Limpar Busca
Guia de Privacidade

Politica de Segurança Externa

Seguimos as melhores práticas de governança para garantir segurança e confiança em todas as nossas relações.

1. Objetivo

Esta Política de Segurança da Informação Externa tem como objetivo:

  • Assegurar a transparência junto aos clientes sobre as atividades de Segurança da Informação executadas pela LUMIS;
  • Orientar fornecedores quanto ao nível mínimo de Segurança da Informação requerido no tratamento das informações referentes à LUMIS;
  • Estabelecer diretrizes para criação, transmissão, processamento, uso, armazenamento, recuperação e descarte de informações, preservando-as quanto aos seguintes princípios:
    • Integridade: manter a informação exata, completa e inalterada;
    • Confidencialidade: acesso restrito a pessoas, entidades ou processos autorizados;
    • Disponibilidade: garantir que usuários autorizados acessem a informação sempre que necessário.

A LUMIS adota um processo contínuo de identificação, análise, avaliação, tratamento e redução de riscos a um nível aceitável.

2. Documentos de Referência

  • NBR ISO/IEC 27002:2013
  • NBR ISO/IEC 27701:2019
  • CIS Controls V8.0
  • NIST 800-53
  • Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018)

3. Definições

  • Colaboradores: prestadores de serviços terceirizados e funcionários;
  • Vírus: software malicioso que se propaga inserindo cópias de si mesmo;
  • Ransomware: programa que criptografa dados exigindo resgate;
  • Phishing: envio de links falsos para obter informações confidenciais;
  • Incidente: evento que afeta confidencialidade, integridade ou disponibilidade, causando prejuízo;
  • Fornecedores: pessoas físicas ou jurídicas envolvidas na cadeia de produtos ou serviços;
  • Tratamento da Informação: qualquer operação realizada com dados pessoais (coleta, armazenamento, transmissão, etc.).

4. Política para Transferência de Informações

  • Cláusulas de confidencialidade em contratos garantem a proteção das informações.
  • Comunicação (web, e-mail, telefone) deve ser cautelosa e usar ferramentas homologadas pelo TI.
  • E-mails corporativos devem ser usados apenas para atividades da LUMIS.
  • Dados pessoais transmitidos em redes públicas devem ser criptografados e controlados para garantir entrega segura.

5. Política de Controle de Acesso

  • Colaboradores de fornecedores com acesso a dados LUMIS devem assinar obrigações de confidencialidade.
  • Procedimentos devem existir para registro, cancelamento e recuperação de acessos comprometidos.
  • Manter registro atualizado de usuários/perfis autorizados.
  • Dados pessoais fora da LUMIS devem estar criptografados e acessíveis somente a pessoal autorizado.

6. Política de Fornecedores

  • Contratação com base em necessidades da LUMIS e critérios técnicos/profissionais.
  • Processo de cotação ou concorrência para melhor custo, prazo e qualidade.
  • Proibição de negócios com fornecedores de reputação duvidosa ou que violem o Código de Ética.
  • Contratações com vínculos pessoais ou societários exigem autorização do Comitê de Compliance.

7. Política de Backup

  • Backups periódicos dos ativos de informação para recuperação, continuidade e conformidade legal.
  • Testes de restauração realizados conforme estratégia de negócio.
  • Fornecedores devem garantir proteção, continuidade e restauração após incidentes.
  • LUMIS deve conhecer local, tempo de retenção e procedimento de exclusão dos backups de fornecedores.

8. Política para Conscientização, Educação e Treinamento

Todos os colaboradores devem ser conscientizados e treinados em segurança da informação, com plano anual para:

“Garantir que a segurança da informação seja conhecida e compreendida por todos, orientando sobre boas práticas, riscos e responsabilidades.”

9. Política para Conformidade com Requisitos Legais e Contratuais

Requisitos legislativos, regulamentares e contratuais devem ser identificados, documentados e atualizados, com responsáveis claros pela conformidade.

10. Política para Desenvolvimento de Software

  • Uso de processo formal e metodologia em ambiente de desenvolvimento seguro.
  • Controle de mudanças em softwares por meio de processo de gestão de mudanças.

11. Política de Registro e Monitoramento

Fornecedores devem definir critérios para registro de eventos, proteção desses registros e proibição de exclusão não autorizada.

12. Plano de Resposta a Incidente

Fornecedores cooperam em incidentes de segurança, realizando análise crítica para identificar violações de dados pessoais e apoiar a LUMIS em investigações.

13. Conclusão

A equipe de Segurança da Informação da LUMIS adotou estas políticas para proteger os ativos de informação necessários ao negócio. A segurança é responsabilidade de todos colaboradores e fornecedores, fazendo parte da cultura interna da LUMIS.

Data da última atualização: 13 de Setembro de 2023