Política de Segurança da Informação

Estabelecer diretrizes e normas para a proteção dos ativos de informação da [NOME DA EMPRESA], garantindo a confidencialidade, integridade e disponibilidade das informações, em conformidade com a legislação aplicável, especialmente a Lei Geral de Proteção de Dados (Lei 13.709/2018).

Esta política aplica-se a todos os colaboradores, estagiários, terceiros e prestadores de serviços que tenham acesso aos sistemas, dados e informações da empresa, independentemente do local ou meio de acesso.

As informações serão classificadas nos seguintes níveis:

• Pública: Informações que podem ser divulgadas livremente
• Interna: Informações restritas ao uso interno da empresa
• Confidencial: Informações que exigem proteção especial
• Restrita: Informações críticas com acesso extremamente limitado

4.1. Política de Senhas:

• Mínimo de 8 caracteres
• Combinação de letras maiúsculas, minúsculas, números e símbolos
• Troca obrigatória a cada 90 dias
• Proibição de reutilização das últimas 5 senhas

4.2. Privilégios de Acesso:

• Princípio do menor privilégio
• Revisão trimestral de acessos
• Desativação imediata de contas de colaboradores desligados

Em conformidade com a LGPD, a empresa implementará:

• Criptografia de dados sensíveis
• Controle de acesso baseado em função
• Registro de atividades de tratamento
• Procedimentos para exercício de direitos dos titulares
• Gestão de consentimentos quando aplicável

6.1. Controles de Acesso Físico:

• Controle de acesso a salas de servidores
• Uso de crachás de identificação
• Registro de visitantes
• Monitoramento por câmeras

6.2. Proteção de Equipamentos:

• Bloqueio de estações de trabalho quando ausentes
• Proibição de dispositivos de armazenamento não autorizados
• Destruição segura de mídias

7.1. Controles de Rede:

• Firewalls configurados e monitorados
• Segmentação de rede
• Atualizações regulares de sistemas
• Antivírus corporativo

7.2. Acesso Remoto:

• Uso obrigatório de VPN
• Autenticação multifator
• Limitação de horários de acesso

8.1. Política BYOD (Bring Your Own Device):

• Cadastro obrigatório de dispositivos
• Senha de desbloqueio obrigatória
• Criptografia de dados
• Capacidade de apagar dados remotamente

9.1. Procedimento de Resposta:

• Identificação e contenção imediata
• Análise de causa raiz
• Comunicação às partes interessadas
• Notificação à ANPD quando aplicável

9.2. Registro de Incidentes:

• Manutenção de log de incidentes
• Análise pós-incidente
• Implementação de medidas corretivas

10.1. Programa de Conscientização:

• Treinamento anual obrigatório
• Simulações de phishing
• Comunicação regular sobre boas práticas

11.1. Monitoramento:

• Auditorias regulares de segurança
• Revisão anual desta política
• Avaliação contínua de riscos

O descumprimento desta política sujeitará o infrator às medidas disciplinares previstas no regulamento interno da empresa, podendo incluir desde advertência verbal até desligamento por justa causa, sem prejuízo de outras medidas legais cabíveis.