1. OBJETIVO

O objetivo principal da criação desta política é garantir aos utilizadores a qualidade da informação e o acesso à mesma que se requer para o desempenho, assim como evitar perdas de informação e acessos não autorizados à mesma.

2. ABRANGÊNCIA

Este documento aplica-se a todos os fornecedores e parceiros da JB3.

3. VIGÊNCIA

Esta Política passa a vigorar a partir da data da sua publicação.

4. DEFINIÇÕES

Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações.

5. DOCUMENTOS RELACIONADOS

• MAN.001 – Manual do SGSI
• POL.001 – Política de Segurança da Informação
• POL.004 – Política de Desenvolvimento Seguro

6. DIRETRIZES

6.1. Geral

Os terceiros prestadores de serviços/fornecedores devem cumprir com todos os requisitos da legislação aplicáveis, e devem comprometer-se a seguir integralmente os itens a seguir:

• Assegurar a confidencialidade, integridade e disponibilidade das informações da organização, mediante utilização de mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
• Garantir a proteção adequada das informações e dos sistemas contra acesso indevido, cópia, leitura, modificação, destruição e divulgação não autorizados;
• Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela organização, estando sujeitos à monitoração, rastreabilidade e auditoria;
• Assegurar a participação do quadro de pessoal da organização no Programa de Conscientização em Segurança da Informação;
• Assegurar a existência de processos para continuidade de negócios e gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra ataques cibernéticos;
• Garantir o cumprimento desta Política, Procedimentos e Padrões de Segurança da Informação e Privacidade da JB3;
• Garantir que todos os incidentes de segurança da informação e/ou suspeitas de fraquezas serão reportados e tratados;
• Identificar os riscos de segurança da informação, que permanentemente serão avaliados, controlados e se possível reduzidos;
• Atender às leis que regulamentam as atividades da JB3 e seu mercado de atuação;
• Prestadores de serviço/fornecedores classificados como críticos devido a armazenamento e/ou processamento de dados pessoais de clientes, funcionários, financeiro ou prestação de serviço com alto impacto no serviço fornecido pela JB3 devem passar por processo de qualificação de Segurança da Informação na pré-contratação ou contratação;
• A qualificação deve ser revalidada a cada 2 anos junto a um Analista de Segurança da Informação.

6.2. Responsabilidades específicas

6.2.1. Conscientização Sobre Segurança da Informação

A educação em segurança da informação deve ser um processo contínuo e praticado regularmente a fim de reduzir riscos. Todos os colaboradores do fornecedor de serviços que tenham acesso aos sistemas de informação devem anualmente participar de um programa de conscientização em segurança da informação.

6.2.2. Acordos de confidencialidade

Contratos de não-divulgação firmados pelos funcionários e contratados devem permanecer em vigor após a rescisão ou mudança na relação trabalhista.

6.2.3. Classificação da Informação

Os dados devem ser classificados com base nas exigências de confidencialidade, integridade e disponibilidade das informações. O devido conjunto de medidas para a identificação de tratamento da informação deve estar definido e implementado.

6.2.4. Tratamento de Mídia

O fornecedor de serviços deverá estabelecer um procedimento seguro para o tratamento das mídias (discos rígidos internos/externos, drives de memória etc.), considerando o descarte de forma a fim de prevenir a divulgação não autorizada de dados.

6.2.5. Controle de Acesso

O acesso aos ativos deve ser gerenciado pelo proprietário dos ativos. Em particular, as normas de controle de acesso devem ser estabelecidas, documentadas e revisadas periodicamente, de forma a refletir a realidade de acessos pertinentes.

O acesso aos dados, sistemas e aplicativos deve ser controlado por um procedimento seguro de autenticação.

Os processos de gestão de acesso de usuário devem ser definidos e formalizados, incluindo as etapas de provisionamento, alteração e exclusão. O acesso de usuário deve ser atribuído conforme necessário.

O processo deve garantir a responsabilização pelas ações de gestão de acesso de usuário. Revisões formais de direitos de acesso de usuário devem ser realizadas periodicamente, dependendo da criticidade do ativo, a fim de identificar qualquer acesso não autorizado e garantir a devida segregação de atribuições.

6.2.6. Política mesa e tela limpa

Deve ser estabelecida uma política de mesa e tela limpa nas instalações de processamento de informações, levando com conta as classificações de informação, a disponibilidade e integridade das informações, as exigências legais e contratuais e os riscos presentes nas circunstâncias concretas.

6.2.7. Segurança de Serviços de Rede

Cada serviço de rede, seja local ou terceirizado, deve incluir mecanismos de segurança (proteção, detecção e reação) adaptados à sensibilidade dos dados sendo transmitidos. Esses mecanismos de segurança devem ser implementados na rede ou diretamente nos sistemas, aplicativos, estações de trabalho e/ou banco de dados.

Todas as transferências de dados devem ser realizadas por ferramentas explicitamente validadas por equipe tecnicamente qualificada à escolha e responsabilidade do fornecedor.

6.2.8. Trabalho Remoto

Deve ser estabelecido uma política de trabalho remoto, visando assegurar a confidencialidade, a integridade e a disponibilidade das informações tratadas fora do ambiente de trabalho.

6.2.9. Backup de Informações e Sistemas

As políticas de backup e restore devem ser definidas para os dados, software e sistemas que tratam dados.

6.2.10. Relações com Terceiros

Os serviços entregues por terceiros devem seguir as diretrizes estabelecidas nesta política, sendo de total responsabilidade do fornecedor de serviços a garantia pelo cumprimento dos serviços e de todas as obrigações contratuais e legais.

6.2.11. Aquisição, Desenvolvimento e Manutenção de Sistemas

Todos os fornecedores de softwares, desenvolvimento ou manutenção de sistemas, além desta Política, devem seguir as diretrizes da POL.004 – Política de Desenvolvimento Seguro.

Sempre que o fornecedor de serviços iniciar um novo projeto de TI ou mudança substancial em sistema de informação existente, recomendamos que os itens obrigatórios de segurança sejam documentados.

6.2.12. Gestão de Incidentes

Os incidentes de Segurança da Informação devem ser identificados e gerenciados por processos consistentes, disciplinados e compartilhados.

No caso de um incidente de Segurança da Informação, a equipe responsável do fornecedor deve realizar a pronta comunicação e a coordenação do esforço coletivo até que o incidente seja declarado encerrado.

Assim que identificados, o mais rápido possível, todos os incidentes de segurança devem ser notificados e comunicados ao Analista de Segurança da Informação da JB3.

6.3. Observância de Leis e Normas

As atividades da empresa devem garantir a observância das obrigações contratuais para assegurar que as devidas exigências de segurança sejam levadas em conta em seus processos.

Aos fornecedores que tratam dados pessoais, a JB3 deve garantir que os dados pessoais sejam gerenciados de acordo com a Lei 13709 de 14 de agosto de 2019 – Lei Geral de Proteção de Dados Pessoais, quando nenhuma outra orientação for passada.

As atividades do fornecedor de serviços devem garantir a observância das obrigações estatutárias e regulatórias para assegurar que as devidas exigências de segurança sejam levadas em conta em seus processos. Todas as exigências legais, estatutárias e regulatórias relevantes devem ser explicitamente definidas e documentadas.

6.4. Violações

Qualquer evento que resultar em roubo, perda, uso não autorizado, divulgação não autorizada, destruição não autorizada, ou ainda, serviços degradados ou recusados de ativos da informação, implica uma violação da Segurança da Informação.

No caso de violação desta política ou das demais políticas relacionadas à segurança da informação, a JB3 poderá advertir o fornecedor, podendo até rescindir o contrato.