Alltax logo
Solicite uma demo

Segurança da Informação All Tax

Política e Diretrizes

Introdução

A informação é um ativo que possui grande valor para a All Tax PLATFORM - SOLUÇÕES TRIBUTÁRIAS S.A., devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas e procedimentos que visam garantir a segurança da informação é prioridade constante da empresa, reduzindo-se assim riscos de falhas, danos e/ou prejuízos que possam comprometer a imagem e os objetivos da empresa.

Nesse sentido, a Política de Segurança da Informação All Tax apresenta diretrizes gerais de conduta, bem como obrigações a serem seguidas na All Tax a fim de mitigar eventuais riscos e danos relacionados a ameaças externas e internas, que possam impactar na confidencialidade, integridade e disponibilidade das informações de qualquer natureza.

Além disso, é importante destacar o comprometimento da All Tax com a melhoria contínua do Sistema de Gestão da Segurança da Informação, utilizando indicadores para medir a eficácia dos controles e processos.

Conforme os preceitos da Norma ISO 27001, a Política de Segurança da Informação da All Tax também define papéis e responsabilidades para a implantação das seguintes classes de controles de segurança da informação.

1. Definições

  • Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da empresa, seja trazendo danos diretos aos ativos ou prejuízos indiretos decorrentes de situações inesperadas.
  • Ativos de Informação: São os meios de produção, armazenamento, transmissão e processamento das informações, os sistemas de informação, os locais onde se encontram esses meios, ou pessoas que têm acesso a informações, assim como as próprias informações coletadas, produzidas, processadas, descartadas e transmitidas pela All Tax.
  • Classificação da Informação: Identificação de quais são os níveis de proteção que as informações demandam, estabelecimento de classes e formas de identificá-las, além de determinar controles de proteção necessários a cada uma delas.
  • Confidencialidade: Somente pessoas devidamente autorizadas pela Empresa devem ter acesso à informação.
  • Conformidade: Ação que visa verificar o cumprimento dos requisitos estabelecidos nas Normas.
  • Criptografia: Meio de codificação da informação que visa evitar que ela seja compreendida ou alterada por pessoas não autorizadas.
  • Dados Pessoais: Todo e qualquer dado relacionado a pessoa natural identificada ou identificável (conforme definição trazida no art. 5º, I, Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais), incluindo números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa. Também são considerados dados pessoais para os fins desta lei aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
  • Disponibilidade: A informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.
  • Equipe de Tratamento e Resposta a Incidentes em Segurança da Informação: Grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações relacionadas a incidentes com ativos de informação da All Tax.
  • GDPR: General Data Protection Regulation, conjunto de regras sobre tratamento de dados aprovado em 2018 válido para a União Europeia (UE). Regulamenta também a exportação de dados pessoais para fora da UE.
  • Integridade: Somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações.
  • Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709/2018, que dispõe sobre o tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei.
  • Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

2. Política de Segurança da Informação

A Política de Segurança da Informação, também chamada PSI, é o documento que orienta e estabelece as diretrizes corporativas para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários.

Deve, portanto, ser cumprida e aplicada em todas as áreas da empresa.

Esta PSI exige o cumprimento do Código de Conduta All Tax e de todas as leis e regulamentações aplicáveis e em vigor relacionadas à proteção de dados, incluindo, sem limitação, a Lei Geral de Proteção de Dados Pessoais (LGPD) e General Data Protection Regulation (GDPR).

Aplicações da Política de Segurança da Informação

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados com a finalidade de segurança da informação, conforme previsto nas leis brasileiras.

É também obrigação de cada colaborador se manter atualizado em relação a esta política e aos procedimentos e normas relacionadas, buscando orientação de seu Gerente, Coordenador, ou da Gerência de TI sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

Princípios da Política de Segurança da Informação

  • Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela All Tax pertence à referida Empresa.
  • As exceções devem ser explicitas e formalizadas em contrato entre as partes.
  • Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais.
  • O uso pessoal dos recursos não é permitido.
  • A All Tax, por meio da Gerência de TI, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e segurança das informações utilizadas.

3. Destinatários

A presente Política se aplica à Alta Direção, todos os funcionários, fornecedores e pessoas que possam acessar áreas, equipamentos, informações, arquivos, redes e dados de propriedade da All Tax.

Desta forma, todos os destinatários devem observar as presentes regras e recomendações em quaisquer operações que possam impactar na segurança das informações da All Tax.

O não cumprimento das disposições sujeitará o infrator às sanções fixadas pelos Gestores de Segurança da Informação previstas nesta Política.

4. Aplicabilidade

A Política de Segurança da Informação da All Tax firma diretrizes para garantir que seus colaboradores e parceiros entendam e cumpram a Lei Geral de Proteção de Dados Pessoais, bem como padrões e medidas técnicas visando a segurança da informação da All Tax.

