Política de Segurança da Informação e Cibernética
Código do documento: DO-5.2-01 | Versão: 2.2 | Data de validade: 16/05/2025
Objetivo
Esta política orientaa Compass na gestão da segurança da informação e cibernética, demonstrando o compromisso da organização com a proteção das informações corporativas e demais ativos de informação. Ela compõe a relação de políticas associadas ao Sistema de Gestão da Segurança da Informaçãoque são requeridas pela norma ISO/IEC27001.
Abrangência e Público-Alvo
Esta Política orienta o comportamento de todos os agentes vinculados à Compass no que diz respeito à Segurança da Informação e Cibernética. Esta política se aplica a todos os usuários dedados e informaçõesda Compass, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a Compass, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da Compasse/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura da Compass.
Política de Segurança da Informação e Cibernética
A Política de Segurança da Informação e Cibernéticada Compass tem como principais compromissos:
• Estabelecer diretrizes que permitam aos colaboradores e prestadores de serviços da Compass obter conhecimento e conscientização relacionados à Segurança da Informação e Cibernética;
• Assegurar a disponibilidade, confidencialidade, integridade dos dados, das informações e dos sistemas de informação utilizados;
• Prevenir, identificar e reduzir as vulnerabilidades presentes no ambiente cibernético da empresa e tratar tempestivamente incidentes ocorridos, de forma a não gerar impactos negativos nas operações e na qualidade dos serviços prestados aos nossos clientes;
• Atender os requisitos dispostos nas obrigações legais, regulamentares, contratuais e outras;
• Promover a melhoria contínua do Sistema de Gestão da Segurança da Informação, revendo eventuais falhas ou pontos fracos e adaptando-o às mudanças dos cenários interno e externo.
Destacamos abaixo as principais diretrizes a serem seguidas pela Compass para proteger suas informações.
Diretrizes
D1 – Consideramos a informação como um ativo essencial para todos os processos de negócio da organização e que deve ser protegida contra diversos tipos de ameaças.
D2 – Alinhamos a gestão da segurança da informação e cibernética aos nossos negócios.
D3 – Realizamos o tratamento da informação em todo seu ciclo de vida de modo ético e responsável.
D4 – Garantimos a confidencialidade, integridade e disponibilidade da informação em todo o seu ciclo de vida: produção, manuseio, reprodução, transporte, transmissão, armazenamento e descarte.
D5 – Aplicamos proteção aos ativos de informação de forma compatível com sua criticidade para nossas atividades, alcançando todos os processos, informatizados ou não, inclusive quando do uso de computação em nuvem.
D6 – Identificamos, analisamos, avaliamos e tratamos os riscos que envolvam os ativos de informação, por meio de avaliações periódicas, a intervalos regulares.
D7 – Adotamos mecanismos de proteção contra uso indevido, fraudes, danos, perdas, erros, sabotagens, e roubo e ataques cibernéticos, em todo o ciclo de vida das informações.
D8 – Monitoramos de forma contínua os ativos de informação e utilizamos processos, controles e tecnologias de prevenção e resposta a ataques cibernéticos.
D9 – Obedecemos ao princípio de segregação das funções de desenvolvimento e uso dos ativos da informação, na gestão da segurança da informação e cibernética.
D10 – Procedemos à identificação e definição de, pelo menos, um gestor da informação e atribuímos-lhe responsabilidades sobre a informação em todo o seu ciclo de vida.
D11 – Disseminamos a cultura de segurança da informação e cibernéticapor meio de programa permanente de sensibilização, conscientização e capacitação.
D12 – Preservamos nossos requisitos de segurança da informação e cibernética na contratação de serviços ou de pessoas e no relacionamento com colaboradores, fornecedores, terceiros, parceiros, contratados e estagiários.
D13 – Concedemos a funcionários e a terceiros somente o acesso às informações necessárias ao desempenho de suas funções e atribuições previstas em contrato ou por determinação legal.
D14 – Identificamos, por meio do controle de acesso, cada usuário individualmente e nos casos devidamente comprovados de tratamento indevido da informação corporativa o responsabilizamos, juntamente com o administrador que lhe concedeu o acesso.
D15 – Analisamos as ocorrências de tratamento indevido de informações corporativas sob os aspectos legal e disciplinar, imputando responsabilização, e sob o aspecto técnico, corrigindo as vulnerabilidades.
D16 – Analisamos criticamente as mudanças que possam afetar a segurança da informação,previamente à sua implantação, e tomamos as ações para mitigar quaisquer efeitos adversos, através do planejamento e gestão de mudanças.