1. Objetivo

A presente Política é documento fundamental que controla a atividade do Grupo de Empresas Noventiq na área de segurança da informação.

Os requisitos corporativos na área de segurança da informação aplicam-se a todas as regiões da atividade da empresa, bem como a todas as unidades de negócio do Grupo de Empresas Noventiq.

2. Disposições gerais

A segurança da informação é considerada como estado da proteção da informação caracterizada pela capacidade do pessoal, meios técnicos e tecnologias de informação de assegurar a confidencialidade, integridade e disponibilidade da informação no momento de processamento dela por meios técnicos.

A Política de Segurança da Informação foi desenvolvida em conformidade com as disposições da norma internacional ISO/IEC 27001:2013.

A Política de Segurança da Informação é aprovada pelo Presidente do Conselho de Administração do Grupo de Empresas Noventiq.

A Política é revista regularmente pelo menos uma vez por ano.

3. Objetivos na área de segurança da informação

Na área da segurança da informação, o Grupo de Empresas Noventiq estabelece os seguintes objetivos estratégicos:

Aumentar a competitividade do negócio do Grupo de Empresas Noventiq;

Cumprir os requisitos legais e seguir as obrigações contratuais em termos de segurança da informação;

Melhorar a reputação empresarial e a cultura corporativa do Grupo de Empresas Noventiq;

Efetuar a gestão eficaz da segurança da informação e aperfeiçoar constantemente o sistema de gestão da segurança da informação;

Aplicar as medidas adequadas da proteção contra as ameaças à segurança da informação;

Garantir a segurança dos ativos corporativos do Grupo de Empresas Noventiq, incluindo pessoal, valores materiais e técnicos, recursos de informação, processos de negócio.

4. Tarefas que devem ser resolvidas para garantir a segurança da
informação

O sistema de segurança da informação do Grupo de Empresas Noventiq deve resolver as tarefas seguintes:

Envolvimento da alta gerência do Grupo de Empresas Noventiq no processo de segurança da informação: a atividade de segurança da informação é iniciada e controlada pela alta gerência do Grupo de Empresas Noventiq.

Cumprimento dos requisitos da legislação dos países da presença da Empresa: O Grupo de Empresas Noventiq implementa as medidas de segurança da informação em restrita conformidade com a legislação em vigor e as obrigações contratuais;

Coordenação das ações para garantir a segurança da informação, segurança física e econômica: as ações para garantir a segurança da informação, segurança física e econômica são realizadas à base de uma cooperação bem definida entre os departamentos envolvidos do Grupo de Empresas Noventiq e são acordadas entre si em relação aos objetivos, tarefas, princípios, métodos e meios;

Aplicação das medidas economicamente viáveis: O Grupo de Empresas Noventiq tenta aplicar as medidas de segurança da informação tendo em consideração as despesas para a implementação delas, a probabilidade de surgimento das ameaças à segurança da informação e o volume das possíveis perdas decorrentes da sua implementação;

Verificação dos funcionários: todos os candidatos para as vagas disponíveis no Grupo de Empresas Noventiq estão sujeitas à verificação obrigatória de acordo com os procedimentos estabelecidos;

Documentação relativa aos requisitos de segurança da informação: no Grupo de Empresas Noventiq todos os requisitos de segurança da informação são fixados nos documentos normativos internos desenvolvidos para este fim;

Formação dos funcionários na área de segurança da informação: os requisitos de segurança da informação documentados são comunicados aos funcionários de todas as unidades do negócio do Grupo de Empresas Noventiq, bem como às contrapartes na área de competência delas;

Reação aos incidentes de segurança da informação: O Grupo de Empresas Noventiq esforça-se por identificar, tomar em consideração e responder rapidamente às violações reais e potenciais da segurança da informação;

Avaliação dos riscos: O Grupo de Empresas Noventiq toma as medidas contínuas para avaliar e gerenciar os riscos de segurança da informação e aumentar o nível da proteção dos ativos de informação;

Consideração dos requisitos de segurança da informação nas atividades do projeto: além das atividades operacionais, o Grupo de Empresas Noventiq se esforça por levar em conta os requisitos de segurança da informação nas atividades do projeto. O desenvolvimento e a documentação dos requisitos de segurança da informação são efectuados nas fases iniciais da execução dos projectos relacionados com o tratamento, armazenamento e transmissão da informação;

Melhoria contínua do sistema de gestão da segurança da informação: a melhoria do sistema de gestão da segurança da informação é um processo contínuo.

5. Princípios aplicados para garantir a segurança de informação

a. Princípio de sistematização

No Grupo de Empresas Noventiq, os ativos são considerados como componentes inter-relacionados que influenciam mutuamente no sistema único. No caso de ameaças à segurança da informação, o número máximo de possíveis cenários de comportamento do sistema é levado em conta. O sistema de proteção é construído tendo em conta tanto todos os canais conhecidos de acesso não autorizado à informação, como a possibilidade de aparecimento de modos fundamentalmente novos de efetuar as ameaças de segurança.

b. Princípio da integralidade

Uma ampla gama de medidas, métodos e ferramentas de segurança da informação é utilizada para garantir a segurança da informação. A sua utilização abrangente pressupõe a aplicação de meios diferentes na construção do sistema integral da proteção que bloqueia todos os canais de ameaças existentes e não contém pontos fracos na ligação dos seus componentes diferentes.*

c. Princípio de separação

Não se pode confiar em linha de proteção única, por mais segura que possa parecer. O sistema de segurança da informação é construído de maneira que a zona de segurança mais protegida fique situada no interior de outras zonas protegidas.

d. Princípio de resistência igual

A eficácia dos mecanismos de proteção não deve ser comprometida pelo elo fraco resultante da subestimação das ameaças reais ou da utilização das medidas de proteção inadequadas.

e. Princípio da continuidade

No Grupo de Empresas Noventiq, a garantia de segurança da informação é um processo contínuo e propositado que implica a tomada das medidas apropriadas em todas as fases do ciclo de vida dos ativos.

f. Princípio da suficiência razoável

A gerência do Grupo de Empresas Noventiq assume que é impossível criar uma proteção "absoluta" dos ativos. Por isso, a seleção das medidas de proteção dos ativos adequadas às ameaças reais (ou seja, aquelas que podem garantir o nível aceitável dos danos possíveis em caso de ameaças) baseia- se na análise dos riscos.

g. Princípio da gestão

Todos os processos de gestão e garantia de segurança da informação no Grupo de Empresas Noventiq devem ser controlados, ou seja, deve existir a possibilidade de monitorar e medir os processos e componentes, identificar a tempo as violações da segurança da informação e tomar as medidas apropriadas.

6. Princípio da responsabilidade pessoal

A responsabilidade pela segurança dos ativos é conferida a cada funcionário no âmbito das suas competencias.

Responsabilidade por violação da Política de Segurança da Informação

No caso de violação das regras de trabalho com os ativos de informação estabelecidas, o funcionário pode ser restringido em seus direitos de acesso a tais ativos, bem como pode ser responsabilizado de acordo com a legislação dos países onde as empresas do Grupo de Empresas Noventiq operam.

CEO global da Noventiq
S.V.Chernovolenko

Política de Segurança da Informação do Grupo de Empresas Noventiq