Política de Segurança da Informação

I. OBJETIVO

O objetivo da Política de Segurança da Informação é garantir que as informações da Riskfence, de seus clientes e colaboradores sejam coletadas, manuseadas e mantidas de forma segura com base nos três pilares da segurança da informação: a confiabilidade, a integridade e a disponibilidade. Para alcançar este objetivo proposto, as diretrizes de segurança da informação são descritas neste documento buscando eliminar possível subjetividade no manuseio de informações e proporcionar o gerenciamento dos riscos por meio de controles bem definidos que forneçam referências para auditorias e ações corretivas.

Esta política reflete os valores e o compromisso da Riskfence e de seus administradores com a melhoria contínua dos processos que envolvem a segurança da informação.

II. ABRANGÊNCIA

A presente política abrange todas as áreas da Riskfence, portanto, suas diretrizes deverão ser observadas, cumpridas e servirem como fonte de consulta permanente.

III. CONCEITOS

  1. CONFIDENCIALIDADE: Apenas pessoas autorizadas podem ter a acesso à determinada informação.
  2. INTEGRIDADE: Precisão e consistência dos dados durante todo o ciclo de vida da informação.
  3. DISPONIBILIDADE: Garantia de acesso aos dados pelas pessoas autorizadas sempre que necessário.

IV. APLICABILIDADE

Essa Política aplica-se à informação em qualquer meio ou suporte e deve ser seguida por todos os colaboradores, administradores e prestadores de serviços relacionados à Riskfence.

V. DIRETRIZES

As seguintes diretrizes devem ser seguidas:

  1. Realizar o tratamento adequado das informações da Instituição, clientes e público em geral fundamentando-se nos três princípios da segurança da informação: confidencialidade, disponibilidade e integridade;
  2. Coletar e tratar as informações de forma ética, legal e sigilosa e de acordo com as normas internas, evitando-se mau uso e a exposição indevida;
  3. É necessária a adoção de procedimentos para proteger os dados, sistemas e informações do risco de incidentes envolvendo a segurança da informação, evitando assim qualquer acesso indevido e/ou vazamento de informação;
  4. A informação deve ser utilizada de forma transparente e apenas para os propósitos específicos e devidamente informados durante a sua coleta;
  5. O acesso às informações só deve ser feito por pessoas devidamente autorizadas e capacitadas ao seu uso;
  6. Toda informação custodiada pela Riskfence deve ser destruída quando não for mais necessária a seu processo;
  7. A identificação do usuário deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
  8. Os acessos devem ser concedidos obedecendo ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação necessários para o desempenho de suas atividades;
  9. A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento;
  10. As informações devem ser categorizadas como confidencial, interna ou pública, com o objetivo de fornecer o tratamento adequado quanto à sua relevância, sigilo e permissão de acesso;
  11. Toda informação relevante deve ter pelo menos uma cópia reserva ou outro procedimento eficiente para pronta recuperação em caso de perda;
  12. As informações podem ser acessadas por empresas contratadas para prestação de serviços, observando que estas devem seguir as diretrizes desta política;
  13. As informações custodiadas pela Riskfence podem ser fornecidas aos seus titulares de acordo com o estabelecido nas leis vigentes ou contratos pactuados, sempre que solicitadas formalmente;
  14. Os equipamentos eletrônicos e outros recursos tecnológicos, como correio eletrônico, acesso à internet ou aplicativos, disponibilizados pela Riskfence aos colaboradores para o bom exercício de suas funções não devem ser utilizados para fins que não sejam profissionais, ligados às atividades desta empresa e aderentes à esta política de informação.
  15. Os recursos tecnológicos disponibilizados pela Riskfence não podem, em nenhuma hipótese, serem utilizados para a veiculação (envio, recepção ou divulgação) de mensagens discriminatórias ou de assédio, para cadastros e ações que não sejam profissionais, correntes de material obsceno ou imoral, solicitações comerciais indevidas, mantendo-se, portanto, aderente ao Programa de Compliance da Riskfence;
  16. O acesso a redes externas de comunicação deve ser monitorado utilizando tecnologia de segurança que garanta que os recursos necessários estejam disponíveis aos colaboradores, sem riscos para o ambiente operacional, através do uso de firewalls e ferramentas AntiSpam, antivírus e políticas de sistemas operacionais.
  17. Os usuários devem bloquear seus computadores contra acesso não autorizado quando se ausentar de suas estações de trabalho. Caso o usuário identifique a necessidade de alguma atualização ou instalação de aplicativos inerentes a sua função, deverá solicitar a Tecnologia da Informação. É vedado ao usuário abrir as estações de trabalho ou modificar a configuração do hardware e dos programas locais instalados.
  18. Os sistemas devem manter rotinas de rastreabilidade da informação através de logs ou trilhas de auditorias;
  19. São de propriedade da Riskfence todas as documentações, procedimentos, instruções de trabalho, processos, fluxos e “designs”, criações desenvolvidas por qualquer colaborador ou prestador de serviço durante o curso de seu vínculo contratual com a instituição. Em caso de extinção ou rescisão do contrato de prestação de serviços, por qualquer motivo, deverá o colaborador devolver todas as informações confidenciais geradas e manuseadas em decorrência da prestação dos serviços.
  20. Os riscos à segurança da informação identificados devem ser reportados à diretoria;
  21. Os incidentes decorrentes de falha na segurança da informação, sejam na instituição ou nas prestadoras de serviço, devem ser registrados e mantidos pela instituição, sendo sua causa raiz identificada, seus impactos mensurados e o devido plano de ação elaborado e implementado;
  22. Esta política assim como procedimentos e normas internas que envolvam segurança da informação devem ser divulgados a todas às pessoas mencionadas no item aplicabilidade. Sempre que cabível, esta conscientização deve envolver os clientes, naquilo que os impacta.
  23. O compromisso de responsabilidade direta do colaborador para com as informações, equipamentos e outras propriedades da Riskfence a ele confiadas deve ser formalizado através de uma declaração de responsabilidade, devendo ser lida e assinada quando do início de suas atividades.
Para o topo






    Estou de acordo com a Política de Privacidade do site (link abaixo do formulário)

    *Campos Obrigatórios
    Conheça nossa Política de Privacidade, onde descrevemos como são tratados os dados enviados por você.