Política de Segurança da Informação
Garantir a proteção e o acesso seguro às informações é um compromisso da R&D Life soluções em seguros.
1. Objetivo
A R&D Life soluções em seguros estabelece a presente Política de Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada às boas práticas e normas aceitas, objetivando a proteção dos ativos tecnológicos, processos que integram e interagem no ambiente da empresa.
2. Abrangência
Esta Política se aplica a todos os colaboradores, prestadores de serviço e qualquer pessoa com poderes de representação da R&D Life soluções em seguros suas controladas direta ou indiretamente respeitando os acordos operacionais estabelecidos, que possuíram, possuem ou virão a possuir acesso às informações da Companhia e/ou fizeram, fazem ou farão uso de recursos computacionais na infraestrutura R&D.
3. Termos e Definições
ATIVO: No contexto de Segurança da Informação, é qualquer objeto que possa desenvolver, receber, transmitir, manusear, armazenar, trafegar e descartar informações essenciais e que gerem valor para os negócios de uma organização.
-
Comitê de Segurança da Informação - o órgão colegiado e propositivo que tem a finalidade de colaborar para implementação das ações de Segurança da Informação.
-
Confidencialidade - Propriedade dos ativos da informação de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.
-
Incidente de Segurança da Informação - Todo e qualquer evento adverso ou anômalo, que esteja sob suspeita ou confirmado, voltado à segurança de sistemas, aplicativos, plataformas, ativos tecnológicos em geral, e que podem levar ao comprometimento de um ou mais dos três pilares de Segurança da Informação (confidencialidade, integridade e disponibilidade).
-
Integridade - Propriedade dos ativos da informação de serem exatos e completos.
-
Risco de Segurança da Informação - Efeito da incerteza sobre os objetivos de Segurança da Informação.
-
Segurança da Informação - A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da R&D Life soluções em seguros ou por ela custodiadas.
-
Usuário da informação - Colaboradores com vínculo empregatício de qualquer área da R&D Life soluções em seguros ou terceiros alocados na prestação de serviços, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da R&D Life soluções em seguros para o desempenho de suas atividades profissionais.
4. Princípios Basilares
Para eficácia da presente Política, são princípios da R&D Life soluções em seguros:
-
Elaborar, implantar e seguir por completo políticas, instruções normativas e manuais de procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da R&D Life soluções em seguros ou sob sua custódia, sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;
-
Garantir a educação e conscientização sobre as práticas adotadas pro regulamentações, leis e/ou cláusulas contratuais;
-
Atender requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;
-
Tratar integralmente incidentes de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas. Para tanto, as áreas da empresa deverão prestar as informações necessárias para a atuação na resposta a incidentes;
-
Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;
-
Melhorar continuamente a gestão de segurança da informação por meio da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
5. Diretrizes
-
Estabelecer diretrizes e normas de segurança da informação que permitam adotar padrões de comportamento seguro, adequados às metas e necessidades;
-
Garantir a confidencialidade, integridade e disponibilidade das informações R&D Life soluções em seguros;
-
Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, clientes e parceiros;
-
Atender a todos requisitos regulatórios e legislativos aplicáveis.
As informações em seus diferentes formatos devem ser devidamente classificadas. A informação é um ativo importante para nós, devendo ser preservada e salvaguardada, em conformidade com as normativas internas, leis e regulamentos sobre o tema.
5.1. Controle da informação
A R&D Life soluções em seguros tem o compromisso de promover a aderência às leis de proteção de dados, tendo tanto, estabeleceu padrões de proteção de dados de forma a manter a confidencialidade, integridade e disponibilidade dos dados da empresa.
O armazenamento de dados "privados" e "confidenciais" deve respeitar a legislação em vigor, políticas e normativas, considerando a adequada finalidade de armazenamento e retenção.
5.2. Proteção de dados
Com base na criticidade das informações, são estabelecidos modelos de referência e componentes de segurança da informação a serem utilizados em sistemas de informação da R&D Life soluções em seguros
5.3. Arquitetura de segurança da informação
Foram estabelecidos critérios, regras e responsabilidades no que tange a gestão de ativos de TI, todos os ativos físicos e lógicos, considerando além dos ativos internos, também aqueles que podem ser transitados fora do ambiente tecnológico da R&D Life soluções em seguros, que tem por objetivo zelar pelos componentes tecnológicos (hardware e software), ao logo de todo o seu ciclo de vida ou período de propriedade.
