Política de Segurança da Informação
Propósito
Esta Política tem como propósito e objetivos a proteção das informações e os ativos da Tarken, assegurando sua disponibilidade, integridade, confiabilidade e conformidade legal, o estabelecimento de diretrizes, processos, controles e responsabilidades que promovam a gestão eficiente dos riscos, o cumprimento das legislações e normas aplicáveis, e o alinhamento com os objetivos e melhores práticas do Sistema de Gestão de Segurança da Informação.
Abrangência
Aplica-se a todos os colaboradores, terceiros, fornecedores, parceiros e outras partes interessadas que acessam ou processam informações utilizadas na Tarken, conforme abrangência e atribuições para acesso aos ativos e informações sob sua responsabilidade.
Princípio Gerais
Confidencialidade: Garantir que as informações sejam acessadas apenas por pessoas, sistemas ou processos devidamente autorizados.
Integridade: Assegurar que a informação esteja correta, completa e não tenha sido alterada de forma indevida, seja acidental ou maliciosamente.
Disponibilidade: Garantir que a informação e os sistemas estejam acessíveis e operacionais sempre que necessário, dentro dos níveis de serviço esperados.
Legalidade: Assegurar que o tratamento de dados e as práticas de segurança estejam em conformidade com as leis, regulamentações e normativas vigentes.
Diretrizes de Segurança da Informação
As diretrizes de Segurança da Informação são norteadas pelos objetivos de Segurança da Informação e melhores práticas aplicáveis.
A abordagem de avaliação e tratamento dos riscos deve ser planejada como parte das estratégias de Segurança da Informação da Tarken, levando em consideração os requisitos das partes interessadas, necessidades do negócio, conformidade legal e regulamentar e os requisitos contratuais para os serviços.
Devem ser adotadas controles técnicos, organizacionais, de pessoas e físicos, de forma a reduzir os níveis de riscos e garantir a efetividade e aderência às melhores práticas para a Segurança da Informação e assegurar a confidencialidade, integridade e disponibilidade das informações, abrangendo:
Classificação da Informação: As informações devem ser classificadas para indicar os níveis de sensibilidade e criticidade das informações, orientando seu tratamento, armazenamento, acesso e compartilhamento de forma compatível com seu valor e impacto potencial em caso de divulgação, alteração ou perda.
Gestão de Acessos: A gestão de acessos deve assegurar que os usuários possuam os níveis apropriados de acesso às informações e aos recursos tecnológicos, conforme suas funções, responsabilidades e necessidades operacionais, garantindo que todos os mecanismos para autorização e autenticação seguras sejam implementados.
Segurança de Ativos de Informação: A segurança deve garantir a proteção dos dados, aplicações e recursos de infraestrutura contra acessos não autorizados, uso indevido, falhas, alterações indevidas, perdas ou interrupções, garantindo a continuidade dos negócios e a conformidade com requisitos legais, regulatórios e contratuais.
Segurança em Recursos Humanos: A segurança em recursos humanos deve assegurar que colaboradores, prestadores de serviços e terceiros compreendam suas responsabilidades em relação à Segurança da Informação, atuem de forma consciente durante todo o seu vínculo contratual, e que os riscos relacionados aos fatores humanos sejam adequadamente gerenciados.
Gestão de Vulnerabilidades: A gestão de vulnerabilidades deve identificar, avaliar, tratar e monitorar fragilidades em sistemas, aplicações, redes e demais ativos tecnológicos, reduzindo riscos de exploração por ameaças internas ou externas.
Gestão de Incidentes de Segurança da Informação: A gestão de incidentes de Segurança da Informação deve identificar, registrar, analisar, tratar e comunicar eventos e incidentes que possam comprometer a confidencialidade, integridade ou disponibilidade das informações.
Gerenciamento de Operações e Comunicações: O gerenciamento de operações e comunicações deve assegurar que os recursos de tecnologia da informação e comunicação (TIC) sejam operados de forma segura, controlada e eficiente, garantindo a proteção das informações durante o seu processamento, armazenamento e transmissão.
