SISTEMA DE GESTÃO Página 1 de 17

DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

Alteração do item 6.2 – troca do nome dispositivos móveis para dispositivos endpoint e
inclusão do subitem Controle de Acesso a Ambientes ou Sistemas na AlmavivA no tópico
6.10 Gestão de Terceiros.

Data da
Rev. Data Elaborado por Descrição da revisão próxima
aprovação

00 02/05/2023 Danielle Brito Criação do documento 02/05/2024

Alteração do item 6.2 – troca do nome

dispositivos móveis para dispositivos
endpoint e inclusão do subitem
01 06/07/2023 Danielle Brito 06/07/2024
Controle de Acesso a Ambientes ou
Sistemas na AlmavivA no tópico 6.10
Gestão de Terceiros

Elaborado por: Analisado por: Aprovado por:

Equipe de GRC –
Gerência de GRC – Governança, Risco Diretoria de Segurança da
Governança, Riscos e Informação e Privacidade
e Compliance
Compliance
 SISTEMA DE GESTÃO Página 2 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

1 OBJETIVO:

Garantir a confidencialidade, integridade, disponibilidade e legalidade da

informação necessária para o negócio do Grupo AlmavivA do Brasil.
A implementação dessa política é importante para sustentar e demonstrar
nossa capacidade e integridade em lidar com todas as partes interessadas.
Portanto, essa política assegura que:
▪ As informações estão protegidas contra acesso não autorizado;
▪ A confidencialidade da informação é mantida;
▪ As informações não são divulgadas às entidades não autorizadas por
meio de ações deliberadas ou descuidadas;
▪ A integridade das informações é mantida para impedir modificações
não autorizadas;
▪ As informações estão disponíveis para usuários autorizados, quando
necessário;
▪ Requisitos contratuais, de regulamentação e legais são cumpridos;
▪ Sempre que ocorrer alterações legais, regulamentares ou normativas
que impactem o negócio do Grupo AlmavivA do Brasil, uma análise
crítica é realizada a fim de que as adequações, se necessário, sejam
realizadas;
▪ Os planos de continuidade da atividade são produzidos, mantidos e
testados de acordo com as expectativas da gestão;
▪ Treinamento de segurança da informação e privacidade são dados a
todos os colaboradores e, quando aplicável, a provedores externos;
▪ Potenciais violações de segurança da informação e suspeitas de
vulnerabilidades sejam relatadas, investigadas e mitigadas;
▪ Cada indivíduo tenha conhecimento adequado dos controles de
gestão, dos controles operacionais e técnicos que ajudam a proteger
os recursos e bens tecnológicos de informação do Grupo AlmavivA
do Brasil;
▪ As metas e objetivos são divulgados para as partes interessadas
envolvidas, para que cada indivíduo tenha uma compreensão
adequada de seu papel e responsabilidade em relação à segurança
da informação e à missão da organização;
▪ As políticas, procedimentos e práticas são comunicados às partes
envolvidas do Grupo AlmavivA do Brasil;
 SISTEMA DE GESTÃO Página 3 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

▪ A melhoria contínua do Sistema de Gestão da Segurança da

Informação e Privacidade é um compromisso de todos na AlmavivA.

2 CAMPO DE APLICAÇÃO:

Esta política se aplica a todos os colaboradores, terceiros, fornecedores que

utilizem o ambiente de processamento ou acessem informações
pertencentes ao Grupo AlmavivA do Brasil.

3 REFERÊNCIAS:

• PSI-002 – Política de Segurança da Informação Pública

• NBR ISO/IEC 27001:2022 – Segurança da informação, segurança
cibernética e proteção à privacidade — Sistemas de gestão da
segurança da informação — Requisitos.
• NBR ISO/IEC 27002:2022 – Segurança da informação, segurança
cibernética e proteção à privacidade — Controles de segurança da
informação.
• NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da
ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação
– Requisitos e diretrizes.
• Lei nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados
Pessoais).

