Política de Segurança da Informação

Estabelecer diretrizes do Programa de Segurança da Informação, a fim de garantir a confidencialidade, integridade e disponibilidade das informações de propriedade ou responsabilidade da Móveis Simonetti. Visa também prevenir, detectar e reduzir as vulnerabilidades inerentes ao ambiente computacional da Móveis Simonetti, através de processos, procedimentos e pessoas.

As diretrizes da Política de Segurança da Informação devem ser cumpridas por todos os colaboradores, parceiros e prestadores de serviço, abrangendo todas as informações e o ambiente computacional da Móveis Simonetti.

As áreas de Riscos, Compliance e Segurança da Informação, sob gestão do Diretor de Tecnologia, é responsável por zelar pela aplicação das diretrizes desta Política.

A área de Segurança da Informação é responsável pela adoção e implementação de processos, procedimentos e controles que possam garantir a Móveis Simonetti salvaguardar seus recursos de informação, além de ser responsável por orientar e informar os colaboradores, parceiros, fornecedores e prestadores de serviços, sobre a comunicação de possíveis incidentes e/ou violações das diretrizes da presente política. Também é responsável por estabelecer e manter um modelo de gestão do Programa de Segurança da Informação, através da adoção de um framework, com intuito de apoiar as estruturas de gestão e processos para garantir a conformidade com as diretrizes de segurança e aderência às regulamentações necessárias.

A área de Recursos Humanos é responsável pela divulgação desta Política aos colaboradores e deve ser envolvida sempre que houver qualquer descumprimento das diretrizes expostas nessa Política, para avaliar e direcionar as medidas cabíveis. A área de Recursos Humanos também deve cumprir os controles de Segurança da Informação relacionados aos processos de contratação, encerramento e modificação das atividades dos colaboradores, bem como atuar em análises sempre que houver qualquer descumprimento destas diretrizes.

A área de Assuntos legais é responsável por estabelecer regras de tratamentos de dados com base na legislação vigente, bem como envolver a área de Segurança da Informação em questões de compartilhamento, processamento e armazenamento de dados pessoais e dados pessoais sensíveis, sempre que necessário. A área de Assuntos Legais também é responsável por prestar o devido apoio em questões jurídicas e atuar em análises sempre que houver qualquer descumprimento destas diretrizes.

Os Diretores devem zelar pelo cumprimento das diretrizes estabelecidas nesta política através de suas alçadas competentes.

Os diretores, bem como representantes apontados por cada uma das áreas acima descritas, devem constituir o Comitê Gestor da Segurança da Informação e comprometer-se, na medida do possível, na dedicação de recursos que permitam a adequada gestão da Segurança da Informação e evolução do Programa de Segurança da Informação.

A Alta Direção deve revisar anualmente o Programa de Segurança da Informação para garantir que ele permaneça eficaz, e um registro dos resultados dessas revisões deve ser mantido.

Esta revisão deve ser realizada considerando principalmente:

• O Mapeamento e Tratamento de Riscos de Segurança da Informação
• O Relatório Anual de Auditoria do Programa de Segurança da Informação

As diretrizes são os princípios adotados, para mitigar os riscos de segurança e atingir os objetivos definidos com base nos pilares de Segurança da Informação, sendo eles:

1. Confidencialidade: Garantia de que toda informação estará acessível apenas para pessoas autorizadas;
2. Integridade: Garantia de que a informação, armazenada ou em trânsito, seja completa, exata e não sofrerá qualquer modificação ou exclusão não autorizada;
3. Disponibilidade: Garantia de que a informação sempre estará disponível quando necessário.

Os controles adotados pela Móveis Simonetti para garantir que as diretrizes e objetivos sejam cumpridos são:

A Móveis Simonetti, sob a liderança da área de Segurança da Informação, deve identificar os riscos à segurança das informações e adotar abordagens apropriadas para mitigar esses riscos e resolvê-los quando eles ocorrerem.

Anualmente, a área de Segurança da Informação emitirá um relatório sobre essa avaliação e qualquer tratamento de risco, a ser avaliado pelo Comitê Gestor de Segurança da Informação. Este documento descreverá as descobertas de sua avaliação, incluindo quaisquer riscos identificados e qualquer tratamento realizado para mitigar ou evitar os riscos.

