POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E TECNOLOGIA

1. OBJETIVO

Estabelecer diretrizes claras e abrangentes para o uso adequado dos recursos de Tecnologia da Informação (TI) e para garantir a segurança, integridade, confidencialidade e disponibilidade das informações em conformidade com normas legais e regulatórias aplicáveis, incluindo a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) e frameworks internacionais.

2. ESCOPO E ABRANGÊNCIA

Aplica-se a todos os colaboradores, estagiários, terceiros, prestadores de serviços, fornecedores e parceiros que utilizem informações, ativos de informática ou recursos tecnológicos disponibilizados pela organização, independentemente da localidade geográfica.

3. DEFINIÇÕES

As definições aplicáveis a esta política estão reunidas em um glossário único (ver Anexo I), contemplando termos relacionados à LGPD, segurança da informação, ativos de informática, sistemas corporativos, internet, rede de dados e impressão.

4. GOVERNANÇA E COMPLIANCE

•  A organização mantém um programa de governança de segurança da informação alinhado à ISO 27001 e legislações locais.
• Existe um Encarregado de Proteção de Dados (DPO) responsável por garantir o cumprimento da LGPD e atuar como ponto de contato com autoridades e titulares de dados.
• Todas as operações de tratamento de dados pessoais devem ser mapeadas, avaliadas e documentadas.

5. DIRETRIZES GERAIS DE SEGURANÇA DA INFORMAÇÃO

• As informações produzidas ou custodiadas pela organização são patrimônio da empresa e devem ser classificadas e protegidas.
• O acesso às informações e recursos deve ser concedido pelo princípio do menor privilégio.
• O uso de recursos corporativos pode ser monitorado.
• Incidentes de segurança devem ser reportados formalmente à área de TI.
• O uso pessoal dos recursos é tolerado desde que não comprometa a segurança, o desempenho ou a imagem da empresa.

6. SEGURANÇA DE ACESSO E SENHAS

• Credenciais são pessoais e intransferíveis.
• Senhas devem conter no mínimo 8 caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais.
• MFA (autenticação multifator) é obrigatório para acessos críticos.
• Senhas devem ser alteradas no primeiro acesso e a cada 90 dias.
• É proibido reutilizar as últimas 5 senhas.
• Após 3 tentativas inválidas, a conta será bloqueada.

7. USO DOS RECURSOS TECNOLÓGICOS

7.1 Ativos de Informática

• São propriedade da empresa e destinados ao uso profissional.
• Devem ser inventariados e configurados pela área de TI.
• É proibido armazenar arquivos improdutivos (filmes, músicas, fotos pessoais).
• Dispositivos móveis e mídias removíveis devem ser utilizados com cautela.

7.2 Rede de Dados

• O acesso ocorre mediante autenticação.
• É proibida a conexão de equipamentos pessoais ou de visitantes.
• Compartilhamento de diretórios somente em situações justificadas.
• Contas genéricas somente em casos justificados e com aprovação da TI.

7.3 Internet

• Recurso corporativo monitorado.
• Uso pessoal tolerado desde que não comprometa segurança ou desempenho.
• É proibido acessar conteúdos ilícitos ou que afetem a ética e valores da empresa.

7.4 Impressão

• Impressões devem ser limitadas ao necessário.
• Priorizar impressão frente e verso.
• Documentos confidenciais devem ser retirados imediatamente da impressora.
• Uso pessoal tolerado de forma limitada e responsável.

7.5 Sistemas Corporativos

• Acesso concedido apenas mediante solicitação formal.
• Credenciais de uso pessoal e intransferível.
• Tentativas de acesso não autorizado são proibidas.
• Contas genéricas somente em casos excepcionais e com aprovação da TI.

8. PROTEÇÃO E TRATAMENTO DE DADOS PESSOAIS (LGPD)

Para fins da LGPD, a ICC é a Controladora dos dados pessoais tratados no escopo desta política e a RL Solucion atua como Operadora (terceira).

Em caso de incidente de segurança envolvendo dados pessoais, a RL Solucion deverá comunicar a ICC em até 24 (vinte e quatro) horas a contar da ciência do incidente, descrevendo a ocorrência,
os dados afetados, as medidas de contenção adotadas e o plano de remediação.

• O tratamento de dados deve obedecer aos princípios da LGPD: finalidade, adequação, necessidade, transparência e segurança.
• Consentimento deve ser obtido quando aplicável e registrado.
• Dados pessoais devem ser armazenados apenas pelo tempo necessário.
• Titulares têm direito de acesso, correção, exclusão e portabilidade.
• Incidentes com dados pessoais devem seguir protocolo interno e, quando necessário, comunicação à ANPD.

9. CONTROLE DE ACESSO E GESTÃO DE CONTAS

• Todas as solicitações de criação, alteração ou remoção de acessos devem ser formalizadas.
• Contas de colaboradores desligados devem ser bloqueadas imediatamente.
• Monitoramentos e auditorias de acessos serão realizados periodicamente.

10. PROTEÇÃO CONTRA AMEAÇAS E INCIDENTES

• Sistemas devem ser atualizados e protegidos com antivírus e firewall.
• Uso de VPN é obrigatório em redes públicas.
• Todos devem reportar incidentes ou suspeitas de phishing imediatamente.
• A empresa mantém plano de resposta a incidentes e de continuidade de negócios.

