Rua Espírito Santo, 315 - 11° andar - São Caetano do Sul - SP

Política de Segurança da Informação

Versão 3a - 27/09/2022

1 - Objetivos

O objetivo da Política de Segurança da Informação (PSI) é fornecer diretrizes para proteger as informações, o fluxo de informações e serviços fornecidos aos clientes, bem como os dados e serviços de TI que garantem as operações da empresa. Além disso, a PSI deve considerar a propriedade intelectual da empresa, como códigos-fonte, informações e privacidade dos funcionários e dados dos clientes.

A proteção de dados deve levar em consideração as leis e regulamentos relativos aos dados da empresa e clientes e dos serviços prestados. Isso também se aplica a dados de clientes submetidos a normas específicas para o setor do cliente (ex.: Instituições Financeiras). Entre essas normas e leis citamos:

  • Marco Civil.
  • Lei Geral de Proteção de Dados (LGPD).
  • B3 (PQO) - para clientes do mercado financeiro.
  • RESOLUÇÃO Nº 4.893 do Banco Central - para clientes do mercado financeiro.

Todos estes documentos estão disponíveis no diretório do Sistema de Gestão da Segurança da Informação SGSI, na pasta Documentação/Legislação. A PSI também contempla os compromissos assumidos nos contratos com clientes de forma a cumprir os requisitos de segurança estipulados no mesmo.

2 - Escopo

Esta política se aplica a todos os usuários da informação da WINCO SISTEMAS, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a WINCO SISTEMAS, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da WINCO SISTEMAS e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura WINCO SISTEMAS.

3 - Papéis e Responsabilidades

3.1 Comitê Gestor da Segurança da Informação - CSI

É um Grupo de Trabalho multidisciplinar permanente, efetivado pela diretoria da WINCO SISTEMAS, que tem por finalidade tratar questões ligadas à Segurança da Informação.

É responsabilidade do CSI:

  • Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;
  • Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
  • Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;
  • Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da WINCO SISTEMAS.

3.2 Gerenciamento da Segurança Da Informação

É responsabilidade da Assessoria de Informática, juntamente com a equipe de infraestrutura o Gerenciamento da Segurança da Informação:

  • Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CSI;
  • Elaborar e propor ao CSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir este PSI;
  • Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
  • Realizar a gestão dos incidentes de segurança da informação, garantindo o seu adequado tratamento.

3.3 Usuários da Informação

São usuários da informação os empregados com vínculo empregatício de qualquer área da WINCO SISTEMAS ou terceiros alocados na prestação de serviços à WINCO SISTEMAS, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da WINCO SISTEMAS para o desempenho de suas atividades profissionais.

É responsabilidade dos Usuários da Informação:

  • Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;
  • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, suas normas e procedimentos a Assessoria de Informática ou, quando pertinente, ao Comitê Gestor de Segurança da Informação CSI;
  • Comunicar à Assessoria de Informática qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da WINCO SISTEMAS;
  • Assinar o Termo de Uso de Sistemas de Informação da WINCO SISTEMAS, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
  • Assinar o Termo de Confidencialidade ou NDA (Non Disclosure Agreement) pelo qual se compromete a não divulgar informações que não sejam públicas e zelar pela confidencialidade das mesmas.
  • Ler, compreender e cumprir integralmente, com a disponibilização de treinamento ou do material descrito, os preceitos do documento DO-A7-07 - Termos de uso de sistemas de informação.

3.4 Gestor da Informação

Gestor da Informação é um usuário da informação ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

É responsabilidade dos colaboradores apontados como Gestor da Informação:

  • Definir a classificação das informações sob sua responsabilidade com base nas categorias de classificação definidos pela PSI, mantendo um registro atualizado dos itens classificados;
  • Controlar as informações geradas em sua área de negócio e atuação;
  • Revisar periodicamente a classificação das informações sob sua guarda.

3.5 Propriedade dos Ativos Físicos e da Informação

Tanto os computadores e dispositivos usados para o trabalho, como os dados gerados pela operação da Winco são considerados como Ativos. Os Ativos da Informação gerados na execução do trabalho para terceiros e regulados via contrato de prestação de serviços pertencem ao terceiro. Os Ativos Físicos usados pelos funcionários e terceiros para a execução do trabalho, de acordo com o documento DO-A7-07 - Termos de uso de sistemas de informação, pertencem a Winco.

