Renova Invest Facebook

Política de Segurança da Informação

1. Objetivo

Esta Política de Segurança da Informação (PSI) tem como objetivo:

  1. Estabelecer diretrizes e orientações que permitam aos sócios, colaboradores e prestadores de serviço da Renova Invest seguir padrões de comportamento desejáveis e aceitáveis de acordo com a legislação e as boas práticas mundiais de segurança da informação;
  2. Nortear a definição de procedimentos específicos de Segurança da Informação;
  3. Definir mecanismos para preservar as informações da Renova Invest quanto à confidencialidade, integridade e disponibilidade;
  4. Orientar a implementação de controles e processos para atendimento dos requisitos para Segurança da Informação; e
  5. Minimizar os riscos de perdas financeiras, de participação no mercado, de confiança dos clientes e clientes e parceiros ou de qualquer outro impacto negativo no negócio da Renova Invest resultante de uma falha de segurança.

2. Abrangência

Esta PSI tem abrangência sobre todas as áreas da Renova Invest.

3. Política DE SEGURANÇA DA INFORMAÇÃO

A Renova Invest adota como política para a Segurança da Informação:

Gerir de forma eficiente e eficaz os dados e informações dos clientes e sócios, de forma a minimizar os riscos de vulnerabilidade, vazamento ou perda de informações, em atendimento aos requisitos legais e regulamentares.”

4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE

A PSI deve ser de conhecimento de todos os sócios, colaboradores, prestadores de serviço, clientes, parceiros e demais partes interessadas. Deve ser divulgada da seguinte forma:

  1. Impressa;
  2. Nas campanhas de Segurança da Informação; e
  3. Digital, através da rede corporativa e no Site.

A política deve estar disponível em local de acesso dos sócios e protegida contra alterações.

Todos os sócios, colaboradores e prestadores de serviço da Renova Invest devem assinar o “TERMO DE COMPROMISSO DE SEGURANÇA DA INFORMAÇÃO” comprometendo-se a agir de acordo com os seus requisitos.

 

A política deve estar disponível em local de acesso dos sócios, colaboradores e prestadores de serviços e protegida contra alterações.

Todos os sócios, colaboradores e prestadores de serviço da Renova Invest devem assinar o “TERMO DE COMPROMISSO DE QUALIDADE” comprometendo-se a agir de acordo com os seus requisitos.

5. Responsáveis

O Comitê de Gestão de Segurança da Informação é responsável pela atualização desta política.

Informação: Todo e qualquer conteúdo ou dado que tenha valor para alguma empresa ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Integridade: Garantir a salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

Parceiros: Qualquer terceiro que tenha ligação com o serviço prestado pela RENOVA INVEST e suas informações e que não tenha nenhum vínculo societário ou mesmo contrato de prestação de serviços direto com a RENOVA INVEST (Ex. gerenciadoras, colaborador de consórcio).

Risco Residual – Risco remanescente após o tratamento de risco.

Segurança da Informação: Preservação do sigilo, da integridade e disponibilidade de informações.

Sistema de Gestão da Segurança da Informação (SGSI) – Um Sistema de Gestão de Segurança da Informação (SGSI) consiste no conjunto de políticas, procedimentos, diretrizes, recursos e atividades que buscam proteger os ativos de informação. Um SGSI é uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação de uma empresa.

São princípios que contribuem para o sucesso da implementação de um SGSI:

  1. A consciência da necessidade de manter a segurança da informação;
  2. Atribuição de responsabilidades para segurança da informação;
  3. Incorporação de compromisso de gestão e os interesses dos stakeholders;
  4. Reforçar os valores da sociedade;
  5. As avaliações de risco que determinam os controles apropriados para alcançar níveis aceitáveis de risco;
  6. Segurança incorporada como um elemento essencial das redes e sistemas de informação;
  7. A prevenção e detecção de incidentes de segurança da informação;
  8. Assegurar uma abordagem global da gestão de segurança da informação; e
  9. Contínua reavaliação da segurança da informação.

 

Sócio: Toda e qualquer pessoa física, incorporada ao quadro societário da RENOVA INVEST.

Tratamento do risco: Processo de seleção e implementação de medidas para modificar um risco.

