Política de Segurança de Informação para Clientes

Conheça nossa Política de Segurança da Informação para Clientes:

1. A Política de Segurança da Informação aplica-se a toda a informação que está sob a responsabilidade da SEGBOX, independentemente do suporte de registo, abrangendo, designadamente, bases de dados, qualquer ambiente informático, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais.

2. O objetivo da Política de Segurança da Informação é preservar a confidencialidade, a integridade e a disponibilidade da informação, contribuindo para assegurar os objetivos da SEGBOX e para manter a confiança dos clientes bem como o cumprimento das obrigações legais e regulamentares

2.1. Neste sentido, a SEGBOX define objetivos claros para a implementação de processos, controles e práticas de segurança da informação e promove a adoção e implementação de uma Política de Segurança da Informação transversal a toda a comunidade.

2.2. Os objetivos da segurança da informação correspondem a:

2.2.1. Avaliar os riscos de segurança da informação, de modo a implementar os controles necessários que permitem mitigar os riscos até ao nível de aceitação estabelecido;
2.2.2. Criar uma cultura de segurança da informação através de ações de formação e sensibilização;
2.2.3. Definir e implementar os controles técnicos e organizacionais necessários para garantir a confidencialidade, a integridade e a disponibilidade da informação;
2.2.4. Considerar a segurança da informação como um processo de melhoria contínua, que permite alcançar níveis de segurança cada vez mais avançados.

3. Política de segurança da informação
3.1. A Política de Segurança da Informação orienta-se pelos seguintes princípios:

3.1.1. Confidencialidade: a informação apenas é disponibilizada a quem tem a devida autorização para o efeito;
3.1.2. Integridade: a salvaguarda e preservação da informação, e a adequação dos respetivos métodos de processamento;
3.1.3. Disponibilidade: a informação está disponível a todos utilizadores devidamente autorizados;
3.1.4. Auditabilidade: os dados e informações corporativas e/ou de negócio são registados, compilados, analisados e revelados, de modo a permitir que auditores internos ou entidades certificadoras externas possam atestar a sua integridade;
3.1.5. Rastreabilidade: a capacidade de recuperação do histórico das ações concretizadas.

3.2. A segurança da informação é obtida através da implementação de um conjunto de controles, designadamente: políticas, normas e procedimentos, os quais buscam a adequação de acordo com a norma internacional ISO/IEC 27001.

4. Organização de segurança da informação
4.1. A organização de segurança da informação é implementada e gerida através de um Sistema de Gestão de Segurança da Informação (SGSI) que garante uma abordagem multidisciplinar do tema e permite planejar, desenhar, controlar, avaliar e melhorar todos os processos de implementação de segurança da informação de forma transversal, considerando três vertentes de atuação: pessoas, tecnologias e processos.

4.2. A SEGBOX implementa políticas e procedimentos específicos que respeitam as normas internacionais de referência, passíveis de serem auditados e que definem os requisitos para a implementação do SGSI, designadamente:

4.2.1. A SEGBOX promove a definição de regras adequadas à privacidade dos dados e ao cumprimento A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018;
4.2.2. A SEGBOX promove, através do seu SGSI, a proteção da confidencialidade, da integridade, da disponibilidade da informação, assim como da resiliência dos seus sistemas e dos seus serviços de tratamento de informação;
4.2.3. A SEGBOX possui uma Política e Segurança da Informação, uma Política de Privacidade com Aviso Externo de Privacidade, uma Política de Gerenciamento de Riscos e, uma Política de Resposta aos Incidentes de Segurança da Informação e Privacidade, devidamente comunicadas e publicizadas a todos os empregados, fornecedores, clientes e qualquer indivíduo, inteligência artificial ou sistema que possua credenciais de acesso a qualquer de seus ativos;
4.2.4. Através dos seus planos de Gestão de Incidentes, a SEGBOX promove a capacidade de minimizar o impacto de incidentes físicos ou técnicos;
4.2.5. Estabelece em sua política de gerenciamento de riscos, controles que contemplam riscos de segurança da informação e privacidade associados com a cadeia de suprimento de produtos e serviços de tecnologia da informação e comunicação;
4.2.6. Possui obrigações contratuais com seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos, declarando a sua responsabilidade e a da organização para a segurança da informação;
4.2.7. Requer à seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos que pratiquem a segurança da informação de acordo com o estabelecido nas suas políticas e procedimentos;
4.2.8. SEGBOX torna válidas as responsabilidades e obrigações pela segurança da informação e privacidade após um encerramento ou mudança da contratação com os seus empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer de seus ativos, devendo ser, ainda, definidas, comunicadas e cumpridas;
4.2.9. Identifica os mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede providos internamente como para terceirizados, sendo por acordos de níveis de serviços, acordos de níveis operacionais ou outro instrumento;
4.2.10. Transfere de forma segura, aplicando as técnicas necessárias para essa finalidade, qualquer informação, dado pessoal ou congênere referente a este contrato;
4.2.11. Estabelece planos de mitigação para os riscos envolvendo acesso de fornecedores ou terceiros aos ativos dos clientes;
4.2.12. A SEGBOX instrui e possui processos estabelecidos para empregados, fornecedores, clientes e qualquer indivíduo que possua acesso a qualquer dos ativos, a notificar e registrar quaisquer fragilidades de segurança da informação, observada ou suspeita, nos sistemas ou serviços.
4.2.13. Realiza análises regulares de vulnerabilidades e testes de penetração em nosso sistema para identificar e corrigir potenciais ameaças à segurança, tomando medidas proativas para abordar e remediar as vulnerabilidades identificadas em tempo hábil;
4.2.14. Estabelece e mantém, um inventário de provedores de serviços (fornecedores), além de aplicar due diligences de segurança e privacidade a todos os terceiros que fazem parte de sua prestação de serviços;
4.2.15. Designa pessoal para Gerenciar Tratamento de Incidentes, estabelecendo e mantendo informações de contato para relatar incidentes de segurança, através de um processo corporativo definido para relatar incidentes.

