1. OBJETIVO
O propósito desta política é definir os princípios e orientações de segurança da informação, com o objetivo de proteger a organização, seus clientes e o público em geral.
2. APLICAÇÃO
Esta política aplica-se a todos os colaboradores, parceiros, estagiários e prestadores de serviços do escritório Pinheiro Guimarães.
3. REFERÊNCIAS
- Lei Geral de Proteção de Dados (LGPD);
- Regulamento Geral de Proteção de Dados (GDPR);
- Código de Conduta e Ética;
- Política de Continuidade de Negócios;
- ABNT NBR ISO IEC 27001:2022;
- ABNT NBR ISO IEC 27701:2019;
- NIST – National Institute of Standards and Technology Framework.
4. FUNDAMENTOS
A segurança da informação é definida aqui pela preservação dos seguintes princípios fundamentais:
Confidencialidade: Assegurar que a informação permaneça acessível apenas a pessoas autorizadas, durante o período necessário;
Disponibilidade: Assegurar que a informação esteja acessível das pessoas autorizadas sempre que necessário;
Integridade: Assegurar que a informação esteja completa, exata, íntegra, evitando qualquer alteração ou destruição inadequada, seja por meio não autorizado ou acidental, ao longo de seu ciclo de vida.
5. DIRETRIZES
A informação é um ativo valioso de extrema importância para o Pinheiro Guimarães, sendo vital para o sucesso de seus negócios, desta forma, obtendo a proteção adequada.
A segurança da informação envolve a implementação de medidas para proteger a propriedade, confidencialidade, disponibilidade e integridade da informação, independentemente da forma ou do suporte em que se apresenta. Isso visa proteger contra diversas ameaças existentes, com o objetivo de evitar o uso indevido, inadequado, ilegal ou em desacordo com as políticas e procedimentos internos. Para atingir esse fim, é necessário observar as diretrizes a seguir indicadas.
5.1 PROPRIEDADE, MONITORAMENTO E CLASSIFICAÇÃO DA INFORMAÇÃO
Todas as informações geradas pelos colaboradores abrangidos por esta Política, seja em formato físico ou digital, são consideradas propriedade exclusiva do Pinheiro Guimarães. Isso inclui também as informações disponibilizadas por terceiros de maneira autorizada, devendo ser utilizadas estritamente para atender aos objetivos do negócio.
Os equipamentos, meios de comunicação e sistemas do Pinheiro Guimarães estão sujeitos a monitoramento. É importante ressaltar que quaisquer informações de natureza pessoal tratadas por esses meios ou fornecidas ao Pinheiro Guimarães estarão sujeitas a esse controle. O monitoramento mencionado é de conhecimento de todos os colaboradores abrangidos por esta Política.
Deve existir método para classificar a informação de acordo com o seu nível de confidencialidade e criticidade para os negócios do Pinheiro Guimarães. Toda informação deverá ser salva no sistema de gestão documental, separado por cliente e assunto. Cada assunto deve ser atribuído a um sócio, formalmente designados como responsável pela autorização de acesso às informações sob sua responsabilidade.
As informações devem ser devidamente protegidas e rotuladas, seguindo as diretrizes de segurança da informação do Pinheiro Guimarães em todas as etapas do ciclo de vida, que incluem: geração, acesso, manuseio, armazenamento, reprodução, transporte e descarte.
5.2 ACESSOS E IDENTIDADES
Os acessos às informações e aos ambientes tecnológicos do Pinheiro Guimarães devem ser de uso pessoal, controlados conforme sua classificação e revisados periodicamente, de forma a serem disponibilizados apenas às pessoas autorizadas e com as permissões necessários para o desempenho de suas atividades.
O compartilhamento de credenciais de acesso é estritamente proibido, destacando a importância crucial da individualidade ao utilizar esses recursos.
5.3 DESCARTE DE INFORMAÇÕES
O descarte da informação deve ser realizado com o emprego de medidas que inviabilizem sua recuperação, de acordo com o seu formato físico ou digital. A informação deve ser descartada considerando prazos mínimos legais ou regulatórios, bem como sua necessidade para o negócio ou a área, o que for maior.
5.4 FORNECEDORES E PARTES EXTERNAS
Contratos firmados com empresas prestadoras de serviços que possuam acesso às informações, aos sistemas e/ou ao ambiente do Pinheiro Guimarães devem incluir cláusulas que garantam a conformidade com as regras de segurança da informação e confidencialidade, estabelecendo também penalidades em caso de descumprimento.
5.5 CONTINUIDADE DE NEGÓCIOS
A gestão do plano de continuidade de negócios estabelece e mantém uma estrutura estratégica e operacional pronta para gerenciar e responder às interrupções nos processos que sustentam as operações do Pinheiro Guimarães.
6. RESPONSABILIDADES
O sucesso e a efetividade da estratégia de Segurança da Informação do Pinheiro Guimarães dependem da colaboração ativa e da compreensão de todos os membros desta organização. Este documento estabelece as responsabilidades fundamentais em relação à gestão, implementação e adesão às políticas de segurança da informação.
6.1 COLABORADORES
Os colaboradores devem:
- Cumprir as regras de Segurança da Informação;
- Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados;
- Utilizar os recursos tecnológicos, as informações e os sistemas a sua disposição sejam utilizados apenas para as finalidades de negócio;
- Cumprir as leis e as normas que regulamentam a propriedade intelectual;
- Não discutir, citar ou compartilhar assuntos confidenciais em ambientes públicos ou em áreas expostas;
- Não compartilhar informações confidenciais de qualquer tipo;
- Comunicar prontamente ao Comitê de Compliance qualquer descumprimento ou violação desta Política e/ou de suas normas e procedimentos.
6.2 GESTORES
Os gestores devem:
- Estabelecer normas e procedimentos relacionados à segurança da informação, dispondo sobre a propriedade e o uso da informação, a gestão de acessos e identidades e os incidentes de segurança da informação;
- Garantir conformidade com a Política e/ou de suas normas e procedimentos;
- Garantir que os contratos firmados com empresas prestadoras de serviços que possuam acesso às informações, aos sistemas e/ou ao ambiente do Pinheiro Guimarães tenham inclusas cláusulas que garantam a conformidade com as regras de segurança da informação e confidencialidade, bem como penalidades em caso de descumprimento;
- Divulgar, promover, reforçar e orientar a equipe em relação a práticas, processos de segurança e acessos a sistemas.
6.3 COMITÊ DE COMPLIANCE
O Comitê de Compliance tem responsabilidade por:
- Aprovar a Política de Segurança da Informação, assim como suas revisões;
- Propor melhorias a Segurança da Informação.
7. DISPOSIÇÕES FINAIS
O disposto acima se aplica, imediatamente, para toda o Pinheiro Guimarães, a partir da
publicação da presente Política. Todos os membros da organização devem familiarizar-se e aderir integralmente a essas disposições, contribuindo para a efetiva implementação das práticas e princípios definidos.
Última Atualização de Status Autorizado por
Comitê de Compliance 22/11/2023