POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SPRAYTEC

Área responsável: Setor de Tecnologia da Informação – Gestão de Segurança da Informação.
Público-alvo: Colaboradores da empresa Spraytec que venham a ter acesso, de forma direta ou indireta, às informações e recursos corporativos; e prestadores de serviços ou parceiros, pessoas físicas ou jurídicas.
Repositório: Essa Política de Segurança da Informação está disponível no seguinte endereço da internet: https://spraytec.com/
Direitos autorais: O conteúdo desta Política não pode ser reproduzido sem a devida autorização. Todos os direitos pertencem à Spraytec.
Prazo de duração: Indeterminado.

A Spraytec entende a importância da segurança para o desenvolvimento de qualquer atividade, com o objetivo de evitar incidentes com dados. A Empresa se organiza de forma a conceber sistemas, processos e procedimentos baseados em segurança e proteção da informação. Tal esforço é replicado para relações com fornecedores, colaboradores e terceiros envolvidos em nossas rotinas, visando a proteção do nosso ativo.

SUMÁRIO

1 Objetivo
2 Referências
3 Conceitos
4 Informações
5 Nossos Princípios
6 Responsabilidades e Estrutura
7 Penalidades
8 Canal de Segurança da Informação
9 Avisos
10 Disposições Gerais

1 Objetivo

O objetivo da presente Política de Segurança da Informação é orientar e definir estratégias voltadas à proteção das informações, em especial aquelas que são acessíveis pelos meios digitais, incluindo os meios disponibilizados pela Spraytec.

Esta Política ficará disponível na sua íntegra, e sempre em sua versão mais recente, em nossa Intranet e site institucional.

2 Referências

Esta Política tem como referência as leis, normas e contratos a seguir discriminados:
  2.1 Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD);
  2.2 Lei nº 12.965, de 23 de abril de 2014 – Marco Civil da Internet;
  2.3 ABNT NBR ISO/IEC 27002: 2013 – Tecnologia da informação – técnicas de segurança – código de prática para a gestão da segurança da informação;
  2.4 ABNT NBR ISO/IEC 27001: 2013 – Tecnologia da informação – técnicas de segurança – sistemas de gestão de segurança da informação;
  2.5 Política de Proteção de Dados da Spraytec;
  2.6 Guia Prático de Proteção de Dados da Spraytec;
  2.7 Contrato de Trabalho da Spraytec;
  2.8 Termos de confidencialidade e operacional da Spraytec.

3 Conceitos

A fim de facilitar a completa compreensão de nossa Política, incluímos abaixo alguns conceitos essenciais:

  • Segurança da informação (“SI”): Ações voltadas à segurança das operações em rede, bem como de equipamentos físicos, tendo como finalidade a redução de riscos e a prevenção a riscos de vazamento, ataques e outros incidentes.
  • Lei Geral de Proteção de Dados (LGPD): Lei Federal nº 13.709, de 2018, que regula as atividades de Tratamento de Dados Pessoais que é realizada pelas empresas e até por outras pessoas, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
  • Marco Civil da internet: Lei Federal nº 12.965, de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
  • Espaço cibernético: Ambiente virtual composto por um conjunto de canais de comunicação da internet e outras redes que garantem a interconexão de dispositivos e que contempla todas as formas de atividades digitais em rede, por exemplo: o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas por meio desse ambiente.
  • Privacidade: Direito à reserva de informações, mediante o controle de exposição e disponibilidade.
  • Endereço IP: é o número atribuído a cada Dispositivo conectado à internet, conhecido como endereço de protocolo de Internet (Internet Protocol address ou IP). Geralmente, esses números são atribuídos em blocos geográficos. Um endereço IP pode ser usado para identificar, por exemplo, de qual local um dispositivo está se conectando à Internet.
  • Informação: Dados em geral, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.
  • Titular dos Dados: Pessoa a quem pertence os dados pessoais tratados. São, por exemplo, nossos clientes, potenciais clientes, colaboradores, terceiros, prestadores de serviços, candidatos a vagas de trabalho, entre outros.
  • Usuário: Pessoa habilitada para acessar os ativos de informação da Spraytec.
  • Colaborador: Pessoas que atuam na Spraytec, tais quais: Diretores, conselheiros, empregados, terceirizados, prestadores de serviço, estagiários e jovens aprendizes.
  • Terceiros: Pessoas ou organização que atue em parceria comercial ou estratégica com a Spraytec ou que se relacione com a Spraytec por algum motivo definido em contrato ou memorando.
  • Gestor de informação: Titular(es) das áreas que desempenham atividades gerenciais na Empresa.
  • Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Artefato malicioso: Qualquer programa de computador construído com a intenção de provocar danos a terceiros, obter informações não autorizadas ou interromper o funcionamento de sistemas ou redes de computadores.
  • Risco de segurança da informação: Potencialidade de exploração de vulnerabilidades associadas aos sistemas de computação, rede de internet e outros meios de comunicação utilizados pela Empresa, por parte de uma ou mais ameaças.
  • Ataque: Tentativa deliberada e não autorizada para acessar/manipular informações, ou tornar um sistema inacessível, não íntegro, ou indisponível.
  • Incidente de segurança da informação: Evento adverso, confirmado ou sob suspeita, que afete a proteção dos sistemas de informação e que comprometa ou tenha potencial para comprometer a segurança da informação.
  • Violação: Qualquer atividade que desrespeite as diretrizes estabelecidas nesta política ou em quaisquer dos demais instrumentos regulamentares que a complementem.
4 Informações

