Política de Segurança da Informação - Fornecedores

Seção 1.    Introdução e objetivo

A Segurança é um dos elementos de negócio mais importantes para a VIRTUAL 360, ou simplesmente V360 e, dessa forma, manter a informação de acordo com critérios de confidencialidade, integridade e disponibilidade são fatores críticos para o sucesso para a nossa organização.

A Política de Segurança da Informação para Fornecedores e Prestadores de serviço tem como objetivo orientar sobre as diretrizes de segurança da informação em vigor, assim como descrever responsabilidades no cumprimento das metas e conscientizar sobre o correto uso das informações conforme estabelecido pela V360.

As instruções e regras aqui descritas devem ser seguidas para garantir, de forma consistente e eficiente, a proteção das informações disponibilizadas pela V360 assim como o uso apropriado de recursos tecnológicos, ambientes e dependências acessados pelos Fornecedores e prestadores.

Seção 2.     Abrangência

Este documento destina-se para Fornecedores e prestadores de serviço da V360, conforme aplicável.

Seção 3.    Definições

  • Segurança da Informação: Diretamente relacionada com proteção de um conjunto de dados, informações com objetivo de preservar o valor que possuem para indivíduo ou organização
  • Fornecedores e Prestadores de Serviço: Toda pessoa física ou jurídica que produz, monta, cria, constrói, transforma, importa, exporta, distribui ou comercializa produtos ou serviços.
  • Incidente de Segurança da Informação: É um evento de segurança ou conjunto de eventos confirmados que impactem a disponibilidade, confidencialidade e integridade de um ativo de informação, assim como qualquer violação desta política

Seção 4.     Responsabilidades

4.1. Área Contratante de Serviços de Fornecedores

  • Quando da contratação de fornecedores que tenham colaboradores que venham a acessar os dados da organização, a área contratante deverá garantir que todos estejam cientes dessa política de segurança da informação.

4.2. Prestador de Serviços/Fornecedores

  • É de responsabilidade dos fornecedores e prestadores de serviços, observar e seguir as orientações estabelecidas para o cumprimento da presente Política de Segurança da Informação;
  • Todas as atividades executadas devem observar a legislação vigente e a normatização de órgãos e entidades reguladoras com relação à Segurança da Informação.

Devem estar, ainda, imbuídos de manter e preservar os princípios básicos de segurança da informação:

  • Confidencialidade – O Fornecedor deve contribuir para a manutenção do sigilo e restrição de acesso das informações compartilhadas ou acessadas em razão do exercício de sua função e serviço contratado.
  • Integridade – O Fornecedor compromete-se com o uso adequado e autorizado de ativos da V360, inclusive informações. Não é permitida a manipulação ou edição de ativos de informações fora do seu escopo de trabalho ou limitações impostas por procedimentos ou controles de acesso em sistemas de informação.
  • Disponibilidade – O Fornecedor preza pela preservação dos ambientes e recursos tecnológicos de seu fornecimento ou suporte, de forma a favorecer a continuidade e oferta ininterrupta de serviços.

Seção 5.     Diretrizes e condutas

É responsabilidade de todos os colaboradores, fornecedores e prestadores de serviço, a conduta correta e ética, obedecendo os preceitos de respeito às pessoas e preservação da imagem da V360 seu compromisso com a segurança da informação.

Espera-se ainda que os prestadores de serviços e fornecedores cumpram com todos os requisitos da legislação brasileira aplicáveis, e comprometam-se              a seguir integralmente os itens a seguir, mas não exclusivamente:

  • Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada, mantendo a sua confidencialidade, integridade e disponibilidade.
  • Exercer o trabalho profissional com responsabilidade, dedicação, honestidade e justiça, buscando sempre a melhor solução;
  • Esforçar-se para adquirir continuamente competências técnicas e profissionais, mantendo-se sempre atualizado com os avanços da profissão e especialidades;
  • Atuar dentro dos limites de sua competência profissional;
  • Guardar sigilo profissional por tempo indeterminado das informações que tiver acesso em razão do exercício de suas atividades contratadas;
  • Pautar sua relação com colegas nos princípios de consideração, respeito e solidariedade, assim como conduzir as atividades profissionais, que envolvam interação ou contribuição em grupo, sem discriminação de qualquer tipo, seja de cor, sexo, nacionalidade, idade, religião, estado civil ou qualquer outra condição humana
  • Honrar compromissos e prazos estabelecidos;
  • Não praticar atos deliberados que possam comprometer segurança, privacidade ou que atentem para diminuição ou anulação de controles e proteções de segurança estabelecidos
  • Comunicar imediatamente qualquer descumprimento da Política de Segurança da Informação para Terceiros.

