top of page
_DSC0405_edited_edited.jpg

Política de
Segurança da Informação

OBJETIVO

 

A Transportadora Contatto reconhece a importância da Segurança da Informação como ferramenta para cumprimento da sua missão, visão e valores, bem como investe constantemente no crescimento profissional de seus colaboradores e em tecnologias que garantam a excelência de seus serviços.

 

Por isso, é essencial a proteção dos seus ativos, uma vez que quando utilizados de modo indevido podem gerar danos irreparáveis à Transportadora Contatto, além de afetar a sua imagem perante o mercado. Deste modo, preservar ativos como: a informação, equipamentos tecnológicos e a sua reputação torna-se essencial.

Desta forma, a Política de Segurança da Informação foi elaborada para garantir a sua aderência à legislação vigente, especialmente no que tange à Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/2018) e aos requisitos do negócio.

 

É responsabilidade de todos, independentemente de cargo ou função, estarem cientes e cumprirem a Política de Segurança da Informação da Transportadora Contatto, bem como ter expresso conhecimento dos termos da Política de Privacidade disponível no site, além de aplicá-las constantemente nas suas atividades diárias, respeitando e disseminando o seu conteúdo.

 

Esta Política de Segurança da Informação (PSI) tem como objetivos:

  • Declarar formalmente o comprometimento da Direção da Transportadora Contatto na promoção de diretrizes estratégicas, responsabilidades, competências, a fim de garantir a proteção dos seus ativos tangíveis e intangíveis;

  • Estabelecer as responsabilidades e os limites de atuação dos colaboradores da Transportadora Contatto em relação à segurança da informação, reforçando a cultura interna e priorizando as ações necessárias conforme o negócio.

ENVOLVIMENTO     

 

Esta PSI é um documento interno, com valor jurídico e aplicabilidade imediata e indistinta, a partir de sua publicação, aos colaboradores da Transportadora Contatto.

 

 

CONCEITOS  

 

Considera-se, para os fins deste PSI, os conceitos abaixo descritos, com base nas disposições legais e de utilização comum entre os colaboradores:

 

Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano à Transportadora Contatto.

 

Aplicativos de Comunicação: conjunto de código e instruções compiladas, executados ou interpretados por um Recurso de Tecnologia da Informação e Comunicação, armazenados em um dispositivo ou na nuvem, que são usados para troca rápida de mensagens, conteúdos e informações multimídia.

 

Ativo: é qualquer coisa que tenha valor para a Transportadora Contatto e precisa ser adequadamente protegido.

 

Ativo Intangível: todo elemento que possui valor para a Transportadora Contatto e que esteja em suporte digital ou se constitua de forma abstrata, mas registrável ou perceptível, a exemplo, mas não se limitando à dados, reputação, imagem, marca e conhecimento.

 

Autenticidade: garantia de que a informação é procedente e fidedigna, sendo capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu.

 

Backup: salvaguarda de informações, realizada por meio de reprodução e/ou espelhamento de uma base de arquivos, com a finalidade de plena capacidade de recuperação em caso de incidente ou necessidade de restore, ou ainda, constituição de infraestrutura de acionamento imediato em caso de incidente ou necessidade justificada da Transportadora Contatto.

 

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

 

Colaborador: empregado, estagiário, prestador de serviço, terceirizado, fornecedor, menor aprendiz ou qualquer outro indivíduo ou organização que venham a ter relacionamento profissional, direta ou indiretamente, com a Transportadora Contatto.

Confidencialidade: garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento alheio.

 

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

 

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável. Poderão ser igualmente considerados dados pessoais, para fins do disposto na Lei Geral de Proteção de Dados Pessoais, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

 

Disponibilidade: garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

 

Dispositivos Móveis: equipamentos que podem ser facilmente transportados devido a sua portabilidade, com capacidade de registro, armazenamento ou processamento de informações, além da possibilidade de estabelecer conexões com a Internet e outros sistemas, redes ou qualquer dispositivo.

 

Dispositivos Removíveis de Armazenamento de Informação: dispositivos capazes de armazenar informações que pode ser removida do equipamento, possibilitando a portabilidade dos dados, como CD, DVD e pen drive.

 

Gestor da informação: colaborador responsável pela criação/recebimento, classificação, divulgação, compartilhamento, eliminação e destruição da informação. Também é incumbido da gestão de validação, liberação e cancelamento dos acessos à informação destes. Vale ressaltar que tais atividades podem ser delegadas para outro colaborador, desde que concedidas pelo Gestor da informação.

 

Homologação: processo de avaliação e aprovação técnica de Recursos de Tecnologia da Informação e Comunicação para serem utilizados dentro do ambiente da Transportadora Contatto.

