Política de Segurança da Informação

Confira nossa política.

1. OBJETIVO

O presente documento é parte integrante do Programa de Privacidade e representa uma medida estratégica essencial para as operações da NUTRIRE. A evolução contínua desse sistema requer iniciativas endossadas pela governança, alinhadas às diretrizes estratégicas e à legislação vigente. Essas iniciativas abrangem a avaliação da maturidade do ambiente de Segurança da Informação, a gestão de riscos, a continuidade de negócios, o escopo de usuários e o crescimento organizacional, conforme especificado no controle 5.1, "Políticas de segurança da informação", da seção 5, "Controles organizacionais", da ABNT NBR ISO/IEC 27002:2022.

A Política de Segurança da Informação (PSI) estabelece os princípios corporativos para a Segurança da Informação dentro da NUTRIRE, com o objetivo de proteger a confidencialidade, integridade e disponibilidade das informações. Todas as áreas de negócio têm a responsabilidade de ajustar seus processos de acordo com os requisitos desta política e com a Lei Geral de Proteção de Dados (LGPD).

Para a efetivação desta política, o NUTRIRE adota os seguintes princípios de Segurança da Informação para proteger todos os ativos de segurança da informação sob sua propriedade ou guarda:

a) Confidencialidade: Garante que as informações não estejam acessíveis ou reveladas a pessoas físicas, sistemas, órgãos ou entidades não autorizadas ou credenciadas.

b) Integridade: Garante que as informações contidas nos recursos tecnológicos não sejam alteradas indevidamente ou destruídas de maneira não autorizada, seja intencionalmente ou acidentalmente.

c) Disponibilidade: Garante que as informações estejam acessíveis e em condições de serem utilizadas por usuários ou custodiantes autorizados.

2. ESCOPO

Esta Política abrange todos os ativos de informação da NUTRIRE, incluindo pessoal, estrutura física, dados, sistemas, aplicativos, dispositivos e redes. Aplica-se a todos os colaboradores, funcionários, contratados, parceiros e terceiros que acessam ou processam informações da organização, e a todas as instalações físicas administradas ou utilizadas.

3. VIGÊNCIA

Este procedimento entrará em vigor imediatamente após sua aprovação. Uma revisão deverá ser realizada em um prazo de até 12 (doze) meses, a contar de sua aprovação formal, conforme seu controle de versionamento, ou sempre que o Comitê de Segurança da Informação e Privacidade (CSIP) ou Coordenador de Tecnologia da Informação julgarem necessário.

4. TERMOS E DEFINIÇÕES

a) Alta Direção: Trata-se do mais alto nível de liderança dentro da organização, responsável por estabelecer a direção estratégica e os objetivos de Segurança da Informação e Privacidade;

b) Ativo: Qualquer coisa que tenha valor e precisa ser adequadamente protegido;

c) Backup: Salvaguarda de informações realizada por meio de reprodução e/ou cópia de uma base de arquivos com a finalidade de recuperação em caso de incidente ou necessidade de restauração;

d) Colaborador: Empregado, estagiário, prestador de serviço, empregado terceirizado, fornecedor, menor aprendiz ou qualquer outro indivíduo ou organização que venham a ter relacionamento profissional, direta ou indiretamente com a organização;

e) Encarregado pelo Tratamento de Dados Pessoais: Trata-se do designado pela organização para atuar como ponto de contato entre o NUTRIRE, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

f) Informação: Conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato;

g) Risco: Combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos;

h) Segurança da Informação: É a preservação da confidencialidade, integridade, disponibilidade da informação. Visa proteger a informação dos diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação;

i) Recursos de Tecnologia da Informação e Comunicação: Englobam todos os meios tecnológicos utilizados para processar, armazenar, transmitir e acessar informações, como computadores, redes, sistemas de informação, dispositivos móveis, entre outros;

j) Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos;

k) Lei Geral de Proteção de Dados Pessoais: Conforme seu art. 1º, a LGPD "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural."

5. DISPOSIÇÕES GERAIS

Os objetivos da Política de Segurança da Informação são:

a) Definir princípios e diretrizes para a proteção dos ativos de informação e dos conhecimentos gerados ou recebidos;

b) Estabelecer orientações gerais de segurança da informação, contribuindo para uma gestão eficiente dos riscos e limitando-os a níveis aceitáveis, além de preservar os princípios de disponibilidade, integridade, confiabilidade e autenticidade das informações;

c) Determinar competências e responsabilidades relativas à segurança da informação;

d) Orientar a criação de normas para a efetiva implementação da segurança da informação;

e) Alinhar as ações de segurança da informação às estratégias de planejamento organizacional da NUTRIRE.