Em nossa organização, existem diversas informações e estas são classificadas, em termos de acesso, como “Públicas”, “Internas”, “Restritas” e “Confidenciais”:

PÚBLICAS: são todas as Informações que já sejam de conhecimento público e estejam disponíveis para o acesso de clientes, colaboradores e para o público em Geral, através da Internet ou outros meios de comunicação, inclusive por meios impressos (panfletos, jornais, revistas, folders, etc.).

INTERNAS: são Informações que estão disponíveis aos membros de nossa organização (sócios, diretores, colaboradores e terceiros relacionados), por meio de ferramentas aprovadas pela Governança, com armazenamento interno, em servidores internos, ou em servidores de terceiros (serviços de armazenamento em nuvem). Informações internas não necessariamente estão disponíveis para todos os colaboradores, havendo, por motivo de segurança, limitação de acesso a certas informações. Em todo o caso, qualquer Informação classificada como “INTERNA” não poderá ser encaminhada, divulgada ou publicada em quaisquer meios para terceiros não autorizados, devendo a sua disponibilização ser restrita ao ambiente de trabalho da Spraytec e uso limitado aos Colaboradores ou terceiros, mediante assinatura de “Termo de Confidencialidade”.

RESTRITAS: os documentos classificados como “INFORMAÇÃO RESTRITA” somente poderão ser acessados pela área, departamento, setor ou função de nível hierárquico que classificou a Informação. Em regra, essas Informações referem-se a uma determinada área e não são necessárias ou não devem ser compartilhadas com outros setores da empresa, por exemplo, os documentos do setor de RH ou departamento financeiro da empresa.

CONFIDENCIAL: são Informações sensíveis e relevantes, tais quais: segredo industrial, planejamento estratégico, registros, entre outros. Essas informações serão mantidas em arquivos físicos ou eletrônicos com níveis adequados de segurança e somente poderão ser transmitidas mediante autorização expressa da diretoria, com a ciência do Departamento de Tecnologia da Informação, em casos de armazenamento eletrônico, sendo necessário ainda a assinatura de Termo ou Contrato de Confidencialidade com a Parte Receptora, que se responsabilizará por eventos danosos. Se em meio físico, essas informações podem ser armazenadas em cofres, armários com chaves e ambientes de acesso restrito. Se em meio eletrônico, poderão ser armazenadas em diretórios e arquivos criptografados. Essas informações, sem o consentimento da Spraytec, não poderão ser reproduzidas, nem mesmo através de fotografias.

A Spraytec ainda poderá classificar uma informação como “SECRETA” quando o vazamento desta for capaz de implicar em impacto financeiro direto ao negócio ou coloque em risco a continuidade das atividades.

A classificação dos documentos deverá ocorrer em campo visível, preferencialmente na primeira página e próximo ao cabeçalho do Arquivo.

Os gestores de cada área definirão em qual classificação se enquadram os documentos tratados, devendo limitar o acesso, de acordo com a classificação realizada.
Em escala de sensibilidade:

5 Nossos Princípios

Para conscientizar sobre a importância da segurança da informação e incorporá-la à nossa cultura organizacional, adotamos princípios de essencial relevância em todas as nossas ações e decisões, quais sejam:

Respeito à Privacidade:
Todo tratamento de dados será realizado de forma não invasiva e com a estrita finalidade informada ao Titular.

