PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

Sumário

1. Quadro de revisões...............................................................................................................................................

2. Objetivos...............................................................................................................................................................

3. Documentos de Referência...................................................................................................................................

4. Abrangência..........................................................................................................................................................

5. Diretrizes Gerais...................................................................................................................................................

6. Classificação da Informação................................................................................................................................

7. Ciclo de Vida da Informação................................................................................................................................

8. Tratamento da Informação...................................................................................................................................

9. Manuseio da Informação – Diretrizes Gerais......................................................................................................

10. Descarte da Informação...................................................................................................................................

11. Reclassificação.................................................................................................................................................

12. Contratos..........................................................................................................................................................

13. Responsabilidades............................................................................................................................................

13.1 Segurança da Informação.................................................................................................................................

13.2 Gestor da Informação.......................................................................................................................................

13.3 Gestores, Gerentes e Supervisores...................................................................................................................

13.4 Colaboradores..................................................................................................................................................

14. Sanções.............................................................................................................................................................

ANEXO I – PROCEDIMENTO PARA A CLASSIFICAÇÃO E TRATAMENTO DA INFORMAÇÃO.........................

Revisão 2.0 www.neogrid.com 1

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

1. Quadro de revisões

Versão Data Resumo da alteração Motivo Autores

Estabelecer procedimento
Criação do procedimento para a rotulagem,
• Pablo Cardoso;
1.0 12/01/2021 – anexo 1. transmissão e
• Patrícia Leonardelli.
armazenamento da
informação

• PG Advogados
Atualização das regras Compliance com Normas
• Comitê de Segurança da
2.0 23/04/2021 para classificação da ABNT NBR ISO/IEC
Informação & Proteção de
informação da Neogrid. 27001 e 27002.
Dados

2. Objetivos

Este documento estabelece as regras e restrições para classificação e tratamento da informação de propriedade
ou sob a responsabilidade da Neogrid.

3. Documentos de Referência

ABNT NBR ISO/IEC 27001:2013: Norma que estabelece os requisitos do Sistema de Gerenciamento de
Segurança da Informação (Information Security Management System – ISMS).

ABNT NBR ISO/IEC 27002:2013: Código de prática para controles de segurança da informação, que descreve
os controles e objetivos referentes às boas práticas de controle de segurança da informação.

POL-TEC-001 Política de Segurança da Informação: Política que formaliza as diretrizes de Segurança da

Informação da Neogrid que visam a proteção das informações com eficiência e eficácia, de modo seguro e
transparente.

4. Abrangência

Este procedimento é um documento interno, com valor jurídico e aplicabilidade imediata e indistinta, a partir da
sua publicação, aos dirigentes, colaboradores, parceiros e fornecedores da Neogrid.

5. Diretrizes Gerais

A classificação da informação consiste na atribuição do nível de sigilo e a indicação de seu respectivo rótulo
pelo Gestor da Informação para determinar quais os controles devem ser aplicados para preservar a informação.

Revisão 2.0 www.neogrid.com 2

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

A classificação da informação na Neogrid deve ser realizada considerando:

 A importância, a criticidade, a sensibilidade e a relevância da informação para as atividades da Neogrid;
 Os requisitos legais e as políticas/procedimentos vigentes da Neogrid;
 A necessidade de sigilo para a Neogrid, de modo a preservar a agilidade dos processos e a otimização dos
investimentos em controles de proteção;
 A análise de riscos e potenciais impactos para as atividades da Neogrid, caso a informação seja acessada,
divulgada, modificada ou excluída de forma indevida.

Com vistas a reduzir a aplicação de medidas e controles de segurança desnecessários, despesas adicionais ou impactos
operacionais nas atividades da Neogrid, não se deve classificar a informação de maneira mais restritiva do que é
necessário.

As informações de propriedade ou sob a responsabilidade da Neogrid devem ser imediatamente classificadas pelo
Gestor da Informação no momento em que são geradas, adquiridas, processadas ou armazenadas, para assegurar que
recebam tratamento e proteção adequados com controles compatíveis em todo o seu ciclo de vida.

Gestor da informação é o colaborador responsável pela informação. No âmbito da Neogrid, o gestor ou gerente de
cada área fica designado como gestor das informações relativas ao trabalho da área sob sua responsabilidade.
O acesso às informações da Neogrid deve estar condicionado à necessidade de conhecimento do colaborador para a
estrita realização de suas atividades profissionais.

A interpretação da classificação e o tratamento da informação de terceiros, fornecedores e parceiros comerciais deve

ser realizada atendendo ao fixado nos contratos, termos de confidencialidade ou acordos estabelecidos com a Neogrid.

