Política de Segurança

Atualizado em:
24/06/2025

Objetivo e Compromisso

Garantir a aplicação dos princípios, diretrizes e controles voltados à proteção da informação e da
propriedade intelectual da MTP, de seus clientes, colaboradores e demais partes interessadas.
Essa proteção abrange a confidencialidade, integridade, disponibilidade e autenticidade dos dados
e sistemas, em conformidade com os requisitos da norma ISO/IEC 27001:2022,
boas práticas de segurança cibernética, legislação aplicável e diretrizes da
ISO/IEC 42001:2023 no contexto do uso de tecnologias de inteligência artificial.

A MTP compromete-se com a melhoria contínua do Sistema de Gestão de Segurança da Informação (SGSI),
por meio da revisão periódica de riscos, auditorias, análises críticas e adoção de medidas
preventivas e corretivas que fortaleçam a resiliência organizacional frente às ameaças do
ambiente digital.

Público-alvo

Aplica-se a todos os colaboradores (empregados, estagiários, menores aprendizes e administradores),
prestadores de serviços, fornecedores, clientes, parceiros, órgãos governamentais e demais partes
interessadas que tenham relação com informações e ativos da MTP.

Glossário

Para efeito desta Política, entende-se por:

Confidencialidade: Propriedade de que a informação não está disponível ou revelada a pessoas ou entidades não autorizadas.
Integridade: Propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.
Disponibilidade: Propriedade de que a informação esteja acessível e utilizável sob demanda.
Autenticidade: Garantia de que a informação é genuína e proveniente de fonte confiável.
Segurança da Informação: Conjunto de práticas, políticas e controles voltados à proteção da informação em qualquer formato
(digital, físico ou verbal), garantindo sua confidencialidade, integridade, disponibilidade e autenticidade.
Segurança Cibernética: Ramo da segurança da informação focado na proteção de sistemas, redes, dispositivos e dados contra
ameaças e ataques digitais, como malware, phishing, ransomware e invasões.
Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: Dado pessoal sobre origem racial, convicções, saúde, vida sexual, dados genéticos ou biométricos.
Resiliência cibernética: Capacidade de antecipar, resistir, recuperar e adaptar-se a ameaças ou falhas cibernéticas.
Governança de IA: Práticas e controles voltados à segurança, rastreabilidade, ética e transparência no uso de sistemas
de inteligência artificial.
Exclusão segura: Remoção definitiva de informações de forma que não possam ser recuperadas por nenhum meio.

Princípios da Segurança da Informação

O compromisso da MTP é tratar de forma adequada as informações da própria MTP, bem como de seus
funcionários, prestadores de serviços, clientes, fornecedores e demais partes interessadas,
fundamentando-se nos seguintes princípios:

Confidencialidade: acesso restrito a pessoas autorizadas.
Integridade: manutenção da exatidão e consistência das informações.
Disponibilidade: acesso garantido quando necessário.
Autenticidade: garantia da origem e autoria das informações.
Resiliência: capacidade de prevenir, detectar e recuperar-se de incidentes de segurança.

Determinações da Segurança da Informação

A Segurança da Informação da MTP Brasil estabelece as seguintes determinações:

As informações da MTP e de terceiros devem ser tratadas com ética, sigilo e em conformidade com leis e normas internas.
Informações devem ser utilizadas apenas para as finalidades específicas para as quais foram coletadas.
O acesso a informações e sistemas deve seguir o princípio do menor privilégio e estar condicionado à autorização prévia.
Todos os usuários devem ter identificação única, pessoal e intransferível.
O compartilhamento de senhas é proibido.
A segurança deve ser considerada desde a concepção de sistemas e processos (security by design e by default).
Devem ser implementados controles de prevenção de vazamento de dados (DLP).
Acesso a ambientes físicos e virtuais deve ser controlado e monitorado.
Toda concessão, revisão e revogação de acesso deve seguir os processos estabelecidos.
Incidentes de segurança devem ser comunicados à área de TI imediatamente.
A exclusão de informações deve seguir práticas de exclusão segura.
Fornecedores e terceiros devem atender aos requisitos de segurança e proteção de dados estabelecidos pela MTP.

Processos de Segurança da Informação

Para assegurar que as informações tratadas estejam adequadamente protegidas, a MTP adota os seguintes processos:

