Início » Política Operacional de Segurança da Informação

Política Operacional de Segurança da Informação

INTRODUÇÃO

A Korn Traduções, visando estabelecer uma aliança duradoura e de confiança com seus clientes, colaboradores e fornecedores, e com o objetivo de satisfazer as necessidades dos seus clientes com excelência, confidencialidade, integridade e disponibilidade, está comprometida com a proteção das informações de sua propriedade utilizadas no fornecimento de seus serviços.

O estabelecimento de um Sistema de Gestão de Segurança e Privacidade da Informação é um compromisso da alta direção da Korn Traduções cujo foco é:

  • Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da Korn Traduções ou que sejam utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus serviços.
  • Garantir o atendimento à legislação vigente e requisitos contratuais.
  • Promover a capacitação de seus colaboradores.
  • Praticar a melhoria contínua do Sistema de Gestão da Segurança e Privacidade da Informação.

Esta Política é endossada e complementada pela Política de Privacidade, pelo Código de Ética e Conduta, pelos Acordos de Confidencialidade e pelo Termo Aditivo de Contrato de Trabalho – Alteração do regime presencial de trabalho para o regime teletrabalho (Home Office) Parcial ou Integral.

Abrangência

Esta Política aplica-se a todos os colaboradores e terceiros que sejam usuários dos recursos e das informações da Korn Traduções.

Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as leis abaixo relacionadas, mas não se limitando a elas:

Cabe a Alta Direção da Korn, juntamente com áreas internas envolvidas, revisar e manter atualizado os registros de legislação aplicável e efetuar ações de adequação, quando aplicável.

Demais partes interessadas na cadeia operacional da Korn (clientes, fornecedores, terceiros, pessoas jurídicas/subcontratados, entre outros), de acordo com sua abrangência e aplicabilidade, também deverão respeitar à legislação a ela aplicável.

  • Constituição Federal;
  • Código de Defesa do Consumidor
  • Lei Federal nº 8.159, de 8 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
  • Lei Federal nº 9.610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
  • Lei Federal nº 9.279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
  • Lei Federal nº 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
  • Lei Federal nº 10.406, de 10 de janeiro de 2002 (Institui o Código Civil)
  • Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Institui o Código Penal)
  • Lei Federal nº 9.983, de 14 de julho de 2000 (Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940:

– Código Penal e dá outras providencias.

  • Lei nº 12.965, de 23 de abril de 2014 (Lei do Marco Civil da Internet)
  • Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)
  • Lei Anticorrupção (Lei Nº 12.846, de 1º de agosto de 2013)
  • Lei nº 10.097/2000 e Decreto nº 9.579, de 22 de novembro de 2018, relativa à Lei da Aprendizagem e de empregabilidade de menores

Termos e Definições

Para os efeitos desta Política, aplicam-se os seguintes termos e definições:

  • Aceitação de risco: decisão de aceitar um risco.
  • Áreas críticas: dependências da Korn Traduções ou de seus clientes onde esteja situado um ativo de informação relacionado a informações críticas para os negócios da empresa ou de seus clientes.
  • Ameaça: causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.
  • Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco.
  • Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
  • Ação corretiva: ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável.
  • Ataque: tentativa para destruir, expor, alterar, desabilitar, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um ativo.
  • Ativo: qualquer componente, recurso ou conjunto destes aplicáveis para a preservação da confidencialidade, integridade e disponibilidade de dados e informações (hardware, software, infraestrutura, pessoas com seus conhecimentos, etc.).
  • Ativo da informação: conhecimento ou dados que tenham valor para a empresa.
  • Autenticidade: propriedade que garante a autoria de um determinado dado.
  • CGSI: Comitê Gestor de Segurança da Informação, grupo multidisciplinar que reúne representantes de diversas áreas da empresa, aprovado pela Diretoria, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI – Sistema de Gestão de Segurança da Informação.
  • Comunicação de risco: troca ou compartilhamento de informações sobre riscos entre o tomador de decisões e outras partes interessadas.
  • Confiabilidade: característica de comportamento consistente e resultados desejados.
  • Confidencialidade: característica de informação não está disponível nem pode ser revelada a indivíduos, entidades ou processos não autorizados.
  • Controle: meios de gerenciamento de risco, incluindo políticas, procedimentos, guias, práticas ou estruturas organizacionais, que podem ser administrativos, técnicos, de gestão ou de natureza legal.
  • Controle de acesso: meios para assegurar que o acesso a ativos é autorizado e restrito com base nos requisitos de segurança e de negócios.
  • Critérios de risco: termos de referência pelos quais é avaliada a importância do risco.
  • Dados pessoais: quaisquer informações associadas a uma pessoa física identificada ou identificável fornecidas pela Korn Traduções e/ou acessadas em seu nome e/ou que se relacionem à condição de pessoa física vinculada à Korn Traduções, incluindo, mas não se limitando a, nome, endereço, telefone, e-mail, dados bancários.
  • Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da empresa.
    • Nota: os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, nos requisitos legais ou regulamentares, nas obrigações contratuais e nos requisitos de negócio da empresa para a segurança da informação.
  • Disponibilidade: característica do que é acessível e utilizável sob demanda por uma entidade autorizada.
  • Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede indicando uma possível violação da Política de Segurança da Informação e Privacidade ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
  • Gestão de riscos: atividades coordenadas para direcionar e controlar uma empresa no que se refere a riscos.
  • Informações críticas para os negócios da Korn Traduções: toda informação que, se for alvo de acesso, modificação, destruição ou divulgação não autorizada, resultará em perdas operacionais ou financeiras à Korn Traduções ou seus clientes. Exemplo: dados dos clientes, fontes de sistema, regras de negócios, informações estratégias ou de negócio de clientes obtida em reuniões, planejamento estratégico da Korn Traduções, prospecções, informações estratégicas da Korn Traduções.
  • Impacto: mudança adversa nos objetivos de negócios.
  • Incidente de segurança da informação: um único evento ou uma série de eventos de segurança da informação indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • Integridade: propriedade de salvaguarda da exatidão e completeza dos ativos.
  • Mitigação: limitação das consequências negativas de um determinado evento.
  • Não repúdio: capacidade de provar a ocorrência de um evento alegado ou de ação e de suas entidades de origem, a fim de resolver disputas sobre a ocorrência ou não ocorrência de evento ou ação e envolvimento de entidades no evento.
  • Risco: combinação da probabilidade de um evento e suas consequências.
  • Risco de segurança da Informação: possibilidade de uma ameaça explorar uma vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos à empresa.
  • Risco residual: risco remanescente após o tratamento de riscos.
  • Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação.
    • Nota: adicionalmente, outras propriedades, tais como a autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.
  • Sistema de gestão: estrutura de políticas, procedimentos, guias e recursos associados para atingir os objetivos da empresa .
  • Sistema de Gestão da Segurança da Informação – SGSI: parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
  • Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco.
  • Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