6. Classificação da Informação

Todas as Áreas da Neogrid devem classificar as informações geradas, adquiridas, processadas ou armazenadas no
desenvolvimento de suas atividades, por meio dos Gestores da Informação.

Todo documento classificado deve apresentar, de forma visível e clara, qual o nível de classificação da informação
contida no documento.

A classificação da informação deve ser realizada com base nos seguintes níveis de sigilo:

 PÚBLICA: Informação disponibilizada ao público em geral, ou seja, que pode ou deve ser de conhecimento
público, sem restrição ou controle de acesso, por exemplo: serviços prestados , produtos ofertados pela
Neogrid ou Guia de Atendimento. Sua divulgação não causa qualquer dano à Neogrid. Somente o Gestor da
respectiva Área pode classificar uma informação como PÚBLICA.
 INTERNA: Informação disponibilizada somente ao público interno, mediante gerenciamento de acesso. Sua
divulgação deve ser previamente aprovada e classificada. A perda de confidencialidade destas informações

Revisão 2.0 www.neogrid.com 3

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

pode causar perda de produtividade no processo operacional, perda financeira, divulgação de informações
para competidores de mercado, dentre outras.
 CONFIDENCIAL: Informação que possa ter impacto ou relação direta ao negócio e nossos clientes, de
cunho restrito, também podendo abranger dados pessoais e dados pessoais sensíveis. Deve ser mantida em
sigilo e manuseada/acessada apenas por Colaboradores autorizados. A divulgação ou acesso indevido pode
gerar impacto significativo financeiro, legal, normativo, contratual ou reputacional ao negócio como um todo
ou alguns de seus processos.
 SECRETA: Informação que possa ter impacto na estratégia da Neogrid e em interesses dos acionistas, de
cunho altamente restrito. Informação que deve ser mantida em sigilo e manuseada/acessada apenas por
Colaboradores autorizados. A preservação da confidencialidade desta informação é vital, de modo que sua
divulgação ou acesso indevido também pode gerar um gravíssimo impacto sobre os objetivos estratégicos de
longo prazo, ou coloca a sobrevivência da organização em risco.

As informações protegidas por legislações específicas, tais como sigilos bancário, fiscal, comercial, profissional e
segredo de justiça, da mesma forma que ocorre em relação aos dados pessoais devem ser tratadas conforme
disciplinado na respectiva legislação.

Todas as informações da Neogrid devem ser rotuladas de acordo com o seu nível de sigilo, independente de se
encontrarem em formato físico ou digital (ex. CONFIDENCIAL). Quando ainda não houver a rotulagem da
informação, o colaborador deve tratá-la como INTERNA e imediatamente acionar o Gestor da Informação para
confirmar sua categorização, como já explicito na Política de Segurança da Informação.
Qualquer sistema que permita a saída de informações da Neogrid deve ter um rótulo apropriado de classificação.
Os Colaboradores têm o dever de assegurar a proteção das informações que tiverem contato contra perda, acesso,
alteração ou divulgação não autorizada, de acordo com a sua classificação, além de não as utilizar para obtenção de
vantagens para si ou outrem.

A classificação de um grupo de informações deve ser a mesma atribuída à informação classificada com o nível mais
alto de sigilo.

Quando a informação pertencer a terceiros e a Neogrid desempenhar o papel de custodiante, a classificação da

informação e os requisitos e controles que serão aplicados para proteção devem ser informados pelo terceiro e
formalizados em instrumento específico.

7. Ciclo de Vida da Informação

O tratamento de uma informação classificada deve ser seguido pelos colaboradores da Neogrid durante todas as etapas
do ciclo de vida da informação, a saber:
a) Criação, aquisição e recebimento;
b) Registro, acesso, tramitação, transporte, compartilhamento, distribuição, destinação e demais formas de
utilização;
c) Cópia, impressão e demais formas de reprodução;
d) Transmissão via correio eletrônico, telefonia, voz, vídeo ou quaisquer outros meios de comunicação;

Revisão 2.0 www.neogrid.com 4

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

e) Guarda, arquivamento e armazenamento;

f) Descarte e eliminação.

