P01 – Política de Segurança da Informação

Versão: 6.0
Data da publicação: 12 de maio de 2023

Nível de Sigilo:

Documento Público.

Propriedade Intelectual:

Este documento inclui informação sigilosa e de propriedade restrita da VATI (BCA Produções), e apenas pode ser lido por aqueles que tenham permissão explícita. Se você teve acesso inadvertido a este documento, por favor, avise-nos imediatamente. Este documento não pode ser reproduzido, copiado, distribuído, publicado ou modificado por terceiros sem a autorização por escrito da VATI (BCA Produções).

Introdução

A VATI   

A empresa “BCA Produção e Distribuição de Filmes Ltda” tem como nome fantasia “Vati Talents and Tools For Marketing Execution” e é conhecida como VATI. Todos os documentos do SGSI usam o nome “VATI” para representar a “BCA Produção e Distribuição de Filmes Ltda”.

A VATI é uma empresa de médio porte, focada na prestação de serviços de produção e entrega de material publicitário. A empresa atende a alguns dos maiores anunciantes do país em diversos segmentos como varejo, telefonia, produtos de consumo e automobilístico, produzindo filmes para TV e internet, material gráfico, digital entre outros. A empresa é reconhecida no mercado por seu alto nível tecnológico, e por diversas inovações introduzidas no mercado publicitário brasileiro.

Objetivo

A política corporativa VATI visa uniformizar o comportamento e os procedimentos para todas as partes interessadas. 

A Direção da empresa determina que seus colaboradores, parceiros e fornecedores conheçam, entendam, participem e sigam as políticas definidas, acordadas e aprovadas por ela. As obrigações dos colaboradores, parceiros e fornecedores são acordadas em contratos assinados entre as partes, bem como as penalidades por não cumprimento. 

A informação é um ativo da organização muito importante para o desenvolvimento dos seus negócios e que precisa ser bem protegida. Assim, a empresa adotou um Sistema de Gestão da Segurança da Informação (SGSI), que significa uma gestão de riscos contínua e dinâmica, com definições, procedimentos, mapeamento constante de vulnerabilidades, ações, controles e que permite manter a confiança entre as partes interessadas. 

O SGSI cobre as temáticas da confidencialidade, integridade e disponibilidade das informações envoltas nas atividades e processos internos da empresa e portanto, requer que a Segurança da Informação seja integrada nos projetos, nos processos, controles e sistemas de informação, como:

  • Confidencialidade – Referenciada como proteção na autorização restrita ao acesso e revelação, incluindo técnicas para proteção da privacidade pessoal e informações proprietárias;
  • Integridade – Proteger contra modificação da informação de forma imprópria ou sua destruição e garantir a informação quanto a autenticidade e o não-repúdio (prova de autenticidade identificando dados e origem dos dados – impede omissão/negação de autenticidade/autoria da informação fornecida); 
  • Disponibilidade – Garantia do acesso confiável e no momento solicitado, de uso da informação.

Abrangência

Esta política se aplica a todas as partes interessadas que participam de nossos processos de trabalho. Ela foi elaborada pautada nas leis brasileiras, porém não se aplicam apenas ao território brasileiro, também se aplicam no exterior (em viagens de nossos colaboradores), limitadas pelas leis locais de cada país.

D01 – Diretrizes do SGSI

Este documento estabelece as diretrizes estratégicas de segurança da informação que devem ser atendidas pelo SGSI, incluindo contexto, partes interessadas, requisitos, a organização do sistema e sua política de revisão.

Partes interessadas

A lista de partes interessadas compreende as partes internas e externas à VATI que estão envolvidas com o SGSI. É importante que estas partes sejam consultadas e/ou comunicadas sobre os controles aplicáveis a cada uma respectivamente, de maneira a suprir ao máximo as necessidades dos vários envolvidos. 