4 DEFINIÇÕES

▪ Informação: A informação pode existir em diversos formatos tais como:

impressa ou escrita em papel, armazenada eletronicamente, transmitida
por correio eletrônico e/ou por outros meios eletrônicos, mostrada em
filmes ou falada em conversas. Independentemente de sua natureza ou
de sua origem, e da forma apresentada, compartilhada e/ou
armazenada, ela deve estar protegida de acordo com sua relevância em
relação ao negócio das empresas.
 SISTEMA DE GESTÃO Página 4 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

▪ Confidencialidade: a informação não pode ser disponibilizada ou

acessada sem autorização prévia do seu proprietário;
▪ Integridade: a informação é protegida contra modificações não
autorizadas;
▪ Disponibilidade: a informação fica disponível para acesso para pessoas
que necessitam da mesma para o desempenho de suas atividades;
▪ Legalidade: garantia de que as informações produzidas respeitem a
legislação vigente;
▪ Logs: arquivos de registros de eventos;
▪ Malware: software malicioso;
▪ Política: conjunto de princípios e normas;
▪ Software: programa de computador;
▪ Stakeholders: termo utilizado para referenciar as partes interessadas ou
envolvidos em um processo e/ou projeto.

5 RESPONSABILIDADES:

Compete a Alta Direção:

i. Tomar decisões administrativas (sanções disciplinares) referentes aos

casos de descumprimento das políticas e normas da organização;
ii. Prover recursos necessários para o estabelecimento, implementação,
manutenção e melhoria contínua do Sistema de Gestão da Segurança
da Informação e Privacidade;
iii. Apoiar o desenvolvimento e a implementação de políticas de segurança
da informação;
iv. Comprometer-se a seguir as políticas e normas da AlmavivA, agindo de
forma exemplar.
 SISTEMA DE GESTÃO Página 5 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

Compete ao Comitê de Segurança da Informação e Privacidade:

i. Criar melhorias e aprovar a política de segurança da informação e as

demais políticas de Segurança da Informação e Privacidade;
ii. Tratar todas as não conformidades e acompanhar as ações corretivas
definidas;
III. Criar projetos relacionados à melhoria da gestão de tecnologia e
segurança da informação, bem como acompanhá-los;
iv. Analisar as sanções disciplinares cabíveis no caso de ocorrência de um
incidente de segurança;
v. O comitê de Segurança da Informação e Privacidade é uma comissão
composta por colaboradores dos seguintes setores: Segurança da
Informação, Jurídico, Tecnologia da Informação, Segurança Corporativa,
Qualidade.

Compete à área de Segurança da Informação e Privacidade:

i. Assegurar e manter a aplicação das diretrizes estabelecidas nas políticas e

procedimentos de segurança da informação dentro do Grupo AlmavivA do
Brasil;
ii. Definir políticas, normas, procedimentos e diretrizes técnicas de segurança
da informação;
iii. Auxiliar os proprietários das informações quanto à sua classificação;
iv. Auxiliar os proprietários dos ativos na definição e implementação de
controles e processos de segurança da informação;
v. Coletar, analisar e elaborar relatórios gerenciais sobre os incidentes de
segurança da informação;
vi. Elaborar e organizar os programas de conscientização em segurança da
informação;
vii. Suportar o desenvolvimento das políticas e normas de segurança da
informação com o intuito de assegurar a conformidade com a legislação
vigente.
 SISTEMA DE GESTÃO Página 6 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

Compete à área de Tecnologia da Informação / Segurança Corporativa:

i. Apoiar na análise do incidente, e planejar a correção no caso de se tratar de

uma vulnerabilidade.
ii. Identificar as vulnerabilidades de segurança e riscos associados aos ativos
de tecnologia da informação;
iii. Coordenar e suportar a implantação das medidas de segurança;
iv. Analisar os incidentes de segurança associados aos ativos de tecnologia da
informação e traçar as ações necessárias para a correção dos desvios;
v. Gerenciar e monitorar os acessos lógicos aos sistemas;
vi. Fornecer identificação e senha de acesso, conforme estabelecido na norma
de controle de acesso;
vii. Garantir que os usuários tenham acesso somente às informações
aprovadas pelo gestor da área;
viii. Revisar periodicamente os acessos aos sistemas de informação;
ix. Gerir e monitorar os logs e similares com o intuito de identificar desvios de
segurança;
x. Sugerir, recomendar e verificar a implementação das melhores práticas de
segurança em todos os serviços sob sua responsabilidade.