8. Tratamento da Informação

O tratamento de informação classificada como SECRETA, CONFIDENCIAL ou INTERNA deve atender, no

mínimo, aos seguintes requisitos:

a) Rotular SECRETA, CONFIDENCIAL ou INTERNA em todas as páginas, nas capas e cópias, se houver, de
forma que não comprometa a leitura ou compreensão do documento e que possibilite sua eventual
reprodução;
b) Incluir advertência sobre restrição de acesso;
c) Incluir o responsável pela Classificação (nome do Gestor da Informação ou Área de Negócio);
d) Identificar Colaboradores, Áreas de Negócio ou Terceiros autorizados de acesso;
e) Identificar numeração e total em cada página;
f) Autorizar acesso apenas aos Colaboradores, Áreas de Negócio ou Terceiros que necessitem para o
desenvolvimento da atividade profissional para a Neogrid;
g) Aplicar medidas de proteção lógica e física que assegurem o acesso exclusivo as pessoas autorizadas.

A Área Responsável pela Gestão da Informação pode classificar uma informação como PÚBLICA ou ratificar
o que será divulgado pela Neogrid como sendo pública em materiais de divulgação, promocionais ou
institucionais, contando com o apoio da área de Marketing, Jurídico e Segurança da Informação

9. Manuseio da Informação – Diretrizes Gerais

As seguintes atividades quanto ao manuseio das informações encontram seu detalhamento no ANEXO I -
Procedimento para a Classificação e Tratamento da Informação:

a) Informação em suporte físico;

b) Informação em suporte digital;
c) Informação em e-mail;
d) Transmissão por Voz.

10. Descarte da Informação

O Descarte de informações deve atender os seguintes requisitos:

a) Prazo legal de retenção da informação;

b) Prazo de caducidade estipulado pelo Gestor da Informação;

Revisão 2.0 www.neogrid.com 5

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

c) O Gestor da Informação deve ser consultado antes do descarte.

As informações devem ser descartadas de forma segura, após avaliação específica, nos moldes estabelecidos no Anexo
1 e pelo PRD-TEC-045 Procedimento de Descarte Seguro, seguindo critérios de acordo com a mídia utilizada e o nível
de confidencialidade da informação.

11. Reclassificação

Informações que tiveram sua relevância ou potencial de impacto alteradas devem ser reclassificadas pelo Gestor da
Informação respectivo.

 Todos os colaboradores devem comunicar imediatamente o Gestor da Informação da inexistência ou

inconsistência na classificação de uma informação.

Compete ao Gestor da Informação ou colaborador por ele designado formalmente, alterar ou cancelar a classificação
atribuída às informações respeitando os interesses da Neogrid, quando julgar necessário.

A marcação da reclassificação das informações deve obedecer às mesmas regras da classificação.

12. Contratos

Os contratos estabelecidos com terceiros que implicarem no acesso à informação da Neogrid podem conter cláusulas
prevendo a:

 Obrigação da manutenção do sigilo das informações que tiverem acesso, do objeto do contrato e da sua
execução;
 Obrigação de adoção de medidas de segurança adequadas no âmbito de suas atividades para manutenção do
sigilo das informações que tiverem acesso;
 Devolução ou eliminação definitiva de todas as informações que estiverem em posse após a conclusão do
projeto cuja execução exigia, por meio de métodos de descarte seguro, sob pena de multa e medidas judiciais
cabíveis.

13. Responsabilidades

13.1 Segurança da Informação

 Orientar sobre a aplicação deste Procedimento e demais normativos internos relacionados às atividades de
tecnologia da informação na Neogrid;

Revisão 2.0 www.neogrid.com 6

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

 Estabelecer controles de segurança para assegurar a confidencialidade, integridade e disponibilidade

das informações armazenadas.

13.2 Gestor da Informação

 Cumprir e manter-se atualizado com este Procedimento e demais normativos internos;

 Garantir a correta classificação de documentos, dados ou informações no momento de sua criação e/ou
manuseio, bem como em necessidade de alteração;
 Primar pelo correto manuseio das informações sob sua responsabilidade de gestão e guarda;
 Classificar e reclassificar as informações sob a sua gestão;
 Zelar para que todas as informações que tiver acesso estejam classificadas;
 Gerenciar os direitos de acesso à informação sob sua responsabilidade;
 Responsabilizar-se pelas atividades delegadas aos colaboradores que estão sob sua responsabilidade;

13.3 Gestores, Gerentes e Supervisores

 Garantir e gerenciar o cumprimento deste Procedimento e demais normativos internos pelos seus
colaboradores;
 Identificar violações ou eventual ação em desconformidade às regras de retenção e de descarte de informações
praticada por pessoa no uso da informação ou sistemas e comunicar à Segurança da Informação.
 Garantir que os contratos celebrados com terceiros possuam cláusulas que preservem a segurança e a proteção
das informações da Neogrid;
 Garantir que o acesso ou o manuseio das informações da Neogrid sejam desempenhados mediante vigência de
Acordo de Confidencialidade com as empresas contratadas.