Usuário: Todo sócio, colaborador ou prestador de serviço que contribui para a execução de atividades dentro da companhia e que tenha acesso aos recursos tecnológicos disponibilizados pela Renova Invest;

Vírus: Programa malicioso que se propaga infectando um equipamento, podendo causar danos como indisponibilidade de serviços ou comprometimento na integridade e confidencialidade de informações.

6. PRINCÍPIOS da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A informação da Renova Invest produzida ou recebida deve ser utilizada com responsabilidade e de modo ético e seguro, em benefício exclusivo dos negócios corporativos baseado nos seguintes princípios:

  1. Confidencialidade: Garantir que o acesso à informação seja obtido somente por pessoas autorizadas e quando for de fato necessário;
  2. Integridade: Garantir a exatidão e completude da informação e dos métodos de seu processamento, bem como da transparência no tratamento com os públicos envolvidos; e
  3. Disponibilidade: Garantir que somente pessoas autorizadas tenham acesso à informação sempre que necessário.

7. DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Segurança da Informação na empresa estabelece os principais controles, denominados diretrizes:

  1. As informações da Renova Invest, (dos clientes, sócios, colaboradores, prestadores de serviço, fornecedores, parceiros etc.) devem ser tratadas de forma ética, sigilosa e legal, de acordo com esta Política e demais Normas de Segurança da Informação, evitando-se mal uso e exposição indevida;
  2. A informação deverá ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;
  3. A identificação de cada sócio deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
  4. A senha de acesso deve ser mantida secreta, sendo proibido seu compartilhamento; e
  5. Todos os riscos quanto às informações da Renova Invest devem ser reportados para a área de Tecnologia da Informação (TI), para que sejam analisados, avaliados e tratados.

8. Gestão DE SEGURANÇA DA INFORMAÇÃO

Para manter um nível satisfatório de segurança das informações, a RENOVA INVEST constituiu o Comitê de Gestão de Segurança da Informação (CGSI) e adota as seguintes instruções:

  1. O controle de acesso dos sócios, colaboradores e prestadores de serviços aos ativos de informação deve ser devidamente aprovado pelo responsável pela informação, a qual o acesso permitirá a manipulação, quer seja para simples consulta ou para alteração, conforme Norma de Controle de Acesso;
  2. O uso do e-mail sob domí[email protected], será permitido para sócios, colaboradores e prestadores de serviço. Quanto à transmissão de dados, este recurso deve ser utilizado para garantir a privacidade na comunicação dos dados, conforme Norma de Correio Eletrônico e Transmissão de Dados (NOR 013);
  3. Cópias de segurança (backups), de informações devem ser consideradas vitais para o sistema e para a retomada das atividades da área em caso de contingência, conforme Norma de Cópias de Segurança Backup (NOR 010);
  4. Regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas aos desenvolvimentos realizados, conforme Norma de Desenvolvimento Seguro (NOR 015);
  5. A concessão de acesso remoto para os sócios, colaboradores e prestadores de serviços deve ser autorizada formalmente e solicitada ao responsável por TI, ocasião em que deverá ser indicado o tipo de acesso, permissão e as informações a serem acessadas, conforme Norma de Acesso Remoto (NOR 002);
  6. Por dispositivo móvel, entende-se qualquer equipamento eletrônico com atribuições de mobilidade no manuseio da informação e destina-se ao uso em serviço para realização de suas atividades de trabalho e para comunicação com a empresa, fornecedores ou clientes, devendo ser utilizado somente para esta finalidade, conforme Norma de Dispositivos Móveis;
  7. As informações devem ser classificadas e manuseadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Pública, Interno Confidencial Leitura, Confidencial Edição e Confidencial BTG. Devem ser tratadas, armazenadas e descartadas de maneira correta para garantir os aspectos de segurança da informação no negócio, conforme Norma de Classificação e Manuseio da Informação;
  8. Os ativos tangíveis e intangíveis de informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, conforme Norma de Gestão de Ativos (NOR 005);
  9. As mídias devem ser gerenciadas de forma adequada, conforme os requisitos de segurança da informação informados na Norma de Gerenciamento de Mídias (NOR 026);
  10. Um conjunto de regras para garantir a padronização das técnicas criptográficas, a aplicação adequada das mesmas e as responsabilidades para manter a segurança no transporte ou armazenamento das informações independente do meio utilizado estão estabelecidas na Norma de Gerenciamento de Chaves Criptográficas (NOR 006);
  11. Um processo de gestão de mudanças deve estar em vigor para garantir que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da empresa, conforme Norma de Gerenciamento de Mudanças de TI (NOR 007);
  12. Para garantir a proteção das informações de maneira eficaz e reduzir os riscos de acesso não autorizado, perda ou dano à informação durante e fora do horário normal de trabalho, são adotadas medidas de segurança, conforme Norma de Mesa Limpa e Tela Protegida (NOR 008);
  13. Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (Confidencialidade, Integridade e Disponibilidade), conforme Norma de Gestão de Riscos (NOR 009);
  14. Todos os incidentes que afetem a segurança da informação devem ser reportados ao responsável de TI, que analisará o incidente e reportará à Governança de TI Corporativa, e/ou ao prestador de serviços de suporte de TI, conforme Norma de Respostas à Incidentes de Segurança da Informação (NOR 011);
  15. Os ambientes de produção e desenvolvimento devem ser segregados e rigidamente controlados;
  16. Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta política o responsável e/ou solicitante deverá documentá-las imediatamente ao comitê de Gestão de SI, para que possibilite a adoção de medidas alternativas que minimizem os riscos, bem como um plano de ação para corrigi-los, monitorá-los ou eliminá-los;
  17. Todos os sócios, colaboradores e prestadores de serviços da Renova Invest devem passar por treinamento e conscientização sobre os procedimentos de segurança e uso correto dos ativos disponibilizados pela empresa, de forma a minimizar possíveis riscos de segurança, explicitar suas responsabilidades e comunicar os procedimentos para a notificação de incidentes; e
  18. Todas as pessoas devem ser distintamente identificadas, sejam sócios, colaboradores, visitantes, parceiros, prestadores de serviços etc.
  19. Para garantir a eficácia do Sistema de Gestão de Segurança da informação e os principais controles de segurança é necessário o monitoramento e melhoria contínua, e para isso, a Renova Invest implementou a Norma de Indicadores e Métricas do SGSI (NOR 016).

