Fica instituída a Política de Segurança da Informação, com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação, reafirmando o compromisso da Tarken para com o atendimento dos requisitos relacionados com segurança da informação aplicáveis e com a melhoria contínua do Sistema de Gestão da Segurança da Informação; 

Esta Política aplica-se a todas as unidades organizacionais da Tarken, e deverá ser observada por todos os usuários de informação, conforme abrangência e atribuições para acesso aos ativos e informações sob sua responsabilidade. 

4.1. Objetivos da Política de Segurança da Informação 
São objetivos da Política de Segurança da Informação:  

• estabelecer diretrizes a fim de proteger as informações e ativos de informação assegurando o atendimento aos princípios de disponibilidade, integridade, confiabilidade e legalidade das informações; 

• determinar mecanismos de Segurança da Informação, de forma a contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis e gerenciáveis; 

• estabelecer competências e responsabilidades quanto à segurança da informação; 

• nortear a definição de processos, políticas, medidas de controles e ações necessários à efetiva implementação da segurança da informação; 

• cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual e os serviços oferecidos para esse propósito, bem como outras legislações e regulamentações para proteção de dados e informações; 

• estar alinhada com os objetivos de segurança da informação estabelecidos para o Sistema de Gestão de Segurança da Informação, além de fomentar as melhores práticas de segurança da informação.  

4.2. Diretrizes de Segurança da Informação 
As diretrizes de Segurança da Informação são norteadas pelos objetivos de Segurança da Informação e melhores práticas aplicáveis. Devem ser adotadas medidas técnicas e administrativas para assegurar a confidencialidade, integridade e disponibilidade das informações, abrangendo: 

4.2.1. Abordagem de Riscos 
A abordagem de avaliação e tratamento dos riscos de segurança identificados deve ser planejada nas estratégias de Segurança da Informação da Tarken, levando em consideração os requisitos das partes interessadas, necessidades do negócio, conformidade legal e regulamentar e, requisitos contratuais para os serviços. 

A partir da avaliação dos riscos devem ser adotados controles técnicos, organizacionais e de pessoas, de forma a reduzir os níveis de riscos e garantir a efetividade e aderência às melhores práticas e recomendações de frameworks voltados para Segurança da Informação. 

4.2.2. Conformidade 
A conformidade em Segurança da Informação deve garantir que todas as atividades, processos e controles da organização estejam em conformidade com as leis, regulamentações, normas, requisitos contratuais e políticas internas aplicáveis. 

O cumprimento das obrigações legais e regulatórias é essencial para a integridade institucional, a mitigação de riscos e a preservação da reputação da organização. Para isso, devem ser observadas as seguintes diretrizes: 

• Atendimento às legislações e regulamentações vigentes, incluindo, mas não se limitando à Lei Geral de Proteção de Dados (LGPD), normas de órgãos reguladores setoriais e legislações específicas de segurança e privacidade; 

• Aderência a políticas, normas e procedimentos internos, garantindo que colaboradores, terceiros e parceiros cumpram as diretrizes estabelecidas; 

• Gestão de riscos de conformidade, com identificação e tratamento de possíveis não conformidades relacionadas à segurança da informação; 

• Realização de auditorias internas e externas, para avaliar a eficácia dos controles implementados e propor melhorias contínuas; 

• Tratamento adequado de não conformidades, com registro, análise de causa, plano de ação e acompanhamento até a resolução; 

• Cooperação com órgãos reguladores e autoridades competentes, sempre que necessário, respeitando os princípios legais e éticos da organização. 

Todos os envolvidos no tratamento de informações devem atuar de forma ética, transparente e responsável, contribuindo para que a organização mantenha elevados padrões de conformidade e governança em segurança da informação. 

4.2.3. Classificação da Informação 
As informações devem ser classificadas para indicar os níveis de sensibilidade e criticidade das informações, orientando seu tratamento, armazenamento, acesso e compartilhamento de forma compatível com seu valor e impacto potencial em caso de divulgação, alteração ou perda. 

