- ACADEMIA DE EXECUTIVOS - ESCOLA DE GESTÃO DE NEGÓCIO
1. Objetivo
O objetivo desta política é estabelecer diretrizes para o uso de criptografia na proteção dos dados e informações sensíveis da empresa. A criptografia é uma medida essencial para garantir a confidencialidade, integridade e segurança dos dados, tanto em trânsito quanto em repouso.
2. Escopo
Esta política aplica-se a todos os funcionários, contratados, prestadores de serviços e terceiros que manuseiam, transmitem ou armazenam dados sensíveis da empresa. Ela abrange todas as formas de dados e comunicação, incluindo e-mails, arquivos, sistemas de TI, dispositivos móveis, e backups.
3. Princípios de Criptografia
3.1. Proteção de Dados Sensíveis
Todos os dados sensíveis, incluindo informações pessoais, financeiras, comerciais e confidenciais, devem ser criptografados quando armazenados (em repouso) e durante a transmissão (em trânsito) para proteger contra acessos não autorizados.
3.2. Algoritmos de Criptografia
A empresa adota algoritmos de criptografia que atendem aos padrões de segurança reconhecidos no mercado, como AES (Advanced Encryption Standard) com chaves de 256 bits para dados em repouso e TLS (Transport Layer Security) para dados em trânsito. O uso de algoritmos obsoletos ou inseguros é proibido.
3.3. Gestão de Chaves Criptográficas
As chaves criptográficas utilizadas para criptografar e descriptografar dados são gerenciadas com o mais alto nível de segurança. O acesso às chaves é estritamente controlado e limitado a pessoal autorizado. As chaves são armazenadas em sistemas de gerenciamento de chaves (KMS) seguros e são rotacionadas regularmente para mitigar riscos.
3.4. Criptografia de Dispositivos
Todos os dispositivos corporativos que armazenam dados sensíveis, como laptops, smartphones e discos rígidos externos, devem ser criptografados. Em caso de perda ou roubo, a criptografia impede que os dados sejam acessados por terceiros.
3.5. Criptografia de E-mails e Comunicações
E-mails que contêm informações sensíveis ou confidenciais devem ser criptografados usando soluções de criptografia de e-mail aprovadas pela empresa. Isso inclui tanto a criptografia do conteúdo quanto dos anexos.
3.6. Criptografia de Backups
Todos os backups de dados sensíveis devem ser criptografados, independentemente de serem armazenados localmente, em dispositivos externos ou em serviços de armazenamento na nuvem. Isso garante que os dados permanecem seguros, mesmo em caso de violação física ou digital dos backups.
4. Treinamento e Conscientização
Todos os funcionários e terceiros que lidam com dados sensíveis são treinados regularmente sobre a importância da criptografia e as práticas recomendadas para proteger os dados da empresa. Isso inclui o uso adequado de ferramentas de criptografia e a responsabilidade de manter as chaves e senhas seguras.
5. Conformidade e Auditorias
A empresa realiza auditorias regulares para garantir a conformidade com esta política de criptografia. Qualquer não conformidade identificada é tratada imediatamente com medidas corretivas, incluindo a atualização de práticas de criptografia e o reforço de controles de segurança.
6. Resposta a Incidentes
Em caso de incidente de segurança que envolva dados criptografados, a equipe de segurança da informação realiza uma análise para verificar a integridade das chaves criptográficas e garantir que a criptografia não tenha sido comprometida. Medidas corretivas são tomadas conforme necessário.
7. Revisão e Atualização da Política
Esta política é revisada anualmente ou conforme necessário para garantir que permaneça alinhada com as melhores práticas de mercado e as regulamentações vigentes. Qualquer atualização é comunicada a todos os funcionários e partes interessadas.
8. Responsabilidades
A responsabilidade pela implementação e manutenção desta política recai sobre a equipe de segurança da informação, com suporte da alta administração. Todos os funcionários são responsáveis por seguir as diretrizes estabelecidas nesta política e por proteger os dados criptografados contra acessos não autorizados.
9. Gestão de Fornecedores e Terceiros
Todos os fornecedores e terceiros que lidam com dados da empresa devem cumprir esta política de criptografia. Contratos com terceiros incluem cláusulas específicas que exigem a conformidade com nossos padrões de criptografia e permitem auditorias para verificar a aderência.
Esta política de criptografia reflete o compromisso da empresa em proteger os dados sensíveis contra acessos não autorizados e garantir a confidencialidade e integridade das informações. Através do uso de algoritmos robustos, gestão rigorosa de chaves e treinamento contínuo, asseguramos que a criptografia seja aplicada de forma eficaz em toda a organização.