Partes internas VATI:

  • Direção da empresa: compreende a alta gestão da empresa, responsáveis pelo planejamento estratégico e condução da empresa.
  • Departamento de Operações: equipe de produção diretamente envolvida na disponibilização de produtos e serviços para clientes. 
  • Departamento Administrativo: pessoal de backoffice da empresa, exercendo as funções de administração, financeiro, recursos humanos, e serviços gerais.. 
  • Departamento de Tecnologia: equipe responsável pela infraestrutura e sistemas da empresa, como rede, email e, entre outras coisas, a própria segurança da informação. 

Partes externas:

  • Clientes: é uma pessoa ou organização que recebe um produto ou serviço destinado ou solicitado por ela.
  • Parceiros: fazem uso das imagens produzidas pela VATI para compor os diversos materiais publicitários da marca.
  • Fornecedores: empresas responsáveis pelo fornecimento de produtos e serviços para a VATI.
  • Ambiente Legal: o SGSI deve submeter-se às leis vigentes no país onde opera a empresa e, portanto, seu desenvolvimento deve considerar todos os impactos legais dos controles.

D02 – Escopo do SGSI

Para que seja implementado com eficiência, de maneira a cobrir com os níveis adequados às diferentes partes da empresa, é importante que esteja bem definido o escopo do SGSI. Este documento descreve os limites de abrangência do SGSI.

Escopo do SGSI

Aplica-se a todas as “partes interessadas”, conforme definido no documento D01 – Diretrizes do SGSI, que tenham acesso às informações da VATI, onde quer que estejam alocados e independentemente do método de armazenamento ou acesso. 

Escopo específico – TISAX

Conforme entendimentos entre clientes e VATI, quando formalizado através de contrato, deve ser determinado quais ativos são confidenciais e precisam ser tratados seguindo os requisitos presentes no catálogo da TISAX VDA/ISA.

D03 – Plano de Implementação do SGSI

Como o SGSI é um sistema em constante evolução, é importante que seja feito um controle rigoroso do status de implementações mapeadas por: análises críticas, auditorias internas e externas.Uma planilha D03_R01 – Plano de Implementação do SGSI é utilizada para controlar as tarefas, com descritivo, responsáveis, datas e status.

D04 – Organização do SGSI

Descreve a forma, localização, direitos de leitura e alteração dos documentos que fazem parte do SGSI da VATI.  A implementação de um Sistema de Gestão da Segurança da Informação (SGSI) implica na geração de uma grande quantidade de documentos e evidências que devem ser armazenados de forma segura e distribuídos seletivamente entre as pessoas envolvidas. Um padrão bem definido de organização destes arquivos é fundamental para dar agilidade e segurança ao processo de implementação de manutenção do SGSI.

D05 – Diretrizes de Classificação dos Ativos de Informação

Define os níveis de classificação da informação, os critérios de classificação e como rotular as informações. A classificação da informação define os critérios para disciplinar o acesso e a divulgação das informações da Organização.

Critério de Classificação do Ativo 

Os ativos podem ser classificados como público, interno, restrito e confidencial, conforme seu nível de confidencialidade e sigilo de acesso à informação.

A classificação estabelece o tipo de tratamento, acesso, transporte, armazenamento e cuidados que estes ativos devem sofrer durante o seu processamento na VATI e na troca de informações com o cliente.

Público – Informações divulgadas na mídia ou explicitamente definidas como não tendo nenhum nível de sigilo. Isso significa que não gera impacto quanto a publicação externa. Porém a segurança da informação também deve garantir integridade e disponibilidade deste ativo de informação.

Interno – Informações de propriedade da Vati e seus clientes, que somente devem ser compartilhadas internamente ou com terceiros nas situações necessárias para execução da atividade fim.

Restrito – Informações de propriedade de departamentos específicos da Vati, não acessíveis nem mesmo a outros departamentos da empresa. Estas informações não podem ser divulgadas para colaboradores internos ou externos fora do departamento restrito onde ela é processada.

Confidencial – O nível mais alto de confidencialidade, com controles específicos adicionais e compartilhadas apenas com as partes estritamente necessárias. Estas informações não podem ser divulgadas para colaboradores internos ou externos fora do departamento confidencial onde ela é tratada.