Todas as informações, independentemente do meio ou formato em que se encontrem, devem ser classificadas de acordo com critérios previamente definidos e tratadas conforme seu grau de confidencialidade. As diretrizes incluem: 

• Definição de níveis de classificação da informação; 

• Identificação clara da classificação nos documentos e sistemas, sempre que aplicável; 

• Tratamento diferenciado conforme o nível de classificação, incluindo controle de acesso, meios permitidos de armazenamento e canais autorizados de compartilhamento; 

• Responsabilidade dos proprietários da informação pela correta classificação e revisão periódica das informações sob sua gestão; 

• Conscientização dos usuários quanto ao correto manuseio das informações, conforme sua classificação; 

• Aplicação de medidas técnicas e administrativas, como criptografia, restrição de acesso, proteção de backup e políticas de descarte seguro, de acordo com o nível de sensibilidade da informação. 

A correta classificação e proteção das informações é essencial para garantir sua confidencialidade, integridade e disponibilidade, conforme os princípios da segurança da informação e os requisitos legais e contratuais aplicáveis. 

4.2.4. Gestão de Acessos 
A gestão de acessos deve assegurar que os usuários possuam os níveis apropriados de acesso às informações e recursos tecnológicos da Tarken, conforme suas responsabilidades e necessidades operacionais. Deve garantir a confidencialidade, integridade e disponibilidade das informações, minimizando riscos de acessos indevidos, vazamentos ou alterações não autorizadas, norteada por procedimentos rígidos que incluem regras e diretivas para: 

• Prevenir acessos não autorizados a sistemas e dados sensíveis; 

• Atender a requisitos legais, regulatórios e normativos aplicáveis; 

• Prover rastreabilidade e suporte a processos de auditoria; 

• Apoiar a produtividade organizacional com segurança e responsabilidade. 

O gerenciamento dos direitos acessos é extremamente importante para assegurar que as informações sejam adequadamente acessadas e em estrita observância às finalidades e necessidades de negócio. 

4.2.5. Segurança de Ativos de Informação 
A segurança de dados, aplicações e infraestrutura deve garantir a proteção dos ativos de informação da Tarken contra acessos não autorizados, uso indevido, falhas, alterações indevidas, perdas ou interrupções, garantindo a continuidade dos negócios e a conformidade com requisitos legais e regulatórios, incluindo: 

• Dados: Proteção de dados em repouso, em trânsito e em uso, independentemente do meio ou formato, garantindo que o tratamento das informações siga princípios de segurança e privacidade, incluindo a conformidade com a LGPD e demais legislações aplicáveis. 

• Aplicações: Implementação de controles de segurança durante todo o ciclo de vida dos sistemas, desde o desenvolvimento até a operação, assegurando que os sistemas sejam projetados, desenvolvidos e mantidos com foco em proteção contra vulnerabilidades e ameaças.

• Infraestrutura: Estabelecimento de mecanismos de controle e monitoramento da infraestrutura tecnológica (redes, servidores, dispositivos, ambientes em nuvem, entre outros), visando prevenir, detectar e responder a incidentes de segurança e garantir a resiliência operacional. 

A segurança desses componentes é uma responsabilidade compartilhada e contínua, devendo ser sustentada por processos de gestão de riscos, auditorias, atualizações regulares e capacitação dos colaboradores. 

4.2.6. Segurança em Recursos Humanos 
A segurança em recursos humanos deve assegurar que colaboradores, prestadores de serviço e terceiros compreendam suas responsabilidades em relação à Segurança da Informação, atuem de forma consciente e segura durante todo o seu vínculo com a Tarken, e que os riscos relacionados a fatores humanos sejam adequadamente gerenciados. 

As diretrizes de segurança devem abranger todas as fases do ciclo de relacionamento com o indivíduo, conforme descrito a seguir: 

• Antes da contratação: realização de processos seletivos com critérios adequados ao nível de responsabilidade da função, assinatura de termos de confidencialidade, e comunicação clara sobre as obrigações relacionadas à proteção da informação. 

• Durante a permanência: promoção contínua da conscientização em segurança da informação, definição clara de responsabilidades, aplicação de controles de acesso baseados nas funções e monitoramento do uso adequado dos recursos tecnológicos. 

