A Política de Segurança da Informação e Proteção de Dados do GRUPO I CAN aplica-se a todos os colaboradores, prestadores de serviços (autônomos), fornecedores, sistemas e serviços, abrangendo também trabalhos executados por terceiros ou externamente, desde que envolvam o uso do ambiente de processamento de dados da Companhia ou o acesso a informações do GRUPO I CAN.
Todo usuário dos recursos computacionais da Companhia tem o dever de proteger a segurança e integridade das informações e dos equipamentos de informática, seja nas instalações do GRUPO I CAN, em trabalho remoto ou em home office.
Violações desta Política
Considera-se violação desta política qualquer ato que:
- Exponha a Companhia a uma perda financeira, real ou potencial, por meio do comprometimento da segurança dos dados ou informações, ou pela perda de equipamento.
- Envolva a divulgação não autorizada de dados confidenciais, informações protegidas por direitos autorais, negociações, patentes ou o uso indevido de dados corporativos.
- Utilize dados da empresa para fins ilícitos, incluindo a violação de leis, regulamentos ou outras normativas governamentais.
Objetivo da Política de Segurança da Informação
O objetivo desta política é garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade das informações necessárias para as atividades do GRUPO I CAN, conforme as melhores práticas, incluindo a busca pela certificação ISO 27001 e pelos critérios de excelência do FPNQ.
Responsabilidade de Todos no GRUPO I CAN
A informação deve ser tratada como um ativo estratégico da organização, essencial para a realização dos negócios e, portanto, deve ser protegida e administrada de maneira profissional.
01 – Classificação da Informação
Cada área é responsável por utilizar os critérios de classificação de confidencialidade das informações que gera, conforme a tabela a seguir:
- Pública
- Interna
- Confidencial
- Restrita
Definições
- Informação Pública: Pode ser acessada por qualquer pessoa, incluindo colaboradores, clientes, fornecedores, prestadores de serviços e o público em geral.
- Informação Interna: Somente pode ser acessada por colaboradores da organização e tem um grau de confidencialidade que pode comprometer a imagem da empresa.
- Informação Confidencial: Pode ser acessada por colaboradores e parceiros da empresa. A divulgação não autorizada pode causar impacto financeiro, de imagem ou operacional.
- Informação Restrita: Somente pode ser acessada por usuários autorizados ou áreas específicas. A divulgação não autorizada pode causar sérios danos ao negócio ou comprometer sua estratégia.
Todos os gerentes e supervisores devem orientar suas equipes a não divulgar informações confidenciais ou restritas, bem como garantir o uso adequado de impressoras e mídias de armazenamento, sempre seguindo o conceito de “mesa limpa”.
02 – Dados Pessoais dos Colaboradores
O GRUPO I CAN compromete-se a não acumular ou manter Dados Pessoais além do necessário para suas atividades. Todos os Dados Pessoais são considerados confidenciais e não serão utilizados para outros fins além dos previamente estabelecidos, nem compartilhados com terceiros, exceto quando necessário e sob condições de confidencialidade.
03 – Programas Ilegais
É estritamente proibido o uso de programas ilegais (piratas) nos sistemas do GRUPO I CAN. Verificações periódicas serão realizadas pelo Setor de Informática para garantir a conformidade com esta diretriz.
04 – Permissões e Senhas
As permissões de acesso a sistemas e equipamentos de informática são geridas pelo Setor de Informática, com base nas necessidades comunicadas pelas áreas. As senhas devem ser alteradas a cada 45 dias, seguindo padrões de segurança com no mínimo 8 caracteres alfanuméricos.
05 – Compartilhamento de Pastas e Dados
Os usuários devem revisar periodicamente os compartilhamentos de dados em suas estações de trabalho para garantir que informações confidenciais ou restritas não estejam acessíveis a pessoas não autorizadas.
06 – Cópia de Segurança (Backup)
O backup diário dos servidores de rede e do sistema integrado em nuvem é de responsabilidade do Setor de Informática. Esses dados são armazenados em servidor contratado, que realiza backup diário dos dados.
07 – Propriedade Intelectual
Toda criação, design ou procedimento desenvolvido por colaboradores ou prestadores de serviços durante o vínculo com o GRUPO I CAN é de propriedade da Companhia.
08 – Uso do Ambiente Web (Internet)
O acesso à Internet será autorizado apenas aos colaboradores que precisarem para suas atividades profissionais. O uso da Internet será monitorado pelo Setor de Informática, e acessos a sites não relacionados ao trabalho serão restringidos.
09 – Uso do Correio Eletrônico (E-mail)
O e-mail corporativo deve ser utilizado com responsabilidade, sempre com linguagem profissional e em conformidade com as políticas do GRUPO I CAN. O uso inadequado pode resultar em ações disciplinares.
10 – Novos Sistemas, Aplicativos e Equipamentos
A aquisição ou desenvolvimento de novos sistemas, aplicativos ou equipamentos é responsabilidade do Setor de Informática, sempre com aprovação da Diretoria.
11 – Uso de Equipamentos Computacionais do GRUPO I CAN
Equipamentos fornecidos pela empresa, como laptops, são considerados ativos e devem ser protegidos pelos usuários. Em caso de furto, deve-se reportar o incidente ao Setor de Informática e à polícia.
12 – Responsabilidades dos Gerentes/Supervisores
Os gerentes e supervisores são responsáveis por definir os direitos de acesso de seus colaboradores aos sistemas e informações, além de garantir que todos utilizem os recursos de forma adequada.
13 – Sistema de Telecomunicações
O uso de ramais telefônicos e celulares é controlado pelo Setor de Informática, conforme as diretrizes estabelecidas pela Diretoria.
14 – Uso de Anti-Vírus
Todos os arquivos devem ser verificados por um programa antivírus antes de serem acessados. O Setor de Informática é responsável por garantir que todas as estações de trabalho estejam protegidas e atualizadas.
15 – Penalidades
O não cumprimento desta Política de Segurança da Informação pode resultar em advertências formais, suspensão, rescisão de contrato ou outras ações legais, incluindo processos civis ou criminais.