Política de Segurança da Informação

1. Introdução

No objetivo de atender as melhores práticas de conformidade empresarial, a SoftExpert Software vem imprimindo esforços no sentido de aprimorar seus padrões de segurança da informação e proteção de dados pessoais.

A SoftExpert é certificada ISO 27001:2022. A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da Informação, que tem como princípio geral a adoção de um conjunto de requisitos e controles com o objetivo de mitigar adequadamente os riscos da organização.

2. Objetivo

A política de Segurança da Informação da SoftExpert é uma declaração formal da Alta Direção acerca do seu compromisso com a proteção dos ativos e informações de sua propriedade e/ou sob sua custódia.

A aplicação desta política busca preservar as informações da SoftExpert quanto à:

1. Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
2. Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
3. Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Por fim, o Sistema de Gestão Integrado (SGI) contempla o Sistema de Gestão de Segurança da Informação e Sistema de Gestão da Qualidade, baseados nos requisitos normativos da ISO 9001 e ISO 27001.

3. Escopo

Esta política é aplicável a todos os colaboradores e prestadores de serviços que possuíram e/ou possuem vínculo com a SoftExpert e que acessaram e/ou acessam informações da empresa ou de seus clientes.

4. Diretrizes

A Política de Segurança da Informação é apoiada por um conjunto de outras políticas, procedimentos e controles específicos para assegurar uma proteção adequada às informações e mitigação de riscos relacionados.

A SoftExpert declara que adotada soluções que levam em consideração as técnicas adequadas, custos de aplicação, natureza, âmbito e os riscos para o negócio. Ademais, se compromete a:

• Cumprir regulamentos, leis, normas e cláusulas contratuais relacionadas à Segurança da Informação e Privacidade;
• Tratar de forma apropriada qualquer incidente de Segurança da Informação, incluindo registro, classificação, investigação, correção e documentação, bem como, quando necessário, comunicar às autoridades competentes;
• Manter um programa de Gerenciamento de Riscos que atenda às necessidades de negócios da SoftExpert;
• Manter um programa de auditorias internas e externas para validar a conformidade do seu SGI;
• Supervisionar e regular o acesso físico e lógico de todas as pessoas, incluindo colaboradores e prestadores de serviços;
• Categorizar as informações relacionadas ao escopo do SGI para garantir que elas recebam a proteção apropriada;
• Investir em programas de treinamentos e conscientizações para educar os usuários sobre suas responsabilidades e a importância de cuidar das informações sob sua responsabilidade;
• Ter um plano de continuidade de negócios para garantir a oferta e suporte contínuos aos serviços, mesmo em situações adversas.

A SoftExpert busca estabelecer relações com seus colaboradores e prestadores de serviços que compartilhem o mesmo compromisso com a segurança da informação, a privacidade e a qualidade de produtos e serviços, atribuindo a esses aspectos a mesma importância e relevância que a organização atribui.

5. Papeis e Responsabilidades

Alta Direção

1. Apoiar a disseminação e manutenção do SGI;
2. Prover os recursos necessários para a manutenção do SGI;
3. Realizar análise crítica e acompanhamento dos resultados do SGI a intervalos planejados.

Comitê de Segurança da Informação

1. Apoiar na análise da eficiência e eficácia de controles adotados no SGI;
2. Apoiar na definição de ações para garantir a melhoria contínua do SGI;
3. Apoiar na disseminação do SGI por toda a organização;
4. A composição do comitê deverá contar com, ao menos, um membro de cada área.

Líderes

1. Ter atuação exemplar no cumprimento das diretrizes desta Política de Segurança da Informação, bem como as demais Políticas, Normas e Procedimentos internos que a complementam;
2. Garantir que sua equipe tome conhecimento das diretrizes desta Política de Segurança, bem como das demais Políticas, Normas e Procedimentos que a complementam;

Demais usuários

1. Cumprir as políticas, diretrizes e procedimentos internos de segurança da informação;
2. Utilizar os ativos de informação de maneira apropriada;
3. Buscar orientação em caso de dúvidas relacionadas à segurança da informação;
4. Assegurar a guarda e proteção das informações confidenciais da empresa contra acesso, modificação, destruição ou divulgação não autorizadas;
5. Relatar incidentes de segurança da informação assim que identificado;
6. Relatar sobre possíveis riscos de segurança da informação identificados;
7. Participar dos treinamentos e ações de conscientização.

6. Cumprimento

O não cumprimento dos requisitos previstos nesta Política de Segurança da Informação acarretará violação às regras internas da empresa e sujeitará o usuário às medidas administrativas e legais cabíveis.