Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO COMO CULTURA ORGANIZACIONAL

Entendemos que a segurança da informação é o fator principal e fundamental para a solidificação de um modelo de negócio e cultura organizacional.

Acreditamos que qualquer processo, sistema, controle e procedimento devem ser criado em torno da segurança, afinal, a informação está em toda a parte e pode ser armazenada em papéis impressos, eletronicamente em ficheiros e banco de dados, em imagens ou vídeos e até em conversas entre os funcionários.

Como cultura organizacional, a segurança deve ser adotada internamente por TODOS os colaboradores, parceiros e prestadores de serviço, e suas cadeias de relacionamento.

Todos esses esforços são destinados a proteção da informação do ecossistema Topspin Soluções de Pagamentos, e principalmente de seus CLIENTES.

 

O QUE É SEGURANÇA DA INFORMAÇÃO?

A segurança da informação é um conjunto de medidas necessárias para garantir a confidencialidade, integridade e disponibilidade das informações de uma organização ou indivíduo, de forma a preservar estas informações minimizando riscos e maximizando a proteção e a continuidade do negócio.

A Segurança da Informação é obtida a partir da implementação de um conjunto de controles, incluindo tecnologia, políticas, processos, procedimentos e a própria estrutura organizacional da empresa.

Consideramos que a informação está em toda parte, seja em base de conhecimento, conteúdos em papéis impressos, quadros, dados eletrônicos, conceitos, processos, imagens, vídeos, envio ou recebimento de mensagem, informações essas que compõem o negócio da Topspin Soluções de Pagamentos e que temos o dever de protegê-las.

 

 

 

POR QUE A SEGURANÇA DA INFORMAÇÃO É NECESSÁRIA?

Ao longo do tempo, a informação sempre foi um item de extrema importância para os negócios, por isso, todos os dados de uma empresa devem ser tratados com muito cuidado, principalmente nessa era tecnológica, na qual o acesso a conteúdos está cada vez mais rápido e facilitado para todos.

 

Para que um negócio possa crescer de forma sustentável, deve-se garantir a proteção necessária e assegurar os melhores resultados em segurança da informação para o seu empreendimento e seus clientes.

A confidencialidade de informações do negócio, clientes e usuários, definidas por uma cultura de segurança da informação, assegura a imagem, confiança, e a existência de uma organização, por esse motivo temos a segurança da informação como requisito fundamental para nosso negócio.

Desta forma, o principal objetivo deste documento é estabelecer as orientações necessárias a todos os membros de nossa equipe, os cuidados a serem observados em todos os aspectos onde abrangem a informação, estabelecer, manter e melhorar os padrões de segurança sobre nossas informações.

 

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Política de Segurança da Informação da Topspin Soluções de Pagamentos tem como objetivo a preservação e o sigilo de dados, materiais, processos e procedimentos de nossa organização e de nossos clientes, assim como a orientação e o aperfeiçoamento técnico desse quesito a todos os colaboradores baseados nos seguintes atributos:

Confidencialidade: garantir que apenas pessoas autorizadas tenham acesso à informação, ou seja, não permitir a disponibilização a indivíduos não autorizados internamente ou externamente. As informações dos clientes da Topspin Soluções de Pagamentos só poderão ser acessadas completamente pelos próprios clientes.

Integridade: preservar as características originais da informação e dos métodos de processamento.

Disponibilidade: permitir que os usuários autorizados pelo proprietário da informação possam acessá-la sempre que necessário, seja clientes, associados e colaboradores, atendendo sempre a confidencialidade e integridade da informação.

APLICABILIDADE DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A política de Segurança da Informação deverá ser seguida por TODOS os colaboradores, parceiros e prestadores de serviço da Topspin Soluções de Pagamentos, independentemente de seu nível hierárquico, relação contratual ou área e são aplicáveis a todo tipo de informação da empresa, seja ela através de papéis impressos, quadros, dados, mídias eletrônicas e físicas, banco de dados, seja em imagens, vídeos e até por transmissão verbal.

 

CLASSIFICAÇÃO DA INFORMAÇÃO

Determinamos que a informação é classificada de acordo com o seu conteúdo, onde a segurança empregada será de acordo com sua classificação, e mediante a essa classificação definimos quais controles de proteção precisam ser implementados.

Níveis de classificação da informação em ordem crescente de importância e sigilo:

1 - PÚBLICAS: são todas as informações de nível 1, que sejam de conhecimento público e estejam disponibilizadas para Clientes, Colaboradores e Público em Geral através da Internet, aplicativos (GR Direct) ou divulgadas em documentos publicados em redes sociais, outdoors, folders, avisos ou palestras autorizadas(GR Experience). Somente a Área de Marketing e T.I. poderá publicar informações públicas sobre a empresa ou “em nome da Topspin Soluções de Pagamentos”, bem como definir e orientar porta-vozes do negócio.