6. PRINCÍPIOS E DIRETRIZES

6.1 É essencial que todos os usuários estejam cientes e comprometidos com o uso seguro e adequado dos ativos de informação da NUTRIRE. Assim, devem assegurar o cumprimento desta Política, Procedimentos de Gestão, Instruções de Trabalho e das leis aplicáveis, quando pertinentes.

6.2 Todas as informações produzidas, acessadas, manipuladas, armazenadas ou descartadas para desenvolvimento das atividades contratadas pela NUTRIRE, bem como outros ativos tangíveis e intangíveis fornecidos, são propriedade ou estão sob a responsabilidade e uso exclusivo da organização. Esses recursos devem ser utilizados estritamente para fins corporativos, com o objetivo de atender aos interesses da NUTRIRE, e não podem ser divulgados ou compartilhados sem autorização.

6.3 É proibido o uso de recursos tecnológicos pessoais para manipulação de informações pertencentes ou sob a guarda da NUTRIRE sem autorização. Todos os dados, independentemente de sua natureza, devem circular exclusivamente em ambientes seguros e sob controle da NUTRIRE. Aplicativos, especialmente aqueles vinculados a redes sociais e utilizados em dispositivos pessoais, não devem conter informações confidenciais, evitando assim exposições a vulnerabilidades que possam resultar em incidentes.

6.4 A utilização de mídias sociais para desempenhar responsabilidades profissionais em nome da NUTRIRE deve ser restrita e previamente autorizada, sendo permitida somente quando imprescindível e alinhada aos objetivos da organização, conforme as diretrizes expostas nesta Política. Todas as atividades nesse contexto devem ser realizadas exclusivamente por meio dos recursos de Tecnologia da Informação e Comunicação (TIC) da NUTRIRE.

6.5 É expressamente proibido utilizar, acessar, armazenar ou divulgar materiais discriminatórios, pornográficos, maliciosos, obscenos, ofensivos, ilegais ou que contrariem os princípios estabelecidos pela NUTRIRE e pela legislação vigente.

6.6 A NUTRIRE se reserva o direito de monitorar ou auditar, sem aviso prévio, o uso dos recursos tecnológicos sob sua propriedade ou custódia, bem como as informações armazenadas em discos locais, na rede corporativa e nos serviços de armazenamento em nuvem corporativos.

6.7 Qualquer uso de documentos internos, softwares, desenhos industriais, marcas, identidade visual ou outros sinais distintivos presentes ou futuros da NUTRIRE, em qualquer meio, incluindo a Internet e mídias sociais, deve ser previamente e expressamente autorizado pela NUTRIRE e estar alinhado aos seus interesses.

7. GESTÃO DE SEGURANÇA DA INFORMAÇÃO

7.1 O Programa de Privacidade da NUTRIRE é constituído, no mínimo, pelos seguintes processos:

a) Privacidade e proteção de dados pessoais; b) Tratamento da informação; c) Segurança física e lógica dos ambientes; d) Gestão de incidentes em segurança da informação e privacidade de dados pessoais; e) Gestão de ativos; f) Gestão do uso dos recursos de tecnologia da informação e comunicação (TIC); g) Backup das informações; h) Controles de acesso; i) Gestão de vulnerabilidades; j) Avaliação de Fornecedores; k) Gestão de mudanças; l) Melhoria contínua.

7.2 Os controles de segurança da informação devem abordar, no mínimo, os seguintes aspectos:

a) Conformidade com as diretrizes dispostas na LGPD e com os normativos e orientações emitidos pela Autoridade Nacional de Proteção de Dados (ANPD);

b) Classificação da informação de acordo com seu nível de confidencialidade e criticidade, entre outros fatores, para definir os controles de segurança apropriados;

c) Proteção dos dados contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

d) Uso aceitável da informação e utilização de mídias de armazenamento;

e) Entrada e saída de ativos de informação das instalações da NUTRIRE;

f) Perímetros de segurança de todas as unidades da NUTRIRE;

g) Controles de acesso com base no princípio do menor privilégio;

h) Etapas de identificação, contenção, erradicação, recuperação e atividades pós-incidente;

i) Critérios para a comunicação de incidentes aos titulares de dados pessoais e à ANPD;

j) Plano de Gestão de Incidentes de Segurança, considerando diferentes cenários;

k) Política de Gestão de Ativos da NUTRIRE, abrangendo a proteção dos ativos, classificação de acordo com a criticidade, manutenção de inventário atualizado, incluindo tipo, localização, responsável ou custodiante, e status de segurança; uso aceitável dos ativos, vedado o uso para fins pessoais; mapeamento de vulnerabilidades e ameaças, monitoramento conforme princípios de Segurança da Informação e privacidade; e investigação em caso de suspeita de violação de segurança e/ou privacidade;

