Política de Segurança da Informação

1. Introdução

 

1.1.  A Educafro é uma instituição sem fins lucrativos, que tem como missão melhorar vidas através da educação, da igualdade social, ética e pela valorização dos direitos humanos, através do serviço de seus voluntários/as.

 

1.2.  A Educafro entende que a informação corporativa e os dados de todos os envolvidos sejam eles prestadores de serviço, voluntários, beneficiários e parceiros, é um bem essencial para suas atividades e para resguardar a qualidade dos serviços prestados à sociedade.

 

1.3.  A Educafro compreende que a manipulação das informações por ela tratada passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança e privacidade das informações.

 

1.4. Dessa forma, a Educafro estabelece sua Política de Segurança da Informação e Privacidade, como parte integrante do seu sistema de gestão organizacional, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade.

 

 

2. Glossário

 

2.1. Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a Educafro;

 

2.2. Ativo: Tudo aquilo que possui valor para a Educafro;

 

2.3.  Ativo de informação: Patrimônio intangível da Educafro, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a Educafro por parceiros, beneficiários, voluntários, prestadores de serviço, em formato escrito, verbal físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da Educafro, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

 

2.4.  Comitê Gestor de Segurança da Informação e Privacidade – CGSIP: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da Educafro, que tem por finalidade tratar questões ligadas à Segurança da Informação e Privacidade.

 

2.5.  Confidencialidade: Propriedade dos ativos da informação da Educafro, de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.

 

2.6.  Controle: Medida de segurança adotada pela Educafro para o tratamento de um risco específico.

 

2.7.  Disponibilidade: Propriedade dos ativos da informação da Educafro, de serem acessíveis e utilizáveis sob demanda, por partes autorizadas.

 

2.8.  Gestor da Informação: Usuário da informação que ocupe cargo específico, ao qual atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob responsabilidade de sua área de atuação.

 

2.9. Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações da Educafro.

 

2.10. Integridade: Propriedade dos ativos da informação da Educafro, de serem exatos e completos.

 

2.11. Risco de segurança da informação: Efeito de incerteza sobre os objetivos de segurança da informação da Educafro.

 

2.12.    Segurança         da          informação:      A            preservação      das               propriedades    de confidencialidade, integridade e disponibilidade das informações da Educafro.

 

2.13. Usuário da informação: Voluntários, colaboradores de qualquer área da Educafro ou terceiros alocados na prestação de serviço a Educafro, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados e utilizar manipular qualquer ativo de informação da Educafro para o desempenho de suas atividades profissionais.

 

2.14. Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da Educafro.

 

3. Propósito

 

3.1. Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação e Privacidade que permitam aos colaboradores da organização adotar padrões de comportamento seguro, adequados às necessidades da Educafro;

 

3.2. Orientar quanto a adoção de controles e processos para atendimento dos requisitos para Segurança da Informação e Privacidade;

 

3.3. Resguardar as informações da Educafro, prestadores de serviço, voluntários, beneficiários e parceiros, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;

 

3.4. Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus prestadores de serviço, voluntários, beneficiários e parceiros;

 

3.5. Minimizar os riscos de perdas de confiança de seus beneficiários, parceiros ou de qualquer outro impacto negativo nos serviços prestados pela Educafro como resultado de falhas de segurança;

 

3.6. Todos os ativos – sejam eles de pessoas, processos, tecnologias ou dados – devem ser governados por um rigoroso processo de gerenciamento de riscos e estar sujeitos a implementação de controles que assegurem as melhores práticas de Segurança da Informação e Privacidade;

 

3.7. Todos os dados pessoais tratados pela Educafro devem respeitar bases legais claramente previstas na Lei Geral de Proteção de Dados Pessoais, assim como os princípios de finalidade, adequação, minimização, transparência, segurança, qualidade e prestação de contas;

 

3.8. Deve ser claro o objetivo da Educafro de proteger dados confidenciais e/ou pessoais em qualquer forma física ou digital, para tal compreendemos que Segurança da Informação e Privacidade devem estar integrados por padrão e no desenho de todos os processos, sistemas, documentos e relações da Educafro, sendo assim vistas como estratégicas para relevância e crescimento da organização;

 

3.9. Deve estar claro o compromisso da Educafro com o cumprimento de obrigações legais e contratuais a ela impostas. Esta responsabilidade aplica-se a organização em sua coletividade e deve ser compartilhada por todos aqueles que estão direta ou indiretamente ligados a ela, ou que em nome dela estejam sujeitos a estas obrigações na execução de suas tarefas e atividades profissionais.

 

 

4. Escopo

 

4.1. Esta política se aplica a todos os usuários da informação da Educafro, incluindo qualquer indivíduo que possui ou possuiu vínculo com a Educafro, tais como prestadores de serviço, ex-prestadores de serviço, voluntários, ex- voluntários, que possuíram, possuem ou virão a possuir acesso as informações da Educafro e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura da Educafro.