INFORMAÇÃO DOCUMENTADA

Estrutura Normativa

Os documentos que compõem a estrutura normativa são divididos em 5 categorias:

  1. Política (nível estratégico): define as regras de alto nível que representam os princípios básicos que a Korn Traduções decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as políticas operacionais e os procedimentos sejam criados e detalhados.
  2. Política operacional: constituída do presente documento, define regras específicas que orientam e regulam responsabilidades e ações em nível operacional.
  3. Procedimentos (nível operacional): instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da Korn Traduções.
  4. Manuais: guia de instruções que apoia a execução de um processo ou o uso de um software.
  5. Templates: modelos de documentos e controles sob controle de versão.

Todos os processos e templates são disponibilizados no Portal de Processos e os registros estão no repositório de documentos da Korn Traduções. Toda informação documentada que evidenciar a execução de um processo deve ter seu armazenamento controlado visando sua pronta recuperação.

Novos documentos ou revisões devem ser submetidos pelos gestores das áreas em questão para aprovação da alta direção antes de serem disponibilizados, conforme processo Informação Documentada, pertencente à Qualidade.

Cópias impressas do conteúdo do Portal de Processos Korn Traduções não são consideradas válidas e são proibidas.

Os documentos integrantes da estrutura devem ser divulgados a todos os colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Korn Traduções quando de sua admissão através dos meios oficiais de divulgação interna da empresa, conforme o Plano de Comunicação da Korn Traduções, e podem ser disponibilizados pelo software de gestão de RH vigente, pelo Portal de Processos e pelo repositório de documentos compartilhados, de maneira que seu conteúdo possa ser consultado a qualquer momento.

Toda alteração realizada na Política de Segurança da Informação e Privacidade deverá ser repassada à CEO ou à Diretoria Administrativa para aprovação. Após sua aprovação, a política deverá ser divulgada e os colaboradores treinados.

Classificação das Informações

Define-se como necessária a classificação de toda informação de propriedade da Korn Traduções ou sob sua custódia, de maneira proporcional ao seu valor para a empresa.

Informações que compõem o SGSI devem ser classificadas em:

  • Confidenciais – são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da Korn Traduções. Podem ser protegidas, por exemplo, por criptografia.
  • Restritas – são informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Estão protegidas por restrição de acesso às pastas em que estão contidas no drive de rede e nos diferentes níveis de acesso nos sistemas e no Portal da Korn Traduções.
  • Internas – são aquelas que não podem ser divulgadas para pessoas de fora da Korn Traduções, mas que, caso isso aconteça, não causam grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
  • Públicas – são dados que não necessitam de proteção específica contra vazamentos, pois podem ser de conhecimento público.

Informações relativas aos colaboradores, ao setor financeiro da Korn Traduções e informações de clientes (dados cadastrais e documentos) são sempre consideradas restritas, sendo seu acesso concedido apenas às pessoas que precisam delas para exercerem suas atividades e prestar o serviço contratado. Para possibilitar o controle adequado da informação, devem ser utilizados os níveis de acesso descritos em Procedimentos Gerais de Infraestrutura e TI.

DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação e Privacidade da Korn Traduções que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.

Define-se como necessária a proteção das informações que sejam da Korn Traduções ou que estejam sob sua custódia, sendo fator primordial nas atividades profissionais de cada colaborador, estagiário, jovem aprendiz ou prestador de serviços da empresa:

  1. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da Korn Traduções e devem estar atentos a ameaças externas, bem como fraudes, roubo de informações e acesso indevido a sistemas de informação sob responsabilidade da Korn Traduções.
  2. Assuntos confidenciais não devem ser expostos publicamente.
  3. Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados.
  4. Somente softwares homologados podem ser utilizados no ambiente computacional da Korn Traduções.
  5. Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislação pertinente e respeitando o procedimento de descarte.
  6. Todos os dados considerados imprescindíveis ao negócio da Korn Traduções devem ser protegidos através de rotinas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação.
  7. O acesso às dependências da Korn Traduções deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  8. O acesso lógico a sistemas computacionais disponibilizados pela Korn Traduções deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  9. São de propriedade da Korn Traduções todas as criações, códigos ou procedimentos desenvolvidos por qualquer colaborador, estagiário, jovem aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa.
  10. Não é permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou outros equipamentos de gravação, como câmeras em dispositivos móveis, nas dependências da Korn Traduções, exceto se for autorizado pela alta direção. É estritamente proibido fotografar ou filmar a tela dos computadores, seja no escritório ou em home office.
  11. Não é permitido a instalação de impressoras nos computadores da Korn Traduções, exceto quando autorizado pela alta direção. O acesso às impressoras já instaladas no escritório também deve ser autorizado pela alta direção mediante a solicitação do gestor.
  12. Colaboradores que trabalham em regime de home office deverão sempre exercer suas atividades no endereço fornecido à Korn Traduções, em uma rede de acesso à internet particular, protegida por senha. É estritamente proibido o exercício de suas funções em outro endereço, que implica transporte da máquina e acesso em outra rede, exceto mediante autorização da alta direção, após ser comunicado o novo local, a necessidade e após análise de riscos. Nenhum acesso aos dados e sistemas da Korn Traduções deve ser feito em rede pública (aeroportos, restaurantes, etc.).
  13. Os computadores disponibilizados pela Korn Traduções aos colaboradores, estagiários e jovens aprendizes, para exercício de suas atividades, são de uso exclusivo para atividades relacionadas à Korn Traduções e não podem ser utilizados para atividades pessoais. Quando autorizado pela alta direção, os computadores poderão ser utilizados para treinamentos, palestras ou webinários online. É permitido aos jovens aprendizes assistirem aulas pela plataforma formal do instituto responsável por sua contratação, porém são estritamente vedados pesquisas na internet e armazenamento de arquivos.
  14. Não é permitido a conexão de dispositivos móveis particulares (notebooks, tablets, entre outros) à rede principal da Korn Traduções, seja em segmentos cabeados ou sem fio. Caso seja necessário, deve ser liberado apenas com autorização prévia formal da alta direção. Para clientes pode ser disponibilizada uma rede WiFi separada para visitantes, que não possui conexão com a rede interna.

