Ir para o conteúdo

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO

O objetivo da Política de Segurança da Informação (PSI) é definir as diretrizes para garantir a segurança da informação e melhorar a qualidade dos serviços oferecidos aos clientes da Matrix Data Center.

2. ABRANGÊNCIA

A Política de Segurança da Informação (PSI) aplica-se aos colaboradores, cliente, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou acesso a informações pertencentes à Matrix Data Center.

3. DOCUMENTOS DE REFERÊNCIA
  •  ABNT NBR ISO/IEC 27001:2013.
4. DEFINIÇÕES:
  • Informação: é o conjunto de dados utilizado para transferência de mensagens entre indivíduos, usuários e máquinas em processos comunicativos. a informação existe sob as mais diversas formas.
  • Ativo: qualquer elemento que utilize, armazene ou transmita informações que tem valor para o negócio da organização.
  • Confidencialidade: é o princípio da segurança da informação, o qual define que toda informação deve ser protegida de acordo com o grau de sigilo do conteúdo, visando à limitação de acesso e uso apenas aos indivíduos para quem são destinados.
  • Integridade é o princípio da segurança da informação, o qual define que toda a informação deve ser mantida na condição em que foi disponibilizada pelo seu proprietário, visando protegê-la contra alterações indevidas, de natureza intencional ou acidental.
  • Disponibilidade: é o princípio da segurança da informação, o qual define que toda a informação gerada ou adquirida por indivíduo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos necessitem delas para desempenho de suas atribuições ou funções.
5. CARTA DE APRESENTAÇÃO
6. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A. ESCOPO

A Política de Segurança da Informação segue o escopo do SGSI, sendo:

O Sistema de Gestão da Segurança da Informação aplicado para o fornecimento de serviço de Colocation da Matrix Data Center, suportado pelos processos: Gestão Comercial, Facilities, Infraestrutura, Operações, Gestão de Segurança e Processos, NOC, Implantação, Pré-Vendas, Redes, Controladoria, Jurídico, Recursos Humanos, Diretoria tem seu escopo de implementação sobre as salas cofre.”

Os envolvidos com as atividades da organização, estão de acordo com a Política de Segurança da
Informação e seus documentos relacionados. É responsabilidade da Alta Direção requisitar o
cumprimento dos controles implantados, do acordo com o estabelecido na normativa “POL A6.1.1.1 Organização da segurança da informação”. Aqueles que deliberadamente violarem as determinações da Política de Segurança da Informação estarão sujeitos às sanções administrativas cabíveis.

B. RESPONSABILIDADES

Os envolvidos com o escopo apresentado neste documento são responsáveis pelo cumprimento de suas atividades, garantindo a Segurança da Informação.

As responsabilidades das partes interessadas estão acessíveis através da ferramenta de gestão de documentos. Nela estão disponíveis Política de Segurança da Informação e os documentos pertinentes ao SGSI que são pertinentes.

A Política de Segurança da Informação é analisada e aprovada pela Alta Direção.

7. REGRAS
7.1 REGRA GERAL

Esta política dá ciência as partes interessadas que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados. É também obrigação das partes interessadas se manter atualizado em relação a esta Política de Segurança e aos procedimentos e normas relacionadas.

A informação produzida pela Matrix Data Center é considerada de sua propriedade, não importando a data de sua criação ou sua forma de representação e transporte.

O uso pessoal dos recursos computacionais disponibilizados pela empresa é permitido desde que não prejudique o desempenho dos sistemas e serviços.

As políticas de segurança da informação estão disponíveis em local de acesso e protegida contra alterações.

A nomenclatura e o código das políticas de segurança da informação são mantidos com a mesma identificação definida na sistemática “STS 7.5 – Sistemática de Nomenclatura de Documentos”.

As Políticas de Segurança da Informação são revisadas anualmente, ou quando ocorrer qualquer mudança que altere as diretrizes destas políticas e são aprovadas pelos membros do Comitê da Alta Direção

7.2 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

Nosso compromisso com o tratamento adequado das informações da Matrix Data
Center e dos nossos clientes em geral está fundamentado nos seguintes princípios:

  • Confidencialidade – Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando for de fato necessário;
  • Disponibilidade – Garantimos que somente as pessoas autorizadas tenham acesso à informação sempre que necessário;
  • Integridade – Garantimos a exatidão e a completude da informação e dos métodos
    de seu processamento, bem como da transparência no trato com os públicos
    envolvidos.
7.3 REQUISITOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para a uniformidade da informação, a Política de Segurança da Informação é comunicada as partes interessadas da Matrix Data Center, a fim de que a política seja cumprida dentro e fora da organização.