• No desligamento ou mudança de função: revogação imediata de acessos, devolução de ativos e documentos da organização, e reforço das obrigações pós-contratuais de confidencialidade. 

  Todos os colaboradores devem atuar com responsabilidade no tratamento de informações, contribuindo ativamente para a proteção dos ativos da organização e cumprindo as políticas e normas internas de segurança da informação. 

4.2.7. Gestão de Vulnerabilidades 
A gestão de vulnerabilidades deve identificar, avaliar, tratar e monitorar fragilidades em sistemas, aplicações, redes e demais ativos tecnológicos da Tarken, reduzindo riscos de exploração por ameaças internas ou externas. 

Uma abordagem proativa e contínua para garantir que vulnerabilidades sejam gerenciadas de forma eficaz deve ser adotada, contribuindo para a resiliência do ambiente e a proteção das informações. As diretrizes incluem: 

• Realização periódica de varreduras e avaliações técnicas, como varreduras de vulnerabilidades e testes de segurança nos ambientes tecnológicos; 

• Priorização e tratamento das vulnerabilidades identificadas com base em critérios de risco, criticidade do ativo e impacto potencial ao negócio; 

• Aplicação controlada de correções (patches) e atualizações de segurança, com testes e validação em ambientes adequados antes da implantação; 

• Monitoramento de fontes confiáveis sobre novas vulnerabilidades, ameaças emergentes e atualizações de fornecedores; 

• Documentação e rastreabilidade do processo de correção, com evidências e indicadores que permitam o acompanhamento da eficácia das ações; 

• Integração com os processos de gestão de riscos, mudanças e incidentes, garantindo respostas coordenadas e preventivas. 

  A identificação e correção oportuna de vulnerabilidades são essenciais para prevenir incidentes de segurança e garantir a confiança na infraestrutura tecnológica da organização. 

4.2.8. Gestão de Incidentes de Segurança da Informação 
A gestão de incidentes de Segurança da Informação deve identificar, registrar, analisar, tratar e comunicar eventos que possam comprometer a confidencialidade, integridade ou disponibilidade das informações e ativos da Tarken. 

Devem ser estabelecidos procedimentos formais para garantir uma resposta eficaz e tempestiva diante de incidentes, visando minimizar impactos, restaurar os serviços afetados e prevenir recorrências. Entre as principais diretrizes estão: 

• Detecção e registro de incidentes por meio de canais apropriados, com classificação conforme criticidade e impacto; 

• Análise técnica e investigação das causas e consequências do incidente; 

• Adoção de medidas corretivas e mitigadoras, incluindo contenção, erradicação e recuperação; 

• Comunicação transparente às partes interessadas, conforme a natureza do incidente e os requisitos legais aplicáveis; 

• Registro e documentação completa de cada incidente, incluindo lições aprendidas e recomendações de melhoria; 

• Monitoramento contínuo e revisão periódica do processo de gestão de incidentes, com foco na melhoria contínua. 

  Todos os colaboradores, prestadores de serviço e terceiros devem estar cientes da importância de reportar imediatamente qualquer indício de incidente de segurança, contribuindo para a proteção dos ativos de informação e a continuidade das operações da organização. 

4.2.9. Gerenciamento de Operações e Comunicações 
O gerenciamento de operações e comunicações deve assegurar que os recursos de tecnologia da informação e comunicação (TIC) da Tarken sejam operados de forma segura, controlada e eficiente, garantindo a proteção das informações durante o seu processamento, armazenamento e transmissão. 

Devem ser adotadas práticas e controles para prevenir falhas, acessos não autorizados, vazamentos e interrupções, além de assegurar a rastreabilidade das atividades operacionais. As diretrizes incluem: 

• Padronização de procedimentos operacionais para instalação, configuração, manutenção e monitoramento de sistemas, redes e serviços de TI; 

• Segregação de funções e ambientes, evitando conflitos de interesse e acesso inadequado a sistemas críticos; 

• Monitoramento contínuo de infraestrutura e serviços, com registro e análise de eventos relevantes para detecção de falhas e incidentes; 

• Controle de mudanças, com avaliação prévia de riscos, documentação adequada e testes antes da implantação de alterações em ambientes produtivos; 

• Gerenciamento de capacidade e desempenho, assegurando que os recursos de TI atendam às demandas da organização de forma eficiente e segura; 

• Proteção das comunicações eletrônicas, incluindo o uso seguro de redes, e-mails, dispositivos móveis e ferramentas de colaboração; 

• Uso seguro de softwares e licenças, prevenindo o uso de aplicações não autorizadas, maliciosas ou fora de conformidade legal. 

