Política de Segurança da Informação

Consulta nuestra política.

1. OBJETIVO

El presente documento es parte integrante del Programa de Privacidad y representa una medida estratégica esencial para las operaciones de NUTRIRE. La evolución continua de este sistema requiere iniciativas respaldadas por la gobernanza, alineadas con las directrices estratégicas y la legislación vigente. Estas iniciativas abarcan la evaluación de la madurez del entorno de Seguridad de la Información, la gestión de riesgos, la continuidad del negocio, el alcance de usuarios y el crecimiento organizacional, conforme a lo especificado en el control 5.1, "Políticas de seguridad de la información", de la sección 5, "Controles organizacionales", de la ABNT NBR ISO/IEC 27002:2022.

La Política de Seguridad de la Información (PSI) establece los principios corporativos para la Seguridad de la Información dentro de NUTRIRE, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información. Todas las áreas de negocio tienen la responsabilidad de ajustar sus procesos de acuerdo con los requisitos de esta política y con la Ley General de Protección de Datos (LGPD).

Para la efectivación de esta política, NUTRIRE adopta los siguientes principios de Seguridad de la Información para proteger todos los activos de seguridad de la información bajo su propiedad o custodia:

a) Confidencialidad: Garantiza que la información no sea accesible ni revelada a personas físicas, sistemas, organismos o entidades no autorizadas o no acreditadas.

b) Integridad: Garantiza que la información contenida en los recursos tecnológicos no sea alterada indebidamente ni destruida de manera no autorizada, ya sea de forma intencional o accidental.

c) Disponibilidad: Garantiza que la información sea accesible y esté en condiciones de ser utilizada por usuarios o custodios autorizados.

2. ALCANCE

Esta Política abarca todos los activos de información de NUTRIRE, incluyendo personal, estructura física, datos, sistemas, aplicaciones, dispositivos y redes. Se aplica a todos los colaboradores, empleados, contratados, socios y terceros que acceden o procesan información de la organización, y a todas las instalaciones físicas administradas o utilizadas.

3. VIGENCIA

Este procedimiento entrará en vigor inmediatamente después de su aprobación. Una revisión deberá realizarse en un plazo de hasta 12 (doce) meses a partir de su aprobación formal, conforme a su control de versiones, o siempre que el Comité de Seguridad de la Información y Privacidad (CSIP) o el Coordinador de Tecnología de la Información lo consideren necesario.

4. TÉRMINOS Y DEFINICIONES

a) Alta Dirección: Es el nivel más alto de liderazgo dentro de la organización, responsable de establecer la dirección estratégica y los objetivos de Seguridad de la Información y Privacidad;

b) Activo: Cualquier cosa que tenga valor y deba ser adecuadamente protegida;

c) Backup: Salvaguarda de información realizada mediante la reproducción y/o copia de una base de archivos con el fin de recuperación en caso de incidente o necesidad de restauración;

d) Colaborador: Empleado, pasante, prestador de servicios, empleado tercerizado, proveedor, menor aprendiz o cualquier otro individuo u organización que tenga una relación profesional, directa o indirectamente, con la organización;

e) Encargado del Tratamiento de Datos Personales: Es el designado por la organización para actuar como punto de contacto entre NUTRIRE, los titulares de los datos y la Autoridad Nacional de Protección de Datos (ANPD);

f) Información: Conjunto de datos que, procesados o no, pueden ser utilizados para la producción, transmisión y compartición de conocimiento, contenidos en cualquier medio, soporte o formato;

g) Riesgo: Combinación de la probabilidad de materialización de una amenaza y sus potenciales impactos;

h) Seguridad de la Información: Es la preservación de la confidencialidad, integridad y disponibilidad de la información. Tiene como objetivo proteger la información de los diversos tipos de amenazas para garantizar la continuidad del negocio, minimizar los daños al negocio, maximizar el retorno de las inversiones y las nuevas oportunidades de transacción;

i) Recursos de Tecnología de la Información y Comunicación: Engloban todos los medios tecnológicos utilizados para procesar, almacenar, transmitir y acceder a la información, como computadoras, redes, sistemas de información, dispositivos móviles, entre otros;

j) Violación: Cualquier actividad que incumpla las reglas establecidas en los documentos normativos;

k) Ley General de Protección de Datos Personales: Conforme a su art. 1.º, la LGPD "Esta Ley regula el tratamiento de datos personales, inclusive en los medios digitales, por persona natural o por persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural."

