Política de Segurança da Informação

Princípios e diretrizes que garantem a confidencialidade, integridade e disponibilidade dos dados e serviços da AgRisk.

Última atualização:

1. Propósito

Esta Política de Segurança da Informação tem como propósito estabelecer os princípios, diretrizes, responsabilidades e práticas para garantir a confidencialidade, integridade e disponibilidade das informações e serviços fornecidos por meio da Plataforma AgRisk, assegurando o uso adequado das medidas de controle para a mitigação de riscos à segurança da informação e o cumprimento das legislações, regulamentações aplicáveis.

2. Abrangência

Aplica-se a todos os colaboradores, terceiros, fornecedores, parceiros e outras partes interessadas que acessam ou processam informações utilizadas na operação, manutenção e fornecimento da Plataforma AgRisk.

3. Princípios Gerais

A segurança da informação na AgRisk é norteada pelos seguintes pilares fundamentais:

  • Confidencialidade: Garantir que as informações sejam acessadas apenas por pessoas, sistemas ou processos devidamente autorizados.
  • Integridade: Assegurar que a informação esteja correta, completa e não tenha sido alterada de forma indevida, seja acidental ou maliciosamente.
  • Disponibilidade: Garantir que a informação e os sistemas estejam acessíveis e operacionais sempre que necessário, dentro dos níveis de serviço esperados.
  • Legalidade: Assegurar que o tratamento de dados e as práticas de segurança estejam em conformidade com as leis, regulamentações e normativas vigentes.

4. Diretrizes

Fica instituída a Política de Segurança da Informação, com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação, reafirmando o compromisso da AgRisk para com o atendimento dos requisitos relacionados com segurança da informação aplicáveis e com a melhoria contínua do Sistema de Gestão da Segurança da Informação.

Esta Política aplica-se a todas as unidades organizacionais da AgRisk, e deverá ser observada por todos os usuários de informação, conforme abrangência e atribuições para acesso aos ativos e informações sob sua responsabilidade.

4.1. Objetivos da Política de Segurança da Informação

São objetivos prioritários desta política:

  • Estabelecer diretrizes a fim de proteger as informações e ativos de informação assegurando o atendimento aos princípios de disponibilidade, integridade, confiabilidade e legalidade das informações;
  • Determinar mecanismos de Segurança da Informação, de forma a contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis e gerenciáveis;
  • Estabelecer competências e responsabilidades quanto à segurança da informação;
  • Nortear a definição de processos, políticas, medidas de controles e ações necessários à efetiva implementação da segurança da informação;
  • Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual e os serviços oferecidos para esse propósito, bem como outras legislações e regulamentações para proteção de dados e informações;
  • Estar alinhada com os objetivos de segurança da informação estabelecidos para o Sistema de Gestão de Segurança da Informação, além de fomentar as melhores práticas de segurança da informação.

4.2. Diretrizes de Segurança da Informação

As diretrizes de Segurança da Informação são norteadas pelos objetivos de Segurança da Informação e melhores práticas aplicáveis. Devem ser adotadas medidas técnicas e administrativas para assegurar a confidencialidade, integridade e disponibilidade das informações, abrangendo os tópicos descritos a seguir.

4.2.1. Abordagem de Riscos

A abordagem de avaliação e tratamento dos riscos de segurança identificados deve ser planejada nas estratégias de Segurança da Informação da AgRisk, levando em consideração os requisitos das partes interessadas, necessidades do negócio, conformidade legal e regulamentar e, requisitos contratuais para os serviços.

A partir da avaliação dos riscos devem ser adotados controles técnicos, organizacionais e de pessoas, de forma a reduzir os níveis de riscos e garantir a efetividade e aderência às melhores práticas e recomendações de frameworks voltados para Segurança da Informação.

4.2.2. Conformidade

A conformidade em Segurança da Informação deve garantir que todas as atividades, processos e controles da organização estejam em conformidade com as leis, regulamentações, normas, requisitos contratuais e políticas internas aplicáveis.

  • Atendimento às legislações e regulamentações vigentes, incluindo a Lei Geral de Proteção de Dados (LGPD) e normas de órgãos reguladores setoriais;
  • Aderência a políticas, normas e procedimentos internos por todos os colaboradores, terceiros e parceiros;
  • Gestão de riscos de conformidade, com identificação e tratamento de possíveis não conformidades;
  • Realização de auditorias internas e externas para avaliar a eficácia dos controles implementados;
  • Tratamento adequado de não conformidades, com registro, análise de causa e plano de ação;
  • Cooperação com órgãos reguladores e autoridades competentes sempre que necessário.

4.2.3. Classificação da Informação

As informações devem ser classificadas para indicar os níveis de sensibilidade e criticidade, orientando seu tratamento, armazenamento, acesso e compartilhamento.

  • Definição clara de níveis de classificação da informação;
  • Identificação da classificação nos documentos e sistemas sempre que aplicável;
  • Tratamento diferenciado conforme o nível de classificação (controle de acesso, criptografia, etc.);
  • Responsabilidade dos proprietários da informação pela correta classificação e revisão periódica;
  • Conscientização dos usuários quanto ao correto manuseio conforme a classificação.

4.2.4. Gestão de Acessos

Assegura que os usuários possuam os níveis apropriados de acesso conforme suas responsabilidades e necessidades operacionais, minimizando riscos de acessos indevidos.

  • Prevenção de acessos não autorizados a sistemas e dados sensíveis;
  • Atendimento a requisitos legais e regulatórios de controle de acesso;
  • Garantia de rastreabilidade e suporte a processos de auditoria;
  • Gerenciamento de direitos de acesso baseado estritamente na necessidade de negócio.

