Política de Segurança da Informação – 2clix: Plataforma de monitoria

Este documento tem como finalidade estabelecer as diretrizes e prover os
direcionamentos relacionados à segurança da informação dentro da 2CLIX
TECNOLOGIA EIRELI, além de buscar garantir que os colaboradores e terceiros
entendam suas responsabilidades e a importância da Segurança da Informação
no manuseio das informações sob responsabilidade da 2CLIX TECNOLOGIA EIRELI.

Esta política vale para todo Sistema de Gestão da Segurança da Informação
(SGSI) e vale como uma base para todas as demais políticas de segurança da
organização.

Este documento é PUBLICO e está disponível para todos os colaboradores
trabalhando para a 2CLIX TECNOLOGIA EIRELI, assim como seus fornecedores e
clientes.

DEFINIÇÕES

Colaborador: funcionário que trabalha em qualquer
período, funcionário de equipes temporárias, prestadores de serviços e
consultores que executam suas atividades, de forma presencial ou remota, e
possuem acesso às informações e ativos de propriedade ou sob custódia, da
2CLIX TECNOLOGIA EIRELI.
Dado pessoal: informação relacionada a pessoa natural
identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou
a organização de caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural;
Tratamento: toda operação realizada com dados dentro da
2CLIX TECNOLOGIA EIRELI, incluindo a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão
ou extração;
Titular: pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento;
Dado anonimizado: dado relativo a titular que não possa
ser identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
Banco de dados: conjunto estruturado de dados pessoais,
estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões referentes ao tratamento
de dados;
Operador: pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de dados em nome do controlador;
Agentes de tratamento: o controlador e o operador
Privacidade: Direito fundamental de controlar a exposição
das informações a seu respeito
Confidencialidade: garantia de que a informação somente
será divulgada para pessoas efetivamente autorizadas a terem acesso a ela.
Disponibilidade: garantia de que os usuários autorizados
obtenham acesso à informação e aos ativos de informações correspondentes
sempre que necessário, nos períodos e ambientes aprovados pela
organização.
Integridade: princípio que garante que as informações não
serão geradas com erros ou somente serão modificadas por métodos
aprovados, para garantir que a informação não seja alterada ou corrompida
por manipulação indevida.
Segurança da informação: consiste na proteção dos ativos
primários (informações e processos) e ativos de infraestrutura e suporte,
sejam eles pessoais ou de uma empresa. Princípios básicos:
Confidencialidade, Integridade e Disponibilidade.
Sistema de Gestão de Segurança da Informação (SGSI): é um
conjunto de Controles Internos, baseado em melhores práticas de mercado e
quando necessário em conformidade com padrões nacionais ou internacionais,
que uma organização implementa de forma sistematizada para prover
segurança no uso de seus a Ativos Primários e Ativos de Suporte e
Infraestrutura.
Trilha de auditoria/Log: é um conjunto cronológico de
eventos e registros) usados para evidenciar o desempenho de um sistema ou
atividades executadas por um usuário. Podem ser utilizados para tentar
reconstruir eventos passados, rastrear atividades executadas e identificar
e responsabilizar quem executou as ações.
Back-up / Restore: Atividade de mover ou copiar dados
para uma mídia diferente da original. Possibilitar a recuperação da
informação caso esteja indisponível ou com sua integridade comprometida.

GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO

Objetivos

A intenção da publicação de uma política de conscientização sobre segurança
e uso aceitável não é impor restrições que sejam contrárias à cultura
estabelecida da 2CLIX TECNOLOGIA EIRELI, mas sim trazer para esta
cultura a segurança da informação exigida pelo mercado trazendo o
comprometimento com a proteção de todos os colaboradores, parceiros e a
empresa de ações ilegais ou danosas por indivíduos, seja consciente ou
inconscientemente. Para isto deve-se reforçar que a segurança
efetiva é um esforço em equipe que envolve a participação e suporte de cada
colaborador da 2CLIX TECNOLOGIA EIRELI e afiliada que lidar com informações
e/ou sistemas informáticos. Todo usuário de computador é responsável por
conhecer estas políticas e conduzir suas atividades devidamente.