Os resultados decorrentes da adoção destas diretrizes beneficiarão não só a empresa, mas também os usuários dos recursos computacionais da organização, fornecendo meios para preservar a privacidade da empresa e o uso adequado das informações. Além de propiciar a eficiência e a eficácia dos processos de trabalho da Matrix Data Center.

7.4 DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

Para que os objetivos de Segurança da Informação sejam alcançados, as seguintes diretrizes são seguidas e consideradas nas atividades realizadas no escopo definido para este sistema:

  • As informações da Matrix Data Center, dos clientes e do público em geral são tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida;
  • A informação é utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;
  • O processo, durante seu ciclo de vida, garante a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores;
  • O acesso às informações e recursos só é feito se devidamente autorizado;
  • A identificação de qualquer colaborador é única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
  • A concessão de acessos obedece ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o desempenho de suas atividades;
  • A senha é utilizada como assinatura eletrônica e é mantida secreta, sendo proibido seu compartilhamento;
  • Os riscos às informações da Matrix Data Center são reportados à área de Segurança e Processos;
  • As responsabilidades quanto à Segurança da Informação são amplamente divulgadas aos colaboradores, que entendem e asseguram estas diretrizes;
  • Os controles que garantam a continuidade do negócio são aplicáveis junto à infraestrutura de operações que suporta o escopo, conforme estabelecido no documento “POL A17.1.1.1 – Política de Gestão de Continuidade”;
  • Os sistemas de informação são protegidos contra software malicioso, conforme estabelecido no documento “PCS 12.2.1.1 – Procedimento contra Malware”;
  • A segurança física do ambiente é protegida através dos critérios definidos no documento “POL A11.1.1.1 – Política de Gestão de Acesso Físico”;
  • As relações com prestadores de serviços possuem contratos das atividades correspondentes. Este inclui cláusulas de garantia no uso das informações e os controles estabelecidos no documento “POL A15.1.1.1 – Política de Relacionamento na Cadeia de Suprimento”.
7.5 TRATAMENTO DA INFORMAÇÃO

A informação é considerada patrimônio valioso para a Matrix Data Center e recebe proteção adequada em observância aos princípios e diretrizes de Segurança da Informação em seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.

O usuário é responsável pelas informações confiadas a ele, portanto usa-as de forma adequada, protegendo-a contra acesso não autorizado, dano ou roubo. As seguintes diretrizes são obedecidas pelos usuários:

  • Fornecer informações somente quando necessário e certificar-se de que a pessoa esteja autorizada a recebê-las;
  • Utilizar criptografia para armazenar e transmitir informações confidenciais;
  • Verificar a autenticidade e a legitimidade dos destinatários ao enviar uma informação seja por qualquer outro meio;
  • O uso do crachá é obrigatório e em local visível, exceto aos colaboradores da Matrix Data Center. O colaborador protege seu crachá, a fim de evitar o acesso e o uso indevidos;
  • Garantir a proteção adequada das informações estratégicas da Matrix Data Center.
7.6 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Para assegurar que as informações tratadas estejam adequadamente protegidas, a
Matrix Data Center adota as seguintes políticas:

7.6.1 GESTÃO DE ATIVOS DA INFORMAÇÃO

Os ativos da informação são identificados de forma individual, inventariados e protegidos de acessos indevidos e possuem documentação.

As regras aplicadas para a gestão de ativos encontram-se disponíveis na política POL.A8.1.1.1 – Gestão de Ativos.

