As diretrizes de Segurança da Informação e Cibernética da Inncapital aderem-se integralmente ao comprometimento da alta administração e aos objetivos estratégicos dos negócios da organização, assegurando o cumprimento das exigências normativas, de órgãos reguladores, de Compliance e dos requisitos legais aplicáveis a todo o ambiente da Inncapital.
A Inncapital atua com base em princípios que visam garantir a proteção das informações de seus clientes, parceiros, terceiros, profissionais ou qualquer instituição ou pessoa que possua relacionamento com a companhia, sendo eles:
Confidencialidade
Somente o usuário da informação devidamente autorizado pelo Gestor da Informação poderá ter acesso às informações, respeitando os critérios de segregação de funções previamente definidos.
Integridade
Garante que as informações não sejam alteradas desde a sua criação até o seu uso. Eventuais alterações, supressões e/ou adições deverão ser previamente autorizadas pelo Gestor da Informação.
Disponibilidade
Busca garantir que as informações estejam sempre disponíveis ao Usuário da Informação.
Autenticidade
Garante a identidade de quem está enviando a informação.
Esses pilares fundamentam os processos de Governança da Segurança da Informação e Cibernética da Inncapital, permitindo:
- Estabelecer diretrizes para classificação de dados e informações, por meio de critérios e restrições para acesso, processamento ou transmissão de informações confidenciais, sensíveis ou restritas da Inncapital, de seus parceiros ou clientes, sem autorização dos responsáveis;
- Implementar procedimentos e controles para mitigação de vulnerabilidades, incidentes e riscos de segurança, incluindo planos de remediação e contenção, reduzindo superfícies de ataque e riscos associados, de acordo com o apetite a risco e as estratégias da companhia;
- Realizar a gestão, identificação, resposta, tratamento e redução de incidentes de segurança da informação, bem como monitoramento proativo, detecção e investigação de ocorrências, por meio de serviços de inteligência de ameaças (threat intelligence), incluindo a comunicação às áreas envolvidas, órgãos reguladores, parceiros e entidades externas, quando aplicável;
- Prover mecanismos de prevenção contra vazamento de dados e informações (Data Loss Prevention – DLP);
- Disponibilizar mecanismos de proteção por meio do monitoramento de endpoints, sensores e controles de hardware e software contra códigos maliciosos;
- Estabelecer diretrizes para o uso adequado dos recursos de rede e computacionais, incluindo ativos fixos, dispositivos móveis e removíveis, garantindo boas práticas de manipulação, proteção, processamento, monitoramento e compartilhamento de informações;
- Prover planos e subplanos de continuidade e recuperação de serviços críticos (Impacto no Negócio, Continuidade Operacional, Recuperação de Negócios, Gerenciamento de Incidentes, Administração de Crises e Planos de Testes e Validações);
- Gerenciar e monitorar controles de acesso físicos e lógicos às informações e ativos, garantindo que apenas pessoas autorizadas possam utilizá-los, conforme regras, perfis e políticas corporativas;
- Estabelecer critérios seguros para uso e manutenção de credenciais, segredos, tokens e senhas;
- Dar ciência a profissionais, usuários, prestadores de serviços, clientes e parceiros de que: não é permitida a remoção de controles de segurança ou alterações em ambientes produtivos sem prévia aprovação; os meios de comunicação, equipamentos e infraestruturas são de propriedade da Inncapital e estão sujeitos à monitoração; o uso da internet e do e-mail é de responsabilidade do titular do acesso, estando sujeito às leis e regulamentos vigentes;é vedado o uso de recursos tecnológicos ou informações proprietárias para fins ilegais ou a instalação de softwares não autorizados;
- Definir controles fundamentais para o ciclo de vida e desenvolvimento seguro de software e adoção de novas tecnologias;
- Auxiliar no dimensionamento dos requisitos de segurança com base em arquiteturas de referência, controles criptográficos e níveis de proteção adequados;
- Garantir que sistemas desenvolvidos internamente ou adquiridos de terceiros atendam aos padrões de segurança e melhores práticas de mercado;
- Estabelecer diretrizes para manutenção de cópias de segurança (backup e restore), retenção de dados e registros de logs, em conformidade com exigências legais e regulatórias;
- Analisar, aprovar e classificar contratos nos termos da legislação vigente;
- Suportar a gestão de riscos por meio de processos contínuos de identificação, análise, avaliação, tratamento, revisão e comunicação dos riscos mapeados, atendendo áreas como Auditoria Interna, Controles Internos e Compliance.
- O descumprimento das diretrizes desta Política ou a violação de controles de segurança constitui infração e poderá resultar em medidas disciplinares, conforme avaliação das áreas de Recursos Humanos, Jurídico, Compliance e Segurança da Informação da Inncapital, nos termos da legislação vigente.