D06 – Diretrizes de Gestão de Risco

Estabelece os critérios e metodologia de análise de impacto de negócios (BIA) em conjunto com a avaliação de riscos, servindo como direcionador para ações de gerenciamento dos riscos e plano de continuidade de negócios. 

Sínteses de Implementação

P02 – Política de Gestão de Novos Projetos

Estabelece diretrizes de segurança da informação para a execução de projetos na VATI, aplicados para clientes que tenham requisitos específicos de segurança da informação, levando-se em conta o que está definido nas diretrizes D02 – Escopo do SGSI e D05 – Diretrizes de Classificação dos Ativos de Informação.

P03 – Política de Uso de Serviços de Cloud

Descreve os serviços permitidos e não permitidos em Cloud Computing e como trabalhar de forma segura na nuvem. Esta política se aplica à área de Infraestrutura de TI e a todos colaboradores, os prestadores de serviço temporários ou não, subcontratados e parceiros que possuem ou irão possuir acesso direto ou indireto às informações da empresa e de seus clientes.   

P04 – Política de Contratação de Serviços

Estabelece regras para a contratação de fornecedores e fornecimento de produtos e serviços à VATI atendendo aos requisitos de Segurança da Informação. A VATI cuida que todos os requisitos de segurança da informação sejam acordados em toda a cadeia de suprimento de produtos e serviços de tecnologia da informação, e documentados de forma a mitigar os riscos associados com o acesso dos mesmos aos ativos da organização. A VATI monitora, analisa criticamente e audita, em intervalos regulares, a entrega dos serviços executados e os acordos contratuais em toda a cadeia de suprimentos.

P05 – Política de Treinamento de SGSI

Estabelece critérios e diretrizes para capacitação de colaboradores com a realização de treinamentos e conscientização em Segurança da Informação. Os treinamentos devem estar alinhados com a estratégia da empresa, considerando as informações a serem protegidas e controles implementados, através de atividades regulares considerando os diferentes papéis e responsabilidades a serem desempenhados nas várias áreas da empresa. Esta política se aplica a todos os colaboradores da empresa, independente da forma de contratação.

P06 – Política de Arquitetura de Rede e Servidores

Estabelece a segregação das redes virtuais protegendo as áreas confidências de outras áreas da organização, também o isolamento dos servidores que armazenam os arquivos e projetos das áreas confidenciais, a forma de acesso à internet e controles de segurança, além de definir o SLA de atendimento dos prestadores de serviços. Esta política se aplica à área de Infraestrutura de TI e a todos colaboradores, os prestadores de serviço temporários ou não, subcontratados e parceiros que possuem ou irão possuir acesso direto ou indireto às informações da empresa e de seus clientes.   

P07 – Política de Gestão de Mudanças

Estabelece as regras para as mudanças na organização, visando assegurar que toda alteração em ambiente produtivo seja planejada, registrada, analisada, autorizada, implementada e documentada.

Esta política se aplica a todos os tipos de mudanças na organização, nos processos de negócio e nos sistemas de tecnologia, que envolvam infraestrutura tecnológica ou física. Podendo ser originadas por uma nova proposta, um novo cliente, alterações de layout, mudanças de processos de forma ampla, melhorias em softwares que requerem desenvolvimento, customização de software para novos clientes, chamados ou incidentes.

P08 – Política de testes de segurança

O SGSI da Vati é revisto anualmente para garantir sua eficácia. Isto inclui a verificação da realização dos objetivos e do cumprimento dos requisitos aplicáveis. A avaliação da eficácia do SGSI é validada por auditorias internas e externas a intervalos regulares ou em caso de alterações significativas. Para garantir a disponibilidade, confidencialidade e integridade dos sistemas de TI, atividades de auditoria técnica são planejadas e acordadas entre os envolvidos de forma a evitar perturbações no ambiente de produção.

