Segurança: isso importa
A segurança da informação está diretamente relacionada em preservar o valor que possuem os dados e informações para um indivíduo ou uma organização. E isso aqui na Patrus Seguros sim importa.
PSI • Política de Segurança da Informação
A PATRUS SEGUROS visa sempre garantir a privacidade e a segurança das informações de todos os seus clientes, parceiros e colaboradores. Sendo assim, a PATRUS SEGUROS elaborou a sua Política de Segurança da Informação baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002.
A PSI, Política de Segurança da Informação é o documento que estabelece as diretrizes corporativas da corretora PATRUS SEGUROS quanto à proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários, devendo ser aplicada e obrigatoriamente executada em todas as áreas da corretora. O ativo de informação é qualquer elemento informacional que represente valor para a empresa, como banco de dados, arquivos, documentos, contratos, etc. Em termos de Segurança da Informação, um ativo da informação deverá ser protegido por meio de práticas e políticas que garantam a sua integridade, confidencialidade e autenticidade.
Portanto, a PATRUS SEGUROS apresenta a sua PSI de acordo com as leis vigentes no Brasil, bem como baseada nas boas práticas internacionais no que diz respeito à Gestão da Segurança da Informação.
OBJETIVOS
A Política de Segurança da Informação da PATRUS SEGUROS, têm como objetivo estabelecer as diretrizes e os fundamentos, a serem obrigatoriamente observados pela nossa empresa e todos os seus colaboradores a fim de manter seguros nossos ativos de informação, além de permitir a implementação de controles e procedimentos para minimizar qualquer eventual incidente.
ABRANGÊNCIA
A Política de Segurança da Informação da PATRUS SEGUROS deve ser cumprida, obrigatoriamente por todos os seus colaboradores e prestadores de serviços, inclusive nos trabalhos executados externamente, que utilizem os sistemas, e-mails, aplicativo de mensagens e informações pertencentes à PATRUS SEGUROS. Aplica-se esta PSI a todos usuários dos recursos tecnológicos e físicos que tenham acesso às informações de propriedade ou sob custódia da PATRUS SEGUROS, sejam os colaboradores, prestadores de serviços, fornecedores, clientes, representantes e demais partes envolvidas nas atividades e negócios da PATRUS SEGUROS.
Ainda, o presente documento abrange as empresas parceiras da PATRUS SEGUROS no processo de obtenção de informações de clientes, comercialização de produtos e/ou atendimento aos clientes da corretora.
VIGÊNCIA, APROVAÇÃO E REVISÃO
A presente Política entra em vigor na data de sua publicação e deverá ser revista e, se necessário atualizada a cada 24 (vinte e quatro meses).
A aprovação desta Política, e posteriores atualizações, ficará a cargo do Gestor da PATRUS SEGUROS.
LEGISLAÇÃO APLICÁVEL
• CIRCULAR SUSEP Nº 638/21 – Requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPCs) , sociedades de capitalização e resseguradores locais.
• LEI nº 13.709/2018 (LGPD – LEI GERAL DE PROTEÇÃO DE DADOS) e alterações dadas pela LEI nº 13.853/19;
• LEI nº 12.737/2012 (“Lei Carolina Dieckmann”);
• LEI nº 12.965/14 (“Marco Civil da Internet);
• ABNT NBR ISSO/ IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
• ABNT NBR ISSO/ IEC 27002: 2013 – Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Controles de Segurança da Informação.
• PORTARIA Nº 93/19 – Glossário de Segurança da Informação;
• Lei nº 9.279/96 – Lei de Propriedade Industrial;
• Lei nº 9.610/98 – Lei de Direito Autoral;
• Legislação trabalhista brasileira.
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação da PATRUS SEGUROS esta comprometida em seguir os três princípios a seguir:
CONFIDENCIALIDADE: garantia de que as informações necessárias às atividades do dia a dia da corretora estarão acessíveis e exclusivas somente por pessoas autorizadas;
INTEGRIDADE: garantia de que as informações, digitais ou físicas, armazenadas ou transacionadas, estarão íntegras, sem quaisquer modificações não autorizadas, intencional ou não;
DISPONIBILIDADE: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
CLASSIFICAÇÃO DA INFORMAÇÃO
Toda informação elaboradora no desenvolvimento das atividades da PATRUS SEGUROS deve ser classificada de acordo com os seguintes níveis de confidencialidade:
1. Pública: é toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral.
2. Interna: é toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.
3. Confidencial: é toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada desta informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro.