11. TREINAMENTO E CONSCIENTIZAÇÃO

• Todos os colaboradores devem participar de treinamentos periódicos sobre segurança e privacidade.
• Campanhas de conscientização reforçarão a importância da proteção da informação.

12. PAPÉIS E RESPONSABILIDADES

Usuários

• Cumprir integralmente esta política.
• Proteger credenciais e utilizar os recursos de forma responsável.
• Reportar incidentes imediatamente.

Gestores

• Garantir que sua equipe conheça e cumpra a política.
• Solicitar ou revogar acessos sob sua gestão.
• Controlar uso de contas genéricas e ativos.

Área de TI

• Administrar ativos, redes, sistemas, internet e impressão.
• Monitorar recursos tecnológicos.
• A ICC coordenará os treinamentos de Segurança da Informação e o processo de revisão desta PSI; a RL Solucion apoiará a execução e fornecerá insumos técnicos.

Recursos Humanos

• Garantir ciência da política no momento da contratação.
• Comunicar desligamentos à TI para revogação de acessos.

DPO (Encarregado de Dados)

• Garantir conformidade com a LGPD.
• Atuar como ponto de contato com titulares e ANPD.

13. PENALIDADES

O descumprimento desta política poderá resultar em advertência, suspensão de acesso, medidas disciplinares, rescisão contratual e, se aplicável, ações legais.

14. REVISÃO E ATUALIZAÇÃO

• Esta política será revisada anualmente ou sempre que houver mudanças relevantes em legislação, tecnologia ou operações.
• Casos omissos serão analisados pela TI da ICC em conjunto com membros da Diretoria, não sendo delegada a terceiros a decisão sobre exceções à PSI.

15. CLASSIFICAÇÃO DA INFORMAÇÃO

– As informações devem ser classificadas em: Pública, Interna, Confidencial e Restrita.
– Cada nível de classificação deve ter controles de segurança específicos.
– Documentos impressos ou digitais devem conter indicação clara de sua classificação.

16. GESTÃO DE RISCOS

– A organização deve manter processo de identificação, avaliação e tratamento de riscos.
– Deve haver inventário atualizado de ativos críticos.
– Os riscos devem ser revisados periodicamente e documentados em relatórios formais.

17. POLÍTICA DE BACKUP E RECUPERAÇÃO

– Backups devem ser realizados periodicamente conforme criticidade dos sistemas.
– Cópias devem ser armazenadas em local seguro, com acesso restrito.
– Testes de restauração devem ser executados regularmente para validar eficácia.

18. SEGURANÇA FÍSICA E AMBIENTAL

– O acesso İsico a áreas críticas deve ser controlado por meio de crachás ou biometria.
– Ambientes de TI devem possuir climatização, proteção contra incêndio e energia redundante.
– Visitantes devem ser sempre acompanhados por pessoal autorizado.

19. POLÍTICA DE CLEAN DESK

– Documentos confidenciais devem ser guardados em armários trancados.
– Estações de trabalho devem ser bloqueadas ao se ausentar do posto.
– É proibido deixar senhas anotadas em papéis ou locais visíveis.

20. USO DE DISPOSITIVOS MÓVEIS E ACESSO REMOTO

– Dispositivos móveis corporativos devem possuir criptografia habilitada.
– É obrigatório o uso de VPN para acessos externos à rede corporativa.
– Em caso de perda ou roubo, o usuário deve comunicar imediatamente à TI.
– BYOD (Bring Your Own Device) só é permitido mediante autorização formal da área de TI.

21. SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS

– Todos os sistemas devem seguir práticas de desenvolvimento seguro.
– Deve haver testes de vulnerabilidade e análise de código antes de colocação em produção.
– As atualizações de sistemas devem ser aplicadas de forma tempestiva e controlada.

22. GESTÃO DE TERCEIROS E FORNECEDORES

– Contratos devem conter cláusulas específicas de confidencialidade e proteção de dados.
– Fornecedores que tratem dados pessoais devem atender à LGPD.
– Avaliações periódicas de segurança devem ser realizadas em fornecedores críticos.
– Área responsável e RACI: A (Accountable) = ICC – Tecnologia da Informação; R (Responsible) = RL Solucion; C (Consulted) = Jurídico/Encarregado (DPO) e Gestores das áreas; I (Informed) = Diretoria e colaboradores.

23. AUDITORIA, MONITORAMENTO E CONFORMIDADE

– Todos os acessos e atividades relevantes devem ser registrados em logs.
– Auditorias internas e externas serão conduzidas periodicamente.
– A conformidade com esta política deve ser avaliada anualmente e documentada.

24. REVISÃO E ATUALIZAÇÃO

Casos omissos serão analisados pela TI da ICC em conjunto com membros da Diretoria, não sendo delegada a terceiros a decisão sobre exceções à PSI.

ANEXO I – GLOSSÁRIO DE TERMOS

(Consolidação das definições: dados pessoais, dados sensíveis, tratamento de dados, consentimento, confidencialidade, integridade, disponibilidade, autenticação, credencial de acesso, conta de usuário, conta genérica, incidente de segurança, ativos de informática, impressão, informação pública, vazamento de informação, MFA, VPN etc.)

Controle do Documento

• Versão: 1.0
• Data de emissão: outubro/2025
• Área responsável: Tecnologia da Informação ICC Brazil
• Classificação: Interna, externa
• Histórico de versões: 1.0
• Aprovação: Diretoria Executiva e Encarregado de Proteção de Dados (DPO) ICC Brazil