 

Identidade Digital: é a identificação do colaborador em ambientes lógicos, sendo composta por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação como crachá magnético, certificado digital, token e biometria.

Incidente de Segurança da Informação e Comunicação: ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou Normas Complementares, falha de controles ou situação previamente desconhecida, que possa ser relevante à segurança da informação.

 

Informação: conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.

 

Integridade: garantia de que as informações estejam íntegras durante o seu ciclo de vida.

 

Internet: rede mundial de computadores interconectada pelo protocolo TCP/IP cuja infraestrutura tem caráter aberto e colaborativo, acessível por meio de dispositivos com conexão e autorizações suficientes e que permite obter informação de qualquer outro dispositivo que também esteja conectado à rede, desde que configurado adequadamente.

 

Legalidade: garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.

 

Recursos de Tecnologia da Informação e Comunicação (Recursos de TI): hardware, software, serviços de conexão e comunicação ou de infraestrutura física necessários para criação, registro, armazenamento, manuseio, transporte, compartilhamento e descarte de informações.

 

Repositórios Digitais (Cyberlockers): Plataformas de armazenamento na Internet, a exemplo de Google Drive, OneDrive, Dropbox, iCloud, Box, SugarSync, Slideshare e Scribd.

 

Risco: combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.

 

Segurança da Informação: é a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação. Visa proteger a informação dos diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação.

Tentativa de Burla: atos que busquem violar as diretrizes estabelecidas nos documentos normativos da Transportadora Contatto e sejam frustrados por erro durante o planejamento ou durante sua execução.

 

Violação: qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da Transportadora Contatto.

 

DIRETRIZES E PROCEDIMENTOS   

 

PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

  • Preservar e proteger a informação da Transportadora Contatto ou sob sua responsabilidade, em todo o seu ciclo de vida, contida em qualquer suporte ou formato, de vulnerabilidades e ameaças;

  • Prevenir e reduzir impactos gerados pelos incidentes de segurança da informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade no desenvolvimento das atividades profissionais;

  • Zelar por relações transparentes e éticas e coibir toda forma de corrupção, fraude, suborno, favorecimento e extorsão praticados por colaboradores;

  • Cumprir a legislação brasileira e os demais instrumentos regulamentares relacionados ao negócio no que diz respeito à segurança da informação.

  • As informações geradas, acessadas, manuseadas, armazenadas ou descartadas no exercício das atividades realizadas pelos colaboradores, bem como os demais ativos intangíveis e tangíveis disponibilizados, são de propriedade ou estão sob a responsabilidade e direito de uso exclusivo da Transportadora Contatto e devem ser utilizados unicamente para fins profissionais.

  • A utilização de obras intelectuais, softwares, marcas, identidade visual ou qualquer outro sinal distintivo atual ou futuro da Transportadora Contatto em qualquer suporte, inclusive na Internet e mídias sociais, deve ser previamente autorizada pela Transportadora Contatto e vinculada as atividades profissionais.

  • Todas as informações de propriedade ou sob a responsabilidade da Transportadora Contatto serão classificadas e protegidas com controles específicos em todo o seu ciclo de vida.

  • É vedada, a qualquer tempo, a revelação de dados pessoais, dados pessoais sensíveis, informações de propriedade ou sob a responsabilidade da Transportadora Contatto, sem a prévia e formal autorização pelo titular dos dados pessoais, salvo nas hipóteses previstas em lei.

  • Os Recursos de TI de propriedade ou sob a responsabilidade da Transportadora Contatto devem ser utilizados somente para fins profissionais, de modo lícito, ético e moral e conforme as regras da Transportadora Contatto.

  • A Transportadora Contatto tem um inventário de hardware e software, sendo ela a responsável pelo seu registro, armazenamento e atualização.

  • Os dispositivos móveis devem ser utilizados quando fornecidos ou autorizados prévia e expressamente pelo Gerente da Área do colaborador, conforme a função do colaborador e as necessidades do negócio.

  • Não é permitido o uso de Recursos de informática ou Dispositivos Móveis particulares na execução de qualquer atividade profissional, exceto quando autorizado e fundamentado pelo Gerente da Área do colaborador e aprovado pelo Gerente da Área de TI & Projetos.

  • O uso de aplicativos de comunicação instantânea para troca de informações corporativas deve atender as regras estabelecidas pela Área de TI & Projetos.

  • O uso das mídias sociais para realização das atividades profissionais em favor da Transportadora Contatto deve ocorrer somente quando necessário e de forma restrita aos objetivos do negócio, de acordo com o Código de Conduta e Ética vigente e a Política de Privacidade Tais atividades devem ser executadas por meio dos Recursos de TI da Transportadora Contatto ou pela área de Gestão e Pessoas – Marketing.

