Política de Segurança da Informação

Classificação: Público

Rev. 10/03/2026

1- Objetivo

– Assegurar ao Grupo GRUPO DAVINCI a conformidade da Política de Segurança da Informação com as Normas pertinentes e legislação vigente;

– Proteger os dados, garantindo que as informações integrantes de seu patrimônio e aquelas sob sua guarda, assim como as ferramentas utilizadas para obtenção, geração, modificação, armazenagem e disponibilização estejam em conformidade com as leis vigentes no País;

– Assegurar a manutenção dos processos apoiados pelos sistemas informatizados do Grupo GRUPO DAVINCI, através da prevenção e solução de eventos de quebra de Segurança da Informação;

– Atender às premissas de segurança da informação observando os pilares: disponibilidade, confidencialidade e integridade dos nossos processos, em conformidade com os objetivos do negócio;

– Criar cultura organizacional de Segurança da Informação, Incentivando o comportamento seguro de todos os colaboradores, sócios, parceiros, terceiros e fornecedores;

– Incentivar os nossos clientes a adotarem as melhores práticas de segurança da informação;
– Promover a melhoria contínua dos processos de gestão da segurança da informação.

2- Campo de Aplicação

Este procedimento aplica-se a todo o Grupo GRUPO DAVINCI, parceiros, fornecedores e prestadores de serviços.

3- Generalidades

Confidencialidade: É a garantia de que a Informação é acessível somente a pessoas com acesso autorizado.

Integridade: É a salvaguarda da exatidão e completeza da Informação e dos métodos de processamento, garantindo sua alteração somente pelos métodos regulares e disponíveis;

Disponibilidade: É a garantia de que os usuários autorizados obtenham acesso à Informação e aos ativos correspondentes, sempre que necessário.

Autenticidade: Garantir a identificação dos elementos envolvidos com a troca eletrônica ou não de Informações, evitando o repúdio.

Legalidade: Propriedade da Informação quanto ao cumprimento de regras, normas e leis que colocam em risco sua conformidade.

Gestor da Informação: Indivíduo responsável para fazer decisões em nome da organização no que diz respeito ao uso, a identificação, a classificação e à proteção de um recurso específico da Informação.

Custodiante: Agente responsável pelo processamento, organização e guarda da Informação.

Usuário: Alguma pessoa que interage diretamente com o sistema computadorizado. Um usuário autorizado com poderes de adicionar ou atualizar a Informação.

PSI – Política de Segurança da Informação.

4- Responsabilidades

4.1. Da Diretoria

4.1.1. Avaliar e aprovar a Política de Segurança da Informação;

4.1.2. Assegurar que os recursos necessários para o sistema de gestão de segurança da informação estão disponíveis;

4.1.3. Assegurar que a Política de Segurança da Informação e os objetivos de Segurança da Informação estão estabelecidos e são compatíveis com a direção estratégica da organização;

4.1.4. Garantir a integração dos requisitos do sistema de gestão de segurança da informação dentro dos processos da organização;

4.1.5. Comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;

4.1.6. Assegurar que o sistema de gestão de segurança da informação alcança seus resultados pretendidos;
4.1.7. Orientar e apoiar as pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação;

4.1.8. Promover a melhoria contínua;

4.2. Do Suporte Interno

4.2.1. Controlar e garantir o acesso e uso adequado de e-mails dos colaboradores;

4.2.2. Governar o acesso e uso adequado da internet;

4.2.3. Controlar e garantir o acesso e uso adequado aos programas e ferramentas disponibilizadas pela empresa;

4.2.5. Realizar e testar o backup das informações geradas;

4.2.6. Cumprir a Política de Segurança da Informação e seus procedimentos correlatos.

4.3. Da Gestão de Pessoas

4.3.1. Controlar e garantir a correta informação a respeito da movimentação de pessoas (admissão, transferência e desligamento) para manter a integridade do controle de acessos.

4.4. Dos Colaboradores ( próprios ou terceirizados)

4.4.1. Cumprir a Política de Segurança da Informação bem como zelar pelos equipamentos de informação. Todos os colaboradores, terceiros, fornecedores e a Direção do Grupo GRUPO DAVINCI são responsáveis pelo Sistema de Gestão de Segurança da Informação.

5- Procedimento

Este documento estabelece a PSI – Política de Segurança da Informação do Grupo GRUPO DAVINCI, que é um conjunto das diretrizes, normas elou procedimentos necessários à preservação e segurança das informações.

A Informação é um ativo, como qualquer outro ativo importante do negócio, que tem um valor para a organização e consequentemente necessita ser protegida. A Segurança da Informação visa protegê-la de um grande campo de ameaças, de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e oportunidades.

A Informação pode existir em muitas formas: pode ser impressa ou escrita em papel; guardada eletronicamente; transmitida pelo correio ou usando meios eletrônicos; mostrada em filmes, ou falada em conversação. Seja qual for a forma tomada pela Informação, ou meio através do qual ela é compartilhada ou armazenada, ela deve ser protegida adequadamente.

A Segurança da Informação é caracterizada pela preservação da Confidencialidade, Integridade, Disponibilidade.
A Segurança da Informação é alcançada a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais, instalações, softwares e ferramentas de controle automatizadas. Estes controles devem ser estabelecidos para garantir que os objetivos de segurança da organização sejam alcançados.

Abaixo alguns riscos típicos que a PSI pretende eliminar ou reduzir:

• Revelação de Informações sensíveis;
• Modificações indevidas de dados e programas;
• Perda de dados e programas;
• Destruição ou perda de recursos computacionais e instalações;
• Interdições ou interrupções de serviços essenciais;
• Roubo de propriedades, seja qual for.

