Política de Segurança da Informação – Use Wanhun
Objetivo
Estabelecer diretrizes claras para o Programa de Segurança da Informação da Use Wanhun, com o propósito de assegurar a confidencialidade, integridade e disponibilidade das informações sob sua responsabilidade. O programa busca ainda prevenir, detectar e mitigar riscos e vulnerabilidades que impactem o ambiente computacional da empresa, por meio da atuação coordenada de pessoas, processos e tecnologias.
Escopo
Esta política é aplicável a todos os colaboradores, parceiros e prestadores de serviço da Use Wanhun, abrangendo todo o ciclo de vida das informações corporativas e a infraestrutura tecnológica utilizada.
Responsabilidades e Atribuições
Áreas de Riscos, Compliance e Segurança da Informação
Sob a liderança do Diretor de Tecnologia, são responsáveis pela governança, aplicação e monitoramento contínuo desta política.
Segurança da Informação
Responsável pela implantação de processos, controles e ferramentas para proteger os ativos informacionais. Também orienta stakeholders internos e externos sobre o reporte de incidentes e garante a conformidade com normas e regulamentações aplicáveis, utilizando frameworks reconhecidos.
Recursos Humanos
Compete à área disseminar esta política, garantir seu cumprimento nos processos de admissão, desligamento e movimentações internas, além de atuar na avaliação de violações, junto às áreas competentes.
Assuntos Legais
Zela pelo alinhamento da política à legislação vigente sobre proteção de dados, apoiando em contratos, compartilhamento e armazenamento de dados sensíveis. Também atua na análise de violações quando necessário.
Diretores
Devem promover a adesão às diretrizes no âmbito de suas competências.
Comitê Gestor de Segurança da Informação
Formado por representantes das áreas envolvidas, é responsável pela gestão estratégica da Segurança da Informação, com o apoio da alta direção.
Alta Direção
Deve revisar anualmente o Programa de Segurança da Informação, considerando principalmente:
-
Mapeamento e tratamento de riscos;
-
Relatório anual de auditoria.
Diretrizes Fundamentais
As ações da Use Wanhun são baseadas nos seguintes princípios:
-
Confidencialidade – acesso às informações apenas a pessoas autorizadas;
-
Integridade – preservação do conteúdo original das informações;
-
Disponibilidade – garantia de acesso à informação sempre que necessário.
Controles de Segurança
1. Mapeamento e Tratamento de Riscos
Identificação e mitigação proativa de riscos à segurança da informação, com relatórios anuais avaliados pelo Comitê Gestor.
2. Plano de Continuidade de Negócios
Assegura a manutenção das operações essenciais da Use Wanhun em cenários de crise. Inclui análise de impacto nos negócios, backups periódicos testados e armazenados em localidades distintas.
3. Inventário de Ativos
Todos os ativos físicos e lógicos são inventariados. O uso de recursos tecnológicos deve seguir a Política de Uso Aceitável.
4. Proteção de Dados
Informações devem ser classificadas por sensibilidade, protegidas por criptografia quando necessário e monitoradas quanto ao uso indevido. Vazamentos são tratados com prioridade.
5. Gestão de Vulnerabilidades
Correções de segurança devem ser aplicadas em tempo hábil. Análises contínuas de vulnerabilidades e medidas de contenção são implementadas conforme avaliação de risco.
6. Gestão de Acesso
Controles rigorosos são aplicados à gestão de identidades e permissões. O princípio do menor privilégio e uma política de senhas robusta são exigidos.
7. Registros de Auditoria
Sistemas devem registrar eventos críticos. Os logs são protegidos, armazenados por tempo definido e analisados periodicamente.
8. Proteção contra Ameaças Digitais
Inclui filtros de e-mail, DNS e URL, antivírus com atualizações automáticas, proteção contra malware e mecanismos anti-exploração.
9. Recuperação de Dados
Backups automatizados e protegidos por criptografia. Testes regulares garantem a restauração dos dados.
10. Segurança de Infraestrutura e Redes
Rede monitorada, segmentada e protegida por soluções de detecção e prevenção de intrusão. Acesso remoto via VPN é obrigatório.
11. Treinamento e Conscientização
Programa anual de capacitação e sensibilização sobre segurança da informação para todos os públicos relevantes.
12. Gestão de Terceiros
Fornecedores com impacto em segurança são avaliados periodicamente. Acordos contratuais devem conter cláusulas de requisitos de segurança.
13. Segurança em Aplicações
Processos seguros devem ser aplicados durante o desenvolvimento e implantação de sistemas, com foco na detecção precoce de vulnerabilidades.
14. Resposta a Incidentes
Incidentes são monitorados, reportados, classificados e tratados conforme plano específico. Incidentes críticos são reportados às autoridades reguladoras.
15. Testes de Invasão
Testes internos e externos são realizados periodicamente. Vulnerabilidades são corrigidas com base nos resultados e validadas posteriormente.
Melhoria Contínua
Auditoria Interna
Anualmente, é conduzida auditoria interna do programa de segurança, cujos resultados são documentados e analisados.
Não Conformidades
Ações corretivas são registradas e acompanhadas para garantir a resolução e retorno à conformidade.
Disposições Gerais
Sanções
Descumprimentos às diretrizes desta política podem acarretar sanções administrativas e legais, incluindo desligamento e responsabilização judicial, conforme o caso.
Canal de Contato
Dúvidas e reportes devem ser encaminhados para o e-mail: sac@usewanhun.com