Política de Segurança da Informação
Índice
Introdução
Objetivo
A presente Política estabelece as diretrizes e responsabilidades adotadas pela MB Guild. Todas as menções à "MB Guild" devem ser entendidas como menção a todas as empresas que compõem o Grupo 2TM. Essa política visa garantir os mais elevados padrões de segurança, controle e gestão de riscos de segurança, e de governança no tratamento de informações armazenadas, processadas e transmitidas nos ambientes físico e virtual da MB Guild, provendo orientação e apoio de acordo com os requisitos do negócio e com as leis e regulamentações relevantes, de modo a:
- preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das suas informações;
- orientar quanto ao uso adequado de seus ativos e proteger as atividades finalísticas e a gestão da MB Guild;
- estabelecer medidas técnicas e administrativas capazes de proteger as informações, inclusive dados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento de informação; e
- nortear a definição de procedimentos específicos de controles e processos para a gestão dos riscos de segurança da informação. Levou-se em conta na elaboração desta política o porte, o perfil de risco e o modelo de negócio da MB Guild, assim como as legislações, as diretrizes e as melhores práticas aplicáveis.
Aplicabilidade
A Política de Segurança da Informação é aplicável a todos os colaboradores, consultores, incluindo aqueles de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações da MB Guild.
É indispensável assegurar que todos, independentemente do seu nível hierárquico, função e/ou vínculo contratual ou outros contratados pela MB Guild tenham conhecimento desta política e acesso adequado à informação necessária para o desempenho das suas funções, sendo exigido destes o respeito pelos controles de segurança implementados e o cumprimento dos aspectos de integridade, confidencialidade e disponibilidade da informação, sendo estes, responsabilidade de todos.
É de propriedade da MB Guild toda a informação gerada ou tramitada por meio dos seus recursos.
Toda informação de propriedade ou custodiada pela MB Guild:
- Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal da MB Guild, emanada por instância competente para fazê-lo;
- Deve ser classificada segundo critérios definidos;
- Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas ou que não tenham direito ao seu conhecimento;
- Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária;
- Esta política aplica-se a todas as informações coletadas, criadas, recebidas, armazenadas, processadas, transmitidas ou impressas, com o auxílio de qualquer sistema, meio de transmissão ou de armazenamento, por colaboradores e terceiros, devendo estar disponível a todo tempo a todos tais colaboradores e terceiros, aos quais caberão ler atentamente e aceitar todo o seu conteúdo antes de obter acesso a qualquer ativo ou informação da MB Guild;
- As informações poderão envolver também dados pessoais, ocasião em que deverão ser observadas, além das diretrizes aqui presentes, a Política Interna sobre Tratamento de Dados Pessoais e a legislação aplicável à proteção de dados pessoais, incluindo a LGPD.
Diretrizes
Para fins desta Política ficam estabelecidas as seguintes diretrizes gerais:
- Devem ser definidas métricas e indicadores a fim de controlar, auditar e aumentar o nível de maturidade e conformidade da MB Guild em segurança da informação.
- Comprometimento: Todos os colaboradores, consultores e prestadores de serviço da MB Guild, em qualquer vínculo, função ou nível hierárquico, são responsáveis pela proteção e guarda dos ativos tecnológicos e informações dais quais são usuários, dos ambientes físicos e tecnológicos que possuam, respeitando as Políticas e controle implantados.
- Gestão de Riscos de Segurança: A área de Segurança da Informação deve apoiar com recomendações de controles e proteções de segurança cibernética no desenvolvimento de novos produtos e serviços da MB Guild, bem como na avaliação de riscos, buscando identificar ameaças e impactos sobre os ativos de informação. Os riscos devem ser avaliados e administrados conforme requisitos especificados em normas e nos controles de proteção. Todos os processos, produtos e serviços desenvolvidos, que possam comprometer a segurança da informação, devem ser submetidos a processo de avaliação e tratamento de riscos, antes que sejam adquiridos, implementados e disponibilizados para garantir o grau de segurança adequado para a MB Guild.
