Política de Segurança
Introdução e objetivo
A Segurança é um dos elementos de negócio mais importantes para a V360, dessa forma, manter a informação de acordo com critérios de confidencialidade, integridade e disponibilidade são fatores críticos para o sucesso para a nossa organização.
A Política de Segurança da Informação Externa tem como objetivo orientar sobre as diretrizes de segurança da informação em vigor, assim como descrever responsabilidades no cumprimento das metas e conscientizar sobre o correto uso das informações conforme estabelecido pela V360.
As instruções e regras aqui descritas devem ser seguidas para garantir, de forma consistente e eficiente, a proteção das informações disponibilizadas pela V360 assim como o uso apropriado de recursos tecnológicos, ambientes e dependências acessados pelos Fornecedores e prestadores.
Abrangência
Este documento destina-se para stakeholders externos (Ex: clientes, fornecedores, prestadores de serviço) da V360, conforme aplicável.
Definições
Segurança da Informação: Diretamente relacionada com proteção de um conjunto de dados, informações com objetivo de preservar o valor que possuem para indivíduo ou organização
Fornecedores e Prestadores de Serviço: Toda pessoa física ou jurídica que produz, monta, cria, constrói, transforma, importa, exporta, distribui ou comercializa produtos ou serviços.
Incidente de Segurança da Informação: É um evento de segurança ou conjunto de eventos confirmados que impactem a disponibilidade, confidencialidade e integridade de um ativo de informação, assim como qualquer violação desta política
Backup: É a cópia de segurança de dados de um dispositivo de armazenamento a outro para que possa ser restaurado em caso da perda dos dados originais
Software: É a parte lógica, o conjunto de instruções e dados processados nos servidores e computadores
Mídia removível: Dispositivos tais como Pendrive, Hd externo, CD capazes de armazenar informações
Firewall: dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede
Stakeholder: grupos e indivíduos que, de uma forma ou de outra, apresentam algum nível de interesse nos projetos, atividades e resultados de uma determinada organização
SaaS: Software como serviço, do inglês Software as a service, é uma forma de distribuição e comercialização de software
Responsabilidades
- V360
A V360 segue Política de Segurança da Informação própria, formalizada a partir de um Sistema de Gestão de Segurança da Informação, sendo auditada anualmente para conferência e manutenção da certificação ISO 27001:2013;
O Sistema de Gestão da Segurança da Informação e da Privacidade dos Dados Pessoais aplicável ao desenvolvimento de software para processamento de dados financeiros, em um formato de SaaS oferecido para nossos clientes;
Os dados processados pela V360, no Portal de SaaS, que nos foram fornecidos por nossos clientes e seus respectivos fornecedores ficam localizados em provedor de nuvem de larga escala, certificados com ISO 27001, SOC 2 e demais normas de segurança da informação, sendo seguido o modelo de responsabilidade compartilhada;
Em caso de contratação de fornecedores ou prestadores de serviços que venham a acessar os dados da organização, a área contratante deverá garantir que todos estejam cientes dessa Política de Segurança da Informação.
- Prestador de Serviços/Fornecedores
É de responsabilidade dos fornecedores e prestadores de serviços, observar e seguir as orientações estabelecidas para o cumprimento da presente Política de Segurança da Informação;
Todas as atividades executadas devem observar a legislação vigente e a normatização de órgãos e entidades reguladoras com relação à Segurança da Informação.
- Clientes e respectivos fornecedores
Devem zelar pelo uso aceitável da plataforma SaaS V360, seguindo as diretrizes de acordo com o contrato firmado entre as partes;
Devem zelar pelo uso aceitável da plataforma SaaS V360, seguindo as diretrizes de acordo com o NDA firmado entre as partes.
Todos os stakeholders devem estar, ainda, imbuídos de manter e preservar os princípios básicos de segurança da informação:
Confidencialidade – O Stakeholder deve contribuir para a manutenção do sigilo e restrição de acesso das informações compartilhadas ou acessadas em razão do exercício de sua função e serviço contratado.
Integridade – O Stakeholder compromete-se com o uso adequado e autorizado de ativos da V360, inclusive informações. Não é permitida a manipulação ou edição de ativos de informações fora do seu escopo de trabalho ou limitações impostas por procedimentos ou controles de acesso em sistemas de informação.
Disponibilidade – O Stakeholder preza pela preservação dos ambientes e recursos tecnológicos de seu fornecimento ou suporte, de forma a favorecer a continuidade e oferta ininterrupta de serviços.
Diretrizes e condutas
É responsabilidade de todos os colaboradores, clientes, fornecedores, prestadores de serviço, a conduta correta e ética, obedecendo os preceitos de respeito às pessoas e preservação da imagem da V360 seu compromisso com a segurança da informação.
Espera-se ainda que os envolvidos cumpram com todos os requisitos da legislação brasileira aplicáveis, e comprometam-se a seguir integralmente os itens a seguir, mas não exclusivamente:
Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada, mantendo a sua confidencialidade, integridade e disponibilidade;
Exercer o trabalho profissional com responsabilidade, dedicação, honestidade e justiça, buscando sempre a melhor solução;
Esforçar-se para adquirir continuamente competências técnicas e profissionais, mantendo-se sempre atualizado com os avanços da profissão e especialidades;
Atuar dentro dos limites de sua competência profissional;
Guardar sigilo profissional por tempo indeterminado das informações que tiver acesso em razão do exercício de suas atividades contratadas;
Pautar sua relação com colegas nos princípios de consideração, respeito e solidariedade, assim como conduzir as atividades profissionais, que envolvam interação ou contribuição em grupo, sem discriminação de qualquer tipo, seja de cor, sexo, nacionalidade, idade, religião, estado civil ou qualquer outra condição humana;
Honrar compromissos e prazos estabelecidos;
Não praticar atos deliberados que possam comprometer segurança, privacidade ou que atentem para diminuição ou anulação de controles e proteções de segurança estabelecidos;
Comunicar imediatamente qualquer descumprimento desta Política de Segurança da Informação.