Ressalta-se que as situações previstas nessa Política não são exaustivas, sendo certo que outras relacionadas ao uso dos equipamentos no ambiente de trabalho ou dúvidas quanto à segurança da informação podem ocorrer.

Quanto a essas situações, não expressamente previstas nesta Política e/ou nas demais Políticas e no nosso Código de Ética e Conduta, a Korn Traduções conta com o bom senso de seus funcionários e caso dúvidas permaneçam, os departamentos de TI e de RH/Gestão de Pessoas podem sempre ser contatados para tirar dúvidas por meio dos e-mails [email protected] e [email protected].

Avaliação de Riscos de Segurança da Informação

A gestão do SGSI da Korn Traduções deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da empresa por meio do mapeamento de vulnerabilidades, ameaças, impacto e probabilidade de ocorrência, bem como da adoção de controles que mitigam estes riscos junto aos responsáveis pelos ativos aos quais os riscos estão associados.

Competências Necessárias para Segurança da Informação

Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na Korn Traduções, garantindo assim o sucesso do SGSI. A competência exigida deve:

  1. Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;
  2. Reter informações documentadas adequadas como prova de competência.

AMBIENTE FÍSICO

O acesso aos ambientes físicos da Korn Traduções é controlado e monitorado. Os visitantes e fornecedores devem se restringir à recepção e à sala de reuniões, quando necessário, sendo restrito o acesso aos demais ambientes.

Não é permitida a entrada de colaboradores e fornecedores fora do expediente, exceto quando estritamente necessário e mediante autorização prévia da alta direção, sendo que terceiros devem estar sempre acompanhados por um colaborador da Korn Traduções.

Todo o detalhamento quanto ao controle de acesso às instalações da Korn Traduções, proteção contra ameaças externas, alarmes, utilidades (alimentação elétrica, água, ar condicionado e outros) está descrito nos Procedimentos Gerais de Infraestrutura e TI.

Fornecedores

Os contratos celebrados com fornecedores que possam ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação. Os fornecedores mais relevantes e críticos, no que tange à segurança da informação, que atuam diretamente com a Korn Traduções recebem treinamento nas diretrizes estabelecidas nessa política.

POLÍTICA DE MESA LIMPA E TELA LIMPA

Todos os colaboradores, estagiários e jovens aprendizes que atuam em nome da Korn Traduções devem estar cientes e praticar as orientações e diretrizes constantes nesta política e elas devem ser respeitadas tanto em atividades dentro do escritório da Korn Traduções quanto em atividades em home office, quando pertinentes a essa modalidade.

O objetivo desta Política de Mesa Limpa e Tela Limpa é assegurar que dados e informações, tanto em formato digital quanto físico, e ativos, tangíveis ou não, não sejam deixados desprotegidos no local de trabalho durante seu uso ou quando alguém deixa seu local de trabalho, seja por um curto período, em períodos de paralisação (almoço, reuniões, etc.) ou ao final do expediente.

Os colaboradores, estagiários e jovens aprendizes devem:

  • Utilizar os ativos da Korn Traduções, em uso interno ou externo (home office ou alocação em cliente), com cuidado, visando garantir sua preservação e seu funcionamento adequado.
  • Bloquear as estações de trabalho quando se afastarem ou se ausentarem do local de trabalho para impedir acesso não autorizado.
  • Não deixar desnecessariamente sobre a mesa documentos impressos. Quando não estiverem em uso, esses devem ser armazenados em armários ou gavetas trancados, especialmente fora do horário do expediente.
  • Não deixar as chaves de armários ou de salas em locais desprotegidos ou de acesso a pessoas não autorizadas.
  • Não guardar pastas com documentos sensíveis, confidenciais, estratégicos ou com dados pessoais em locais de fácil acesso.
  • Informações sensíveis ou críticas para os negócios da Korn Traduções devem ser mantidas em local seguro (armários com chave ou, quando digitais, em pastas com acesso restrito).
  • Não anotar ou deixar informações confidenciais ou sensíveis em quadros de aviso ou em locais visíveis.
  • Não deixar anotações, recados e lembretes à mostra sobre a mesa ou colados em paredes, divisórias, murais ou teclados e monitores do computador, incluindo, mas não se limitando a: senhas de acesso ou de desbloqueio de tela, telefones, endereços de e-mail de clientes ou contatos, informações confidenciais, entre outros.
  • Destruir os documentos impressos antes de descarta-los. Sempre que possível, utilizar máquina fragmentadora ou, caso seja em grande quantidade, empresa especializada em descarte e reciclagem. Nesse último caso, sempre acompanhado de um colaborador da Korn Traduções para garantir a destruição correta das informações.
  • Não imprimir documentos apenas para sua leitura. Leia-os nas telas dos ativos de informações, preferencialmente. Busque uma cultura sem papel pois diminui o risco da segurança da informação e beneficia a natureza.
  • Caso precise imprimir, retirar imediatamente da impressora os documentos com informações pessoais, sensíveis ou confidenciais.
  • Caso utilize scanner ou equipamento para cópia de imagem, retire o documento a ser copiado imediatamente após o uso.
  • Posicionar mesas e móveis de forma que dados confidenciais e sensíveis não sejam visíveis de janelas, corredores, passagens de pessoas próximas ou que tenham visão dos ativos com dados e informações como telas e papéis sobre mesas.
  • Após o final do expediente ou em ausência prolongada, manter o espaço de trabalho limpo e organizado, documentos guardados, gavetas e armários trancados e computador ou dispositivo móvel desligado, especialmente aqueles conectados em rede/internet. Durante o uso do equipamento, encerre devidamente os aplicativos ou serviços que não estiverem em uso para o desenvolvimento de suas atuais atividades.
  • Descartar informações deixadas em salas de reunião (apagar quadros, triturar folhas ou outro recurso utilizado durante a reunião).
  • Não consumir alimentos e bebidas na estação de trabalho (tanto no escritório quanto no ambiente home office) evitando a degradação e má conservação dos equipamentos e documentos bem como o derramamento de líquidos.

