindo qualquer terceiro contratado pelo mesmo, devem estar sujeitos a uma obrigação de confidencialidade.Devem existir procedimentos para registro e cancelamento do usuário que tratem a situação quando o controle de acesso do usuário estiver comprometido, como a corrupção ou o comprometimento de senhas ou outros dados de registro do usuário (por exemplo, como resultado de uma divulgação involuntária).
Deve existir um registro atualizado dos usuários ou perfis de usuários que tenham acesso autorizado ao sistema de informações. Os dados pessoais armazenados no fornecedor ou fora de suas dependências devem estar sujeitos a um procedimento de autorização e não devem ser acessíveis a qualquer pessoa que não seja o pessoal autorizado. Que este conteúdo, por exemplo, esteja criptografado.
Política de Fornecedores
A identificação e a contratação de fornecedor de produto, ou prestador de serviço de qualquer natureza, devem ser baseadas nas necessidades da LUMIS e balizadas por critérios técnicos e profissionais. A identificação e a contratação desses fornecedores ou prestadores de serviços devem ser conduzidas por meio de cotação de preços, ou de concorrência, que garantam a melhor combinação de custo, prazo e qualidade. São vedados os negócios com fornecedores ou prestadores de serviço de reputação duvidosa ou que não respeitem as normas e exigências constantes no nosso código de Ética.
Sem prejuízo do disposto neste item, caso você deseje contratar fornecedor de produto ou prestador de serviço de qualquer natureza (pessoa física ou jurídica) com o qual você tenha relação familiar ou estreito relacionamento pessoal, ou no qual tenha participação societária relevante ou exerça cargo de administração, você deverá solicitar autorização do Comitê de Compliance da LUMIS.
Política de Backup
A LUMIS deverá garantir periodicamente backup dos ativos de informação, para propósitos de recuperação operacional, continuidade do negócio, legislação e regulamentação aplicável ou questões contratuais de cada cliente. Testes periódicos de restauração são realizados nos backups de acordo com cada tipo de informação conforme a estratégia de negócio da LUMIS. - Todo fornecedor contratado pela LUMIS deve possuir a devida proteção de dados, assegurar a continuidade das operações assim como possibilitar a restauração após um sinistro.
A LUMIS deve estar ciente do local onde as cópias de segurança são mantidas pelo fornecedor, o tempo de retenção bem como cada fornecedor permite a exclusão dessas informações retidas.
Política Para Conscientização, Educação e Treinamento
Todo colaborador da LUMIS deve estar ciente da importância da conscientização, educação e treinamento em segurança da informação que devem ser adequados aos papéis, responsabilidade e das pessoas. Estas diretrizes explicitam que todos os cargos (e consequentemente todas as pessoas) possuem responsabilidades com o processo de segurança da informação. Um plano de conscientização da segurança da informação deve ser elaborado e executado para atingir o seguinte objetivo:
“Garantir que a segurança da informação seja conhecida e compreendida por todos os funcionários e colaboradores, conscientizando-os sobre melhores práticas, riscos e responsabilidades existentes e que devem ser adotadas quando houver incidentes de segurança.”
Política Para a Conformidade com Requisitos Legais e Contratuais
Os requisitos legislativos, regulamentares e contratuais aplicáveis à LUMIS devem ser identificados, documentados e atualizados, bem como os responsáveis diretos pela conformidade com estes requisitos.
Política Para Desenvolvimento de Software
O desenvolvimento de software deve ser realizado através de um processo formal e utilizando uma metodologia. Deve ser realizado em ambiente de desenvolvimento separado e seguro e considerando também a segurança para cenários de reuso de código
Modificações em softwares devem ser controladas através de um processo de mudanças.
Política de Registro e Monitoramento
O fornecedor contratado pela LUMIS deve deixar claro os critérios sobre se, quando e como as informações de registros podem ser disponibilizadas ou utilizadas, além de informar como garante a proteção desses registros para evitar a visibilidade dessas informações por pessoas não autorizadas, bem como inibir a exclusão desses registros antes do tempo.
Plano de Resposta a Incidente
O fornecedor deve cooperar com a LUMIS em todo incidente de segurança da informação, como por exemplo para determinar se ocorreu uma violação de dados que envolva dados pessoais. Todo incidente de segurança da informação deve provocar uma análise crítica pelo fornecedor como parte de seu processo de gestão de incidentes de segurança da informação, para determinar se ocorreu uma violação de dados que envolvam dados pessoais.
Conclusão
A equipe de segurança da informação da LUMIS adotou essas políticas de segurança para proteger as informações que a LUMIS utiliza para atingir seus objetivos de negócios. No entanto, a responsabilidade de manter e apoiar a segurança está implícita nas funções e tarefas diárias de todos os colaboradores e prestadores de serviços.
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da LUMIS.
Data da última atualização: 13 de Setembro de 2023.