PSI — Política de Segurança da Informação
Empresa: Fortes Tecnologia em Sistemas Ltda — CNPJ 63.542.443/0001-24
Versão: 2 — setembro de 2022
Público-alvo: Interno e externo (colaboradores, parceiros, franqueados, representantes, fornecedores e clientes)
Assinatura: José Carlos Fortes Rocha — Co-Founder e CEO
Fonte: Governança/SIPD/Referências/2. Política de Segurança da Informação (Setembro 2022).pdf
← Segurança da Informação e Proteção de Dados
Introdução
A PSI formaliza as diretrizes da Fortes Tecnologia para implementar controles de segurança em todos os níveis da organização. Segurança da Informação (SI) abrange as esferas jurídica, técnica e gerencial, visando garantir disponibilidade, integridade e confidencialidade das informações.
Princípios de SI (Art. 3)
| Princípio | Definição |
|---|
| Confidencialidade | Dados alcançam somente os destinatários desejados pelo proprietário |
| Integridade | Dados não sofrem modificações indesejadas |
| Disponibilidade | Dados permanecem acessíveis quando necessários |
| Autenticidade | Não-repúdio — negação de autoria não é permitida |
| Legalidade | Dados criados e operados conforme legislação e regulamento corporativo |
Conceitos-Chave (Art. 4)
- Ameaça — Potencial causa de incidentes; pode ser humana (intencional ou não) ou natural (força maior)
- Vulnerabilidade — Fraqueza em ativo ou controle que pode ser explorada por ameaça
- Risco — Probabilidade de ameaça explorar vulnerabilidade e causar dano
- Incidente — Concretização do risco; a ocorrência já configura dano em si, podendo gerar prejuízo econômico ou reputacional
Sumário de Capítulos e Artigos
Cap. 1 — A Política de SI (Art. 1–5)
| Art. | Título |
|---|
| 1 | Objetivos do negócio e suporte à SI — vigente desde 2021 como princípio estratégico |
| 2 | Interpretação estrita — o que não está expressamente autorizado é proibido |
| 3 | Definições dos objetivos de SI — os 5 princípios (acima) |
| 4 | Definições e conceitos — ameaça, vulnerabilidade, risco, incidente |
| 5 | Observância da legislação e normativas internas — lista de normativas subordinadas |
Normativas subordinadas listadas no Art. 5:
Acesso de Terceiros · Backup · Classificação da Informação · Descarte Seguro · Desenvolvimento/Aquisição/Manutenção de Softwares · Dispositivos Móveis Particulares · Gestão de Incidentes · Identificação e Controle de Acesso · Mídias Sociais · Portas USB · Requisitos de Continuidade · Situações Excepcionais · Teletrabalho e Acesso Remoto · Uso de Criptografia · Políticas de Privacidade · Termos de Responsabilidade · NDA · Termos de Uso de Rede e Wi-Fi · Programa LGPD
Cap. 2 — Organização da SI (Art. 6–7)
| Art. | Diretrizes |
|---|
| 6 | Responsabilidade distribuída — SI é dever de todos os usuários em diferentes níveis |
| 7 | Alinhamento de TI com planejamento estratégico; aquisições por razões válidas com análise de risco |
Cap. 3 — Segurança e Gestão de Pessoas (Art. 8–14)
| Art. | Diretrizes |
|---|
| 8 | Processos de contratação devem incluir ciência da PSI; capacitação obrigatória na admissão |
| 9 | Contratos de trabalho devem estabelecer responsabilidades de SI |
| 10 | Conscientização contínua — campanhas, treinamentos e workshops obrigatórios |
| 11 | Obrigatoriedade de reportar vulnerabilidades; omissão equivale a coparticipação |
| 12 | Sigilo profissional — antes, durante e após a relação contratual |
| 13 | Prevenção de vulnerabilidade tecnológica via uso responsável de internet e redes sociais |
| 14 | Proteção digital da identidade corporativa nas redes sociais |
→ Ver artigo: 06 - Gestão de Pessoas em SI
Cap. 4 — Gestão de Ativos (Art. 15–22)
| Art. | Diretrizes |
|---|
| 15 | Inventário de ativos com atualização periódica; apenas ativos com proprietário identificado |
| 16 | Toda informação produzida no trabalho é propriedade da Fortes; dispositivos pessoais exigem autorização |
| 17 | Recursos de trabalho são de uso estritamente profissional; sem expectativa de privacidade |
| 18 | Ativos intangíveis (marcas, patentes, código-fonte) devem ser tratados com responsabilidade |
| 19 | Classificação da informação em dois eixos: (a) Pública / Interna / Confidencial; (b) Dado pessoal / sensível / não pessoal |
| 20 | Gerenciamento de mídias removíveis — descarte seguro obrigatório; proteção no transporte |
| 21 | Procedimentos de remoção de ativos — auditoria prévia ao descarte, reinstalação ou reconfiguração |
| 22 | Racionamento — colaborador acessa apenas o necessário; menor quantidade pelo menor tempo |
→ Ver artigo: 05 - Gestão de Ativos · NR: NR.SI.004 - Classificação da Informação
Cap. 5 — Controle de Acesso (Art. 23–27)
| Art. | Diretrizes |
|---|
| 23 | Pessoal autorizado — cadastramento e atribuição de permissões por cargo/função/nível |
| 24 | Sistema de autenticação obrigatório para dados internos/confidenciais (senha ou biometria) |
| 25 | Acesso remoto segue normativa própria; não configura hora extra ou sobreaviso |
| 26 | Revogação imediata ao término da relação ou cessação da necessidade; RH notifica TI/SI imediatamente |