2 - INTERNAS: são informações de nível 2, disponíveis internamente aos colaboradores por meio das ferramentas pré-estabelecidas e aprovadas, com armazenamento sistêmico interno, em servidores da Topspin Soluções de Pagamentos, ou prestadores de serviço e consultores autorizados. Informações de nível 2, (internas) não poderão ser compartilhadas, enviadas, publicadas ou divulgadas externamente para terceiros não autorizados, seja qual for o meio de comunicação, ficando restrita a circulação dessas informações apenas internamente, no meio de trabalho da Topspin Soluções de Pagamentos e aos colaboradores de acordo com a classificação.

3 - RESTRITAS: as informações de nível 3, somente poderão ser acessados pela área, departamento, setor ou função que classificou a Informação (destinou á alguma área específica ou á algum cargo na hierarquia por exemplo).

4 - CONFIDENCIAL: as informações de nível 4 são todas as informações que deverão ser aplicadas uma atenção maior ao serem mantidas e arquivadas, e não devem ser compartilhadas ou colocadas à disposição de pessoas não autorizadas, como por exemplo, dados de clientes, acessos e senhas, dados  financeiros, salários, código fonte, informações sensíveis de usuários entre outras. De acordo com o tipo e o meio de informação, deverão ser arquivadas de modo adequado, com segurança compatível empregada à relevância da informação. Se a informação estiver contida em arquivos físicos, tal informação deverá ser mantida e arquivada em locais adequados ao nível de segurança e classificação, como por exemplo armários e gavetas com chaves e cofres. Se a informação estiver contida em arquivos digitais e eletrônicos, então deverá ser empregado à informação os mecanismos de segurança como senhas e criptografia e arquivados em discos criptografados.

 

5 - SECRETAS: as informações de nível 5 possui o mais alto nível de criticidade e atenção. Contas de Clientes e credenciais de acesso são um exemplo de informações secretas.

Informações em que seu possível vazamento implica em impacto financeiro direto ao clientes ou ao negócio ou ponha em risco a continuidade dos negócios é um indício para que ela receba a classificação máxima de proteção.

Informações digitais com essa classificação deverão ser armazenadas em discos criptografados, junto da criptografia de arquivo. Se estiver contido em arquivos físicos o armazenamento se dará semelhante ao

do item 4.

A classificação dos documentos deverá ocorrer em campo visível, preferencialmente na primeira página e próximo ao cabeçalho do Documento. Caso a informação tiver mais de uma classificação, passa a valer o de maior valor, e caso a informação não tenha uma classificação atribuída, automaticamente ela será considerada como restrita.

 

ATRIBUIÇÃO INICIAL DA CLASSIFICAÇÃO À INFORMAÇÃO

Os acessos serão definidos pelo colaborador que criar a informação, assim como os níveis de permissão e formas de proteção de acordo com a classificação da informação.

O colaborador que produzir ou primeiro manipular a informação será denominado como criador/autor da mesma, e será o responsável pela sua classificação, nível de permissão de acesso e armazenamento, de acordo com as recomendações desse documento.

A área de Tecnologia da Informação é a provedora dos recursos e meios de armazenamentos seguro dessas informações, assim como as ferramentas de controle de acesso, proteção e criptografia.

 

PUBLICAÇÃO DE INFORMAÇÕES ABERTAS

Somente os gestores da Topspin Soluções de Pagamentos, com assessoria da área de Marketing, poderão classificar informações como públicas para divulgação externa.

 

DESCARTE DE INFORMAÇÃO

As informações classificadas como confidenciais ou restritas devem ser descartadas de modo especial.

O descarte de informações, armazenadas em meio físico ou eletrônico, deverá ser realizado segundo o procedimento de descarte aplicável para garantir que a informação descartada não possa ser recuperada de qualquer forma.

Todas as informações impressas deverão ser trituradas antes de seu descarte e informações eletrônicas deverão ser deletadas mediante o uso de ferramentas apropriadas ao descarte de dados (NIST 800-88 Data Sanitization).

 

EXTRAVIO DE INFORMAÇÃO

Qualquer evento de perda, extravio ou roubo de informações, devem ser reportados IMEDIATAMENTE por meio do email: security@topspinsolucoes.com.

 

DO USO DAS FERRAMENTAS CORPORATIVAS

A Topspin Soluções de Pagamentos poderá fornecer ao colaborador contas de correio eletrônico e outras ferramentas para a execução do trabalho ou utensílios como gavetas, e armários ou como quaisquer dispositivos físicos ou lógicos.