Requisitos da Segurança de Informação

Esta política, assim como todos os demais processos, políticas e controles
no SGSI devem estar de acordo com os requisitos de todas as partes
interessadas:

Adequação às exigências legais quanto a segurança dos dados;
Garantia de segurança física e das informações dos Colaboradores;
Garantia de espaço e equipamento necessário para a realização das
atividades dos colaboradores;
Implementação de controles e protocolos de segurança exigidos em contrato;

Controles e Diretrizes de Segurança de Informação

Os controles escolhidos para a Segurança da Informação e seus status estão
presentes no documento [SEG2CX01]Declaração de Aplicabilidade, além disso,
controles específicos para mitigação e tratamento de riscos estão listados
no documento [SEG2CX03.3] Tratamento de Riscos.Além dos controles
específicos há as diretrizes gerais de Segurança, que servem como o primeiro
guia à Segurança da Informação da 2CLIX TECNOLOGIA EIRELI:

A Alta Administração da 2CLIX TECNOLOGIA EIRELI está comprometida com a
implementação e melhoria contínua da Gestão da Segurança da Informação,
visando a sustentabilidade de seus negócios e adequação aos requisitos de
segurança e uso necessários;
Assegurar que as informações dos clientes, usuários e colaboradores sejam
protegidas com total prioridade;
É imprescindível que as manutenções, proteções físicas e virtuais e
capacidade de servidores e bancos sejam priorizadas para manter a
disponibilidade constante do serviço do sistema da 2CLIX TECNOLOGIA
EIRELI;
Os recursos de tecnologia e comunicações como as informações
disponibilizadas pela 2CLIX TECNOLOGIA EIRELI, devem ser utilizados
exclusivamente para o cumprimento das atividades profissionais do
colaborador;
A 2CLIX TECNOLOGIA EIRELI deve garantir que as estações de trabalho dos
colaboradores da 2Clix se mantenham funcionais e capazes de produzir os
trabalhos necessários pelos seus usuários para garantir a manutenção do
sistema e atendimento correto das necessidades dos clientes;
Documentos e contratos físicos e virtuais devem ser guardados em lugar
seguro sendo acessados somente pelas pessoas autorizadas;
Assegurar que os requerimentos legais e regulamentares, avaliações de
ativos de suporte e infraestrutura, eventos e riscos de Segurança e
Tecnologia sejam adequadamente identificados, comunicados, tratados e
atendidos em tempo hábil com as devidas análises e formalizações
necessárias;
Demandas, implantações e integrações solicitadas em contrato devem ser
implementadas de maneira segura e dentro dos prazos estabelecidos;
O acesso às informações da 2CLIX TECNOLOGIA EIRELI por meio de Ativos de
Suporte e Infraestrutura pessoais ou de terceiros, deverá seguir as mesmas
diretrizes e possuir mecanismos de segurança equivalentes adotados pela
organização;
A 2CLIX TECNOLOGIA EIRELI deve adotar todas as providências que se fizerem
necessárias para que seus colaboradores conheçam e cumpram as políticas de
segurança em vigência. Os administradores e representantes legais dessas
empresas responderão, de forma objetiva perante a 2CLIX TECNOLOGIA EIRELI
ou Terceira Parte, pelos atos, ações ou omissões de seus respectivos
colaboradores em caso de descumprimento das Políticas de Segurança
listados nos documentos do grupo SEG2CX;
A ciência e aceite das Políticas de Segurança da Informação e as demais
Políticas e Normas estabelecidas, devem ser formalizadas por meio de
assinatura do Termo de Responsabilidade e Confidencialidade no momento da
assinatura do contrato;
O acesso aos ativos de informação e informações da 2CLIX TECNOLOGIA EIRELI
será permitido de acordo com a necessidade de cada equipe para exercer
suas funções e cada uma só receberá o acesso necessário e nada mais;
As credenciais de acesso são pessoais e intransferíveis, e cada
colaborador deve mantê-las em sigilo e secretas;
Violação aos controles e regras das Políticas de Segurança do SGSI estão
sujeitas às penalidades e punições previstas em lei e devem ser reportadas
imediatamente à equipe de Segurança;
É expressamente proibido desenvolver ou utilizar programas / mecanismos
que possam suprimir ou alterar o funcionamento dos controles internos
implementados;
As informações sob responsabilidade da 2CLIX TECNOLOGIA EIRELI não devem
permanecer expostas ou mantidas em qualquer local onde possam estar
acessíveis às pessoas não autorizadas;
A efetivação dos Planos de Continuidade de Negócios, será garantida por
meio de avaliações, manutenções e testes periódicos, garantindo a máxima
proteção de ativos e processos críticos;
A 2CLIX TECNOLOGIA EIRELI deve conhecer, cumprir e fazer cumprir
suas diretrizes de segurança da informação e uso;

Gerenciamento de Riscos

O Gerenciamento de Riscos de Segurança e Tecnologia está contido no
documento [SEG2CX03] Gerenciamento de Riscos e os resultados do processo de
Identificação, Análise e Tratamento de riscos estão nas documentações
derivadas [SEG2CX03.1],[SEG2CX03.2] E [SEG2CX03.3]. Esses quatro documentos
descrevem todo o processo de manutenção de riscos, inclusive os critérios de
avaliação e aceitação dos riscos, assim como a descrição das métricas
utilizadas para garantir a reprodução e comparação de uma avaliação para a
seguinte.

