Resumo da Política de Segurança da Informação

Esta política atua como um documento abrangente para todas as outras políticas de segurança e padrões associados. Saiba mais.

Introdução

A segurança da informação faz parte do nosso dia-a-dia, por isso disponibilizamos um resumo de nossa Política de Segurança Cibernética e da Informação para que os nossos clientes possam conhecer as diretrizes que regem a proteção de suas informações.

Abrangência e disseminação

Esta política engloba todos os sistemas, automatizados e manuais, pelos quais a entidade tem responsabilidade administrativa, incluindo sistemas gerenciados ou hospedados por terceiros em nome da entidade. Ela aborda todas as informações, independentemente da forma ou formato, que são criadas ou usadas em apoio às atividades de negócios.

Esta Política se aplica a todos os funcionários, estagiários, parceiros, fornecedores, prestadores de serviço e terceiros que trabalham no Conglomerado Neon.

As ações são pautadas em boas práticas do mercado:

  • ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de
  • segurança – Sistemas de gestão da segurança da informação – Requisitos;
  • ABNT NBR ISO/IEC 27002:2013: Tecnologia da informação – Técnicas de
  • segurança – Código de prática para controles de segurança da informação;
  • NIST Cybersecurity Framework 2.0;
  • CIS Controls V8;

Objetivo

Esta política atua como um documento abrangente para todas as outras políticas de segurança e padrões associados.  Esta política define a responsabilidade de:

  • proteger e manter a confidencialidade, integridade e disponibilidade das informações e dos ativos de infraestrutura relacionados;
  • gerenciar o risco de exposição ou comprometimento da segurança;
  • garantir um ambiente de tecnologia da informação (TI) seguro e estável;
  • identificar e responder a eventos que envolvam uso indevido de ativos de informação, perda ou divulgação não autorizada;
  • monitorar os sistemas em busca de anomalias que possam indicar comprometimento; e
  • promover e aumentar a conscientização sobre segurança da informação.

A Segurança da Informação

Garantir níveis apropriados de integridade, confidencialidade, disponibilidade e não-repúdio das informações proprietárias da Neon e de seus clientes e parceiros de negócio.

Prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético

Em conjunto com as demais áreas da Neon, garantir o cumprimento dos requisitos legais, regulamentares e contratuais para a segurança das informações da Neon.

Gerenciar o risco de Segurança da Informação da Neon, de forma integrada aos processos da Neon e de modo a contribuir para a tomada de decisões de negócio.

Diretrizes

  • Garantir a privacidade, integridade, disponibilidade e confidencialidade das informações dos seus clientes, de seus funcionários e terceiros, assim como da própria Neon, protegendo os dados e os sistemas de informação contra acessos indevidos, modificações não autorizadas e vazamento;
  • Assegurar que somente pessoas autorizadas tenham acesso às instalações da Neon;
  • Garantir a continuidade dos negócios e proteger os processos críticos contra falhas ou incidentes e desastres significativos, realizando testes e simulando cenários;
  • Atender aos requisitos regulamentares, legais e contratuais pertinentes à sua atividade;
  • Assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de Segurança da Informação, enfatizando as obrigações de todos em zelar pela segurança das Informações da Neon;
  • Fomentar a cultura, conscientização, capacitação e educação contínua dos colaboradores;
  • Criptografar todas as Informações confidenciais, dados pessoais e sensíveis que trafegam nas redes públicas e abertas;
  • Adotar e manter atualizados mecanismos de proteção contra malwares e outros tipos de ataque ao ambiente organizacional;
  • Desenvolver sistemas e aplicativos de forma segura em acordo com as diretrizes estabelecidas na Norma de Desenvolvimento Seguro e com as boas práticas de Segurança da Informação;
  • Identificar regularmente os riscos de Segurança da Informação aos quais a Neon ou empresas coligadas estejam expostas;
  • Regulamentar o uso de recursos computacionais disponibilizados pela Neon aos colaboradores;
  • Classificar todas as informações de acordo com o Procedimento de Classificação da Informação da Neon;
  • Garantir que todos os colaboradores conheçam esta Política e assinem o termo de aderência, garantindo assim que as Informações serão acessadas e não serão divulgadas;
  • Gerir incidentes seguindo o processo de análise, tratamento e comunicação, e elaborado um Relatório Anual contendo os incidentes relevantes ocorridos no período, ações realizadas de prevenção e respostas aos incidentes e resultados dos testes de continuidade;
  • Analisar vulnerabilidades regularmente e avaliar o potencial risco para o negócio, prevenindo, identificando e remediando as vulnerabilidades;
  • Assegurar que as aplicações na Neon sejam sujeitas a auditorias regulares e testes de intrusão para validação dos padrões de Segurança;
  • Gerir acessos de colaboradores, terceiros, prestadores de serviço e visitantes, mitigando o risco de acesso indevido e/ou não autorizado às informações e ao ambiente interno, seguindo boas práticas para segregação de função e menor privilégio;
  • Avaliar os aspectos de segurança no relacionamento com fornecedores e prestadores de serviço;
  • Garantir que os fornecedores e prestadores de serviços informem os incidentes relevantes, relacionados às informações da Neon quando armazenadas ou processadas por eles em cumprimento às determinações legais e regulamentares;
  • Realizar cópias de segurança e testes de recuperação das informações sempre que necessário;
  • Gravar logs ou trilhas de auditoria do ambiente computacional de forma a permitir identificar: quem fez o acesso, quando o acesso foi feito, o que foi acessado e como foi acessado;

Conformidade

As violações a esta Política estão sujeitas às sanções disciplinares previstas nas políticas internas e na legislação vigente no local em que as empresas estejam localizadas.

Recomendações para os clientes

  • Altere sua senha sempre que perceber qualquer sinal  de violação de suas credenciais ou suspeita de vazamento.
  • Evite usar a mesma senha em diversos serviços. O uso de gerenciador de senhas pode auxiliar na administração de credenciais.
  • Sua senha é pessoal e intransferível. Não compartilhe ou anote em locais que possam ser facilmente acessados, como cadernos e blocos de notas.
  • Opte por adicionar um segundo fator de autenticação (ex.: SMS, aplicativo de autenticação ou biometria).
  • Evite realizar transações, acessar o aplicativo do banco ou sites em redes wireless públicas ou em dispositivos de outras pessoas ou públicos.
  • Sempre mantenha seus dispositivos e aplicativos atualizados.
  • Não abra e-mails ou mensagens suspeitas, ou seja, de remetentes ou conteúdos desconhecidos.
  • Não clique em anexos ou links recebidos em e-mails ou mensagens suspeitas.