top of page

Política de Segurança da Informação

1.    Objetivo


Este documento estabelece diretrizes para garantir a segurança e proteção às informações da Tasken e de seus clientes, bem como norteia a criação de normas e procedimentos específicos de segurança da informação, dando a devida proteção contra incidentes e falhas de segurança.

1.1.    Definições e Siglas
•    Logs - Termo utilizado para descrever o processo de registro de eventos relevantes num sistema computacional;
•    Rede Corporativa - Rede de computadores pertencente a uma empresa ou instituição;
•    PSI – Política de Segurança da Informação;
•    GSI – Gestão de Segurança da Informação;
•    SGSI – Sistema de Gestão de Segurança da Informação;
•    PDCA – Planejar (Plan), Ação (Do), Checar (Check), Ação (Action);
•    SI – Segurança da Informação. 
•    TI – Tecnologia da Informação. 
•    BYOD (BRING YOUR OWN DEVICE) – Terminologia adotada quando um funcionário utiliza um dispositivo próprio para efetuar as tarefas pertinentes ao trabalho. 
Todas as unidades de negócios, colaboradores, prestadores de serviços, parceiros e fornecedores da Tasken.

 

2.    Abrangência e aplicação
 

Aplica-se a todos os colaboradores, prestadores de serviço da Tasken ou pessoa com acesso às informações da empresa ou de seus clientes.

3.    Divulgação e declaração de responsabilidade
 

Este documento foi criado, atualizado, aprovado e publicado por meio dos processos oficiais da Tasken.
Esta política dá ciência a cada colaborador e prestador de serviço com acesso a dados ou informações relacionadas a Tasken ou seus clientes de que devem aderir formalmente ao “Termo de Confidencialidade e Ciência da PSI”, comprometendo-se a respeitar esta PSI e suas regras de forma integral. 
É também obrigatório manterem-se atualizados em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da área de Segurança da Informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

 

4.    Princípios da Política de Segurança da Informação
 

A informação é um dos maiores ativos da Tasken, de seus clientes e essencial ao negócio e a excelência que destaca a empresa dentro do mercado de atuação, por esses motivos toda e qualquer informação da Tasken ou de seus clientes que estejam ligadas ao modelo de negócio deve ser tratada de forma profissional, ética e segura além de visar tão somente o funcionamento e desenvolvimento dos negócios da empresa.
Para garantir a segurança da informação, a Tasken respeita as boas práticas voltadas a segurança da informação, incluindo as fornecidas pela Família ISO 27000, buscando atender aos pilares da segurança da informação e legislações pertinentes que versem sobre a utilização e armazenamento de dados, a exemplo da Lei 12.965, o chamado Marco Civil da Internet e da Lei 13.709, a Lei Geral de Proteção de Dados Pessoais.
Os pilares dos quais a empresa se baseia para garantir a segurança da informação no exercício de suas atividades são os seguintes:
1. Confidencialidade: garantia de que a informação somente estará acessível para pessoas autorizadas;
2. Integridade: garantia de que a informação, não sofrerá qualquer adulteração falsificação ou que seja furtada, ou seja, será preservada a sua originalidade e confiabilidade;
3. Disponibilidade: Garantia de que a informação estará disponível sempre que for necessário.

 

