Área do cliente

Política da Segurança da Informação 

Política da Segurança da Informação

A ROX PARTNER, visando a segurança e proteção de todos os envolvidos em suas atividades, sejam clientes, colaboradores, prestadores de serviços ou fornecedores, adota políticas e práticas de Segurança da Informação que se aplicam a todos, de acordo com as diretrizes estabelecidas pela ISO/IEC 27001:2013, pela qual a ROX PARTNER é certificada.

Sendo assim, para conhecimento de todos, publicamos aqui nossa Política de Segurança da Informação. Dúvidas, esclarecimentos e qualquer questionamento deverá ser enviado para dpo@roxpartner.com.

Objetivos da Política

Esta política e as normas que a compõe tem por propósito estabelecer diretrizes de Segurança da Informação que permitam à ROX PARTNER adotar padrões de segurança adequados às metas e necessidades desta empresa com as seguintes ações:

  • Zelar pela segurança de nossos clientes, colaboradores, fornecedores e de seus dados.
  • Garantir a disponibilidade dos ativos de tecnologia da empresa.
  • Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;
  • Resguardar as informações da ROX PARTNER, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
  • Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, clientes e parceiros;
  • Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da ROX PARTNER como resultado de falhas de segurança.

1. Glossário

  • Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a ROX PARTNER;
  • Ativo: Tudo aquilo que possui valor para a ROX PARTNER;
  • Ativo de informação: Patrimônio intangível da ROX PARTNER, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a ROX PARTNER por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da ROX PARTNER ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.
  • Comitê Gestor de Segurança da Informação – CGSI: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da ROX PARTNER, que tem por finalidade tratar questões ligadas à Segurança da Informação.
  • Confidencialidade: Propriedade dos ativos da informação da ROX PARTNER de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.
  • Controle: Medida de segurança adotada pela ROX PARTNER para o tratamento de um risco específico.
  • Disponibilidade: Propriedade dos ativos da informação da ROX PARTNER de serem acessíveis e utilizáveis sob demanda por partes autorizadas.
  • Gestor da Informação: Usuário da informação que ocupe cargo específico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.
  • Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações da ROX PARTNER.
  • Integridade: Propriedade dos ativos da informação da ROX PARTNER, de serem exatos e completos.
  • Risco de segurança da informação: Efeito da incerteza sobre os objetivos de segurança da informação da ROX PARTNER.
  • Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da ROX PARTNER.
  • Usuário da informação: Empregados com vínculo empregatício de qualquer área da ROX PARTNER ou terceiros alocados na prestação de serviços a ROX PARTNER, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da ROX PARTNER para o desempenho de suas atividades profissionais.
  • Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da ROX PARTNER.

2. Diretrizes

  • O objetivo da gestão de Segurança da Informação da ROX PARTNER é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a instituição.
  • A Diretoria e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação na ROX PARTNER. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da ROX PARTNER.

É política da ROX PARTNER:

  • Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da ROX PARTNER sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas.
  • Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas tais como empregados, terceiros contratados e, onde pertinente, clientes.
  • Garantir a educação e conscientização sobre as práticas adotadas pela ROX PARTNER de segurança da informação para Empregados, terceiros contratados e, onde pertinente, clientes.
  • Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais.
  • Tratar integralmente incidentes de segurança da informação, garantindo que eles sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas.
  • Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres.
  • Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

3. Objetivos da Segurança da Informação

Compete à área de segurança da informação da Rox Partner:

  • Garantir a disponibilidade dos ativos de tecnologia da empresa, zelando pela segurança dos usuários, dos dados e dos clientes da empresa;
  • Treinar os colaboradores, em sua admissão e com periodicidade, ao menos, semestral em aspectos de uso seguro dos ativos de tecnologia;
  • Rever periodicamente os acessos concedidos, cancelando aqueles referentes a usuários que já não estejam no quadro da empresa ou que estejam afastados por qualquer motivo;

4. Normas Constituintes

Para regulamentação das atividades desta política foram elaboradas Normas de Segurança da Informação (NSIs). Estes documentos são prioritariamente destinados ao público internos e abrangem os seguintes assuntos:

NSI-01 – Governança de Dados

Dispõe sobre os procedimentos relacionados ao processo de governança de dados próprios e de clientes, bem como das tratativas sobre os bancos de dados objeto das atividades da Rox Partner.

NSI-02 – Classificação de Informações

Regulamenta os níveis de classificação das informações produzidas e a identificação visual a ser aplicada a estas.

NSI-03 – Segurança de Equipamentos, Dispositivos Físicos e Mesa Limpa

Regulamenta o uso dos equipamentos fornecidos pela ROX PARTNER aos colaboradores e estabelece as normas de Mesa Limpa.

NSI-04 – Segurança no Ambiente de Rede

Fornece diretrizes de segurança para o ambiente interno de rede da Rox Partner, seus servidores, equipamentos de rede, conexões e demais assuntos correlatos.

NSI-05 – Gerenciamento de Usuários e Senhas

Provê diretrizes de segurança no processo de criação e manutenção se usuários e senhas para sistemas e acessos aos sistemas da Rox Partner e de seus parceiros.