Compete à área de Recursos Humanos:

i. Colher as assinaturas nos termos de uso e responsabilidade, e arquivá-los;

ii. Informar imediatamente à área de Tecnologia da Informação, responsável
pela gestão dos acessos lógicos e físicos, todos os desligamentos,
afastamentos e modificações no quadro funcional;
iii. Divulgar as políticas e normas a todos os colaboradores, e arquivar os
certificados de participação dos colaboradores nos respectivos prontuários

Compete à área de Governança de Segurança da Informação:

i. Gerir toda documentação do Sistema de Gestão de Segurança da

Informação;
ii. Realizar as conscientizações das políticas e demais documentações de
Segurança da Informação;
 SISTEMA DE GESTÃO Página 7 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

iii. Realizar análises críticas das políticas, objetivos e controles implementados

pela área de Segurança da Informação e Infraestrutura;
iv. Definir políticas, normas, procedimentos e diretrizes não técnicas, de
segurança da informação.

Compete a todos:

i. Zelar pela Segurança da Informação no Grupo AlmavivA do Brasil;

ii. Seguir as diretrizes contidas nesta política e demais políticas e
procedimentos de segurança da informação;
iii. Manter a segurança física de equipamentos e informações;
iv. Participar dos programas de conscientização providos;
v. Informar fragilidades, vulnerabilidades e riscos pertinentes a Segurança da
Informação que venham a ter conhecimento;
vi. Acompanhar incidentes e propor melhorias, evitando reincidências de
problemas;
vii. Utilizar com responsabilidade e para fins de trabalho e de forma
profissional, ética e legal os ativos de tecnologia da informação;
viii. Proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizada;
ix. Garantir que os sistemas e informações sob sua responsabilidade estejam
protegidos;
x. Comunicar qualquer descumprimento da Política de Segurança da
Informação.
 SISTEMA DE GESTÃO Página 8 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

6 DIRETRIZES

6.1 MESA LIMPA E TELA LIMPA

As diretrizes de mesa limpa e tela limpa visam garantir que informações

sensíveis não sejam deixadas em locais de fácil acesso em períodos em
que o responsável pela informação não se encontre no local; além disso,
tais diretrizes reduzem o risco de uma violação de segurança, fraudes e
roubo de informações causadas por documentos que estão sendo deixados
sozinhos nas instalações da empresa. Segue abaixo algumas orientações:

▪ As informações críticas do negócio devem ser guardadas em lugar

seguro quando não em uso, principalmente quando o escritório está
desocupado.
▪ Documentos com informações sensíveis devem ser recolhidos
imediatamente, a fim de impedir que uma pessoa não autorizada
tenha acesso à informação.
▪ Caso sua mesa tenha gavetas essas devem estar sempre
trancadas;
▪ Não deixar exposto anotações de trabalho em períodos aos quais
você não estiver presente (Ex: Saída para almoço, café, fim de
turno etc.);
▪ Ao descartar algum documento sensível procure utilizar a
fragmentadora de papel;
▪ Quando participar de reunião sempre antes de sair da sala lembre-
se de apagar o quadro, levar e guardar em local seguro suas
anotações, a sala deverá ser entregue sem anotações no quadro ou
papéis com informações nas mesas;
▪ Todo documento impresso deve ser recolhido e armazenado em
local seguro, jamais enviar algum documento para impressão e
deixar este sem destino apropriado;
▪ Jamais anotar sua senha e deixá-la em local exposto. (Procure
decorar sua senha ou utilizar aplicações que fazem a função de
cofre, evite anotar).
 SISTEMA DE GESTÃO Página 9 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

MESA LIMPA E TELA LIMPA NA OPERAÇÃO

▪ Papéis, canetas, comida, telefones, fones de ouvido, smart watches

ou relógios que conectem ao celular são expressamente proibidos.
Salvo quando determinado pelo cliente para a execução de suas
funções.
▪ Na estação de trabalho (PA) só pode haver os equipamentos
necessários e obrigatórios ao trabalho.
▪ Ao sair da estação de trabalho, o equipamento deve ser bloqueado.

