Política Corporativa de Segurança da Informação e Segurança Cibernética

OBJETIVO E COMPROMISSO

Garantir a aplicação dos princípios e diretrizes de proteção da propriedade intelectual e das informações da organização, dos clientes e outras partes interessadas, em alinhamento com os requisitos do negócio e observando as regulamentações aplicáveis e melhores práticas de mercado, de forma a assegurar a confidencialidade, a integridade, a disponibilidade e a autenticidade dos serviços e sistemas de informação e dos recursos gerenciados pela MTP.

A MTP possui o compromisso de satisfazer os requisitos relacionados com a segurança da informação aplicáveis ao seu negócio. Além disso, a MTP compromete-se a promover a melhoria contínua do sistema de gestão da segurança da informação, através de suas reuniões anuais de análise crítica.

 

PÚBLICO-ALVO

Colaboradores (empregados, menores aprendizes, estagiários e administradores), prestadores de serviços, clientes, fornecedores, órgãos governamentais e demais partes interessadas do negócio.

 

GLOSSÁRIO

Para efeito desta Política entende-se por:

  1. Confidencialidade: propriedade de que a informação não está disponível ou revelada a pessoas ou qualquer entidade não-autorizado;
  2. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  3. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  4. Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
  5. Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
  6. Segurança Cibernética: ramo da segurança da informação que protege contra ataques cibernéticos;
  7. Segurança da Informação: ações que visam viabilizar e assegurar a confidencialidade, integridade, disponibilidade e autenticidade das informações.

 

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

O compromisso da MTP é tratar de forma adequada as informações da própria MTP, bem como de seus funcionários, prestadores de serviços, clientes, fornecedores e demais partes interessadas, fundamentando-se nos seguintes princípios:

  1. Confidencialidade: o acesso à informação será obtido somente por pessoas autorizadas e quando ele for de fato necessário;
  2. Disponibilidade: as pessoas autorizadas terão acesso à informação sempre que necessário;
  3. Integridade: garantir a exatidão e a completude da informação e dos métodos de seu processamento, bem como a transparência no trato com o público envolvido.

 

DETERMINAÇÕES DA SEGURANÇA DA INFORMAÇÃO

A Segurança da Informação na MTP estabelece as seguintes determinações:

  1. As informações da MTP, dos funcionários, dos clientes e demais partes interessadas devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida;
  2. A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;
  3. Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores, para que a atividade não seja executada e controlada pelo mesmo colaborador ou equipe;
  4. O acesso às informações e recursos só deve ser feito se devidamente autorizado;
  5. A identificação de qualquer colaborador ou prestador de serviços deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
  6. A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;
  7. A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento;
  8. Todo colaborador ou prestador de serviços deve reportar os riscos às informações à área de TI da MTP;
  9. As diretrizes sobre Segurança da Informação serão amplamente divulgadas às partes interessadas.

 

PROCESSO DE SEGURANÇA DA INFORMAÇÃO

Para assegurar que as informações tratadas estejam adequadamente protegidas, a MTP adota os  seguintes processos:

