Logo Winco Sistemas

Política de Segurança da Informação

Versão 1.c - 19/11/2020


1 - Objetivos

O objetivo da Política de Segurança da Informação (PSI) é fornecer diretrizes para proteger as informações, o fluxo de informações e serviços fornecidos aos clientes, bem como os dados e serviços de TI que garantem as operações da empresa. Além disso, a PSI deve considerar a propriedade intelectual da empresa, como códigos-fonte, informações e privacidade dos funcionários e dados dos clientes.

A proteção de dados deve levar em consideração as leis e regulamentos relativos aos dados da empresa e clientes e dos serviços prestados. Isso também se aplica a dados de clientes submetidos a normas específicas para o setor do cliente (ex.: Instituições Financeiras). Entre essas normas e leis citamos:

2 - Escopo

Este Esta política se aplica a todos os usuários da informação da WINCO SISTEMAS, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a WINCO SISTEMAS, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da WINCO SISTEMAS e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura WINCO SISTEMAS.

3 - Papéis e Responsabilidades

3.1 Comitê Gestor da Segurança da Informação - CSI

É um Grupo de Trabalho multidisciplinar permanente, efetivado pela diretoria da WINCO SISTEMAS, que tem por finalidade tratar questões ligadas à Segurança da Informação.

É responsabilidade do CSI:

3.2 Gerenciamento da Segurança Da Informação

É responsabilidade da Assessoria de Informática, juntamente com a equipe de infraestrutura o Gerenciamento da Segurança da Informação:

3.3 Usuários da Informação

São usuários da informação os empregados com vínculo empregatício de qualquer área da WINCO SISTEMAS ou terceiros alocados na prestação de serviços à WINCO SISTEMAS, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da WINCO SISTEMAS para o desempenho de suas atividades profissionais.

É responsabilidade dos Usuários da Informação:

3.4 Gestor da Informação

Gestor da Informação é um usuário da informação ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

É responsabilidade dos colaboradores apontados como Gestor da Informação:

4 - Classificação da Informação

Para efeitos de classificação da informação, definimos as seguintes categorias:

A classificação da informação deverá ser realizada pelos gestores da informação ou colaboradores designados por estes.

5 - Prevenção de Incidentes de Segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da WINCO SISTEMAS LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

A política de prevenção de incidentes engloba:

5.1 Controle de Acesso

A WINCO SISTEMAS fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa. O acesso a ativos/serviços de informação é fornecido a critério da WINCO SISTEMAS, que define permissões baseadas nas necessidades laborais dos usuários.

As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais e o acesso às mesmas deverá ser autenticado com senhas ou certificados digitais usadas em conjunto ou separadamente.

5.2 Proteção contra Ataques Cibernéticos

A proteção contra ataques cibernéticos inclui mas não se limita a:

5.3 Backup de Dados

O backup dos dados é feito diariamente. Alguns dados podem ter backups incrementais em intervalos menores, como é o caso dos dados do Winco Talk Manager, cujos backups são feitos de 2 em 2 horas.

6 - Resposta a incidentes

No caso de algum incidente, a WINCO SISTEMAS acionará o Plano de Respostas a Incidentes. Esse plano deverá contemplar:

Mais informações sobre o Plano de Recuperação de Desastres estão no documento: PL-17.1-01 - Business Continuity Disaster Recovery Plan.

7 - Treinamento sobre Confidencialidade e Proteção de Dados

Todos os colaboradores da WINCO SISTEMAS serão submetidos a treinamento em relação a confidencialidade e proteção de dados.

Os seguintes assuntos serão abordados:

Além do treinamento, todos os colaboradores têm de assinar um Termo de Confidencialidade/NDA (Non Disclosure Agreement) que explicita as informações sigilosas bem como o compromisso de manter a confidencialidade dos mesmos. Os Modelos do Termo de Confidencialidade / NDA estão no documento: FO-A7-01- NDA e Termo de Confidencialidade.

8 - Melhora Contínua da Gestão de Segurança

Deve ser garantida a melhora contínua dos sistemas e controles de segurança da informação de forma a identificar e melhorar possíveis pontos fracos.

Os sistemas e controles de segurança também deverão sofrer revisões periódicas para atualizá-los diante de mudanças tanto no cenário interno quanto externo. Como exemplo de mudanças podemos citar novas legislações, novos serviços e contratos bem como mudanças tecnológicas e adoção de novos sistemas.

Todos incidentes de segurança deverão ser analisados para identificar melhoras que possam evitar ou mitigar a repetição do evento. Também deverá ser feito uma crítica ao procedimento de resposta ao incidente para avaliar possíveis melhoras no mesmo.





Atenciosamente,
Equipe Winco

Winco Sistemas | Copyright © - Todos os direitos reservados

+55 11 4063-8400  |  +55 21 4063-5369  |  +55 31 4063-8512

Rua Espírito Santo, 315 - 11º andar  |  Santo Antônio - São Caetano do Sul - SP

Top