Disponibilidade:
Resguardado o segredo industrial, técnico e comercial, o Titular sempre poderá confirmar se e quais dados de sua titularidade estão sendo tratados pela Empresa, sendo-lhe franqueado o acesso aos dados, mediante controle adequado de segurança.

Prevenção:
A Spraytec atuará de forma preventiva em face de riscos e incidentes de segurança da informação, mantendo-se atualizada quanto às melhores práticas sobre o tema, nacionais e internacionais, incorporando a proteção da informação à governança interna.

Transparência:
A Spraytec se compromete a atuar de forma transparente perante as autoridades e titulares de dados, franqueando-lhes informações quanto ao tratamento realizado, sempre observada a legislação aplicável.

Integridade da informação:
Proteção das informações para que não sejam modificadas ou destruídas de maneira não autorizada ou acidental.

Melhoria Contínua:
Adotamos postura de governança que visa a implementação de melhorias em nossas atividades. Mantemos constante pesquisa e implementação de novas tecnologias e formas de proteger informações.

6 Responsabilidades e Estrutura

Para assegurar a segurança da informação em nossas atividades, atribuímos a grupos internos de colaboradores e aos representantes da Spraytec, como um todo, deveres quanto à forma como os dados são tratados.

6.1 Grupo de Segurança da Informação

Trata-se de grupo estratégico e multidisciplinar responsável pelas seguintes atividades: fiscalização do cumprimento das políticas, elaboração e revisão de políticas e diretrizes, conscientização e difusão cultural do tema, revisão de procedimentos, instalação e coordenação de comitê de crises e outras atividades definidas internamente.

Esse grupo é composto pelos membros do Departamento de Tecnologia da Informação, Jurídico e Compliance e pelo DPO.

6.2 CGPD (Comitê Gestor de Proteção de Dados Pessoais)

A Spraytec conta com um Comitê, composto por colaboradores de todos os setores da Empresa (RH/DP, Administrativo, Compras e Frota, Financeiro, Comercial, Publicidade e Propaganda, Jurídico, Gerência e TI), que têm como atribuição zelar e fiscalizar o adequado tratamento de dados nas operações da empresa.

6.3 Departamento de Tecnologia da Informação

Contamos com um departamento específico voltado à tecnologia da informação e inovação tecnológica. O Gestor do Setor possui formação específica na área e habilidades notórias em segurança de dados. Esse Gestor é responsável por estabelecer, em conjunto com a diretoria, as diretrizes de proteção de dados aplicáveis à empresa, planejar e implementar melhorias no quesito segurança e tecnologia e por gerir a equipe de TI.

6.3.1 Equipe de Tecnologia da Informação

Além do Gestor da área, a equipe de TI conta com colaboradores qualificados que acompanham as rotinas e operações da empresa.

6.4 Auditorias Independentes

A Spraytec também pode contar com auditorias técnicas independentes, a serem realizadas periodicamente, para fins de realizar diagnósticos de vulnerabilidade dos sistemas e processos utilizados, bem como para implementar melhorias.

6.5 Sócios, diretores, empregados, colaboradores e terceiros relacionados

Todos os sócios, diretores, empregados, colaboradores e terceiros relacionados, incluindo prestadores de serviços recorrentes, independentemente da relação contratual estabelecida e do nível hierárquico, são responsáveis por:
• Conhecer, cumprir e fazer cumprir rigorosamente a Política de Segurança da Informação da Spraytec;
• Observar e reportar práticas que não estejam em conformidade com a Política de Segurança da Informação da Spraytec e demais normas internas aplicáveis;
• Reportar falhas de sistema, processos e incidentes de segurança, inclusive mediante o preenchimento de Formulário Específico.

