Política de Segurança da Informação

1. INTRODUÇÃO

A SinapseTech, em consonância com seus princípios e valores, estabelece a Política de Segurança da Informação, com o objetivo de orientar e estabelecer as diretrizes corporativas da empresa para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da empresa.

Dentre os principais dispositivos aos quais a empresa se encontra sujeita, no que se refere a privacidade e proteção de dados é a Lei Geral de Proteção de Dados - LGPD – nº13.709 de 14 de agosto de 2018.

Este documento deve ser lido e interpretado em conjunto com as demais políticas do Programa de Privacidade e Proteção de dados do Instituto.

Os documentos encontram-se disponíveis no SharePoint da empresa, em pasta específica.

2. APLICABILIDADE

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.

É dever de cada colaborador manter-se atualizado em relação a este documento, aos procedimentos e normas relacionados, buscando orientação do seu gestor ou superior imediato sempre que houver dúvidas quanto à aquisição, uso ou descarte de informações.

3. CONCEITOS

Os funcionários e terceiros da SinapseTech no decorrer de suas atividades, irão se deparar com diversas definições como usuários de sistemas operacionais quando do acesso à internet e para garantir a compreensão necessária, abaixo estão dispostos alguns dos principais termos.

- - Antivírus: softwares projetados para detectar e eliminar vírus de computador;
  - Assinatura digital: usada normalmente para validar documentos digitais e atribuir veracidade dos responsáveis;
  - Autenticação multifator: método de autenticação eletrônica no qual um usuário recebe acesso a um site ou aplicativo somente após apresentar com sucesso duas ou mais evidências a um mecanismo de autenticação, por meio de um token, aplicativo, SMS ou e-mail;
  - Cadastro: procedimento de criação de banco de dados de usuários para acesso à rede corporativa, computadores, internet e/ou para utilização do e-mail corporativo;
  - Configuração do Sistema: ação de configurar ou parametrizar um software ou componente da infraestrutura, de forma que ele atenda os objetivos propostos para uma determinada aplicação ou função;
  - Controles de acesso: prática de atribuir graus de acesso a pessoas autorizadas, por meio de logins, senhas, biometria e cartões/crachás físicos;
  - Criptografia: conjunto de técnicas pensadas para proteger uma informação de modo que apenas o emissor e receptor consigam compreendê-la, tornando o acesso de terceiros dificultoso, utilizada em comunicações digitais, como na troca de mensagens ou em pagamentos online;
  - Dados: informações custodiadas ou não, armazenadas, mantidas ou transmitidas em qualquer meio eletrônico, mídia magnética, papel, utilizadas na geração e manutenção dos negócios;
  - Firewall: dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança, podendo ser um hardware, software ou ambos;
  - Hardware: parte física do equipamento de TI, ou seja, é o conjunto de componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos e em complemento ao hardware, o software é a parte lógica, ou seja, o conjunto de instruções e dados processados pelos circuitos eletrônicos do hardware;
  - Hashing: mecanismo digital de verificação de arquivos, a fim de assegurar sua integridade;
  - Licença de Software: direito de uso de um determinado programa de computador, protegido pela legislação que dispõe sobre propriedade, marcas e patentes;
  - Login: identificação única de usuário;
  - Rede Local: conjunto de entidades (computadores, tablets e smartphones) que pertencem a uma mesma organização e que estão ligados com o propósito de compartilhar recursos, dados ou serviços dentro de um ambiente controlado e de área geográfica definida por meio de regras previamente definidas;
  - Rede Pública: tipo de rede de fácil acesso que qualquer pessoa pode se conectar e, por meio dela, acessar as informações de rede e outros dispositivos;
  - Senha: conjunto alfanumérico de caracteres destinado a assegurar a identidade do usuário e permitir seu acesso aos dados, programas e sistemas não disponíveis ao público, de uso pessoal e intransferível;
  - Servidor: computador central de uma rede de computadores de uma organização que centraliza as informações e as serve para outras máquinas e usuários da rede;
  - Sistema: conjunto de hardware, software e suporte humano que pertencem a uma empresa ou organização. Incluem computadores, programas necessários para o processamento de dados e as pessoas responsáveis pela respectiva gestão;
  - Software: termo genérico usado para descrever programas, aplicativos (apps), scripts, macros e instruções de código embarcado diretamente (firmware), de modo a ditar o que uma máquina deve fazer;
  - Upload: transferência de dados de um computador local para outro computador ou para um servidor.
  - Usuário: todos os colaboradores, prestadores, e outros agentes a serviço da empresa que tenham contato com o hardware, software, dados, sistemas desenvolvidos ou adquiridos, além de documentações. Bem como, educandos ligados ao Programa de Residentes, aprimorandos, pós graduandos e estudantes de enfermagem.
  - VPN: ou rede privada virtual cria uma conexão de rede privada entre dispositivos através da Internet e são usadas para transmitir dados de forma segura e anônima em redes públicas.
  - Wireless (WI-FI): tecnologia que permite a conexão de dois dispositivos através de ondas de rádio, sem haver a necessidade do uso de cabos.