Continuidade de Negócios

O processo de gestão de continuidade de negócios está descrito no
[SEG2CX07.1] Plano de Continuidade de Negócios. Nele se define as atividades
para a criação, execução, testes e atualização do PCN a fim de identificar e
mitigar os impactos causados pela interrupção das atividades críticas do
negócio da 2CLIX TECNOLOGIA EIRELI e seus ativos.

Gerenciamento da Segurança da Informação

A estruturação da equipe de Segurança deve ser formal e os colaboradores que
desempenham as atividades devem possuir conhecimento específico nesta
disciplina. É de responsabilidade da equipe de Segurança a condução das
iniciativas e ações táticas e operacionais.

As iniciativas estratégicas de Segurança da Informação devem ser avaliadas e
patrocinadas por um Comitê de Segurança da Informação, composto por um
representante indicado pela Administração, pelo responsável pela Segurança e
especialistas, quando necessário, e por representantes que possuam funções
gerenciais claramente definidas no Organograma da 2CLIX TECNOLOGIA EIRELI.
No momento o CSI é composto por um representante das equipes de Segurança,
Projetos e um representante da Administração.

Gerenciamento de Recursos Humanos

As responsabilidades dos colaboradores e terceiros estão descritas na
[SEG2CX12]Política de Segurança de Recursos Humanos a fim de garantir a
correta conscientização, prevenção de eventos de Segurança e penalização de
acordo com as fases do contrato de trabalho ou prestação de serviços.

Para a Segurança de Informação a gestão de Recursos Humanos se constrói a
partir dos seguintes requisitos e objetivos:

As diretrizes e responsabilidades de segurança devem ser claramente
comunicadas aos colaboradores durante o processo de seleção e contratação;
Deve-se verificar o histórico profissional e criminal dos candidatos e
terceiros de acordo com as leis, regulamentações e condutas éticas;
Procedimentos formais de revogação e autorização de acessos, devem ser
aplicados no processo de desligamento de colaboradores bem como em
mudanças de cargos, funções e atividades seja na 2CLIX TECNOLOGIA EIRELI
ou pela empresa responsável pelo colaborador;
Todos os ativos e informações em posse do colaborador devem ser devolvidos
quando ocorrer o desligamento ou encerramento de contrato com terceiros.

Tratamento e Classificação da Informação

Garantir que as informações sob responsabilidade da 2CLIX TECNOLOGIA EIRELI,
durante todo o seu ciclo de vida sejam manipuladas de forma correta.
Todos os ativos devem ser identificados, inventariados e classificados
(sigilo e criticidade) para o seu correto gerenciamento e identificação da
proteção adequada.

Informação Pública: É toda informação que pode ser
acessada por todos os colaboradores, clientes, prestadores de serviços e
público em geral.
Informação Interna: É toda informação que só pode ser
acessada por colaboradores. São informações que possuem um grau de
confidencialidade que pode comprometer a imagem da organização.
Informação Restrita: É toda informação que pode ser
acessada somente por usuários da organização explicitamente indicado pelo
nome ou por área a que pertence e por parceiros da organização conforme a
necessidade e sob assinatura de um NDA. A divulgação não autorizada desta
informação pode causar impacto (financeiro, de imagem ou operacional) ao
negócio da organização ou ao negócio dos seus clientes.
Dado Pessoal: É toda informação que pode ser usada para a
identificação de pessoa natural.
Dado Pessoal Sensível: são dados que trazem informações
particulares do dono do dado, são informações sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico.

Gerenciamento de Credenciais de Acesso

As solicitações e aprovações de acesso na 2CLIX TECNOLOGIA EIRELI devem
seguir processos formais descritos no documento [SEG2CX09 ]Gestão de Acessos
para a definição do uso das senhas, controle dos privilégios concedidos ou
negados e ciclo de atualização e revisão de acessos.