As ameaças a serem tratadas pelo GRUPO DAVINCI são:

• Indisponibilidade e integridade: Prever falhas em sistemas e /ou diversos ambientes computacionais da organização.

• Divulgação da Informação: Prever a divulgação de Informações sensíveis aos Processos de Negócio da organização, premeditada elou acidental.

• Alterações não autorizadas: Prever alterações não autorizadas, premeditadas elou acidentais em Sistemas elou equipamentos de Tecnologia da Informação ou que suportem os Processos de Negócio.

5.2. As diretrizes que abrangem a PSI do Grupo GRUPO DAVINCI são:

I. O Grupo GRUPO DAVINCI formaliza seus Procedimentos Gerenciais de Segurança da Informação, parte integrante da PSI, em conjunto com os Procedimentos Operacionais, compondo um conjunto de documentos eletrônicos, a serem mantidos e atualizados para consultas;

II. O Grupo GRUPO DAVINCI deve divulgar a todos os seus colaboradores, prestadores de serviços, fornecedores, terceiros, parceiros e clientes, sua PSI e responsabilidades pelo seu acesso a este Patrimônio, evidenciando estas ações, no que lhe concerne;

III. Todos os colaboradores do Grupo GRUPO DAVINCI assim como seus prestadores de serviços, fornecedores, terceiros, parceiros e clientes que de alguma forma possuírem acesso ao patrimônio de Informações do Grupo GRUPO DAVINCI, são responsáveis pelo cumprimento da PSI.

Assim, temos que a Política de Segurança da Informação visa preservar a Confiabilidade, Integridade e Disponibilidade das Informações, recomendando e descrevendo as condutas adequadas para o seu manuseio, controle, proteção e descarte.

Todas as recomendações aqui descritas podem ser suplantadas mediante apresentação de documento formal, devidamente assinado e aceito pelo GRUPO DAVINCI, informando os motivos que levam a não seguir uma, ou várias, recomendações específicas e contendo o Procedimento adotado, para apresentação em auditorias e certificações.

5.3. Declaração de comprometimento da Direção

A Direção do GRUPO DAVINCI, bem como seus Gestores e colaboradores, declaram-se comprometidos em proteger todos os ativos ligados à Tecnologia da Informação, garantindo a confidencialidade, a integridade e a disponibilidade de todos os ativos de Informação do Grupo GRUPO DAVINCI.

5.4. Monitoramento
Para assegurar que o Sistema de Gestão de Segurança da Informação alcance seus resultados pretendidos são realizados monitoramentos conforme descrição a seguir:

5.4.1. Objetivo 1:
Assegurar ao Grupo GRUPO DAVINCI a conformidade da Política de Segurança da Informação com a Norma ISO 27001 (ainda que não sejamos certificados) e legislação vigente;

5.4.1.1. Indicadores

a) Não conformidades em Auditoria Interna – Registrar e tratar todas as não conformidades encontradas nas auditorias internas;

b) Não conformidades em Auditoria Externa – Registrar e tratar todas as não conformidades encontradas nas auditorias externas, incluindo as que forem realizadas por clientes;

c) Não conformidade por falha de cumprimento de Legislação – Registrar e tratar todas as não conformidades encontradas por falha de cumprimento de requisito legal;

5.4.2. Objetivo 2:

Proteger os dados, garantindo que as informações integrantes de seu patrimônio e aquelas sob sua guarda, assim como as ferramentas utilizadas para obtenção, geração, modificação, armazenagem e disponibilização estejam em conformidade com as leis vigentes no País;

5.4.2.1. Indicadores

d) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação e privacidade;

5.4.3. Objetivo 3:

Assegurar a manutenção dos processos apoiados pelos sistemas informatizados do Grupo GRUPO DAVINCI, através da prevenção e solução de eventos de quebra de Segurança da Informação;

5.4.3.1. Indicadores

e) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação;

f) Não conformidade internas – Registrar e tratar todas as não conformidades encontradas nos processos internos ( auto-declaração realizada por qualquer colaborador);

g) Não conformidades de reclamação de clientes – Registrar e tratar todas as não conformidades de reclamações de clientes;

5.4.4. Objetivo 4:

Atender às premissas de segurança da informação observando os pilares: disponibilidade, confidencialidade e integridade dos nossos processos, em conformidade com os objetivos do negócio;

5.4.4.1. Indicadores
j) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação;
k) Disponibilidade das ferramentas utilizadas – Monitorar a disponibilidade das ferramentas internas;

5.4.5. Objetivo 5:
Criar cultura organizacional de Segurança da Informação;

5.4.5.1. Indicadores

m) Treinamento de Integração e Reciclagem – Garantir que todos os colaboradores e terceiros passem por treinamento de integração e reciclagem anual;

5.4.6. Objetivo 6:
Promover a melhoria contínua dos processos de Segurança.

5.4.8.1. Indicadores
s) Revisões da Política – Revisar anualmente a Política e seus procedimentos, a partir das lições aprendidas com o período passado.

5.5. Controles mínimos
Os controles mínimos necessários e providos pela PSI estão listados abaixo (devem estar devidamente identificados e documentados):
• Softwares de detecção de vírus, trojans, spywares, entre outros;
• Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e entre outros);
• Serviços críticos relativos a concessionárias Estaduais elou federais (energia, água, telefonia entre outros).

5.6. Áreas da Segurança a serem tratadas

5.6.1. SEGURANCA FÍSICA

5.6.1.1. Conceituação

Conjunto de medidas destinadas à proteção e integridade dos ativos da Organização e à continuidade dos seus serviços.