7.6.2 POLÍTICA MESA LIMPA E TELA LIMPA

Para a correta realização de suas atividades junto à Matrix Data Center, os colaboradores seguem obrigatoriamente as seguintes recomendações:

  • Ao final do expediente de trabalho ou em ausências, a estação de trabalho ou notebooks são desligados ou bloqueados.
  • Informações confidenciais, quando impressas, são prontamente retiradas da impressora.
  • Não manter nenhuma informação confidencial ou restrita a vista de outras pessoas nas mesas, impressoras, salas de reunião, flip chart, lousas, apresentações em salas virtuais, copas, estações de trabalho, celulares, tablets, entre outros.
  • Ao final do expediente de trabalho ou em ausências, documentos importantes são guardados em locais seguros com acesso restrito.
  • Não anotar senhas e outras informações importantes em Post-its.
  • A área de Segurança da Informação promove a adoção dessa prática e se reserva ao direito de realizar verificações espontâneas que podem culminar na apreensão temporária do equipamento irregular, bem como demais medidas educativas.
7.6.3 CLASSIFICAÇÃO DA INFORMAÇÃO

As informações são classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Restrita, Confidencial, Uso Interno, Não Classificada e Público. Para isso, são consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.

As regras aplicadas para o tratamento e classificação da informação, encontram-se disponíveis na política “POL A8.1.1.1 item Classificação da Informação” e no “Manual do Sistema de Gestão da Segurança da Informação”.

7.6.4 GESTÃO DE ACESSOS

As concessões, revisões e exclusões de acesso utilizam as ferramentas e os processos
da Matrix Data Center.

Os acessos são rastreáveis, a fim de garantir que as ações passíveis de auditoria possam identificar individualmente o colaborador, para que seja responsabilizado por suas ações.

O acesso lógico é pessoal e intransferível. Nunca compartilhe seus acessos. O acesso físico é concedido de acordo com o cargo e função do colaborador. Nunca dê “carona” a outros e nem tente acessar áreas restritas ao seu uso.

As regras aplicadas para a Gestão de Acessos Físicos e Lógicos encontram-se disponíveis nos documentos “POL A9.1.1.1 Política de Acesso Lógico” e “POL A11.1.1.1 Política de Acesso Físico”.

7.6.5 GESTÃO DE RISCOS​

Os riscos são identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação, processos, sistemas e pessoas da Matrix Data Center, para que sejam recomendadas as proteções adequadas.

A metodologia de análise de riscos encontra-se disponíveis no documento “STS 6 – Avaliação de Riscos”.

7.6.6 TRATAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Um incidente de SI é uma interrupção não planejada ou qualquer evento, que não faz parte da operação padrão de um serviço e que cause, ou possa causar uma redução na qualidade do serviço de TI.
Os incidentes de Segurança da Informação da Matrix Data Center são reportados para a área de Segurança e Processos, através dos seguintes meios de comunicação:

  • E-mail seguranca@sbaedge.com e/ou processos@sbaedge.com;
  • Abertura de chamado no Sistema de Atendimento da Matrix Data Center;
  • Por qualquer outro meio de comunicação homologados pela Matrix Data
    Center.

As orientações de como tratar um incidente encontram-se disponíveis no procedimento “PCS 16.1.1.1 – Procedimento de Gestão de incidentes”.

7.6.7 CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO

A Matrix Data Center promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.

O programa de conscientização em segurança da informação encontra-se disponível no procedimento “PCS 7.3.1.1 – Procedimento para o Programa de Conscientização da SI”.

7.6.8 AVALIAÇÃO INDEPENDENTE DA AUDITORIA

A efetividade das Políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.

7.6.9 PROPRIEDADE INTELECTUAL

As tecnologias, marcas, metodologias e quaisquer informações que pertençam à Instituição não são utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.

8. DIRETRIZES DA SEGURANÇA DA INFORMAÇÃO
  • As diretrizes da Segurança da Informação descritas abaixo são seguidas pelas partes interessadas da Matrix Data Center. O não cumprimento será considerado como não conformidade e passível de medidas disciplinares informadas neste documento e nas demais políticas que compreendem nosso SGSI.
8.1 USO DE ATIVOS

Para o colaborador qualquer ativo é mapeado, inventariado e formalizado de acordo com a classificação de sua importância para os negócios Matrix Data Center.

Os recursos de processamento de informação fornecidos pela Matrix Data Center para o colaborador só podem ser usados para realização das atividades de trabalho respeitando o perfil de acesso de cada atribuição de trabalho.

A Política de Gestão dos Ativos, tais como, uso aceitável, lista, devolução, encontra-se disponível no documento “POL A8.1.1.1 – Política de Gestão de Ativos”.

8.2 POLÍTICA DE SENHAS

Os acessos lógicos são concedidos aos usuários com base no princípio do mínimo privilégio, ou seja, somente os acessos necessários para o exercício de sua função e registrados através do Sistema de Atendimento Matrix Data Center.