Os casos não previstos ou que estejam omissos nesta política deverão ser encaminhados para o departamento de TI.

POLÍTICA PARA TRANSFERÊNCIA DE INFORMAÇÕES

  • Colaboradores da Korn e partes externas que tratam ou possuem acesso aos ativos da Korn devem ser comunicados e estar conscientes e orientados dos requisitos de segurança da informação dos ativos, informações e dados pessoais relacionados.
  • Os procedimentos estabelecidos pela Korn de segurança, controle de acesso, uso de softwares e antivírus, armazenamento e término do tratamento de dados e informações devem ser seguidas por todos os envolvidos, incluindo colaboradores e fornecedores/ terceirizados, conforme aplicável.
  • Acordo de Confidencialidade de dados e informações, incluindo a privacidade dos dados, são assinados, entre partes, com colaboradores internos e fornecedores/terceirizados.

POLÍTICA PARA USO DE DISPOSITIVOS MÓVEIS

O objetivo dessa política é estabelecer padrões na utilização de dispositivos móveis para garantir a Segurança da Informação e o atendimento às legislações.

Entende-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, como notebooks, tablets e telefones celulares, de propriedade da Korn Traduções ou particulares, em caso de telefones celulares utilizados, com aprovação da alta direção, para a realização de atividades profissionais relacionadas à empresa.

  • Todos os dispositivos móveis da Korn Traduções disponibilizados devem ser cadastrados e configurados com identificação única, padrões mínimos de segurança e com um usuário responsável pelo uso.
  • Os dispositivos móveis disponibilizados devem ser utilizados única e exclusivamente pelos usuários que assumiram a responsabilidade pelo seu uso.
  • Os telefones celulares particulares autorizados para uso em atividades da Korn Traduções devem atender aos requisitos de segurança informados pelo departamento de TI.
  • Caso seja fornecido um chip de operadora de telefone celular para utilização em contatos profissionais, a identificação do chip e do responsável pelo seu uso deve ser mantida sob controle do departamento de TI.
  • Conforme a política de mesa limpa e tela limpa, o dispositivo deve ser bloqueado enquanto não estiver sendo utilizado, de forma a proteger o acesso de pessoas não autorizadas.
  • Seguindo as recomendações da Política da mesa limpa e tela limpa, os dispositivos móveis devem ser bloqueados quando não estiverem em uso de forma a proteger as informações o acesso por pessoas não autorizadas.

COMPARTILHAMENTO DE DADOS

Apenas os computadores fornecidos pela Korn Traduções devem ser utilizados pelos colaboradores, estagiários e jovens aprendizes, não sendo permitido a nenhum colaborador da empresa o acesso aos dados em computadores pessoais. Todos os dados deverão ser armazenados nas pastas adequadas do drive de rede. O departamento de TI deve verificar periodicamente todos os compartilhamentos existentes e garantir que dados considerados confidenciais ou restritos estejam com o devido controle de acesso. Na necessidade do uso de uma máquina virtual, por razão de continuidade do negócio, ela poderá ser acessada por meio de um computador pessoal, quando autorizado pela alta direção da Korn Traduções e seguindo as diretrizes do departamento de TI.

Todos na Korn Traduções devem considerar a informação como um bem da empresa, um dos recursos críticos para a realização do negócio.

Privacidade da Informação sob custódia da empresa

Define-se como necessária a proteção da privacidade das informações que estão sob custódia da Korn Traduções, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios aos quais a Korn Traduções detém total controle administrativo, físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da Korn Traduções e reafirmam o seu compromisso com a melhoria contínua desse processo:

  1. As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados;
  2. As informações são recebidas pela Korn Traduções, tratadas e armazenadas de forma segura e íntegra, com acessos restritos e manipuladas apenas pelas pessoas necessárias para prestação do serviço;
  3. As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;
  4. As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados, além de assinatura de contrato de confidencialidade;
  5. As informações somente são fornecidas a terceiros mediante autorização prévia, por escrito, do cliente ou para o atendimento de exigência legal ou regulamentar;
  6. As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais somente são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes.

 

Criação de Acessos e Conta de e-Mail para Não Colaboradores

Não é permitida a criação de acessos e conta de e-mail para pessoas que não sejam colaboradores da Korn Traduções, exceto estagiários e jovens aprendizes.

Caso terceiros precisem de credencial de acesso lógico a sistemas ou ferramentas que dependam de e-mail para o seu correto funcionamento, o gerente do colaborador deverá justificar a necessidade e solicitar a aprovação do CGSI. Nesses casos, o acesso do terceiro deve ser restrito a correspondências relacionadas ao desempenho de suas funções dentro da empresa, em horário comercial e de acordo com as políticas da Korn Traduções.

Prestadores de serviços da Korn Traduções não devem integrar qualquer lista de distribuição e/ou pastas públicas da Korn Traduções que possam conter informações destinadas a colaboradores.

Gestão de Acessos

Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação do acesso até a sua revogação.

  1. GERENCIAMENTO DE SENHA
    • As senhas de todos os acessos deverão ser trocadas a cada 3 (três) meses.
    • Usuários novos devem trocar a sua senha no primeiro acesso.
    • As senhas de acesso à máquina, à VPN (Virtual Private Network) e ao e-mail e drive devem ter no mínimo 10 (dez) caracteres. As demais senhas devem seguir definição de cada aplicação.
    • As senhas de acesso à máquina, à VPN e ao e-mail e drive devem exigir nível de complexidade contendo números, caracteres especiais, letras maiúsculas e minúsculas. As demais senhas devem seguir essa determinação quando possível, senão seguir definição de cada aplicação.
    • O acesso à VPN deverá ser feito utilizando senha de acesso do AD (Active Directory que implementa SSO – Single Sign On – um método de ter apenas uma senha para acessar várias aplicações).
    • As novas senhas não devem coincidir com as últimas 3 (três) senhas digitadas.
    • As senhas não devem ser salvas na aplicação, devendo ser digitadas a cada acesso.

Revisões de Acessos Lógicos

O departamento de TI fará revisões periódicas dos acessos, podendo ser feita de forma conjunta com os usuários. Colaboradores, estagiários e jovens aprendizes devem informar sempre que notar qualquer anormalidade ou acesso não necessário ao seu trabalho.