5.6.1.2. Vulnerabilidades

Devem ser previstos riscos naturais (inundações, tempestades entre outros.), riscos acidentais (incêndios, interrupções de abastecimentos diversos entre outros.), entradas não autorizadas, roubos de patrimônio, entre outros.

5.6.1.3. Áreas sensíveis

Devem ser mapeadas, levantadas e definida a criticidade de todos os ambientes físicos da organização, principalmente os de alta criticidade, equipamentos, patrimônio físico, recursos humanos, entre outros. Devem ser contemplados acessos físicos a todos os ambientes e o monitoramento principalmente os considerados de alta criticidade.

5.6.2. SEGURANCA LÓGICA
5.6.2.1. Conceituação
Conjunto de medidas destinadas à proteção de recursos computacionais contra utilização indevida ou desautorizada, intencional ou não.

5.6.2.2. Ambiente Lógico

O ambiente operacional, integrado pelos ativos de informação e de processamento será constantemente monitorado pela área de suporte. Sendo constatada qualquer irregularidade, o superior responsável será formalmente notificado, devendo tomar as providências cabíveis. A falta de providencias por parte do superior imediato atribui-lhe a responsabilidade solidária advinda do fato.

A administração de rede tem a prerrogativa para desabilitar temporariamente o login e o acesso à Internet de qualquer colaborador, desde que possua indícios de que está violando as Normas de Segurança. Neste caso, será gerado um relatório contendo o motivo para o bloqueio da conta. Este relatório será encaminhado a chefia imediata juntamente com os registros comprobatórios.

5.6.2.3. Vulnerabilidades
Devem estar previstos acidentes por falhas elou sabotagem de hardware, software, aplicativos e procedimentos.

5.6.2.4. Áreas sensíveis

Sistemas Operacionais, Sistemas Gerenciais de Banco de Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de apoio. Devem estar contempladas política de usuários e senhas com definição de perfis de acesso aos ambientes e aplicativos.

5.6.3. SEGURANCA DE TELECOMUNICACÃO

5.6.3.1. Conceituação

Conjunto de medidas destinadas à proteção das Informações que trafegam por meios eletrônicos ou convencionais e dos recursos utilizados para esse tráfego.

5.6.3.2. Vulnerabilidades

Devem estar previstos acessos não autorizados às redes de comunicação de dados, adulteração de dados em tráfego, utilização não autorizada de Informações e extravio de formulários ou documentos classificados para não disponibilização pública.

5.6.3.3. Áreas sensíveis

Redes de comunicação de dados, redes locais, conexões com redes externas, ligações de usuários externos aos servidores da organização, telefonia.

5.6.4. CONTINUIDADE DO NEGÓCIO

5.6.4.1. Conceituação

Conjunto de Planos que contemplam as atividades necessárias para a continuidade dos negócios da Organização, quando houver algum tipo de interrupção nos processos, serviços elou equipamentos considerados críticos.

5.6.4.2. Vulnerabilidades

Devem estar previstas interrupções significativas das operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas de segurança da informação a serem tratadas.

5.6.4.3. Áreas sensíveis
Todas as áreas de segurança da informação a serem tratadas que estão mapeadas no plano de continuidade.

5.7. Diretrizes
Para o perfeito funcionamento da PSI do Grupo GRUPO DAVINCI, as seguintes diretrizes devem ser implantadas e seguidas.

5.7.1. Aspectos organizacionais e administrativos

Devem ser estabelecidos contratos elou convênios para intercâmbio, contatos apropriados e consultoria permanente com autoridades legais, sindicatos, organismos reguladores da área de Segurança, organizações parceiras, fornecedores de serviços de uma forma geral, fornecedores de equipamentos e da Infraestrutura, fornecedores de software, fornecedores de serviços de telecomunicações, tendo como objetivo garantir ações eficazes e eficientes, quando da ocorrência de não conformidade de Segurança.

5.7.1.1. Atribuições e responsabilidades

Do ponto de vista da Segurança da Informação, o conhecimento dos Procedimentos de Segurança da Informação bem como de todos os demais Procedimentos em vigência nO GRUPO DAVINCI é de obrigatoriedade nata de todos os colaboradores, prestadores de serviço, terceirizados, parceiros, estagiários elou fornecedores, que tenha acesso aos bens de Informação do GRUPO DAVINCI.

Em geral, as responsabilidades por executar os procedimentos, normas e outros documentos relacionados à PSI estão indicados nos próprios documentos citados, na própria PSI e conforme definição abaixo:

a) Comitê de Segurança da Informação (CSI)

Grupo de gestão multidisciplinar que agrega várias visões corporativas às soluções de segurança. É composto por representantes de diversos departamentos da empresa, com visões isoladas – sob orientação e coordenação direta do Gestor de Tecnologia da Informação.
Recomenda-se que o CSI seja assim constituído:

Conselho Diretor +;

• 01 (um) representante da área de Processos internos;

As principais atribuições do Comitê de Segurança da Informação:

• Revisar as Normas, Procedimentos elou Instruções de trabalho da PSI;

• Avaliar direcionamento tecnológico para garantir segurança;

• Definir as atribuições do Setor responsável pela Segurança da Informação e do Grupo de Respostas a Incidentes de Segurança da Informação;

• Aprovar as iniciativas para melhoria contínua das medidas de proteção dos bens de Informação do Grupo GRUPO DAVINCI e de seus clientes;

• Suportar perante a organização as iniciativas da área de Segurança da Informação;

• Manter a PSI atualizada.

Este Comitê deve se reunir quando convocado pelo seu representante, periodicamente uma vez ao ano e, extraordinariamente, sempre que necessário.

As reuniões devem possuir como objetivo a avaliação e o aprimoramento da
Política de Segurança da Informação, a análise das não-conformidades de Segurança e as ações adotadas para a correção.

b) Grupo de resposta a incidentes (GRl).