6.6 Da Estrutura

A Spraytec conta com estrutura robusta para garantir a segurança de informações. Essa estrutura se projeta tanto em ações e rotinas, de forma física, quanto em meios eletrônicos:

a) Instituímos políticas para contratação de armazenamento externo, existindo requisitos previamente estabelecidos para que o servidor de terceiro possa ser contratado;
b) Realizamos backup de informações periodicamente. Contamos com backups diários, semanais e mensais;
c) Não permitimos a utilização de equipamentos pessoais (computadores, notebooks, netbooks, tablets, celulares, smartphones, entre outros) pelos nossos colaboradores, sendo necessária a utilização dos equipamentos corporativos que fornecemos, sob pena de infração ao contrato de trabalho ou ao contrato de prestação de serviços;
d) Não permitimos o compartilhamento dos equipamentos fornecidos com colaboradores a quem não foram endereçados ou com terceiros;
e) Os equipamentos de tecnologia fornecidos pela Spraytec aos colaboradores e prestadores de serviços contam com senha de acesso e somente podem ser utilizados para fins ligados ao trabalho ou serviços prestados;
f) Adotamos como política a alteração trimestral de senhas e não permitimos a utilização de senhas padronizadas;
g) Todos os acessos a softwares (login e senha) são pessoais e intransferíveis;
h) Não permitimos que softwares nativos, antivírus e outras ferramentas de segurança sejam desinstalados dos equipamentos corporativos;
i) Não permitimos o download ou instalação de softwares ou arquivos não autorizados, sendo que qualquer solicitação do tipo deve, necessariamente, passar pela análise do Departamento de Tecnologia da Informação;
j) Não permitimos o armazenamento de informações pessoais de colaboradores e terceiros usuários em nossos dispositivos;
k) Estabelecemos pacote de softwares de segurança para dispositivos que devem constar em todos os equipamentos de propriedade da Spraytec;
l) Realizamos avaliações e varreduras periódicas em nossa rede e equipamentos, com o objetivo de detectar potenciais riscos de ataques internos ou externos;
m) Nossa rede interna está programada para não permitir o acesso a conteúdos inadequados, impróprios ou que coloquem em risco a segurança da informação;
n) Monitoramos constantemente o uso da nossa rede interna;
o) Não permitimos a utilização de dispositivos externos em nossos equipamentos, tais quais: CDs, DVDs, pendrives, HD externo e outros meios de armazenamento de dados;
p) Qualquer manutenção em rede será realizada preferencialmente em dias de menor volume de acessos, sendo previamente comunicada, salvo quando urgente;
q) Somente pessoas autorizadas, devidamente identificadas, podem permanecer nos ambientes de trabalho da Spraytec, devendo qualquer terceiro aguardar pelo atendimento nos locais destinados à recepção;
r) A transferência de dados e informações com terceiros somente deve ser realizada se a Parte Receptora assinou Acordo ou Contrato de Confidencialidade, passando esta a ter responsabilidade pela guarda das informações;
s) Desde a integração, providenciamos a imersão dos novos colaboradores ao universo de proteção de informações;
t) Nossos colaboradores passam por treinamento específico e são constantemente atualizados sobre melhorias relativas à proteção de informações;
u) Estimulamos a denúncia de inconformidades com a LGPD, esta Política e nossos procedimentos e disponibilizamos canal específico para tanto;
v) Instituímos como regra inafastável a necessária e imediata comunicação ao Departamento de Tecnologia da Informação, por qualquer colaborador, quanto a incidentes que possam representar o vazamento de dados, tais quais: site fora do ar, sistemas fora do ar, acesso(s) indevido(s), invasões, ataques hackers, tratamento inadequado ou ilícito;
w) Podemos monitorar nossos ambientes com câmeras, para garantir a segurança das instalações;
x) Contamos com canal específico, mantido pelo Departamento de Tecnologia da Informação, para esclarecer dúvidas, receber sugestões e reclamações referentes ao uso e segurança de informações;
y) Em caso de descarte, documentos físicos que contenham informação deverão ser triturados;
z) Já no caso de arquivos eletrônicos que contenham informação internas, restritas, confidenciais ou secretas, se autorizado ou determinado pela Spraytec, o descarte será realizado pelo TI da Empresa, mediante o uso das ferramentas apropriadas;
aa) Todos os colaboradores deverão obedecer às regras de limpeza e organização do ambiente de trabalho, para não expor desnecessariamente informações classificadas;
bb) É vedado a qualquer colaborador emitir comunicado, opinião ou comentário em nome da Spraytec, sem a expressa aprovação e alinhamento com as áreas de marketing e comunicação;
cc) Serão disponibilizados a todos os colaboradores termos específicos para uso de e-mail, telefone, redes e ambiente.

