Objetivo

Esta política tem como objetivo estabelecer diretrizes para a proteção e a gestão segura da informação sensível tratada pela empresa, incluindo dados de terceiros, informações de identificação pessoal e direitos de propriedade intelectual. A segurança da informação é essencial para proteger os direitos dos nossos clientes, parceiros e colaboradores, garantindo a conformidade com a legislação aplicável e com os padrões de segurança em vigor.

Princípios

  1. Confidencialidade: Garantir que as informações sensíveis se encontram armazenadas de forma segura, e são acessíveis apenas a pessoas autorizadas.
  2. lntegridade: Proteger a precisão e a consistência das informações durante todo o ciclo de vida dos dados.
  3. Disponibilidade: Assegurar que as informações estejam acessíveis de forma segura e no momento necessário para os processos autorizados.
  4. Conformidade: Garantir que todas as operações estejam em conformidade com regulamentações aplicáveis, como o RGPD (Regulamento Geral de Proteção de Dados) e outras normas setoriais relevantes.

 

Âmbito de Aplicação

Esta política aplica-se a todos os colaboradores, prestadores de serviço, fornecedores e parceiros que lidam com informações que se encontram sob a responsabilidade da empresa. Abrange todos os sistemas, dispositivos, redes e processos utilizados para o tratamento de informações.

 

Diretrizes de Implementaçăo

    1. Gestão de Riscos:
      • Realizar análises periódicas para identificar e avaliar os riscos associados ao tratamento de informações sensíveis.
      • Implementar controlos apropriados para mitigar os riscos identificados.
    2. Gestão de Acessos:
      • Controlar o acesso a informações sensíveis com base no princípio do menor privilégio.
      • Realizar revisões regulares dos acessos e permissões concedidos.
  • Proteção de Dados de Terceiros:
      • Garantir a segurança de informações de identificação pessoal e a proteção de direitos de propriedade intelectual em conformidade com a legislação aplicável.
      • lmplementar contratos de confidencialidade (NDAs) com terceiros.
  • Consciencialização e Formação:
      • Promover ações de formação regulares, para todos os colaboradores, sobre a segurança de dados e informaçäo.
      • Promover ações de sensibilizaçäo, para todos os colaboradores, sobre a importância da proteçăo de dados e do cumprimento das políticas internas de segurança da informação.
  • Gestão de Incidentes:
      • Estabelecer um plano de resposta a incidentes para identificar, reportar, conter e corrigir violaşões de segurança.
      • Manter registos de incidentes e realizar análises para prevenir recorrências.
  • Auditoria e Monitorização:
      • Realizar auditorias regulares para avaliar a conformidade com esta política e acessos à informação não autorizada.
      • Monitorizar continuamente os sistemas para identificar vulnerabilidades e acessos não

autorizados.

  • Gestão de Continuidade de Negócio
      • Desenvolver, implementar e testar periodicamente planos de continuidade de negócios para garantir a disponibilidade da informação em caso de interrupções ou desastres.

Resultados Esperados

  • Manutenção de um sistema eficaz de gestão da segurança da informação.
  • Garantia da conformidade dos sistemas em vigor com a legislação aplicável, nomeadamente, com a ISO27001.
  • Proteção eficaz da informação sensível.

 

Responsabilidades

  • Gestão de TI: Responsável pela implementação e monitorização dos controlos técnicos.
  • Security Manager: Responsável pela manutenção da Política de Segurança da Informação e pelo suporte e aconselhamento durante a sua implementação e vigência.
  • Gestão da Qualidade: Responsável pelo sistema de gestão de segurança da informação e pela realização de auditorias anuais de controlo, no âmbito da norma ISO27001.

» Colaboradores: Cumprir as diretrizes desta política e reportar quaisquer incidentes ou vulnerabilidades identificadas.

  • Administração: Compromete-se a apoiar a implementação desta política, garantir os recursos necessários à segurança da informação, assegurar a sua melhoria contínua e cumprir todos os requisitos legais, normativos e contratuais aplicáveis.

 

Esta política será divulgada a todos os colaboradores e partes interessadas relevantes, estando disponível nos canais internos da organização. A sua revisão será feita sempre que ocorrerem alterações significativas no contexto organizacional.