| 27 | Gerenciamento de login — senhas são pessoais, intransferíveis e devem ser constantemente atualizadas |
→ Ver artigo: 04 - Controle de Acesso · NR: NR.SI.001 - Gestão de Identidade e Controle de Acesso · NR.SI.002 - Teletrabalho e Acesso Remoto
Cap. 6 — Recursos de Segurança e Criptografia (Art. 28–29)
| Art. | Diretrizes |
|---|
| 28 | Obrigatório: antivírus, firewall, antispyware e hash em todos os dispositivos conectados à rede |
| 29 | Criptografia para informações estratégicas; ciclo de vida de chaves definido em normativa própria |
→ Ver artigo: 10 - Recursos de Segurança e Criptografia
Cap. 7 — Segurança Física e Ambiental (Art. 30–33)
| Art. | Diretrizes |
|---|
| 30 | Proteção local — acesso a salas de servidores apenas para pessoal autorizado |
| 31 | Proteção de equipamentos contra queda de energia e danos ao cabeamento |
| 32 | Mesa limpa e bloqueio de tela ao ausentar-se da estação (inclui teletrabalho) |
| 33 | USB proibido para transferência de dados sem autorização do SI |
→ Ver artigo: 01 - Sistemas, Ferramentas e Dispositivos
Cap. 8 — Segurança das Operações (Art. 34–37)
| Art. | Diretrizes |
|---|
| 34 | Documentação de processos obrigatória; mudanças avaliadas pelo ponto de vista de SI |
| 35 | Registros de atividades — logs de usuários, eventos e auditorias de administradores |
| 36 | Gestão de capacidade de TIC com SLAs comunicados internamente |
| 37 | Minimização de dados pessoais — coletar apenas o necessário |
→ Ver artigo: 12 - Segurança Operacional
Cap. 9 — Segurança da Comunicação (Art. 38–42)
| Art. | Diretrizes |
|---|
| 38 | Todo conteúdo produzido deve citar fonte; sem indicação, presume-se autoria do emissor |
| 39 | Recursos corporativos proibidos para conteúdo pessoal, íntimo ou ilícito |
| 40 | Comunicação adequada — linguagem clara, impessoal, cordial; sem diminutivos excessivos |
| 41 | Upload de conteúdo corporativo em nuvem sem autorização prévia é proibido |
| 42 | Redes gerenciadas e controladas; mensagens eletrônicas protegidas |
→ Ver artigo: 03 - Comunicação Segura
Cap. 10 — Aquisição, Desenvolvimento e Manutenção de Sistemas (Art. 43–47)
| Art. | Diretrizes |
|---|
| 43 | Avaliação de segurança obrigatória em qualquer aquisição ou desenvolvimento |
| 44 | Gestão de mudanças — SI consultada com prazo hábil; responsabilidade pessoal do gestor |
| 45 | Testes de funcionalidades de segurança obrigatórios antes de colocar em produção |
| 46 | Softwares e hardwares devem ser autênticos e homologados |
| 47 | Inspeção de equipamentos — rotina preventiva; recusa à inspeção implica responsabilização |
| Art. | Diretrizes |
|---|
| 48 | Due diligence antes de contratar; NDA obrigatório para informações relevantes |
| 49 | Contratos com fornecedores devem incluir requisitos de SI |
| 50 | Acesso de terceiros a sistemas regido por normativa própria (período, complexidade de senha) |
| 51 | Fornecedores devem demonstrar conformidade LGPD; operadores de dados passam por análise prévia |
→ Ver artigo: 11 - Relacionamento com Terceiros · NR: NR.SI.003 - Acesso de Terceiros
Cap. 12 — Gestão de Incidentes (Art. 52–57)
| Art. | Diretrizes |
|---|
| 52 | Comitê de Segurança da Informação (CSI) — número ímpar de membros qualificados |
| 53 | Procedimentos gerenciais documentados para resposta rápida a incidentes |
| 54 | Todo evento de SI comunicado imediatamente à equipe de SI |
| 55 | Análise mensal; resultados convertidos em base de conhecimento |
| 56 | Plano de Resposta a Incidentes com relatório anual de implementação |
| 57 | Situações excepcionais e decisões críticas formalizadas |
→ Ver artigo: 07 - Gestão de Incidentes
Cap. 13 — Gestão da Continuidade do Negócio (Art. 58–59)
| Art. | Diretrizes |
|---|
| 58 | Requisitos de continuidade em normativa própria; procedimentos para crises e desastres |
| 59 | Controles de continuidade auditados periodicamente; redundância em bancos de dados |
| Art. | Diretrizes |
|---|
| 60 | Conformidade com: LGPD (13.709/18), Marco Civil (12.965/14), Lei do Software (9.609/98), PI (9.269/96) |
| 61 | Medidas técnicas e gerenciais de proteção de dados pessoais desde a concepção dos produtos |
→ Ver artigo: 02 - Conformidade Legal
Cap. 15 — Infrações e Responsabilidades (Art. 62–64)
| Art. | Sanções |
|---|
| 62 | Descumprimento = falta grave; para empregados, pode ser justa causa; tentativa de burlar = infração |
| 63 | CSI apura; comissão de 3 membros; sanções: advertência → suspensão → demissão |
| 64 | Dever de denunciar; omissão = coautoria |
→ Ver artigo: 08 - Infrações e Responsabilidades · 09 - Apuração de Incidentes de Segurança
Cap. 16 — Disposições Gerais (Art. 65–68)
| Art. | Diretrizes |
|---|
| 65 | PSI revisada a cada 12 meses; ciência formal por todos os destinatários |
| 66 | Gestores respondem pelo nível de conhecimento da sua equipe sobre SI |
| 67 | Avisos de monitoramento ostensivos e em boa-fé |
| 68 | Dever de colaboração com autoridades públicas em casos de incidentes |
Referências Cruzadas