Política de Segurança da Informação e Sistema de Gestão
OBJETIVO
Estabelecer as diretrizes para garantir a Confidencialidade, Integridade e Disponibilidade (CID), além da legalidade, autenticidade e auditabilidade das informações da FOURTRUST.
Esta política visa mitigar riscos operacionais e assegurar a conformidade com o SGSI (ISO 27001) e o SGQ (ISO 9001), focando na satisfação do cliente e na melhoria contínua dos processos.
ABRANGÊNCIA
Aplica-se a todos os colaboradores (internos, externos, estagiários), prestadores de serviço e parceiros de negócio que acedam a ativos de informação da FOURTRUST, incluindo trabalho remoto, dispositivos BYOD e serviços em nuvem.
CONCEITOS E PILARES (ISO 27001)
A segurança da informação baseia-se na preservação de:
Confidencialidade: Acesso apenas por pessoas autorizadas no momento necessário.
Integridade: Salvaguarda da exatidão e completude da informação e dos métodos de processamento.
Disponibilidade: Garantia de que utilizadores autorizados tenham acesso à informação sempre que necessário.
Qualidade (ISO 9001): Conformidade dos processos para entregar resultados que atendam aos requisitos dos clientes e partes interessadas.
DEFINIÇÕES
Ativos de Informação: Qualquer item (físico ou digital) que possua valor para a organização.
Segregação de Funções: Princípio que garante que nenhuma pessoa tenha controlo total sobre uma transação crítica.
Gestão de Riscos: Processo coordenado para identificar e tratar ameaças que possam impactar os objetivos de negócio.
CLASSIFICAÇÃO E ROTULAGEM DA INFORMAÇÃO
Toda a informação da FOURTRUST deve ser classificada:
Pública: Divulgação externa livre.
Interna: Uso restrito aos colaboradores; proibida a circulação externa.
Confidencial: Acesso restrito a grupos específicos; impacto financeiro/operacional em caso de fuga.
Restrita: Acesso nominal; impacto grave na estratégia ou violação legal em caso de fuga.
RESPONSABILIDADES
Alta Direção: Prover recursos e apoiar a cultura de segurança e qualidade.
Grupo Gestor da Segurança da Informação (GGSI): Gerir o SGSI, realizar auditorias e tratar incidentes.
Gestores de Área: Classificar a informação e autorizar acessos.
Colaboradores e Terceiros: Cumprir a política, proteger credenciais e reportar incidentes.
DIRETRIZES GERAIS
CICLO DE VIDA DO COLABORADOR (ISO 27001 A.6)
Admissão: Assinatura obrigatória do Termo de Confidencialidade e Responsabilidade, bem como a formalização da leitura e aceitação das políticas vigentes.
Desligamento: Revogação imediata de acessos e devolução formal de ativos físicos com termo assinado pelo BACKOFFICE.
CONTROLE DE ACESSOS E SENHAS
Acessos: Baseados no “Princípio do Menor Privilégio”.
MFA (Autenticação Multifator): Obrigatório para todos os acessos remotos, VPNs, e-mails e sistemas de missão crítica.
Complexidade: Mínimo 12 caracteres (com MFA) ou 15 (sem MFA).
TRABALHO REMOTO, PRESENCIAL E BYOD
Ambiente Remoto: Ecrã bloqueado ao ausentar-se e uso de auscultadores.
Instalações do Cliente: Cumprimento rigoroso das normas locais do cliente e política de “Mesa Limpa”.
BYOD (Dispositivos Pessoais): O uso de dispositivos pessoais para trabalho requer a instalação de soluções de gestão (MDM) ou isolamento de dados corporativos em containers seguros.
SEGURANÇA EM REDES E WI-FI
É terminantemente proibido o acesso a sistemas corporativos através de redes Wi-Fi públicas ou abertas (aeroportos, cafés, hotéis) sem o uso de VPN corporativa.
Recomenda-se o uso de “Hotspot” pessoal em detrimento de redes públicas desconhecidas.
LIMPEZA DE SECRETÁRIA E ECRÃ (CLEAR DESK/SCREEN)
Informações Confidenciais ou Restritas não devem ser deixadas em cima da secretária sem supervisão.
O ecrã do computador deve bloquear automaticamente após 5 minutos de inatividade.
ELIMINAÇÃO SEGURA DE INFORMAÇÃO (ISO 27001 A.8.10)
Documentos físicos classificados como Confidenciais ou Restritos devem ser fragmentados antes do descarte.
Dispositivos de armazenamento (discos, pens) devem sofrer limpeza lógica (wiping) ou destruição física antes de serem descartados ou reutilizados fora da FOURTRUST.
COMUNICAÇÃO E INTERNET
E-mail: Uso estritamente profissional. Vedado o uso de webmails pessoais para dados corporativos.
Mensagens: Dados sensíveis não devem ser partilhados em apps de mensagens não homologadas.
CONTINUIDADE E BACKUP
O GGSI é responsável por garantir backups e testar a recuperação periodicamente.
Repositórios de código (SV/N) devem ser acedidos apenas via VPN quando fora da rede local.
GESTÃO DE INCIDENTES E MELHORIA CONTÍNUA
Qualquer violação ou perda de equipamento deve ser comunicada ao GGSI em até 2 horas.
Registos de incidentes serão usados para análise de causa raiz e ações corretivas (ISO 9001).
CONSCIENCIALIZAÇÃO E TREINO
A FOURTRUST promoverá ações de consciencialização anuais para garantir que todos os colaboradores compreendem os riscos de segurança e os padrões de qualidade exigidos.
A participação é obrigatória e registada para fins de auditoria.
PENALIDADES
O descumprimento constitui falta grave, sujeita a advertência, suspensão ou demissão por justa causa, além de ações cíveis e criminais.
VIGÊNCIA E REVISÃO
Este documento entra em vigor na data de publicação e será revisado anualmente.
ATUALIZAÇÕES E REVISÕES
Este procedimento será revisado periodicamente para garantir que continue em conformidade com as melhores práticas de segurança e as necessidades da empresa.
TABELA DE REVISÕES
| REVISÃO | Data | Descrição da Alteração |
|---|---|---|
| 00 | 13/11/2024 | Elaboração do Documento |
| 01 | 20/02/2025 | Formalização do fluxo de Concessão e Revogação de Acessos (essencial para o RH no desligamento) e diretrizes de backup automático via rede |
| 02 | 19/02/2026 | Atualização do fluxo de concessão/revogação de acessos e definição da periodicidade de testes de restauração de backup. Adição de Redes Públicas, Descarte de Dados e Consciencialização |
CONTROLE DE ATIVIDADES
| Atividade | Data | Responsável |
|---|---|---|
| Revisão | 19/02/2026 | Karina Souza |
| Aprovação | 19/02/2026 | Rodrigo Medri |