l) Uso adequado dos recursos operacionais e de comunicação fornecidos pela NUTRIRE, exclusivamente para fins profissionais e em conformidade com os princípios éticos e profissionais da organização, evitando comportamentos antiéticos, discriminatórios, ofensivos ou que possam comprometer sua reputação;

m) Regras para uso de e-mail, envio de informações confidenciais, instalação de software e antivírus;

n) Regras para acesso à internet, download de arquivos, uso restrito a sites adequados e proibição da instalação de software não autorizado;

o) Uso de mídias sociais, divulgação de informações, uso de contas pessoais para fins profissionais e interações com estranhos;

p) Regras para uso da computação em nuvem, seleção de provedores, segurança dos dados e conformidade com leis e regulamentos aplicáveis;

q) Regras de controle de acesso, incluindo o uso de Autenticação Multifatorial (MFA), controles de autorização com base no menor privilégio, segregação de funções, auditoria, rastreamento, verificação de acessos, e desligamento ou afastamento de colaboradores e parceiros que operam ativos de informação da NUTRIRE;

r) Gestão das vulnerabilidades de segurança da informação, abrangendo a análise dos ambientes, dos ativos e das ameaças, adoção de metodologia para identificar e documentar vulnerabilidades e ameaças, incluindo descrição, origem, impacto potencial e probabilidade, avaliação para determinar prioridades e tratamento, que pode incluir mitigação com controles de segurança ou aceitação;

s) Gestão de Mudanças nos ativos de informação, embasada nos relatórios de avaliação de riscos, com definição de papéis e responsabilidades para avaliação, aprovação, implementação de mudanças e criação de processo formal para solicitação e documentação de mudanças;

t) Adoção criteriosa, monitoramento contínuo e controle de tecnologias emergentes, como Inteligência Artificial, garantindo que sua aplicação ocorra de forma ética, segura, em conformidade com os atributos de segurança e princípios da privacidade.

7.2.1 A NUTRIRE realizará avaliações internas periódicas de segurança da informação para assegurar a conformidade com esta Política e demais requisitos aplicáveis sempre que necessário.

8. RESPONSABILIDADES

8.1 Alta Direção

a) Disponibilizar os recursos necessários para garantir o desenvolvimento e a implementação da Gestão de Segurança da Informação no NUTRIRE, assegurando que as ações e decisões de segurança da informação sejam tratadas com a devida relevância e prioridade;

b) Formalizar e aprovar a Política de Segurança da Informação da NUTRIRE, incluindo suas revisões e atualizações.

8.2 Comitê de Segurança da Informação e Privacidade (CSIP)

a) Assessorar na implementação das ações de segurança da informação;

b) Formar grupos de trabalho para tratar de temas específicos e propor soluções direcionadas em segurança da informação;

c) Contribuir para a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;

d) Propor revisões na Política de Segurança da Informação e nas normas internas de segurança;

e) Deliberar sobre as normas internas de segurança da informação;

f) Avaliar as ações propostas pelo gestor de tecnologia da informação.

8.3 Coordenador de Tecnologia da Informação

a) Coordenar a elaboração da Política de Segurança da Informação e dos demais controles documentados de segurança da informação, observando a legislação vigente e as melhores práticas sobre o tema;

b) Assessorar a Alta Direção na implementação da Política de Segurança da Informação;

c) Incentivar ações de capacitação e profissionalização de recursos humanos em temas relacionados à segurança da informação;

d) Promover a divulgação da política e dos demais controles documentados de segurança da informação para todos os usuários e prestadores de serviços da NUTRIRE;

e) Fomentar estudos sobre novas tecnologias e avaliar seus possíveis impactos na segurança da informação;

f) Propor os recursos necessários para a execução das ações de segurança da informação;

g) Acompanhar as atividades da Equipe de Resposta a Incidentes de Segurança e Privacidade;

h) Avaliar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

i) Acompanhar a aplicação de ações corretivas e administrativas nos casos de violação da segurança da informação.

