SUMÁRIO
1 OBJETIVO
2 ABRANGÊNCIA
3 DEFINIÇÕES
4 RESPONSABILIDADES
5 DIRETRIZES
6 DOCUMENTOS COMPLEMENTARES
7 DISPOSIÇÕES FINAIS
8 NATUREZA DAS ALTERAÇÕES
1 OBJETIVO
A Política de Segurança da Informação (PSI) tem como objetivo estabelecer princípios, diretrizes e responsabilidades para garantir a confidencialidade, integridade, disponibilidade e privacidade das informações tratadas pelas empresas que compõem o Grupo OSTEC, respeitando a autonomia operacional e jurídica de cada organização.
A PSI é fundamentada em boas práticas internacionais de segurança da informação, especialmente nas normas da família ISO/IEC 27000, como a ISO/IEC 27001, que estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), e a ISO/IEC 27701, que expande o escopo para a proteção de dados pessoais (SGPI), alinhando-se com legislações como a Lei Geral de Proteção de Dados (LGPD).
São objetivos da Política de Segurança da Informação:
a) estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;
b) estabelecer orientações gerais de segurança da informação e privacidade, contribuindo para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da confidencialidade, integridade, disponibilidade, privacidade e autenticidade das informações;
c) estabelecer competências e responsabilidades quanto à segurança da informação e privacidade;
d) nortear a elaboração das políticas ou normas necessárias à efetiva implementação da segurança da informação e privacidade;
e) promover o alinhamento das ações de segurança da informação e privacidade com as estratégias de planejamento organizacional do Grupo OSTEC.
2 ABRANGÊNCIA
Aplica-se, no âmbito do Sistema de Gestão da Segurança da Informação e Sistema de Gestão da Privacidade da Informação das empresas que compõem o Grupo OSTEC, aos seguintes elementos:
a) todos os usuários de informação que tenham acesso a ativos de informação ou recursos tecnológicos;
b) todos os tipos de informações tratadas, incluindo dados pessoais de clientes, colaboradores, parceiros, fornecedores e quaisquer outros dados confidenciais, proprietários ou sensíveis;
c) todos os sistemas de informação, dispositivos, redes, servidores, aplicativos, bancos de dados e quaisquer outros recursos tecnológicos utilizados no tratamento de informações;
d) todos os processos e procedimentos relacionados à gestão da segurança da informação e à proteção de dados pessoais, incluindo o desenvolvimento, operação, manutenção e descarte de ativos de informação;
e) todas as instalações físicas, incluindo escritórios, centros de dados e quaisquer outros locais onde os ativos de informação sejam armazenados, processados ou transmitidos;
f) todos os fornecedores de serviços terceirizados e parceiros comerciais que tenham acesso a informações e sistemas, ou que forneçam serviços críticos para suas atividades ou operações.
3 DEFINIÇÕES
Para o entendimento claro e consistente desta Política de Segurança da Informação, são adotadas as seguintes definições:
a) Ativo de informação: qualquer informação ou recurso que tenha valor para a organização e que necessite de proteção adequada.
b) Confidencialidade: propriedade de que a informação não seja disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados;
c) Integridade: propriedade de precisão e completude das informações;
d) Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;
e) Privacidade: controle sobre a coleta, armazenamento, uso e compartilhamento de dados pessoais, em conformidade com as legislações aplicáveis;
f) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
g) Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
h) Sistema de gestão de segurança da informação (SGSI): conjunto de políticas, processos, procedimentos e controles destinados à gestão e proteção dos ativos de informação da organização.
i) Sistema de gestão de privacidade da informação (SGPI): conjunto de políticas, processos e controles implementados para gerenciar e proteger dados pessoais, assegurando a conformidade com a legislação de privacidade aplicável e a proteção dos direitos dos titulares dos dados.
4 RESPONSABILIDADES
A estrutura de Gestão de Segurança da Informação e Privacidade é composta por:
a) Alta direção: responsável por assegurar o compromisso com a segurança da informação e privacidade nas empresas que compõem o Grupo OSTEC, garantindo o cumprimento desta Política e a disponibilização dos recursos necessários para sua implementação e melhoria contínua;
b) Comitê de Segurança da Informação e Privacidade: responsável pela governança da segurança da informação e privacidade, incluindo a revisão periódica desta Política e o acompanhamento das iniciativas relacionadas ao Sistema de Gestão da Segurança da Informação (SGSI) e ao Sistema de Gestão da Privacidade da Informação (SGPI);
c) Gestores: responsáveis por assegurar que os membros de suas equipes conheçam e cumpram esta Política, promovendo boas práticas de segurança da informação e privacidade e incentivando a participação em ações de conscientização e treinamento;
d) Encarregado pelo tratamento de dados pessoais (DPO): responsável por orientar a organização quanto às práticas de proteção de dados pessoais e privacidade, atuar como ponto de contato com autoridades competentes e titulares de dados e acompanhar a conformidade com a legislação aplicável;
e) Gestor de segurança da informação: responsável por coordenar as atividades relacionadas à segurança da informação e privacidade, apoiando a implementação desta Política e a gestão de riscos e incidentes de segurança da informação;
f) Usuários de informação: todos os indivíduos ou organizações que tenham acesso a ativos de informação ou recursos tecnológicos das empresas que compõem o Grupo OSTEC são responsáveis por cumprir esta Política e contribuir para a proteção da confidencialidade, integridade, disponibilidade e privacidade das informações, comunicando prontamente quaisquer incidentes ou suspeitas de violação de segurança.