 

 

5. Diretrizes

 

5.1. O objetivo da gestão de Segurança da Informação e Privacidade da Educafro é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação e privacidade de dados, provendo suporte as operações críticas da organização e minimizando riscos identificados e seus eventuais impactos a instituição, prestadores de serviço, voluntários, beneficiários e parceiros.

 

5.2. A Diretoria Executiva e o Comitê Gestor de Segurança da Informação e Privacidade estão comprometidos com uma gestão efetiva de Segurança da Informação e Privacidade na Educafro. Desta forma, adotam todas as medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da Educafro.

 

5.3. É política da Educafro:

 

5.3.1. Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação e privacidades de dados, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da Educafro sejam atingidos través da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;

 

5.3.2. Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: prestadores de serviço, voluntários e, onde pertinente, beneficiários e parceiros;

 

5.3.3. Garantir a educação e conscientização sobre as práticas adotadas pela Educafro de segurança da informação e privacidade para prestadores de serviço, voluntários e, onde pertinente, beneficiários e parceiros;

5.3.4. Atender integralmente requisitos de segurança da informação e privacidade de dados aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;

 

5.3.5. Tratar integralmente incidentes de segurança da informação e privacidade de dados, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicado as autoridades apropriadas;

 

5.3.6. Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;

 

5.3.7. Melhorar continuamente a gestão da Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

 

 

  1. Papéis e Responsabilidades

 

6.1. COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE – CGSIP

 

6.1.1. Fica constituído o COMITÊ GESTOR DE SEGURANÇA DA INFOMAÇÃO E PRIVACIDADE, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Administrativo, Jurídico, Comunicação.

 

6.1.2. É responsabilidade do CGSIP:

 

6.1.2.1. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação e privacidade de dados;

 

6.1.2.2. Garantir a disponibilidade dos recursos necessários para uma efetiva segurança da Informação;

 

6.1.2.3. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a Política de Segurança da Informação e Privacidade;

 

6.1.2.4. Promover a divulgação da Política de Segurança da Informação e Privacidade e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Educafro.

 

 

6.2. ENCARREGADO DE DADOS (DPO)

 

6.2.1.É responsabilidade do Encarregado de Dados:

 

6.2.1.1. Manter seus conhecimentos relevantes e atualizados sobre a Lei Geral de Proteção de Dados;

 

6.2.1.2. Treinar e orientar todos da organização sobre os requisitos de conformidade com a LGPD;

 

6.2.1.3. Realizar avaliações e auditorias regulares para garantir a conformidade com a LGPD;

 

6.2.1.4. Manter registro das atividades de processamento de dados realizadas pela organização;

 

6.2.1.5. Responder e informar os titulares de dados pessoais sobre como seus dados estão sendo usados e quais medidas de proteção implementadas pela organização;

 

6.2.1.6. Assegurar que os pedidos de acesso ou apagamento de dados feitos por titulares de dados pessoais, sejam atendidos ou respondidos, conforme necessário.

 

 

6.3. DIRETOR EXECUTIVO

 

6.3.1. É responsabilidade do Diretor Executivo:

 

6.3.1.1. Exercer a gestão da organização, de acordo com a missão, visão e valores da Educafro;

 

6.3.1.2. Interagir com o Comitê Gestor de Segurança da Informação e Privacidade;

 

6.3.1.3. Contribuir ativamente nos processos de políticas e normas relacionadas à segurança da informação e privacidade de dados;

 

6.3.1.4. Levantar e expor as vulnerabilidades e os riscos que venham comprometer a segurança da informação e privacidade de dados;

6.3.1.5. Avaliar e definir em conjunto com o Comitê Gestor de Segurança da Informação e Privacidade medidas corretivas para desvios em relação aos objetivos da organização.

 

 

6.4. GESTOR ADMINISTRATIVO

 

6.4.1. É responsabilidade do Gestor Administrativo:

 

6.4.1.1. Assessorar nas políticas de gestão de pessoas;

 

6.4.1.2. Identificar as necessidades de desenvolvimento e treinamento de pessoas;

 

6.4.1.3. Interagir com o Comitê Gestor de Segurança da Informação e

Privacidade;

 

6.4.1.4. Apresentar relatórios de informações gerenciais e cenários futuros da organização;

 

6.4.1.5. Atualizar e executar planos e políticas organizacionais, estando em conformidade com a segurança da informação e privacidade;

 

6.4.1.6. Supervisionar a revisão de regras, regulamentos e procedimentos para atender às mudanças na lei e na política da organização e estar em conformidade com a segurança da informação e privacidade.