Seção 6.     Responsabilidades específicas

6.1 Uso aceitável de ativos

  • Para prestadores de serviços e fornecedores que precisem acessar informações da V360 via Drive corporativo ou ferramentas da organização, faz-se necessário a adequação dos dispositivos móveis relativos aos requisitos de antivírus, anti malware, softwares de segurança quando aplicável
  • É proibido o acesso, download ou distribuição de qualquer conteúdo que viole direitos autorais e de propriedade dentro da V360. Da mesma forma,é vedado o armazenamento, no Ambiente Digital da V360 ou em quaisquer equipamentos de propriedade da V360, de material obsceno, ilegal ou não ético, fato que ensejará a apuração de responsabilidade.
  • Cada usuário é responsável pela proteção dos dispositivos físicos contendo informação da V360 que estão sob sua guarda; e

6.2 Acesso lógico

  • Os Fornecedores e prestadores de serviço devem utilizar identificação e autenticação de usuários de sistema concedidos pela V360 para realização de suas atividades, informando de erros ou acessos que não correspondam ou excedam ao escopo de sua atuação contratada.
  • Quando aplicável, o usuário e senha disponibilizado são de uso exclusivo e não podem ser divulgados ou compartilhados;
  • O fornecedor ou prestador de serviço deve manter suas credenciais de acesso seguras, sendo de sua responsabilidade qualquer utilização indevida;
  • Sempre que aplicável, é responsabilidade da empresa contratada comunicar qualquer desligamento de seus colaboradores para que eles tenham seus acessos devidamente cancelados no ambiente da V360;
  • Sempre que aplicável manter e utilizar senhas fortes, e duplo fator de autenticação nas aplicações

6.3 Segurança no Desenvolvimento de Sistemas

Caso aplicáveis, devem ser seguidos os requisitos abaixo para desenvolvimento seguro de sistemas:

  • O desenvolvimento             de          software             deve      ser         orientado a             evitar,   encontrar            e             corrigir vulnerabilidades.
  • Modificações em pacotes de software devem ser evitadas.
  • O desenvolvimento de software deve ser realizado em ambiente de desenvolvimento separado e seguro e considerando também a segurança para cenários de reuso de código.
  • Utilizar rotinas de validação de integridade para prevenir erros, seja involuntário ou intencional, utilizando de dados fictícios ou anonimização e em ambiente não produtivo;

6.4 Gestão de Vulnerabilidade

  • Prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, deve ser um trabalho em conjunto da V360 com seus fornecedores e prestadores de serviços, desta forma sempre que aplicável deverão ser realizadas aplicações de patches de segurança, atualizações de sistemas operacionais e softwares em seus dispositivos.

6.5 Notificação de Incidentes de Segurança da Informação

  • Ameaças ou incidentes de segurança da informação que são de conhecimento do fornecedor ou prestador de serviço e que possam comprometer a segurança da V360 devem ser imediatamente relatadas via email: segurancav360@virtual360.io

Seção 7.    Avaliações Periódicas

A V360 poderá realizar, sempre que achar necessário, avaliações para atestar a efetividade da implementação dos controles apresentados neste documento, devendo para isso, comunicar o fornecedor ou prestador de serviço com antecedência.

Seção 8.    Sanções

A V360 realiza o monitoramento contínuo de seu ambiente tecnológico e organizacional por meio de diversos métodos com o objetivo de assegurar a conformidade e adesão desta política. Caso haja violação pelo fornecedor ou prestador de serviço das regras dispostas nesta documentação, mesmo que por omissão ou tentativa não consumida, tais violações poderão ser classificadas como incidentes e consequentemente sendo passíveis de penalidades.

Seção 9.    Controle de Alterações

Versão

Data da Publicação

Descrição

Por

1

04/11/2021

Versão Inicial

Diego Panaro

Aprovado por: Pedro Carvalho – CFO