  • O colaborador deve ser cauteloso, ético e seguro em relação à sua exposição de modo que não afete a reputação da Transportadora Contatto, a exemplo de rotinas, trajetos e contatos, além do dever de preservar o sigilo profissional nas mídias sociais.

  • A Transportadora Contatto controla o acesso físico e lógico aos seus ambientes, ativos e informações. Desse modo, o colaborador recebeu uma identidade digital de uso individual, intransferível e, sempre que aplicável, de conhecimento exclusivo.

  • O colaborador é responsável pelo uso, proteção e sigilo de sua identidade digital, não sendo permitido compartilhar, revelar, salvar, replicar, publicar ou fazer uso não autorizado de suas credenciais, tal qual de terceiros.

  • Os sistemas e Recursos de TI & Projetos que suportam os processos e as informações da Transportadora Contatto são confiáveis, íntegros, seguros e disponíveis a quem deles necessitem para execução de suas atividades profissionais. Para garantir a segurança acima estabelecida, A Transportadora Contatto utiliza os seguintes sistemas de proteção, ativos e atualizados:

  • Contra programas maliciosos e acessos indevidos, como antivírus e firewall;

  • Para indicar tentativas de intrusão realizada aos ambientes lógicos, como Sistemas de Detecção a Intrusão (Intrusion Detection Systems) ou IPS (Intrusion Protection Systems);

  • Contra mensagens eletrônicas indesejadas ou não autorizadas, como Antispam.

  • A Transportadora Contatto possui proteção física de seus servidores e implementou controles para identificação e de acessos aos seus ambientes.

  • É vedado aos colaboradores qualquer atividade relacionada a captura de áudio, vídeo ou imagens dentro das dependências da Transportadora Contatto.

  • As contratações em que ocorram o compartilhamento de informações de propriedade ou sob a responsabilidade da Transportadora Contatto ou a concessão de acesso aos seus ambientes ou ativos críticos, devem ser precedidos por termos de confidencialidade e cláusulas contratuais relacionadas à proteção de dados pessoais e segurança da informação.

  • A Transportadora Contatto mantém um processo de salvaguarda das informações e dos dados necessários para completa recuperação dos seus sistemas (backup), a fim de atender os requisitos operacionais e legais, além de garantir a continuidade do negócio em caso de falhas ou incidentes ou sua recuperação o mais rápido possível.

  • O andamento e o resultado de uma mudança, principalmente nos sistemas e na infraestrutura tecnológica da Transportadora Contatto, devem preservar os controles relacionados a disponibilidade, integridade, sigilo e autenticidade das informações e realizados somente pela Área de TI & Projetos.

  • A Transportadora Contatto possui um canal de comunicação divulgado aos seus colaboradores para reportar possíveis casos de incidentes de segurança da informação: informática@contatto.com.br e especificamente para questões derivadas da Lei Geral de Proteção de Dados através dos e-mails: lgpdcontatto@contatto.com.br ou dpo@contatto.com.br.

  • Proteção de Dados Pessoais: A Transportadora Contatto frisa seu compromisso com relação à privacidade e proteção dos dados, na forma da Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/2018). Assim deve garantir a disponibilidade, integridade e confidencialidade dos dados pessoais, em todo o seu tratamento, desde a coleta até a exclusão, em qualquer formato de armazenamento ou suporte, tendo o mesmo nível de tratamento de informações confidenciais. A Transportadora Contatto avalia as seguintes medidas de segurança da informação quanto ao tratamento de dados pessoais:

  • Tratamento autorizado nos termos da legislação de proteção de dados pessoais vigente;

  • Adoção de medidas de segurança para proteger os dados pessoais de acesso não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito;

  • Armazenamento de modo seguro, controlado e protegido, especialmente quando se tratar de dados pessoais sensíveis, limitando o acesso aos dados por área;

  • Processos de anonimização e pseudonimização, sempre que possível;

  • Protocolos de criptografia na transmissão e armazenamento, quando verificado necessário e/ou possível;

  • Descarte seguro dos dados pessoais ao término de sua finalidade e sua conservação de acordo com as hipóteses legais e regulatórias;

  • Transferência aos Agentes de Tratamento de modo seguro e contratualmente previsto;

  • Mapeamento de fluxos de dados pessoais;

  • Elaboração de relatórios de impacto à proteção de dados pessoais, quando necessário e/ou solicitado pelo Usuário dos Dados Pessoais ou pela Agência Nacional de Proteção de Dados (ANPD);

  • Gestão e tratamento adequado de incidentes que envolvam dados pessoais.