  1. LIBERAÇÃO DE ACESSO
    • Deverá ser utilizada identificação única, pessoal e exclusiva para assegurar a responsabilidade de cada usuário em suas ações.
    • Disponibilizar os acessos considerando o mínimo necessário para o usuário possa executar suas funções.
    • Novos colaboradores, estagiários e jovens aprendizes recebem acesso conforme a função que irão desempenhar. Essa informação deverá ser fornecida ao TI conforme Procedimento de Recrutamento Seleção e Admissão do RH.
    • Os privilégios deverão ser autorizados pela diretoria de cada área (Diretoria Administrativa ou Diretoria Comercial e Financeira).
    • Não é permitida a utilização de usuários genéricos (não nominais), a não ser em sistemas que não possuam esta funcionalidade;
    • A liberação de acesso está formalizada nos Procedimentos Gerais de Infraestrutura e TI.
    • O controle de privilégios é feito por grupos de usuários ou função que exerça (perfil) de forma a facilitar o gerenciamento dos privilégios.
    • Senhas administrativas ou genéricas, quando liberadas, deverão ter controle específico. O departamento de TI mantém uma lista atualizada de pessoas (Colaboradores/Fornecedores) que possuem tais senhas para que seja possível realizar as demais operações de revogação e controle de mudança.
    • A liberação de acesso a fornecedores ou consultores deverá ser analisada criticamente junto aos responsáveis pela aplicação, toda aplicação deverá ter um responsável.
  2. REVOGAÇÃO DE ACESSO

A revogação de acesso pode ocorrer nas situações de desligamento de colaborador conforme fluxo de desligamento, mudança de função, encerramento de contrato com fornecedor ou solicitação.

  • TI deverá manter os registros de acessos sempre atualizados para que seja possível, no momento da revogação, conseguir realizar a exclusão ou inativação imediata dos acessos dos usuários.
  • O acesso de colaboradores, estagiários ou jovens aprendizes desligados da empresa é bloqueado seguindo o Processo de Recrutamento Seleção e Admissão do RH.
  1. MUDANÇAS DE FUNÇÃO E ANÁLISE CRÍTICA DOS DIREITOS DE ACESSO
    • TI e Gestores deverão ser comunicados formalmente das mudanças de função, seguindo o Processo de Recrutamento Seleção e Admissão do RH. TI deverá analisar junto ao novo gestor os acessos e permissões.
  1. SEGREGAÇÃO DE FUNÇÕES
    • Um critério de segregação de funções para liberação de permissões, baseado em “cargos/funções/operação”, deve ser considerado, de forma que o usuário (Colaborador, estagiário, jovem aprendiz, cliente, fornecedor) tenha acesso somente ao indispensável para execução de sua atividade.
    • Mudanças de privilégios devem ser autorizadas pela liderança.
  1. FERRAMENTA DE ACESSO REMOTO
    • O acesso a estação de trabalho e servidores por aplicativos de assistência remota deve ser feito apenas por ferramentas autorizadas e sempre com o conhecimento de TI. As ferramentas utilizadas pela Korn Traduções e o procedimento para esses acessos estão descritos em Procedimentos Gerais de Infraestrutura e TI.
    • Os acessos e seus logs deverão ser analisados periodicamente a fim de evitar acessos indevidos.
  2. REINICIALIZAÇÃO DE SENHAS
    • A reinicialização da senha e desbloqueio deverá ser realizado pelo proprietário da conta por meio de abertura de chamado realizada ferramenta de suporte de TI. No momento da reinicialização, TI deverá comunicar que a senha será desbloqueada ou reinicializada, a pedido dele, por e-mail ao proprietário a fim de garantir a integridade da operação.
    • Quando uma senha genérica ou administrativa for alterada isso deverá ser comunicado ao responsável e pessoas que a utilizam.

Prevenção de Ataques

  1. SINCRONIZAÇÃO DE RELÓGIOS

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários.

  1. NAVEGAÇÃO NA INTERNET

Considera-se a Internet meio essencial para busca de informações e produtividade do trabalho, portanto, seu uso em estações de trabalho está liberado sob monitoramento. Tal monitoramento deve ser capaz de:

  • Detectar os acessos que estão sendo realizados;
  • Detectar os arquivos baixados e enviados através da Internet;
  • Identificar possíveis desvios de conduta ou vazamento de informação.

Devem ser seguidas as normas quanto ao uso da Internet determinadas no Código de Ética e Conduta da Korn Traduções.

Acesso à Internet em servidores deverá ser bloqueado.

  1. REDES E SEGREGAÇÃO DE REDES

Considerando que a maior parte de nossos colaboradores trabalha em regime de home office, as informações e aplicações utilizadas pela Korn Traduções estão em servidores na nuvem, com proteção de Firewall implementada em software para abrangência de todos os equipamentos utilizados tanto internamente, no escritório, quanto externamente.

Não é permitido o acesso à rede Wireless principal ou cabeada por visitantes. Caso haja necessidade de conexão, deve ser disponibilizado acesso apenas a rede configurada para visitantes.

A descrição da rede está detalhada nos Procedimentos Gerais de Infraestrutura e TI.

  1. ESTAÇÕES E SERVIDORES
    • Estações de trabalho e servidores deverão ter controle de sessão inativa. O bloqueio deverá ser feito automaticamente após um período de inatividade determinado por TI.
    • Estações de trabalho e servidores deverão possuir antivírus instalados e atualizados, e não podem ser desabilitados por usuários comuns.
    • Estações de trabalho deverão possuir acesso por meio do AD.
    • Acesso à porta USB deverá estar desabilitado.
    • Informações confidenciais deverão ser armazenadas criptografadas, seguindo orientações definidas nos Procedimentos Gerais de Infraestrutura e TI. Notebooks deverão ter seu HD criptografado.
    • Não é permitido o compartilhamento de pastas nos computadores de colaboradores da Korn Traduções. Os dados devem sempre estar no drive de rede e os que necessitam de compartilhamento entre colaboradores devem ser alocados em pastas apropriadas atentando-se às permissões de acesso aplicáveis aos referidos dados.
  2. MIDIAS REMOVIVEIS

É proibida a utilização de mídias removíveis (como dispositivos de armazenamento USB, HD externo, etc.). Caso a utilização seja estritamente necessária para alguma atividade, o colaborador deverá justificar ao gestor responsável, que avaliará a possibilidade, junto ao departamento de TI, de liberação seguindo-se as premissas e necessidades previstas nesta Política.

