Política de Segurança da Informação.

Nosso compromisso com a proteção dos seus dados

O Grupo Brisanet reconhece a informação como um ativo estratégico vital para a continuidade dos negócios e a proteção dos dados de clientes, colaboradores, parceiros e demais partes interessadas. Para tanto, estabelece diretrizes, responsabilidades e controles que assegurem a confidencialidade, integridade e disponibilidade das informações, em todos os seus formatos e suportes, sejam eles físicos ou digitais.

Esta Política de Segurança da Informação foi desenvolvida com base em normas nacionais e internacionais de boas práticas, requisitos legais aplicáveis e um compromisso constante com a melhoria dos processos de cibersegurança. Ela orienta a atuação de todos os colaboradores e parceiros no uso adequado dos ativos informacionais e no tratamento de dados sensíveis, em conformidade com as legislações vigentes.

Termos e conceitos essenciais

Alta Administração

São os membros do Conselho de Administração, dos Comitês de Assessoramento e da Diretoria Executiva, Diretores que se reportam diretamente ao Diretor-Presidente do Grupo Brisanet.

Colaborador

Inclui, individualmente ou de forma conjunta, todo e qualquer empregado, jovem aprendiz, estagiário, diretor, administrador ou conselheiro, que de qualquer forma atue em nome do Grupo Brisanet.

Incidente de Segurança da Informação

Evento que indica violação da política de segurança, falha nos controles ou situação desconhecida relevante para a segurança.

Disponibilidade

Garantia de que informações, recursos ou sistemas estejam disponíveis e acessíveis para usuários autorizados sempre que necessário, assegurando a continuidade das operações e o acesso oportuno aos dados.

Autenticidade

Garantia de que um usuário, sistema ou transação é realmente quem afirma ser, sem possibilidade de falsificação.

Integridade

Garantia de que as informações são precisas, completas e protegidas contra modificações não autorizadas.

Ativo

Bens, recursos e informações que geram valor econômico direto ou indireto para uma organização ou indivíduo.

Confidencialidade

Propriedade da informação que restringe o acesso somente a partes autorizadas e devidamente identificadas.

O que queremos alcançar

Nossa Política de Segurança da Informação busca alcançar objetivos claros para proteger nossas informações, sendo eles:

Governança e Conformidade

Estabelecer e comunicar claramente as responsabilidades de todos os envolvidos no tratamento e na proteção das informações e dados pessoais, promovendo uma cultura organizacional de segurança e privacidade.
Assegurar o cumprimento de todas as leis, regulamentações e obrigações contratuais vigentes, com especial atenção à Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normativos relacionados à proteção de dados.
Garantir que o tratamento de dados pessoais esteja sempre fundamentado em bases legais apropriadas, com respeito aos direitos dos titulares de dados e aos princípios de necessidade e minimização.

Conscientização e Continuidade

Apoiar a continuidade dos negócios por meio da integração de práticas de segurança robustas em todos os processos da organização.
Promover treinamento e conscientização contínua sobre a importância da segurança da informação em todos os níveis da organização.

Proteção dos Ativos de Informação

Proteger os ativos de informação e os dados pessoais tratados pela organização contra acessos não autorizados, alterações indevidas, destruição e indisponibilidade.
Prevenir, detectar, responder e notificar adequadamente, quando aplicável, incidentes de segurança e de proteção de dados, conforme exigido pela legislação aplicável.

Para quem e onde esta política se aplica

Esta política estabelece diretrizes que devem ser seguidas pelos seguintes públicos e recursos:

Colaboradores

Todos os colaboradores, independentemente do nível hierárquico ou forma de contratação.

Unidades e Instalações

Todas as unidades de negócio e instalações da organização.

Terceiros e Parceiros

Prestadores de serviço, consultores, parceiros, fornecedores e quaisquer terceiros com acesso às informações ou à infraestrutura do Grupo Brisanet.

Ativos e Recursos Tecnológicos

Todos os ativos de informação e recursos tecnológicos da organização, incluindo dados, sistemas, aplicativos, dispositivos, plataformas e redes de computadores.