P09 – Política de Gestão de Incidentes

Assegura um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, com responsabilidades e ações para obtenção de respostas rápidas a eventos relatados. 

A Vati estabelece responsabilidades e procedimentos para tratamento dos incidentes de segurança da informação de forma a assegurar respostas rápidas, efetivas e ordenadas de eventos relatados através dos canais de gestão. 

As partes interessadas são orientadas a notificar e registrar quaisquer fragilidades, observadas ou suspeitas, nos sistemas ou serviços. 

Todos os eventos são avaliados e classificados. Incidentes são reportados de acordo com os procedimentos documentados e os conhecimentos adquiridos da análise e resolução dos incidentes são usados para reduzir a probabilidade ou impacto de incidentes futuros. Esta política se aplica a todas as áreas e colaboradores da VATI.  

Gestão de incidentes

A Vati possui um canal dedicado a incidentes para toda interrupção ou falha não planejada de um serviço, a redução da qualidade neste serviço ou a falha da configuração, todos incidentes devem ser reportados formalmente para o e-mail suporte@vati.rocks.

Em casos de incidentes que comprometam a segurança de ativos da informação, principalmente sob o aspecto de confidencialidade, os incidentes devem ser reportados no e-mail seguranca@vati.rocks.

P10 – Política de Privacidade

Garantir a conformidade com as leis vigentes do país, cumprindo com todos os requisitos para a proteção dos dados pessoais dos titulares, garantindo medidas de proteções organizacionais e técnicas que possam dar segurança no tratamento e privacidade em todo o ciclo de vida dos dados. Esta Política de Privacidade se aplica a todas as Partes Interessadas que venham fazer algum tipo de tratamento de dados pessoais de pessoa natural (pessoa física), de nossos clientes, fornecedores ou colaboradores.

A VATI respeita a privacidade dos dados pessoais dos titulares: nossos clientes, fornecedores, colaboradores e visitantes. Na qualidade de Controlador garantimos a segurança, privacidade e confidencialidade dos dados pessoais dos titulares que se relacionam conosco, em conformidade com a Lei Federal n. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, conhecida como LGPD.

P11 – Política de trabalho remoto

Estabelece as regras para o acesso remoto através de ativos, recursos computacionais e/ou serviços de informação da VATI, garantindo níveis adequados de proteção aos mesmos para o desempenho de atividades profissionais. 

Esta política se aplica a todas as Partes Interessadas que realizem acesso remoto através de ativos, recursos computacionais e/ou serviços de informação da VATI.

A Vati regulamentou o teletrabalho através de aditivo aos contratos para todos os colaboradores e implementou requisitos de segurança de forma a manter a segurança dos ativos de informação.

P12 – Política de Controle de Acesso Digital

Estabelece diretrizes para a gestão de acesso aos sistemas da organização, definindo  um padrão mínimo de controle de acesso que resguarde de acessos não autorizados ou de pessoas que já não possuem vínculo se mantenham realizando atividades ou tenham conhecimento de informações sigilosas; estabelecer responsabilidades e rotinas de controle tanto para concessão, quanto para cancelamento de acesso, assim como minimizar os riscos nas criações e manutenções das credenciais de acesso.

Esta política se aplica a todas as Partes Interessadas que utilizam ou suportam os sistemas, serviços de rede, infraestrutura, aplicações em execução no ambiente ou informações da organização.

P13 – Política de Uso Aceitável dos Ativos

Estabelece diretrizes para o uso aceitável, entendido como seguro, dos ativos de informação da Vati por seus usuários autorizados. A Vati implementa através do SGSI os requisitos de Segurança da Informação vinculados aos ativos, protegidos de acesso e com ciclo de vida controlado (preparação, processamento, armazenamento ou retenção, transferência e destruição para os dados virtuais e para os físicos, preparação, manutenção, mudanças e disposição para equipamentos).

Esta política se aplica a todos os sistemas da informação e demais ativos de informação utilizados por partes interessadas que tenham acesso aos ativos da Vati, onde quer que estejam alocados e independente do método de armazenamento e acesso.