A área de Segurança da Informação, com o apoio do Comitê Gestor de Segurança da Informação, estabelerá o Plano de Continuidade de Negócios, descreve os processos necessários para assegurar a continuidade das operações da Móveis Simonetti.

Como parte do Plano de Continuidade de Negócios, a alta direção deve realizar uma Análise de Impacto nos Negócios, que identificará os processos críticos da Móveis Simonetti. As análises geradas servirão de base para o Mapeamento e Tratamento de Riscos e determinará os requisitos básicos de recuperação.

Dentre estes processos, a área de Segurança da Informação é responsável por garantir que os recursos e informações críticos à continuidade de negócios tenham backups periódicos, com testes de restauração realizados e que estejam disponíveis em diferentes regiões geográficas.

Todos os recursos envolvidos no armazenamento de dados são devidamente documentados. Isso inclui computadores desktop, laptops, servidores, telefones e tablets, documentos físicos, registros financeiros, sistemas de e-mail, serviços de computação em nuvem.

A área de Segurança da Informação estabelerá a Política de Uso Aceitável de Recursos Tecnológicos, documento que define que os recursos disponibilizados aos colaboradores devem ser utilizados somente para fins profissionais e não devem ser deixados sem vigilância e/ou desbloqueados. A Móveis Simonetti, através das áreas responsáveis, reserva-se ao direito de monitorar e auditar, sem aviso prévio, todos os recursos disponibilizados.

Todos os dados e informações da Móveis Simonetti deverão ser classificados, protegidos e monitorados conforme o Procedimento de Mapeamento e Classificação de Dados e Informações, de acordo com o seu grau de sensibilidade para o negócio. Procedimentos documentados deverão ser considerados para áreas do negócio onde dados e informações confidenciais estão em risco devido à operação incorreta de equipamentos de TI. Essas áreas devem ser identificadas por suas avaliações de risco, mas podem envolver:

• Desenvolvimento de software,
• Contabilidade financeira,
• Gestão de clientes,
• Gestão de fornecedores, etc.

Deve-se empregar o uso de criptografia robusta sempre que possível, sendo estritamente necessário quando envolver dados pessoais, dados pessoais sensíveis, dados de cartão de crédito ou quaisquer outras informações relevantes ou críticas para o negócio, sejam dados em trânsito ou em repouso.

Não é permitido a qualquer colaborador, fornecedor e prestador de serviço compartilhar dados e informações internas, restritas e confidenciais, exceto quando expressamente autorizado.

A Área de Segurança da Informação deverá aplicar controles, processos e tecnologias que identifiquem e previnam de forma tempestiva o vazamento de dados e compartilhamento de informações de forma não autorizada.

Para garantir a segurança de seus dados, todos os recursos computacionais da Móveis Simonetti deverão ser mantidos em níveis suportados e seguir as recomendações de configuração segura do fornecedor.

Todas as áreas da Móveis Simonetti revisarão, avaliarão e aplicarão adequadamente correções de software em tempo hábil. Se os patches não puderem ser aplicados em tempo hábil devido a restrições de hardware ou software, a área de Segurança da Informação implementará controles de mitigação com base nos resultados de uma avaliação de risco.

Sempre que possível, todos os recursos da Móveis Simonetti devem possuir mecanismos de detecção e proteção contra vulnerabilidades, em sua versão mais atual disponível.

A área de Segurança da Informação deve realizar de forma periódica e contínua varreduras de vulnerabilidades no ambiente tecnológico da Móveis Simonetti, comunicando às áreas responsáveis para a devida correção e acompanhando os ajustes com base no prazo estabelecido levando em consideração a severidade de cada vulnerabilidade.

A área de Segurança da Informação tem autonomia para, caso necessário, tomar medidas para combater ou prevenir a disseminação de agentes maliciosos. Além destes mecanismos, devem ser empregados controles que garantam a prevenção e detecção de intrusão.

Os acessos lógicos deverão ser centralizados e gerenciados pela área de Segurança da Informação. Deve-se incluir identificação e autenticação garantindo a gestão sobre o ciclo de vida da identidade e respeitando o princípio de menor privilégio possível.