9. MONITORAMENTO

A Renova Invest deve monitorar e registrar todo o uso das informações geradas, armazenadas ou veiculadas na empresa. Para tanto a empresa deve manter controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos, e reservar-se o direito de:

  1. Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônicos, navegação, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados;
  2. Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta PSI;
  3. Instalar sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso; e
  4. Instalar câmeras nas instalações físicas.

 

Para obter mais informações sobre as questões relativas ao monitoramento consultar a Norma de Monitoramento de Ativos (NOR 012).

10. DAS RESPONSABILIDADES ESPECÍFICAS

11.1 Dos Sócios, Colaboradores e Prestadores de Serviços

Os sócios, colaboradores e prestadores de serviços da Renova Invest, em qualquer nível hierárquico, na sua esfera de competência, serão responsáveis em cumprir, fazer cumprir e zelar pela materialização e realização eficaz das normas e princípios de segurança da informação, no compromisso com os critérios legais e éticos que envolvem a empresa.

É de inteira responsabilidade de cada um responder por qualquer prejuízo ou dano que vierem a sofrer ou causarem a empresa e/ou a terceiros, em decorrência de não atendimento às diretrizes dessa Política e das normas aqui referidas.

É responsabilidade de todos o uso de senha segura, devendo alterar a mesma, conforme periodicidade determinada pela Renova Invest.

Cabe a todos da Renova Invest:

  1. Cumprir fielmente as Políticas, Normas e Procedimentos de Segurança da Informação estabelecidas neste documento;
  2. Buscar orientação do superior hierárquico, quando houver dúvidas relacionadas à segurança da informação;
  3. Assinar o TERMO DE COMPROMISSO DE SEGURANÇA DA INFORMAÇÃO, formalizando a ciência da Política de Segurança da Informação bem como assumindo a responsabilidade pelo seu cumprimento;
  4. Proteger as informações contra o acesso, modificação, divulgação ou destruição não autorizada pela Renova Invest;
  5. Assegurar que os recursos tecnológicos sejam utilizados somente para fins profissionais aprovados e de interesse da empresa; e
  6. Comunicar imediatamente ao responsável por TI, qualquer descumprimento ou violação desta Política e/ou de suas normas e procedimentos relacionadas.