A segregação de funções deve ser aplicada para reduzir as oportunidades de
mudanças ou má utilização dos ativos de informação sejam acidentais ou não.

Trabalho Remoto ( Home-Office )

VPN

O acesso a rede da empresa por uma VPN, permite um nível de segurança maior
para a rede interna, pois faz com que este acesso ocorra por uma rede
criptografada.

Política de Senhas

Utilize senha de no mínimo 8 caracteres, alfanuméricos, utilizando
caracteres especiais (@ # $ %) e variação de maiúsculo e minúsculo;
Não deve ser utilizada a mesma senha para diversas finalidades, por
exemplo, para sistemas corporativos, conta bancária, e-mail, etc.
A senha não deve ser jamais passada a ninguém. Em caso de desconfiança
quanto a segurança da senha, ela deverá ser alterada imediatamente;
Tudo que for executado com uma senha será de responsabilidade do ‘dono’ do
acesso;
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos
não criptografados;
As senhas não devem ser baseadas em informações pessoais, como nome
próprio. nome de familiares, data de nascimento, endereço, placa de
veículo, nome da empresa, nome do departamento e não devem ser
constituídas de combinações óbvias de teclado, como “abcdefgh”,
“87654321”, entre outras;
Uso de um software gerenciador de senhas é recomendado para gerar senhas
fortes e armazená-las de forma segura.

Política de uso e estação de trabalho

Cada estação de trabalho tem códigos internos que permitem que ela seja
identificada na rede, e cada indivíduo possui sua própria estação de
trabalho. Isso significa que tudo que venha a ser executado de uma estação
será de responsabilidade do colaborador responsável por ela.

Não instale nenhum tipo de software / hardware sem autorização da equipe
técnica ou de segurança em dispositivos fornecidos pela empresa;
Mantenha na sua estação somente o que for supérfluo ou pessoal. Todos os
dados relativos à empresa devem ser mantidos na cloud do Google Drive ou
repositório Azure;
Não tente obter acesso não autorizado a outro computador, servidor ou
rede;
Não acesse informações confidenciais sem explícita autorização do
proprietário;
Não analise os dados trafegados pela rede;
Não interrompa um serviço, servidores ou rede de computadores por meio de
qualquer método ilícito ou não autorizado;
Não hospede pornografia, material racista ou qualquer outro que viole a
legislação em vigor no país, a moral, os bons costumes e a ordem pública;
Não utilize software pirata em equipamentos da empresa.

Antivírus

Mantenha seu antivírus e sistema operacional atualizados;
Reporte atitudes suspeitas em seu sistema para a equipe técnica;
Reporte conflitos entre o antivírus e softwares necessários para a
realização de suas funções.

Gerenciamento da Segurança Física e do Ambiente

Os ambientes e perímetros em que as informações sob responsabilidade da
2CLIX TECNOLOGIA EIRELI são acessadas ou se encontram, devem ser protegidos
com controles de acesso físico, monitoramentos, identificação dos
colaboradores e trilhas de auditoria.

Cópias de Segurança (Back-up/Restore)

As cópias de segurança das informações e ativos de infraestrutura e suporte
devem ser efetuadas, testadas periodicamente e armazenadas adequadamente por
períodos determinados de acordo com as diretrizes estabelecidas e alinhados
a garantia de Continuidade de Negócios da 2CLIX TECNOLOGIA EIRELI.

Gerenciamento das Operações e Comunicações

Os procedimentos operacionais devem ser documentados, atualizados e
disponíveis aos colaboradores;
Ambientes de desenvolvimento, homologação e produção devem ser segregados
para reduzir os riscos de acesso às informações ou mudanças não
autorizadas nos ativos;
O uso dos ativos de informação deve ser monitorado periodicamente para uma
projeção futura de capacidade e desempenho dos ativos;
Planejar adequadamente a alocação de recursos para atender as demandas
flutuantes de capacidade dos ativos;
Critérios de aceitação de novos sistemas, atualizações e novas versões
devem ser estabelecidos e procedimentos de testes aplicados, antes da
implantação em ambiente de operação real dos negócios;
Controles de detecção, prevenção e proteção contra códigos maliciosos
(vírus, malware, adware, ransomware e outros) e procedimentos de
conscientização devem ser implementados;
Aspectos de segurança, níveis de serviços e os requerimentos para
gerenciamento de todos os serviços de rede devem ser identificados e
mencionados nos acordos e contratos;
Procedimentos devem estar documentados para o gerenciamento das mídias
físicas, de forma a prevenir exposição, alteração, remoção, destruição não
autorizada ou interrupção das atividades de negócio;
O processo de destruição de mídias e documentos, quando não mais
necessários, deve ser efetuado de forma segura descrita em procedimento
interno;
Procedimentos devem ser descritos para monitoração dos ativos de
informação e das atividades de revisão periódica dos resultados;
O registro das atividades de usuários, sistemas e transações (trilhas de
auditoria), exceções e eventos de segurança da informação devem ser
registrados e armazenados adequadamente por um período acordado, para
cumprimento de regulamentos e padrões, possíveis investigações futuras e
monitoração do controle de acesso.

