1. OBJETIVOS
1.1. Estabelecer as diretrizes, controles e princípios relacionados à segurança da informação (SI) no âmbito do Grupo Fórum, visando a efetivação da segurança da informação na organização para redução dos possíveis riscos e melhoria contínua do Sistema de Gestão de Segurança da Informação.
1.2. Assegurar a confidencialidade, a integridade e a disponibilidade da informação, bem como a continuidade do negócio e a conformidade com a legislação vigente, com as normas e boas práticas de mercado
2. ABRANGÊNCIA
Esta Política aplica-se a todos os colaboradores com acesso às informações das empresas do Grupo Fórum (Fórum Nacional de Cobranças LTDA-EPP e Dante Gregnaninn), incluindo, gestores, funcionários, estagiários, terceiros, temporários, fornecedores e prestadores de serviços.
3. CONCEITOS GERAIS
Para os fins desta Política, a segurança da informação estará fundamentada na observação e preservação dos seguintes conceitos:
3.1. Confidencialidade: garantia de que a informação somente possa ser acessada por pessoas autorizadas, pelo período necessário;
3.2. Disponibilidade: garantia de que a informação esteja disponível para as pessoas autorizadas quando se fizer necessária;
3.3. Integridade: garantia de que a informação esteja completa, exata, íntegra e que não tenha sido modificada ou destruída indevidamente, de maneira não autorizada ou acidental durante o seu ciclo de vida.
4. DIRETRIZES
A informação constitui ativo valioso para a organização, representando elemento fundamental no sucesso dos negócios. Por isso, merece a proteção adequada.
A segurança da informação implica na adoção de medidas para proteger a propriedade, confidencialidade, disponibilidade e integridade da informação, em qualquer forma e suporte que se apresente – física ou digital.
Os controles de segurança devem proteger a informação das diversas ameaças existentes, para coibir e evitar o seu uso inadequado, indevido, ou ilegal, consideradas as hipóteses de uso em desconformidade com as políticas e os procedimentos internos. Nesse sentido, as seguintes diretrizes devem ser observadas.
4.1. Propriedade e monitoramento da informação
As informações produzidas pelos usuários e colaboradores abrangidos por esta Política são de propriedade da organização, bem como as informações a ela disponibilizadas por terceiros, devendo ser utilizadas exclusiva e estritamente no atendimento dos objetivos do negócio e no cumprimento de obrigações legais e contratuais.
Os equipamentos, meios de comunicação e sistemas da organização estão sujeitos a monitoramento.
4.2. Acessos e identidades
Os acessos às informações e aos ambientes tecnológicos da organização devem ser controlados de acordo com sua classificação, de forma a serem disponibilizados apenas às pessoas autorizadas e com os privilégios necessários para o desempenho de suas atividades.
4.3. Fornecedores e partes externas
Os contratos com as empresas prestadoras de serviços que possuem acesso às informações, aos sistemas e/ou ao ambiente da organização devem conter cláusulas que assegurem o cumprimento das regras de segurança da informação.
5. RESPONSABILIDADES
5.1. Colaboradores e terceiros abrangidos por esta Política
• Cumprir as regras relativas à segurança da informação;
• Proteger as informações contra acesso, alteração, destruição ou divulgação não autorizados;
• Respeitar as leis e as normas relativas à propriedade intelectual;
• Não compartilhar informação confidencial de qualquer tipo, sem a prévia autorização de seu Gestor imediato;
• Comunicar imediatamente ao Gestor da área ou ao Departamento de TI toda e qualquer notícia de descumprimento ou violação desta Política.
5.2. Gestores
• Adotar postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os membros de suas respectivas equipes;
• Orientar a equipe sobre a necessidade de cumprimento desta Política e reforçar a importância dos processos de segurança da informação.