6.2 DISPOSITIVOS ENDPOINT DO USUÁRIO

O Grupo AlmavivA do Brasil definiu as seguintes diretrizes de uso dos

dispositivos endpoint, utilizados para a realização de atividades profissional:
Dispositivos Endpoint Corporativos
Quando se descreve “Dispositivo Endpoint”, entende-se qualquer
equipamento eletrônico com atribuições de mobilidade, tais como:
notebooks, tablets, smartphones, pen drives, câmeras e outros.
Os dispositivos endpoint disponibilizados pelo Grupo AlmavivA do Brasil
são equipamentos protegidos por aplicações de controle e se destinam
exclusivamente ao uso profissional e sua utilização deve ser aprovada pelo
gestor de cada área para fins específicos de cada função.
É responsabilidade do colaborador, no caso de furto ou roubo de um
dispositivo endpoint fornecido pelo Grupo AlmavivA do Brasil, comunicar
imediatamente seu gestor direto.. O colaborador também deve procurar a
ajuda das autoridades policiais registrando, imediatamente, um boletim de
ocorrência (BO) relativo ao evento.
O colaborador toma ciência, nesta política, de que o uso indevido do
Dispositivo Endpoint fornecido pelo Grupo AlmavivA do Brasil, caracterizará
que ele está assumindo todos os riscos da sua má utilização, sendo este o
único responsável por quaisquer danos, diretos ou indiretos, presentes ou
futuros, que venham a causar ao Grupo AlmavivA do Brasil e/ou a terceiros.
A disponibilização de notebook para o colaborador como ferramenta de
trabalho para uso contínuo pressupõe que o colaborador não utilizará seu
equipamento pessoal, valendo-se de uma única máquina para uso
profissional.
 SISTEMA DE GESTÃO Página 10 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

No ato da entrega de qualquer dispositivo, o colaborador deverá assinar o

Termo de Responsabilidade.
É expressamente proibido o uso dos dispositivos endpoint da AlmavivA
para fins ilícitos, contra os costumes não condizentes com o trabalho e a
missão da empresa, incluindo, mas não se limitando, a:
Criação de perfil ou e-mail falso;
Publicação em redes sociais ou envio de e-mail para fins de difamação e
ofensas;
▪ Pirataria;
▪ Pornografia;
▪ Pedofilia;
▪ Concorrência desleal;
▪ Outros.
Observação: O Grupo AlmavivA do Brasil, na qualidade de proprietário dos
equipamentos fornecidos, reserva-se no direito de monitorá-los e
inspecioná-los, a qualquer tempo, de forma que não deve existir qualquer
expectativa de privacidade.
Dispositivos Endpoint Pessoais
Entendem-se como dispositivos pessoais, todo recurso tecnológico
adquirido pelo próprio colaborador para fins pessoais como, por exemplo,
celular, notebook, tablet e outros.
O Grupo AlmavivA do Brasil permite o uso de dispositivos pessoais desde
que não interfira na carga horária, na qualidade e eficiência esperada pela
empresa, atendendo às orientações e regras a seguir:
▪ Não é permitido extrair fotos e vídeos das dependências da empresa
que identifiquem pessoas sem o respectivo consentimento desta,
informações, bem como extrair obras sem autorização e quaisquer
equipamentos da empresa;
▪ Notebooks, celulares e tablets pessoais não devem ser conectados à
rede da empresa, sendo seu uso permitido, apenas com recursos de
acesso pertencentes ao próprio colaborador. Informações corporativas
não podem ser armazenadas em dispositivos pessoais;
Observação: As exceções devem ser tratadas por cada gestor de área e
aprovados pela área de Segurança da Informação.
O Grupo AlmavivA do Brasil não se responsabiliza pela segurança e
manutenção de qualquer recurso pessoal, sendo de inteira responsabilidade
 SISTEMA DE GESTÃO Página 11 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