3.1 Classificação das informações

Para garantir tratamento adequado, as informações geridas pela SinapseTech passam a ser classificadas em categorias que orientam seu manuseio, proteção e compartilhamento:

Pública: Informações de uso geral, sem restrição de acesso.
Interna: Informações de uso restrito aos colaboradores da SinapseTech, cujo vazamento não provoque grandes impactos, porém não devam ser divulgadas externamente.
Confidencial: Informações sensíveis cujo acesso é limitado a grupos específicos ou funções. O vazamento pode gerar prejuízos legais, financeiros ou de imagem.
Sensível: Informações altamente críticas ou que envolvam dados pessoais sensíveis, regidos pela LGPD, cujo acesso requer controles rigorosos e autorização prévia.

Cada colaborador deve proteger as informações de acordo com sua classificação, atendendo a requisitos de armazenamento, transmissão e descarte específicos.

4. OBJETIVOS E PRINCÍPIOS

Estabelecer diretrizes que permitam aos colaboradores da SinapseTech seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

Preservar as informações da empresa quanto à:

a) Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

b) Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

c) Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

d) Autenticidade: garantia de veracidade sobre a fonte de uma determinada informação, mantendo os registros das coletas realizadas e do lastro da informação como um todo, demonstrando de forma inequívoca a transmissão do dado.

Para a execução dos pilares acima expostos, é importante que:

Toda informação produzida ou coletada internamente deve ser considerada propriedade intelectual da Sinapsetech.
Disponibilização de informações deve ocorrer apenas quando necessária para a execução das atividades profissionais legítimas.
Informações sigilosas e confidenciais só devem ser compartilhadas mediante necessidade e finalidades legítimas ou ordem judicial.
Recursos e equipamentos da empresa são voltados às atividades profissionais, com uso pessoal tolerado desde que não prejudique a performance e a segurança dos sistemas.
Direitos autorais e propriedade industrial devem ser sempre respeitados, sem tolerância a plágio ou pirataria.

5. DAS RESPONSABILIDADES ESPECÍFICAS

Dos Colaboradores em Geral

Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.
Responder por todo prejuízo ou dano que causarem à empresa e/ou a terceiros, decorrentes do descumprimento desta Política e demais normas correlatas.

Dos Gestores de Pessoas e/ou Processos

Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.
Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a este documento.

Dos Custodiantes da Informação

Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.

- Administradores e operadores de sistemas computacionais só poderão acessar arquivos/dados de outros usuários para realizar atividades operacionais justificadas (manutenções, backups, auditorias).
- Administrar, proteger e testar cópias de segurança dos programas e dados críticos.
- Notificar o superior imediato antes de descartar informações cujo prazo de retenção esteja prestes a expirar.
- Garantir bloqueio rápido de acessos de usuários desligados, investigados ou em situação que exija restrição.
- Sincronizar relógios de servidores e estações com servidores de tempo oficiais do governo brasileiro.

6. DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Para garantir o cumprimento desta Política, a Sinapsetech poderá:

a) implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;

b) Realizar inspeção física nas máquinas de sua propriedade.

c) Instalar sistemas de proteção (preventivos e detectáveis) contra ameaças, garantindo a segurança das informações e perímetros de acesso.

A empresa poderá, adicionalmente, manter logs de eventos (acessos, tentativas de login, alterações de configurações) para auditoria interna e conformidade legal, retendo-os pelo período estipulado em normas internas ou leis aplicáveis.

7. E-MAIL CORPORATIVO

O e-mail corporativo é de uso profissional, propriedade da Sinapsetech e sujeito a monitoramento por compliance e diretoria.
É proibido o uso do e-mail corporativo para fins pessoais ou qualquer ação ilícita, divulgação de informações não autorizadas, adulteração de cabeçalhos, envio de SPAM e mensagens que exponham a empresa a riscos legais.
O e-mail deve sempre incluir a assinatura padrão definida pela Diretoria.

8. INTERNET

Todos os acessos podem ser monitorados e registrados.
A empresa pode bloquear sites, arquivos, e-mails, domínios ou aplicações que representem risco à segurança ou violem esta Política.
Alterações nos parâmetros de segurança sem devida autorização serão tratadas como falta grave.
O uso da internet para fins pessoais é permitido de forma moderada, sem prejudicar a rede ou o desempenho do trabalho.
Apenas pessoas autorizadas podem manifestar-se em nome da empresa em canais públicos.
É proibida a divulgação não autorizada de informações internas em listas de discussão, redes sociais, chats ou qualquer outro meio.
Não é permitido instalar softwares não autorizados, baixar ou distribuir conteúdo pirata.
É proibido o acesso a conteúdos inapropriados, deep web, redes sociais ou outras páginas de risco sem autorização expressa.
É importante verificar certificados de segurança (cadeado ao lado da URL) e manter antivírus atualizado. Serviços de comunicação instantânea (Skype, WhatsApp Web, Hangout etc.) podem ser restritos conforme solicitação formal da gestão.