- Gestão de Continuidade de Negócio: A MB Guild deve implementar planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais e relevantes sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.
- Classificação e Tratamento da Informação: Todas as informações e os respectivos recursos tecnológicos que as suportam devem ser classificados de acordo com grau de sigilo e receber o tratamento que garanta a proteção durante todo o ciclo de vida.
- Gestão de Acessos: O acesso aos ambientes físicos e lógicos da MB Guild deve ser controlado, registrado e monitorado, com base nos princípios da necessidade de conhecer e do privilégio mínimo para o desempenho das atividades profissionais para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente. Todos os dados e aplicações deverão ser acessados através de equipamentos corporativos a fim de assegurar a confidencialidade, integridade e disponibilidade das informações. É vedado o acesso de qualquer aplicação ou dado através de equipamentos que não se enquadrem neste contexto.
- Gestão de Incidentes: Todos os colaboradores, consultores e prestadores de serviço da MB Guild, em qualquer vínculo, função ou nível hierárquico têm a obrigação de reportar imediatamente quaisquer incidentes de segurança que tomaram conhecimento, de modo que possam ser registrados, avaliados e tratados pelo Time de Resposta a Incidentes (CSIRT) de acordo com o Plano de Resposta a Incidentes(PRI).
- Auditoria e Conformidade: A MB Guild reserva-se o direito de auditar periodicamente a prática de segurança da informação e comunicações, de forma a avaliar a conformidade das ações de seus colaboradores, consultores e prestadores de serviço em relação ao estabelecido pela Política de Segurança da Informação e Comunicações da Empresa e pela legislação aplicável.
- Monitoramento: A MB Guild reserva-se o direito de monitorar o acesso e utilização de recursos em seus ambientes físicos, assim como dos recursos corporativos disponibilizados aos colaboradores de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente e posteriormente tratadas.
- Treinamento e Conscientização: Um programa de conscientização, avaliação, educação e treinamento em Segurança da Informação, com o objetivo de disseminar a cultura de segurança da informação na MB Guild e avaliar o nível de maturidade e conhecimento dos colaboradores em relação aos temas ministrados, é essencial para garantir os objetivos desta Política.
- Desenvolvimento Seguro: Todo o ciclo de vida do desenvolvimento dos softwares da MB Guild deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança.
- Segurança de Redes: Todos os colaboradores da MB Guild devem acessar os recursos e sistemas utilizando redes físicas da empresa ou redes privadas com autenticação. A comunicação via rede dos recursos corporativos são monitorados e podem sofrer bloqueios de ameaças via ferramentas de monitoramento.
- Contratação de serviços terceirizados: deve-se assegurar que a parte contratada, e eventual(is) subcontratada(s) e/ou subordinada(s) cumpram os requisitos mínimos de governança cibernética no âmbito do gerenciamento de risco operacional.
Privacidade
- A MB Guild respeita a privacidade dos dados pessoais dos seus colaboradores, consultores, prestadores de serviço e clientes.
- Em proteção à Privacidade, somente dados necessários conforme finalidade ou legalmente exigidos para desempenho eficaz da Empresa e cumprimento de obrigações legais são solicitados e retidos ou divulgados em atendimento à legislação específica.
Recomendações de Segurança para Clientes
O MB possui ações de conscientização de Segurança públicas para clientes e que são transmitidas através de posts nas redes sociais oficiais, push de e-mail ou através do Guia de Segurança.
As ações de conscientização tem como objetivo ensinar boas práticas básicas de Segurança da Informação e alertar sobre novos tipos de golpes, de forma que nossos clientes possam ter ações preventivas em seus dispositivos pessoais e credenciais antes de acessar a nossa plataforma.
Canais de Comunicação de Segurança
A MB Guild possui dois canais públicos dedicados a segurança da informação, são eles:
[email protected] - Canal público para receber denúncias sobre problemas de segurança na estrutura, sistemas e ambiente do MB.
[email protected] - Canal público para receber denúncias de fraudes eletrônicas envolvendo, citando ou tentando se passar por qualquer empresa da MB Guild.