  • Qualquer dúvida relativa a esta PSI deve ser encaminhada à Área de Tecnologia da Informação & Projetos por meio do endereço eletrônico: infomatica@contatto.com.br

  • Qualquer atividade que desrespeite as diretrizes estabelecidas nesta PSI ou em quaisquer dos documentos complementares da Transportadora Contatto, incluindo a tentativa de burla, deve ser considerada como uma violação e tratada a fim de apurar as responsabilidades dos envolvidos de acordo, aplicando-se, quando o caso, as penalidades cabíveis.

 

RESPONSABILIDADES

Diretoria:

  • Analisar, aprovar e declarar formalmente o seu comprometimento com esta PSI;

  • Aprovar os investimentos em segurança da informação na Transportadora Contatto, considerando a viabilidade e os impactos de sua aplicação à qualidade dos processos de negócio;

  • Analisar e aprovar, ou não, as exceções de forma excepcional a essa PSI.

 

Área de Cultura e Pessoas

  • Realizar campanhas de capacitação e divulgação da segurança da informação;

  • Estipular controles de segurança especificamente relacionados aos processos de contratação, encerramento e modificação das atividades dos colaboradores;

  • Disponibilizar os normativos da Transportadora Contatto, além de custodiar e colher assinatura no competente termo de consentimento.

  • Autorizar ou não, o uso das marcas, identidade visual e qualquer outro sinal distintivo atual ou futuro da Transportadora Contatto;

  • Autorizar ou não, a gravação de áudio, vídeo ou foto das dependências da Transportadora Contatto.

 

Gestor do Colaborador

  • Garantir e gerenciar o cumprimento desta PSI e demais documentos complementares pelos seus colaboradores;

  • Aplicar, após definição com a área de Gestão Cultura e Pessoas, as sanções de violação desta PSI e documentos complementares;

  •  Identificar incidentes de segurança da informação ou qualquer ação duvidosa praticada por seus colaboradores, comunicando o DPO imediatamente.

 

Colaboradores

  • Estar ciente e manter-se atualizado com esta PSI e demais documentos complementares;

  • Assinar o competente termo de consentimento;

  • Utilizar os ativos de propriedade da Transportadora Contatto ou sob sua responsabilidade de acordo com as orientações do fabricante, do desenvolvedor e da Transportadora Contatto, com cuidado e zelo;

  • Utilizar os ativos e informações da Transportadora Contatto somente para fins profissionais, de forma ética e legal, respeitando os direitos e as permissões de uso concedidas;

  • Não revelar qualquer informação de propriedade ou sob a responsabilidade da Transportadora Contatto sem a prévia e formal autorização;

  • Utilizar as marcas e outros sinais distintivos, patentes, desenhos industriais, softwares e demais direitos de propriedade intelectual de titularidade da Transportadora Contatto somente para finalidades profissionais e autorizadas pela Transportadora Contatto, de acordo com a atividade e função exercida;

  • Cumprir a legislação nacional vigente e demais instrumentos regulamentares relacionados às atividades profissionais;

  • Reportar formalmente ao seu Gestor quaisquer eventos relativos à violação ou possibilidade de violação de segurança ou atividades suspeitas.

 

Controlador

  • Autorizar ou não, a revelação de qualquer informação de propriedade ou sob a responsabilidade da Transportadora Contatto;

  • Propor, normas e procedimentos internos relativos à segurança da informação na Transportadora Contatto, podendo, se necessário, apresentar projetos e investimentos para a Diretoria;

 

Operador

  • Realizar a gestão, manutenção e administração dos Recursos de TI de propriedade ou sob a responsabilidade da Transportadora Contatto;

  • Realizar o registro e o monitoramento dos acessos aos ambientes lógicos da Transportadora Contatto;

  • Garantir a rápida recuperação em situações de contingência de seus sistemas e processos que envolvam os Recursos de TI da Transportadora Contatto;

 

Encarregado – DPO:

  •  Promover cultura de segurança da informação na Transportadora Contatto;

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

  • Receber comunicações da autoridade nacional e adotar providências;

  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

  • Auxiliar, sempre que necessário, a área de Cultura e Pessoas na capacitação dos colaboradores em segurança de informação;

  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;

  •  Identificar violações ou qualquer ação duvidosa praticada pelos colaboradores no uso da informação da Transportadora Contatto e comunicar ao CSI e ao Gestor do colaborador.

  • Analisar os incidentes de segurança da informação reportados e submeter relatório para deliberação da Diretoria, sempre que necessário;

  • Fazer cumprir esta PSI e demais documentos complementares por todos os colaboradores da Transportadora Contatto;

 

CIÊNCIA       

 

Termo de Ciência e Responsabilidade

 

Através da competente assinatura digital, todos os colaboradores da Transportadora Contatto, individualmente, receberão o inteiro teor desta PSI, para os fins da sua formal ciência e reafirmação do compromisso de cumpri-la e disseminá-la. 

bottom of page