5. Objetivos

Esta Política da Informação tem como objetivos:

  • Estabelecer as diretrizes que assegurem e reforcem o compromisso da Empresa com as práticas e medidas preventivas garantidoras da segurança da informação.
  • Estabelecer diretrizes que permitam aos colaboradores seguirem padrões de comportamento relacionados à segurança adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
  • Nortear a definição de procedimentos específicos de segurança da informação, bem como a implementação de controles e processos destinados a proteger os ativos de informação da All Tax, visando a preservação da Confidencialidade, Integridade e Disponibilidade dos ativos de informação.
  • Prover à All Tax mecanismos de atendimento e conformidade às leis de segurança da informação e normas internacionais.
  • Descrever as regras comportamentais e diretrizes a serem seguidas na condução das atividades desenvolvidas pela All Tax que garantam a prevenção de incidentes de segurança da informação e a proteção de dados pessoais.

Os demais documentos da All Tax que se relacionam com esta política são:

  • Acordo de Confidencialidade
  • Código de Conduta
  • Política de Backup
  • Política de Controles Internos e de Conformidade
  • Política de Privacidade

6. Princípios

O compromisso da All Tax com o tratamento adequado das informações se baseia nos seguintes princípios:

  • Confidencialidade: O princípio da confidencialidade determina que certa informação, fonte ou sistema deve estar acessível apenas a pessoas autorizadas. Em outras palavras, caso um indivíduo não autorizado acesse, intencionalmente ou não, uma informação sigilosa, haverá quebra de confidencialidade.
  • Integridade: O princípio de integridade estabelece que certa informação deve ser correta, completa e protegida contra alterações não autorizadas. Ou seja, deve-se manter os dados intocados, adotando precauções para que eles não sejam modificados ou eliminados sem autorização, para preservar sua confiabilidade e originalidade.
  • Disponibilidade: O princípio da disponibilidade determina que a informação deve estar sempre acessível para o uso legítimo de pessoas autorizadas.

7. Diretrizes

**7.1. Diretrizes Gerais**

A gestão de segurança da informação na All Tax é de responsabilidade da Equipe de Segurança da Informação e seus membros são definidos pelo CEO da All Tax.

A All Tax, além das diretrizes estabelecidas nessa PSI, deve também se orientar pelas melhores práticas e procedimentos de segurança da informação recomendados por órgãos e entidades públicas e privadas.

O estabelecimento de diretrizes visa dar suporte à segurança da informação. Tanto a PSI quanto as diretrizes deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada.

**7.2. Diretrizes Aliadas à Norma ISO 27001**

Para cada um dos controles definidos como aplicáveis ao Sistema de Gestão de Segurança da Informação, a Equipe de Segurança da Informação deve elaborar estratégias, diretrizes e procedimentos de conduta que serão abordados nos manuais dos controles.

A Política de Segurança da Informação da All Tax propõe a implementação priorizada dos seguintes controles e suas diretrizes.

7.2.1 Inventário de Informações e Outros Ativos Associados (Controle Organizacional #8)

Os ativos de informação devem:

  • Ser inventariados e protegidos;
  • Ter identificados os seus proprietários;
  • Ter mapeadas as suas ameaças e vulnerabilidades;
  • Ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos;
  • Ser utilizados estritamente dentro do que propõem, sendo proibido seu uso para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e etc.

E além disso:

  • 1. A All Tax deve criar, gerir e avaliar critérios de tratamento e classificação da informação de acordo com o sigilo requerido, nível crítico e sensibilidade, observando a legislação em vigor.
  • 2. Os recursos tecnológicos e as instalações de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas e interrupções não programadas.
  • 3. O acesso dos usuários aos ativos de informação e sua utilização, quando autorizados, deve ser condicionado à aceitação do Acordo de Confidencialidade.

7.2.2. Devolução de Ativos (Controle Organizacional #5.11)

No momento do término do vínculo do COLABORADOR com a All Tax, deve ser devolvida, destruída ou inutilizada toda e qualquer informação Confidencial e/ou documentos (originais ou cópias) recebidos em decorrência da função exercida no âmbito da All Tax.

7.2.3. Classificação das Informações (Controle Organizacional #5.12)

A Classificação da Informação é um fator importante para auxiliar na definição de níveis e critérios adequados de proteção dos dados e informações, garantindo a confidencialidade, conforme a importância de determinadas informações para a organização. A Classificação de Informação serve para garantir que nenhum dado vaze indevidamente e que apenas as pessoas que têm direito e autorização recebam acesso à informação.

Nossa política de informação recomenda que as informações devem ser classificadas de acordo com os níveis e características essenciais definidos abaixo:

  • **Confidencial:** É o nível mais alto de segurança dentro deste padrão. As informações confidenciais são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos à imagem da empresa ou financeiros. Podem ser protegidas, por exemplo, por criptografia, software de segurança da informação, armazenamentos em mídia mais segura, níveis de autorização de acesso, porte, segurança e operações mais rigorosas.
  • **Restrita:** Nível médio de confidencialidade. São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo o acesso a uma pasta ou diretório da rede, senhas de acesso, chaves de ativação e níveis de autorização de acesso, porte, segurança e operação com média rigor.
  • **Uso Interno:** Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação. Podem ser protegidas, por exemplo, com etiquetas e tags de segurança, senhas padrões, solicitação por escrito e/ou verbal com comprovação de recebimento, níveis de autorização de acesso, porte, segurança e operação com baixo rigor.
  • **Pública:** São dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares, a disponibilidade e a integridade, que devem ser sempre mantidos.