5.3. Gestão de TI
• Promover a divulgação da Política de Segurança da Informação, bem como de demais políticas e procedimentos relacionados à Segurança da Informação;
• Propor ações e controles para aperfeiçoamento da segurança da informação;
• Manter os sistemas atualizados, sempre que possível em suas versões com atualização mais recentes, bem como os equipamentos que necessitam de atualizações de firmware;
• Assegurar que o Ambiente do Data Center opere em níveis adequados de temperatura, umidade e estabilidade de energia elétrica;
• Manter sigilo sobre as informações e dados da organização que venham a ter acesso em razão da execução de suas atividades, restringindo-se a acessá-los somente quando for necessário;
• Monitorar o ambiente de TI, verificar indicadores e históricos dos fatores relevantes que possam impactar na segurança da informação;
• Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores e usuários com todos os controles necessários, para cumprir os requerimentos de segurança estabelecidos por esta Política;
• Providenciar, no menor prazo possível, o bloqueio de acesso de usuários por motivo de desligamento da organização, incidente, ou outra situação que exija medida restritiva para fins de salvaguardar os ativos do Grupo Fórum;
5.4. Administração e Gestão de RH
• Assegurar que contratos com as empresas prestadoras de serviços que possuem acesso às informações, aos sistemas e/ou ao ambiente da organização contenham cláusulas que assegurem o cumprimento desta Política de Segurança da Informação;
• Comunicar formalmente à Gestão de TI toda e qualquer alteração no quadro funcional da instituição, contratações, demissões, alterações de cargos, funções, entre outros a fim de evitar acessos não autorizados e/ou não justificados;
• Receber da Gestão de TI as informações sobre violações a esta Política e promover as tratativas de apuração e instauração de processo disciplinar, quando cabível.
• Destacar, na fase de contratação dos funcionários, prestadores de serviços, estagiários e afins, a necessidade de observância da segurança da informação, e formalizar nos contratos individuais, a responsabilidade quanto ao cumprimento desta Política;
• Apoiar e promover, juntamente com a Gestão de TI, ações de conscientização e de capacitação em Segurança da Informação para os colaboradores da organização.
5.5. Comitê de Segurança da Informação
• Apoiar as ações para a implementação e cumprimento das disposições contidas nesta Política de Segurança da Informação;
• Acompanhar as ações de monitoramento de riscos, auditorias, não conformidades e melhorias no Sistema de Gestão da Segurança da Informação;
• Apoiar as ações de treinamento, campanhas educativas e boas práticas em segurança da informação;
• Realizar a articulação entre áreas operacionais e técnicas e Alta Direção, no sentido de buscar soluções para eventuais conflitos relacionados à segurança da informação;
• Avaliar, revisar e aprovar as políticas corporativas do Grupo Fórum relacionadas à segurança da informação.
5.6. Alta Direção (Presidência, Diretoria Executiva e Gerências Executivas)
• Apoiar e promover as ações para consolidação da Política de Segurança de Informação.
6. CLASSIFICAÇÃO DAS INFORMAÇÕES
Todos os colaboradores, prestadores e fornecedores que tenham acesso às informações do Grupo Fórum são responsáveis pela aplicação das medidas de segurança da
informação. As informações da organização devem ser protegidas e, conforme o caso, mantidas sob sigilo/confidencialidade, considerando os seus aspectos de importância e criticidade.
6.1. Responsabilidade sobre a Classificação
O colaborador que, a pedido ou por iniciativa, criar ou gerar informação e/ou documentação para a organização, será o responsável por sua classificação inicial.
Caso a Alta Direção ou o Gestor imediatamente superior entenda ser necessário, classificação inicial poderá ser revisada.
6.2. Informação Confidencial
É a informação da organização e/ou de seus clientes e parceiros com o maior grau de confidencialidade e restrição.
Caso seja divulgada sem autorização, poderá causar danos materiais e imateriais significativos, incluindo potencial risco para manutenção da viabilidade do negócio.
As informações confidenciais são de acesso limitado a um número reduzido de pessoas, pois exigem medidas especiais de controle e proteção contra acesso indevido ou não autorizado.
6.3. Informação de Uso Interno
É toda informação cujo conhecimento está limitado ao ambiente interno do Grupo Fórum, observados os propósitos de negócio.
Apenas os funcionários, colaboradores, estagiários e prestadores de serviços podem ter acesso a essas informações e sua divulgação ao público em geral só poderá ocorrer se expressamente autorizada pela Alta Direção.
6.4. Informação Pública
É a informação para uso interno e/ou externo com controles mínimos, cuja divulgação pública não causa impacto à organização.
A informação pública é colocada à disposição do colaborador ou prestador de serviço e pode ser revelada ao público externo.
6.5. Informação Não Classificada
Toda informação não classificada deverá ser considerada como Informação de Uso Interno.
7. DISPOSIÇÕES FINAIS
As infrações a esta Política de Segurança da Informação serão passíveis de processo disciplinar.
A qualquer tempo, e em qualquer um dos casos previstos, prevalecendo o descumprimento das regras expostas, a Gestão de TI poderá determinar o bloqueio temporário de acesso do colaborador e comunicar os motivos ao profissional e ao gestor da área.
Esta Política será revista, no mínimo, anualmente para garantir sua conformidade com alterações legais, regulatórias e necessidades organizacionais.