 

11.2 Dos Gestores

É responsabilidade de cada gestor inventariar, atribuir valor, analisar quanto aos riscos e classificar, conforme a Norma de Classificação e Manuseio da Informação, todos os ativos de informação necessários à sua área.

Garantir na sua área a implementação de mecanismos necessários para descarte seguro das informações.

Cabe a todo gestor:

  1. Ter postura exemplar em relação à Segurança da Informação;
  2. Cumprir e fazer cumprir esta Política, as Normas e os Procedimentos de Segurança da Informação;
  3. Assegurar que suas equipes possuam acesso e conheçam esta Política, bem como das Normas e Procedimentos aqui estabelecidos;
  4. Atribuir na fase de contratação de novos sócios, colaboradores, prestadores de serviços e parceiros, quando este necessitar ter contato com informações da Renova Invest, a inserção de cláusula de responsabilidade, ciência da PSI e confidencialidade em contrato.
  5. Especificar e solicitar previamente permissão de acesso, elencando os ativos de informação para de serviços em geral que não sejam contratados.
  6. Adaptar as Normas, Processos, Procedimentos e sistemas sob sua responsabilidade para atender a esta PSI; e
  7. Comunicar imediatamente ao responsável por TI eventuais violações da segurança da informação.

 

11.3 Dos Proprietários de Ativos de Inform

O Proprietário da informação pode ser qualquer dos sócios, o qual será o responsável pela manutenção, revisão e cancelamento de autorização à determinada informação ou conjunto de informações pertencentes à Renova Invest ou sob sua guarda.

Cabe ao proprietário da informação:

  1. Elaborar para toda informação sob sua responsabilidade, matriz que relaciona cargos e funções da RENOVA INVEST às autorizações de acesso concedidas;
  2. Manter registro e controle atualizado de todas as autorizações de acesso concedidas, determinando sempre que necessário a pronta suspensão do acesso ou alteração da autorização concedida;
  3. Reavaliar as autorizações de acesso sempre que necessário ou solicitado, cancelando aquelas que não se fizerem mais necessárias; e
  4. Participar, sempre que convocado, das reuniões do Comitê de Gestão de Segurança da Informação, prestando os esclarecimentos quando solicitado.

 

11.4 Da área de Tecnologia da Informação

A área de TI será responsável

  1. Pela gestão do uso de tecnologias necessárias ao bom andamento dos negócios da Renova Invest, incluindo ações preventivas e tratamento de incidentes a fim de promover maior nível de segurança da Informação;
  2. Pelas ações direcionadas às questões técnicas que estão definidas;
  3. Em submeter ao CGSI as revisões da Política e das Normas de Segurança da Informação, e após a aprovação, publicar e difundir as mesmas nas unidades da Renova Invest;
  4. Em propor as metodologias e processos específicos para a Segurança da Informação, como por exemplo, Avaliação de Risco;
  5. Em propor e apoiar iniciativas que visem à segurança dos ativos de informação da Renova Invest;
  6. Por promover, junto ao responsável por TI, a conscientização dos sócios, colaboradores, prestadores de serviços e parceiros, com relação a Segurança da Informação da Renova Invest, por meio de campanhas, palestras, treinamentos e outros meios;
  7. Em apoiar a avaliação e a adequação de controles específicos de Segurança da Informação para novos sistemas ou serviços;
  8. Em analisar criticamente incidentes de Segurança da Informação em conjunto com o CGSI; e
  9. Em manter comunicação efetiva com o CGSI, com o objetivo de mantê-lo adequadamente informado sobre assuntos relacionados ao tema, que afetem ou tenham potencial para afetar a Renova Invest.

 

11.5 Do Comitê de Gestão de Segurança da Informação- CGSI

O Comitê de Gestão de Segurança da Informação – CGSI é formado por representantes das principais áreas da Renova Invest, que devem cumprir as seguintes responsabilidades dentro da empresa:

  1. Garantir a disponibilidade de recursos financeiros para todas as ações de Segurança da Informação; e
  2. Manter o foco e promover a Segurança da Informação na RENOVA INVEST, aprovando políticas que reflitam o seu papel acima descrito.
  3. Garantir que riscos à Segurança da Informação sejam identificados, avaliados e categorizados;
  4. Sugerir ações para tratar os riscos e monitorar a sua implantação;
  5. Dar direcionamento, revisar e atualizar a estratégia de Segurança da Informação garantindo que sua Política, Normas e procedimentos sejam adequadamente atualizados continuamente; e
  6. Garantir que treinamento e conscientização sobre Segurança da Informação seja fornecido para os sócios, colaboradores e prestadores de serviços e, quando pertinente, a terceiros, fornecedores e clientes.