4 - Classificação da Informação

Para efeitos de classificação da informação, definimos as seguintes categorias:

  • INFORMAÇÃO PÚBLICA: Informação oficialmente liberada pela WINCO SISTEMAS para o público geral. A divulgação deste tipo de informação não causa problemas a WINCO SISTEMAS ou a seus clientes, podendo ser compartilhada livremente com o público geral, desde que seja mantida sua integridade.
  • INFORMAÇÃO DE USO INTERNO: Informação liberada exclusivamente para usuários e departamentos específicos da WINCO SISTEMAS, não podendo ser compartilhada com o público em geral. Estas informações só podem ser compartilhadas mediante autorização expressa.
  • INFORMAÇÃO CONFIDENCIAL: Informação de caráter sigiloso, podendo ser comunicada exclusivamente a usuários especificamente autorizados e que necessitem conhecê-las para o desempenho de suas tarefas profissionais na WINCO SISTEMAS. A divulgação ou alteração não autorizada desse tipo de informação pode causar graves danos e prejuízos para a WINCO SISTEMAS e/ou seus clientes, portanto seu compartilhamento deve ser restrito e feito de maneira controlada.

A classificação da informação deverá ser realizada pelos gestores da informação ou colaboradores designados por estes.

5 - Prevenção de Incidentes de Segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da WINCO SISTEMAS LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

A política de prevenção de incidentes engloba:

  • Controle de acesso aos dados e sistemas de informação;
  • Proteção contra ataques cibernéticos;
  • Backups de dados.

5.1 Controle de Acesso

A WINCO SISTEMAS fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa. O acesso a ativos/serviços de informação é fornecido a critério da WINCO SISTEMAS, que define permissões baseadas nas necessidades laborais dos usuários.

As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais e o acesso às mesmas deverá ser autenticado com senhas ou certificados digitais usados em conjunto ou separadamente.

5.2 Proteção contra Ataques Cibernéticos

A proteção contra ataques cibernéticos inclui mas não se limita a:

  • Uso de antivírus nos servidores e estações de trabalho;
  • Uso de firewall;
  • Segmentação das redes, inclusive as hospedadas na nuvem;
  • Atualização de segurança dos sistemas operacionais e aplicativos;
  • Testes periódicos de vulnerabilidade.

5.3 Backup de Dados

O backup dos dados é feito diariamente. Suas diretrizes seguem o documento DO-12-04 - Política de Cópias de Segurança que está disponível no diretório do Sistema de Gestão de Segurança da Informação.

6 - Resposta a incidentes

No caso de algum incidente, a WINCO SISTEMAS acionará o Plano de Respostas a Incidentes. Esse plano deverá contemplar:

  • Definição da ação imediata para interromper ou minimizar o incidente;
  • Investigação do Incidente - levantar a origem e as causas;
  • Restauração dos recursos afetados;
  • Remoção das possíveis falhas que permitiram a ocorrência do incidente;
  • Comunicação do incidente aos canais apropriados.

Mais informações sobre o Plano de Recuperação de Desastres estão no documento: PL-17.1-01 - Business Continuity Disaster Recovery Plan.

7 - Treinamento sobre Confidencialidade e Proteção de Dados

Todos os colaboradores da WINCO SISTEMAS serão submetidos a treinamento em relação a confidencialidade e proteção de dados.

Os seguintes assuntos serão abordados:

  • Importância da Confidencialidade dos dados da empresa, dos clientes e dos colaboradores da empresa;
  • Uso adequado de senhas;
  • Melhores práticas de segurança onde serão alertados contra:
    • Phishing;
    • Engenharia Social.
  • Ferramentas de segurança como antivírus.

Além do treinamento, todos os colaboradores têm de assinar um Termo de Confidencialidade/NDA (Non Disclosure Agreement) que explicita as informações sigilosas bem como o compromisso de manter a confidencialidade dos mesmos. Os Modelos do Termo de Confidencialidade / NDA estão no documento: FO-A7-01- NDA e Termo de Confidencialidade.

A não observação das políticas de segurança da informação da empresa e demais temas ministrados nos treinamentos fornecidos aos funcionários ensejam penalidades, de acordo com o documento DO-A7-07 - Termos de uso de sistemas de informação.

8 - Melhora Contínua da Gestão de Segurança

Deve ser garantida a melhora contínua dos sistemas e controles de segurança da informação de forma a identificar e melhorar possíveis pontos fracos.

Os sistemas e controles de segurança também deverão sofrer revisões periódicas para atualizá-los diante de mudanças tanto no cenário interno quanto externo. Como exemplo de mudanças podemos citar novas legislações, novos serviços e contratos bem como mudanças tecnológicas e adoção de novos sistemas.

Todos incidentes de segurança deverão ser analisados para identificar melhoras que possam evitar ou mitigar a repetição do evento. Também deverá ser feito uma crítica ao procedimento de resposta ao incidente para avaliar possíveis melhoras no mesmo.

Atenciosamente,
Equipe Winco

chamar no WhatsApp
Instagram
Instagram
facebook
Facebook
linkedin
Linkedin