background
Termos de UsoPLD/FTESGTermos (Software)Termos de ContaTarifasPolítica de PrivacidadeSegurança da Informação

Segurança da Informação

1. INTRODUÇÃO

A Trio reconhece que a informação é um dos seus principais ativos e, portanto, deve ser protegida de forma adequada.

Esta Política de Segurança da Informação (PSI) estabelece os princípios, diretrizes e responsabilidades para garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações tratadas pela organização. O objetivo é minimizar riscos, prevenir incidentes de segurança, assegurar a continuidade das operações, garantir conformidade com as leis e regulamentações aplicáveis e promover a cultura de segurança da informação entre colaboradores, prestadores de serviço e parceiros.

Esta PSI é complementada por sub-políticas específicas (como Senhas, Classificação da Informação, Backup, Gestão de Acessos, entre outras) que detalham controles técnicos e operacionais.

2. TERMOS E DEFINIÇÕES

Quando referenciado nesta política, os termos a seguir terão os seguintes significados:

● Área de TI/SI: Aérea de Tecnologia da Informação / Segurança da Informação.

● Ativos: todos os recursos que possuem valor para a organização e que devem ser protegidos. Podem incluir: informações, aplicações, equipamentos, pessoas, etc.

● Backup: processo de criar cópias de segurança de dados, sistemas ou arquivos para garantir que possam ser recuperados em caso de perda, falha ou incidente.

● Criptografia: processo de transformar informações legíveis em dados codificados para protegê-las contra acessos não autorizados.

● Incidentes: eventos que comprometem ou tem potencial de comprometer a integridade, confidencialidade ou disponibilidade de ativos, dados ou sistemas.

● LGPD: Lei Geral de Proteção de Dados, que estabelece regras para o tratamento de dados pessoais.

● Logs: registros automáticos de atividades realizadas em aplicações. São fundamentais para monitoramento, auditoria, diagnóstico de problemas, etc.

● Patches: atualizações de software que corrigem falhas, vulnerabilidades ou melhoram funcionalidades.

● Princípio do menor privilégio: usuário deve ter apenas os acessos e permissões
estritamente necessários para realizar as suas funções.

● PSI: Política de Segurança da Informação.

3. ABRANGÊNCIA

Esta política se aplica à Trio, abrangendo todos os sistemas, processos, informações e ativos. Seu cumprimento é obrigatório para todos os sócios, acionistas, diretores, membros do Conselho de Administração, usuários, colaboradores, colaboradores temporários, terceiros, estagiários e aprendizes, doravante chamados de “colaboradores”.

4. DIRETRIZES

A PSI tem como princípios fundamentais:

● Confidencialidade: acesso às informações restrito apenas a pessoas autorizadas.

● Integridade: assegurar que as informações sejam corretas, completas e não alteradas indevidamente.

● Disponibilidade: garantir acesso às informações e sistemas sempre que necessário para a operação.

Para apoiar estes princípios, a Trio adota os seguintes compromissos:

4.1. Gestão de Ativos: identificação, registro e proteção de ativos durante todo o seu ciclo de vida.

4.2. Proteção e Classificação da Informação: tratamento das informações de acordo com sua classificação (pública, interna, confidencial ou restrita), conforme definido na Política de Classificação da Informação.

4.3. Gestão de Identidades e Acessos: concessão de acessos seguindo o princípio do menor privilégio, com revisões periódicas, conforme Política de Gestão de Acessos.

4.4. Privacidade de Dados Pessoais: tratamento de dados pessoais em conformidade com a LGPD e demais regulamentações aplicáveis.

4.5. Senhas e Autenticação: uso de credenciais seguras, vedado o compartilhamento, conforme Política de Senhas.

4.6. Dispositivos e Rede: uso de equipamentos corporativos de acordo com padrões definidos pela área de TI/SI.

4.7. Backups e Retenção: cópias de segurança de dados críticos, criptografadas e com períodos de retenção definidos na Política de Backup e Retenção.

4.8. Gestão de Incidentes: registro, análise e resposta a incidentes de segurança, incluindo comunicação a reguladores e titulares de dados quando aplicável.

4.9. Plano de Contingência: manutenção de processos de continuidade de negócios para rápida recuperação frente a falhas ou desastres.

4.10. Vulnerabilidades e Testes de Segurança: identificação e tratamento periódico de vulnerabilidades e realização de testes de segurança em sistemas críticos.

4.11. Logs e Auditoria: geração, proteção e análise de registros de eventos, conforme Política de Gestão de Logs.

4.12. Cultura e Conscientização: realização de treinamentos e campanhas de conscientização periódicas sobre segurança da informação.

5. DISPOSIÇÕES GERAIS

5.1. O descumprimento poderá resultar em medidas disciplinares, conforme legislação e normas internas.

5.2. Gestores devem garantir que suas equipes estejam cientes e em conformidade com esta PSI.

5.3. A área de Segurança da Informação é responsável por revisar esta política e propor atualizações.

5.4. A alta administração é responsável por sua aprovação.