P14 – Política de Transferência de Informações e Comunicações

Estabelece as diretrizes e especificar as técnicas e meios para transferência segura das informações restritas e confidenciais. Durante a troca e transferência de informações com partes interessadas alguns cuidados e requerimentos de segurança da informação devem ser observados. E para isso a VATI estabelece algumas medidas de proteção e serviços para garantir a proteção das informações.

Esta política se aplica a todas as áreas e a todos as partes interessadas, que enviem/recebam informações para/de clientes, à área de Tecnologia da Informação e também à área de Segurança da Informação.

P15 – Política de Dispositivos Móveis

Estabelece regras para o uso de dispositivos móveis da VATI. Os dispositivos móveis de trabalho estão mais vulneráveis quando em ambientes externos como reuniões em clientes, viagens, home office, ou “coworkings”. Ambientes externos à VATI são tratados como de alto risco e controles de segurança a fim de proteger a confidencialidade, integridade e disponibilidade dos arquivos e informações são implementados.

Esta política se aplica a todas as partes interessadas que fazem uso de dispositivos móveis.

P16 – Política de Restrições sobre Uso e Instalação de Software

Estabelece as regras para instalação de software de trabalho, recomendações e conscientização sobre os riscos dos softwares não homologados pela área de Tecnologia da Informação e Segurança da Informação. Os softwares disponibilizados pela VATI são homologados pela área de Tecnologia e estão em conformidade com a lei de Direitos Autorais de Software, normas, padrões éticos, regulamentos internos e externos. A VATI faz uso de software livre e de código aberto em algumas aplicações e está de acordo com os principais projetos de software livre como GNU/Linux, Gnome e outros.

Esta política se aplica a todas as partes interessadas que possuem ou irão possuir acesso direto ou indireto à infraestrutura de TI da empresa.

P17 – Política de Backup

Este documento contém a política de backup para operação Volkswagen dentro do escopo da norma VDA/ISA, além de estabelecer a política para cópia de segurança de todas as informações, o documento também estabelece a política para armazenamento em mídia, retenção, guarda e recuperação dos dados. Esta política se aplica à área de Infraestrutura de TI.

A cópia de segurança das informações será realizada através da solução corporativa de backup, e a mídia será posteriormente transferida para a guarda no site do prestador de serviço de armazenagem.

P18 – Política de Proteção contra Malware

Estabelece diretrizes para o uso do software antivírus na prevenção de infecção por malware nas estações de trabalho, celulares, servidores, redes e sistemas de tecnologia da empresa. A Vati adota para todos os dispositivos solução de antimalware de mercado para detecção, prevenção e eliminação de malware em conjunto com ações de conscientização e treinamento dos usuários.

As ameaças de malware devem ser gerenciadas para minimizar a quantidade de tempo de inatividade e evitar riscos para sistemas críticos, ativos de informação de clientes e colaboradores.

Todos os dispositivos conectados à rede devem possuir software antivírus instalado e configurado para que os arquivos de definição de vírus sejam atualizados rotineira e automaticamente.

Esta política se aplica a todos os dispositivos conectados à rede da Vati, utilizados por partes interessadas, onde quer que estejam alocados e independente do método de acesso. 

P19 – Política de Gerenciamento de Vulnerabilidades Técnicas

Garantir que toda informação acerca das vulnerabilidades seja coletada, os sistemas e softwares potencialmente impactados identificados, e que ações preventivas/corretivas sejam avaliadas e implementadas.

Esta política é aplicada às áreas de Suporte e Infraestrutura de TI, Desenvolvimento de Software e Segurança da Informação. 

P20 – Política de Controles Criptográficos

Esta política de segurança da informação tem por objetivo implementar os controles criptográficos para a proteção de informações internas, restritas ou confidenciais, que são transportadas em dispositivos móveis como notebooks, mídias removíveis ou através de transferências em redes de computadores.