4. Restrita: é toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou pela área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização.
DIRETRIZES GERAIS
De forma geral, cabe a todos os gestores, administradores, colaboradores e prestadores de serviços da PATRUS SEGUROS:
• Cumprir fielmente a Política de Segurança da Informa da PATRUS SEGUROS;
• Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela empresa;
• Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela PATRUS SEGUROS;
• Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais e etc.), incluindo a emissão de comentário e opiniões em blogs e redes sociais;
• Não compartilhar informações confidenciais de qualquer tipo;
• Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos;
• Bloquear o acesso ao computador sempre que sair da sua mesa de trabalho, mesmo que por alguns minutos;
• Manter mesas organizadas e documentos com informações confidenciais trancados, quando não os estiver utilizando;
• Não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito de “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas.
DIRETRIZES GERAIS DOS DADOS DOS COLABORADORES
A PATRUS SEGUROS se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais de colaboradores que porventura sejam armazenados serão considerados dados confidenciais e não serão utilizados para fins diferentes daqueles para os quais foram coletados.
Os dados pessoais de colaboradores não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso, a lista de e-mails usados pelos colaboradores.
Em contrapartida, os nossos colaboradores se comprometem a não armazenar dados pessoais nas instalações da empresa, sem prévia e expressa autorização do Gestor. Na hipótese de autorização do armazenamento destes dados, a PATRUS SEGUROS não irá se responsabilizar por eles, tampouco pelo seu conteúdo e pela segurança.
No processo de admissão deverá ser apresentado aos novos colaboradores a Política de Segurança da Informação da PATRUS SEGUROS, sendo necessária a assinatura de concordância dos novos contratados com esta política. (Como anexo)
APLICAÇÕES DA PSI
As diretrizes estabelecidas na presente política deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviços, e se aplicam à informação em qualquer meio. A PSI da PATRUS SEGUROS científica a todos os seus colaboradores de que os ambientes, computadores, sistemas e redes da empresa poderão ser monitorados e gravados, mediante prévia informação, de acordo com os ditames da legislação brasileira.
Cada colaborador deverá manter-se sempre atualizado em relação a esta PSI e aos procedimentos adotados pela PATRUS SEGUROS com relação à Segurança da Informação. Em caso de dúvida do colaborador com relação à utilização e/ou descarte das informações físicas ou digitais da empresa deverá buscar orientação com o GESTOR.
Todas informações geradas ou desenvolvidas com aplicação aos negócios da PATRUS SEGUROS são de sua propriedade.
DIRETRIZES GERAIS DE USO DE COMPUTADORES E DEMAIS RECURSOS TECNOLÓGICOS:
As diretrizes estabelecidas na presente política da PATRUS SEGUROS deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviços, e se aplicam ao uso de tecnologia:
• As informações elaboradas, armazenadas ou obtidas no âmbito da PATRUS SEGUROS devem ser utilizadas exclusivamente para fins profissionais, visando atender aos interesses da corretora, portanto não devem ser divulgadas ou compartilhadas sem a devida autorização;
• É expressamente proibido o uso, acesso, arquivamento e divulgação de material discriminatório, pornográfico, malicioso, obsceno, ofensivo, ilegal ou que viole os preceitos estabelecidos no Código de Conduta, PSI, demais normativos corporativos e da legislação vigente;
• O uso dos recursos de tecnologia da PATRUS SEGUROS pode ser examinado, auditado ou verificado pela empresa, mediante autorização expressa do Gestor, sempre de acordo com o que rege a lei;
• Cada usuário é responsável pelo uso dos recursos que lhe foram fisicamente entregues e estão sob sua custódia, garantindo a conservação, guarda e legalidade dos programas (softwares) instalados;
• É vedado ao usuário implantar ou alterar quaisquer componentes físicos no computador;
• É vedado ao usuário implantar novos programas ou alterar configurações sem a autorização formal do setor de TI;
• O usuário deverá comunicar ao responsável pelo de informática qualquer irregularidade ou atividade suspeita no sistema ou equipamentos;
• Os sistemas e computadores da PATRUS SEGUROS devem ter os softwares de antivírus e antimalware instalados somente pelo técnico de TI da empresa, ou de quem este determinar;
• Arquivos pessoais dos usuários e/ou não pertinentes as atividades da empresa não deverão ser copiados/movidos para os drives de rede. Caso identificada a existência desses arquivos, eles poderão ser excluídos do sistema sem comunicação prévia ao usuário;
• Os computadores e demais recursos tecnológicos utilizados pelos usuários deverão ser protegidos por senha (bloqueados) quando não estiverem sendo utilizados;
• Os equipamentos deverão manter preservados, os registros de eventos, de modo seguro, constando a identificação dos colaboradores, datas e horários de acesso.
