1. Introdução
A Política de Segurança da Informação (PSI) é o documento que orienta e estabelece as diretrizes corporativas da Inteegra para a proteção dos ativos de informação e a prevenção de responsabilidade legal, sendo cumprida e aplicada em todas as áreas da empresa.
A presente PSI é baseada nas recomendações da norma ABNT NBR ISO/IEC 27002, reconhecida mundialmente como código de prática para a gestão da segurança da informação, e está em conformidade com as leis vigentes no Brasil.
Seu objetivo é nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
2. Nossos princípios
Todas as práticas de segurança da Inteegra visam preservar três atributos fundamentais da informação:
Integridade
Garantia de que a informação seja mantida em seu estado original, protegida contra alterações indevidas, intencionais ou acidentais, na guarda ou na transmissão.
Confidencialidade
Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Disponibilidade
Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
3. Abrangência e aplicação
As diretrizes estabelecidas na PSI devem ser seguidas por todos os colaboradores da Inteegra e prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte — físico, eletrônico ou verbal.
A responsabilidade em relação à segurança da informação é comunicada desde a fase de contratação. Todos os colaboradores assinam Termo de Compromisso e Ciência, e todos os contratos da Inteegra incluem Acordo ou Cláusula de Confidencialidade como condição imprescindível para o acesso aos ativos de informação, permanecendo o dever de sigilo mesmo após o término do vínculo.
Todos os colaboradores são orientados sobre os procedimentos de segurança e o uso correto dos ativos, por meio de treinamentos, campanhas e comunicação contínua, a fim de reduzir riscos.
4. Classificação da informação
Toda informação produzida, recebida, armazenada ou transmitida pela Inteegra, independentemente do formato ou meio, é classificada quanto ao seu grau de sensibilidade, de forma a orientar o nível de proteção, acesso, armazenamento, compartilhamento e descarte adequado:
Informação que pode ser divulgada livremente ao público externo, sem risco à Inteegra, seus colaboradores ou clientes. Exemplos: materiais de marketing, comunicados institucionais oficiais, conteúdo do site.
Informação de uso exclusivo dos colaboradores, sem risco relevante se exposta externamente, porém não destinada à divulgação pública.
Informação sensível cujo acesso não autorizado, alteração ou divulgação pode causar dano à Inteegra, a colaboradores, clientes ou parceiros. Exemplos: dados pessoais (conforme LGPD), contratos, informações financeiras e propostas comerciais.
Informação crítica cujo vazamento, alteração indevida ou perda pode causar dano grave de natureza financeira, legal, regulatória ou reputacional. Exemplos: credenciais de acesso, chaves criptográficas, código-fonte proprietário e segredos de negócio.
Regras de tratamento
- Proprietário da informação: todo ativo de informação possui um responsável (data owner) por atribuir e revisar a classificação, definir quem pode acessá-la e aprovar exceções. Na ausência de classificação explícita, a informação é tratada, por padrão, como Confidencial;
- Rotulagem: documentos e mensagens Confidenciais ou Restritos contêm, sempre que viável, identificação visual do nível de classificação;
- Armazenamento: informações Confidenciais e Restritas são armazenadas em repositórios com controle de acesso lógico e, quando aplicável, criptografadas em repouso. Informações Restritas exigem controles adicionais, como acesso restrito a grupo nominal e trilha de auditoria;
- Compartilhamento e transmissão: ocorrem exclusivamente por canais criptografados e mediante verificação da real necessidade do destinatário, conforme os princípios de menor privilégio e necessidade de conhecer (need-to-know);
- Descarte: informações Confidenciais e Restritas são descartadas de forma segura, impedindo sua reconstituição;
- Revisão periódica: a classificação é revisada ao menos anualmente, ou sempre que houver mudança relevante no uso, na sensibilidade ou no contexto regulatório da informação.
5. Proteção de dados pessoais (LGPD)
A Inteegra trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Dados pessoais de clientes e colaboradores são classificados como informação confidencial e recebem proteção correspondente, incluindo controle de acesso, criptografia e descarte seguro.
Para mais detalhes sobre o tratamento de dados pessoais e o exercício dos direitos dos titulares, consulte a nossa Política de Privacidade.
6. Responsabilidades
Dos colaboradores em geral
Entende-se por colaborador toda pessoa física, contratada CLT ou prestadora de serviço, que exerça alguma atividade dentro ou fora da instituição. Cada colaborador é responsável pelo cumprimento das diretrizes e normas de segurança e por manter-se atualizado em relação à PSI e aos procedimentos relacionados.
Dos gestores
Devem ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão; atribuir formalmente a responsabilidade de cumprimento da PSI na contratação; e adaptar normas, processos e sistemas sob sua responsabilidade para atender a esta política.
Da área de Tecnologia da Informação
Configura equipamentos, ferramentas e sistemas com os controles necessários para cumprir os requisitos de segurança; testa a eficácia dos controles e informa os riscos residuais aos gestores; segrega funções administrativas e operacionais para restringir privilégios ao mínimo necessário; administra, protege e testa as cópias de segurança; garante o bloqueio tempestivo de acessos quando necessário; e protege continuamente os ativos contra código malicioso.