5. DISPOSICIONES GENERALES

Los objetivos de la Política de Seguridad de la Información son:

a) Definir principios y directrices para la protección de los activos de información y del conocimiento generado o recibido;

b) Establecer orientaciones generales de seguridad de la información, contribuyendo a una gestión eficiente de los riesgos y limitándolos a niveles aceptables, además de preservar los principios de disponibilidad, integridad, confiabilidad y autenticidad de la información;

c) Determinar competencias y responsabilidades relativas a la seguridad de la información;

d) Orientar la creación de normas para la efectiva implementación de la seguridad de la información;

e) Alinear las acciones de seguridad de la información con las estrategias de planificación organizacional de NUTRIRE.

6. PRINCIPIOS Y DIRECTRICES

6.1 Es esencial que todos los usuarios sean conscientes y estén comprometidos con el uso seguro y adecuado de los activos de información de NUTRIRE. Por lo tanto, deben asegurar el cumplimiento de esta Política, los Procedimientos de Gestión, las Instrucciones de Trabajo y las leyes aplicables, cuando corresponda.

6.2 Toda la información producida, accedida, manipulada, almacenada o descartada para el desarrollo de las actividades contratadas por NUTRIRE, así como otros activos tangibles e intangibles suministrados, son propiedad o están bajo la responsabilidad y uso exclusivo de la organización. Estos recursos deben ser utilizados estrictamente para fines corporativos, con el objetivo de atender los intereses de NUTRIRE, y no pueden ser divulgados ni compartidos sin autorización.

6.3 Está prohibido el uso de recursos tecnológicos personales para la manipulación de información perteneciente a NUTRIRE o bajo su custodia sin autorización. Todos los datos, independientemente de su naturaleza, deben circular exclusivamente en entornos seguros y bajo el control de NUTRIRE. Las aplicaciones, especialmente las vinculadas a redes sociales y utilizadas en dispositivos personales, no deben contener información confidencial, evitando así exposiciones a vulnerabilidades que puedan resultar en incidentes.

6.4 El uso de redes sociales para desempeñar responsabilidades profesionales en nombre de NUTRIRE debe ser restringido y previamente autorizado, siendo permitido únicamente cuando sea imprescindible y esté alineado con los objetivos de la organización, conforme a las directrices expuestas en esta Política. Todas las actividades en este contexto deben realizarse exclusivamente a través de los recursos de Tecnología de la Información y Comunicación (TIC) de NUTRIRE.

6.5 Está expresamente prohibido utilizar, acceder, almacenar o divulgar materiales discriminatorios, pornográficos, maliciosos, obscenos, ofensivos, ilegales o que contraríen los principios establecidos por NUTRIRE y la legislación vigente.

6.6 NUTRIRE se reserva el derecho de monitorear o auditar, sin previo aviso, el uso de los recursos tecnológicos bajo su propiedad o custodia, así como la información almacenada en discos locales, en la red corporativa y en los servicios de almacenamiento en la nube corporativos.

6.7 Cualquier uso de documentos internos, softwares, diseños industriales, marcas, identidad visual u otros signos distintivos presentes o futuros de NUTRIRE, en cualquier medio, incluidos Internet y las redes sociales, debe ser previa y expresamente autorizado por NUTRIRE y estar alineado con sus intereses.

7. GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

7.1 El Programa de Privacidad de NUTRIRE está constituido, como mínimo, por los siguientes procesos:

a) Privacidad y protección de datos personales; b) Tratamiento de la información; c) Seguridad física y lógica de los entornos; d) Gestión de incidentes en seguridad de la información y privacidad de datos personales; e) Gestión de activos; f) Gestión del uso de los recursos de tecnología de la información y comunicación (TIC); g) Backup de la información; h) Controles de acceso; i) Gestión de vulnerabilidades; j) Evaluación de Proveedores; k) Gestión de cambios; l) Mejora continua.

7.2 Los controles de seguridad de la información deben abordar, como mínimo, los siguientes aspectos:

a) Conformidad con las directrices dispuestas en la LGPD y con las normativas y orientaciones emitidas por la Autoridad Nacional de Protección de Datos (ANPD);

b) Clasificación de la información de acuerdo con su nivel de confidencialidad y criticidad, entre otros factores, para definir los controles de seguridad apropiados;

c) Protección de los datos contra accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inadecuado o ilícito;

d) Uso aceptable de la información y utilización de medios de almacenamiento;

e) Entrada y salida de activos de información de las instalaciones de NUTRIRE;

f) Perímetros de seguridad de todas las unidades de NUTRIRE;

g) Controles de acceso basados en el principio del menor privilegio;

h) Etapas de identificación, contención, erradicación, recuperación y actividades posteriores al incidente;

i) Criterios para la comunicación de incidentes a los titulares de datos personales y a la ANPD;

j) Plan de Gestión de Incidentes de Seguridad, considerando diferentes escenarios;

k) Política de Gestión de Activos de NUTRIRE, abarcando la protección de los activos, clasificación según la criticidad, mantenimiento de inventario actualizado, incluyendo tipo, ubicación, responsable o custodio, y estado de seguridad; uso aceptable de los activos, prohibiéndose el uso para fines personales; mapeo de vulnerabilidades y amenazas, monitoreo conforme a los principios de Seguridad de la Información y privacidad; e investigación en caso de sospecha de violación de seguridad y/o privacidad;

l) Uso adecuado de los recursos operacionales y de comunicación proporcionados por NUTRIRE, exclusivamente para fines profesionales y en conformidad con los principios éticos y profesionales de la organización, evitando comportamientos antiéticos, discriminatorios, ofensivos o que puedan comprometer su reputación;

m) Reglas para el uso del correo electrónico, envío de información confidencial, instalación de software y antivirus;

n) Reglas para el acceso a internet, descarga de archivos, uso restringido a sitios web apropiados y prohibición de instalación de software no autorizado;

o) Uso de redes sociales, divulgación de información, uso de cuentas personales para fines profesionales e interacciones con desconocidos;

p) Reglas para el uso de la computación en la nube, selección de proveedores, seguridad de los datos y conformidad con las leyes y reglamentos aplicables;

q) Reglas de control de acceso, incluyendo el uso de Autenticación Multifactor (MFA), controles de autorización basados en el menor privilegio, segregación de funciones, auditoría, rastreo, verificación de accesos, y desvinculación o separación de colaboradores y socios que operan activos de información de NUTRIRE;

r) Gestión de las vulnerabilidades de seguridad de la información, abarcando el análisis de los entornos, los activos y las amenazas, adopción de metodología para identificar y documentar vulnerabilidades y amenazas, incluyendo descripción, origen, impacto potencial y probabilidad, evaluación para determinar prioridades y tratamiento, que puede incluir mitigación con controles de seguridad o aceptación;

s) Gestión de Cambios en los activos de información, basada en los informes de evaluación de riesgos, con definición de roles y responsabilidades para la evaluación, aprobación, implementación de cambios y creación de proceso formal para la solicitud y documentación de cambios;

t) Adopción cuidadosa, monitoreo continuo y control de tecnologías emergentes, como la Inteligencia Artificial, garantizando que su aplicación se realice de forma ética, segura, en conformidad con los atributos de seguridad y los principios de privacidad.