  1. TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES

A troca de informações com clientes ou fornecedores deve ser realizada por canais seguros.

  • Adotar sempre a prática da criptografia nos canais de comunicação (e-mail, voip, SFTP, gerenciadores de arquivos).
  • Não se deve transportar informações confidenciais por canais não seguros.

POLÍTICA PARA O USO DE CONTROLES CRIPTOGRÁFICOS

Procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações por meio da ativação de recursos de segurança da informação e configuração de canal seguro de comunicação devem ser estabelecidos e mantidos pelo departamento de TI. Esses procedimentos devem conter regras sobre o uso efetivo e adequado de controles criptográficos na proteção da informação.

Visando a garantia da integridade e da recuperação da informação, é proibida a implantação de controles criptográficos não homologados pelo departamento de TI.

Gestão de Backups

Para garantia da integridade dos sistemas e dados, o departamento de TI é responsável pela realização de cópias de segurança (Backup), que estão definidas nesta Política e nos Procedimentos Gerais de Infraestrutura e TI, as quais garantem que:

  • As aplicações e informações lógicas devem possuir backup de dados realizados de forma periódica.
  • Os backups devem ser armazenados em locais diferentes do ambiente de produção.
  • Backups, quando trafegados ou armazenados em mídias físicas, devem ser criptografados.
  • Os backups deverão ser testados regularmente em um período máximo de 6 meses, ou testados imediatamente caso exista alguma mudança no ambiente. Os testes deverão ser documentados para auditoria.

Propriedade Intelectual

São de propriedade da Korn Traduções todos os projetos, criações, produtos e inovações levantadas e desenvolvidas internamente ou procedimentos desenvolvidos por qualquer colaborador durante o curso de seu vínculo empregatício.

Uso do correio eletrônico (e-mail)

O correio eletrônico fornecido pela Korn Traduções é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da Korn Traduções, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Os colaboradores são informados de que todos os e-mails trocados nos computadores da Korn por eles utilizados poderão ser rastreados e verificados.

É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis e inúteis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem da Korn Traduções;
  • Possam prejudicar a imagem de outras empresas;
  • Sejam incoerentes com as políticas da Korn Traduções.

Devem também ser seguidas as normas constantes no Código de Ética e Conduta da Korn Traduções.

E-mails recebidos com informações de segurança (como avisos sobre phishing, acesso ao e-mail em outro dispositivo, suspeita de vírus em arquivo, entre outros) devem ser encaminhados para TI.

Caso um e-mail seja enviado indevidamente para um destinatário, comprometendo a segurança da informação da Korn Traduções e/ou das suas partes interessadas, deve ser feita a comunicação imediata ao e-mail [email protected] para que sejam tomadas as ações necessárias.

Não é permitido o acesso de e-mails pessoais pelo computador da Korn Traduções.

O serviço de e-mail deve observar:

  • E-mails deverão ser trafegados por canal seguro.
  • A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam e controle de conteúdo.

Instant Messenger

É permitido o uso do Google Chat apenas pelo login da Korn Traduções;

É permitido o Skype apenas para uso organizacional;

A comunicação com clientes e fornecedores via WhatsApp deve ser feita preferencialmente pelo aplicativo instalado no computador. O uso do WhatsApp, tanto versão web quanto aplicativo, é monitorado pelo departamento de TI para acompanhar a entrada e saída de arquivos e pode ser bloqueado conforme diretrizes de segurança que estejam vigentes na Korn Traduções.

A utilização desses aplicativos no computador da Korn Traduções deve ser exclusivamente com contatos internos da Korn Traduções ou com contatos externos (clientes e fornecedores) quando tratar de assuntos relacionados à empresa.

Outros aplicativos são proibidos e, em caso de necessidade, é obrigatório contatar o CGSI.

Softwares ilegais e direito autoral

A Korn Traduções respeita os direitos autorais dos softwares, não permitindo o uso de softwares não licenciados. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário contatar o departamento de TI para qualquer tipo de instalação (mesmo que sejam softwares que precisem apenas ser copiados e executados).

Periodicamente, o departamento de TI fará inspeção nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta política. Caso sejam encontrados softwares não autorizados, estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais softwares não autorizados se responsabilizam perante a Korn Traduções por quaisquer problemas ou prejuízos causados em decorrência de tal ato.

O departamento de TI mantém as evidências da propriedade de licenças de uso de software e registros do uso adequado do número de licenças garantindo os direitos de propriedade intelectual. Este item é aplicado conforme item Inventário de Ativos desta Política Operacional de Segurança da Informação e respectivos procedimentos.

A Korn Traduções também não executa cópia de todo ou partes de livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral e sem a devida citação das referências cabíveis.

Ações disciplinares podem ocorrer na violação deste item e serão aplicadas pelo CGSI conforme o item Sanções desta Política Operacional de Segurança da Informação.

Inventário de Ativos

Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento da empresa ou informações. Os pontos críticos a serem monitorados, por exemplo, espaço para armazenamento, espaço para crescimento de banco de dados, quantidade de computadores e licenças de software.

  • Todos os softwares e hardwares da Korn Traduções devem ser inventariados e controlados pelo departamento de TI.
  • Não é permitida a instalação de nenhum software sem o consentimento do departamento de TI.
  • Não é permitido contratar e utilizar nenhum software para uso organizacional, na nuvem ou desktop, sem o consentimento do departamento de TI.
  • Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento do departamento de TI.
  • O departamento de TI deverá ter processos para detecção de softwares instalados.
  • Ativos em posse de colaboradores e fornecedores devem ser controlados. Em caso de desligamento ou encerramento de contrato, o ativo deverá ser devolvido conforme procedimento estabelecido pelo departamento de TI.
  • Softwares devem possuir gestão de suas licenças e uso controlado pelo departamento de TI.
  • O inventário deve ser atualizado, pelo departamento de TI, a cada aquisição ou descarte.

 

Descarte, destruição e reutilização de equipamentos e mídias

Todas as mídias utilizadas na operação dos processos do SGSI devem ser guardadas, reutilizadas e destruídas de forma segura e protegida, como incineração, trituração ou remoção dos dados para uso por outra aplicação. O descarte de mídias pode ser feito por meio de uma empresa especializada.

