Diretrizes de
Segurança da Informação
para Fornecedores

1. Objetivos

1.1. Objetivo da Política de Segurança da Informação

Este documento tem como objetivo explicar e estabelecer os requisitos e diretrizes segurança da informação para todos os fornecedores da klavi. Exceções a esta política serão permitidas somente se aprovadas antecipadamente pela Área de Segurança da Informação. A segurança dos dados é a base do nosso negócio e a principal prioridade da klavi. Todos os ativos de informação são de propriedade intelectual da klavi, não importando a sua forma ou meio de armazenamento (digital ou impresso). Portanto, o uso destes ativos só deve acontecer dentro das atividades de negócio que a administração da klavi julgar pertinente. 

1.2. Objetivos do Sistema de Gestão de Segurança da Informação

Conscientização de Segurança da Informação 

Garantir que todos os colaboradores sob o escopo do SGSI tenham participado do Workshop de Segurança da Informação.

Política de Segurança da Informação 

Atingir um nível de risco aceitável de acordo com nossa Política de Segurança da Informação e seguindo a Metodologia de Gestão de Riscos e Oportunidades. 

Tratamento de Incidentes de Segurança da Informação 

Garantir que incidentes de segurança da informação classificado como Nível 3 sejam devidamente registrados, tratados e comunicados alta direção. 

Sistema de Gestão de Segurança da Informação 

Implementação do Sistema de Gestão da Segurança da Informação de acordo com a ISO 27001:2022.

Estes objetivos são monitorados e documentados na matriz de Objetivos de Segurança da Informação pelo Head de Segurança da Informação.

2. Sessões da Política e Responsabilidades

2.1. Organizando a área de Segurança da Informação

Constitui-se nesta política a área de Segurança da Informação, que tem a missão de assegurar a seleção de controles de segurança da informação adequados para proteger os ativos de informação no ambiente da klavi e proporcionar confiança ao negócio onde a klavi atua.

2.1.1. Papéis e Responsabilidades

Alta Direção

A Alta Direção deve garantir o cumprimento dos requisitos do Sistema de Gestão, sua melhoria contínua e o atendimento aos requisitos legais.

Diretor de Segurança da Informação

O Diretor de Segurança da Informação é responsável por coordenar e supervisionar o cumprimento das políticas e procedimentos no ambiente da Klavi no tocante à confidencialidade, integridade e disponibilidade de seus ativos de informação.

Área de Segurança da Informação

A Área de Segurança da Informação trabalha com os líderes, administradores e usuários de sistemas dos departamentos no desenvolvimento de políticas, normas e procedimentos de segurança para ajudar na proteção dos ativos e das operações da Klavi. A Área de Segurança da Informação é dedicada ao planejamento, educação e conscientização sobre segurança.  

Devido ao seu relacionamento direto e constante com os sistemas de informação, APIs, implementação e desenvolvimento de software sustentação do ambiente Azure e AWS a área de Segurança da Informação trabalha para ajudar na continuidade dos negócios e plataformas da Klavi.

Área de Compliance, Riscos e Privacidade

Devido ao seu relacionamento direto e constante com os dados pessoais de nossos clientes, colaboradores e usuários, além de apoiar o cumprimento de nossas obrigações legais (incluindo a Legislação de Proteção de Dados aplicável), a área de Compliance, Riscos e Privacidade tem um papel importante no que se refere à segurança das informações e Privacidade dos dados da Klavi.

Administrador de Sistemas de Informação e Segurança

O Administrador de Sistemas de Informação e Sistemas e Segurança da Klavi é o elo direto entre as políticas de Segurança da informação e o ambiente, os sistemas e os dados.  

Recursos Humanos

Devido ao seu relacionamento direto e constante com os colaboradores existentes, assim como sua posição única de ter a primeira e última interações com novos/ ex-colaboradores, o Recursos Humanos tem um papel importante no que se refere à segurança das informações da Klavi. 

Colaboradores

Todo colaborador com recursos computacionais e de informação da Klavi devem estar cientes da importância fundamental de tais recursos e reconhecer sua responsabilidade pela manutenção segura dos mesmos. Os colaboradores devem protegê-los contra abusos que interrompam ou ameacem a viabilidade de todos os sistemas.  

2.1.2. Segregação de funções

Para todos os ambientes da Klavi, sejam eles de produção, homologação, desenvolvimento ou teste, é obrigatório a implementação de segregação de funções.

2.1.3. Contato com as autoridades externas

Como parte do plano de comunicação interno e externo e do plano de resposta a incidentes de segurança da KLAVI, declara-se que qualquer comunicação relacionada a segurança da informação, junto às autoridades externas que incluem, mas não se limitam a entidades reguladoras, entidades de conformidade e governo, devem ser previamente autorizadas pelo Head de Segurança da Informação e Head de Compliance & Risk/DPO.

2.1.4. Segurança da Informação no Gerenciamento de Projetos

Como parte da metodologia de gerenciamento de projetos da Klavi, todos os projetos devem incluir segurança da informação dentro do seu ciclo de vida.

2.2. Política de Gestão de Ativos e Classificação da Informação

A área de Segurança da Informação com o apoio da área de Tecnologia da Informação deve estabelecer as diretrizes para garantir a proteção dos ativos físicos e digitais de acordo com a necessidade de acesso em redes, do ambiente em cloud e dos recursos de processamento da informação que as apoiam.

2.3. Política de Gestão de Acessos

Todos os sistemas de informação da Klavi devem estar integrados a um sistema de controle de acesso homologado pelas áreas de Tecnologia da Informação e a área de Segurança da Informação.

