RESUMO
Esta área de nosso site destina-se a apresentar aos nossos clientes e colaboradores a forma como tratamos seus dados pessoais.
Abaixo, você, titular do Dado Pessoal, terá a oportunidade de conhecer os cuidados que nós da EMISSÃO SIMPLES, tomamos com seus dados pessoais, nossas políticas e o espaço para sancionar qualquer dúvida em relação aos seus direitos.
Política de segurança da informação.
Política de privacidade e proteção de dados pessoais.
Termos e condições
Dúvidas sobre a lei e seus direitos.
Encarregado dos Dados Pessoais (DPO):
Lucas de Oliveira Marques
lucas.marques@hubstrom.com
Processo de adequação de conformidades com a Lei 13.709/18.
INTRODUÇÃO
A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação, sendo que vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia da informação. A política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas da Emissão Simples para a proteção dos ativos de informação e a prevenção de responsabilidade legal para os usuários. A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISSO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como, está de acordo com as leis vigentes em nosso país.
1. OBJETIVOS
Estabelecer diretrizes que permitam aos usuários de TI da Emissão Simples – seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Preservar as informações da Emissão Simples quanto à:
Integridade: garantia de que a informação seja mantida em seu estado original, visando protege-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
2. APLICAÇÕES DA PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela Emissão Simples, pertence à referida instituição. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais.
O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços. A Emissão, por meio da Gerencia de Tecnologia da Informação, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
3. PRINCÍPIOS DA PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela Emissão Simples, pertence à referida instituição. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais.
O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços. A Emissão, por meio da Gerencia de Tecnologia da Informação, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
4. REQUISITOS DA PSI
Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores e prestadores de serviços da Emissão Simples a fim de que a política seja cumprida dentro e fora da empresa.
Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação e Comunicação. Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos.
Prestadores de serviço que utilizem algum sistema de informação da Emissão devem ser orientados sobre os procedimentos de segurança e devem assinar um termo de responsabilidade.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Tecnologia da Informação e ela, se julgar necessário, deverá encaminhar posteriormente ao Comitê de Segurança da Informação e Comunicação para análise.
Um plano de contingência e a continuidade dos principais sistema e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir os riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela Emissão ou por terceiros.
Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
A Emissão Simples, exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidencias para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis. Esta PSI será implementada na Emissão por meio de procedimento específico, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
5. USUÁRIOS DE INFORMÁTICA
São reconhecidos como usuários da infraestrutura de TI todos os colaboradores, administradores, profissionais autônomos, temporários ou de empresas prestadoras de serviço que obtiverem a aprovação do gestor e da área de TI, para prescrição de senhas de acesso aos recursos computacionais da Emissão.
6. COMITÊ SEGURANÇA DE INFORMAÇÃO E COMUNICAÇÃO
Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo. A composição mínima deve incluir um colaborador de cada uma das áreas: Tecnologia da Informação, Gestão de Pessoas, Governança, Jurídico e um diretor. Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses.
7. DAS RESPONSABILIDADES ESPECÍFICAS
7.1. Dos Usuários de Informática.
Respeitar esta Política de Segurança da Informação. Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho. Responder pelo uso exclusivo e intransferível de suas senhas de acesso. Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software. Relatar prontamente À área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc. Assegurar que as informações e dados de propriedade da Emissão não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico. Relatar para o seu responsável hierárquico e à Gerência de TI, o surgimento da necessidade de um novo software para suas atividades. Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causas a Emissão e/ou terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
7.2. Dos Gestores de Pessoas e/ou Processos. Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão. Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da Emissão. Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumido o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informação da Emissão. Antes de conceder acesso às informações da instituição, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviço que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais. Autorizar o acesso e definir o perfil do usuário junto a área de TI. Notificar imediatamente ao gestor da área de TI quaisquer vulnerabilidade e ameaças a quebra de segurança. Advertir formalmente o usuário e aplicar sanções sabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato ao gestor da área de TI. Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
7.3. Da área de Tecnologia da Informação. Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais. Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes. Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI e pelas Normas de Segurança da Informação complementares. Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente. Segregar as funções administrativas, operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações. Garantir segurança especial para sistemas com acesso público fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação. Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências. Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a Emissão. Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela. O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que: os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário. os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante. Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado. Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros. Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, bem como em ambiente exclusivamente educacional, exigindo o seu cumprimento dentro da empresa. Realizar auditorias periódicas de configurações técnicas e análise de riscos com reporte ao Controle Interno. Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa. Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro. Monitorar o ambiente de TI, gerando indicadores e históricos de: Uso da capacidade no acesso à internet e aos sistemas críticos da Emissão; Tempo de resposta no acesso à internet e aos sistemas críticos da Emissão; Incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante); Atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros). Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação. Propor a apoiar iniciativas que visem à segurança dos ativos de informações da Emissão. Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação e Comunicação. Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da Emissão, mediante campanhas, palestras, treinamentos e outros meios de endomarketing. Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços. Analisar criticamente incidentes em conjunto específicos de segurança da informação para novos sistemas ou serviços. Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação e Comunicação. Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação e Comunicação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria; Manter comunicação efetiva com o Comitê de Segurança da Informação e Comunicação sobre os assuntos relacionados ao tema que afetem ou tenham potencial para afetar a Emissão. Buscar alinhamento com as diretrizes corporativas da instituição.
