Atualização
June 1, 2025
07 min

Política de Segurança da Informação

Objetivo 

O objetivo desta Política de Segurança da Informação (“PSI”) consiste em estabelecer regras de boas práticas de tratamento de dados, determinar as medidas de segurança, técnicas e administrativas para proteger os Dados Pessoais, e, ainda, garantir a confidencialidade, integridade e proteção das informações da Logstore. Além disso, visa proteger os Dados e informações da Logstore contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Aplicação

Esta Política aplica-se a todas as pessoas, física ou jurídica, colaborador, prestador de serviços, estagiário ou pessoas autorizadas a ter acesso às informações, Dados Pessoais e/ou recursos de tecnologia da Logstore e/ou de seus clientes, de acordo com as permissões a ele atribuídas.

Definições

Ameaça: causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema;

Ataque: uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de, um ativo.

Ativo: qualquer coisa que tenha valor para a organização, a exemplo de: instalações, informação, software, hardware, serviços impressos (papéis), mas também em pessoas, habilidades, experiência e coisas intangíveis, como reputação e também imagem. 

Colaborador: Empregado, estagiário, terceirizado ou menor aprendiz da Logstore.

Confidencialidade: propriedade em que a informação ou dado pessoal não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados.

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.

Disponibilidade: característica de ser acessível e utilizável sob demanda por uma entidade autorizada.

Encarregado pelo Tratamento dos Dados Pessoais: pessoa física ou jurídica indicada pelo controlador e operador, para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Evento: é qualquer ocorrência visível em uma rede ou sistema de informação. Exemplos: um usuário que acessa um arquivo compartilhado, um usuário que envia um e-mail ou um firewall que faz um bloqueio de uma tentativa de conexão, entre outros. 

Evento adverso (ou ofensivo): é um evento com consequências negativas. Exemplos: falhas do sistema de informação, uso não autorizado de privilégios de sistema de informação, acesso não autorizado a dados confidenciais ou execução de malware que destrói dados, entre outros.

Identificação do risco: é o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas, e necessidades das partes interessadas.

Incidente de Segurança da Informação: é um evento adverso identificado que indica possível violação à política de segurança da informação ou documentos complementares, falha de controles ou situação previamente desconhecida e que possa ser relevante à segurança da informação.

Incidente de Violação de Dados Pessoais: é um evento adverso identificado que indica possível violação à política de segurança, documentos complementares ou ao presente documento, evento esse que indica a violação de algum dos requisitos exigidos para o tratamento adequado dos dados pessoais (autenticidade, confidencialidade, disponibilidade, integridade, não repúdio).

Informação: conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato. Não necessariamente precisa envolver dados pessoais. Exemplo: incidente envolvendo dados financeiros da empresa.

Integridade: Propriedade de proteger a exatidão e a integridade dos ativos.

Não repúdio: capacidade de comprovar a ocorrência de um suposto evento ou ação e suas entidades de origem. 

Norma de gerenciamento: a intenção e orientação geral formalmente expressa pela administração da Logstore para determinação padrão de conduta, responsabilidade e parâmetros envolvendo incidentes com dados pessoais. 

Prestador de serviços: pessoa física ou jurídica contratada para a finalidade de prestação de serviços para a Logstore, sejam contínuos ou pontuais.

Risco: combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.

Risco residual: risco que permanece após o tratamento do risco. O risco residual pode conter riscos não identificados e também pode ser conhecido como “risco retido”.

Segurança da informação: a segurança da informação é a proteção da informação contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar os riscos de negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio. 

Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças.

Responsabilidades 

A Logstore entende que um sistema de segurança da informação somente será eficaz com o comprometimento de TODOS. 

Por isso, é importante que todos tenham ciência e ajam de acordo com suas responsabilidades, conforme abaixo:

Responsabilidades dos Usuários: 

Para efeitos desta PSI, Usuários são todas as pessoas, físicas ou jurídicas, colaboradores, funcionários, prestadores de serviços, profissionais autônomos, temporários, estagiários, ou pessoas autorizadas a ter acesso às informações, Dados Pessoais e/ou recursos de tecnologia da Logstore, de acordo com as permissões a ele atribuídas.

