Política de Segurança da Informação | Inteegra
Segurança e confiança

Política de Segurança da Informação

A Política de Segurança da Informação (PSI) orienta e estabelece as diretrizes corporativas da Inteegra para a proteção dos ativos de informação da empresa, de nossos clientes e parceiros.

Baseada na norma ABNT NBR ISO/IEC 27002 · Versão 1.8

1. Introdução

A Política de Segurança da Informação (PSI) é o documento que orienta e estabelece as diretrizes corporativas da Inteegra para a proteção dos ativos de informação e a prevenção de responsabilidade legal, sendo cumprida e aplicada em todas as áreas da empresa.

A presente PSI é baseada nas recomendações da norma ABNT NBR ISO/IEC 27002, reconhecida mundialmente como código de prática para a gestão da segurança da informação, e está em conformidade com as leis vigentes no Brasil.

Seu objetivo é nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.

2. Nossos princípios

Todas as práticas de segurança da Inteegra visam preservar três atributos fundamentais da informação:

Integridade

Garantia de que a informação seja mantida em seu estado original, protegida contra alterações indevidas, intencionais ou acidentais, na guarda ou na transmissão.

Confidencialidade

Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Disponibilidade

Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

3. Abrangência e aplicação

As diretrizes estabelecidas na PSI devem ser seguidas por todos os colaboradores da Inteegra e prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte — físico, eletrônico ou verbal.

A responsabilidade em relação à segurança da informação é comunicada desde a fase de contratação. Todos os colaboradores assinam Termo de Compromisso e Ciência, e todos os contratos da Inteegra incluem Acordo ou Cláusula de Confidencialidade como condição imprescindível para o acesso aos ativos de informação, permanecendo o dever de sigilo mesmo após o término do vínculo.

Todos os colaboradores são orientados sobre os procedimentos de segurança e o uso correto dos ativos, por meio de treinamentos, campanhas e comunicação contínua, a fim de reduzir riscos.

4. Classificação da informação

Toda informação produzida, recebida, armazenada ou transmitida pela Inteegra, independentemente do formato ou meio, é classificada quanto ao seu grau de sensibilidade, de forma a orientar o nível de proteção, acesso, armazenamento, compartilhamento e descarte adequado:

Pública

Informação que pode ser divulgada livremente ao público externo, sem risco à Inteegra, seus colaboradores ou clientes. Exemplos: materiais de marketing, comunicados institucionais oficiais, conteúdo do site.

Interna

Informação de uso exclusivo dos colaboradores, sem risco relevante se exposta externamente, porém não destinada à divulgação pública.

Confidencial

Informação sensível cujo acesso não autorizado, alteração ou divulgação pode causar dano à Inteegra, a colaboradores, clientes ou parceiros. Exemplos: dados pessoais (conforme LGPD), contratos, informações financeiras e propostas comerciais.

Restrita

Informação crítica cujo vazamento, alteração indevida ou perda pode causar dano grave de natureza financeira, legal, regulatória ou reputacional. Exemplos: credenciais de acesso, chaves criptográficas, código-fonte proprietário e segredos de negócio.

Regras de tratamento

  • Proprietário da informação: todo ativo de informação possui um responsável (data owner) por atribuir e revisar a classificação, definir quem pode acessá-la e aprovar exceções. Na ausência de classificação explícita, a informação é tratada, por padrão, como Confidencial;
  • Rotulagem: documentos e mensagens Confidenciais ou Restritos contêm, sempre que viável, identificação visual do nível de classificação;
  • Armazenamento: informações Confidenciais e Restritas são armazenadas em repositórios com controle de acesso lógico e, quando aplicável, criptografadas em repouso. Informações Restritas exigem controles adicionais, como acesso restrito a grupo nominal e trilha de auditoria;
  • Compartilhamento e transmissão: ocorrem exclusivamente por canais criptografados e mediante verificação da real necessidade do destinatário, conforme os princípios de menor privilégio e necessidade de conhecer (need-to-know);
  • Descarte: informações Confidenciais e Restritas são descartadas de forma segura, impedindo sua reconstituição;
  • Revisão periódica: a classificação é revisada ao menos anualmente, ou sempre que houver mudança relevante no uso, na sensibilidade ou no contexto regulatório da informação.

5. Proteção de dados pessoais (LGPD)

A Inteegra trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Dados pessoais de clientes e colaboradores são classificados como informação confidencial e recebem proteção correspondente, incluindo controle de acesso, criptografia e descarte seguro.

Para mais detalhes sobre o tratamento de dados pessoais e o exercício dos direitos dos titulares, consulte a nossa Política de Privacidade.

6. Responsabilidades

Dos colaboradores em geral

Entende-se por colaborador toda pessoa física, contratada CLT ou prestadora de serviço, que exerça alguma atividade dentro ou fora da instituição. Cada colaborador é responsável pelo cumprimento das diretrizes e normas de segurança e por manter-se atualizado em relação à PSI e aos procedimentos relacionados.

Dos gestores

Devem ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão; atribuir formalmente a responsabilidade de cumprimento da PSI na contratação; e adaptar normas, processos e sistemas sob sua responsabilidade para atender a esta política.

Da área de Tecnologia da Informação

Configura equipamentos, ferramentas e sistemas com os controles necessários para cumprir os requisitos de segurança; testa a eficácia dos controles e informa os riscos residuais aos gestores; segrega funções administrativas e operacionais para restringir privilégios ao mínimo necessário; administra, protege e testa as cópias de segurança; garante o bloqueio tempestivo de acessos quando necessário; e protege continuamente os ativos contra código malicioso.