2.4. Política de Criptografia

Toda informação da Klavi, que precise ser protegida contra acesso não autorizado ou estabelecido por normas externas ou internas de conformidade, deve utilizar criptografia robusta conforme os padrões aceitos pelo mercado, de modo a garantir a confidencialidade, autenticidade e integridade da informação.

2.5. Política de Segurança Física e Mesa Limpa

É de responsabilidade dos seus respectivos proprietários proteger os ativos de informação contra danos, roubo ou qualquer evento que possa gerar indisponibilidade. A Klavi estabelece o perímetro de segurança física no escritório de modo a preservar o acesso somente a pessoas autorizadas. Também estabelece as diretrizes para garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis da Klavi.

2.6. Política de Segurança nas Operações

A área de Tecnologia da Informação, com apoio da área de Segurança da Informação, deve estabelecer as diretrizes para garantir a proteção das informações e dos recursos de processamento da informação que as apoiam.

2.7. Política de Desenvolvimento Seguro

Todos os processos que envolvam desenvolvimento ou manutenção de sistemas e aplicações de informação devem contemplar a execução de testes de segurança para garantir que os riscos relacionados sejam conhecidos e tratados.

2.8. Política de Gestão de Prestadores de Serviço

Todo relacionamento com prestadores de serviço deve seguir as diretrizes estabelecidas, de modo a garantir a proteção dos ativos da Klavi acessados por estes fornecedores. Além disso, todo relacionamento acordado deve ser formalizado e estabelecido entre as partes cláusulas de confidencialidade e de responsabilidade na manipulação de informações e prestação de serviços.

2.9. Política de Gestão de Incidentes de Segurança e Planejamento de Respostas

O processo de gestão de incidentes de segurança tem como objetivo garantir que eventos de segurança da informação associados a ativos de informação da Klavi sejam reconhecidos e comunicados à área de Segurança da Informação e notificações apropriadas após a descoberta de um incidente sejam realizadas. É de responsabilidade da área de Segurança da Informação em conjunto com a área de Tecnologia da Informação coordenar todas as atividades pertinentes ao processo de gestão de incidentes de segurança. É dever de todos os colaboradores, prestadores de serviço e parceiros de negócios comunicar um incidente de segurança para a área responsável. Para mais informações, consulte a Política de Gestão de Incidentes de Segurança e Planejamento de Respostas.

2.10. Política de Planos de Recuperação e Continuidade de Negócios

O processo de gestão de continuidade do negócio e plano de recuperação deve ser implementado com o objetivo de reduzir os impactos sobre os negócios da Klavi. É responsabilidade do gestor da unidade de negócio solicitar à área de Tecnologia da Informação e Segurança da Informação a condução e suporte dos planos de continuidade.

2.11. Política de Dispositivos Móveis e BYOD

A área de Tecnologia da Informação com apoio da área de Segurança da Informação, devem estabelecer as diretrizes para garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis da Klavi. Para isso devem estabelecer uma política formal e acessível com as condições e restrições.

Esta política deve incluir e não se limitar a, procedimentos de registro dos dispositivos móveis, proteção física, instalação de software, acesso a informações classificadas, gestão de acesso, desativação ou bloqueio remoto e cópias de segurança (backup).

Para mais informações, consulte a Política de Dispositivos Móveis.

2.12. Política de Segurança em Cloud

A área de Segurança da Informação, deve estabelecer critérios, papéis e governança para o uso da Cloud na Klavi, operando de forma eficiente, segura, com diretrizes chave, assegurando um uso eficiente e de conformidade. Para mais informações, consulte a Política de Segurança em Cloud.

2.13. Política de Privacidade e Proteção de Dados Pessoais

A privacidade e a proteção de dados são um risco na atividade da Klavi, pois os colaboradores, clientes e parceiros esperam que mantenhamos um alto padrão de cuidado ao utilizar dados pessoais. A Lei Geral de Proteção de Dados (LGPD) que irá demandar maior responsabilidade e transparência das organizações que coletam, utilizam, armazenam, compartilham, transferem e destroem dados pessoais, além da Autoridade Nacional de Proteção de Dados (ANPD) iniciar a aplicação de elevadas penalidades contra aqueles que fazem algo errado. Para mais informações consulte a Política de Privacidade e Proteção de Dados Pessoais.

2.14. Conformidade

Todos os ativos e sistemas de informação da Klavi, assim como os seus colaboradores e prestadores de serviço devem estar em conformidade com as obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação estabelecidos pela Klavi.

Com objetivo de prevenir violações, todas as informações armazenadas ou que trafeguem dentro dos perímetros físicos e lógicos da Klavi podem ser monitoradas, mediante o processo de aprovação instituído, revisado pela área de Segurança da Informação e da área de Compliance, Riscos e Privacidade. Violações não serão toleradas e as sanções apropriadas serão aplicadas.

3. Referências Externas

  • ISO/IEC 27001
  • ISO/IEC 27701
  • Resolução CMN 4.893
  • NIST 800-82
  • LGPD (Lei Geral de Proteção de Dados)
  • GDPR (General Data Protection Regulation)

4. Histórico de Versões

A Klavi poderá alterar as diretrizes aqui contidas a qualquer tempo, conforme seu exclusivo critério. Neste caso, a Klavi se compromete a informar os fornecedores sobre tais alterações e a convidá-los a conferir a versão atualizada.  

A última alteração a esta Diretriz de Segurança da Informação para Fornecedores foi publicada no dia 28 de Outubro de 2024.