A área de Segurança da Informação deverá estabelecer e divulgar uma Política de Senhas, composta por um conjunto de regras sobre como especificar o comprimento da senha e os requisitos de complexidade, que ajudem a melhorar a segurança dos dados, incentivando os usuários a criar senhas fortes e, em seguida, armazená-las e usá-las com segurança.

Os acessos físicos deverão ser protegidos por controles apropriados de entrada e saída, com o objetivo de assegurar que somente pessoas autorizadas tenham acesso às instalações e as dependências da Móveis Simonetti, além de serem devidamente monitorados e os respectivos registros serem protegidos.

Afim de apoiar no Mapeamento e Tratamento de Riscos bem como na resposta efetiva à Incidentes de Segurança da Informação, os recursos da Móveis Simonetti, como por exemplo, sistemas e aplicações, são capazes de gerar trilhas de auditoria com as informações necessárias para a identificação adequada das ações desempenhadas.

Todos estes registros são armazenados por um período estabelecido, com acesso restrito, proteção de adulteração e analisados regularmente.

Para assegurar a segurança de sistemas e dados, a Móveis Simonetti adota medidas rigorosas de proteção de e-mail, navegador web e defesa contra malware. Garantimos o uso exclusivo de navegadores e clientes de e-mail que sejam plenamente suportados e atualizados. Extensões desnecessárias ou não autorizadas de clientes de e-mail e navegadores são restritas, e aplicamos o protocolo DMARC para reforçar a segurança de nossos e-mails.

Implementamos serviços de filtragem de DNS e mantemos filtros de URL baseados em rede para bloquear acessos a sites maliciosos. Bloqueamos tipos de arquivos desnecessários e mantemos proteções anti-malware robustas para servidores de e-mail.

Nosso software anti-malware é instalado e mantido em todos os dispositivos, com assinaturas atualizadas automaticamente, e a execução e reprodução automática para mídias removíveis é desabilitada. Varreduras automáticas de mídia removível são configuradas para detectar ameaças, e habilitamos recursos anti-exploração em nossos sistemas. O software anti-malware é gerenciado centralmente e utilizamos soluções baseadas em comportamento para detectar e mitigar ameaças de forma proativa.

A Móveis Simonetti estabelece e mantém um processo robusto de recuperação de dados para assegurar a continuidade dos negócios e a integridade das informações. São realizados backups automatizados de todos os dados críticos, garantindo que cópias atualizadas estejam sempre disponíveis.

Os dados de recuperação são protegidos através de medidas de segurança avançadas, incluindo criptografia e controles de acesso rigorosos. Além disso, mantemos uma instância isolada de dados de recuperação, separada dos sistemas operacionais principais, para evitar a contaminação ou perda de dados.

Para garantir a eficácia e a confiabilidade do processo de recuperação, realizamos testes periódicos dos dados de recuperação, validando que as informações podem ser restauradas de forma completa e precisa em caso de necessidade.

A Área de Segurança da Informação é responsável por assegurar a existência, conformidade e aplicação de controles de segurança para a proteção adequada das redes, devidamente monitoradas e segregadas, física ou logicamente, quando aplicável. Garantimos que a infraestrutura de rede esteja atualizada e mantemos uma arquitetura de rede segura, gerenciada de maneira segura e documentada com diagramas de arquitetura detalhados.

Centralizamos a autenticação, autorização e auditoria (AAA) de rede, utilizando protocolos de comunicação e gestão de rede seguros. Dispositivos remotos devem usar VPNs e se conectar à infraestrutura AAA da empresa. Recursos de computação dedicados são estabelecidos e mantidos para todo o trabalho administrativo, com alertas de eventos de segurança centralizados.

Implementamos soluções de detecção e prevenção de intrusão baseadas em host e rede, filtramos o tráfego entre segmentos de rede e gerenciamos o controle de acesso para ativos remotos. Logs de fluxo de tráfego da rede são coletados, e controlamos o acesso no nível de porta e executamos filtragem da camada de aplicação. Além disso, ajustamos os limites de alerta de eventos de segurança para garantir uma resposta eficaz e proativa a quaisquer ameaças identificadas.