7.2.1 NUTRIRE realizará evaluaciones internas periódicas de seguridad de la información para asegurar la conformidad con esta Política y demás requisitos aplicables siempre que sea necesario.

8. RESPONSABILIDADES

8.1 Alta Dirección

a) Proporcionar los recursos necesarios para garantizar el desarrollo y la implementación de la Gestión de Seguridad de la Información en NUTRIRE, asegurando que las acciones y decisiones de seguridad de la información sean tratadas con la debida relevancia y prioridad;

b) Formalizar y aprobar la Política de Seguridad de la Información de NUTRIRE, incluyendo sus revisiones y actualizaciones.

8.2 Comité de Seguridad de la Información y Privacidad (CSIP)

a) Asesorar en la implementación de las acciones de seguridad de la información; b) Formar grupos de trabajo para tratar temas específicos y proponer soluciones dirigidas en seguridad de la información; c) Contribuir a la elaboración de la Política de Seguridad de la Información y de las normas internas de seguridad de la información; d) Proponer revisiones en la Política de Seguridad de la Información y en las normas internas de seguridad; e) Deliberar sobre las normas internas de seguridad de la información; f) Evaluar las acciones propuestas por el gestor de tecnología de la información.

8.3 Coordinador de Tecnología de la Información

a) Coordinar la elaboración de la Política de Seguridad de la Información y de los demás controles documentados de seguridad de la información, observando la legislación vigente y las mejores prácticas sobre el tema; b) Asesorar a la Alta Dirección en la implementación de la Política de Seguridad de la Información; c) Incentivar acciones de capacitación y profesionalización de recursos humanos en temas relacionados con la seguridad de la información; d) Promover la divulgación de la política y de los demás controles documentados de seguridad de la información para todos los usuarios y prestadores de servicios de NUTRIRE; e) Fomentar estudios sobre nuevas tecnologías y evaluar sus posibles impactos en la seguridad de la información; f) Proponer los recursos necesarios para la ejecución de las acciones de seguridad de la información; g) Acompañar las actividades del Equipo de Respuesta a Incidentes de Seguridad y Privacidad; h) Evaluar los resultados de los trabajos de auditoría sobre la gestión de la seguridad de la información; i) Acompañar la aplicación de acciones correctivas y administrativas en los casos de violación de la seguridad de la información.

8.4 Encargado del Tratamiento de Datos Personales

a) Fiscalizar el cumplimiento de las normas establecidas en la presente política en lo que respecta a la protección y privacidad de datos personales; b) Determinar a los sectores responsables mejoras en los procedimientos relacionados con la protección y la seguridad en el tratamiento de datos personales, estableciendo directrices más protectoras cuando se trate de datos personales sensibles; c) Mantenerse actualizado en cuanto a las tecnologías empleadas por NUTRIRE en la protección y privacidad de los datos personales, así como sugerir al CSIP nuevas tecnologías siempre que lo considere pertinente; d) Informar al CSIP siempre que identifique cualquier falla de seguridad, actual o potencial, en relación con la privacidad, disponibilidad y/o integridad de los datos personales; e) Mantener planes de adecuación a la LGPD actualizados en conformidad con los controles documentados de seguridad de la información.

8.5 Colaboradores

a) Proteger activamente la información confidencial de NUTRIRE, manteniendo la confidencialidad, integridad y disponibilidad de los datos a los que tengan acceso; b) Seguir rigurosamente esta Política, los demás controles documentados de seguridad de la información y el Programa de Privacidad establecidos por NUTRIRE; c) Reportar de inmediato cualquier incidente de Seguridad de la Información, sospecha de violación o comportamiento inadecuado; d) Participar en las capacitaciones y actividades de concientización en Seguridad de la Información y Privacidad para mantenerse actualizado sobre las mejores prácticas y amenazas emergentes; e) Utilizar únicamente los recursos de tecnología de la información autorizados y no alterar ninguna medida de seguridad en sus actividades cotidianas.