Grupo de pessoas que responderão pelos incidentes de segurança da informação nos ativos do Grupo GRUPO DAVINCI, visando documentar e conduzir as ações de resposta a estes incidentes, de forma organizada e controlada.

O GRI deverá ser constituído da seguinte forma:

• 1 (um) representante da área de Suporte;
• 1 (um) representante da área de Privacidade de Dados;
• 1 (um) líder da área Técnica;

O GRI deve atuar junto a todo o parque tecnológico, inclusive pontos remotos.

O processo a ser seguido deve se basear na instrução: “ITRI 001 – Processo de Resposta a Incidentes de Segurança da Informação e Privacidade”.

5.7.1.2.  Termo de Confidencialidade

Documento oficial do Grupo GRUPO DAVINCI que compromete colaboradores, terceirizados, prestadores de serviços e parceiros com a utilização de funcionalidades e/ou qualquer outra utilização que esteja fora dos padrões adotados pela organização e estabelecidos em Normas e Procedimentos Gerenciais Operacionais da Política de Segurança da Informação da organização.

Para cada utilização fora dos padrões pré-estabelecidos em Normas e Procedimentos da Política de Segurança da Informação, recomenda-se possuir 1 (um) termo específico a ser assinado por quem for dispor da mesma.

A validade legal destes Termos somente é reconhecida pelo GRUPO DAVINCI e por qualquer outro órgão e/ou empresa, quando devidamente assinados pelos responsáveis legais.

5.7.1.3. Classificação e controle dos ativos.
Os ativos do Grupo GRUPO DAVINCI são gerenciados pelo procedimento “ITGA001 – Processo de Gestão de Ativos”.

5.7.1.4. Classificação de Incidentes de Segurança da Informação.

Entende-se como incidente de Segurança, qualquer evento em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause danos aos ativos da organização.
Esse aspecto é gerenciado pelo procedimento “ITRI001 – Processo de Resposta a Incidentes de Segurança da Informação e Privacidade”.

5.7.1.5. Recursos Humanos

Todas as políticas de seleção e treinamento estão definidas nos procedimentos “RH001 – Seleção, Contratação e Desligamento de Pessoal” e “RH002 – Treinamento”.

5.7.1.6. Propriedade dos softwares aplicativos.

Os sistemas aplicativos e/ou qualquer outro tipo de software, desenvolvidos ou adquiridos pelo Grupo GRUPO DAVINCI e dessa forma de sua propriedade e utilização devem ficar restritos ao apoio dos negócios, não sendo permitida sua utilização para fins particulares e/ou cópias.
Esse aspecto é gerenciado pelo procedimento “ITAC001 – Procedimento de Acesso a Recursos”.

5.7.2. Segurança Física
5.7.2.1. Área de Segurança

O Grupo GRUPO DAVINCI deve possuir estabelecido seu perímetro físico, identificando todos os pontos de acesso. As entradas de cada prédio devem ser dotadas de infraestrutura de registro necessária e suficiente que permita o controle adequado de entrada, ainda que seja compartilhada com outras empresas (gestão de acesso de condomínio).

5.7.3. Segurança Lógica

5.7.3.1. Gerenciamento das Operações e Comunicações

a) Documentação dos Procedimentos de Operação

Todos os sistemas, sejam eles executados em batch, on-line elou misto, estando em Produção, devem possuir documentação atualizada, conforme padrões da metodologia de desenvolvimento seguro de sistemas normatizada e em vigência no GRUPO DAVINCI.

b) Ambiente Operacional

Todos os equipamentos de infraestrutura, interligações das redes, interligações de hardware de grande porte e softwares básicos e de apoio, devem possuir documentação necessária e suficiente, bem como atualizada, que possibilite entendimento a qualquer técnico capacitado e habilitado, visando manutenções preventivas, corretivas e evolutivas, no ambiente operacional.

c) Gerenciamento e controle de mudanças
Toda e qualquer mudança no ambiente de produção, seja ela de infraestrutura, hardware, comunicações, softwares básicos, softwares de apoio, sistemas aplicativos, procedimentos entre outros, deve ser executada conforme procedimento “ITGM001 – Procedimento de Gestão da Mudança”.

d) Gerenciamento e controle de problemas

Quaisquer problemas que ocorram no ambiente operacional, sejam eles de infraestrutura, hardware, equipamentos de comunicação de dados, softwares e sistemas aplicativos, devem ser registrados com no mínimo, as seguintes Informações:
descrição do problema;

• data e hora da ocorrência;

• identificação de quem o registrou e quem foi acionado para solucioná-lo;

• consequências do problema;

• data e hora da solução;

• identificação de quem solucionou;

• descrição da solução adotada.

e) Monitoramento da Segurança

Testes periódicos de vulnerabilidade do ambiente de TI deverão ser realizados com a finalidade de garantir que a implementação de segurança de TI está vigiada e monitorada de forma proativa.

f) Incidentes de Segurança da Informação

Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança lógica dos ativos da organização os mesmos deverão ser tratados conforme PSI.

g) Prevenção, Detecção e Correção de Softwares Maliciosos

Medidas para prevenção, detecção e correção de Softwares Maliciosos deverão estar implementadas por toda a organização, para garantir a proteção dos ativos de informação contra softwares maliciosos

h) Segurança de Redes

Assegurar que técnicas e procedimentos de segurança sejam usados para autorizar acessos e controlar as informações que circulam de e para as redes da organização.

i) Segregação de ambientes
O Grupo GRUPO DAVINCI possui desenvolvimento de softwares e segregação de ambientes seguindo as boas práticas de Desenvolvimento Seguro.
Conta ainda com o ambiente de LAB para testes de ferramentas e POC (Prova de Conceito).