O uso destas ferramentas estará sujeito a esta política de segurança da informação e restrições de acesso, de acordo com o nível de acesso deliberado ao usuário.

Como política de nível de acesso à informação, utilizamos a premissa de “menor privilégio possível”. O colaborador somente terá acesso aos aplicativos e informações que forem estritamente necessários para a realização do seu trabalho.

É proibido o uso de qualquer recurso corporativo, computadores, redes, acessos bem como quaisquer meios de comunicação corporativas para a prática de qualquer ato ilícito sob pena de responsabilidades civis ou até criminais.

 

ACESSO E USO DA INTERNET

A Topspin Soluções de Pagamentos poderá permitir a navegação em sites de conteúdo e acesso à Internet, sempre de acordo com a sua política de segurança da informação e bloqueios de sites classificados como inseguros ou não confiáveis.

É proibido a transferência de arquivos por meio de qualquer protocolo, aplicativo ou ferramenta que não forem previamente e explicitamente aprovados pela área de TI da Topspin Soluções de Pagamentos.

Essa aprovação é, na verdade, uma análise de segurança da ferramenta e do fornecedor do produto, a fim de garantirmos que somente ferramentas e fabricantes que possuam alta maturidade em segurança da informação, proteção de dados e políticas claras de privacidade sejam incorporados à lista de ferramentas e fornecedores aprovados, isso evita vulnerabilidades por meio de ferramentas não seguras e não testadas.

Não será permitida a instalação de softwares não homologados pela área de TI.

 

E-MAIL / CORREIO ELETRÔNICO

O correio eletrônico da Topspin Soluções de Pagamentos, é uma ferramentas de trabalho, não devendo ser utilizado para outros fins.

As informações contidas nas mensagens eletrônicas são de propriedade da Topspin Soluções de Pagamentos podendo ser monitoradas a qualquer tempo sem aviso ou notificação prévia para fins de auditoria de conformidade às normas internas.

É proibido o envio de informações internas, confidenciais e sigilosas para endereços de e-mail fora do domínio topspinsolucoes.com exceto para terceiros (clientes, fornecedores ou prestadores de serviço) diretamente envolvidos no assunto tratado.

 

SENHAS DE ACESSO

A senha de acesso aos sistemas e ao ambiente computacional da Topspin Soluções de Pagamentos é de inteira responsabilidade do colaborador que não deverá compartilhar ou emprestar a outros colaboradores e terceiros em hipótese alguma.

Os usuários deverão utilizar senhas “fortes”, misturando letras maiúsculas e minúsculas (sensitive case) e números, em todos os sistemas, para reforçar o nível da senha.

Toda ação feita, dentro ou fora do ambiente computacional da Topspin Soluções de Pagamentos, será de responsabilidade do colaborador em que tiver suas credenciais de acesso associadas a tais ações.

 

AUTENTICAÇÃO DE MULTI FATOR (DOIS FATORES)

É obrigatório o uso de autenticação multi-fator (2FA ou MFA; Two factor Authentication ou Multi-Factor Authentication) para TODOS os serviços internos onde a opção estiver disponível.

 

ACESSO REMOTO

Os colaboradores mediante aprovação explícita dos seus gestores diretos, poderão obter acesso remoto ao ambiente computacional e sistemas da Topspin Soluções de Pagamentos. Para isso, é necessário o preenchimento do formulário de comodato de equipamentos corporativos que indica a vigência inicial e final do acesso, sua necessidade e níveis de acesso externo. Esse processo deve usar equipamentos corporativos fornecidos pela Topspin Soluções de Pagamentos. A conexão será estabelecida por meio de VPN corporativa privada.

 

MESA LIMPA

Todos os colaboradores deverão obedecer as regras de limpeza e organização do ambiente de trabalho a fim de não expor documentos com informações confidenciais.

Os documentos impressos e/ou anotações que precisem estar em um papel (impresso ou anotações) devem permanecer nas mesas por um período temporário devendo ser recolhidos e guardados em compartimentos fechados disponíveis em seu departamento ou qualquer dependência da empresa que forneça segurança e proteção a esses materiais, lembrando que toda informação que permanecer nas mesas poderá e deverá ser destruída pelo colaborador responsável.

Esta regra vale para o ambiente de trabalho, incluindo mesas, gavetas, balcões, arquivos e lixo.

 

REDES SOCIAIS

É proibido qualquer comunicado emitido por qualquer colaborador, seja opinião ou comentário em nome da Topspin Soluções de Pagamentos sem a expressa aprovação e alinhamento com a Diretoria e a área de Marketing e Comunicação.

As interações, réplica aos comentários feitos por terceiros sobre a empresa e afins, só podem ser feitas pelas áreas específicas de Marketing e gestão de mídias sociais.

