POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

1. Objetivo

Esta política tem como objetivo proteger a informação, independentemente de sua forma de recebimento, armazenamento, processamento, compartilhamento ou descarte na TECKEY. Ela reflete os princípios fundamentais da Gestão do Sistema de Segurança da Informação e Privacidade (SGSIP), garantindo a confidencialidade, integridade e disponibilidade dos dados em todos os momentos, com foco no alcance dos seguintes objetivos

• Manter o Sistema de Gestão de Segurança da Informação e Privacidade (SGSIP) em conformidade com as normas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27701:2019, assegurando sua eficácia por meio de melhoria.contínua;
• Identificar, compreender e tratar os riscos estratégicos e operacionais relacionados à Segurança da Informação, à Privacidade e à Proteção de Dados, de forma a eliminá-los, mitigá-los ou mantê-los em níveis aceitáveis, sem comprometer os requisitos legais aplicáveis, a estratégia ou a imagem institucional;
• Assegurar a confidencialidade e a proteção das informações de clientes, fornecedores, parceiros e colaboradores, bem como dos planos estratégicos, de desenvolvimento de produtos e de marketing da organização;
• Manter a disponibilidade dos ativos de informação, garantindo que estejam acessíveis sempre que necessário, minimizando interrupções e assegurando a continuidade das operações;
• Garantir a integridade das informações armazenadas, processadas ou em trânsito dentro e fora da organização, assegurando o acesso adequado aos sistemas e recursos internos e externos, conforme contratos, leis, portarias e regulamentações aplicáveis.

2. Princípios da Segurança da Informação

Compromisso com o tratamento adequado das informações se baseia nos seguintes princípios:

• Confidencialidade: o acesso à informação é permitido somente para pessoas autorizadas e quando ele for de fato necessário;
• Integridade: todos os esforços serão feitos para que as informações sejam exatas e completas bem como seu processamento;
• Disponibilidade: somente as pessoas autorizadas têm acesso à informação sempre que necessário;
• Autenticidade: todos os esforços serão feitos para que as informações sejam confiáveis e corretas, ou seja, as informações não serão alteradas de forma não autorizada ou indevida;
• Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.

3. Diretrizes da Segurança da Informação

As diretrizes a seguir norteiam a atuação dos colaboradores, fornecedores e prestadores de serviço da TECKEY em relação à segurança da informação:

• Proteger a confidencialidade, integridade e disponibilidade das informações acessadas ou tratadas em ambientes físicos e digitais.
• Agir com ética, responsabilidade e transparência, cumprindo as legislações vigentes, contratos, políticas internas e normas aplicáveis.
• Utilizar os recursos tecnológicos e informacionais da TECKEY exclusivamente para fins profissionais e autorizados.
• Respeitar a classificação da informação definida pela TECKEY, aplicando os controles adequados conforme o nível de sensibilidade dos dados.
• Proteger os ambientes de trabalho físicos e digitais, adotando controles apropriados, inclusive em atividades terceirizadas e com subcontratados.
• Comunicar, de forma proativa e tempestiva, qualquer incidente, desvio ou violação relacionada à segurança da informação ou à privacidade de dados.
• Contribuir para uma cultura organizacional baseada em responsabilidade, por meio da participação em ações de conscientização, avaliação, auditoria e melhoria contínua.

4. Requisitos da Segurança da Informação

Os fornecedores e prestadores de serviços com acesso a informações, sistemas ou infraestrutura da TECKEY devem:

• Assegurar que compreendam e cumpram suas responsabilidades quanto à proteção de informações e ativos.
• Cumprir as leis, normas, regulamentações e cláusulas contratuais relacionadas à segurança da informação.
• Garantir o uso exclusivo de dispositivos e sistemas da TECKEY para fins profissionais autorizados.
• Classificar, tratar, armazenar e descartar informações de acordo com seu nível de sensibilidade e criticidade.
• Proteger as informações da TECKEY durante todo o ciclo de vida da relação contratual (admissão, movimentações e desligamento).
• Responder a auditorias e avaliações de conformidade conduzidas pela TECKEY.
• Reportar imediatamente qualquer risco, incidente ou descumprimento relacionado à segurança da informação ou às normas da organização.