5. Treinamento e Conscientização
5.1. A SEGBOX estabelece e mantém um programa de conscientização de segurança com seus empregados, fornecedores, clientes e qualquer indivíduo, inteligência artificial ou sistema que possua credenciais de acesso a qualquer de seus ativos.

5.2. Treina membros da força de trabalho para reconhecer ataques de engenharia social, nas melhores práticas de autenticação, nas melhores práticas de tratamento de dados, sobre as causas da exposição não intencional de dados, no reconhecimento e comunicação de incidentes de segurança, sobre como identificar e comunicar se o seus ativos corporativos estão faltando atualizações de segurança, e, sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras.

6. Retenção, Disponibilização e Backup de Dados
6.1. Os registros de conexão à Internet e às aplicações de Internet caracterizam-se conforme o inciso VI do art. 5º da Lei 12.965/2014, Marco Civil da Internet, e também pelas seguintes informações:

6.1.1. Data e hora de início e término da conexão à Internet e/ou à aplicação de Internet, duração da conexão, endereço IP e a respectiva porta lógica da origem e o fuso horário do servidor ou sistema utilizado para o provimento do acesso.
6.1.2. A SEGBOX armazena os registros de conexão às aplicações de Internet que sejam de seu próprio fornecimento pelo prazo de 05 (cinco) anos.
6.1.3. Os registros, tanto de conexão à Internet quanto de conexão à aplicações de Internet, poderão ser disponibilizados:

6.1.3.1. Mediante a solicitação do Titular dos Dados Pessoais;
6.1.3.2. Mediante ordem judicial;
6.1.3.3. Para defesa dos direitos do cliente.

6.2. Realizamos backups periódicos dos dados do usuário para garantir a integridade e disponibilidade dos dados.

6.3. Os backups são armazenados de forma segura e são usados exclusivamente para fins de recuperação em caso de falha de sistema ou perda de dados.

7. Responsabilidade do Cliente com a Segurança da Informação
7.1. Como usuário de nosso serviço, o cliente compartilha a responsabilidade pela segurança da informação. Isso inclui, mas não se limita a:

7.1.1. Manter a confidencialidade e o não compartilhamento de credenciais de acesso;
7.1.2. Não compartilhar senha com terceiros;
7.1.3. Utilizar senhas fortes e atualizá-las periodicamente;
7.1.4. Proteger os dispositivos contra acessos não autorizados.

7.2. Notificar imediatamente sobre qualquer uso não autorizado ou suspeito de contas ou violação de segurança.

7.3. Garantir que os dados que armazena e compartilha por meio de nosso serviço estejam em conformidade com as leis e regulamentações aplicáveis.

7.4. Cumprir nossos termos de uso e diretrizes de segurança ao utilizar nossos serviços.

7.5. Ao colaborar e compartilhar informações por meio de nosso serviço, deve considerar as implicações de segurança e privacidade e agir de maneira responsável.

8. Resposta a Incidentes de Segurança
8.1. Mantemos um plano de resposta a incidentes de segurança que inclui procedimentos para lidar com violações de dados, vazamentos de informações e outras ameaças à segurança.

8.2. Comunicaremos sobre qualquer violação de dados que possa afetar as informações pessoais de clientes de acordo com as leis aplicáveis.

9. Melhoria contínua
9.1. O SGSI é alvo de revisões periódicas no sentido de providenciar uma melhoria da aplicabilidade, adequabilidade e eficácia.

10. Revisão e comunicação da política geral de segurança da informação
10.1. A Política de Segurança da Informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas, de forma a providenciar a sua contínua aplicabilidade, adequabilidade e eficácia.

10.2. Toda e qualquer alteração será comunicada amplamente pelos canais oficiais da SEGBOX com seus clientes.

Atualizado em 28/02/2024