do colaborador, sua guarda e manuseio. Mais informações estão descritas

no Termo de Adesão ao Trabalho Remoto.

6.3 GESTÃO DE ATIVOS DE INFORMAÇÃO

As diretrizes relacionadas aos ativos de TI estão estabelecidas no

documento Política de Gestão de Ativos de Informação e Associados. Este
documento determina dentre outras coisas informações sobre:
▪ Inventário dos ativos de informação e associados: determinação de
como são realizados e periodicidade dos inventários;
▪ Proprietário dos ativos: designação das responsabilidades dos
proprietários dos ativos;
▪ Uso aceitável dos ativos: estabelecimento de regras para o uso
aceitável das informações, dos ativos associados com informação, e os
recursos de processamento da informação devem ser identificados,
documentados e implementados;
▪ Devolução de ativos: definição das regras de devolução de ativos da
organização que estejam sob posse dos colaboradores e partes
externas, após o encerramento de suas atividades, do contrato ou
acordo.

6.4 CLASSIFICAÇÃO DA INFORMAÇÃO

O processo de classificação da informação estabelecido pela AlmavivA tem

o objetivo de proteger a informação contra a revelação. Para isso, todo e
qualquer tipo de informação criada e/ou armazenada dentro das instalações
da empresa deverá ser classificada por uma das seguintes opções:
• Pública: São informações com conteúdo público para pessoas que
trabalham interna ou externamente à empresa.
• Interna: São informações relacionadas normalmente com a organização
interna da empresa e que, caso reveladas para pessoas que não mantém
vínculo com a mesma, ou que não tenham acordo de confidencialidade,
podem expor sua importância e estimular eventuais fraudes.
 SISTEMA DE GESTÃO Página 12 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

• Restrita: São informações de importância especial para a empresa,

relacionadas normalmente com uma área ou um processo e que, caso
reveladas para pessoas que não mantém vínculo com o assunto, ou que
não tenham acordo de confidencialidade, podem expor sua importância e
estimular eventuais prejuízos para a empresa.
• Confidencial: São informações de importância crucial para os objetivos
da empresa, podendo versar sobre assuntos variados, como política
empresarial, chaves privativas dos clientes, implementação de novos
produtos. Sua revelação prematura, ou indesejada, pode trazer sérios
problemas para a administração da empresa, gerando graves prejuízos
financeiros e a perda de participação ou competitividade no mercado.
Na Política de Classificação da Informação estão estabelecidas as formas
de controle das informações para cada um dos critérios definidos pela
organização.

6.5 GESTÃO DE INCIDENTES

É dever de todos notificar quaisquer fragilidades de segurança da informação,

observada ou suspeita nos sistemas ou serviços do Grupo AlmavivA do Brasil.
As diretrizes estão definidas na Política de Gestão de Incidentes.
 SISTEMA DE GESTÃO Página 13 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

