Política de Segurança da Informação
Propósito e Objetivo
Esta Política tem como propósito e objetivo estabelecer os princípios, diretrizes e compromissos necessários para proteger as informações, assegurando sua confidencialidade, integridade, disponibilidade e conformidade. Está alinhada com a implementação, manutenção e melhoria contínua do Sistema de Gestão de Segurança da Informação (SGSI), garantindo: a gestão adequada de riscos relacionados à segurança da informação; o atendimento às legislações, regulamentações, requisitos normativos, contratuais e internos aplicáveis e o alinhamento com os objetivos de Segurança definidos em seu SGSI.
Abrangência
Aplica-se a todos os colaboradores, estagiários, administradores, terceiros, fornecedores, parceiros, prestadores de serviços e demais partes interessadas que, direta ou indiretamente, acessam e tratam informações, dados ou ativos sob responsabilidade da Tarken.
Princípio Gerais e Compromissos
Tarken adota os seguintes princípios e compromissos:
Confidencialidade: Garantir que as informações sejam acessadas apenas por indivíduos, sistemas ou processos devidamente autorizados, evitando divulgação indevida, perda de sigilo ou acesso não autorizado.
Integridade: Assegurar que as informações sejam mantidas corretas, íntegras, completas e protegidas contra modificações não autorizadas, acidentais ou maliciosas.
Disponibilidade: Garantir que informações, sistemas, serviços e recursos estejam acessíveis e operacionais sempre que necessários, dentro dos níveis adequados conforme requisitos do negócio e acordos de serviço.
Conformidade e Legalidade: Assegurar aderência às legislações, regulamentações, normas, requisitos contratuais, regulatórios e políticas internas aplicáveis, incluindo obrigações de auditoria, privacidade, proteção de dados e requisitos técnicos.
Responsabilidade e Prestação de Contas: Promover que todos os usuários compreendam e cumpram suas responsabilidades relativas à proteção das informações e ao uso adequado dos ativos, conforme controles internos do SGSI.
Melhoria Contínua: Manter um processo estruturado para avaliar, monitorar e melhorar continuamente o SGSI, seus controles, desempenho e eficácia, considerando mudanças internas, externas e resultados de auditorias e avaliações de risco.
Diretrizes de Segurança da Informação
As diretrizes de Segurança da Informação são norteadas pelos objetivos de Segurança estabelecidos pelo Sistema de Gestão de Segurança da Informação e pelas melhores práticas aplicáveis.
A abordagem de avaliação e tratamento dos riscos deve ser planejada como parte das estratégias de Segurança da Informação da Tarken, levando em consideração os requisitos das partes interessadas, necessidades do negócio, conformidade legal e regulamentar e os requisitos contratuais para os serviços.
Devem ser adotadas controles técnicos, organizacionais, de pessoas e físicos, de forma a reduzir os níveis de riscos e garantir a efetividade e aderência às melhores práticas para a Segurança da Informação e assegurar a confidencialidade, integridade e disponibilidade das informações, abrangendo:
Classificação da Informação: As informações devem ser classificadas para indicar os níveis de sensibilidade e criticidade das informações, orientando seu tratamento, armazenamento, acesso e compartilhamento de forma compatível com seu valor e impacto potencial em caso de divulgação, alteração ou perda.
Gestão de Acessos: A gestão de acessos deve assegurar que os usuários possuam os níveis apropriados de acesso às informações e aos recursos tecnológicos, conforme suas funções, responsabilidades e necessidades operacionais, garantindo que todos os mecanismos para autorização e autenticação seguras sejam implementados.
Segurança de Ativos de Informação: A segurança deve garantir a proteção dos dados, aplicações e recursos de infraestrutura contra acessos não autorizados, uso indevido, falhas, alterações indevidas, perdas ou interrupções, garantindo a continuidade dos negócios e a conformidade com requisitos legais, regulatórios e contratuais.
Segurança em Recursos Humanos: A segurança em recursos humanos deve assegurar que colaboradores, prestadores de serviços e terceiros compreendam suas responsabilidades em relação à Segurança da Informação, atuem de forma consciente durante todo o seu vínculo contratual, e que os riscos relacionados aos fatores humanos sejam adequadamente gerenciados.
Gestão de Vulnerabilidades: A gestão de vulnerabilidades deve identificar, avaliar, tratar e monitorar fragilidades em sistemas, aplicações, redes e demais ativos tecnológicos, reduzindo riscos de exploração por ameaças internas ou externas.
Gestão de Incidentes de Segurança da Informação: A gestão de incidentes de Segurança da Informação deve identificar, registrar, analisar, tratar e comunicar eventos e incidentes que possam comprometer a confidencialidade, integridade ou disponibilidade das informações.