Da área de Segurança da Informação
Propõe metodologias e processos de segurança, como avaliação de risco e classificação da informação; publica e promove as versões da PSI; promove a conscientização dos colaboradores mediante campanhas, palestras e treinamentos; apoia a avaliação de controles para novos sistemas ou serviços; e analisa criticamente os incidentes em conjunto com o Comitê de Segurança da Informação.
7. Governança de segurança
A gestão da segurança da informação na Inteegra é conduzida por um Comitê de Segurança da Informação, multidisciplinar, responsável por aprovar e revisar periodicamente a PSI e as normas complementares, analisar incidentes relevantes e deliberar sobre exceções.
Tanto a PSI quanto as normas complementares são revistas e atualizadas periodicamente, ou sempre que algum fato relevante motive sua revisão antecipada, conforme análise e decisão do Comitê.
8. Medidas de segurança que adotamos
- Identificação individual: todo acesso a computadores, sistemas, bases de dados e demais ativos de informação é atribuído a um responsável identificável como pessoa física, sendo proibido o compartilhamento de credenciais;
- Autenticação forte: as credenciais seguem requisitos mínimos de complexidade, com troca periódica obrigatória, bloqueio automático após tentativas indevidas e regras adicionais para contas com privilégios administrativos;
- Gestão de acessos: os acessos são bloqueados imediatamente quando se tornam desnecessários, como em desligamentos ou encerramento de contratos;
- Segregação de ambientes: os ambientes de produção são segregados e rigidamente controlados, garantindo o isolamento em relação aos ambientes de desenvolvimento, testes e homologação;
- Proteção contra código malicioso: todos os ativos são protegidos continuamente contra malware, e novos ativos só entram em produção após verificação;
- Gestão de mudanças: atualizações e correções de segurança são validadas em ambiente de homologação antes da aplicação em produção, com auditoria de código quando aplicável;
- Trilhas de auditoria: controles e registros de atividades são mantidos com nível de detalhe suficiente para rastrear falhas e fraudes, com controles de integridade que os tornam juridicamente válidos como evidência;
- Cópias de segurança: backups dos programas e dados relacionados aos processos críticos são administrados, protegidos e testados regularmente;
- Auditorias e análise de riscos: são realizadas auditorias periódicas de configurações técnicas e análises de risco;
- Sincronização de tempo: servidores, estações e dispositivos operam com relógio sincronizado com os servidores de tempo oficiais do governo brasileiro, garantindo a confiabilidade dos registros.
9. Uso aceitável de recursos
Os equipamentos, sistemas e serviços de tecnologia disponibilizados aos colaboradores são de propriedade da Inteegra e destinam-se às atividades profissionais. Seu uso é orientado por normas internas que estabelecem, entre outros pontos:
- Uso ético e profissional do correio eletrônico corporativo e da internet;
- Proibição de envio de mensagens que representem risco à segurança, violem direitos autorais ou contrariem a legislação;
- Proibição de instalação de softwares não autorizados ou sem licenciamento adequado;
- Proibição de uso dos recursos para atividades ilícitas, propagação de código malicioso ou tentativas de burlar sistemas de segurança;
- Vedação à divulgação de informações internas em redes sociais, listas de discussão ou qualquer canal não autorizado.
Manifestações públicas em nome da Inteegra são realizadas exclusivamente por colaboradores formalmente autorizados.
10. Monitoramento e auditoria
Para garantir o cumprimento desta PSI, a Inteegra poderá, em total conformidade legal e com prévia ciência dos colaboradores:
- Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet e demais componentes da rede;
- Realizar inspeções nos equipamentos de sua propriedade;
- Instalar sistemas de proteção, preventivos e detectivos, para garantir a segurança das informações e dos perímetros de acesso;
- Utilizar as informações geradas pelos sistemas de monitoramento em processos investigatórios e, quando exigido, disponibilizá-las às autoridades competentes.
11. Continuidade de negócios
A Inteegra mantém planos de contingência e continuidade dos principais sistemas e serviços, implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, são identificados desde a fase de levantamento de escopo de um projeto ou sistema, e são justificados, acordados, documentados, implantados e testados durante a fase de execução.
12. Gestão de incidentes
Todo incidente que afete a segurança da informação é registrado, comunicado internamente e analisado, podendo ser encaminhado ao Comitê de Segurança da Informação. Em caso de atividades ilícitas, a Inteegra reserva-se o direito de analisar dados e evidências para obtenção de provas, adotar as medidas legais cabíveis e cooperar ativamente com as autoridades competentes.
O não cumprimento dos requisitos previstos nesta PSI sujeita o usuário às medidas administrativas e legais cabíveis.
Encontrou algo suspeito? Se você identificar uma vulnerabilidade ou receber uma comunicação suspeita em nome da Inteegra, entre em contato pelos nossos canais oficiais:
Site oficial: www.inteegra.com.br
E-mail: seguranca@inteegra.com.br
Atendimento: +55 11 98900-6886
13. Revisão desta política
Esta política é revisada e atualizada periodicamente pelo Comitê de Segurança da Informação, ou sempre que algum fato relevante motive sua revisão antecipada. Esta página reflete sempre a versão pública vigente.