 

SOFTWARE, APPS E PLUGINS

NÃO É PERMITIDO a instalação de softwares não aprovados pela área de TI em quaisquer dispositivos internos da Topspin Soluções de Pagamentos, que inclui: computadores, notebooks e dispositivos portáteis como tablets e celulares.

A maioria das ferramentas necessárias para atender as demandas do negócio já são previamente instaladas em todos os dispositivos corporativos pela Área de TI.

 

POSTURA GERAL DE PRIVACIDADE

Todo e qualquer acesso aos sistemas internos devem ter como justificativa um objetivo e propósito real de negócio.

É definitivamente proibido o acesso a quaisquer informações de clientes, colaboradores ou quaisquer dados e registros nos sistemas de informação da Topspin Soluções de Pagamentos sem um propósito claro de negócio, e ligado diretamente ao exercício das funções atribuídas na relação de trabalho entre o colaborador e a empresa.

É definitivamente proibido o acesso à dados de contas de pessoas públicas, parentes, amigos ou qualquer outro cliente por mera curiosidade, sem que haja um propósito de negócio e principalmente, um chamado relacionado ao caso. Caso precise aprovar um resgate em sua própria conta por exemplo, ou qualquer outro tipo de incidente, abra um chamado e peça que um colega faça a aprovação para você.

 

MONITORAÇÃO

A Topspin Soluções de Pagamentos se reserva ao direito de monitorar toda e qualquer atividade feita pelos seus colaboradores em seus sistemas de informação e dispositivos para garantir o cumprimento desta e outras políticas da empresa.

 

ACESSO AO ESCRITÓRIO E ESCOLTA DE VISITANTES

NÃO será autorizado o acesso ao nosso escritório por pessoas DESACOMPANHADAS, um colaborador sempre deverá acompanhar o visitante DESDE a chegada e a entrada no escritório.

Para colaboradores ou consultores externos que trabalhem dois dias ou mais por semana no escritório, iremos liberar o acesso sem escolta.

A porta eletrônica principal DEVE PERMANECER SEMPRE FECHADA, mesmo para entradas e saídas rápidas do escritório. Antes de abrir a porta, sempre OBSERVE com cuidado QUEM está no hall dos elevadores, na parte externa do escritório. Se houver presença de estranhos NÃO abram a porta, retornem a recepção e aguarde alguns minutos antes de retornar ao andar.

Os pontos chaves desse capítulo são:

- A recepção INTERNA não deve abrir a porta eletrônica para dar acesso ao escritório à pessoas externas;

- Todos os visitantes devem ser acompanhados DESDE a recepção da empresa;

- Não autorizamos que visitantes SUBAM ao nosso andar sem a autorização e acompanhamento de um colaborador;

- Não atendemos clientes da Topspin Soluções de Pagamentos em nosso escritório;

- A porta eletrônica somente deverá ser aberta após a verificação de que estranhos não estão nas dependências da Empresa.

 

GRAVAÇÃO DE CONTEÚDO AUDIOVISUAL NAS DEPENDÊNCIAS DA EMPRESA

Eventualmente as áreas de negócios da empresa poderão fazer gravações de áudio e vídeo dentro de suas dependências.

As seguintes recomendações e obrigações deverão ser observadas durante esses eventos:

Os profissionais que farão a captação do conteúdo, quando forem colaboradores da empresa, junto do colaborador da área cliente do trabalho, serão os responsáveis pela observação de qualquer informação confidencial como telas, documentos, anotações, quadros, garantindo que essas informações não sejam capturadas pelas fotos ou vídeos realizados dentro de nossas dependências.

Quando os profissionais que farão a captação do conteúdo não forem colaboradores diretos da empresa, deverão estar sob a supervisão direta durante toda a permanência na empresa de pelo menos um colaborador da área cliente do trabalho;

Os profissionais responsáveis pela captação, sejam colaboradores da empresa ou não, deverão revisar e ofuscar qualquer conteúdo que for observado durante a edição do material e a área contratante deve sempre revisar a versão final da produção audiovisual para assegurar que informações confidenciais não tenham acidentalmente sido capturadas nas imagens.

 

VIOLAÇÃO DAS POLÍTICAS

A violação desta política poderá acarretar em sanções administrativas e/ou legais, inclusive com rescisão do contrato de trabalho e/ou qualquer outro contrato de relacionamento de prestação de serviço entre o colaborador, associado, consultor e/ou sócio, assim como qualquer entidade com relação contratual direta ou indireta com a Topspin Soluções de Pagamentos.

A observação do descumprimento desta política deve ser imediatamente reportada por meio do e-mail: security@topspinsolucoes.com

© 2017 Fintech TopSpin