A Área de Segurança da Informação é responsável pelo desenvolvimento de uma Política de Treinamentos sobre Segurança da Informação, que determine a criação de Programa Anual de Treinamentos e Ações de Conscientização de Segurança da Informação que visam capacitar e avaliar todos os colaboradores, fornecedores e prestadores de serviço.

Todos os prestadores de serviço que eventualmente possam impactar a segurança das informações de propriedade ou responsabilidade da Móveis Simonetti devem, previamente à contratação e periodicamente após a contratação, serem avaliados sobre seus controles, processos e tecnologias de Segurança da Informação com o objetivo de identificar e acompanhar se o seu nível de maturidade atende os requisitos estabelecidos pela Móveis Simonetti e quando necessário, pelas as entidades reguladoras, incluindo sobre os procedimentos e controles voltados à prevenção e tratamento de incidentes.

A área de Assuntos Legais é responsável por envolver, sempre que necessário, a área de Segurança da Informação em contratações de Prestadores de Serviços para a avaliação e posterior inclusão do Anexo Contratual - Requisitos de Segurança da Informação.

A Móveis Simonetti deve garantir que aplica processos de segurança durante o ciclo de desenvolvimento e implantação de novas tecnologias. Para isso, a Área de Segurança da Informação deve zelar para que existam procedimentos e controles capazes de identificar vulnerabilidades e outras ameaças e corrigi-las antes da entrada em produção.

Devem ser empregados controles e processos que garantam a devida prevenção, detecção e tratamento de incidentes de Segurança da Informação. Todo incidente de Segurança da Informação deve ser identificado a partir do monitoramento de segurança ou reportado por colaboradores, fornecedores ou prestadores de serviços, posteriormente sendo classificado e priorizado de acordo com o impacto técnico, serviços e operações, considerando a criticidade dos recursos e usuários afetados de acordo com o Plano de Resposta à Incidentes de Segurança da Informação.

A Móveis Simonetti tem o compromisso com a transparência e se compromete a compartilhar com as autoridades regulatórias todos os incidentes relevantes, bem como atender a quaisquer solicitações adicionais que possam contribuir para a resolução de questões que ainda não foram prontamente resolvidas. Por isso, o Plano de Resposta à Incidentes também deve estabelecer um plano de comunicação e gestão de crises, com critérios geralmente acordados para escalar o incidente para os reguladores apropriados ou outros órgãos independentes.

A área de Segurança da Informação é responsável pela conformidade de seus processos, controles e tecnologias, devendo testá-los, medindo sua eficiência através de indicadores e aplicando melhorias na medida do possível, através de um Programa de Testes de Invasão. Este programa deve incluir a realização de testes de invasão internos e externos periódicos, visando identificar e corrigir vulnerabilidades de segurança.

Testes de invasão internos são conduzidos regularmente para avaliar a resiliência de nossas defesas contra ameaças internas, enquanto testes de invasão externos serão realizados por terceiros para identificar possíveis pontos de entrada que atacantes externos possam explorar.

Todas as descobertas desses testes serão rigorosamente corrigidas em tempo hábil e as medidas de segurança implementadas deverão ser validadas para garantir a eficácia das correções.

Anualmente, a área de Segurança da Informação deve realizar uma Auditoria Interna do Programa de Segurança da Informação, avaliando sua eficácia e desempenho geral da organização em relação aos processos implementados para garantir a Segurança da Informação.

Os detalhes da auditoria interna, bem como os resultados de quaisquer problemas ou oportunidades de melhorias devem ser registrados no Relatório Anual do Programa de Segurança da Informação.

A Móveis Simonetti documentará quaisquer não conformidades em seus processos e operações de Segurança da Informação e as ações corretivas realizadas como resultado. Evidências claras de como a organização garantiu que qualquer ação corretiva tenha alcançado a conformidade novamente devem ser incluídos no Relatório Anual do Programa de Segurança da Informação.

O não cumprimento desta política e demais processos e procedimentos de Segurança da Informação, poderá incorrer em sanções administrativas e/ou legais, podendo culminar com o desligamento e eventuais processos criminais, se aplicável.

A área de Segurança da Informação é responsável por avaliar o grau de criticidade da violação, e solicitar o envolvimento de outras para a análise das punições cabíveis, como a área de Recursos Humanos e de Assuntos legais.