Requisitos Técnicos e Organizacionais

Os fornecedores e prestadores de serviços, quando aplicável, devem adotar controles compatíveis com os seguintes requisitos técnicos e organizacionais

• Manter política formal e atualizada de segurança da informação, aprovada pela alta gestão.
• Submeter-se a auditorias internas ou externas de segurança, quando demandado.
• Demonstrar maturidade através de certificações reconhecidas em segurança da informação (ex: ISO 27001, ISO 27701, SOC 2), quando aplicável.
• Manter plano de continuidade de negócios (PCN) e plano de recuperação de desastres testados, revisados e com SLAs definidos.
• Manter política de backup com rotinas periódicas e testes documentados de restauração.
• Assegurar que subcontratados e parceiros mantenham o mesmo nível de segurança exigido pela TECKEY.
• Garantir a revogação imediata de acessos e a devolução dos ativos ao término da relação contratual.
• Implantar gestão de acessos baseada no princípio do menor privilégio.
• Conceder, revisar e revogar acessos de forma controlada, documentada e rastreável.
• Monitorar e registrar acessos privilegiados e críticos, garantindo sua auditoria.
• Aplicar autenticação multifator (MFA) e exigir senhas fortes com política de renovação periódica.
• Utilizar credenciais individuais e intransferíveis para acesso a sistemas, redes e ambientes.
• Criptografar dados confidenciais em repouso e em trânsito, utilizando algoritmos robustos (como AES-256), conforme viabilidade técnica.
• Proteger os ativos com criptografia, soluções antimalware, políticas de bloqueio automático e controle de mídias removíveis.
• Implementar perímetros de segurança para áreas de armazenamento e processamento de dados.
• Configurar e manter firewalls, IDS/IPS, controle de navegação, soluções DLP, MDM e NAC, conforme aplicável.
• Gerenciar acessos físicos e lógicos, prevenindo acessos não autorizados, perda ou furto de dados.
• Adotar práticas de desenvolvimento seguro ao longo do ciclo de vida de software (SDLC).
• Segregar os ambientes de produção, desenvolvimento e testes, aplicando controles específicos em cada ambiente.
• Estabelecer processo formal de gestão de mudanças, incluindo aprovação, testes, rollback e registro de alterações.
• Realizar testes automatizados de segurança nas aplicações (SAST e DAST), integrados à esteira de desenvolvimento.
• Implementar ferramentas de varredura automatizada em infraestrutura (vulnerability scanners), com execução periódica e gestão de correções.
• Executar testes de intrusão (pentests) manuais em aplicações e ambientes de infraestrutura, conduzidos por profissionais qualificados.
• Avaliar e mitigar vulnerabilidades identificadas com base na criticidade e dentro de prazos definidos.

Requisitos para Avaliações de Conformidade

A TECKEY poderá realizar auditorias ou avaliações periódicas de segurança da informação junto aos fornecedores e prestadores de serviços. Nestes casos, os envolvidos devem estar preparados para:

• Responder ao questionário de segurança da informação fornecido pela TECKEY;
• Disponibilizar evidências documentais que comprovem a conformidade com os requisitos exigidos;
• Participar de entrevistas remotas ou receber visitas presenciais, conforme aplicável;
• Elaborar e implementar planos de ação corretiva com prazos acordados com a área de Segurança da Informação da TECKEY, em caso de identificação de não conformidades.

O questionário encontra-se localizado em nosso espaço da plataforma SharePoint, no documento para a Avaliação da Plataforma/Solução do Fornecedor, e pode ser obtido por meio do seguinte link:

https://teckeysolutions.sharepoint.com/:x:/s/FormsDueDiligence/EbsOf3iaUyVAsvXxdUGQicYBdcuaDbHzs8wCntJPLyyeVQ?e=CVHQti

5. Canais de Comunicação

Suspeitou de um e-mail malicioso ou identificou qualquer comportamento anômalo que possa representar um risco à segurança da informação?

Encaminhe imediatamente um e-mail para: seguranca.informacao@teckeysolutions.com.br

6. Documentos de Referências

• Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
• Normas ISO/IEC 27001
• Normas ISO/IEC 27701
• Requisitos contratuais e regulatórios aplicáveis

7. Disposições Gerais

• Este documento passará por revisões a cada um ano
• Revisões adicionais podem ser realizadas sob demanda, caso haja mudanças significativas nas circunstâncias, nos requisitos regulatórios ou nas práticas recomendadas de segurança da informação.
• O descumprimento das disposições aqui descritas pode resultar em sanções contratuais.

8. Vigência