1. Contextualização
No cenário atual de negócios altamente interconectados e impulsionados pela tecnologia, a segurança da informação desempenha um papel fundamental na operação e na reputação da Diagnocel. Nossa organização, dedicada à prestação de serviços de diagnóstico e saúde, reconhece que a confidencialidade, integridade e disponibilidade dos dados são essenciais para manter a confiança dos clientes e parceiros, bem como para atender aos requisitos legais e regulatórios. A segurança da informação vai além de uma mera necessidade operacional; é uma parte intrínseca de nossa missão de fornecer soluções inovadoras no segmento de medicina diagnóstica.
2. Definições
• Ativos de Informação: Todos os recursos e informações utilizados e gerados pela Diagnocel, incluindo dados, sistemas, hardware, software, redes e documentos.
• Informação: Dados ou conjunto de dados em qualquer forma, incluindo documentos impressos, eletrônicos ou manuscritos, que contêm conhecimento ou significado.
• Classificação da Informação: Atribuição de um nível de sensibilidade a informações com base em seu valor e importância para a organização. Isso ajuda a determinar os controles de segurança adequados a serem aplicados.
• Confidencialidade: Garantir que a informação seja acessível apenas às pessoas autorizadas. Isso inclui proteger informações confidenciais de divulgação não autorizada.
• Integridade: Garantir que a informação seja precisa e completa e que não tenha sido alterada de forma não autorizada. A integridade assegura que os dados permaneçam íntegros e não sejam corrompidos.
• Disponibilidade: Garantir que a informação esteja disponível quando necessária para as operações da empresa. Isso envolve a prevenção de interrupções não planejadas nos sistemas ou na infraestrutura que poderiam afetar a disponibilidade dos dados.
• Autenticidade: Verificar a autenticidade das informações, ou seja, confirmar que a informação é proveniente de uma fonte confiável e não foi falsificada.
• Criptografia: O processo de codificar informações de forma que apenas pessoas autorizadas possam decifrá-las. A criptografia é usada para proteger dados em trânsito e armazenados.
• Vulnerabilidade: Uma fraqueza em um sistema, aplicativo, processo ou procedimento que pode ser explorada por ameaças para causar danos e obter informações confidenciais.
• Ameaça: Qualquer evento ou circunstância que tenha o potencial de comprometer a segurança da informação. Isso pode incluir hackers, malware, desastres naturais, entre outros.
• Risco de Segurança da Informação: A probabilidade de uma ameaça explorar uma vulnerabilidade, resultando em perda, dano ou comprometimento da informação.
• Gestão de Incidentes: O processo de identificação, resposta e mitigação de incidentes de segurança da informação, como violações de dados.
• Conformidade: Cumprimento rigoroso das leis e regulamentações aplicáveis, incluindo a LGPD. Isso envolve garantir que a empresa atenda a todas as obrigações legais relacionadas à segurança da informação e à privacidade de dados.
• Quebra da Segurança: Qualquer evento ou circunstância em que a segurança da informação é comprometida, resultando em acesso não autorizado, perda de integridade, indisponibilidade ou divulgação não autorizada de informações;
• Princípio do Menor Privilégio: também conhecido como Princípio do Mínimo Privilégio ou Princípio do Privilégio Mínimo, é um conceito fundamental na segurança da informação e no design de sistemas e redes. Ele se baseia na ideia de que os usuários, programas, processos ou sistemas devem receber apenas os privilégios e permissões necessários para realizar suas tarefas específicas e nada mais. Em outras palavras, esse princípio preconiza a aplicação do “privilégio mínimo” para minimizar os riscos de segurança.
3. Política de Segurança da Informação – Diagnocel
Estabelece o compromisso da Diagnocel em cumprir todas as disposições da LGPD, reconhecendo que a proteção dos dados pessoais é uma parte vital de nossa responsabilidade social e ética. Isso inclui a coleta, armazenamento, processamento e transferência de dados pessoais de forma segura, transparente e em conformidade com a lei. A empresa adotará medidas técnicas e organizacionais para proteger os dados pessoais, bem como fornecerá aos titulares dos dados informações sobre o tratamento de seus dados e garantirá o direito de acesso, correção e exclusão de informações pessoais, quando aplicável.
4. Destinatários
Esta política é abrangente e se aplica a todos os membros da equipe da Diagnocel, independentemente de seu cargo ou função na organização. Ela engloba:
• Colaboradores: Todos os funcionários da empresa, sejam eles temporários, contratados, em tempo integral ou meio período.
• Contratados e Consultores: Qualquer indivíduo ou entidade externa contratada pela empresa para executar tarefas ou serviços que envolvam o acesso ou manuseio de informações da empresa.
• Fornecedores: Empresas e indivíduos que fornecem bens ou serviços à Diagnocel que, em consequência disso, podem ter acesso a informações da organização.
• Parceiros de Negócios: Entidades ou organizações com as quais a Diagnocel mantém parcerias ou alianças estratégicas, incluindo aquelas que compartilham informações para fins de cooperação comercial ou pesquisa.