Esta política se aplica a todas as partes interessadas que enviem/recebam informações restritas e confidenciais de/para clientes, à área de Tecnologia da Informação e também à área de Segurança da Informação.

P21 – Política de uso de e-mail e comportamento em redes sociais

Estabelece as diretrizes de bom uso, e utilização segura do serviço de e-mail da Vati, além de orientar os nossos colaboradores sobre o comportamento adequado nas redes sociais, principalmente as redes direcionadas à área profissional.

A Vati compreende que estar posicionado nas redes sociais promove oportunidades para desenvolvimento de novos negócios, maior interação com atuais e potenciais clientes e melhoria da comunicação com o mercado, entre outros benefícios.

Para tal, a Vati preocupa-se com a sua reputação e com a postura de seus colaboradores no uso do serviço de e-mail corporativo e nas redes sociais.

Esta política se aplica a todos as partes interessadas que utilizem os serviços de e-mail corporativo e/ou façam uso de redes sociais.

P22 – Política de Desenvolvimento de Sistemas

Estabelece as regras para o desenvolvimento e aquisição de software e sistemas, definindo requisitos mínimos de segurança e, quando aplicáveis, de privacidade e proteção de dados. A Vati mantém os ambientes de desenvolvimento, teste e produção separados de forma a reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção. Os ambientes são identificados e os controles apropriados são implementados, regras de armazenamento, testes, transferência entre ambientes e execução são definidas. No ambiente de produção não são utilizadas ferramentas de desenvolvimento, sendo o acesso realizado através de diferentes perfis de usuários. 

Esta política se aplica a todo desenvolvimento e manutenção de todos os softwares e sistemas da Vati. Os usuários deste documento são todas as partes interessadas que trabalham em desenvolvimento e manutenção de sistemas na VATI.

P23 – Política de Recursos Humanos

Estabelecer a forma de implementar a Segurança da Informação nas etapas de seleção, contratação, conscientização, treinamento e encerramento do contrato de trabalho. A Vati busca assegurar que colaboradores (funcionários e prestadores de serviço) e partes externas estejam em conformidade com os papéis para os quais eles foram selecionados, que estão conscientes e cumprem suas responsabilidades pela segurança da informação, protegendo os interesses da organização.

Esta política se aplica a todos os colaboradores (funcionários e prestadores de serviço) e partes externas da Vati.

P25 – Política de Gerenciamento de Log

Determina como é realizada a coleta e armazenamento seguro dos logs de todos os computadores, servidores e sistemas, como os logs são protegidos contra acesso não autorizado e adulteração modificações, as atividades dos administradores e operadores dos sistemas registradas e os registros (logs) protegidos e analisados criticamente, a intervalos regulares. Os registros (logs) de eventos de cada atividade de sistema, servidor, computador, usuário, administrador, falhas, tentativas de acessos, e outros eventos de segurança da informação devem ser armazenados de maneira segura e analisados criticamente em intervalos regulares. 

Esta política se aplica às áreas de Suporte e Infraestrutura de TI e à Segurança da Informação. 

P26 – Política de Segurança Física

Estabelece diretrizes para prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento das informações e nas informações da organização. A Vati adota critérios rígidos de controles sobre os ativos físicos e de informação para garantir a Segurança da Informação (confidencialidade, integridade e disponibilidade).

Esta política se aplica a todas as instalações de processamento da informação, às áreas que possuam informações confidenciais, áreas seguras, residências, escritórios, salas e instalações da organização. 

P28 – Política de conformidade com requisitos legais e contratuais

Estabelece as providências da Vati para evitar violações de: obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação; ou quaisquer requisitos de segurança da informação.

Através de verificações em intervalos regulares, no mínimo uma vez a cada 12 meses, ou quando houver mudanças identificadas no SGSI, assegurarmos o cumprimento de:

  • Todas as obrigações legais, estatutárias, regulamentares ou contratuais, incluindo aquelas relacionadas à segurança da informação;
  • Quaisquer requisitos de segurança da informação.