Rua Espírito Santo, 315 - 11° andar - São Caetano do Sul - SP
(11) 4063-8400 (21) 4063-5369 (31) 4063-8512 (51) 3195-6110
Português Inglês

Política de Segurança da Informação

Versão 3a - 27/09/2022

1 - Objetivos

O objetivo da Política de Segurança da Informação (PSI) é fornecer diretrizes para proteger as informações, o fluxo de informações e serviços fornecidos aos clientes, bem como os dados e serviços de TI que garantem as operações da empresa. Além disso, a PSI deve considerar a propriedade intelectual da empresa, como códigos-fonte, informações e privacidade dos funcionários e dados dos clientes.

A proteção de dados deve levar em consideração as leis e regulamentos relativos aos dados da empresa e clientes e dos serviços prestados. Isso também se aplica a dados de clientes submetidos a normas específicas para o setor do cliente (ex.: Instituições Financeiras). Entre essas normas e leis citamos:

  • Marco Civil.
  • Lei Geral de Proteção de Dados (LGPD).
  • B3 (PQO) - para clientes do mercado financeiro.
  • RESOLUÇÃO Nº 4.893 do Banco Central - para clientes do mercado financeiro.

Todos estes documentos estão disponíveis no diretório do Sistema de Gestão da Segurança da Informação SGSI, na pasta Documentação/Legislação. A PSI também contempla os compromissos assumidos nos contratos com clientes de forma a cumprir os requisitos de segurança estipulados no mesmo.

2 - Escopo

Esta política se aplica a todos os usuários da informação da WINCO SISTEMAS, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a WINCO SISTEMAS, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da WINCO SISTEMAS e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura WINCO SISTEMAS.

3 - Papéis e Responsabilidades

3.1 Comitê Gestor da Segurança da Informação - CSI

É um Grupo de Trabalho multidisciplinar permanente, efetivado pela diretoria da WINCO SISTEMAS, que tem por finalidade tratar questões ligadas à Segurança da Informação.

É responsabilidade do CSI:

  • Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
  • Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
  • Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;
  • Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da WINCO SISTEMAS.

3.2 Gerenciamento da Segurança Da Informação

É responsabilidade da Assessoria de Informática, juntamente com a equipe de infraestrutura o Gerenciamento da Segurança da Informação:

  • Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CSI;
  • Elaborar e propor ao CSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir este PSI;
  • Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
  • Realizar a gestão dos incidentes de segurança da informação, garantindo o seu adequado tratamento.

3.3 Usuários da Informação

São usuários da informação os empregados com vínculo empregatício de qualquer área da WINCO SISTEMAS ou terceiros alocados na prestação de serviços à WINCO SISTEMAS, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da WINCO SISTEMAS para o desempenho de suas atividades profissionais.

É responsabilidade dos Usuários da Informação:

  • Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;
  • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, suas normas e procedimentos a Assessoria de Informática ou, quando pertinente, ao Comitê Gestor de Segurança da Informação CSI;
  • Comunicar à Assessoria de Informática qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da WINCO SISTEMAS;
  • Assinar o Termo de Uso de Sistemas de Informação da WINCO SISTEMAS, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
  • Assinar o Termo de Confidencialidade ou NDA (Non Disclosure Agreement) pelo qual se compromete a não divulgar informações que não sejam públicas e zelar pela confidencialidade das mesmas.
  • Ler, compreender e cumprir integralmente, com a disponibilização de treinamento ou do material descrito, os preceitos do documento DO-A7-07 - Termos de uso de sistemas de informação.

3.4 Gestor da Informação

Gestor da Informação é um usuário da informação ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

É responsabilidade dos colaboradores apontados como Gestor da Informação:

  • Definir a classificação das informações sob sua responsabilidade com base nas categorias de classificação definidos pela PSI, mantendo um registro atualizado dos itens classificados;
  • Controlar as informações geradas em sua área de negócio e atuação;
  • Revisar periodicamente a classificação das informações sob sua guarda.

3.5 Propriedade dos Ativos Físicos e da Informação

Tanto os computadores e dispositivos usados para o trabalho, como os dados gerados pela operação da Winco são considerados como Ativos. Os Ativos da Informação gerados na execução do trabalho para terceiros e regulados via contrato de prestação de serviços pertencem ao terceiro. Os Ativos Físicos usados pelos funcionários e terceiros para a execução do trabalho, de acordo com o documento DO-A7-07 - Termos de uso de sistemas de informação, pertencem a Winco.