11.6 Do Jurídico

Cabe ao Jurídico:

  1. Acompanhar incidentes que violem significativamente a PSI e as Normas de Segurança da Informação;
  2. Orientar a melhor forma de coleta e preservação de prova eletrônica, com o objetivo de manter sua eficácia para uso em juízo, quando necessário;
  3. Elaborar e revisar documentos jurídicos relacionados à Segurança da Informação;
  4. Acompanhar o processo disciplinar, validando as penalidades e exceções, quando houver;
  5. Revisar periodicamente e sugerir adaptação desta Política e Normas de Segurança da Informação de acordo com as necessidades e perfil de incidentes ao longo do tempo; e
  6. Analisar e adequar toda e qualquer regulamentação interna para que esteja em conformidade com a legislação vigente e pertinente à sua área de atuação.

11.7 Da área de Pessoas & Cultura

Cabe a área de Pessoas & Cultura atribuir e formalizar a responsabilidade quanto ao cumprimento da PSI na fase de contratação dos sócios, colaboradores e prestadores de serviços.

Cabe à área de Pessoas & Cultura:

  1. Colher a assinatura no TERMO DE COMPROMISSO DE SEGURANÇA DA INFORMAÇÃO dos contratados, bem como efetuar o arquivamento do mesmo;
  2. Comunicar à área de TI formal e prontamente toda e qualquer alteração no quadro funcional da instituição, contratações, demissões, alterações de cargos, funções, entre outros necessários, a fim de evitar acessos não autorizados e/ou desnecessários; e
  3. Receber as denúncias sobre violações da Política e das Normas, devendo acionar o CGSI/Comitê de Ética para estabelecimento da aplicação da sanção cabível (Penalidades).

12. Penalidades

Toda e qualquer infração à PSI e às Normas de Segurança da Informação deverá ser informada ao CGSI/Comitê de Ética e, por conseguinte, apurada através de procedimentos internos, que deverão ser conduzidos pelo gestor da área em que se encontra alocado o sócio, colaborador ou prestador de serviços que cometeu a infração, em conjunto com o responsável da área de Pessoas & Cultura e do Jurídico da Renova Invest.

Caso o CGSI/Comitê de Ética julgue cabível, poderá adotar medidas cabíveis ao sócio envolvido que podem ser, dependendo da gravidade da irregularidade, uma carta de educação, uma carta de repreensão ou eventualmente o distrato, conforme prevê o Manual de Procedimentos e Supervisão de AI.

Ao sócio, colaborador ou prestador de serviço suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração, deverá ser aplicada com proporcionalidade à ocorrência com base nas Políticas e Procedimentos.

A Renova Invest se exime de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus sócios, colaboradores e prestadores de serviços reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis.

13. Periodicidade

Toda e qualquer infração à PSI e às Normas de Segurança da Informação deverá ser informada ao CGSI/Comitê de Ética e, por conseguinte, apurada através de procedimentos internos, que deverão ser conduzidos pelo gestor da área em que se encontra alocado o sócio, colaborador ou prestador de serviços que cometeu a infração, em conjunto com o responsável da área de Pessoas & Cultura e do Jurídico da Renova Invest.

Caso o CGSI/Comitê de Ética julgue cabível, poderá adotar medidas cabíveis ao sócio envolvido que podem ser, dependendo da gravidade da irregularidade, uma carta de educação, uma carta de repreensão ou eventualmente o distrato, conforme prevê o Manual de Procedimentos e Supervisão de AI.

Ao sócio, colaborador ou prestador de serviço suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração, deverá ser aplicada com proporcionalidade à ocorrência com base nas Políticas e Procedimentos.

A Renova Invest se exime de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus sócios, colaboradores e prestadores de serviços reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis.

Utilizamos cookies que melhoram a sua experiência em nosso site. Todos seguem a nossa Politica de Privacidade. Clicando em "OK" você concorda com a nossa política.