5 DIRETRIZES
As práticas de segurança da informação e privacidade das empresas que compõem o Grupo OSTEC são guiadas pelos princípios que regem a boa governança corporativa e a responsabilidade empresarial, incluindo as seguintes diretrizes:
a) Confidencialidade: o acesso às informações deve ser restrito apenas às pessoas autorizadas e necessário ao desempenho de suas atividades;
b) Integridade: as informações devem ser protegidas contra alterações não autorizadas, assegurando sua exatidão e confiabilidade;
c) Disponibilidade: as informações e sistemas devem estar disponíveis para os usuários autorizados sempre que necessário às atividades da organização;
d) Privacidade: assegurar que o tratamento de dados pessoais ocorra de forma responsável e em conformidade com a legislação aplicável de proteção de dados;
e) Continuidade dos processos e serviços essenciais: assegurar que cada empresa que compõe o Grupo OSTEC estabeleça e mantenha práticas de continuidade de negócios capazes de preservar ou restabelecer os processos e serviços críticos, considerando os requisitos do negócio, as exigências legais e regulatórias, bem como as necessidades e expectativas dos clientes, mesmo diante de incidentes de segurança da informação e privacidade;
f) Proporcionalidade das medidas de proteção: assegurar que as medidas de segurança da informação e privacidade sejam definidas e implementadas de forma proporcional aos riscos identificados e à criticidade dos ativos de informação.
g) Acesso à informação, proteção de dados pessoais e privacidade: assegurar que o acesso às informações e o tratamento de dados sejam realizados de forma responsável, equilibrando as necessidades do negócio com a proteção de dados pessoais e o respeito à privacidade dos indivíduos, em conformidade com a legislação aplicável;
h) Responsabilidade do usuário: todos os usuários de informação são responsáveis por utilizar os ativos de informação e os recursos tecnológicos de forma segura e em conformidade com esta Política e com os demais documentos aplicáveis de segurança da informação e privacidade:
As empresas que compõem o Grupo OSTEC devem assegurar que colaboradores, prestadores de serviços e terceiros que tenham acesso às informações ou aos sistemas estejam devidamente informados e comprometidos com o cumprimento desta Política e dos demais documentos aplicáveis de segurança da informação e privacidade.
i) Gestão de incidentes de segurança da informação e privacidade: assegurar que eventos e incidentes de segurança da informação e privacidade sejam prontamente comunicados, registrados e tratados de forma adequada, de acordo com os processos definidos pelas empresas que compõem o Grupo OSTEC.
j) Alinhamento estratégico: assegurar que as práticas de segurança da informação e privacidade estejam alinhadas ao planejamento estratégico das empresas que compõem o Grupo OSTEC, garantindo coerência com os objetivos de negócio e com os demais documentos aplicáveis de segurança da informação e privacidade;
k) Conformidade com legislação e regulamentos: assegurar que as práticas de segurança da informação e privacidade estejam em conformidade com as leis e regulamentos aplicáveis, incluindo a Lei Geral de Proteção de Dados (LGPD) e demais requisitos legais pertinentes;
l) Educação e comunicação: fomentar uma cultura de segurança da informação e privacidade por meio de programas contínuos de conscientização, educação e comunicação, assegurando que colaboradores e parceiros estejam cientes de suas responsabilidades e das boas práticas de segurança da informação e privacidade;
m) Melhoria contínua: promover a melhoria contínua das práticas de segurança da informação e privacidade, considerando a evolução das ameaças, dos riscos e das tecnologias utilizadas;
As diretrizes apresentadas formam os pilares da gestão de segurança da informação e privacidade nas empresas que compõem o Grupo OSTEC, orientando a elaboração, implementação e manutenção das políticas e demais documentos aplicáveis.
6 DOCUMENTOS COMPLEMENTARES
A Política de Segurança da Informação integra o conjunto de documentos que compõem a Gestão de Segurança da Informação e Privacidade nas empresas que compõem o Grupo OSTEC.
A implementação das diretrizes estabelecidas nesta Política é realizada por meio de políticas específicas, processos, procedimentos e demais documentos aplicáveis de segurança da informação e privacidade, os quais definem os controles e práticas necessários para a proteção dos ativos de informação.
Esses documentos devem ser elaborados e mantidos em conformidade com a legislação aplicável, os requisitos regulatórios e as melhores práticas de segurança da informação e privacidade.
7 DISPOSIÇÕES FINAIS
a) Esta Política deve ser revisada periodicamente ou sempre que ocorrerem mudanças relevantes nos requisitos legais, regulatórios ou nas atividades das empresas que compõem o Grupo OSTEC.
b) O descumprimento desta Política poderá resultar na adoção das medidas administrativas cabíveis, conforme as normas internas das empresas que compõem o Grupo OSTEC e a legislação aplicável.
c) Dúvidas, comunicações ou solicitações relacionadas a esta Política de Segurança da Informação podem ser encaminhadas ao Grupo OSTEC por meio do canal institucional destinado ao tema, através do e-mail: dpo@grupoostec.com.
8 NATUREZA DAS ALTERAÇÕES
Tabela – Histórico de revisões
| Data | Revisão | Descrição | Alterado por | Aprovado Por |
|---|---|---|---|---|
| 23/09/2024 | 00 | Elaboração inicial do documento | Daniel Cadorin | Comitê do SGPI |
| 10/03/2026 | 01 | Revisão e atualização geral da Política de Segurança da Informação, incluindo ajustes de estrutura, responsabilidades, diretrizes e alinhamento às práticas de governança de segurança da informação e privacidade. | Daniel Cadorin | Comitê do SGPI |