7.4. Do Comitê de Segurança da Informação e Comunicação. Propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos. Propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares. Avaliar os incidentes de segurança e propor ações corretivas. Definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementares. Avaliar os pedidos de acesso aos sistemas e dados Emissão Simples solicitados por terceiros ou mesmo nos casos em solicitações de origem interna para compartilhamento de dados.
8. DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE
Para garantir as regras mencionadas nesta PSI, a Emissão poderá: Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede – a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material tratado. Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de Segurança da Informação e Comunicação. Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade. Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
9. DOS SERVIÇOS E RECURSOS DE TIC
ANTIVÍRUS. Todos os dispositivos, como por exemplo: servidores, computadores, notebooks, tablets e smartphones devem ter sistemas de proteção contra vírus. Deverá ser disponibilizado antivírus licenciado nos casos de trabalho remoto, com acesso a recursos internos. O uso do sistema antivírus deverá seguir as melhores práticas de uso com foco na segurança dos ativos internos e deve atender os padrões contidos no procedimento: PAJ – Antivírus. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.2. CÓPIA (BACKUP) e RESTAURAÇÃO. Devem ser realizadas cópias de segurança de todos os dados gerados pelos sistemas internos e mantidos nos sistemas de armazenamento. A frequência das cópias deve atender os padrões de disponibilidade e integridade exigidas em lei e também para atender as necessidades do negócio. As cópias de segurança devem ser mantidas em local adequado, separado e distante do Datacenter. Devido ao alto volume de dados gerados pelos sistemas, as tarefas de backup ou mesmo restauração devem contemplar tecnologias que permitam a execução com mínimo impacto ao ambiente de produção. Os gestores de processos devem informar a Gerência de Tecnologia da Informação sobre as características de cópia de segurança, como por exemplo, periodicidade, dados, tempo de retenção e tempo de recuperação. A operação do sistema deverá ser restrita a equipe da Gerência, que deverá ser capacitada para a atividade. Simulações de cópia e restauração devem ser executadas, no mínimo, a cada 180 dias para garantir o correto funcionamento da solução. As tecnologias e os métodos de cópia devem seguir as melhores práticas de uso, com foco na segurança, integridade e disponibilidade dos dados e deve atender os padrões contidos no procedimento: PAJ – Cópia e Restauração. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.3 – FIREWALL. Os ambientes computacionais internos devem ser protegidos por sistemas específicos que possam identificar e bloquear acessos não autorizados. Este sistema também deverá permitir a análise de arquivos como objetivo de bloquear arquivos infectados e que possam ser prejudiciais aos sistemas internos. A operação do sistema deverá ser restrita a equipe da Gerência de Tecnologia, que deverá ser capacitada para a atividade ou para empresa contratada o caso de terceirização. Os acessos devem ser registrados em sistema centralizado de eventos com, no mínimo, as seguintes informações: data, hora, origem do acesso, destino do acesso, usuário e aplicativo. Considerando que as técnicas de intrusão evoluem constantemente, devem-se utilizar tecnologias e métodos mais modernos possíveis para garantir segurança, integridade e disponibilidade dos ambientes computacionais e deve atender os padrões contidos no procedimento: PAJ – Firewall. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.4 – CORREIO ELETRÔNICO (E-MAIL) O uso do correio eletrônico da Emissão Simples é para fins corporativos e relacionados às atividades do colaborador. A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso, não prejudique a Emissão Simples e também não cause impacto no tráfego da rede. A disponibilização deverá seguir as melhores práticas de uso do serviço de correio eletrônico e atender os padrões contidos no procedimento: PAJ – Correio Eletrônico (e-mail). A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.5 – INTERNET A comunicação com a Internet é recurso essencial para disponibilização de aplicativos, informações, troca de arquivos e comunicação via computador com fornecedores, clientes e a sociedade em geral. O acesso à Internet deverá ser disponibilizado através de link de comunicação específico para este fim, com garantia de qualidade, disponibilidade e segurança, adequadas a necessidade de negócio. Os padrões tecnológicos, quantidades e capacidades para links de Internet devem seguir as especificações contidas no procedimento: PAJ – Comunicação com a Internet. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.6 – COMPUTADORES. Deverá ser disponibilizado computados aos colaboradores para o desempenho das atividades. Os equipamentos devem ser especificados com capacidades de acordo com a necessidade das atividades do colaborador. Todos os computadores devem permanecer conectados em rede local e permitir o monitoramento de recursos através de softwares específicos. O uso de computadores deverá seguir as definições contidas no procedimento: PAJ – Uso de computadores. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.7 – DISPOSITIVOS MÓVEIS. Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, como: notebooks, smartphones, tablets e pendrives. Deverá ser disponibilizado dispositivo móvel aos colaboradores, conforme necessidade definida pelo gestor da área para utilização em ambiente externo. Os equipamentos devem ser especificados com capacidades de acordo com a necessidade das atividades do colaborador. Os dispositivos móveis, de propriedade da Emissão Simples, podem ser conectados a rede local respeitando os critérios de segurança definidos pela Gerência de Tecnologia da Informação. O uso de dispositivos móveis deverá seguir as definições contidas no procedimento: PAJ – Uso de dispositivos móveis. A gerência de tecnologia da informação é responsável peça elaboração e manutenção deste procedimento.
9.8 – DATACENTER Deverá ser disponibilizado local físico destinado a acomodação dos equipamentos como servidores, modems, sistemas de telefonia, armazenamento e afins. O local deverá ser preparado para atender os padrões de umidade e temperatura necessários ao correto funcionamento dos equipamentos. Deverá ter fornecimento de energia elétrica específico para uso com equipamentos de informática devendo ter proteção contra interrupção de fornecimento com uso de nobreak e gerador adequados a necessidade de negócio. O local deverá conter sistema de detecção de incêndio. O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação. Por exemplo: biometria, cartão magnético entre outros. Os padrões e especificações do Datacenter devem seguir as definições contidas no procedimento: PAJ – Datacenter. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.9 – IDENTIFICAÇÃO O uso dos equipamentos e sistemas corporativos devem ser permitidos somente mediante a identificação de usuário. Os acessos devem ser registrados em sistema centralizado de eventos contendo, no mínimo, informações de data, hora, usuário e recurso acessado. Deverá ser disponibilizada credencial aos colaboradores da Emissão Simples adequadas a necessidade das atividades. Todos os dispositivos de identificação utilizados na Emissão Simples, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física. Os padrões, técnicas de segurança e controle de identificação devem seguir as definições contidas no procedimento: PAJ – Padrão de identificação. A gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
9.10 – PERFIL DE ACESSO. O acesso as funcionalidades de sistemas devem ser controlado por perfil de acesso e não deverá ser controlado por usuário. O perfil de acesso deve ser relacionado ao cargo ou função e não deverá ser relacionado ao usuário. As alterações do perfil de acesso devem ser autorizadas pelo gestor do processo ou da funcionalidade impactada. Os padrões para perfil de acesso devem seguir as definições contidas no procedimento: PAJ – perfil de Acesso. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
10. DA CLASSIFICAÇÃO DA INFORMAÇÃO
As informações geradas nos processos internos devem ser classificadas no momento de sua criação. Os gestores de processos devem informar a classificação das informações dos processos de sua responsabilidade. Os critérios relativos ao nível de confidencialidade da informação devem ser definidas em política específica, com base nas orientações da ISSO 27002/2013.
11. DAS DISPOSIÇÕES FINAIS
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Emissão Simples, ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição. Na hipótese de violação desta PSI ou das normas de segurança da informação, a Diretoria com o apoio das áreas de Segurança da Informação, conformidade e Gestão de Pessoas, determinarão as sanções administrativas que serão aplicadas ao infrator, sendo que: Para os colaboradores, pode acarretar na aplicação de advertência e/ou suspensão ou desligamento formal conforme previsto na Matriz de Penalidades. Para os prestadores de serviços, pode acarretar na aplicação rescisória imediata do respectivo contrato estabelecido violado.
Intuitivo para você. Poderoso para o seu cliente.
©2026 HubStrom. Todos os direitos reservados.
Intuitivo para você. Poderoso para o seu cliente.
©2026 HubStrom. Todos os direitos reservados.
Intuitivo para você. Poderoso para o seu cliente.
©2026 HubStrom. Todos os direitos reservados.
Intuitivo para você. Poderoso para o seu cliente.
©2026 HubStrom. Todos os direitos reservados.