Aquisição, Desenvolvimento e Manutenção de Ativos de Informação</strong >

Os requerimentos de segurança devem ser identificados e adotados antes do
desenvolvimento ou avaliação do ativo de informação;
A análise das especificações de segurança deve ser considerada como uma
fase de projeto e justificado, acordado e documentado;
O uso de controles de criptografia para proteção dos ativos de informação
deve seguir os requisitos exigidos e deve ser considerado como parte do
processo de análise e mitigação de riscos, por meio da seleção e
implementação de controles;
Os processos de geração, distribuição, guarda e revogação das chaves de
criptografia devem seguir procedimentos formais.

Gerenciamento dos incidentes de segurança

Procedimentos de resposta a incidentes envolvendo os recursos da 2CLIX
TECNOLOGIA EIRELI e terceiros devem ser definidos e publicados com o
objetivo de manter a melhoria contínua nos processos relacionados ao
gerenciamento dos incidentes de segurança.

A comunicação dos eventos de segurança e fragilidades identificadas nos
ativos de informação da 2CLIX TECNOLOGIA EIRELI deve seguir procedimento
formais para que correções ou ações necessárias sejam aplicadas em tempo
hábil.

Atividades de E-mail e Comunicação

A conta de correio eletrônico disponibilizada pela 2CLIX TECNOLOGIA EIRELI é
de uso exclusivamente profissional e caberá a área de TI realizar toda
gestão de uso de correio eletrônico. O usuário é responsável por todo
acesso, conteúdo de mensagens e uso relativos ao seu e-mail.

Lembrando que, a empresa poderá a qualquer tempo monitorar o recebimento e
envio de mensagens de seus colaboradores (funcionários e estagiários) e
partes envolvidas (exceto clientes), sendo que é proibido de criar, copiar
ou encaminhar mensagens ou imagens que:

Contenham declarações difamatórias ou linguagem ofensiva de qualquer
natureza;
Façam parte de correntes de mensagens, independentemente de serem legais
ou ilegais;
Repassem propagandas ou mensagens de alerta sobre qualquer assunto.
Havendo situações em que o usuário ache benéfico divulgar o assunto para a
2CLIX TECNOLOGIA EIRELI, a sugestão deve ser encaminhada para a Área de
Recursos Humanos, que definirá a sua publicação ou não;
Menosprezem, depreciem ou incitem o preconceito a determinadas classes,
como sexo, raça, orientação sexual, idade, religião, nacionalidade, local
de nascimento ou deficiência física;
Possuam informação pornográfica, obscena ou imprópria para um ambiente
profissional;
Sejam hostis ou transmitam indiretamente mensagens hostis; defendam ou
possibilitem a realização de atividades ilegais; possam prejudicar a
imagem da 2CLIX TECNOLOGIA EIRELI, parceiros e clientes.
Alterar o conteúdo original de mensagens e repassar as mesmas sem fazer
menção desta alteração. A modificação do conteúdo original de mensagens
realizada sem prévia autorização pode ser caracterizada como fraude é esta
ação será tratada judicialmente conforme os parâmetros das leis vigentes.

Acesso à Internet

Uma vez criadas as contas corporativas e o acesso à estação de trabalho
2clix seja cedido, o colaborador não poderá acessar a sites que tenham o
seguinte conteúdo:

Pornografia;
Racismo;
Hacker;
Jogos;
Bate papo;
Webmail;
Instant Messenger;
Busca de softwares piratas;
Redes sociais e relacionamentos;
Outros que o CSI venha a determinar como restritos.