 

 

6.5. DEPARTAMENTO DE TI

 

6.5.1. É responsabilidade do Departamento de TI:

 

6.5.1.1. Coordenar esforços para que a Educafro possua medidas de segurança técnicas capazes de proteger os dados confidenciais e pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação indevida ou qualquer outro tratamento inadequado ou ilícito;

 

6.5.1.2. Prover aconselhamento ao Comitê Gestor de Segurança da Informação e Privacidade e ao Encarregado de Dados (DPO) sobre questões pertinentes a Tecnologia da Informação, que possam impactar os esforços de Segurança da Informação e Privacidade da Educafro no contexto dos objetivos da organização;

 

6.5.1.3. Elaborar e manter atualizados e relevantes termos e políticas de uso de recursos tecnológicos da organização, tais como sistemas, e-mails etc.;

 

6.5.1.4. Manter registro e controle atualizados de todas as liberações de acesso concedidas, procedendo, sempre que necessário, com a pronta suspensão ou alteração de tais liberações.

 

 

              6.6. USUÁRIOS DA INFORMAÇÃO

 

6.6.1. É responsabilidade dos Usuários da Informação:

 

6.6.1.1. Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação e Privacidade, bem como as demais normas e procedimentos de segurança aplicáveis;

 

6.6.1.2. Compreender que a Segurança da Informação e Privacidade são responsabilidades de todos da organização e devem estar atentos quanto ao tratamento dos dados em seu dia a dia de trabalho, observando as regras e as boas práticas, cumprindo as leis e normas;

 

6.6.1.3. Ter suas contas de acesso (e-mails, estação de trabalho) mantidas seguras, utilizar senhas fortes e não compartilhar senhas, sob nenhuma justificativa;

 

6.6.1.4. Cumprir com os treinamentos em Segurança da Informação e Privacidade providos pela organização;

 

6.6.1.5. Os equipamentos disponibilizados pela Educafro têm como objetivo específico de permitir aos usuários desenvolverem suas atividades profissionais, sendo expressamente proibida a utilização para fins particulares;

 

6.6.1.6. A alteração e/ou manutenção de qualquer equipamento disponibilizado pela Educafro é uma atribuição específica do departamento de tecnologia da informação. Demais usuários são expressamente proibidos de realizar qualquer tipo de manutenção ou modificação nos equipamentos;

 

6.6.1.7. Os equipamentos disponibilizados pela Educafro devem ser utilizados com cuidado visando garantir sua preservação e seu funcionamento adequado;

 

6.6.1.8. Ao final do contrato de trabalho, os equipamentos disponibilizados para a execução de atividades profissionais devem ser devolvidos em estado de conservação adequado;

 

6.6.1.9. Qualquer dano aos equipamentos disponibilizados pela Educafro será devidamente analisado pela área de tecnologia da informação. Havendo a constatação de que tal dano decorreu de ação direta ou omissão do usuário, caberá a Educafro exercer seu direito de reparação ao prejuízo, através da tomada das medidas cabíveis.

 

6.6.1.10. Estar atento e, em caso de dúvidas, não abrir e-mails com assuntos estranhos;

 

6.6.1.11. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação e Privacidade, suas normas e procedimentos ao Departamento de TI ou, quando pertinente, ao Comitê Gestor de Segurança da Informação e Privacidade;

 

6.6.1.12. Comunicar ao Departamento de TI qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da Educafro;

 

6.6.1.13. Assinar o termo de Uso de Sistemas de Informação da Educafro formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação e Privacidade, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

 

6.6.1.14. Responder pela inobservância da Política de Segurança da Informação e Privacidade, normas e procedimentos de segurança, conforme definido no item processo disciplinar.

 

 

7. Processo disciplinar

 

7.1. As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa;

 

7.2. A aplicação de processo disciplinar será realizada conforme a análise do Comitê Gestor de Segurança da Informação e Privacidade, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas na legislação, podendo o CGSIP, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave;

 

7.3. No caso de terceiros contratados ou prestadores de serviço, o CGSIP deve analisar a ocorrência e deliberar sobre a efetivação do processo disciplinar conforme termos previstos em contrato;

 

7.4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a Educafro, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízos aos descritos nos itens 7.1, 7.2, 7.3 desta política.

 

 

8. Casos Omissos

 

8.1. Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação e Privacidade para posterior deliberação;

 

8.2. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos existentes ou que venham a ser criados, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Sendo assim, é de obrigação do usuário da informação da Educafro adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações da Educafro, prestadores de serviço, voluntários, beneficiários e parceiros.

 

 

9. Revisões

 

9.1. Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação e Privacidade.

 

 

10. Gestão da Política

 

10.1. A Política de Segurança da Informação e Privacidade é aprovada pelo Comitê Gestor de Segurança da Informação com a Diretoria da Educafro.

 

10.2.    A presente política foi aprovada no dia 19/01/2022

 

Francisco de Assis, Educação, Cidadania, Inclusão e Direitos Humanos
Frei David Santos, OFM
Diretor Executivo