Segurança Física e do Ambiente: Medidas de segurança física e do ambiente devem ser implementadas para proteger os ativos de informação contra acessos não autorizados, danos, interferências ou perdas resultantes de ameaças físicas, ambientais ou humanas. Isso inclui a proteção de instalações, equipamentos, sistemas e mídias de armazenamento que suportam o processamento e o armazenamento de informações.
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: Os processos de aquisição, desenvolvimento e manutenção de sistemas de informação devem seguir princípios de segurança desde as fases iniciais dos projetos até sua implantação e manutenção contínua, de forma a prevenir vulnerabilidades, garantir a integridade dos dados e proteger os ativos.
Relacionamento com Terceiros: O relacionamento com terceiros, incluindo fornecedores, prestadores de serviço, parceiros e quaisquer entidades externas que tenham acesso a informações ou recursos tecnológicos, deve ser conduzido com base em critérios que assegurem o cumprimento dos requisitos de Segurança da Informação.
Continuidade de Negócios: A gestão da continuidade de negócios deve assegurar as capacidades para manter ou restabelecer, em tempo hábil, as operações críticas em caso de incidentes que causem interrupções significativas, minimizando impactos operacionais, financeiros, legais, contratuais e reputacionais.
Conscientização para Segurança da Informação: As medidas e ações de conscientização devem promover uma cultura organizacional orientada à proteção das informações, aumentando o nível de conhecimento, responsabilidade e engajamento de colaboradores, prestadores de serviço e terceiros no cumprimento das diretrizes de segurança estabelecidas.
Compliance: A conformidade é essencial para garantir que todas as atividades, processos e controles da organização estejam em conformidade com as leis, regulamentações, normas, requisitos contratuais e políticas internas aplicáveis.:
Papéis e Responsabilidades
Para garantir a aplicação consistente dos controles de proteção das informações, todos os envolvidos no tratamento de informações devem atuar de forma ética, transparente e responsável, contribuindo para que a organização mantenha elevados padrões de conformidade e governança em segurança da informação e devem compreender e cumprir suas obrigações, conforme descrito a seguir:
Alta Direção: Responsável por aprovar a Política de Segurança da Informação, assegurar seu alinhamento com os objetivos estratégicos da organização e prover os recursos necessários para sua implementação e manutenção.
Gestão do Sistema de Segurança da Informação: Responsáveis por definir, manter e revisar as diretrizes desta Política, das normas e dos procedimentos de segurança da informação; promover a conscientização; realizar análises de risco; acompanhar incidentes e garantir a conformidade com requisitos legais, regulatórios e contratuais.
Equipes de Tecnologia e Segurança da Informação: Responsáveis por implementar e manter os controles de segurança, monitorar ambientes tecnológicos, apoiar a gestão de incidentes e zelar pela continuidade, integridade e disponibilidade das informações e serviços.
Gestores de Área / Proprietários da Informação: Responsáveis por assegurar que os controles de segurança sejam aplicados adequadamente em seus processos e informações sob sua responsabilidade, bem como por apoiar a gestão de riscos e garantir o uso correto dos recursos de informação.
Colaboradores, Terceiros e Usuários em Geral: Responsáveis por cumprir as diretrizes da Política de Segurança da Informação, proteger as informações às quais tenham acesso, utilizar os recursos de forma responsável e reportar prontamente qualquer incidente ou situação de risco.
Disposições Finais
A Política de Segurança da Informação representa o compromisso da Tarken com a proteção dos seus ativos de informação, a continuidade dos negócios, a conformidade legal e regulatória, e a preservação da confiança de seus clientes, colaboradores, parceiros e demais partes interessadas.
Todos os colaboradores, terceiros e prestadores de serviço são responsáveis por conhecer, compreender e cumprir as diretrizes estabelecidas neste documento, contribuindo ativamente para a criação e manutenção de um ambiente seguro, ético e resiliente.
Esta política deve ser revisada a cada 12 meses ou sempre que houver alterações significativas, considerando mudanças tecnológicas, legais, organizacionais e de risco, garantindo sua efetividade e aderência às necessidades da organização.
Atualizações
Última atualização: 23 de outubro de 2025.
TARKEN SOFTWARE LTDA
© 2025 Tarken