Deve-se assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou gravados com segurança:

  • A formatação de dispositivos de armazenamento para reutilização deve ser realizada através de formatação com processo seguro Wipe com o acompanhamento de um profissional da área de Segurança da Informação.
  • Dispositivos defeituosos ou não mais utilizados deverão ser destruídos, impedindo qualquer recuperação de dados.
  • Papéis confidenciais ou de uso interno deverão ser armazenados em locais seguros e não podem ser descartados sem antes terem sido picotados por uma fragmentadora, cabendo a cada responsável adotar esta prática com todos os documentos sob sua responsabilidade.

 

Papéis e Responsabilidades

É dever de todos – colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Korn Traduções – cumprir com as seguintes obrigações:

Colaboradores, estagiários, aprendizes e prestadores de serviços

Define-se como necessária a classificação de toda informação que seja de propriedade da Korn Traduções ou que esteja sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado dela:

  1. Zelar continuamente pela proteção das informações da Korn Traduções ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada;
  2. Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Korn Traduções;
  3. Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos;
  4. Garantir a continuidade do processamento das informações críticas para os negócios da Korn Traduções;
  5. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;
  6. Atender às leis que regulamentam as atividades da Korn Traduções e seu mercado de atuação;
  7. Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
  8. Comunicar imediatamente ao DPO, CGSI ou Qualidade qualquer descumprimento da Política de Segurança da Informação e Privacidade e/ou dos procedimentos de Segurança da Informação;
  9. Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso dessas informações em relação a terceiros ou para uso pessoal.

 

Comitê Gestor de segurança da informação (CGSI)

O Comitê Gestor de Segurança da Informação (CGSI) é um grupo multidisciplinar que reúne representantes de diversas áreas da Korn Traduções, indicados pela Alta Direção, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI. As reuniões do CGSI são trimestrais, para planejamento e revisão de ações, e pode haver reuniões extraordinárias, quando houver necessidade de deliberação urgente.

Compete ao CGSI:

Propor ajustes, aprimoramentos e modificações na estrutura normativa do SGSI, submetendo à aprovação da Alta Direção;

  1. Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Alta Direção;
  2. Requisitar informações das demais áreas da Korn Traduções, por meio das diretorias e gestores, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação;
  3. Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação;
  4. Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como de não conformidades com a política, as normas ou os procedimentos de segurança da informação;
  5. Notificar aos gestores e diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação;
  6. Receber sugestões para implantação de normas e procedimentos de segurança da informação;
  7. Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;
  8. Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da informação;
  9. Manter a gestão dos ativos da informação;
  10. Gerir a continuidade dos negócios, demandando junto às diversas áreas da Korn Traduções Planos de Continuidade dos Negócios, validando-os periodicamente. O Plano de Continuidade de Negócios deve ser definido, implementado e testado a fim de garantir a disponibilidade dos sistemas de informações;
  11. Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação;
  12. Adotar mecanismos automatizados, sempre que possível, para gerenciamento, prevenção e detecção de eventos de segurança;
  13. Implementar mecanismos para proteção da segurança física e ambiental a fim de prevenir danos e acessos não autorizados à informação;
  14. Decidir sobre os processos de autenticação e controle de acesso seguro adotados para os sistemas de informações;
  15. Deliberar sobre o uso de ferramentas de proteção contra softwares maliciosos, vírus, spam, phishing scan e outros dispositivos que possam ameaçar os sistemas de informação da empresa.

 

Diretores e Gestores

 Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da Korn Traduções ou de um cliente.

Gerentes e diretores podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo deles a responsabilidade final pela sua proteção.

Compete a este papel:

  1. Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade e, na identificação de possíveis problemas e ou ameaças, verificar possíveis causas e iniciar procedimento de tomada de ação corretiva, quando necessário.
  2. Cumprir e fazer cumprir a política, as normas e os procedimentos de segurança da informação e privacidade;
  3. Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade;
  4. Sugerir ao CGSI, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas;
  5. Acompanhar a ação corretiva até sua conclusão e analisar criticamente as ações corretivas executadas, para verificar sua eficácia e identificar possíveis ajustes necessários.
  6. Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação;

Comunicar imediatamente ao CGSI eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade e de possíveis ações corretivas que requeiram o envolvimento do CSGI.

Alta Direção

A Alta Direção da Korn Traduções está comprometida com o sistema de gestão de segurança da informação e privacidade devendo:

  1. Estabelecer as responsabilidades e atribuições do Comitê Gestor de Segurança da Informação;
  2. Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos de forma compatível com a orientação estratégica da Korn Traduções;
  3. Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da Korn Traduções;
  4. Providenciar para que os recursos necessários para o sistema de gestão de segurança da informação estejam disponíveis;
  5. Comunicar a importância da gestão eficaz da segurança da informação e do cumprimento dos requisitos do sistema de gestão da segurança da informação e privacidade;
  6. Certificar que o sistema de gestão de segurança da informação alcance seus resultados pretendidos;
  7. Coordenar e incentivar as pessoas a contribuírem com a eficácia do sistema de gestão da segurança da informação e privacidade;
  8. Promover a melhoria contínua deste SGSI; e
  9. Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade.
  10. Analisar criticamente, juntamente com o Comitê Gestor de Segurança da Informação (CGSI) os registros e resultados das auditorias realizadas na Korn Traduções, incluindo o status de suas ações corretivas, listadas abaixo.

A análise deve ser realizada logo após a realização das respectivas auditorias e devem ser feitos registros adequados destas análises realizadas, bem como de ações de correção e melhoria definidas nas análises.

  • Auditoria do Sistema de Informação conforme processo Controles de auditoria de sistemas de informação.
  • Auditoria interna do SGQ e SGSI: Já descrito nesta Política, no item Auditoria Interna e na operacionalização do processo Auditoria Interna, apresentado no Portal de Processos.
  • Auditoria de certificação ou de manutenção da certificação do SGQ e SGSI por OCC – Organismo de Certificação Credenciado.
  1. Requerer a área da Qualidade o planejamento das auditorias conforme periodicidades abaixo:
  • Auditoria do Sistema de Informação: anual.
  • Auditoria interna: anual.
  • Auditoria de certificação ou de manutenção da certificação: conforme plano de auditoria acordado com OCC.

Área de Recursos Humanos

  • Cabe, adicionalmente, à Área de Recursos Humanos:
  1. Assegurar-se de que os colaboradores, estagiários, jovens aprendizes comprovem, por escrito, estar cientes da estrutura normativa do SGSI e dos documentos que a compõem;
  2. Para os novos colaboradores, estagiários e jovens aprendizes, deve ser aplicado o treinamento em segurança da informação no início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante esse período;
  3. Ter planos de reciclagem das normas internas da Korn Traduções;
  4. Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da Korn Traduções.