4.2.5. Segurança de Ativos de Informação

Proteção dos ativos contra acessos não autorizados, uso indevido, falhas ou interrupções, garantindo a resiliência operacional.

  • Dados: Proteção de dados em repouso, em trânsito e em uso, garantindo conformidade com a LGPD.
  • Aplicações: Implementação de controles de segurança durante todo o ciclo de vida (desenvolvimento seguro).
  • Infraestrutura: Monitoramento de redes, servidores e ambientes em nuvem para prevenir e responder a incidentes.

4.2.6. Segurança em Recursos Humanos

Garante que colaboradores e terceiros compreendam suas responsabilidades e atuem de forma segura durante todo o seu vínculo com a AgRisk.

  • Antes da contratação: Processos seletivos criteriosos e assinatura de termos de confidencialidade.
  • Durante a permanência: Promoção contínua da conscientização e monitoramento do uso de recursos.
  • No desligamento: Revogação imediata de acessos e devolução de ativos organizacionais.

4.2.7. Gestão de Vulnerabilidades

Abordagem proativa para identificar, avaliar e tratar fragilidades em sistemas, aplicações e redes.

  • Realização periódica de varreduras de vulnerabilidades e testes de segurança (PenTests);
  • Priorização do tratamento de falhas com base no risco e impacto ao negócio;
  • Aplicação controlada de patches e atualizações de segurança em ambientes de teste antes da produção;
  • Monitoramento de fontes confiáveis sobre novas ameaças emergentes.

4.2.8. Gestão de Incidentes de Segurança

Procedimentos formais para identificar, registrar, analisar e responder a eventos que possam comprometer a segurança da informação.

  • Detecção e registro imediato de incidentes por canais apropriados;
  • Análise técnica célere das causas e consequências;
  • Adoção de medidas de contenção, erradicação e recuperação dos serviços;
  • Comunicação transparente às partes interessadas e autoridades quando necessário;
  • Documentação de lições aprendidas para prevenção de recorrências.

4.2.9. Gerenciamento de Operações e Comunicações

Assegura que os recursos de TIC sejam operados de forma segura, controlada e eficiente.

  • Padronização de procedimentos operacionais e segregação de funções;
  • Monitoramento contínuo de disponibilidade e registro de logs de eventos;
  • Controle rígido de mudanças em ambientes produtivos;
  • Proteção de comunicações eletrônicas (e-mails, redes e ferramentas de colaboração).

4.2.10. Segurança Física e do Ambiente

Proteção das instalações físicas contra acessos não autorizados, danos ambientais ou interferências humanas.

  • Controle de acesso físico a áreas sensíveis como data centers e salas de servidores;
  • Proteção contra incêndios, falhas de energia e variações de temperatura (sensores, nobreaks, geradores);
  • Monitoramento por vigilância e sistemas de alarmes;
  • Procedimentos rigorosos para entrada de visitantes e prestadores de serviço.

4.2.11. Ciclo de Vida de Sistemas

Integração da segurança da informação desde o levantamento de requisitos até a manutenção contínua dos sistemas.

  • Adoção de práticas de codificação segura para mitigar vulnerabilidades comuns;
  • Testes de funcionalidade e resiliência em ambientes de homologação;
  • Controle de acesso segregado entre ambientes de desenvolvimento e produção;
  • Critérios de segurança rigorosos na aquisição de softwares de terceiros.

4.2.12. Relacionamento com Terceiros

Garante que fornecedores e parceiros adotem controles de segurança compatíveis com os padrões da AgRisk.

  • Avaliação prévia de riscos e formalização de cláusulas contratuais de confidencialidade;
  • Aplicação do princípio do menor privilégio nos acessos concedidos a parceiros;
  • Fiscalização e auditoria de conformidade dos serviços prestados por terceiros.

4.2.13. Continuidade de Negócios

Capacidade de manter ou restabelecer operações críticas em tempo hábil após incidentes disruptivos.

  • Identificação de processos críticos e análise de impacto nos negócios (BIA);
  • Desenvolvimento e manutenção de Planos de Recuperação de Desastres (DRP);
  • Realização periódica de testes de estresse e simulações de continuidade.

4.2.14. Cultura de Conscientização

Promoção de uma cultura organizacional orientada à proteção da informação e comportamento seguro.

  • Programas de treinamento obrigatórios para novos colaboradores e reciclagens periódicas;
  • Campanhas educativas sobre phishing, engenharia social e senhas fortes;
  • Monitoramento da aderência às políticas através de indicadores de engajamento.

Papéis e Responsabilidades

A segurança é uma responsabilidade compartilhada entre todos os níveis da AgRisk:

  • Alta Direção: Aprovação da política e provimento de recursos estratégicos.
  • Gestão de Segurança: Definição de normas, análise de riscos e gestão de conformidade.
  • Proprietários da Informação: Garantir o uso correto e classificação dos dados de sua área.
  • Equipes de TI: Implementação de controles técnicos e administração de infraestrutura.
  • Usuários em Geral: Cumprimento das diretrizes e reporte imediato de incidentes.

Disposições Finais

Esta Política representa o compromisso da AgRisk com a proteção de ativos e a confiança de seus clientes. Deve ser revisada a cada 2 anos ou mediante mudanças significativas no cenário tecnológico ou legal.

O descumprimento destas diretrizes poderá acarretar medidas disciplinares ou sanções contratuais conforme a gravidade da infração.

Dúvidas sobre nossas práticas de segurança? Entre em contato com nosso time de infraestrutura pelo e-mail seguranca@agrisk.com.br.