Para assegurar que as informações tratadas estejam adequadamente protegidas, a Instituição adota os seguintes processos:
• Gestão de Ativos da Informação
Os ativos da informação devem ser identificados de forma individual, inventariados, protegidos de acessos indevidos e ter documentação e planos de manutenção atualizados.
• Classificação da Informação
As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Restrita, Confidencial, Interna e Pública. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
• Gestão de Acessos
As concessões, revisões e exclusões de acesso devem seguir o procedimento aprovado pela comissão de segurança da Informação. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, para que seja responsabilizado por suas ações.
• Gestão de Riscos
Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Instituição, para que sejam recomendadas as proteções adequadas. Os cenários de riscos de segurança da informação são escalonados nos fóruns apropriados, para decisão.
• Tratamento de Incidentes de Segurança da Informação
Os incidentes de Segurança da Informação da Instituição devem ser reportados à Gestão de TI.
• Conscientização em Segurança da Informação
A Instituição promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
• Avaliação Independente da Auditoria
A efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.
• Propriedade Intelectual
Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Instituição não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.
• Declaração de Responsabilidade
Os colaboradores e prestadores de serviços diretamente contratados pela Instituição devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação. Os contratos da Instituição devem possuir cláusula que assegure a confidencialidade das informações.
• Medidas Disciplinares
As violações a esta política estão sujeitas às sanções disciplinares previstas nas normas internas das empresas da Instituição e na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas.