Política de Segurança da Informação

Política de Segurança da Informação

A DNR reconhece a importância da segurança da informação para o sucesso de suas operações e para a confiança de seus clientes, parceiros e colaboradores. Esta Política de Segurança da Informação estabelece diretrizes e princípios para proteger as informações da empresa e de seus clientes contra ameaças internas e externas, garantindo a confidencialidade, integridade e disponibilidade dos dados.

1. OBJETIVO

Esta política tem como objetivo estabelecer diretrizes e normas de Segurança da Informação que devem ser seguidas por todos os colaboradores, prestadores de serviços, parceiros e terceiros que tenham acesso às informações e aos recursos de tecnologia da informação da DNR, visando proteger os ativos de informação contra ameaças, sejam internas ou externas, deliberadas ou acidentais.

2. ABRANGÊNCIA

Esta política se aplica a todos os colaboradores, prestadores de serviços, parceiros e terceiros que possuam acesso às informações e aos recursos de tecnologia da informação da DNR, independentemente do nível hierárquico, função ou vínculo com a empresa.

3. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

A DNR adota os seguintes princípios de segurança da informação:

  • Confidencialidade: Garantir que as informações sejam acessadas somente por pessoas autorizadas.
  • Integridade: Assegurar que as informações não sejam alteradas de forma indevida ou não autorizada.
  • Disponibilidade: Garantir que as informações estejam disponíveis para uso quando necessário.
  • Autenticidade: Assegurar a identidade de quem produziu, expediu, modificou ou tem a guarda da informação.
  • Legalidade: Garantir que o tratamento das informações atenda às leis e regulamentos aplicáveis.

4. DIRETRIZES GERAIS

4.1. Classificação da Informação

As informações da DNR são classificadas de acordo com seu nível de sensibilidade e criticidade, seguindo os seguintes critérios:

  • Pública: Informações que podem ser divulgadas ao público em geral.
  • Interna: Informações de uso interno da empresa, cuja divulgação externa não é autorizada.
  • Confidencial: Informações sensíveis cujo acesso é restrito a pessoas específicas.
  • Restrita: Informações altamente sensíveis com acesso limitado a um grupo muito restrito de pessoas.

4.2. Controle de Acesso

O acesso às informações e aos recursos de tecnologia da informação da DNR é concedido com base no princípio do privilégio mínimo, ou seja, cada usuário recebe apenas os acessos necessários para o desempenho de suas funções.

  • Todos os acessos são individuais e intransferíveis.
  • Senhas e credenciais de acesso são confidenciais e não devem ser compartilhadas.
  • Acessos privilegiados são concedidos apenas quando estritamente necessários.
  • Todos os acessos são revisados periodicamente.

4.3. Segurança Física e do Ambiente

A DNR adota medidas de segurança física para proteger suas instalações e equipamentos contra acessos não autorizados, danos e interferências.

  • Áreas seguras são protegidas por controles de acesso adequados.
  • Equipamentos são protegidos contra falhas de energia, incêndios e outros desastres.
  • Manutenção de equipamentos é realizada apenas por pessoal autorizado.

4.4. Segurança em Recursos Humanos

A DNR reconhece que os colaboradores são fundamentais para a segurança da informação e, por isso, adota as seguintes medidas:

  • Verificação de antecedentes de candidatos a emprego, conforme permitido por lei.
  • Treinamento e conscientização em segurança da informação para todos os colaboradores.
  • Termo de confidencialidade e responsabilidade assinado por todos os colaboradores.
  • Processo formal para desligamento de colaboradores, incluindo a revogação de acessos.

4.5. Gestão de Incidentes de Segurança

A DNR possui um processo formal para identificação, registro, tratamento e resposta a incidentes de segurança da informação.

  • Todos os incidentes de segurança devem ser reportados imediatamente.
  • Incidentes são analisados para determinar suas causas e impactos.
  • Medidas corretivas são implementadas para evitar recorrências.
  • Lições aprendidas são documentadas e compartilhadas quando apropriado.

4.6. Conformidade

A DNR está comprometida com a conformidade com leis, regulamentos e normas aplicáveis à segurança da informação e à proteção de dados pessoais, incluindo, mas não se limitando à Lei Geral de Proteção de Dados Pessoais (LGPD).

5. RESPONSABILIDADES

5.1. Alta Direção

  • Aprovar a Política de Segurança da Informação.
  • Fornecer recursos necessários para a implementação e manutenção da segurança da informação.
  • Promover a cultura de segurança da informação na empresa.

5.2. Comitê de Segurança da Informação

  • Revisar e atualizar a Política de Segurança da Informação.
  • Avaliar e aprovar normas e procedimentos de segurança da informação.
  • Analisar incidentes de segurança significativos.

5.3. Área de Tecnologia da Informação

  • Implementar e manter controles técnicos de segurança.
  • Monitorar e responder a incidentes de segurança.
  • Realizar avaliações de segurança periódicas.

5.4. Gestores

  • Garantir que suas equipes conheçam e cumpram esta política.
  • Identificar e classificar as informações sob sua responsabilidade.
  • Reportar incidentes de segurança.

5.5. Colaboradores

  • Conhecer e cumprir esta política e as normas de segurança da informação.
  • Proteger as informações a que têm acesso.
  • Reportar incidentes ou suspeitas de violação de segurança.

6. VIOLAÇÕES E PENALIDADES

O não cumprimento desta política pode resultar em ações disciplinares, incluindo advertência, suspensão ou demissão, conforme a gravidade da violação e de acordo com as leis trabalhistas aplicáveis. Violações também podem resultar em responsabilidade civil ou criminal, dependendo da natureza e gravidade do incidente.

7. REVISÃO E ATUALIZAÇÃO

Esta política será revisada anualmente ou sempre que houver mudanças significativas no ambiente de negócios, tecnologia ou requisitos legais e regulatórios.

8. DISPOSIÇÕES FINAIS

Esta Política de Segurança da Informação entra em vigor a partir da data de sua publicação e revoga quaisquer disposições em contrário.

Para dúvidas ou esclarecimentos sobre esta política, entre em contato com o Comitê de Segurança da Informação através do e-mail: ouvidoria@dnr.com.br

Utilizamos cookies essenciais e tecnologias semelhantes de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.

Saiba mais