Auditoria e Conformidade

O uso de informações ou ativos de informação que possam vir a ter direitos
de propriedade intelectual, tais como, direitos autorais, patentes ou
marcas registradas aplicáveis, devem seguir procedimentos apropriados para
assegurar a legalidade em sua utilização;
Os procedimentos de segurança devem ser seguidos corretamente para
alcançar os objetivos de conformidade com as diretrizes Políticas, Normas
e Procedimentos da 2CLIX TECNOLOGIA EIRELI ou atendimento a cláusulas
contratuais específicas;
Os controles implementados aos ativos de informação devem ser
periodicamente revisados para assegurar a conformidade com os documentos
da Política de Segurança da Informação;
Os controles devem ser auditados periodicamente para identificação de
eventuais desvios nas configurações, tentativas ou acessos não autorizados
e associação de privilégios divergentes das funções e cargos;
As ferramentas de auditoria, bem como os seus resultados, devem ser
restritos aos responsáveis envolvidos.

Exceções

Todas as exceções devem seguir procedimentos formais de registro e
autorização. A exceção em nenhum caso poderá anular o controle
original implementado e os controles compensatórios utilizados serão
incorporados e tratados como um novo controle de Segurança.

Responsabilidades

O responsável pela equipe de Segurança deve garantir que o SGSI seja
implementado conforme o escopo e controles definidos nos documentos de
segurança de informação;
É designado à equipe de segurança a responsabilidade de comunicar e
treinar as demais equipes para a adaptação e utilização correta dos
processos e controles de segurança adotados;
Em conjunto com a Administração, a equipe de Segurança deverá revisar as
documentações, processos e controles conforme os ciclos definidos em suas
respectivas sessões de ‘Validade e gestão de documentos’;
O responsável pela criação dos acessos deve comunicar aos colaboradores
seus acessos quando forem criados ou alterados, assim como deve ser o
responsável por remover os acessos dos colaboradores conforme o
necessário;
Todos os incidentes de segurança devem ser reportados ao responsável pela
equipe de Segurança;
Todo incidente ou mudança no escopo do tipo de tratamento de dados deve
ser comunicada à parte interessada representante do dado. Esta comunicação
deve ser feita ou pelo responsável de Segurança ou pelo Administrador do
Sistema;
A equipe de Segurança deve organizar e ministrar treinamentos para o
compartilhamento e conscientização dos demais colaboradores com as
políticas e processos de segurança adotados pela organização;
É responsabilidade de todo colaborador: conhecer, cumprir e fazer cumprir
as diretrizes de segurança de informação da 2CLIX TECNOLOGIA EIRELI.

Comunicação da Política

A comunicação da política é de responsabilidade da equipe de Segurança que
deve manter os documentos atualizados nos repositórios compartilhados do
google drive e wiki do Azure DevOps, além de organizar treinamentos
para todas as equipes sempre que necessário.

SUPORTE ÀIMPLMENTAÇÃO DO SGSI

A equipe de Administração declara seu apoio à implementação do SGSI, e irá
trabalhar para reforçar as políticas e processos na cultura da 2CLIX
TECNOLOGIA EIRELI, assim como implementar os controles necessários para a
adequação da organização aos padrões de segurança desejados.

PENALIDADES

O uso dos dispositivos e/ou senhas de identificação de outra pessoa
constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa
identidade);
Se existir login de uso compartilhado por mais de um colaborador, a
responsabilidade perante o 2CLIX TECNOLOGIA EIRELI e a legislação (cível e
criminal) será dos usuários que dele se utilizarem, no entanto, se for
identificado conhecimento ou solicitação do gestor de uso compartilhado
ele deverá ser responsabilizado;
Caberá ao Comitê de Segurança julgar os colaboradores que infringirem as
normas aqui estabelecidas.

VALIDADE E GESTÃO DE DOCUMENTOS

Este documento passa a ser válido a partir da data de sua última aprovação e
tem uma vida útil de até um ano.

A equipe de Segurança é responsável por fazer a revisão, auditoria e
atualização deste documento, podendo adiantar o processo de alterações na
documentação caso seja necessário.

Para garantir uma avaliação clara e objetiva, alguns fatores serão usados
como critérios de avaliação.

Quantidade de Incidentes causados por definição confusa ou incerta da
política de segurança;
Tempo desperdiçado pelos colaboradores e funcionários em processos
redundantes ou burocráticos;
Evolução dos registros de ofensores de processos de segurança;
Processos ineficazes para aquilo que foram implementados;
Alinhamento com os requisitos legais e contratuais.

Os registros de incidentes envolvendo o conteúdo deste documento e dos
demais processos de segurança da 2CLIX TECNOLOGIA EIRELI serão registrados
em pasta específica no diretório de documentos internos.