5.7.3.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção
a) Planejamento de capacidade

As atividades de planejamento de capacidade dos recursos computacionais sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande porte. Devem ser apuradas, conforme processo de gerenciamento de performance e capacidade.

b) Aceitação sistemas

Para serem aceitos no ambiente de produção, os sistemas aplicativos devem estar previamente homologados pela área Operacional e áreas demandantes e documentados operacionalmente, através da “RFC – Request for Change”.

5.7.3.3. Procedimentos Operacionais
a) Política de backup:
O Grupo GRUPO DAVINCI gerencia a Política de Backup através do procedimento “ITBK001 – Procedimento de Backup Coorporativo”.

b) Registros de Operações:
O Grupo GRUPO DAVINCI gerencia o Registros de Operações através dos procedimentos utilizados por cada área ou produto, podendo utilizar recursos de gestão de atividades e horários digitais ou não para este fim.

5.7.3.4. Segurança e Tratamento de Mídias

Para todas as mídias do Grupo GRUPO DAVINCI que contenham bens de Informação, sejam elas em meio magnético, ótico ou papel, devem ser observados os seguintes cuidados mínimos:

a) Devem ser guardadas em lugar seguro, diferente do local onde os dados originais estão armazenados, e adequado, de acordo com as especificações do fabricante da mídia.

b) As mídias que forem transitar para fora das instalações de sua origem devem ter a sua saída registrada e a garantia de sua chegada ao destino, também registrada. Além disso, devem ser embaladas, acondicionadas e transportadas de forma adequada, para garantir sua integridade.

c) As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre ela;
d) Quando forem descartadas, devem ser apagadas elou destruídas de forma completa e total, através de trituração ou incineração.

5.7.3.5. Controle de Acesso aos Recursos Computacionais
O GRUPO DAVINCI gerencia o Acesso a Recursos através dos procedimentos “ITAC001 – Procedimento de Acesso a Recursos”.

a) Identificação e autenticação de usuários
O usuário somente deve possuir acesso ao ambiente computacional através de uma identificação de acesso e uma senha;
• A identificação de acesso do usuário deve ser única, pessoal e intransferível;
• A senha associada à identificação de acesso deve ser secreta e de conhecimento exclusivo do usuário para o qual foi custodiada;
• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de combinação simples ou óbvia na sua criação;

b) Uso das Estações de Trabalho

Os computadores e sistemas de comunicações não devem ser utilizados para fins pessoais. Os recursos computacionais, colocados à disposição do colaborador deverão estar inventariados corretamente no centro de custo de atividade do colaborador e o respectivo Termo de Responsabilidade assinado por este. Na ausência deste registro, o superior imediato assume esta responsabilidade. Todo usuário responde pelo mau uso ou dano causado nos equipamentos.

c) Compartilhamento de Recursos

O compartilhamento de diretórios elou arquivos nas estações de trabalho deve ser atribuído única e exclusivamente para facilitar elou agilizar o trabalho das atividades laborais, não devendo ocorrer em qualquer outra situação.

d) Arquivos Multimídias

De maneira geral o uso de mídias e portas USB é proibido no ambiente do Grupo GRUPO DAVINCI. Liberações podem existir de acordo com a necessidade e avaliação dos Gestores.
Os colaboradores que são autorizados a utilizar mídias e portas USB assumem a responsabilidade de utilizar os acessos de forma ética e apenas para o exercício da função. Assim como assinam um termo de responsabilidade.

5.7.3.6. Regras para criação de logins e senhas

• Para serem criados logins e senhas, deve-se ter uma solicitação da área de custódia do novo usuário, contendo, pelo menos, o nome completo do usuário, o local de trabalho e a data de início de utilização do login;

• Periodicamente, uma vez ao ano, deve ser enviada para os Gestores, uma relação dos usuários que tiveram seu login, senha e perfil de acesso autorizado por eles. Os Gestores devem confirmar a Informação, alterá-la caso seja necessário ou revogar o login;

• Os colaboradores são responsáveis por toda atividade realizada com sua conta. As contas de colaboradores não podem ser utilizadas por outras pessoas que não sejam os colaboradores para os quais elas foram geradas. Os colaboradores não devem permitir que outras pessoas realizem qualquer atividade com suas contas e senhas.

As senhas de acesso são de uso individual e restrito. O compartilhamento das senhas e terminantemente proibido, pois expõe o colaborador à responsabilidade pelas ações que outras pessoas realizarão com sua senha de acesso. Caso ocorra tal compartilhamento, seja de natureza autorizada ou não, o colaborador possuidor da senha compromissada assumira todas as responsabilidades e consequências das ações realizadas.

5.7.3.7. Perfil de acesso dos usuários
• cada usuário deve possuir um perfil de acesso à rede de dados que deve indicar os diretórios, grupos, aplicativos, funcionalidades e suas permissões de direito;

• Aos sistemas, cada usuário deve possuir os perfis necessários para o desempenho de suas funções;
• Sempre que necessário, deve ser estabelecido o mesmo perfil de acesso para um grupo de usuários;
• Estes perfis devem estar padronizados;

• A permissão de acesso aos ativos de informação da organização deve ser solicitada formalmente conforme procedimento para liberação de acesso lógico.

5.7.3.8. Responsabilidades
As responsabilidades referentes ao controle de acesso aos recursos computacionais são classificadas conforme descrição abaixo:

Proprietário das Informações
Pessoa que utiliza os recursos de Tecnologia da Informação de propriedade ou sobre custódia dO GRUPO DAVINCI para a geração de informação de qualquer natureza.