7.2.4. Planejamento e Preparação da Gestão de Incidentes de Segurança da Informação (Controle Organizacional #16)

Os gestores dos ativos de informação, na All Tax, são responsáveis pela infraestrutura de Segurança da Informação.

Estes, compõem também a Equipe de Tratamento e Resposta a Incidentes em Segurança da Informação e devem estabelecer processos de Gestão de Riscos de Segurança da Informação, que possibilitam identificar ameaças e reduzir vulnerabilidade dos ativos de informação, bem como reduzir os impactos de eventuais incidentes com os mesmos.

7.2.5. Gestão de Propriedade Intelectual (Controle Organizacional #5.32)

A Equipe de Segurança da Informação deve incluir cláusulas relacionadas à proteção da propriedade intelectual em contratos comerciais e de trabalho.

7.2.6. Acordos de Confidencialidade ou Não Divulgação (Controle de Pessoas #6)

Deverá constar em todos os contratos da All Tax o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido acesso aos ativos de informação disponibilizados pela Empresa.

A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos Colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Os colaboradores devem assinar um termo de responsabilidade.

7.2.7. Instalação de Software em Sistemas Operacionais (Controle Tecnológico #12)

Somente softwares homologados pela All Tax podem ser instalados nas estações de trabalho, o que deve ser feito com exclusividade, pela equipe de serviços de informática do Projeto.

7.2.8. Uso de Criptografia (Controle Tecnológico #8.24)

A Equipe de Segurança da Informação deve estabelecer diretrizes específicas ditando quando e onde recursos criptográficos devem ser utilizados dentro da All Tax para proteger suas informações, além de estabelecer quais padrões de criptografia são aceitos.

7.2.9. Locação e Proteção de Equipamentos (Controle Físico #7)

Cabe à Equipe de Segurança da Informação garantir o correto posicionamento dos computadores utilizados, para que a tela dos mesmos não seja visível para pessoas não autorizadas.

Além disso, conscientizar funcionários em regime de home office sobre a importância da manutenção de um espaço de trabalho neutro, onde outras pessoas não terão acesso aos equipamentos e informações, incentivando o bloqueio de tela toda vez que se afastar do equipamento, para que a confiabilidade não seja afetada.

8. Papéis e Responsabilidades Referentes à Segurança da Informação

**8.1. EQUIPE DE SEGURANÇA DA INFORMAÇÃO**

  • a. Supervisionar a segurança da informação no âmbito da All Tax;
  • b. Propor ajustes, aprimoramentos e modificações nesta Política;
  • c. Propor melhorias e aprovar as Normas de Segurança da Informação;
  • d. Definir a classificação das informações pertencentes ou sob a guarda da All Tax, com base no inventário de informações apresentado pelos encarregados de Gestão de Segurança da Informação e nos critérios de classificação constantes de Norma específica;
  • e. Analisar os casos de violação desta Política e das Normas de Segurança da Informação, encaminhando-os à gerência executiva, quando for o caso;
  • f. Propor projetos e iniciativas relacionados à melhoria da segurança da informação da All Tax;
  • g. Propor o planejamento e a alocação de recursos financeiros, humanos e de tecnologia, no que tange à segurança da informação;
  • h. Determinar a elaboração de relatórios, levantamentos e análises que deem suporte à gestão de segurança da informação e à tomada de decisão;
  • i. Acompanhar o andamento dos principais projetos e iniciativas relacionadas à segurança da informação.

**8.2. COLABORADORES**

Cabe a todos os colaboradores (funcionários, estagiários e prestadores de serviços) da All Tax:

  • a. Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da All Tax;
  • b. Buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à segurança da informação;
  • c. Assinar o termo deste documento, formalizando a ciência e a aceitação da Política e das Normas de Segurança da Informação, bem como assumindo responsabilidade por seu cumprimento;
  • d. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados pela All Tax;
  • e. Assegurar que os recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela All Tax;
  • f. Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual;
  • g. Comunicar imediatamente aos encarregados de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos.

**8.3. EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES EM SEGURANÇA DA INFORMAÇÃO**

Cabe à Equipe de Tratamento e Resposta a Incidentes em Segurança da Informação:

  • a. Identificar se um incidente ocorreu ou está ocorrendo;
  • b. Determinar a extensão do incidente e contê-lo;
  • c. Garantir que o problema seja eliminado;
  • d. Identificar e eliminar os meios pelo qual o sistema foi comprometido;
  • e. Restaurar o sistema a um estado operacional.

**8.4. RECURSOS HUMANOS**

Cabe à área de Recursos Humanos:

  • a. Colher a assinatura do Termo de Responsabilidade dos colaboradores, arquivando-os nos respectivos prontuários;
  • b. Informar, assim que receber as informações dos gestores, à gerência de TI todos os desligamentos, afastamentos e modificações no quadro funcional da empresa.