INSTALAÇÃO DE PROGRAMAS ILEGAIS
A PATRUS SEGUROS respeita os direitos autorais dos programas que usa, não autorizando o uso
de programas não licenciados nos computadores da empresa.
É diretriz da empresa a proibição de instalação pelo usuário de qualquer “software” nos computadores e equipamentos tecnológicos da empresa sem autorização prévia ou expressa do setor de TI.
Aqueles que violarem as diretrizes acima responderão perante a PATRUS SEGUROS por quaisquer prejuízos ou problemas causados oriundos desta ação, estando sujeitos às sanções administrativas e as medidas legais cabíveis.
IDENTIFICAÇÃO, SENHAS E RESTRIÇÕES DE ACESSO
O acesso dos usuários à informação no âmbito das atividades empresariais da PATRUS SEGUROS é restrito e controlado.
Os usuários dos sistemas da PATRUS SEGUROS são responsáveis pelo uso correto de suas credenciais, nos termos da legislação em vigor.
Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente sua senha. A senha não deve ser armazenadas em arquivos eletrônicos compreensíveis por linguagem usual (não criptografados); anotadas em meios físicos como bloquinhos/post-it; não devem ser baseadas em informações pessoais, como o próprio nome, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e etc. As senhas não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “12345678”; “87654321, entre outras.
O usuário é responsável pela memorização da própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem confiados.
Caso o usuário esqueça sua senha, ele deverá requisitar formalmente a troca à área técnica responsável para cadastrar uma nova.
USO DA INTERNET
Todas as diretrizes da PATRUS SEGUROS visam ao desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet, seja no escritório físico da empresa ou fora deste. A internet disponibilizada pela empresa aos seus usuários é uma ferramenta de trabalho e não deve ser utilizada para fins pessoais, razão pela qual a PATRUS SEGUROS, se ressalva a monitorar e registrar todos os acessos realizados em sua rede. Se necessário, a empresa poderá bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles no disco local, na estação de trabalho ou em áreas privadas da rede, visando a assegurar o cumprimento de sua Política de Segurança da Informação.
Somente os colaboradores autorizados pela PATRUS SEGUROS poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à presente PSI, à Política de Privacidade da empresa, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal Brasileira e demais legislações correlatas.
USO DO E-MAIL CORPORATIVO
É diretriz da PATRUS SEGUROS que o uso do correio eletrônico da empresa seja utilizado apenas para fins corporativos e relacionados às atividades do seu colaborador usuário. Fica vedada a utilização desse serviço para fins pessoais.
A PATRUS SEGUROS informa aos seus colaboradores que o uso do correio eletrônico é vedado para:
• Encaminhar mensagens, não solicitadas, para múltiplos destinatários, exceto se relacionadas ao uso legítimo da empresa;
• Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de esquivar-se de responsabilidade e punições previstas;
• Divulgar mensagens, informações não autorizadas ou imagens de telas, sistemas, documentos e afins sem autorização expressa e formal concedida pelo Gestor da PATRUS SEGUROS.
USO DO WHATSAPP PARA FINS PROFISSIONAIS
A utilização do Whatsapp pelos colaboradores da empresa para fins profissionais deverá respeitar as diretrizes e procedimentos descritos nesta Política de Segurança, no Aviso de Privacidade, bem como no Código de Conduta da PATRUS SEGUROS.
SEGURANÇA CLOUD OU EM NUVEM
É diretriz da PATRUS SEGUROS escolher provedores de nuvens certificados por organização competente, tendo em vista que o arquivamento de dados em nuvens se insere num modelo de gestão compartilhado de dados, sendo necessária a contratação de um provedor de nuvem, pessoa jurídica corresponsável para prestação deste serviço.
SEGURANÇA FÍSICA DA PORTARIA DO PRÉDIO DA PATRUS SEGUROS
O acesso ao prédio do escritório da PATRUS SEGUROS é controlado por porteiro físico que identifica visitantes, prestadores de serviços e fornecedores através da apresentação de documento pessoal válido, e somente após o cadastro é permitida a entrada nas dependências internas do prédio.
