Política de Segurança da Informação
Objetivo
A KINTO Brasil (nesta política simplesmente denominada “KINTO”) reconhece que os recursos de informação e tecnologia são ativos críticos da Companhia. A KINTO está comprometida em manter um ambiente de segurança apropriado para a proteção desses ativos de informação.
Esta política de Segurança da Informação define a intenção da administração e estabelece um programa de segurança da informação dentro da KINTO.
O programa de segurança da informação consiste em atividades operacionais e estratégicas incluindo a concepção, recomendação, implementação, amadurecimento e avaliação de práticas de segurança para proteger os processos críticos de negócios e ativos de informação da KINTO, cumprir com regulamentos externos e proteger a privacidade individual.
Os padrões de Segurança da Informação são requisitos mínimos obrigatórios que devem ser seguidos. Os procedimentos de Segurança da Informação descrevem como uma atividade deve ser executada. Os guias de Segurança da Informação fornecem orientações e recomendações que devem ser seguidas para minimizar/mitigar os riscos
Segurança da Informação
A KINTO reconhece que a Segurança da Informação é, em grande parte, uma disciplina de gerenciamento de riscos. Os ativos de informação são identificados e avaliados quanto aos riscos, e medidas são implementadas para controlar apropriadamente esses riscos. A força dos controles deve ser proporcional ao valor das informações ou ativos de informação para a KINTO, e o nível de risco envolvido.
Escopo
Aplicações, sistemas e outros recursos são utilizados para processar ou armazenar dados da KINTO, isto inclui a infraestrutura tecnológica KINTO e sistemas operados ou gerenciados em nome da KINTO.
Público-Alvo
Esta política de Segurança da Informação, bem como suas normas, procedimentos, padrões e guias aplicam-se a todo pessoal que acessa e/ou processa informações da KINTO.
Política de Segurança da Informação
A KINTO protege seus ativos de informação, suas próprias informações e informações que são confiadas à ela pelos clientes, fornecedores e parceiros.
Portanto, a política KINTO tem as seguintes finalidades:
Cumprir as leis. A KINTO deve cumprir com obrigações legais e regulamentações aplicáveis.
Gerenciar a Segurança. A KINTO deve estabelecer e manter um programa efetivo de governança e gerenciamento de segurança, através da aplicação de normas e padrões de segurança da informação.
Controle de acesso aos ativos de informação. A KINTO deve controlar o acesso para que somente o pessoal autorizado ou outras entidades tenham acesso aos seus ativos de informação, e aos sistemas de informação que os suportam, transportam, armazenam e processam estas informações.
Classificar e tratar adequadamente as informações. A KINTO deve classificar as informações conforme seu valor. A KINTO deve manusear, armazenar e destruir informações de acordo com a classificação: Confidencial, publica, protegida.
Resposta a incidentes de Segurança da Informação. A KINTO deve estabelecer e praticar procedimentos para identificar, gerenciar e responder adequadamente aos incidentes de Segurança da Informação que possam ameaçar os ativos e a reputação da KINTO.
Gerenciar Fornecedores, Consultores e Terceiros. A KINTO deve implementar processos de gerenciamento para exigir que fornecedores, consultores e terceiros cumpram ou excedam os padrões de Segurança da Informação da KINTO, isto inclui requisitos específicos para contratos de serviços, seleção e gerenciamento de fornecedores.
Operação segura de ambientes tecnológicos. A KINTO deve gerenciar e operar ambientes tecnológicos de forma segura, incluindo aqueles hospedados por parceiros ou em nuvem. Os procedimentos operacionais seguros incluem, mas não se limitam, o gerenciamento das operações sistêmicas, configurações sistêmicas, gerenciamento técnico, gerenciamento de vulnerabilidades, sistemas de e-mail, proteção antivírus, gerenciamento de patches, logs e monitoramento.
Segurança de Redes. A KINTO deve operar com segurança suas redes (física ou virtual), isto inclui o gerenciamento de acesso à rede, conectividade, protocolos, acesso remoto e detecção e prevenção de intrusões.
Proteção contra ameaças físicas. A KINTO deve proteger os ativos de informação contra ameaças físicas e ambientais, acessos não autorizados, danos e interferências.
Proteção contra interrupções nos processos de negócios. A KINTO deve implementar medidas para retomar os processos críticos de negócios em tempo hábil aceitável após uma interrupção.
Adquirir, configurar e manter sistemas seguros. A KINTO deve sempre considerar e integrar requerimentos de segurança nos processos de compras, desenvolvimento, manutenção e descarte de sistemas de informação.
Treinar e informar todos os colaboradores nas responsabilidades de segurança. A KINTO deve informar e treinar seus colaboradores sobre suas responsabilidades de segurança da informação.
Responsabilidades
Esta política de segurança da informação é aprovada pela direção executiva da KINTO. O Chief Operating Officer (COO) da KINTO delega a responsabilidade do programa de segurança da informação à área de Tecnologia da Informação da KINTO através do seu Gerente de TI (GTI) e do Coordenador de Infraestrutura e Segurança da Informação (CSI).
O Gerente de Tecnologia da Informação definirá a direção estratégica do programa de segurança da informação da KINTO e, em conjunto com o Coordenador de Infraestrutura e Segurança da Informação, informará periodicamente as atividades, resultados, métricas, progresso e conformidade do programa de segurança da informação.
O GTI e o CSI serão apoiados pelo Grupo Global de segurança da informação (GISG) da KINTO GLOBAL.
Todo colaborador deve cumprir com esta política de segurança da informação, normas e procedimentos relacionados. Qualquer violação desta política ou das normas associadas deve ser comunicada à gerência local e/ou ao GISG. Qualquer pessoa não coberta por esta política (por exemplo, visitantes) deve ser supervisionada por uma pessoa autorizada pela KINTO que esteja acompanhando o visitante enquanto ele estiver nas dependências da KINTO.
Cumprimento e sanções
O não cumprimento da Política de Segurança da Informação da KINTO ou de suas normas associadas, pode resultar em sanções disciplinares de acordo com as políticas locais internas da KINTO. Medidas legais podem ser tomadas por violações das obrigações e regulamentos aplicáveis.
Data de vigência
Esta política é aprovada pela direção executiva da KINTO e entra em vigor a partir de 06 de fevereiro de 2023.