5.    Diretrizes


Para endereçar todo o esforço e manutenção necessários para a Segurança da Informação, a Tasken estabelece as seguintes diretrizes:
a)    A estrutura de Gestão da Segurança da Informação (GSI) deve ser mantida e apoiada pela Alta Administração e por meio de Sistema de Gestão de Segurança da Informação (SGSI);
b)    Toda informação deve ser utilizada com senso de responsabilidade e de modo ético e seguro por todos, em benefício exclusivo dos negócios;
c)    A Tasken reserva-se o direito de monitorar e registrar todo o uso das informações geradas, armazenadas ou veiculadas pela empresa;
d)    Manter os controles apropriados e trilhas de auditoria ou registros de atividades que foram criados e implantados em todos os pontos e sistemas já definidos para reduzir riscos;
e)    Zelar pela manutenção, identificação, classificação e monitoramento dos ativos de informação;
f)    Todos os riscos são analisados, classificados e encaminhados a área de Segurança da Informação, responsável pela gestão da segurança da informação que delibera sobre o tratamento adequado para tais e reporta, se entender necessário, ao Comitê de Gestão de Segurança da Informação; 
g)    A Tasken busca padrão de excelência em termos de segurança da informação, seguindo, documentando e mantendo atualizadas as leis que regulamentam seu negócio, bem como dos aspectos de propriedade intelectual.
h)    Garantir que os sistemas e dados estejam devidamente protegidos e sejam utilizados apenas para o cumprimento de suas atribuições;
i)    Ao desenvolver ou adquirir software, segue os requisitos específicos, desenha, realiza testes, implementa, garante a manutenção e o suporte necessários, bem como a proteção e a privacidade dos dados em todas as etapas do processo de desenvolvimento ou aquisição;
j)    Zelar pela integridade da infraestrutura tecnológica na qual são armazenados, processados ou de qualquer outra forma tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados internos e confidenciais;
k)    Realiza ações para prevenir, identificar, registrar e responder incidentes de segurança que envolvam o ambiente tecnológico da Tasken e que possam ocasionar o comprometimento dos pilares de segurança da informação ou gerar impacto de imagem, financeiros ou operacionais;
l)    Adota processo de gestão de continuidade de negócios relativo à segurança da informação conforme descrito em normativo interno específico;
m)    Realiza o controle de acessos físico, rede, sistemas, aplicações, funções e acesso lógico aos ativos da Tasken de acordo com normativos específicos;
n)    Adota mecanismos para disseminação da importância de segurança da informação na empresa.

 

6.    Papeis e responsabilidades


Todos os Colaboradores:
a)    Observar e zelar pelo cumprimento da presente Política;
b)    Compreender o papel da segurança da informação em suas atividades diárias;
c)    Participar dos programas de conscientização sobre segurança da informação;
d)    Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho;
e)    Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
f)    Relatar prontamente à área de Segurança da Informação qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus etc.;
g)    Assegurar que as informações e dados de propriedade da Tasken não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico.
h)    Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados.
i)    Utilizar dispositivos móveis corporativos exclusivamente em serviço para realização das atividades de trabalho e para comunicação com a empresa, fornecedores ou clientes, devendo ser utilizados somente para esta finalidade;
j)    Responder pelo prejuízo ou dano que vier a provocar a Tasken ou a terceiros, em decorrência da não obediência as diretrizes e normas aqui referidas.
Alta Administração:
a)    Define os objetivos estratégicos de segurança da informação, respeitando o código de ética, as políticas, os requisitos de Segurança da Informação aplicáveis e os resultados da gestão de riscos; 
b)    Manter e apoiar a estrutura de Gestão da Segurança da Informação (GSI);

Área de Segurança da Informação:
a)    Controlar o acesso dos colaboradores e prestadores de serviço aos ativos de informação;
b)    Tratar as solicitações de uso do e-mail sob domínio @tasken.com;
c)    Cópias de segurança (backup);
d)    Estabelecer regras para o desenvolvimento seguro de sistemas e softwares;
e)    Avaliar a concessão de solicitações de acesso remoto para colaboradores e prestadores de serviço;
f)    Garantir que dispositivos móveis corporativos sejam destinados exclusivamente ao uso em serviço para realização das atividades de trabalho dos colaboradores e para comunicação com a empresa, fornecedores ou clientes, devendo ser utilizados somente para esta finalidade;
g)    Classificar as informações de acordo com a confidencialidade e as proteções necessárias, utilizando as regras previstas na norma de Segurança da Informação;
h)    Identificar os ativos tangíveis e intangíveis de informação de forma individual, bem como inventariar, proteger e monitorar acessos;
i)    Gerenciar adequadamente as mídias, conforme os requisitos de segurança da informação; 
j)    Criar conjunto de regras a fim de garantir a padronização das técnicas criptográficas, a aplicação adequada das mesmas e responsabilidades para manter a segurança no transporte ou armazenamento das informações independente do meio utilizado. 
k)    Quanto à transmissão de informações, garantir a privacidade na comunicação;
l)    Aplicar um processo de gestão de mudanças para controles e modificações nos sistemas ou recursos de processamento da informação para que sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da organização;
m)    Proteger as informações de maneira eficaz e reduzir os riscos de acesso não autorizado, perda ou dano das informações durante e fora do horário de expediente, adotando medidas (controles) de segurança. 
n)    Identificar os possíveis riscos sobre os processos nos aspectos de segurança da informação;
o)    Analisar os incidentes reportados e tomar as ações devidas, repassando a tratativa às áreas responsáveis;
p)    Estabelecer regras e responsabilidades da área de Segurança da Informação e restrições do uso de ativos na organização;
q)    Garantir a melhoria contínua do Sistema de Gestão da Segurança da Informação (SGSI), com base na norma ISO/IEC 27001:2013, contendo todos os indicadores e métricas para monitorar-se o ciclo PDCA; 
r)    Definir regras para garantir que não ocorram violações jurídicas, regulamentares ou contratuais nos requisitos de segurança da informação na organização;
s)    Proteger os ativos quando do acesso físico às instalações da empresa;
t)    Monitorar e manter os padrões estipulados neste documento, utilizando de ferramentas que possibilitem a coleta de Logs e registros organizacionais, visando a segurança de dados e a manutenção das boas práticas de acordo com os padrões do mercado.
u)    Elaborar regularmente e em conjunto com os setores de Comunicação da empresa: treinamentos voltados a ameaças cibernéticas, campanhas conscientizando sobre os perigos diários, posts direcionados aos colaboradores da empresa versando sobre manuseio seguro de dados e boas práticas referente a dados pessoais e segurança virtual como um todo, este treinamento será documentado e os resultados colhidos serão guardados para registro e disponibilizados para auditorias.
6. Comitê de Gestão de Segurança da Informação (CGSI)
a)    Conduz processo de penalidade de infrações às regras estabelecidas nessa PSI, em conjunto com o gestor da área onde se encontra alocado o colaborador que supostamente cometeu a infração e com as áreas de Recursos Humanos e Jurídica da Tasken;
a)    Aprovação de políticas, normas e procedimentos de segurança da informação.