Autoridade e a responsabilidade do proprietário das Informações:
• Delegar responsabilidade e atribuições ao depositário das Informações;
• Classificar os bens de Informação, de acordo com sua natureza crítica e sigilosa;
• Estabelecer as regras de proteção dos bens de Informação, quanto aos acessos, backups entre outros.;
• Monitorar o cumprimento das regras estabelecidas;
• Responder pelas violações registradas e participar da decisão a ser tomada, quando da ocorrência de não-conformidade;
• Notificar não-conformidades de Segurança.

Custodiante
A Gestão de Tecnologia da Informação é a responsável pelo processamento, armazenamento e custódia das Informações.
Autoridade e responsabilidade do(a) Custodiante:
• Administrar os controles estabelecidos pelo proprietário da aplicação e de seus dados;
• Administrar o acesso aos recursos do sistema de processamento e prover procedimentos de Segurança;
• Controlar o acesso à Informação;
• Providenciar a proteção física;
• Simular e executar os planos de continuidade;
• Resolver as não-conformidades de Segurança.

Usuário da Informação
E todo colaborador, prestador de serviço, terceirizado, parceiro, estagiário ou fornecedor, que tenha acesso aos bens de Informação do Grupo DAVINCI.
É vedado a utilização pelo funcionário dos recursos tecnológicos da organização para fins pessoais. Ocorrendo eventual extravio de informações elou dados, o GRUPO DAVINCI não poderá ser responsabilizado

Autoridade e responsabilidade do usuário da Informação:
• Zelar por todo acesso ao ambiente computadorizado executado e registrado com a sua identificação pessoal de acesso;
• Respeitar e preservar o grau de confidencialidade da Informação, divulgando-a exclusivamente para as pessoas autorizadas a terem esse conhecimento;
• Utilizar os recursos tecnológicos (equipamento, programas e sistemas) e as Informações somente para desempenho das suas atividades profissionais e dentro dos padrões de utilização descritos na Política de Segurança da Informação, sendo assim vedado o seu uso para fins pessoais;
• Assinar o Termo de Responsabilidade e Sigilo onde são estabelecidas as regras sobre o uso dos bens de Informação;
• Assinar o Termo de Responsabilidade e Compromisso, quando necessário, para utilização de funcionalidades que estejam fora dos padrões pré-determinados na Política de Segurança da Informação;
• Notificar de imediato as não-conformidades de Segurança.

Gestor de área (Coordenador e Gestor)
• Gerenciar o cumprimento da Política de Segurança, por parte dos colaboradores sob sua gestão;
• Identificar e comunicar a quem de direito os desvios praticados e adotar as medidas corretivas apropriadas;
• Impedir o acesso dos colaboradores demitidos ou demissionários aos ativos de informações sob sua responsabilidade;
• Proteger, em nível físico e lógico, os ativos de informação sob sua responsabilidade;
• Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger a informação da empresa;
• Comunicar formalmente à Gerência de Tecnologia da Informação, qual o perfil de acesso dos colaboradores a ele subordinados;
• Comunicar formalmente à Gerência de Tecnologia da Informação, quais os colaboradores demitidos ou transferidos, para exclusão no cadastro dos usuários;
• Comunicar formalmente à Gerência de Tecnologia da Informação, aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários;
• Dar conhecimento aos responsáveis pela segurança da ocorrência de qualquer irregularidade ou desvio das Políticas de segurança, estando a ele correlacionada ou não.

Colaboradores:
• Cumprir integralmente a Política de Segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis;
• Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações;
• Utilizar os Sistemas de Informações e os recursos a ela relacionados somente para a execução das atividades correlacionadas com o desempenho de seu trabalho;
• Cumprir as regras específicas de proteção estabelecidas aos ativos de informação;
• Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da empresa;
• Não compartilhar, sob qualquer forma, informações sigilosas com outros que não tenham a devida autorização de acesso;
• Responder, por todo e qualquer acesso, aos recursos da empresa bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado;
• Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;
• Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio da Política de Segurança da empresa;

5.7.3.9. Camadas De Segurança
Para a devida proteção do ambiente, devem ser projetadas 4 (quatro) camadas de acesso:
• Acesso ao ambiente;
• Acesso aos sistemas aplicativos;
• Acesso às funções dos sistemas aplicativos;
• Acesso aos dados.
Sempre que possível o login e a senha de acesso devem ser únicos para todas as camadas de Segurança.
Devem ser exibidos para os usuários apenas os arquivos, os softwares e as funcionalidades a que eles têm direito de acesso, ficando sob responsabilidade informar ao seu superior sobre acessos disponibilizados em demasia.

5.7.3.10. Trilhas de Auditoria
Recomenda-se a existência de softwares de Segurança, e que estes mantenham registros sobre os acessos dos usuários, indicando, sempre que possível, o arquivo, o software, a data e hora que foram acessados.

5.7.3.11. Computação Móvel e Trabalho Remoto.
Sempre que necessário e viável, O GRUPO DAVINCI deve disponibilizar sistemas na Internet, através de sua Gestão de Tecnologia da Informação. Para que os acessos realizados a estes sistemas sejam feitos com segurança, devem ser previstos e adotados mecanismos visando a proteção dos bens de Informação, tais como Certificação digital, Softwares de Segurança, Antivírus, Firewalls corporativos e individuais, Criptografia e entre outros.
É vedado ao colaborador, prestador de serviços, terceiros ou fornecedores, acesso ao ambiente da Companhia com equipamentos de computação pessoal, salvo com autorização formal do Gestor de TI.

5.7.3.12. Trabalho Remoto de Forma Segura

5.7.3.12.1. Respeitar as Regras da Empresa.

• Não tentar burlar mecanismos de segurança para facilitar acessos:
• É proibido o compartilhamento de credenciais de acesso, utilizar o cofre de senhas

5.7.3.12.2. Guardar as senhas de forma segura.

• Adotar um método de gerenciamento.