6.6 PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS

A AlmavivA disponibiliza ferramentas para proteção dos seus ativos/serviços

de informação e recursos computacionais, incluindo estações de usuários,
dispositivos móveis e servidores corporativos, contra ameaças e códigos
maliciosos tais como vírus, cavalos de tróia, worms, ferramentas de captura
de tela e dados digitados, softwares de propaganda e similares.
Apenas a ferramenta disponibilizada pela empresa deve ser utilizada na
proteção contra códigos maliciosos.
Mesmo com a existência de ferramentas para proteção contra códigos
maliciosos, os usuários da AlmavivA devem adotar um comportamento
seguro, reduzindo a probabilidade de infecção ou propagação de códigos
maliciosos.
Os usuários devem seguir as seguintes regras para proteção contra códigos
maliciosos:
▪ Não tentar efetuar o tratamento e correção de códigos maliciosos por
iniciativa própria;
▪ Reportar imediatamente a área de tecnologias da informação qualquer
infecção ou suspeita de infecção por código malicioso;
▪ Não desenvolver, testar ou armazenar qualquer parte de um código
malicioso de qualquer tipo, a menos que expressamente autorizado;
▪ Efetuar uma varredura com a ferramenta de proteção contra códigos
maliciosos fornecida pela empresa antes de utilizar arquivos
armazenados em mídias removíveis, baixados da internet ou recebidos
nos serviços de e-mail ou comunicadores instantâneos;
▪ Não habilitar macros para arquivos recebidos de fontes suspeitas,
baixados da internet ou recebidos nos serviços de e-mail ou
comunicadores instantâneos. Caso necessário, poderá ser solicitado o
apoio da equipe de segurança da informação para validar se o arquivo
representa ou não uma ameaça.
 SISTEMA DE GESTÃO Página 14 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

6.7 GESTÃO DE ACESSO

A AlmavivA estabelece diretrizes na Política de Segurança Lógica relacionadas

a:
▪ Controle de acesso: tem o intuito de limitar o acesso à informação e aos
recursos de processamento da informação;
▪ Acesso às redes e aos serviços de rede: os usuários devem somente
receber acesso às redes e aos serviços de rede que tenham sido
especificamente autorizados a usar.
▪ Gerenciamento de acesso do usuário: processo formal para
cancelamentos, provisionamento de acessos temporários e análise crítica
dos direitos de acesso do usuário;
▪ Senhas: a utilização de senhas de acesso AlmavivA obedece a padrões de
complexidade e não podem ser reutilizadas. Quaisquer dúvidas devem ser
endereçadas ao e-mail sip@almavivadobrasil.com.br.

6.8 CONSCIENTIZAÇÃO

A AlmavivA possui programa de comunicados e treinamentos para todos os

colaboradores e partes interessadas apropriadas.
Compete a todos:
▪ Ler os comunicados encaminhados via e-mail;
▪ Realizar os treinamentos disponibilizados;
▪ Ler as políticas e procedimentos divulgados.

6.9 TRABALHO REMOTO

A equipe de Segurança da Informação e Privacidade reuniu algumas boas

práticas relacionadas ao trabalho remoto e à segurança da informação no
Guia de Boas Práticas de Trabalho Remoto.

6.10 GESTÃO DE TERCEIROS

Todos os terceiros devem se comprometer a agir de acordo com a Política

de Segurança da Informação e a Política de Privacidade, sendo
imprescindível que o contrato firmado entre as empresas possua cláusulas
 SISTEMA DE GESTÃO Página 15 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

que assegurem a confidencialidade das informações e a adesão à Política

de Segurança da Informação e a de Privacidade.
Os fornecedores precisam ser analisados de acordo com o grau de
criticidade em relação a confidencialidade, integridade e disponibilidade das
informações.
Antes da contratação deverá ser feito uma análise crítica de acordo com a
confidencialidade das informações (Análise de mercado / Certificações /
Referenciais).
O terceiro deve cumprir o compromisso firmado em termo de
confidencialidade e utilizar recursos para proteger a transmissão de
informações, mediante aprovação da área de Segurança da Informação e
Privacidade (SIP), e acompanhamento do gestor do contrato.
Ao findar o período do contrato é de responsabilidade do Gestor do contrato
comunicar as áreas envolvidas para garantir um término seguro, ou seja,
com o desprovimento dos direitos de acesso, devolução dos ativos,
eliminação segura das informações e demais requisitos que se fizerem
necessário.
É dever de todos os gestores de contrato apoiarem a área de Segurança da
Informação e Privacidade no que tange ao cumprimento das cláusulas
contratuais e no comprometimento dos terceiros sob sua gestão em relação
a Política de Segurança da Informação e Privacidade.