13.4 Colaboradores

 Cumprir, estar ciente e manter-se atualizado com este Procedimento e demais normativos internos.

14. Sanções

Qualquer atividade de desrespeite as disposições estabelecidos neste Procedimento ou em quaisquer

documentos complementares da Neogrid sujeitará os envolvidos às medidas disciplinares conforme
determinadas na POL-TEC-001 Política de Segurança da Informação.

Revisão 2.0 www.neogrid.com 7

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

ANEXO I – PROCEDIMENTO PARA A CLASSIFICAÇÃO E TRATAMENTO DA

INFORMAÇÃO

A) Rotulagem
Para a rotulagem de documentos digitais, impressos, e-mails e informações transmitidas verbalmente convém
que o colaborador adote as diretrizes da tabela a seguir.

Público Interno1 Confidencial Secreta

Quando
Utilizar o
rotulado, utilizar
recurso de Utilizar o recurso de Utilizar o recurso de
E-mail o recurso de
rotulagem do rotulagem do Outlook. rotulagem do Outlook.
rotulagem do
Outlook.
Outlook.

O rótulo Utilizar recurso de

Quando rotulado Utilizar recurso de rotulagem
deve estar no rotulagem do pacote
Documentos o rótulo deve do pacote Office, e em todas
rodapé no Office, e em todas as
eletrônicos estar no rodapé as páginas como marca d
canto páginas como marca d
a esquerda. ´água na diagonal.
esquerdo. ´água na diagonal.

O rótulo deve estar no

O rótulo O rótulo deve estar no
Quando rotulado cabeçalho do
deve estar no cabeçalho do documento a
Documentos o rótulo deve documento a esquerda
rodapé no esquerda e como marca d
em papel estar no rodapé e como marca d´água
canto ´água na diagonal em todas
a esquerda. na diagonal em todas
esquerdo. as páginas.
as páginas.

Deve ser informado na

Informado abertura da reunião Deve ser informado na
Informação após o fim da antes do início das abertura da reunião antes do
Sem requisitos
transmitida reunião ou discussões ou início das discussões ou
específicos.
verbalmente assunto antecedendo o assunto antecedendo o assunto
tratado. classificado em classificado em questão.
questão.

B) Transmissão
O colaborador deve ter cautela ao repassar ou transmitir informações corporativas para outras pessoas, seja de
forma presencial, por telefone, aplicativos de comunicação instantânea, mensagens eletrônicas, mídias sociais e
outros meios.
As chamadas telefônicas consideradas suspeitas devem ser encerradas e nenhuma informação deve ser fornecida a
quem chamar.
Antes de transmitir informações SECRETAS, CONFIDENCIAIS ou INTERNAS, o colaborador deve
sempre confirmar a identidade do solicitante ou destinatário, a procedência da solicitação (inclusive se há
1
Quando não há a rotulagem da informação é subentendido que se trata de uma informação interna como já explicito na
Política de Segurança da Informação.

Revisão 2.0 www.neogrid.com 8

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

embasamento contratual), a real necessidade do compartilhamento e a necessidade de autorização de

superior hierárquico para o compartilhamento, tal qual aplicação de Criptografia conforme o caso.
Informações classificadas como SECRETAS, CONFIDENCIAIS ou INTERNAS não devem ser publicadas na
Internet e nas mídias sociais, exceto quando o compartilhamento for autorizado pelo Marketing, Jurídico e Segurança
da Informação.

Não é permitido:
a) Transmitir informações classificadas como SECRETAS OU CONFIDENCIAIS para serviços de
armazenamento na nuvem ou repositórios digitais fora da infraestrutura da Neogrid ou não homologados pela
Segurança da Informação;
b) Compartilhar informações classificadas como SECRETAS OU CONFIDENCIAIS pelos aplicativos de
comunicação instantânea não homologados pela Segurança da Informação, ou sem a aplicação adequada de
Criptografia e autorização prévia e expressa do Gestor da Informação;
c) Compartilhar informações classificadas como INTERNAS sem a autorização prévia e expressa do Gestor da
Informação ou por aplicações que não atendam aos critérios de conexão segura acima indicados.

De forma específica, também convém que para a transmissão de documentos digitais e impressos, e-mails e
informações transmitidas verbalmente o colaborador adote as diretrizes abaixo dispostas em tabela.