Você pode:

• Usar aplicativos gerenciadores de senhas;
• Gravá-las em um arquivo criptografado.
• Não salvar senhas no navegador.

5.7.3.12.3. Tratar dados sensíveis com cuidados extras.

Copiar e transportar dados de sistemas internos para trabalhar remotamente, em especial aqueles relacionados a dados pessoais, pode levar a vazamentos e ter implicações legais, inclusive com multa, conforme a Lei Geral de Proteção de Dados (LGPD).

• Usar apenas mecanismos aprovados pela empresa para transferência de informações;
  • Não usar, sem autorização, serviços de compartilhamento em nuvem, dispositivos ou e-mails pessoais.
• Ativar criptografia em mídias externas, para evitar acesso indevido em caso de perda ou furto;
• Copiar apenas os dados estritamente necessários;
  • Apagar assim que terminar o uso.

5.7.3.12.4. Deixar sua rede doméstica mais segura.

Redes domésticas não tem os mesmos recursos de segurança que uma rede corporativa e precisam de cuidados. Além disso, vulnerabilidades no roteador podem levar à instalação de malware e à alteração de configuração para desvio de tráfego.

5.7.3.12.5. Ficar atento ao ambiente ao seu redor.

Seja ao digitar credenciais de acesso ou fazer videoconferências, alguém pode estar observando. Para não expor informações sensíveis é preciso analisar o entorno e ficar atento a curiosos, câmeras de vídeo e dispositivos ativados por voz, como assistentes pessoais.

• Evitar fazer chamadas de áudio/vídeo em locais públicos, como cafés;
• Antes de digitar credenciais de acesso, certificar-se que não está sendo observado ou filmado;
• Desligar dispositivos ativados por voz antes de fazer reuniões;
• Sempre utilizar a tela de fundo padrão da DAVINCI.

5.7.3.12.6. Cuidados com o Ativo.

• Os computadores devem ser desligados ao final de cada dia de trabalho para que ele possa passar pelo processo de atualização;
• É proibido o colaborador realizar impedimento das atualizações de patches dos ativos da organização;
• Manter o ativo em condições de uso;

5.7.3.13. Trânsito de Informações

O trânsito de Informações deve ser feito por um caminho ou meio confiável com controles que ofereçam autenticidade do conteúdo, proteção de submissão e recebimento e não repúdio da origem. Os procedimentos acima citados contemplam e padronizam a geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, entrada, uso e arquivamento de chaves criptográficas para garantir a proteção das chaves contra modificação e acessos não autorizados.

5.7.3.15. Administração de Acessos

O Grupo Davinci mantém registros de acessos aos ambientes, indicando, minimamente e sempre que possível, os recursos acessados, quem efetuou o acesso, data e hora, tentativas de acesso com senhas erradas, tentativas de acesso de estações de trabalho não permitidas, tentativas de acesso em horários não permitidos entre outros.
É realizado o monitoramento e gerenciamento dos acessos, pela Gestão e por auditores que porventura sejam requisitados.

5.7.3.16. Desenvolvimento e Manutenção de Sistemas

O desenvolvimento de sistema, seja ele feito no GRUPO DAVINCI ou por empresas terceirizadas parceiros elou fornecedores, deve utilizar boas práticas de desenvolvimento seguro padrão do ambiente vigente no GRUPO DAVINCI.

5.7.4. Segurança de Telecom
5.7.4.1. Acesso à Internet, Canais de Comunicação, correio eletrônico, telefone e mensagens instantâneas.

a) Internet

O acesso à Internet corporativa deve ser restrito às atividades profissionais.
São utilizados mecanismos de monitoramento que permitem o gerenciamento do uso desse recurso e que são regidos conforme Leis vigentes no País.

1. Grupos de discussão, salas de conversação e redes sociais

A não ser que seja expressamente autorizado pela gerência responsável, os colaboradores são proibidos de participarem em grupos de discussão na Internet, salas de conversação e redes sociais, bem como outros fóruns públicos eletrônicos, quando utilizando os sistemas da empresa. O uso dessas ferramentas é autorizado apenas para realização do trabalho.

2. Canais de Comunicação

O acesso aos Canais de Comunicação ( Sharepoint, Teams) corporativos deve ser restrito às atividades profissionais.

Requerimentos de segurança deverão são adotados na rede interna do GRUPO DAVINCI a fim de assegurar que informações confidenciais não sejam comprometidas e que os serviços disponibilizados estejam protegidos.

O gerenciamento do uso dos Canais de Comunicação, deveram ser regidos conforme Leis vigentes no País.

3. Correio eletrônico

O endereço de correio eletrônico fornecido pel GRUPO DAVINCI para cada colaborador, prestador de serviço ou terceiro (@grupodavinci.com.br) será utilizado única e exclusivamente para atividades relacionadas ao trabalho na organização.

4. Correio eletrônico como comunicação pública

Os colaboradores devem evitar enviar números de cartões de crédito, senhas, informações de pesquisas e desenvolvimento, informações de clientes e outros dados sensíveis via correio eletrônico. A empresa não se responsabiliza pelas informações pessoais, fornecidas pelos seus colaboradores através da Internet ou qualquer outra rede pública, que de alguma maneira venha a ser manipulada elou utilizada por terceiros.

5. Uso pessoal do sistema de correio eletrônico

O sistema de correio eletrônico é disponibilizado para ser usado nas atividades da empresa, e somente seu uso profissional está autorizado. E proibido o uso de correio eletrônico externo através da utilização da infraestrutura de comunicações da empresa. Tal proibição leva em consideração principalmente a grande quantidade de códigos maliciosos, vírus, cavalos de Tróia, Worms e exploits oriundos dos provedores externos.