 

7.    Utilização de dispositivos pessoais - BYOD
 

Aos funcionários que necessitarem da utilização de BYOD, deverá ser aberto chamado/solicitação interna para a área de TI. 
A prática de utilização de dispositivo particular dentro da organização só poderá ser realizada mediante autorização do Gerente de TI em conjunto com as devidas justificativas e autorizações do gestor do funcionário solicitante.
O dispositivo deverá ser verificado pela área de TI e somente estará autorizado caso esteja em conformidade técnica dos itens disposto nas políticas e normas internas. 

8.    Da transferência de dados


Todas as transferências de dados devem ser realizadas por ferramentas explicitamente validadas pela equipe responsável de Segurança da Informação da Tasken. Diante mão, é proibido transferência de dados por meio de plataformas públicas, tais como Dropbox, Wetransfer, entre outros. 
A transferência de dados de informações corporativas entre a Tasken e as partes externas devem ser definidas e formalizadas antes de qualquer tipo de transferência. O processo deve ser inspecionado pela equipe responsável pela Segurança da Informação da Tasken. 
Todos os sistemas de transferência de dados (e-mail, compartilhamento de arquivos, transferência de dados entre aplicativos etc.) devem incluir os devidos meios de proteção de transmissão e armazenamento de dados, com a garantia da confidencialidade, integridade, disponibilidade e responsabilidade com base nos níveis de classificação das informações.

9.    Monitoramento e auditoria


A Tasken monitora e registra todo o uso das informações geradas, armazenadas ou veiculadas na empresa. Para tanto a organização mantém controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgou necessário para reduzir os riscos, e reservar-se o direito de:
a)    Implantar outros sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correios eletrônicos, navegação, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados;
b)    Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta PSI;
c)    Instalar outros sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso.

10.    Monitoramento e auditoria


Para toda e qualquer infração às regras estabelecidas nessa PSI, deverá ser aberto um incidente de segurança da informação, que será tratado de acordo com o estabelecido no processo de Gestão de Incidentes de Segurança da Informação e reportado ao CGSI e, por conseguinte, apurada por meio dos procedimentos internos, a ser conduzido pelo gestor da área em que se encontra alocado o colaborador que supostamente cometeu a infração, em conjunto com as áreas de Tecnologia da informação, Recursos Humanos e Jurídica da Tasken.
O colaborador envolvido no incidente de segurança da informação poderá ser suspenso ou afastado de suas atividades, enquanto perdurar o processo interno de apuração do incidente, se os responsáveis entenderem cabível e pertinente tal medida disciplinar.
Será assegurado tratamento justo e correto direcionado ao colaborador suspeito de violar regra contida nesta PSI, sendo que as medidas resultantes dos atos infracionários serão aplicadas com proporcionalidade à ocorrência e com base no Termo de Confidencialidade, Ciência da PSI e legislações vigentes.
A Tasken exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores e prestadores de serviço, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis.

 

bottom of page