Pegaki

Logo-black

Política de Segurança

1. OBJETIVO

A Política de Segurança da Informação é uma declaração formal acerca do nosso comprometimento com a proteção dos ativos de informações de nossa propriedade e/ou sob nossa guarda, devendo ser cumprida e respeitada por todos os nossos membros.‍A Pegaki, que lida com dados sensíveis de clientes, fornecedores e colaboradores, tem como objetivo a implantação da PSI para garantir a segurança dos dados das quais são de sua responsabilidade, que as informações provenientes de fontes externas (fornecedores e clientes) que trafegam pelo sistema desenvolvido e fornecido pela Pegaki, estejam protegidas, evitando qualquer intercepção, fraude ou perda.‍Além de prover a conscientização interna, para que as normas sejam seguidas por todos seus membros, garantindo a confidencialidade, integridade e disponibilidade das informações, não somente de clientes e fornecedores, porém dos próprios colaboradores da companhia.

2. DEFINIÇÕES‍
2.1. ATIVOS DE INFORMAÇÃO

Conforme definição da norma ABNT NBR ISO/IEC 27002:2013, “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. […] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”

Assim, para efeitos desta Política de Segurança da Informação, são considerados os seguintes Ativos de Informação: (a) Recursos de Tecnologia da Informação; (b) Informações pertencentes, concedidas ou relacionadas aos clientes; (c) Informações relacionadas aos colaboradores da Pegaki; (d) Informações pertencentes ou relacionadas aos fornecedores; (e) Estratégias e decisões da alta administração;Informações contábeis da Pegaki; (d) Processos internos da Pegaki.

2.2. PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO‍

i. Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.


‍ii. Confidencialidade: garantia de que o acesso à informação não estará disponível ou será divulgada a indivíduos, entidades ou aplicativos sem autorização.‍


iii. Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.‍

iv. Resiliência: garantia de que o sistema estará disponível para acesso das informações pelo tempo necessário, utilizando de redundância e escalabilidade sempre que possível.

PRINCÍPIOS COMPLEMENTARES

v. Autenticidade: Garantia da identidade do remetente da informação. Pela autenticidade garante-se que a informação é proveniente da fonte anunciada, sem sofrer alteração durante o envio.‍


vi. Legalidade: Garantir que o uso e manuseio das informações seguem as leis vigentes no país (Lei de crimes cibernéticos – Lei 12.737/2012, Marco Civil da Internet – Lei 12.965/2014 e LGPD LEI Nº 13.709/2018).‍


vii. Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.‍

2.3. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de Recursos de Tecnologia da Informação (“RTIs”) levando a perda de um dos princípios da Segurança da Informação, mencionados anteriormente. São exemplos de incidentes de segurança:


• Tentativas de ganhar acesso não autorizado a sistemas ou dados lógicos ou físicos;


• Indisponibilidade de informações e dados para a execução de rotinas e processos;


• Ataques de negação de serviço;


• Exploração de vulnerabilidades de protocolos;


• Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio de um gestor; e


• Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

A. COMUNICAÇÃO DE INCIDENTES:

A Pegaki deve divulgar e incentivar seus colaboradores a reportarem imediatamente os casos de incidentes de segurança da informação, podendo fazer de modo formal ou com uso do recurso de denúncia anônima.

B. TENTATIVA DE BURLA:

Qualquer tentativa de burla às diretrizes e controles estabelecidos pela Pegaki, quando constatada, deve ser tratada como uma violação.‍

2.4. SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO‍

O Sistema de Gestão da Segurança da Informação (SGSI) deverá fazer parte do sistema de gestão global da Pegaki, baseada em uma aproximação de risco empresarial, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação.

A. ESTRUTURA

A estrutura apresentada pela ISO 27.001 para um sistema de gestão da segurança da informação, leva em consideração o contexto em que a organização está situada, bem como as expectativas e requisitos passados pela Liderança e pela equipe de apoio que irá participar da execução do sistema.

‍

O ciclo da segurança da informação inicia em seu planejamento, passa por sua operação, avaliação do desempenho do sistema e por fim sua melhoria contínua. Desta forma, liderança e apoio retornam a segurança da informação gerenciada.‍



Este ciclo de planejamento, operação, avaliação de desempenho e melhoria, que se repete ao longo do tempo, junto com a liderança e o apoio é a garantia da efetividade para a segurança da informação da Pegaki.‍



O Sistema de Gestão para a Segurança da Informação abrange as esferas da Tecnologia (controles de segurança em ativos tecnológicos e o uso seguro da tecnologia), Processos, Ambientes (acessos físicos e proteção ao ambiente de trabalho) e Pessoas (conscientização de pessoas no tratamento e uso seguro das informações).

B. DETALHAMENTO

A Norma ABNT NBR ISO/IEC 27.002 Código de Práticas para Controles de Segurança da Informação fornece diretrizes de práticas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes e os riscos da segurança da informação da organização.‍