Responsabilidades específicas
- Uso aceitável de ativos
Para prestadores de serviços e fornecedores que precisem acessar informações da V360 via Drive corporativo ou ferramentas da organização, faz-se necessário a adequação dos dispositivos móveis relativos aos requisitos de antivírus, anti-malware, softwares de segurança quando aplicável;
É proibido o acesso, download ou distribuição de qualquer conteúdo que viole direitos autorais e de propriedade dentro da V360. Da mesma forma, é vedado o armazenamento, no Ambiente Digital da V360 ou em quaisquer equipamentos de propriedade da V360, de material obsceno, ilegal ou não ético, fato que ensejará a apuração de responsabilidade;
Cada usuário é responsável pela proteção dos dispositivos físicos contendo informação da V360 que estão sob sua guarda.
- Acesso lógico
Os clientes e respectivos fornecedores com acesso ao SaaS V360 (Portal de notas) devem cuidar pelo bom uso da ferramenta, garantindo que as credenciais utilizadas são intransferíveis e únicas. Além disso, quando aplicável, clientes que possuam permissão administrativa para gestão de grupos de usuários, devem zelar pelo ingresso e exclusão de colaboradores e prestadores de serviço.
Os Fornecedores e prestadores de serviço devem utilizar identificação e autenticação de usuários de sistema concedidos pela V360 para realização de suas atividades, informando de erros ou acessos que não correspondam ou excedam ao escopo de sua atuação contratada.
Quando aplicável, o usuário e senha disponibilizado são de uso exclusivo e não podem ser divulgados ou compartilhados;
O fornecedor ou prestador de serviço deve manter suas credenciais de acesso seguras, sendo de sua responsabilidade qualquer utilização indevida;
Sempre que aplicável, é responsabilidade da empresa contratada ou prestador de serviço comunicar qualquer desligamento de seus colaboradores para que eles tenham seus acessos devidamente cancelados no ambiente da V360;
Sempre que aplicável manter e utilizar senhas fortes, e duplo fator de autenticação nas aplicações
- Segurança no Desenvolvimento de Sistemas
Caso aplicáveis, devem ser seguidos os requisitos abaixo para desenvolvimento seguro de sistemas:
O desenvolvimento de software deve ser orientado a evitar, encontrar e corrigir vulnerabilidades.
Modificações em pacotes de software devem ser evitadas.
O desenvolvimento de software deve ser realizado em ambiente de desenvolvimento separado e seguro e considerando também a segurança para cenários de reuso de código.
Utilizar rotinas de validação de integridade para prevenir erros, seja involuntário ou intencional, utilizando de dados fictícios ou anonimização e em ambiente não produtivo;
- Gestão de Vulnerabilidade
Prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, deve ser um trabalho em conjunto da V360 com seus fornecedores e prestadores de serviços, desta forma sempre que aplicável deverão ser realizadas aplicações de patches de segurança, atualizações de sistemas operacionais e softwares em seus dispositivos.
- Notificação de Incidentes de Segurança da Informação
Ameaças ou incidentes de segurança da informação que são de conhecimento do fornecedor ou prestador de serviço e que possam comprometer a segurança da V360 devem ser imediatamente relatadas via email: segurancav360@virtual360.io
- Backup e restauração
Não é permitida a cópia de dados confidenciais para processamento ou armazenamento em serviços externos, de terceiros não autorizados pela V360 ou seus clientes.
A V360 utiliza-se de nuvens públicas que garantem o backup do nosso banco de dados, com rotinas diárias de validação sendo realizadas por nosso time interno, além disso, anualmente realizamos testes para garantir a nossa capacidade de restauração das informações de nossos clientes
Todos os arquivos devem ser gravados na rede, pois arquivos gravados no computador (local) não possuem cópias de segurança (backup) e podem ser perdidos
Alguns backups têm tempo de vida determinado por lei, portanto a equipe responsável pelos backups deve ser informada e zelar por mantê-los disponíveis durante esse tempo, bem como os equipamentos necessários para sua recuperação quando necessário.
Avaliações Periódicas
A V360 poderá realizar, sempre que achar necessário, avaliações para atestar a efetividade da implementação dos controles apresentados neste documento, devendo para isso, comunicar o fornecedor ou prestador de serviço com antecedência.
Sanções
A V360 realiza o monitoramento contínuo de seu ambiente tecnológico e organizacional por meio de diversos métodos com o objetivo de assegurar a conformidade e adesão desta política. Caso haja violação pelo fornecedor ou prestador de serviço das regras dispostas nesta documentação, mesmo que por omissão ou tentativa não consumida, tais violações poderão ser classificadas como incidentes e consequentemente sendo passíveis de penalidades.
Controle de Alterações
Versão | Data da Publicação | Descrição | Por |
---|---|---|---|
1 | 08/11/2021 | Versão Inicial | Diego Panaro |
2 | 13/12/2021 | V2 (Inclusão do termo “Prestador de Serviço” em 6.2) | Diego Panaro |
3 | 21/10/2022 | V3 (Revisão anual da documentação, modificando o título, incluindo pontos sobre backup, clientes, além da V360 em responsáveis) | Diego Panaro |
Aprovado por: Victor Campos - CTO