O gerenciamento de senhas e acessos encontra-se no documento “PCS 9.1.1.1. – Procedimento de Gestão de Acesso Lógico”.

8.3 TRANSFERÊNCIA DE INFORMAÇÕES

As informações sensíveis ou críticas – relacionadas a projetos, processos internos, informações privadas (dados de colaboradores, clientes, terceiros ou fornecedores) ou confidenciais – armazenadas ou circuladas através de dispositivos móveis, ou dos meios de comunicação da Matrix Data Center seguem a política e diretrizes contidas no documento “POL A13.1.1.1 – Política de Segurança para Redes de Comunicações”.

8.4 USO DE DISPOSITIVOS MÓVEIS

Os usuários que possuem ou desejam usar dispositivos móveis nas dependências da Matrix Data Center, sejam eles pertencentes a esta ou próprios, mas com acesso aos recursos corporativos, seguem a política de uso de dispositivos móveis que está descrita no documento “POL A6.2.1.1 Política de Dispositivos Moveis e Trabalho Remoto”.

As partes interessadas seguem o documento RGS 5.1.1.1. – Instrução de Segurança.

8.5 TRABALHO REMOTO

Os colaboradores que trabalham ou acessam remotamente os sistemas e arquivos da Matrix Data Center utilizam o acesso remoto (VPN+MFA).

As diretrizes e políticas encontram-se no documento “POL A6.2.1.1 Política de Dispositivos Moveis e Trabalho Remoto”.

8.6 INSTALAÇÃO E USO DE SOFTWARES

Os colaboardores da Matrix Data Center utilizam equipamentos e Softwares atualizados. A Matrix Data Center mantém o controle dos softwares instalados nos seus equipamentos, bem como, as devidas atualizações.

As diretrizes e procedimentos contidos no “PCS 12.6.1.1 – Procedimento de Gestão de Vulnerabilidade Técnicas”.

8.7 GESTÃO DE VULNERABILIDADES TÉCNICAS

Os colaboardores da Matrix Data Center utilizam equipamentos e Softwares atualizados. A Matrix Data Center mantém o controle dos softwares instalados nos seus equipamentos, bem como, as devidas atualizações.

As diretrizes e procedimentos contidos no “PCS 12.6.1.1 – Procedimento de Gestão de Vulnerabilidade Técnicas”.

8.8 SEGURANÇA NAS COMUNICAÇÕES

As comunicações trafegadas na Matrix Data Center seguem diretrizes e regras para garantir a integridade, confidencialidade, legalidade e autenticidade das informações.

O documento “POL A13.1.1.1 – Política da Segurança para Redes de Comunicação” determina o gerenciamento, controle, segregação, segurança e acordo de confidencialidade por quaisquer meios de comunicação.

8.9 RELACIONAMENTO COM FORNECEDORES

O documento “POL A15.1.1.1 – Política de Relacionamento na Cadeia de Suprimento” contém as diretrizes e política no relacionamento com os fornecedores e prestadores de serviço para a Matrix Data Center.

8.10 GESTÃO DE BACKUP

Com o objetivo de garantir que as informações relevantes ao negócio estejam protegidas por meio de cópia de segurança o documento “PCS 12.3.1.1 – Procedimento de Cópias de Segurança” determina as diretrizes do processo de backup e restore da Matrix Data Center.

8.11 DECLARAÇÃO DE RESPONSABILIDADE

Os colaboradores e prestadores de serviços diretamente contratados pela Matrix Data Center aderem formalmente a um termo de aceite de ciência da Política de Segurança da Informação, comprometendo-se a agir de acordo com ela, quando necessário.

Os contratos possuem cláusula que assegure a confidencialidade das informações, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela Matrix Data Center.

8.12 MEDIDAS DISCIPLINARES

O não cumprimento desta Política de Segurança da Informação pode ser razão para a aplicação de sanções cabíveis por parte da Matrix Data Center a(s) parte(s) interessada(s). Estas sanções serão decididas em conformidade com o documento “PCS A16.1.2.1 – Procedimento e medidas disciplinares para incidentes” e chanceladas pelo Departamento Pessoal e Jurídico.

9. MATRIZ DE RESPONSABILIDADE (RACI)
10. ANEXO

Até a data de emissão deste documento não se fez necessária à inclusão de anexo.

Revisado e aprovado internamente em 08/02/2024.