Área de Qualidade

Cabe à área de Qualidade:

  1. Consolidar e coordenar a implantação, execução, monitoramento e melhoria do SGSI;
  2. Convocar, coordenar e prover apoio às reuniões do CGSI;
  3. Prover, quando solicitado pelo CGSI, as informações de gestão de segurança da informação que estejam sendo tratadas conjuntamente com os processos do SGQ;
  4. Coordenar as reuniões de análise crítica do SGSI e acompanhar os planos de ação resultantes delas;
  5. Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação;
  6. Efetuar auditorias e inspeções de conformidade periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua;
  7. Desenvolver junto a área de Gestão de Pessoas um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação;
  8. Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação e a necessidade de seguir a Política, as Normas e os Procedimentos referentes ao Sistema de Gestão de Segurança da Informação (SGSI);
  9. Estabelecer junto a Alta Direção normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento desse objetivo.

MELHORIA CONTÍNUA

  • Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes.
  • Deve-se considerar a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação e privacidade.

 

AUDITORIA INTERNA

Todo ativo de informação sob responsabilidade da Korn Traduções é passível de auditoria em data e horários determinados pelo CGSI. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Alta Direção e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da Korn Traduções ou de seus clientes de forma que se misturem ou impeçam o acesso às informações de propriedade ou sob responsabilidade da Korn Traduções.

Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, o departamento de TI poderá realizar monitoramento e controle proativos, mantendo a confidencialidade do processo e das informações obtidas.

Em ambos os casos, as informações obtidas poderão servir como indício ou evidência em processo administrativo e/ou legal.

As auditorias internas são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.

As auditorias internas devem ser realizadas a cada um ano, por auditores internos ou externos, capacitados e treinados, com conhecimento na norma ISO 27001 e da LGPD. Deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos.

As auditorias externas devem ser realizadas para manter a validade das certificações definidas.

Ação Corretiva

Quando forem identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas elas devem ser registradas para análise e tratamento.

Toda não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácia das ações, conforme o processo de Não Conformidade da Qualidade.

Contato com Autoridades

Os contatos com autoridades estão consolidados no Plano de Comunicações da Korn Traduções.

A gestão dos contatos com autoridades é da responsabilidade da Gestão de Pessoas que deve consolidar, comunicar e divulgar em repositório conhecido e acessível da Korn Traduções a lista dos contatos atualizados periodicamente.

 Análise Crítica do SGSI

A Korn Traduções deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Tal análise deve ter a participação direta da Alta Direção e deve considerar:

  1. O resultado das ações de análises críticas anteriores do SGSI;
  2. Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação;
  3. Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados de auditorias internas ou externas do SGSI; e

4) cumprimento dos objetivos da segurança da informação;

  1. d) Comentários das partes interessadas;
  2. e) Os resultados da avaliação de risco e a situação do plano de tratamento do risco;
  3. f) Oportunidades para a melhoria contínua;
  4. g) Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros).

As saídas das análises críticas devem incluir decisões relacionadas a oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

A Korn Traduções deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.

 Análise Crítica de Conformidade Técnica

A Korn Traduções efetua a verificação e análise crítica de conformidade técnica considerando:

  1. Realização da Auditoria do Sistema de Informação seguindo checklist definido no processo Controles de auditoria de sistemas de informação, que seja realizada por pessoa capacitada em TI, interna ou externa à Korn Traduções, como um profissional de sistemas experiente, considerando:
    • Que seja feito por profissional independente à área de TI e diferente do profissional que já realizou o processo Controles de auditoria de sistemas de informação internamente;
    • Periodicidade de execução no mínimo anualmente;
    • O checklist deve ser totalmente preenchido em todos seus requisitos de verificação e que o profissional, com base em sua experiência e inclua outros itens de verificação conforme apropriado;
    • Que os registros definidos no checklist e outros que o profissional definiu, sejam devidamente documentados e mantidos em locais apropriados.
  2. Se aplicável e viável tecnicamente, devido a possíveis riscos mapeados e levantados sobre os ativos do sistema de segurança da informação, conforme processo Riscos para o Sistema de Gestão da Segurança da Informação (SGSI) executar teste de invasão ou avaliações de vulnerabilidades, considerando:
    • Seja feito quando na análise de riscos realmente requerer, pela sua criticidade, a necessidade de execução teste de invasão ou avaliações de vulnerabilidades (como por exemplo pentest; penetration test, teste de intrusão, testes de invasão e avaliações de vulnerabilidades)
    • Feito por empresas ou profissionais com capacitação comprovada e com procedimentos claramente definidos para sua realização
    • Para o acontecimento do pentest, será necessária uma autorização, contendo o escopo da realização. É proibida a execução de pentest sem a devida autorização, conforme previsto em lei, e fora do escopo definido previamente.
    • Que os registros dos testes de invasão ou avaliações de vulnerabilidades que forem executados, sejam devidamente documentados, entregues pelo profissional executante e mantidos em locais apropriados. E caso sejam encontradas vulnerabilidades, as recomendações para solucioná-las deverão ser incluídas no relatório final.

Denúncias

Qualquer descumprimento desta Política ou ainda suspeitas ou evidências devem ser reportadas à Korn Traduções por meio do e-mail [email protected] ou por correspondência para:

A/C DPO

Classificação: SIGILOSA

Endereço: Avenida São Gabriel nº 201, conjunto 1403. São Paulo – SP.

Violações e Sanções

Violações

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não sendo esta uma lista exaustiva:

  1. Quaisquer ações ou situações que possam expor a Korn Traduções ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;
  2. Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa da Alta Direção;
  3. Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Korn Traduções ou de seus clientes;
  4. Descumprir alguns dos itens estabelecidos nesta política de segurança;
  5. A não comunicação imediata à diretoria ou DPO de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação que porventura um colaborador, estagiário, jovem aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

 

Sanções

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da Korn Traduções são consideradas faltas graves, podendo ser aplicadas as sanções constantes no Código de Ética e Conduta da Korn Traduções: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Podem ainda ocorrer sanções definidas pelo CGSI sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

Este site usa cookies para garantir que você obtenha a melhor experiência em nosso site.