4 - Classificação da Informação

Para efeitos de classificação da informação, definimos as seguintes categorias:

  • INFORMAÇÃO PÚBLICA: Informação oficialmente liberada pela WINCO SISTEMAS para o público geral. A divulgação deste tipo de informação não causa problemas a WINCO SISTEMAS ou a seus clientes, podendo ser compartilhada livremente com o público geral, desde que seja mantida sua integridade.
  • INFORMAÇÃO DE USO INTERNO: Informação liberada exclusivamente para usuários e departamentos específicos da WINCO SISTEMAS, não podendo ser compartilhada com o público em geral. Estas informações só podem ser compartilhadas mediante autorização expressa.
  • INFORMAÇÃO CONFIDENCIAL: Informação de caráter sigiloso, podendo ser comunicada exclusivamente a usuários especificamente autorizados e que necessitem conhecê-las para o desempenho de suas tarefas profissionais na WINCO SISTEMAS. A divulgação ou alteração não autorizada desse tipo de informação pode causar graves danos e prejuízos para a WINCO SISTEMAS e/ou seus clientes, portanto seu compartilhamento deve ser restrito e feito de maneira controlada.

A classificação da informação deverá ser realizada pelos gestores da informação ou colaboradores designados por estes.

5 - Prevenção de Incidentes de Segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da WINCO SISTEMAS LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

A política de prevenção de incidentes engloba:

  • Controle de acesso aos dados e sistemas de informação;
  • Proteção contra ataques cibernéticos;
  • Backups de dados.

5.1 Controle de Acesso

A WINCO SISTEMAS fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa. O acesso a ativos/serviços de informação é fornecido a critério da WINCO SISTEMAS, que define permissões baseadas nas necessidades laborais dos usuários.

As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais e o acesso às mesmas deverá ser autenticado com senhas ou certificados digitais usados em conjunto ou separadamente.

5.2 Proteção contra Ataques Cibernéticos

A proteção contra ataques cibernéticos inclui mas não se limita a:

  • Uso de antivírus nos servidores e estações de trabalho;
  • Uso de firewall;
  • Segmentação das redes, inclusive as hospedadas na nuvem;
  • Atualização de segurança dos sistemas operacionais e aplicativos;
  • Testes periódicos de vulnerabilidade.

5.3 Backup de Dados

O backup dos dados é feito diariamente. Suas diretrizes seguem o documento DO-12-04 - Política de Cópias de Segurança que está disponível no diretório do Sistema de Gestão de Segurança da Informação.

6 - Resposta a incidentes

No caso de algum incidente, a WINCO SISTEMAS acionará o Plano de Respostas a Incidentes. Esse plano deverá contemplar:

  • Definição da ação imediata para interromper ou minimizar o incidente;
  • Investigação do Incidente - levantar a origem e as causas;
  • Restauração dos recursos afetados;
  • Remoção das possíveis falhas que permitiram a ocorrência do incidente;
  • Comunicação do incidente aos canais apropriados.

Mais informações sobre o Plano de Recuperação de Desastres estão no documento: PL-17.1-01 - Business Continuity Disaster Recovery Plan.

7 - Treinamento sobre Confidencialidade e Proteção de Dados

Todos os colaboradores da WINCO SISTEMAS serão submetidos a treinamento em relação a confidencialidade e proteção de dados.

Os seguintes assuntos serão abordados:

  • Importância da Confidencialidade dos dados da empresa, dos clientes e dos colaboradores da empresa;
  • Uso adequado de senhas;
  • Melhores práticas de segurança onde serão alertados contra:
    • Phishing;
    • Engenharia Social.
  • Ferramentas de segurança como antivírus.

Além do treinamento, todos os colaboradores têm de assinar um Termo de Confidencialidade/NDA (Non Disclosure Agreement) que explicita as informações sigilosas bem como o compromisso de manter a confidencialidade dos mesmos. Os Modelos do Termo de Confidencialidade / NDA estão no documento: FO-A7-01- NDA e Termo de Confidencialidade.

A não observação das políticas de segurança da informação da empresa e demais temas ministrados nos treinamentos fornecidos aos funcionários ensejam penalidades, de acordo com o documento DO-A7-07 - Termos de uso de sistemas de informação.

8 - Melhora Contínua da Gestão de Segurança

Deve ser garantida a melhora contínua dos sistemas e controles de segurança da informação de forma a identificar e melhorar possíveis pontos fracos.

Os sistemas e controles de segurança também deverão sofrer revisões periódicas para atualizá-los diante de mudanças tanto no cenário interno quanto externo. Como exemplo de mudanças podemos citar novas legislações, novos serviços e contratos bem como mudanças tecnológicas e adoção de novos sistemas.

Todos incidentes de segurança deverão ser analisados para identificar melhoras que possam evitar ou mitigar a repetição do evento. Também deverá ser feito uma crítica ao procedimento de resposta ao incidente para avaliar possíveis melhoras no mesmo.

Atenciosamente,
Equipe Winco

Copyright © Winco. (Lei 9610 de 19/02/1998)
W3C W3C Desenvolvido com MPI Technology®
chamar no WhatsApp
Instagram
Instagram
facebook
Facebook
linkedin
Linkedin