Gestão de Ativos da Informação:
Entende-se por “Ativos da Informação” tudo o que pode criar, processar, armazenar, transmitir e até excluir
a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e
dependências físicas). Os ativos da informação, de acordo com sua criticidade, devem ser identificados de
forma individual, inventariados e protegidos de acessos indevidos, fisicamente (salas com acesso controlado)
e logicamente (configurações de blindagem, autenticação e autorização) conforme apropriado.
Classificação da Informação:
As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias,
nos seguintes níveis: Pública (informação que pode ser divulgada em qualquer meio sem que isso suponha
nenhum risco para a segurança da informação da organização), Privada (informação que pode ser conhecida
unicamente pelo pessoal da organização) e Confidencial (informação que só pode ser conhecida por gerência
e as pessoas adicionais habilitadas por esta). Para isso, devem ser consideradas as necessidades relacionadas
ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
Gestão de Acessos:
As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da MTP.
Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam
identificar individualmente o colaborador ou prestador de serviço, para que seja responsabilizado
por suas ações.
Gestão de Riscos:
Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades,
ameaças e impactos sobre os ativos de informação da MTP, para que sejam recomendadas as proteções adequadas.
Tratamento de Incidentes de Segurança da Informação e Segurança Cibernética:
A área de Infraestrutura de TI e Governança Corporativa da MTP Brasil deve realizar a monitoração de
segurança do ambiente tecnológico da MTP, analisando os eventos e alertas com o objetivo de identificar
possíveis incidentes. Os desvios e as falhas de segurança identificados não devem ser explorados ou
utilizados indevidamente.
Conscientização:
A MTP promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de treinamento,
com o objetivo de fortalecer a cultura de Segurança da Informação.
Governança com Áreas de Negócio e Tecnologia:
As iniciativas e projetos das áreas de negócio e tecnologia devem estar alinhadas com as diretrizes e
arquiteturas de segurança da informação, garantindo a confidencialidade, integridade e disponibilidade
das informações.
Segurança Física do Ambiente:
O processo de Segurança Física estabelece controles relacionados à concessão de acesso físico ao ambiente
somente a pessoas autorizadas.
Segurança no Desenvolvimento de Sistemas:
O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança
da MTP e às boas práticas de segurança.
Gravação de Logs:
É obrigatória a gravação de logs ou trilhas de auditoria do ambiente computacional de forma a permitir
identificar quem fez o acesso, quando o acesso foi feito, o que foi acessado e como foi acessado.
As informações dos registros (logs) ou trilhas de auditoria devem ser protegidas contra modificações
e acessos não autorizados.
Proteção de Sistemas e Monitoramento:
Para proteção da infraestrutura da MTP contra eventos externos desfavoráveis ao negócio, utilizamos
ferramentas e controles contra eventos que afetem a disponibilidade, spam, phishing, malware, invasão
de dispositivos de rede e servidores, ataques de aplicação e scan externos. No sentido de
nos protegermos contra vazamento de informações, utilizamos diversas ferramentas preventivas, seja no
serviço de correio eletrônico, serviço de navegação web, no serviço de impressão, além de criptografia
onde aplicável e necessário.
Continuidade dos Negócios:
As soluções de continuidade de negócios e de recuperação de desastres devem considerar controles que
mantenham a segurança da informação e segurança cibernética e a proteção à privacidade nos níveis contratados.
Contratação de Serviços:
Os serviços contratados pela MTP devem considerar os critérios de Segurança da Informação, Segurança
Cibernética, privacidade e proteção de dados definidos na presente política.

Segurança e Governança de Sistemas de Inteligência Artificial

A MTP reconhece que o uso de tecnologias baseadas em inteligência artificial (IA) exige cuidados adicionais no
que diz respeito à segurança da informação, ética, transparência e responsabilidade. Por isso, adota os seguintes
princípios e diretrizes, alinhados à norma ISO/IEC 42001:2023:

Governança de IA:
Todo uso de IA pela MTP deve estar submetido à governança corporativa, com definição clara de responsáveis,
critérios de aprovação e avaliação contínua de riscos relacionados à operação dos modelos.
Gestão do Ciclo de Vida da IA:
Os sistemas de IA devem ser gerenciados em todo o seu ciclo de vida, desde a concepção, desenvolvimento,
validação, operação, manutenção e desativação, considerando os impactos sobre a segurança da informação
e a proteção de dados.
Transparência e Explicabilidade:
A MTP compromete-se a garantir a transparência sobre o uso de IA, permitindo que usuários internos e externos
compreendam os critérios utilizados por sistemas automatizados. Sempre que aplicável, haverá a possibilidade
de contestação de decisões automatizadas e revisão humana.
Ética e Não Discriminação:
Os sistemas de IA não devem gerar decisões discriminatórias. A MTP adota práticas para mitigar vieses
algorítmicos, promover equidade e assegurar o uso responsável da automação, alinhado aos princípios éticos
da organização.
Segurança da IA:
Devem ser adotadas medidas específicas de proteção contra ataques adversariais, vazamento de dados de
treinamento e manipulação de modelos. O acesso aos modelos, dados e pipelines de IA deve ser
controlado, monitorado e registrado.
Privacidade e Proteção de Dados:
Todo uso de IA que envolva dados pessoais deve estar em conformidade com a LGPD e políticas internas de
privacidade, incluindo avaliação de impacto à proteção de dados, quando necessário.
Capacitação e Conscientização:
A MTP promoverá treinamentos específicos para que os profissionais compreendam os riscos e boas práticas
associados à governança de IA.

Propriedade Intelectual e Conformidade

A propriedade intelectual é composta por bens materiais, tais como marcas, sinais distintivos, slogans
publicitários, nomes de domínio, programas de computador e segredos empresariais (inclusive segredos
de indústria e comércio). Quaisquer informações e propriedade intelectual que pertençam à MTP não devem
ser utilizadas para fins particulares, nem repassadas a quaisquer outros a quem não tenham direito de acessá-la.

Declaração de Responsabilidade

Todos os colaboradores, prestadores de serviços e terceiros devem aderir a esta Política. Os contratos devem
incluir cláusulas de confidencialidade. A adesão será solicitada sempre que houver atualização desta Política.

Medidas Disciplinares

As violações a esta Política estarão sujeitas às sanções disciplinares previstas nas normas internas da MTP
e na legislação vigente no Brasil.

Revisão e Auditoria

Esta Política será revisada no mínimo anualmente ou sempre que houver mudanças relevantes no ambiente
regulatório, tecnológico ou organizacional. Auditorias internas e externas avaliarão sua efetividade.

Responsáveis

O Comitê de Segurança da Informação da MTP é o responsável pela supervisão, atualização, proteção e
implementação desta Política.

Política de Segurança da Informação, Segurança Cibernética e Segurança no Uso de Inteligência Artificial