Gerenciamento de Operações e Comunicações: O gerenciamento de operações e comunicações deve assegurar que os recursos de tecnologia da informação e comunicação (TIC) sejam operados de forma segura, controlada e eficiente, garantindo a proteção das informações durante o seu processamento, armazenamento e transmissão.
Segurança Física e do Ambiente: Medidas de segurança física e do ambiente devem ser implementadas para proteger os ativos de informação contra acessos não autorizados, danos, interferências ou perdas resultantes de ameaças físicas, ambientais ou humanas. Isso inclui a proteção de instalações, equipamentos, sistemas e mídias de armazenamento que suportam o processamento e o armazenamento de informações.
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: Os processos de aquisição, desenvolvimento e manutenção de sistemas de informação devem seguir princípios de segurança desde as fases iniciais dos projetos até sua implantação e manutenção contínua, de forma a prevenir vulnerabilidades, garantir a integridade dos dados e proteger os ativos.
Relacionamento com Terceiros: O relacionamento com terceiros, incluindo fornecedores, prestadores de serviço, parceiros e quaisquer entidades externas que tenham acesso a informações ou recursos tecnológicos, deve ser conduzido com base em critérios que assegurem o cumprimento dos requisitos de Segurança da Informação.
Continuidade de Negócios: A gestão da continuidade de negócios deve assegurar as capacidades para manter ou restabelecer, em tempo hábil, as operações críticas em caso de incidentes que causem interrupções significativas, minimizando impactos operacionais, financeiros, legais, contratuais e reputacionais.
Conscientização para Segurança da Informação: As medidas e ações de conscientização devem promover uma cultura organizacional orientada à proteção das informações, aumentando o nível de conhecimento, responsabilidade e engajamento de colaboradores, prestadores de serviço e terceiros no cumprimento das diretrizes de segurança estabelecidas.
Papéis e Responsabilidades
Para garantir a aplicação consistente dos controles de proteção das informações, todos os envolvidos no tratamento de informações devem atuar de forma ética, transparente e responsável, contribuindo para que a organização mantenha elevados padrões de conformidade e governança em segurança da informação e devem compreender e cumprir suas obrigações, conforme descrito a seguir:
Alta Direção: Responsável por aprovar a Política de Segurança da Informação, assegurar seu alinhamento com os objetivos estratégicos da organização e prover os recursos necessários para sua implementação e manutenção.
Gestão do Sistema de Segurança da Informação: Responsáveis por definir, manter e revisar as diretrizes desta Política, das normas e dos procedimentos de segurança da informação; promover a conscientização; realizar análises de risco; acompanhar incidentes e garantir a conformidade com requisitos legais, regulatórios e contratuais.
Equipes de Tecnologia e Segurança da Informação: Responsáveis por implementar e manter os controles de segurança, monitorar ambientes tecnológicos, apoiar a gestão de incidentes e zelar pela continuidade, integridade e disponibilidade das informações e serviços.
Gestores de Área / Proprietários da Informação: Responsáveis por assegurar que os controles de segurança sejam aplicados adequadamente em seus processos e informações sob sua responsabilidade, bem como por apoiar a gestão de riscos e garantir o uso correto dos recursos de informação.
Colaboradores, Terceiros e Usuários em Geral: Responsáveis por cumprir as diretrizes da Política de Segurança da Informação, proteger as informações às quais tenham acesso, utilizar os recursos de forma responsável e reportar prontamente qualquer incidente ou situação de risco.
Disposições Finais
A Política de Segurança da Informação representa o compromisso da Tarken com a proteção dos seus ativos de informação, a continuidade dos negócios, a conformidade legal e regulatória, e a preservação da confiança de seus clientes, colaboradores, parceiros e demais partes interessadas.
Todos os colaboradores, terceiros e prestadores de serviço são responsáveis por conhecer, compreender e cumprir as diretrizes estabelecidas neste documento, contribuindo ativamente para a criação e manutenção de um ambiente seguro, ético e resiliente.
Esta política deve ser revisada a cada 12 meses ou sempre que houver alterações significativas, considerando mudanças tecnológicas, legais, organizacionais e de risco, garantindo sua efetividade e aderência às necessidades da organização.
O descumprimento das diretrizes estabelecidas poderá acarretar medidas disciplinares, sanções contratuais ou outras ações cabíveis, conforme a gravidade da infração e os normativos internos vigentes.
Atualizações
Última atualização: 3 de dezembro de 2025.
TARKEN SOFTWARE LTDA
© 2025 Tarken