É utilizada na portaria do prédio a identificação biométrica, bem como a utilização de crachás para o acesso dos colaboradores e gestores da PATRUS SEGUROS nas dependências da edificação.
TRABALHO REMOTO (Home Office)
O trabalho remoto será permitido aos colaboradores da PATRUS SEGUROS, desde que seja realmente necessário e de acordo com as diretrizes abaixo colacionadas:
• A residência deverá ter conexão estável com a internet, essencial para a realização do trabalho a distância. Se positivo, deverá ser avaliado o melhor lugar para instalação do computador e ferramentas de trabalho;
• É essencial que o colaborador da PATRUS SEGUROS tenha cuidado e zelo com a utilização dos meios de comunicação adotados pela empresa para execução de suas tarefas em home office;
• O colaborador deve estar 100% disponível durante todo o horário comercial, assim como estaria no ambiente físico interno da empresa;
• Os documentos produzidos devem ser obrigatoriamente salvos na rede da PATRUS SEGUROS, sendo proibido salvar ou manter qualquer documento em pen drive, hd externo ou no seu computador de uso pessoal;
• Embora o ambiente do home office não seja o escritório, as informações da PATRUS SEGUROS devem continuar confidenciais, sendo vedada a discussão de assuntos sigilosos e/ou de seus clientes com familiares.
AUDITORIA INTERNA
A PATRUS SEGUROS visando garantir as diretrizes elencadas na presente Política de Segurança da Informação poderá:
• Implantar sistemas de monitoramento das estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede pertencentes ou ligados as atividades da PATRUS SEGUROS;
• Tornar públicas as informações obtidas pelas auditorias internas e sistemas de monitoramento, no caso de exigência judicial ou solicitação administrativa;
• Realizar, a qualquer tempo, inspeção física nas máquinas e equipamento tecnológicos de sua propriedade;
• Instalar sistemas de proteção, preventivos e detectáveis para garantir a segurança da informação e dos perímetros de acesso.
PENALIDADES APLICÁVEIS
O colaborador poderá sofrer as seguintes penalidades no caso de descumprimento das diretrizes previstas nesta Política de Segurança da Informação:
• Advertência verbal: o colaborador será comunicado verbalmente que está infringindo as normas da Política de Segurança da Informação da PATRUS SEGUROS e será recomendado à releitura das diretrizes da PSI e demais documentos de condutas da empresa;
• Advertência formal: a primeira notificação será enviada ao colaborador informando o descumprimento da diretriz, com a indicação precisa da violação cometida. A segunda notificação será encaminhada para o Gestor do infrator;
• Dispensa por justa causa ou rescisão do Contrato de Prestação de Serviços: Na hipótese de violação reiterada da Política de Segurança da Informação, a despeito das advertências, o colaborador estará sujeito à dispensa por justa causa, nos termos da legislação em vigor ou, se aplicável, à rescisão motivada do contrato de prestação de serviços.
ADERÊNCIA À POLÍTICA
Identificada uma conduta não aderente à referida POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, ou o seu descumprimento, a PATRUS SEGUROS tomará as medidas legais, tecnológicas ou disciplinares necessárias de forma a manter a aderência a PSI.
Nos casos de descumprimento dessa PSI será de competência do GESTOR tomar as decisões administrativas cabíveis.
INCIDENTES DE SEGURANÇA
A PATRUS SEGUROS entende a segurança da informação como parte fundamental da cultura
interna da empresa, bem como os princípios éticos.
A conduta perante incidentes de segurança estará descrita no PLANO DE RESPOSTA A INCIDENTES DE TECNOLOGIA DA INFORMAÇÃO (TI), documento que está vinculado esta Política de Segurança da Informação, Aviso de Privacidade, Política de Privacidade e Política de Gerenciamento de Cookies.
CANAL DIRETO PARA ESCLARECIMENTOS
A PATRUS SEGUROS possui um canal direto para maiores esclarecimentos sobre esta Política de Segurança da Informação através do seguinte e-mail: privacidade@patrusseguros.com.br
Endereço:
Rua dos Guajajaras, 410, 12º Andar, Sala: 1205 - Centro, Belo Horizonte - MG, 30180-912
Telefone:
31 3327-4977