  A operação segura e a comunicação protegida são essenciais para garantir a continuidade dos serviços, a integridade das informações e a confiança nos sistemas corporativos. 

4.2.10. Segurança Física e do Ambiente 

Medidas de segurança física e do ambiente devem ser implementadas para proteger os ativos de informação contra acessos não autorizados, danos, interferências ou perdas resultantes de ameaças físicas, ambientais ou humanas. Isso inclui a proteção de instalações, equipamentos, sistemas e mídias de armazenamento que suportam o processamento e o armazenamento de informações da Tarken. 

Devem ser adotadas medidas para assegurar a integridade dos ambientes físicos e a continuidade das operações, conforme as seguintes diretrizes: 

• Controle de acesso físico às áreas sensíveis e restritas, com mecanismos de autenticação e monitoramento apropriados; 

• Segregação de ambientes conforme o nível de criticidade da informação ou função desempenhada, como salas de servidores, data centers, áreas de desenvolvimento e ambientes administrativos; 

• Proteção contra ameaças ambientais, como incêndios, inundações, variações de temperatura e falhas de energia, por meio de equipamentos e sistemas adequados (ex.: nobreaks, geradores, sensores, extintores, climatização controlada); 

• Registro e monitoramento de acessos físicos, com sistemas de vigilância, alarmes e auditorias periódicas; 

• Procedimentos de segurança para visitantes e prestadores de serviço, com autorização prévia, acompanhamento e restrição de circulação; 

• Proteção e descarte seguro de equipamentos e mídias, garantindo que dados sensíveis não sejam expostos ou recuperados indevidamente. 

  A segurança física é parte integrante da proteção da informação e deve ser tratada com o mesmo nível de atenção e responsabilidade dos controles lógicos e administrativos. 

4.2.11. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 
Os processos de aquisição, desenvolvimento e manutenção de sistemas de informação devem seguir princípios de segurança desde as fases iniciais dos projetos até sua implantação e manutenção contínua, de forma a prevenir vulnerabilidades, garantir a integridade dos dados e proteger os ativos da Tarken. 

As práticas de segurança devem estar integradas ao ciclo de vida dos sistemas, considerando requisitos técnicos, legais e de negócio. As diretrizes incluem: 

• Definição e documentação de requisitos de segurança da informação desde a fase de levantamento e análise dos sistemas; 

• Avaliação de riscos associados a novas soluções, atualizações e integrações, com base na criticidade das informações tratadas; 

• Adoção de práticas seguras de codificação, mitigando falhas comuns e prevenindo vulnerabilidades conhecidas; 

• Testes de segurança e validação antes da implantação, incluindo testes de funcionalidade, desempenho e resiliência; 

• Gestão de mudanças controlada, assegurando que atualizações ou correções sejam analisadas, testadas e aprovadas antes da liberação em ambientes produtivos; 

• Controle de acesso aos ambientes de desenvolvimento, homologação e produção, garantindo segregação adequada de funções; 

• Revisão periódica dos sistemas quanto a atualizações de segurança, correções de vulnerabilidades e aderência às políticas internas; 

• Adoção de critérios de segurança na aquisição de softwares e serviços de terceiros, garantindo que fornecedores cumpram requisitos mínimos de proteção da informação. 

A segurança no ciclo de vida dos sistemas de informação é essencial para prevenir falhas, reduzir riscos cibernéticos e assegurar a confiabilidade e disponibilidade dos serviços prestados pela organização. 

4.2.12.Relacionamento com Terceiros 
O relacionamento com terceiros, incluindo fornecedores, prestadores de serviço, parceiros e quaisquer entidades externas que tenham acesso a informações ou recursos da Tarken, deve ser conduzido com base em critérios que assegurem o cumprimento dos requisitos de Segurança da Informação. 