Compete aos Usuários:

  • Respeitar esta Política e responder pelo descumprimento dos procedimentos aqui previstos; 
  • Responder pela guarda e proteção dos recursos computacionais e informações colocados à sua disposição para o trabalho;
  • Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
  • Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
  • Relatar prontamente ao comitê de privacidade qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc;
  • Assegurar que as informações e dados de propriedade da Logstorenão sejam disponibilizados a terceiros, a não ser com autorização por escrito do seu respectivo gestor;
  • Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados, conforme artigo 154-A do Código Penal Brasileiro;
  • Responder pelo prejuízo ou dano que vier a provocar a Logstoreou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

Responsabilidades dos Gestores: 

  • Apoiar e zelar pelo cumprimento desta PSI, servindo como modelo de conduta para os colaboradores e Prestadores de Serviços sob a sua gestão;
  • Atribuir, na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento desta PSI;
  • Autorizar o acesso e definir o perfil do usuário, se necessário junto à TI;
  • Autorizar as mudanças no perfil do usuário;
  • Educar os usuários sobre os princípios e procedimentos de segurança da informação;
  • Notificar imediatamente à TI quaisquer vulnerabilidades e ameaças à quebra de segurança;
  • Advertir formalmente o Usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato à TI;
  • Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.

Identificação - Login e Senha 

  • Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. 
  • Se existir login de uso compartilhado por mais de um colaborador ou prestador de serviço, a responsabilidade será dos usuários que dele se utilizarem. 
  • Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 12  doze ), diferente das anteriores, caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %).
  • É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
  • As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), e nem fisicos (anotações em caderno, post-it ou relacionados), não devem ser baseadas em informações pessoais, como o próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “123456”, entre outras.
  • Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros ou obrigatoriamente a cada 3  meses.
  • O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
  • Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica, se identificada, será alvo de ação disciplinar.

Revisão de Acesso 

  • A cada 6 (seis) meses, os gestores devem revisar os usuários cadastrados para deliberar sobre a manutenção, revisão ou revogação dos perfis de acesso existentes;
  • Na eventualidade de transferências ou alterações de cargo, função ou área, os perfis de acesso são revisados;
  • O acesso às informações e Dados será restrito a certos perfis de acesso definidos pela TI e pelos Gestores da Logstore;
  • O acesso aos Dados Pessoais cadastrados pelos Clientes da Logstore será restrito e limitado ao estritamente necessário para o cumprimento da finalidade do Tratamento, de forma que somente os profissionais essenciais às funções poderão ter acesso permitido.

Revogação de Acesso 

  • O acesso de usuários desligados da Logstore deve ser revogado imediatamente no momento da comunicação do desligamento realizado pelo setor administrativo.
  • A revogação de acesso deve ser registrada de modo que seja possível determinar a data da ocorrência, os usuários afetados, assim como os privilégios revogados.
  • As credenciais de acesso dos usuários que encerraram suas atividades na Logstore não devem ser removidas das bases cadastrais, mas devem ser bloqueadas de forma que não seja possível utilizá-las.
  • Devem ser mantidos registros que permitam identificar os usuários responsáveis pelas ações realizadas por meio das credenciais de acesso, mesmo depois de bloqueadas.

Recursos Computacionais

  • Os recursos de TI alocados pela Logstore aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho.
  • É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros.
  • Todo computador em desuso, deverá ser encaminhado ao comitê de privacidade para a remoção das informações, descarte ou reuso.

Tela e Mesa Limpa

  • O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostos ao acesso não autorizado.
  • Os computadores deverão ser bloqueados por senha quando não estiverem sendo utilizados.

Descarte de Mídias e Dados

  • Mídias contendo informações referentes à Logstore deverão ser destruídas antes de seu descarte.
  • Os Dados armazenados na Base de Dados da Logstore serão descartados em caso de ordem específica de Clientes, ou em caso de término da relação contratual da Logstore com seus clientes, conforme Política de Retenção e Descarte de Dados Pessoais, ou ainda conforme definido contratualmente.