Princípios e diretrizes essenciais

Governança da Informação

Classificação da Informação: As informações, incluindo dados pessoais e dados pessoais sensíveis, são classificadas com base em seu grau de sensibilidade e o impacto potencial de sua divulgação, alteração ou perda, e são tratadas de acordo com seu nível de criticidade.

Gestão de Ativos: Todos os ativos de informação, incluindo hardware, software, documentos e dados, são devidamente inventariados, monitorados e protegidos de acordo com seu valor e nível de sensibilidade.

Retenção e Descarte da Informação: O Grupo Brisanet aplica critérios de retenção baseados em requisitos legais e regulatórios (como LGPD e ANPD respectivamente), com procedimentos claros para o descarte seguro de documentos físicos e digitais, observando os princípios da necessidade e minimização.

Dados e Privacidade

Privacidade e Proteção de Dados Pessoais: A organização está comprometida com a proteção da privacidade e o tratamento adequado de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e demais regulamentações vigentes. As informações detalhadas sobre o tratamento de dados, os direitos dos titulares e os canais oficiais estão disponíveis em nosso Portal de Privacidade juntamente com a nossa Política de Privacidade e os contatos do DPO.

Uso de IA (Inteligência Artificial): Uso ético e seguro de soluções baseadas em IA, com ênfase em transparência algorítmica, proteção de dados pessoais e confidenciais, e mitigação de riscos de vazamento.

Segurança Operacional

Controle de Acessos: Os acessos aos ativos de informação são concedidos com base no princípio do menor privilégio (privilégio mínimo) com autenticação robusta, autorização adequada e rastreabilidade de todas as ações.

Segurança Física: As instalações e os ambientes críticos são protegidos contra acessos físicos não autorizados.

Norma de Backup e Recuperação de Dados: Diretrizes para a realização de backups regulares e seguros de dados corporativos, com processos de retenção, criptografia, testes periódicos de restauração e responsabilidade clara entre áreas.

Cloud/Serviços de Nuvem: A organização define critérios para contratação e o uso seguro de serviços em nuvem, incluindo criptografia de dados, múltiplos fatores de autenticação, controle de acesso, e aderência a políticas e normas internas de segurança. Quando envolverem dados pessoais, tais serviços devem assegurar garantias contratuais e jurídicas adequadas, em conformidade com a Lei Geral de Proteção de Dados (LGPD), incluindo cláusulas que estabeleçam: responsabilidade pelo tratamento e proteção de dados; medidas técnicas e organizacionais adotadas pelo fornecedor; as condições de eventual transferência internacional de dados, assegurando o atendimento aos requisitos legais e regulatórios aplicáveis.

Sistemas e Desenvolvimento

Gestão de Mudanças de Sistemas e Tecnologias: Aplicada a análise de impacto, plano de retorno e aprovação formal prévia para toda e qualquer mudança que envolva sistemas críticos, infraestrutura ou tecnologias estratégicas.

Desenvolvimento Seguro de Aplicativos: Boas práticas de segurança no ciclo de desenvolvimento de software, incluindo revisão de código, controle de versões, testes de vulnerabilidade e segregação de ambientes.

Comunicação e Treinamento

Comunicação institucional: Toda comunicação institucional, interna ou externa, segue padrões seguros, padronizados e alinhados à política de segurança da informação, especialmente no tratamento de informações sensíveis.

Uso de E-mail e Comunicação Instantânea: Uso responsável, seguro e monitorado dos meios de comunicação corporativos, com ênfase no e-mail.

Treinamento e Conscientização: Colaboradores e parceiros recebem treinamento e orientações periódicas sobre boas práticas de segurança da informação, riscos, proteção de dados, privacidade e suas responsabilidades.

Incidentes e Riscos

Gestão de Incidentes de Segurança: A organização possui processos e mecanismos eficazes para identificar, comunicar, registrar, analisar e responder a eventos e incidentes de segurança da informação.

Continuidade de Negócios: A segurança da informação é parte integrante dos planos de continuidade de negócios e recuperação de desastres da organização.