• Clientes: Embora esse grupo não seja diretamente responsável pela implementação da política, é fundamental que ele tenha confiança na segurança de suas informações pessoais. Portanto, esta política também visa proteger os dados pessoais de clientes.
A compreensão e o comprometimento de todas as partes com essa política são essenciais para manter um ambiente seguro para todos os envolvidos.
5. Objetivos
Os principais objetivos desta política são:
• Proteger a confidencialidade, integridade e disponibilidade dos ativos de informação da empresa;
• Garantir o cumprimento da LGPD em relação ao tratamento de dados pessoais;
• Minimizar riscos relacionados à segurança da informação;
• Manter a confiança dos clientes e parceiros em relação à proteção de seus dados e informações.
6. Princípios
Esta política é orientada pelos seguintes princípios fundamentais:
• Responsabilidade: Todos os membros da organização, desde a alta administração até os colaboradores de todos os níveis, compartilham a responsabilidade pela segurança da informação. Cada indivíduo deve compreender seu papel na proteção dos ativos de informação e na conformidade com as diretrizes estabelecidas;
• Confidencialidade: Garantir que informações sensíveis sejam tratadas com o mais alto grau de sigilo. O acesso a dados confidenciais é restrito apenas a pessoas autorizadas e medidas necessárias são tomadas para prevenir a divulgação não autorizada;
• Integridade: Asseguramos que as informações sejam precisas, íntegras e não tenham sido adulteradas de forma não autorizada. A manutenção da integridade dos ativos de informação é essencial para a tomada de decisões confiáveis e para a continuidade dos serviços;
• Disponibilidade: Garantir que as informações estejam disponíveis quando necessárias para a execução das operações da empresa. Isso envolve a implementação de medidas para prevenir interrupções não planejadas e manter a disponibilidade dos sistemas e serviços;
• Conformidade: Cumprir rigorosamente todas as leis, regulamentos e normas aplicáveis, incluindo a Lei Geral de Proteção de Dados (LGPD). A conformidade é fundamental para manter a confiança dos clientes, parceiros e órgãos reguladores.
7. Responsabilidades
Nossa Política de Segurança da Informação estabelece claramente as responsabilidades de todos os envolvidos para garantir uma abordagem colaborativa e eficaz na proteção de nossos ativos de informação e no cumprimento da LGPD. Abaixo, detalhamos as responsabilidades específicas de diferentes grupos dentro de nossa organização.
• Comitê Interno de Proteção de Dados Pessoais
o Responsável por definir a estratégia de segurança da informação e promover uma cultura de segurança dentro da organização;
o Devem alocar recursos adequados para a implementação e manutenção das medidas de segurança;
o São responsáveis por revisar regularmente o progresso em relação à conformidade com a LGPD e a eficácia das medidas de segurança.
• Colaboradores
o Todos os colaboradores têm a responsabilidade de seguir as diretrizes e práticas estabelecidas nesta política de segurança da informação;
o Devem ser diligentes na proteção de ativos de informação e relatar imediatamente qualquer suspeita de violação de segurança ou incidente de dados;
o Deve participar de treinamentos de segurança e conscientização para manter um alto nível de conhecimento e práticas de segurança.
• Grupo Gestor
o São responsáveis por garantir que as políticas de segurança da informação sejam seguidas em suas áreas de responsabilidade;
o Devem identificar e mitigar riscos relacionados à segurança da informação em suas equipes;
o São encarregados de assegurar que os colaboradores sob sua gerência sejam devidamente treinados e conscientes das políticas de segurança.
• Equipe de TI e Segurança da Informação
o Responsável pela implementação e manutenção de medidas técnicas de segurança;
o Deve monitorar continuamente a rede e os sistemas em busca de ameaças e vulnerabilidades;
o Responde prontamente a incidentes de segurança e gerencia a segurança de dispositivos e redes.
• Assessoria Jurídica
o Responsável por garantir que a organização esteja em conformidade com as regulamentações, incluindo a LGPD;
o Auxilia na elaboração de contratos com parceiros e fornecedores, garantindo a inclusão de cláusulas de segurança da informação;
o Responde às solicitações de titulares de dados relacionadas à LGPD e auxilia na avaliação de impacto à privacidade.
• Parceiros, Fornecedores e Contratados
o Devem cumprir as políticas de segurança da informação da empresa ao lidar com informações da organização;
o São responsáveis por proteger os dados e ativos de informação a que têm acesso em nome da empresa;
o Devem relatar qualquer incidente de segurança ou violação de dados que possam afetar nossos ativos de informação.
8. Diretrizes
Adotamos rigorosamente um conjunto de diretrizes para garantir a segurança da informação e a proteção de dados. Essas diretrizes são essenciais para proteger nossos ativos de informação, manter a confidencialidade e integridade dos dados, além de garantir a conformidade com regulamentações como a LGPD.
• Identificação e Classificação de Ativos
o Todos os ativos de informação são identificados, classificados e categorizados de acordo com seu valor e sensibilidade, assegurando a aplicação das medidas de segurança apropriadas;
o Dados pessoais são destacados e classificados conforme as exigências da LGPD, o que nos permite protegê-los com o cuidado necessário.