NSI-06 – Viagens

O objetivo desta norma é limitar a exposição de informações sensíveis a uma variedade de riscos externos. As viagens são uma importante forma de negócio, porém cuidados adicionais devem ser tomados para garantir que ativos ou informações de propriedade da Rox Partner não sejam expostos a pessoas não autorizadas.

Também contempla a prestação de serviços remotos pelos colaboradores.

NSI-07 – Correio Eletrônico

Disciplina a utilização do Correio Eletrônico fornecido aos colaboradores, estabelecendo diretrizes de segurança, boas práticas de uso, além das medidas disciplinares aplicáveis nos casos de utilização indevida ou para finalidades que não sejam de interesse da empresa.

NSI-08 – Internet

Estabelece as diretrizes de segurança na utilização dos serviços de Internet disciplinando sua utilização pelos colaboradores da Rox Partner, incluindo orientações de medidas disciplinares, normas e padrões de segurança.

NSI-09 – Cópia de Segurança das Informações

Estabelece as diretrizes para cópia e restauração de dados da Rox Partner, dos meios dispostos para tal ação, de sua temporalidade e teste de eficiência.

NSI-10 – Proteção de Endpoints

Estabelece os procedimentos e atribui as responsabilidades na administração de sistemas de proteção contra vírus, worms, trojans etc.

NSI-11 – Gestão de Incidentes de SI e Privacidade

Define as diretrizes para a gestão de incidentes de segurança da informação e privacidade, garantindo que os incidentes sejam devidamente registrados, comunicados e tratados em tempo hábil.

NSI-12 – Gestão de Fornecedores, Terceiros e Contratados

Estabelece as diretrizes de gerenciamento de riscos cibernéticos e riscos de segurança da informação em fornecedores, parceiros, provedores de serviço, distribuidores e temporários, garantindo a aderência aos requisitos de governança da Rox Partner.

Há uma versão destinada aos fornecedores disponível neste link (inserir link da política de gestão de fornecedores

NSI-13 – Auditoria Interna

Estabelece critérios e requisitos para a manutenção e execução anual de auditorias internas provendo informações sobre o quanto o Sistema de Gestão da Segurança da Informação está em conformidade com os requisitos da organização e da ISO/IEC 27001:2022 e se está efetivamente implementado e mantido.

NSI-14 – Política de Gestão de Riscos

Determina como será realizada a gestão de riscos de segurança da informação e as tratativas dos riscos identificados no ambiente da Rox Partner.

NSI-15 – Política de Criptografia

Estabelece critérios e requisitos para uso de criptografia na Rox, garantindo segurança e proteção contra acessos não autorizados e mantendo a confidencialidade das informações.

5. Papéis e Responsabilidades

Comitê Gestor De Segurança Da Informação – CGSI

Fica constituído o COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das áreas responsáveis pelas operações e administração da ROX PARTNER.

É responsabilidade do CGSI:

  • Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação.
  • Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação.
  • Garantir que as atividades de segurança da informação sejam executadas em conformidade com a Política de Gestão da Segurança da Informação e suas normas.
  • Promover a divulgação da Política de Gestão da Segurança da Informação e suas normas e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da ROX PARTNER.
  • Realizar anualmente auditorias sobre os sistemas de segurança, determinando sua adequação aos padrões de segurança definidos conforme ISO 27001.
  • Analisar e decidir sobre os eventuais riscos de segurança porventura encontrados, determinando mitigação, transferência ou aceitação dos pontos encontrados.
  • Comunicar à Diretoria os resultados e quaisquer incidentes de segurança encontrados ou comunicados.

Gerência da Segurança da Informação
É responsabilidade da Gerência de Segurança da Informação:

  • Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CGSI.
  • Apoiar o CGSI em suas deliberações.
  • Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a Política de Gestão da Segurança da Informação e suas normas.
  • Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco.
  • Tomar as ações cabíveis para se fazer cumprir os termos desta política.
  • Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.

Gestores da Informação
É responsabilidade dos Gestores da Informação:

  • Gerenciar as informações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pela ROX PARTNER.
  • Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela ROX PARTNER.
  • Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem delas conforme necessário.
  • Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade.
  • Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela ROX PARTNER.

Usuários da Informação
É responsabilidade dos Usuários da Informação:

  • Ler, compreender e cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis.
  • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos a Gerência de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação.
  • Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da ROX PARTNER.
  • Formalizar a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento.
  • Responder pela inobservância da Política Geral de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.

6. Sanções e Punições

  • As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa, conforme declaradas no Regimento Interno da Rox Partner.
  • A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.
  • No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;
  • Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano à ROX PARTNER, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens anteriores deste parágrafo.

7. Casos Omissos

  • As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa;
  • A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

8. Gestão da Política

Esta política e suas normas serão revistas, adequadas e atualizadas anualmente, ou quando houver alterações relevantes, pelos membros do Comitê Gestor de Segurança da Informação.

Em caso de dúvidas ou solicitações relacionadas à proteção de seus dados pessoais, entre em contato com nosso DPO Wanderley Brandão por meio do email: dpo@roxpartner.com.