  1. Gestão de Ativos da Informação: Entende-se por “Ativos da Informação” tudo o que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos ("software" e "hardware") e não tecnológicos (pessoas, processos e dependências físicas). Os ativos da informação, de acordo com sua criticidade, devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, fisicamente (salas com acesso controlado) e logicamente (configurações de blindagem, autenticação e autorização) conforme apropriado;
  2. Classificação da Informação: As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Pública (informação que pode ser divulgada em qualquer meio que possa ser divulgada em qualquer meio sem que isso suponha nenhum risco para a segurança da informação da organização), Privada (informação que pode ser conhecida unicamente pelo pessoal da organização) e Confidencial (informação que só pode ser conhecida por gerência e as pessoas adicionais habilitadas por esta). Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
  3. Gestão de Acessos: As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da MTP. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador ou prestador de serviço, para que seja responsabilizado por suas ações;
  4. Gestão de Riscos: Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da MTP, para que sejam recomendadas as proteções adequadas;
  5. Tratamento de Incidentes de Segurança da Informação e Segurança Cibernética:  A área de Governança em TI deve realizar a monitoração de segurança do ambiente tecnológico da MTP, analisando os eventos e alertas com o objetivo de identificar possíveis incidentes. Os desvios e as falhas de segurança identificados não devem ser explorados ou utilizados indevidamente;
  6. Conscientização em Segurança da Informação e Segurança Cibernética: A MTP promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de treinamento, com o objetivo de fortalecer a cultura de Segurança da Informação; 
  7. Governança com as Áreas de Negócio e Tecnologia: As iniciativas e projetos das áreas de negócio e tecnologia devem estar alinhadas com as diretrizes e arquiteturas de segurança da informação, garantindo a confidencialidade, integridade e disponibilidade das informações;
  8. Segurança Física do Ambiente: O processo de Segurança Física visa estabelecer controles relacionados à concessão de acesso físico ao ambiente somente a pessoas autorizadas;
  9. Segurança no Desenvolvimento de Sistemas de Aplicação: O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança da MTP e às boas práticas de segurança;
  10. Gravação de LOGs:  É obrigatória a gravação de logs ou trilhas de auditoria do ambiente computacional de forma a permitir identificar quem fez o acesso, quando o acesso foi feito, o que foi acessado e como foi acessado. As informações dos registros (logs) ou trilhas de auditoria devem ser protegidas contra modificações e acessos não autorizados;
  11. Proteção de perímetro: Para proteção da infraestrutura da MTP contra eventos externos desfavoráveis ao negócio, utilizamos ferramentas e controles contra: eventos que afetem a disponibilidade, Spam, Phishing, Malware, invasão de dispositivos de rede e servidores, ataques de aplicação e scan externos. No sentido de nos protegermos contra vazamento de informações, utilizamos diversas ferramentas preventivas, seja no serviço de correio eletrônico, serviço de navegação WEB, no serviço de impressão, além de criptografia onde aplicável e necessário;
  12. Continuidade dos Negócios: As soluções de continuidade de negócios e de recuperação de desastres devem considerar controles que mantenham a segurança da informação e segurança cibernética e a proteção à privacidade nos níveis contratados.
  13. Contratação de Serviços: Os serviços contratados pela MTP devem considerar os critérios de Segurança da Informação, Segurança Cibernética, privacidade e proteção de dados definidos na presente política;
  14. Revisão desta Política: A Política de Segurança da Informação e Segurança Cibernética deverá ser revisada pelo menos a cada dois anos ou quando houver situações significativas nos processos da MTP que impliquem na necessidade de alteração.

 

AVALIAÇÃO INDEPENDENTE DA AUDITORIA

A efetividade dessa Política de Segurança da Informação é verificada por meio de avaliações no mínimo anuais através de Auditoria Interna.

 

PROPRIEDADE INTELECTUAL

A propriedade intelectual é composta por bens imateriais, tais como: marcas, sinais distintivos, slogans publicitários, nomes de domínio, programas de computador e segredos empresariais (inclusive segredos de indústria e comércio). Quaisquer informações e propriedade intelectual que pertençam a MTP, não devem ser utilizadas para fins particulares, nem repassadas a quaisquer outros a quem não tenham direito de acessá-la.

 

DECLARAÇÃO DE RESPONSABILIDADE

Sempre que houver atualização de sua Política de Segurança da Informação a MTP solicitará a aderência a ela aos seus colaboradores e prestadores de serviços. Os contratos firmados com a MTP devem possuir cláusula que assegure a confidencialidade das informações.

 

MEDIDAS DISCIPLINARES

As violações a esta política estão sujeitas às sanções disciplinares previstas nas normas internas da MTP e na legislação vigente no Brasil.

 

RESPONSÁVEIS

O Comitê da Segurança da Informação da MTP é o responsável pela atualização, proteção, supervisão e implementação desta Política.