8.4 Encarregado pelo Tratamento de Dados Pessoais

a) Fiscalizar o cumprimento das normas estabelecidas na presente política no que se refere à proteção e à privacidade de dados pessoais;

b) Determinar aos setores responsáveis melhorias nos procedimentos relacionados à proteção e à segurança no tratamento de dados pessoais, traçando diretrizes mais protetivas quando se tratar de dados pessoais sensíveis;

c) Manter-se atualizado quanto às tecnologias empregadas pela NUTRIRE na proteção e privacidade dos dados pessoais, bem como sugerir ao CSIP e novas tecnologias sempre que entender pertinente;

d) Informar o CSIP sempre que identificar qualquer falha de segurança, atual ou potencial, à privacidade, disponibilidade e/ou integridade de dados pessoais;

e) Manter planos de adequação à LGPD atualizados em conformidade com os controles documentados de segurança da informação.

8.5 Colaboradores

a) Proteger ativamente as informações confidenciais da NUTRIRE, mantendo a confidencialidade, integridade e disponibilidade dos dados a que tenham acesso;

b) Seguir rigorosamente esta Política, os demais controles documentados de segurança da informação e o Programa de Privacidade estabelecidos pela NUTRIRE;

c) Reportar imediatamente quaisquer incidentes de Segurança da Informação, suspeitas de violação ou comportamentos inadequados;

d) Participar dos treinamentos e atividades de conscientização em Segurança da Informação e Privacidade para manter-se atualizado sobre as melhores práticas e ameaças emergentes;

e) Usar apenas os recursos de tecnologia da informação autorizados e não alterar quaisquer medidas de segurança em suas atividades cotidianas.

9. VEDAÇÕES

9.1 É proibido utilizar os recursos de tecnologia da informação e comunicação disponibilizados pela NUTRIRE para acessar, armazenar ou divulgar material que seja incompatível com o ambiente de trabalho, infrinja direitos autorais ou viole a legislação vigente.

9.2 Não é permitido o uso ou a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pela NUTRIRE.

9.3 É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização, como contas, senhas ou certificações digitais, que sejam de uso pessoal e intransferível e fornecidos aos usuários.

9.4 É proibido explorar vulnerabilidades identificadas, que devem ser imediatamente comunicadas aos gestores departamentais.

9.5 Denúncias de violações a esta política podem ser feitas ao Coordenador de Tecnologia da Informação, por meio do seguinte canal: marcelo.silva@nutrire.com.br.

9.6 O cumprimento desta Política e de seus normativos complementares deve ser avaliado periodicamente pela NUTRIRE através de verificações de conformidade, visando assegurar o cumprimento dos requisitos de segurança da informação e das cláusulas de responsabilidade e sigilo presentes em termos de responsabilidade, contratos, convênios, acordos e instrumentos afins.

9.7 O descumprimento desta política ou de seus instrumentos normativos correlatos sujeita o infrator a sanções administrativas conforme a legislação aplicável, sem prejuízo das responsabilidades civil e penal, assegurando-se o contraditório e a ampla defesa.

9.8 Esta política será revisada periodicamente, ao menos a cada quatro anos, ou com maior frequência, conforme necessário, para refletir alterações no ambiente da NUTRIRE, nos riscos à segurança da informação e nas melhores práticas do setor.

10. CONTROLE DE VERSIONAMENTO

Esta política será revisada conforme os critérios do item 3 "Vigência", levando em consideração a data de sua aprovação, a fim de manter sua relevância e eficácia contínuas.

DocumentoVersãoVigênciaResponsávelControle das ModificaçõesPSI1.012 mesesFranciele Monique CiprianiInexistentes.

11. DISPOSIÇÕES FINAIS

11.1 O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas, Políticas e Procedimentos de Gestão aplicáveis pela NUTRIRE.

11.2 Os casos omissos serão avaliados pelo Comitê de Segurança da Informação e Privacidade (CSIP) para posterior deliberação.

11.3 Qualquer dúvida relativa a esta política deve ser encaminhada para o endereço eletrônico franciele.cipriani@nutrire.com.br.

11.4 Esta política entra em vigor na data de sua publicação.

12. ANEXOS

Sem anexos.

13. DOCUMENTOS COMPLEMENTARES

Política de Gestão de Dados Pessoais

Este documento estabelece diretrizes e procedimentos para a coleta, uso, armazenamento e proteção de dados pessoais no âmbito da NUTRIRE, visando assegurar conformidade com as legislações vigentes, bem como promover a transparência e a segurança das informações tratadas.

14. REGISTROS

Comunicado sobre o comprometimento da Alta Direção com a Segurança da Informação

A Alta Direção da NUTRIRE deve reforçar seu compromisso institucional com a segurança das informações tratadas em suas atividades, por meio da publicação de declaração oficial.

Publicação da Política de Segurança da Informação

A Política de Segurança da Informação da NUTRIRE será publicada formalmente, estabelecendo diretrizes, responsabilidades e controles necessários para assegurar a confidencialidade, integridade e disponibilidade das informações institucionais.