I. CONTROLE DE ACESSO A AMBIENTES OU SISTEMAS NA

ALMAVIVA

Antes do início da prestação do serviço, caso o fornecedor precise de acesso a

ambientes ou sistemas da Almaviva, é necessário:
▪ Apresentar NDA assinado ao time de SI para solicitação do DA (De Acordo)
de liberação do acesso à VPN e,
▪ Criar contas nominais para cada pessoa (limitando ao mínimo de
credencias) e, informar os emails dos usuários associados ao fornecedor.
▪ Renovar a solicitação das credenciais a cada 3 meses, se o prazo do
serviço ultrapassar tal período.
▪ Respeitar a ativação do MFA (múltiplo fato de autenticação) na ativação de
contas de VPN.
 SISTEMA DE GESTÃO Página 16 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

▪ Informar os servidores/ aplicativos alvos do destino, sendo que não é

permitido o acesso total a rede corporativa do Grupo Almaviva.

6.11 SEGURANÇA DA INFORMAÇÃO EM PROJETOS

A área de segurança da informação e privacidade deverá ser envolvida em

todos os projetos da AlmavivA. Sua participação é necessária para realizar
avaliações de riscos de segurança da informação e privacidade, desde o
momento da concepção do projeto até o seu final. Todos os requisitos de
segurança da informação e privacidade, de negócio e as soluções
elaboradas devem ser devidamente documentada.

6.12 DESENVOLVIMENTO SEGURO

Os requisitos de segurança da informação e privacidade devem ser aplicados

em todo desenvolvimento, aquisição, manutenção e atualização de softwares,
sistemas e aplicativos a fim de garantir que a segurança da informação e
privacidade esteja projetada e implementada no desenvolvimento de todo ciclo
de vida dos sistemas de informação da AlmavivA.

6.13 CONTROLE DE SOFTWARE

Devem ser utilizados apenas softwares licenciados e homologados pela

AlmavivA.
Quaisquer atualizações dos softwares seja “free”, “share” ou licenciados,
para o Usuário Final, só podem ser executados e autorizados pela área de
Gestão de TI.
As atualizações dos Sistemas Operacionais e demais softwares da Microsoft,
são obrigatórias e disponibilizadas pela área de Gestão de TI
A Equipe de segurança da informação deve ser envolvida na avaliação de
aquisição ou utilização ou mudanças em softwares críticos que afetem a
operação.
 SISTEMA DE GESTÃO Página 17 de 17
DE SEGURANÇA DA INFORMAÇÃO
E PRIVACIDADE (SGSIP) PSI-001

Título: Política de Segurança da Informação - Interna Revisão: 01

Data de Emissão: 06/07/2023 Classificação: Interna

6.14 RISCOS

Os riscos mapeados de segurança da informação e privacidade devem ser

analisados, identificados, classificados, tratados e priorizados de acordo com os
critérios de avaliação de riscos e objetivos definidos pelas empresas. A
Segurança da Informação possui Política de Gestão de Riscos de Segurança da
Informação e Privacidade.
É dever de todos que identificarem algum risco ou vulnerabilidade em
sistemas informar a área de Segurança da Informação e Privacidade.

7 DISPOSIÇÕES FINAIS

Qualquer necessidade de ação em desacordo com as regras estabelecidas na

Política de Segurança da Informação, na Política de Privacidade e suas
políticas complementares devem ser direcionadas à Segurança da Informação
para análise do risco, seu registro, e envio para a apreciação pela alçada
competente e/ou Comitê de Segurança da Informação e Privacidade.
O colaborador que fizer uso indevido ou não autorizado dos recursos das
empresas, violar controle de segurança, ou de qualquer modo agir em
desacordo com os termos dessa política, fica sujeito à aplicação de medidas
disciplinares legalmente previstas, podendo haver responsabilização penal, civil
e/ou administrativa, na forma da legislação em vigor.