9. PROHIBICIONES

9.1 Está prohibido utilizar los recursos de tecnología de la información y comunicación disponibilizados por NUTRIRE para acceder, almacenar o divulgar material que sea incompatible con el entorno de trabajo, infrinja derechos de autor o viole la legislación vigente.

9.2 No está permitido el uso o la instalación de recursos de tecnología de la información que no hayan sido homologados o adquiridos por NUTRIRE.

9.3 Está prohibida la divulgación a terceros de mecanismos de identificación, autenticación y autorización, como cuentas, contraseñas o certificaciones digitales, que sean de uso personal e intransferible y proporcionados a los usuarios.

9.4 Está prohibido explotar vulnerabilidades identificadas, las cuales deben ser comunicadas de inmediato a los gestores departamentales.

9.5 Las denuncias de violaciones a esta política pueden realizarse al Coordinador de Tecnología de la Información, a través del siguiente canal: marcelo.silva@nutrire.com.br.

9.6 El cumplimiento de esta Política y de sus normativos complementarios debe ser evaluado periódicamente por NUTRIRE a través de verificaciones de conformidad, con el fin de asegurar el cumplimiento de los requisitos de seguridad de la información y de las cláusulas de responsabilidad y confidencialidad presentes en términos de responsabilidad, contratos, convenios, acuerdos e instrumentos afines.

9.7 El incumplimiento de esta política o de sus instrumentos normativos correlatos somete al infractor a sanciones administrativas conforme a la legislación aplicable, sin perjuicio de las responsabilidades civil y penal, garantizándose el derecho al debido proceso y la amplia defensa.

9.8 Esta política será revisada periódicamente, al menos cada cuatro años, o con mayor frecuencia según sea necesario, para reflejar cambios en el entorno de NUTRIRE, en los riesgos a la seguridad de la información y en las mejores prácticas del sector.

10. CONTROL DE VERSIONES

Esta política será revisada conforme a los criterios del punto 3 "Vigencia", teniendo en cuenta la fecha de su aprobación, a fin de mantener su relevancia y eficacia continuas.

DocumentoVersiónVigenciaResponsableControl de ModificacionesPSI1.012 mesesFranciele Monique CiprianiInexistentes.

11. DISPOSICIONES FINALES

11.1 El presente documento debe ser leído e interpretado bajo el amparo de las leyes brasileñas, en idioma portugués, en conjunto con las Normas, Políticas y Procedimientos de Gestión aplicables por NUTRIRE.

11.2 Los casos omitidos serán evaluados por el Comité de Seguridad de la Información y Privacidad (CSIP) para posterior deliberación.

11.3 Cualquier duda relativa a esta política debe ser dirigida a la dirección de correo electrónico franciele.cipriani@nutrire.com.br.

11.4 Esta política entra en vigor en la fecha de su publicación.

12. ANEXOS

Sin anexos.

13. DOCUMENTOS COMPLEMENTARIOS

Política de Gestión de Datos Personales

Este documento establece directrices y procedimientos para la recopilación, uso, almacenamiento y protección de datos personales en el ámbito de NUTRIRE, con el fin de asegurar la conformidad con las legislaciones vigentes, así como promover la transparencia y la seguridad de la información tratada.

14. REGISTROS

Comunicado sobre el compromiso de la Alta Dirección con la Seguridad de la Información

La Alta Dirección de NUTRIRE debe reforzar su compromiso institucional con la seguridad de la información tratada en sus actividades, mediante la publicación de una declaración oficial.

Publicación de la Política de Seguridad de la Información

La Política de Seguridad de la Información de NUTRIRE será publicada formalmente, estableciendo las directrices, responsabilidades y controles necesarios para asegurar la confidencialidad, integridad y disponibilidad de la información institucional.