6. Restrições do conteúdo das mensagens
   Os colaboradores estão proibidos de enviarem ou encaminharem quaisquer mensagens via os sistemas de informações da empresa, que possa ser considerada como difamatória, inoportuna ou de natureza explicitamente sexual.
   Os colaboradores também são proibidos de enviarem ou encaminharem mensagens ou imagens que possam ter conotação ofensiva de raça, sexo, nacionalidade, religião, filiação política, deficiência física, entre outros.
   IV. Filtros de Conteúdo
   Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego de rede e o espaço de armazenamento em disco no servidor de correio eletrônico, são filtradas de forma automática as mensagens que possuam arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE, COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a Gestão de Tecnologia da Informação julgue conveniente.
7. Telefones
   A utilização dos telefones da organização é restrita ao desempenho das atividades laborais dos colaboradores.
8. Mensagens Instantâneas
   A utilização de software relativo à mensagem instantânea é restrita ao desempenho das atividades profissionais.

5.7.5. Continuidade dos Negócios

Os Planos de Continuidade de Negócio são elaborados em modo colaborativo pelo Comitê de Segurança da Informação, com a liderança da Gestão de Tecnologia da Informação, bem como quaisquer outras áreas do GRUPO DAVINCI que seja necessária.
Estes Planos de Continuidade de Negócio devem ser elaborados somente para os ativos considerados críticos e que sejam aprovados pelo CSI – Comitê de Segurança da Informação. Para os fornecedores é realizada a análise de continuidade na homologação.

5.7.6. Condutas Gerais
As Políticas de conduta gerais abordadas abaixo, são implantadas no Grupo DAVINCI, através dessa Política de Segurança da Informação, conforme descritos abaixo.

5.7.6.1. Política de mesa e tela limpas

a) Mesa Limpa

• Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa desnecessariamente, devem ser armazenados em armários ou gavetas trancados, quando não estiverem em uso, especialmente fora do horário do expediente;

• Não anotar informações sensíveis em quadros brancos ou Post-it;

• Guardar agendas e cadernos de anotações numa gaveta trancada;

• Manter os pertences pessoais em gavetas ou armários trancados;

• Manter as gavetas e armários fechados e trancados, não deixar as chaves na fechadura, não deixar chaves em qualquer lugar as mantenha junto a você;

• Nunca escrever senhas em lembretes e nem tente escondê-las no local de trabalho;

• Não deixe mídias nos drives;

• Ao final do expediente, ou no caso de ausência prolongada do local de trabalho, limpar a mesa de trabalho, guardar os documentos, trancar as gavetas e armários, e desligar computador;

• Não colocar ou comer refeições e lanches sobre a mesa;

• Trancar o local de trabalho ao deixá-la, não deixar o local de trabalho aberto sem que haja um colaborador que trabalhe no local presente.

b) Tela Limpa
Computadores pessoais e terminais de computador e impressoras não devem ser deixados “logados”, caso o usuário responsável não esteja presente;
• Nos computadores, utilizar um protetor de tela que solicite uma senha para acesso;

5.7.6.2. Documentação física
e) Armazenamento seguro
As informações críticas do negócio devem ser guardadas em lugar seguro quando não em uso, principalmente quando o escritório está desocupado.

f) Cuidados com impressão
A DAVINCI orienta que dentro das possibilidades não sejam impressos nenhum documento. Caso seja necessários impressão, documentos com informações sensíveis devem ser recolhidos imediatamente, a fim de impedir que uma pessoa não autorizada tenha acesso à informação.
Pontos de entrada e saída de correspondência devem ser protegidos e monitorados.

g) Cuidados com o Lixo
Todo lixo que contenha informação reservada ou secreta deve ser eliminado através de “Máquina picotadora” ou similar, ou destruição manual. Sempre se certifique que o descarte ocorreu de maneira correta e que impossibilita qualquer tentativa de reconstrução.

5.7.6.3. Conduta em ambiente externo:
• É fundamental que o profissional seja reservado e cuidadoso nas suas opiniões, conversas, participações em eventos, principalmente quando em contato com o cliente e/ou a com terceiros;
• Cuidado com as informações sensíveis e com as conversas em locais públicos, aplicativos e meios de transporte.

5.7.7.  Gestão de Fornecedores

A organização realiza o gerenciamento dos seus fornecedores/terceiros para contratação de serviço.

5.7.8. Privacidade de Dados
O Grupo GRUPO DAVINCI, estabelece o tratamento de dados através da “Política de Privacidade de dados”, disponível nos canais internos da companhia e no site para colaboradores, fornecedores, prestadores de serviços, clientes e comunidade.

5.7.9. Sanções
Aos colaboradores e terceiros que, de forma intencional ou não, desrespeitarem as normas estabelecidas neste documento, serão aplicadas as seguintes sanções:
• Advertência escrita;

• Suspensão do direito de uso de serviços oferecidos pela rede da empresa por tempo indeterminado;
• Demissão;

• No caso de terceiros, rompimento de contrato sem nenhum ônus para o Grupo DAVINCI;

De acordo com a gravidade analisada e de posse dos registros comprobatórios, o assunto será encaminhado aos gestores e conselho diretor, através de normas já estabelecidas pelo formulário de ocorrência, para tomar as medidas cabíveis para o caso em questão.

Obs: A aplicação destas sanções não isenta o colaborador ou terceiro, de sofrer outras penalidades previstas em Regulamentos Internos, ou mesmo de sofrer processos penais por crimes estabelecidos no código penal.