• Controle de Acesso
o Implementamos uma política de controle de acesso restrita, garantindo que os privilégios de acesso sejam concedidos de acordo com o princípio do menor privilégio;
o São utilizadas senhas sólidas e a autenticação de dois fatores é amplamente aplicada para proteger nossos sistemas e informações;
• Criptografia
o Empregada para proteger dados em trânsito e armazenados, incluindo dados pessoais e informações confidenciais.
• Conscientização e Treinamento
o Todos os membros da nossa equipe passam por treinamento em segurança da informação e conscientização sobre a LGPD;
o Os usuários estão bem preparados para identificar ameaças comuns, como phishing e relatar incidentes de segurança, contribuindo para uma postura proativa em relação à segurança.
• Gestão de Incidentes
o Possuímos procedimentos bem definidos para o gerenciamento de incidentes de segurança da informação e violações de dados, o que nos permite responder de forma eficaz e em conformidade com as regulamentações aplicáveis;
o Todos os incidentes são cuidadosamente registrados, investigados e comunicados, de acordo com nossas políticas e procedimentos estabelecidos.
• Políticas de Segurança da Informação e LGPD
o Nossas políticas e procedimentos relacionados à segurança da informação e à LGPD são documentados e comunicados a todos os colaboradores;
o Mantemos uma revisão periódica dessas políticas para garantir que permaneçam atualizadas e eficazes.
• Proteção de Dispositivos e Redes
o Dispositivos móveis e computadores pessoais são protegidos com senhas robustas e criptografia sempre que possível;
o Nossa rede é constantemente monitorada e protegida contra ameaças de segurança, assegurando um ambiente seguro para nossos sistemas e informações.
• Backup e Recuperação de Dados
o Implementamos práticas sólidas de backup e armazenamento seguro de dados críticosgarantindo assim, a integridade e a disponibilidade das informações;
o São realizados testes regulares de nossos procedimentos de recuperação de desastres para garantir que estejamos prontos para enfrentar situações adversas.
• Parceiros e Fornecedores
o Nossos contratos com parceiros e fornecedores incluem cláusulas de segurança da informação e conformidade com a LGPD;
o São realizadas avaliações de risco para garantir que nossos parceiros atendam aos padrões de segurança exigidos.
• Auditorias e Revisões
o Realizamos sistematicamente auditorias internas e revisões periódicas de segurança da informação para avaliar nossa conformidade e identificar áreas de melhoria;
o Os resultados dessas auditorias são utilizados para implementar melhorias contínuas em nossa segurança da informação.
9. Violação da Política de Segurança
Entendemos que, apesar dos esforços para manter a segurança da informação, podem ocorrer violações não intencionais ou deliberadas da Política de Segurança da Informação. É importante abordar essas situações com seriedade para proteger nossos ativos de informação e cumprir nossas obrigações legais.
Abaixo estão algumas diretrizes sobre como lidamos com violações da política de segurança:
• Relato de Violações: Qualquer colaborador que suspeite ou tenha conhecimento de uma violação da Política de Segurança da Informação deve relatar imediatamente o incidente ao Comitê Interno de Proteção de Dados Pessoais;
• Investigação: A empresa conduzirá investigações completas e imparciais de todas as violações relatadas para determinar a natureza e a extensão da violação;
• Comunicação: Dependendo da natureza da violação, podemos ser obrigados a comunicar a violação às autoridades regulatórias, aos titulares de dados afetados e a outras partes interessadas, conforme exigido pelas regulamentações aplicáveis;
• Ações Corretivas: Tomaremos medidas adequadas para corrigir a violação e evitar que ocorra novamente. Isso pode incluir a implementação de medidas adicionais de segurança, treinamento adicional ou ações disciplinares;
• Registro e Documentação: Todas as violações à Política de Segurança da Informação, juntamente com as medidas corretivas tomadas, serão devidamente registradas e documentadas.
10. Penalidades
A fim de garantir a conformidade com nossa Política de Segurança da Informação e a LGPD, bem como para manter um ambiente seguro para nossos ativos de informação, definimos um conjunto de penalidades que podem ser aplicadas em casos de violações graves. As penalidades podem variar dependendo da gravidade da violação, das circunstâncias e do impacto nas operações da empresa.
As penalidades podem incluir, mas não estão limitadas a:
• Advertências e Treinamento Adicional: Em casos de violações menos graves, os colaboradores podem receber advertências formais e serem obrigados a participar de treinamento adicional em segurança da informação;
• Suspensão Temporária: Em casos mais sérios, um colaborador pode ser suspenso temporariamente, com ou sem remuneração, enquanto a violação é investigada e resolvida;
• Demissão: Violações consideradas graves ou recorrentes podem resultar na demissão do colaborador, especialmente se a violação comprometer seriamente a segurança da informação ou a conformidade com a LGPD;
• Ações Legais: Em casos extremos, em que uma violação cause danos substanciais à empresa ou a terceiros, a empresa pode tomar medidas legais contra o responsável.
11. Vigência
O disposto no presente documento entrará em vigor na data de publicação do comunicado que o anunciar.