Objetivo

Esta política tem como objetivo estabelecer os princípios, as diretrizes e atribuições relacionadas à Segurança da Informação, visando proteger as informações da Linkana, dos clientes e do público em geral, observando as melhores práticas de mercado.

Introdução

A informação constitui-se como um ativo valioso, ela é um dos principais bens da Linkana devido à sua extrema importância e é fundamental para o sucesso dos nossos negócios, merecendo, portanto, atenção especial e proteção adequada. 

Desse modo, a Linkana define a estratégia de segurança da informação e Cyber Security para proteger a confidencialidade, integridade e disponibilidade da informação. Nossa estratégia é baseada na detecção, prevenção, conscientização, monitoramento e resposta a incidentes.

Princípios de Segurança da Informação

A Segurança da Informação na Linkana é caracterizada pela preservação dos seguintes princípios:

• Confidencialidade: é a garantia de que a informação esteja disponível somente para as pessoas autorizadas, quando for necessário;

• Integridade: é a garantia que a informação esteja completa, íntegra e exata e que não tenha sido modificada ou destruída indevidamente, de modo não autorizado ou acidental durante seu ciclo de vida;

• Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso a informação sempre que necessário.

Diretrizes

O acesso a sistemas, recursos e outros ativos de informação deve ser concedido mediante a uma autenticação válida e baseado em:

• Necessidade de negócio

• O princípio do menor privilégio

• Segregação de funções

Os acessos serão gerenciados através de um ciclo de vida desde a criação do usuário até a sua desativação, incluindo revisões periódicas quanto à necessidade e adequação

Ativos de informação considerados críticos, que armazenam e/ou processam informações sensíveis, devem ser restritos às áreas segregadas da rede, com controle de acesso apropriado

 A definição das senhas devem seguir os requisitos de complexidade e exclusividade. Elas não devem ser reutilizadas, compartilhadas, armazenadas em arquivos ou escritas em qualquer lugar.

 Os logs e trilhas de auditoria devem ser habilitados em ambientes de produção, protegidos de acessos ou alterações não autorizadas e devem registrar:

• Qual atividade foi executada

• Quem executou a atividade

• Quando a atividade foi executada

• Em qual dispositivo a atividade foi executada

Algoritmos de criptografia devem ser aplicados conforme a necessidade em dados em repouso, em trânsito ou em uso.

Ferramentas e processos para monitorar e impedir que informações sensíveis deixem o ambiente interno da Linkana sem autorização devem ser implementados

Soluções e processos que permitam a identificação, detecção e prevenção de ataques à componentes da infraestrutura da Linkana devem ser implementados.

Processos de gerenciamento do ciclo de vida de vulnerabilidades, desde a identificação até a resolução  devem ser implementados

Procedimentos e controles orientados à prevenção, tratamento e redução da exposição ao risco da Linkana a incidentes de cyber security, além das diretrizes para registro, análise de causa raiz, impacto e avaliação da classificação de incidentes, devem ser implementados.

As informações devem ser classificadas para auxiliar no mapeamento consistente dos ativos de informação e estabelecer o nível de proteção adequado em seu armazenamento, transmissão, e uso.

Soluções anti-malware de detecção e prevenção ou controles equivalentes devem ser implementadas para proteger o ambiente da Linkana.

Os bancos de dados devem possuir backups regulares para restaurar o funcionamento dos sistemas em eventos de perda de dados ou interrupção de serviço.

Requisitos de segurança devem ser aplicados para garantir a confidencialidade, integridade e disponibilidade das informações durante o ciclo de vida de desenvolvimento de software.

O Plano de Continuidade de Negócios (PCN) visa garantir que, em situação de crise ou desastre, os processos essenciais e críticos sejam devidamente mantidos, preservando assim a continuidade de funções de negócios, operações e serviços críticos. 

O PCN deve ser testado anualmente.

Treinamentos de conscientização devem ser obrigatórios e realizados anualmente, apresentando os princípios de segurança da informação para auxiliar os funcionários a reconhecer situações de risco e agir corretamente.

A Política de Segurança da Informação da Linkana será revisada, no mínimo, anualmente.

Proteção de Dados Pessoais

A Linkana, em observância à Lei Geral de Proteção de Dados Pessoais, deverá garantir a confidencialidade, integridade e disponibilidade dos dados pessoais, em todo seu ciclo de vida, sendo tratados como dados confidenciais. Todo tratamento de dados pessoais possuirá uma finalidade específica, informada ao titular e devidamente embasada na finalidade e bases legais previstas na Lei Geral de Proteção de Dados Pessoais, prezando pelos princípios da necessidade, adequação, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e prestação de contas.

Toda alteração ou desenvolvimento de sistemas ou produtos que envolvam tratamento de dados pessoais deverão aplicar o “Privacy by Design”.

Além dos princípios mencionados, deverá ser desenvolvido e implementado um plano de resposta à violação de dados pessoais, bem como a elaboração do Relatório de Impacto sempre que necessário.

Disposições Finais

O disposto acima aplica-se, imediatamente, para toda a Empresa, a partir da publicação da presente Política.