5.4. Gestão de ativos tecnológicos
A R&D Life soluções em seguros dissemina diretrizes de segurança por meio de programas de conscientização de segurança da informação e capacitação para promover uma cultura de segurança sólida na empresa.
5.5. Conscientização em segurança da informação
O Plano de Continuidade de Negócios é administrado para manter a capacidade de preservação e continuidade dos negócios, considerando o mínimo necessário, ou seja, processos, pessoas, tecnologias e negócios críticos da R&D Life soluções em seguros que devem ser mantidos em caso de cenário de crise.
5.6. Plano de Continuidade de Negócio
A gestão e controle das identidades e acessos aos recursos computacionais e informações são realizados em conformidade com os requisitos estabelecidos na estrutura normativa da empresa, garantindo o controle e segregação de acesso a dados e transações, mitigando o excesso de privilégios que possam levar a vazamento de informações, acesso indevido, fraudes ou mesmo ações que impactem a imagem da R&D Life soluções em seguros.
5.7. Gestão de identidades e acessos
5.8. Resposta a incidentes
A gestão de resposta a incidentes de segurança da informação atua sobre incidentes e a resposta a estes visando a redução de impacto provocado por ações indevidas ou em não conformidade com as políticas e normativos da empresa.
5.9. Segurança de redes
Estabelecer diretrizes de gestão de acesso, configuração, vulnerabilidades e incidentes visando prevenir e monitorar o acesso não autorizado, uso incorreto, modificação, tráfego das informações ou indisponibilidade da rede de computadores e dos recursos associados da empresa.
Preserva a privacidade de dados pessoais, entendidos como aqueles que identifiquem ou tornem identificáveis pessoais físicas, nos processos de negócio e em canais de companhia, mediante a sua confidencialidade, integridade, finalidade, autenticidade e disponibilidade.
5.10. Privacidade
Monitora, correlaciona, analisa e realiza medições quanto à proteção, desvios de conduta, ações indevidas e/ou não autorizadas, internas e externas, de forma a preservar a segurança dos usuários, clientes, colaboradores, parceiros de negócio e das estratégias da R&D Life soluções em seguros.
5.11. Monitoramento de segurança da informação
Diretrizes são estabelecidas e mantidas para prover e preservar a proteção cibernética dos sistemas, aplicativos, pacotes de software e aplicações web da organização, desde etapas de desenvolvimento até a manutenção em ambientes de produção, gerando menor nível de risco possível ao negócio, de acordo com a classificação de segurança de cada ativo. Fornecedores e fábricas de software estão sujeitos aos mesmos requisitos de segurança.
5.12. Segurança de software
Estabelecidas as diretrizes de segurança da informação, destinadas a assegurar o cumprimento dos requisitos de terceiros, na contratação, durante as renovações, com monitoramento contínuo.
Os fornecedores devem garantir a observância das obrigações estatutárias e regulatórias para assegurar que as devidas exigências de segurança da informação sejam levadas em conta em seus processos.
O fornecedor deve possuir políticas de segurança da informação documentadas e implementadas a fim de assegurar a confidencialidade, integridade e disponibilidade das informações da R&D Life soluções em seguros.
5.13. Gestão de segurança da informação para terceiros
São estabelecidos critérios para o gerenciamento de vulnerabilidades nos ativos locais ou na nuvem, alocados dentro ou fora da R&D Life soluções em seguros, através de ações de prevenção para atender a necessidade do negócio, de form a minimizar o risco de segurança da informação da empresa mediante a identificação e direcionamento sobre as vulnerabilidades tecnológicas.
5.14. Gestão de vulnerabilidades
5.15. Segurança física
Foram estabelecidas e mantidas diretrizes para a proteção física e de perímetro que protege dados e informações da R&D Life soluções em seguros.
6. Canal de comunicação
No caso de alertas de segurança e/ou incidentes, as notificações devem ser encaminhadas para o canal a seguir: apoioaocliente@rdlifeseguros.com.br