Política de gestão de incidentes de segurança da Informação

Última atualização em 26 de Julho de 2021.

Esta Política aborda as diretrizes, atribuições e responsabilidades no processo de Segurança da Informação da HOOBOX Robotics Tecnologia do Brasil LTDA, “Hoobox”.

1)Termos e Definições

Ameaça”: Fonte potencial de dano; elemento ou atividade que possui potencial de causar uma consequência.

Colaborador”: Entende-se como colaborador pessoas com vínculo de trabalho com registro em carteira de trabalho, aprendiz, trainee ou estágiario, aquele que possui um termo de compromisso firmado entre a empresa e a instituição de ensino.

Evento de segurança da informação ”: Ocorrência identificada em um sistema, serviço ou rede que indica uma possível violação da Política de segurança da informação ou falha de controles de segurança da informação, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Evidência”: Dados que apoiam a existência ou a veracidade de alguma coisa.

Incidente”:Qualquer ocorrência que não é parte padrão da operação de um serviço e que pode causar uma indisponibilidade, redução na qualidade do mesmo, perda de integridade ou confidencialidade das informações.

Risco Cibernético”: Ameaça à confidencialidade, integridade e disponibilidade das informações no Espaço Cibernético.

Terceiros”: Pessoas que não possuam vínculo empregatício com a Hoobox e que não sejam estagiários. Por Terceiros entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Hoobox, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como trabalhador contratado por outra companhia que não a Hoobox.

Vulnerabilidade”: Brecha sistêmica que permite ataque de exploração ou violação à segurança da informação de uma aplicação/rede.

2)Objetivos

Estabelecer as diretrizes para compor um programa Gestão de Incidentes de Segurança da Informação na Hoobox de forma que incidentes de segurança cibernética e da informação sejam tratados adequadamente reduzindo ao máximo os impactos para o negócio.

3)Abrangência

Esta Política abrange todas as ferramentas, aplicações, processos e monitoramento de Segurança da Informação e Segurança Cibernética no ambiente da Hoobox Robotics Tecnologia do Brasil LTDA, independente da sua localização física, ou seja, afeta todas as suas áreas de negócio, filiais, escritórios e demais operações no que se refere a ocorrência de incidentes de segurança da informação.

4)Atribuições e Responsabilidades
Área de Segurança da Informação

(i) Realizar a Gestão de Incidentes de Segurança da Informação na Hoobox.

(ii) Verificar a conformidade desta Política.

(iii) Implantar controles de Segurança da Informação de acordo com as instruções deste regulamento.

(iv) Desenvolver e atualizar, sempre que necessário, as diretrizes gerais para a Gestão de Riscos de Segurança da Informação e Segurança Cibernética.

(v) Elaborar diretrizes para coleta e preservação de evidências de incidentes de segurança da informação.

(vi) Elaborar diretrizes para comunicação sobre incidentes de segurança da informação.

(vii) Elaborar/aprovar procedimentos técnicos de tratamento de incidentes de segurança da informação, com apoio das áreas da TI da Hoobox.

(viii) Implementar melhorias no tratamento de incidentes de segurança da informação.

(ix) Proteger o valor e a reputação da Hoobox.

(x) Identificar violações de Segurança Cibernética, estabelecendo ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e lógicos objetivando a mitigação dos riscos cibernéticos, dentre outros.

(xi) Garantir a continuidade de seus negócios, protegendo os processos críticos de interrupções inaceitáveis causadas por falhas ou desastres significativos.

(xii) Atender aos requisitos legais, regulamentares e às obrigações contratuais pertinentes a atividade da empresa.

(xiii) Conscientizar, educar e treinar os colaboradores nas suas atividades diárias com foco na Segurança Cibernética.

(xiv) Estabelecer e melhorar continuamente um processo de Gestão de Riscos de Segurança Cibernética.

Gestor de Segurança da Informação

(i) Atuar como proprietário do Processo de Gestão de Tratamento e Resposta a Incidentes de Segurança da Informação.

Colaboradores

(i) Conhecer e cumprir as diretrizes estabelecidas nesta Política.

(ii) Reportar qualquer incidente de Segurança da Informação, mesmo que suposto, o mais rapidamente possível, por meio do canal apropriado.

5)Diretrizes

Os incidentes de segurança da informação podem ser notificados por qualquer usuário da Hoobox ou identificados por áreas da Tecnologia da Informação “TI”.

Plano de Segurança Cibernética

(i) Proteger as informações contra acesso, modificações, destruição ou divulgação não autorizada.

(ii) Prover a adequada classificação da informação, sob os critérios de confidencialidade, disponibilidade e integridade.

(iii) Assegurar que os recursos utilizados para o desempenho de sua função sejam utilizados apenas para as finalidades aprovadas pela Hoobox.

(iv) Garantir que os sistemas e as informações sob responsabilidade da Hoobox estejam adequadamente protegidos.

(v) Garantir a continuidade do processamento das informações críticas de negócios.

(vi) Selecionar os mecanismos de segurança da informação, balanceando fatores de riscos, tecnologia e custo.

(vii) Comunicar imediatamente à área de Segurança da Informação, quaisquer descumprimentos da Política Corporativa de Segurança Cibernética.

Proteção do Ambiente

Devem ser constituídos controles e responsabilidades pela gestão e operação dos recursos de processamento das informações que garantem a segurança na infraestrutura tecnológica de redes locais e internet, através de um gerenciamento efetivo no monitoramento, tratamento e respostas aos incidentes, para minimizar o risco de falhas e a administração segura de redes de comunicações, incluindo a gestão de serviços contratados de processamento e armazenamento de dados e informações em nuvem.

Segurança Física e Lógica

Os equipamentos e instalações de processamento de informação críticas ou sensíveis devem ser mantidos em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais. Os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação, para que assim possam ser protegidos visando a manutenção de sua confidencialidade, integridade e disponibilidade. Os colaboradores e terceiros da Hoobox devem ser treinados periodicamente sobre os conceitos de Segurança da Informação, através de um programa de conscientização.

Gestão de Acesso

Os acessos às informações devem ser controlados, monitorados, restringidos à menor permissão e privilégios possíveis, revistos periodicamente com a aprovação do gestor do responsável e o da informação, e cancelados tempestivamente ao término do contrato de trabalho do colaborador ou do prestador de serviço.

Processamento, Armazenamento de Dados e Computação em Nuvem

Conforme a Resolução 3.909/2018 do Banco Central do Brasil, para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a Stone deve possuir procedimentos efetivos para a aderência às regras previstas na regulamentação em vigor.

Continuidade de Negócios

O processo de gestão de continuidade de negócios relativo a segurança da informação, deve ser implementado para minimizar os impactos e recuperar perdas de ativos da informação, após um incidente crítico, a um nível aceitável, através da combinação de requisitos como operações, funcionários chaves, mapeamento de processos críticos, análise de impacto nos negócios e testes periódicos de recuperação de desastres. Incluem-se nesse processo, a continuidade de negócios relativos aos serviços contratados de nuvem e os testes previstos para os cenários de ataques cibernéticos.

6) Considerações Finais
Treinamento

Um programa de conscientização em Segurança Cibernética à garantia dos objetivos e diretrizes definidos nesta Política é realizado adequando-se às necessidades e responsabilidades específicas de cada colaborador e, onde pertinente, terceiros da Companhia.

{"mode":"full","isActive":false}