Esta seção pode ser atualizada a qualquer momento, a fim de fazer nela constar melhorias que venhamos a implementar.

7 Penalidade

A não observação das regras e políticas da empresa voltadas à proteção de dados, privacidade e segurança da informação podem ser puníveis de acordo com a legislação.

Empregados: No caso de empregados, por exemplo, a depender da gravidade, poderá ser aplicada advertência, suspensão e até a rescisão por justo motivo do Contrato de Trabalho, nos termos do Art. 482, da Consolidação das Leis do Trabalho (CLT). Além disso, o empregado pode responder civil e criminalmente pelos danos que causar.

Prestadores de Serviços e terceiros relacionados: No caso de prestadores de serviços e terceiros, incidentes com dados e segurança da informação, sejam dolosos ou culposos, podem representar a rescisão do contrato firmado com a Spraytec, sem prejuízo da apuração dos danos causados e da responsabilidade criminal aplicável.

A observação do descumprimento desta Política deve ser imediatamente reportada por meio do e-mail: [email protected].

8 Canal de Segurança da Informação

O Departamento de Tecnologia da Informação e o Encarregado pela Proteção de Dados nomeado pela Spraytec deixam à disposição Canal de Comunicação para colaboradores e terceiros que queiram fazer sugestões, enviar dúvidas e reclamações ou realizar solicitações referentes ao tratamento de dados ou à segurança da informação.

Para tanto, basta ao interessado entrar em contato por um dos meios a seguir:
E-mail: [email protected]
Telefone: (44) 3026.2600 Ramal 1044

9 Avisos

A Spraytec somente se comunica com colaboradores e terceiros por meio de canais oficiais.

A Spraytec conta com perfis oficiais em redes sociais, não fazendo uso de perfis alternativos. Nossos perfis oficiais são:

Instagram: @spraytecbrasil (https://www.instagram.com/spraytecbrasil/)
Facebook: @SpraytecBRA (https://www.facebook.com/SpraytecBRA)
Linkedin: (https://www.linkedin.com/company/spraytec-brasil/mycompany/?viewAsMember=true)
Youtube: @SpraytecFertilizantes(https://www.youtube.com/@SpraytecFertilizantes)

Nós não solicitamos transferências de valores, dados ou informações por redes sociais, WhatsApp ou qualquer outro aplicativo de smartphone.

Nossos colaboradores não solicitam pagamento por redes sociais ou outros meios, de modo que qualquer situação relacionada a compras de mercadorias deve sempre ser tratadas com o Financeiro da Spraytec.

Qualquer dúvida sobre as ações da Spraytec poderá ser esclarecida com a Empresa, pelos canais oficiais.

Qualquer evento de perda, extravio ou roubo de Informações, devem ser reportados IMEDIATAMENTE no Canal de Segurança da Informação, por meio do e-mail: [email protected].

10 Disposições Gerais

Esta Política tem como finalidade estabelecer diretrizes, de forma que deve ser lida, considerada e aplicada em conjunto com outros padrões, normas, procedimentos e documentos aplicáveis. Além disso, esta Política se desdobra em outros documentos e Termos de conhecimento dos colaboradores, tais quais: Termo de Confidencialidade, Termo de Uso de Equipamentos e Redes, Termo de Consentimento, entre outros.

As normas aqui estabelecidas devem nortear a atuação da área responsável pela Tecnologia da Informação, estabelecendo Programa de Governança a ser seguido por toda a Empresa.

Arquivos que não estiverem em conformidade com esta Política deverão ser adequados pela Spraytec em até 180 (cento e oitenta) dias, a contar da aprovação final pela Diretoria.

A Spraytec dará ampla publicidade a este documento, em especial para os colaboradores e prestadores de serviços, visando difundir o valor que é a segurança da informação.

A Spraytec trabalha continuamente na melhoraria e atualização de processos e procedimentos e, por isso, esta Política pode passar por modificações. Assim, recomendamos que esta Política de Segurança da Informação seja consultada periodicamente pelos interessados.

Data da Última Atualização: 10 de abril de 2023.

Mandar mensagem!
Seja bem-vindo! Como podemos ajudar?!
Powered by Joinchat
Ao clicar no link, você será direcionado para a página do WhatsApp para ser atendido por nossa equipe.