Para garantir que todos os terceiros estejam cientes de suas responsabilidades quanto à proteção dos ativos de informação e que adotem controles compatíveis com os padrões de segurança devem ser estabelecidos. Para isso, devem ser observadas as seguintes diretrizes: 

• Avaliação prévia de riscos associados ao compartilhamento de informações ou ao acesso a sistemas por terceiros; 

• Formalização contratual com cláusulas específicas de segurança da informação, confidencialidade, responsabilidade e penalidades em caso de descumprimento; 

• Definição clara de níveis de acesso, baseados no princípio do menor privilégio, e monitoramento contínuo das atividades realizadas; 

• Requisitos de segurança aplicáveis durante todo o ciclo de vida da relação contratual, incluindo onboarding, operação e encerramento; 

• Conscientização dos terceiros quanto às políticas internas de segurança da informação e às boas práticas exigidas pela organização; 

• Fiscalização e auditoria, sempre que necessário, para garantir a conformidade com os controles estabelecidos. 

  A gestão adequada do relacionamento com terceiros é essencial para reduzir riscos, proteger os ativos da informação e garantir a integridade do ambiente corporativo, especialmente em contextos de terceirização, serviços em nuvem e parcerias estratégicas. 

4.2.13. Continuidade de Negócios 
A gestão da continuidade de negócios deve assegurar que a Tarken seja capaz de manter ou restabelecer, em tempo hábil, suas operações críticas em caso de incidentes que causem interrupções significativas, minimizando impactos operacionais, financeiros, legais e reputacionais. 

Para isso, devem ser estabelecidos e mantidos planos, processos e controles que garantam a resiliência dos ativos de informação, abrangendo: 

• Identificação de processos críticos e seus respectivos recursos de informação (dados, sistemas, infraestrutura e pessoas); 

• Análise de impacto nos negócios (BIA) e avaliação de riscos associados a interrupções de serviços essenciais; 

• Desenvolvimento de planos de continuidade e recuperação de desastres (PCN/DRP) com responsabilidades claras e procedimentos de resposta e restabelecimento; 

• Testes periódicos e revisões dos planos, visando assegurar sua eficácia e aderência às necessidades da organização; 

• Capacitação e conscientização das equipes envolvidas para garantir uma resposta coordenada e eficaz em situações de crise. 

  A continuidade dos negócios está diretamente relacionada à preservação da Segurança da Informação e deve ser considerada em conjunto com os demais controles de proteção de dados, aplicações e infraestrutura. 

4.2.14. Conscientização para Segurança da Informação 
A conscientização em Segurança da Informação deve promover uma cultura organizacional orientada à proteção das informações, aumentando o nível de conhecimento, responsabilidade e engajamento de colaboradores, prestadores de serviço e terceiros no cumprimento das diretrizes de segurança estabelecidas pela Tarken. 

Ações contínuas de educação, capacitação e sensibilização devem ser implementadas, garantindo que todos os envolvidos compreendam os riscos relacionados ao uso da informação e saibam como agir adequadamente diante de situações que envolvam segurança. As diretrizes incluem: 

• Programas periódicos de conscientização, com conteúdo atualizado sobre boas práticas, políticas internas, ameaças cibernéticas e responsabilidades individuais; 

• Treinamentos obrigatórios de segurança da informação, especialmente durante o processo de integração de novos colaboradores ou em mudanças de função com impacto em acesso à informação; 

• Campanhas educativas e materiais de apoio, como comunicados, vídeos, guias e alertas sobre riscos emergentes; 

• Avaliação de eficácia das ações de conscientização, por meio de testes, simulações ou indicadores de aderência às políticas; 

• Reforço de condutas seguras no uso de recursos tecnológicos, no manuseio de informações sensíveis e na resposta a incidentes. 

  A participação nos treinamentos e ações de conscientização é obrigatória, e seu cumprimento será monitorado regularmente, contribuindo para a maturidade e eficácia do Sistema de Gestão da Segurança da Informação.