Classificação da Informação 

O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área e classificá-las em Pública, Confidencial, Restrita ou Interna, Os Dados de Clientes sempre serão classificados como confidenciais e restritos, recebendo tratamento especial de proteção à confidencialidade.

As informações devem ser definidas como no procedimento específico.

Política de Backup 

A política de Backup da Logstore contempla a realização de um backup full semanal e um backup diferencial diário com retenção de 90 dias.

Havendo qualquer solicitação de Clientes para a exclusão dos Dados do Banco de Dados da Logstore, todos os Dados Pessoais serão apagados de qualquer backup, servidor de rede, storage de ambiente paralelo e/ou das estações de trabalho dos usuários da Logstore,  de acordo com as normas da LGPD e as orientações desta PSI, salvo os necessários para cumprimento de obrigação legal.

Salvaguarda de Arquivos 

São de responsabilidade exclusiva do usuário a guarda dos dados gravados da sua estação local de trabalho.

Os Dados Pessoais de  Clientes são, sob qualquer circunstância, restritos e confidenciais, sendo vedado o acesso por pessoas não autorizadas. Não é permitido o armazenamento de Dados Pessoais de Clientes nas estações locais de trabalho dos usuários, devendo ficar armazenados em locais dotados de proteção à confidencialidade, com acesso limitado ao estritamente necessário e às pessoas autorizadas.

Utilização de E-mails  

  • O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas devem ser de caráter exclusivamente profissional.
  • A salvaguarda do conteúdo anexo é de responsabilidade exclusiva do usuário.
  • Quaisquer comunicados em massa, propagandas, informativos, imagens, etc. deverão tomar os devidos cuidados a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail.
  • Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos.
  • O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados.
  • Ao final do e-mail, após a assinatura, poderá ser exibido o seguinte aviso de confidencialidade:

“Esta mensagem, juntamente com qualquer outra informação anexada, é confidencial e protegida por lei, e somente os seus destinatários são autorizados a usá-la. Caso a tenha recebido por engano, por favor, informe o remetente e em seguida apague a mensagem, observando que não há autorização para armazenar, encaminhar, imprimir, usar, copiar o seu conteúdo.”

Casos Omissos

  • Antes de efetuar ações que possam apresentar risco potencial para as informações e sistemas da Logstore, o usuário deve consultar a presente PSI, a fim de certificar-se de que a atividade é lícita e segura. Os casos não previstos, dúvidas sobre segurança da informação deverão ser encaminhados para o seguinte e-mail: dpo@logstore.com.br.
  • As situações especiais e/ou pedidos de exceção a esta PSI deverão ser avaliados para deliberação, sob pena de infração das normas e aplicação das penalidades previstas abaixo. 

Conformidade

  • O usuário deve estar ciente e seguir as recomendações desta PSI, interpretando a classificação atribuída às informações e Dados, e assegurando que recebam tratamento adequado. 
  • O mau uso dos recursos de tecnologia caracteriza um incidente de segurança da informação e pode resultar na aplicação de sanções legais e/ou administrativas, conforme a gravidade e impacto do incidente para a Logstore.
  • As violações às disposições estabelecidas na presente Política, devidamente apuradas, poderão implicar:
    • Na aplicação das sanções previstas na LGPD;
    • Na aplicação das sanções previstas em contrato aos prestadores de serviço e estagiários;
    • Na aplicação dos procedimentos legais cabíveis.

Disposições Finais

  • Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Logstore. Ou seja, qualquer incidente de segurança subentende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.
  • Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado a Logstore, entre outros.
  • Em relação aos Prestadores de Serviços, tais práticas poderão levar à rescisão do contrato de prestação de serviços.
  • Esta política deve estar disponível e ser divulgada para todos os colaboradores e prestadores de serviços da Logstore.

Empresa
ContatoCarreirasImprensa
Suporte
API StatusIntegraçãoAjuda
Legal
Política de PrivacidadePolítica de Segurança da InformaçãoPolítica de Backup & RestorePolítica de Retenção e DescartePolítica de Gestão de Incidentes
Siga-nos
© 2024 Logstore
Privacidade
|
Termos e Condições