Segurança de Fornecedores: Os contratos com fornecedores incluem cláusulas que garantem a proteção das informações compartilhadas ou acessadas, incluindo cláusulas específicas sobre proteção de dados pessoais, conforme a LGPD. Além disso, devem prever cláusulas de segurança obrigatórias nos processos de homologação e contratação, contemplando a avaliação de requisitos técnicos, controles de acesso e práticas de proteção adotadas pelos fornecedores.

Papéis e atribuições

A área de TI e Cibersegurança do Grupo Brisanet lidera a implementação, monitoramento, manutenção e evolução contínua da Política de Segurança da Informação. Nosso compromisso é garantir que as diretrizes, controles e procedimentos sejam aplicados, promovendo treinamentos, avaliações periódicas e uma constante atualização das práticas, sempre alinhadas às exigências regulatórias e às necessidades do nosso negócio.

A segurança da informação é uma responsabilidade compartilhada. Da alta administração ao usuário final, cada um no Grupo Brisanet tem um papel específico no cumprimento e na promoção desta Política, fortalecendo nossa defesa coletiva.

Comunicação de incidentes e alertas

Em caso de incidentes de segurança que afetem nossos serviços ou infraestrutura, o Grupo Brisanet realizará a notificação à ANATEL seguindo os critérios regulatórios. Informaremos sobre o incidente, seu impacto, ações de contenção e planos de recuperação.

Adicionalmente, comunicaremos usuários e prestadoras, quando aplicável, com base na necessidade e escopo do incidente, gravidade, impactos e diretrizes da ANATEL e do Grupo de Trabalho de Cibersegurança (GT-Ciber).

Um homem com barba, vestindo uma blusa laranja, aponta o dedo indicador para cima. Ícones de um balão de fala, um fone de ouvido e um triângulo de aviso aparecem ao redor dele.

Ações em caso de violação

O descumprimento das disposições da Política de Segurança da Informação resultará em medidas disciplinares cabíveis, conforme nossas normas internas. Ações civis, administrativas e penais também poderão ser aplicadas, em conformidade com a legislação vigente.

Quer saber mais? O conteúdo completo da Política de Segurança da Informação está disponível para consulta interna pelos canais oficiais do Grupo Brisanet. Sua informação é nossa segurança!

Nossos Canais de Atendimento

Em caso de qualquer dúvida com relação às disposições desta Política de Segurança da Informação, você poderá entrar em contato por meio dos nossos canais de atendimento.

Canal de Ética

O Canal de Ética é um meio seguro e confidencial para reportar qualquer conduta que viole os normativos internos ou externos da Companhia ou que comprometa a sua integridade. O contato pode ser feito por:

• Site: https://www.brisanet.com.br/canaldeetica

• Telefone:

0800 517 1051

Qualquer descumprimento desta Política está sujeito à aplicação da Política de Consequências, no caso de colaboradores, ou à suspensão do contrato de fornecimento de bens ou serviços, no caso de terceiros, sem prejuízo da adoção de medidas cabíveis nas esferas administrativa, cível e/ou criminal.

Canal de Segurança da Informação

Se você identificou alguma vulnerabilidade, ameaça ou possui dúvidas relacionadas à Segurança da Informação no Grupo Brisanet, entre em contato diretamente com nossa Equipe de Resposta a Incidentes de Segurança (CSIRT).

• Site: https://www.brisanet.com.br/seguranca

• Email:

csirt@grupobrisanet.com.br

Este canal também serve como um ponto de contato direto para esclarecimentos, sugestões ou informações detalhadas sobre nossa Política de Segurança da Informação.

Canal de Privacidade (LGPD)

Dúvidas, solicitações ou demandas relacionadas aos seus dados pessoais podem ser tratadas diretamente pelo nosso canal de privacidade. Entre em contato pelo nosso e-mail dedicado à Lei Geral de Proteção de Dados (LGPD):

• Email:

lgpd@grupobrisanet.com.br

O canal de privacidade está disponível para que você exerça seus direitos como titular de dados, permitindo solicitar acesso, correção, anonimização ou exclusão de suas informações, conforme previsto na LGPD.