Da área de Segurança da Informação

Propõe metodologias e processos de segurança, como avaliação de risco e classificação da informação; publica e promove as versões da PSI; promove a conscientização dos colaboradores mediante campanhas, palestras e treinamentos; apoia a avaliação de controles para novos sistemas ou serviços; e analisa criticamente os incidentes em conjunto com o Comitê de Segurança da Informação.

7. Governança de segurança

A gestão da segurança da informação na Inteegra é conduzida por um Comitê de Segurança da Informação, multidisciplinar, responsável por aprovar e revisar periodicamente a PSI e as normas complementares, analisar incidentes relevantes e deliberar sobre exceções.

Tanto a PSI quanto as normas complementares são revistas e atualizadas periodicamente, ou sempre que algum fato relevante motive sua revisão antecipada, conforme análise e decisão do Comitê.

8. Medidas de segurança que adotamos

  • Identificação individual: todo acesso a computadores, sistemas, bases de dados e demais ativos de informação é atribuído a um responsável identificável como pessoa física, sendo proibido o compartilhamento de credenciais;
  • Autenticação forte: as credenciais seguem requisitos mínimos de complexidade, com troca periódica obrigatória, bloqueio automático após tentativas indevidas e regras adicionais para contas com privilégios administrativos;
  • Gestão de acessos: os acessos são bloqueados imediatamente quando se tornam desnecessários, como em desligamentos ou encerramento de contratos;
  • Segregação de ambientes: os ambientes de produção são segregados e rigidamente controlados, garantindo o isolamento em relação aos ambientes de desenvolvimento, testes e homologação;
  • Proteção contra código malicioso: todos os ativos são protegidos continuamente contra malware, e novos ativos só entram em produção após verificação;
  • Gestão de mudanças: atualizações e correções de segurança são validadas em ambiente de homologação antes da aplicação em produção, com auditoria de código quando aplicável;
  • Trilhas de auditoria: controles e registros de atividades são mantidos com nível de detalhe suficiente para rastrear falhas e fraudes, com controles de integridade que os tornam juridicamente válidos como evidência;
  • Cópias de segurança: backups dos programas e dados relacionados aos processos críticos são administrados, protegidos e testados regularmente;
  • Auditorias e análise de riscos: são realizadas auditorias periódicas de configurações técnicas e análises de risco;
  • Sincronização de tempo: servidores, estações e dispositivos operam com relógio sincronizado com os servidores de tempo oficiais do governo brasileiro, garantindo a confiabilidade dos registros.

9. Uso aceitável de recursos

Os equipamentos, sistemas e serviços de tecnologia disponibilizados aos colaboradores são de propriedade da Inteegra e destinam-se às atividades profissionais. Seu uso é orientado por normas internas que estabelecem, entre outros pontos:

  • Uso ético e profissional do correio eletrônico corporativo e da internet;
  • Proibição de envio de mensagens que representem risco à segurança, violem direitos autorais ou contrariem a legislação;
  • Proibição de instalação de softwares não autorizados ou sem licenciamento adequado;
  • Proibição de uso dos recursos para atividades ilícitas, propagação de código malicioso ou tentativas de burlar sistemas de segurança;
  • Vedação à divulgação de informações internas em redes sociais, listas de discussão ou qualquer canal não autorizado.

Manifestações públicas em nome da Inteegra são realizadas exclusivamente por colaboradores formalmente autorizados.

10. Monitoramento e auditoria

Para garantir o cumprimento desta PSI, a Inteegra poderá, em total conformidade legal e com prévia ciência dos colaboradores:

  • Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet e demais componentes da rede;
  • Realizar inspeções nos equipamentos de sua propriedade;
  • Instalar sistemas de proteção, preventivos e detectivos, para garantir a segurança das informações e dos perímetros de acesso;
  • Utilizar as informações geradas pelos sistemas de monitoramento em processos investigatórios e, quando exigido, disponibilizá-las às autoridades competentes.

11. Continuidade de negócios

A Inteegra mantém planos de contingência e continuidade dos principais sistemas e serviços, implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.

Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, são identificados desde a fase de levantamento de escopo de um projeto ou sistema, e são justificados, acordados, documentados, implantados e testados durante a fase de execução.

12. Gestão de incidentes

Todo incidente que afete a segurança da informação é registrado, comunicado internamente e analisado, podendo ser encaminhado ao Comitê de Segurança da Informação. Em caso de atividades ilícitas, a Inteegra reserva-se o direito de analisar dados e evidências para obtenção de provas, adotar as medidas legais cabíveis e cooperar ativamente com as autoridades competentes.

O não cumprimento dos requisitos previstos nesta PSI sujeita o usuário às medidas administrativas e legais cabíveis.

Encontrou algo suspeito? Se você identificar uma vulnerabilidade ou receber uma comunicação suspeita em nome da Inteegra, entre em contato pelos nossos canais oficiais:

Site oficial: www.inteegra.com.br
E-mail: seguranca@inteegra.com.br
Atendimento: +55 11 98900-6886

13. Revisão desta política

Esta política é revisada e atualizada periodicamente pelo Comitê de Segurança da Informação, ou sempre que algum fato relevante motive sua revisão antecipada. Esta página reflete sempre a versão pública vigente.

Inteegra Tecnologia, Desenvolvimento de Sistemas e Consultoria Ltda. · Política de Segurança da Informação · Versão 1.8

Quer falar?

+55 11 98900-6886

Quer escrever?

comercial@inteegra.com.br

Café ou água?

Rua Haddock Lobo, 403 - APT 1 D
Cerqueira César, São Paulo - SP
01414-903

© 2025 – Inteegra