Público Interno Confidencial Secreta

Utilizar a opção de
Utilizar a opção de não
Utilizar a opção de não
Sem encaminhamento e
criptografia nas encaminhamento e
E-mail requisitos criptografia nas
configurações do e- criptografia nas
específicos configurações de envio do
mail. configurações do e-
e-mail.
mail.

Em canal de
comunicação
Em canal de
seguro que
comunicação seguro Em canal de comunicação
impossibilite a
que impossibilite a seguro que impossibilite a
Sem interceptação do
Documentos interceptação do interceptação do arquivo e
requisitos arquivo e mantenha
eletrônicos arquivo. E.g: Via e- mantenha o registro das
específicos o registro das
mail criptografado, atividades. E.g: Sharepoint
atividades. E.g:
Sharepoint corporativo.
Sharepoint
corporativo.
corporativo,
conexão SSL/TSL.

Documentos Sem Quando dentro do Em envelope Em envelope duplo lacrado

em papel requisitos ambiente lacrado, (sendo o externo sem
específicos corporativo sem identificado com a marcação e o interno
requisitos classificação da identificado com a
específicos, quando informação contida classificação da informação
transmitido fora das e confirmação de contida), transporte sob

Revisão 2.0 www.neogrid.com 9

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

dependências deve
ser enviado em
envelope lacrado, custódia e confirmação de
recebimento.
identificado com a recebimento.
classificação da
informação contida.

Apenas em
Apenas em
ambiente
ambiente
corporativo
corporativo Neogrid Apenas em ambiente
Neogrid ou por
ou por meio da corporativo Neogrid ou por
meio da ferramenta
ferramenta de meio da ferramenta de
de comunicação
Informação Sem comunicação interna comunicação interna E.g
interna E.g
transmitida requisitos E.g Microsoft Microsoft Teams,
Microsoft Teams,
verbalmente específicos Teams, observando observando o instruído na
observando o
o instruído na PSI PSI quanto a discussão de
instruído na PSI
quanto a discussão assuntos confidenciais em
quanto a discussão
de assuntos locais públicos.
de assuntos
confidenciais em
confidenciais em
locais públicos.
locais públicos.

C) Armazenamento
Convém que o armazenamento de documentos impressos ou digitais e e-mails siga as diretrizes abaixo
relacionadas em tabela.

A Segurança da Informação poderá decidir por encriptar todos os discos das estações de trabalho e servidores da
Neogrid conforme as necessidades da instituição. O algoritmo a ser utilizado para tal tarefa não deve ter nível de
segurança inferior a Advanced Encryption Standard (AES), com 128 bits.

Público Interno Confidencial Secreta

E-mail2 N/A N/A N/A N/A

Em rede corporativa
Em rede corporativa e
Em rede corporativa com controle de
controle de acesso
com controle de acesso compatível
compatível com a
Sem acesso compatível com a criticidade da
Documentos criticidade da informação,
requisitos com a criticidade da informação,
eletrônicos mantendo registro de
específicos informação. E.g mantendo registro de
acesso de preferência
Sharepoint acesso. E.g:
protegido com senha. E.g
corporativo. Sharepoint
Sharepoint Corporativo.
corporativo.

Sem Em local restrito e Em local restrito e Em local restrito e

Documentos
requisitos trancado, disponível trancado, trancado,
em papel
específicos apenas aos que pela preferencialmente preferencialmente em
2
A responsabilidade sobre o armazenamento dos e-mails Neogrid é do provedor de serviços do Office 365.

Revisão 2.0 www.neogrid.com 10

Classificação: Interno
PRD – TEC – 011 Procedimento de Classificação e Tratamento da Informação

natureza do trabalho
necessitem. E.g:
Relatório de folha
em armário ou armário ou gaveta com
de pagamento de
gaveta com tranca tranca em sala com acesso
funcionários apenas
em ambiente controlado em ambiente
para colaboradores
corporativo. corporativo.
de Gente e Gestão
designados para tal
atribuição.

Informação
transmitida N/A N/A N/A N/A
verbalmente

D) Reprodução da Informação
As informações SECRETAS, CONFIDENCIAIS e INTERNAS apenas podem ser reproduzidas (cópia)
mediante autorização prévia do Gestor da Informação. A reprodução deve receber a mesma proteção e
tratamento dado à informação original.

E) Descarte seguro
Convém que o descarte de informações em documentos impressos ou digitais, equipamentos e e-mails siga as
diretrizes constantes do PRO-TEC-045 Procedimento de Descarte Seguro.

Revisão 2.0 www.neogrid.com 11

Classificação: Interno