9. IDENTIFICAÇÃO

Dispositivos de identificação (crachá, login, senha, biometria etc.) protegem a identidade do colaborador e são de uso pessoal.
Uso de credenciais de terceiros constitui crime de falsa identidade (art. 307, Código Penal).
Todo dispositivo de identificação deve estar associado inequivocamente a uma pessoa física, sendo proibido seu compartilhamento.

10. SENHAS

Cada colaborador receberá senha padrão e deverá trocá-la no primeiro acesso, seguindo as regras:

Mínimo de 12 caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais.
Não repetir as últimas 3 senhas;
Troca obrigatória a cada 90 dias;
Não utilizar informações pessoais (RG, CPF, aniversários etc.);
Não anotar senhas em locais inseguros;
Não compartilhar senhas;
Bloquear a sessão (Windows + L) ao se ausentar;
Não revelar senhas a colegas, familiares ou terceiros.
Suspeitando de comprometimento, trocar imediatamente e informar ao departamento de TI.

Se houver login compartilhado por força de processo, todos os que o utilizam são corresponsáveis. Porém, é proibido compartilhar logins para funções de administração de sistemas.

11. MESA LIMPA E TELA LIMPA

O objetivo da prática da Mesa Limpa e da Tela diz respeito aos cuidados a serem tomados a fim de assegurar que informações sensíveis, seja física ou digital, não sejam deixadas desprotegidas em estações de trabalho quando não estão em uso, ou quando deixa sua área de trabalho, seja por um curto espaço de tempo ou no fim do expediente.

Uma vez que informações estejam vulneráveis, estão sujeitas a acesso não autorizado e ao vazamento de dados. Desta maneira, faça uso das boas práticas abaixo dispostas para assegurar privacidade e proteção aos dados.

Use gavetas, armários ou cofres trancados para guardar documentos confidenciais.
Bloqueie ou desligue equipamentos quando não estiverem em uso.
Reduza impressões de documentos sensíveis, recolhendo-os imediatamente após impressão.
Não deixe senhas ou anotações confidenciais expostas.
Apague quadros e fragmentos de papéis ao término das reuniões.

12. COMPUTADORES E RECURSOS TECNOLÓGICOS

Todos os equipamentos da empresa destinam-se a atividades profissionais e devem ser utilizados seguindo procedimentos técnicos adequados.
Manutenções, instalações ou configurações só podem ser realizadas por pessoal autorizado.
Atualizações de segurança do sistema operacional e aplicativos devem passar por validação antes de implantação definitiva.
É proibido o uso de dispositivos USB de armazenamento (pendrives, HDs externos) sem aprovação prévia, visando evitar contaminação por malware ou cópia indevida de dados.
É obrigatório o uso de antivírus ativo e atualizado em todos os computadores. Arquivos não relacionados ao negócio (fotos, músicas, vídeos etc.) podem ser removidos a critério da TI.
Documentos importantes devem ser salvos em drives de rede (com backup), pois arquivos em disco local não têm garantia de backup.
Usuários e detentores de contas privilegiadas não devem executar comandos ou programas que sobrecarreguem a rede, sem autorização formal.
Terminais de computador de uso individual devem ter senha para restringir acessos não autorizados.
É proibido qualquer uso que resulte em atos ilícitos, violação de direitos autorais, divulgação de pornografia, racismo ou assédio.

Criptografia em Repouso e em Trânsito

Sempre que possível, dados armazenados em notebooks, desktops e servidores que contenham informações Confidenciais ou Sensíveis devem ser criptografados (ex.: uso de full disk encryption).
A transmissão de dados internos e externos deve ocorrer sobre protocolos criptografados (SSL/TLS ou VPN), principalmente no envio de informações sensíveis.

13. AUTENTICAÇÃO MULTIFATOR (MFA)

Todos os colaboradores devem, sempre que possível, ativar a autenticação multifator em sistemas e e-mails corporativos.
Em caso de comprometimento de senha, a MFA reduz os riscos de acesso indevido.
O código ou mecanismo usado (token, app, chave de segurança, SMS) não deve ser compartilhado.

14. DISPOSITIVOS MÓVEIS

Considera-se dispositivo móvel qualquer equipamento portátil (notebooks, smartphones, tablets) de propriedade da empresa ou autorizado pela direção.
A SinapseTech reserva-se o direito de inspecionar esses dispositivos a qualquer tempo.
O colaborador não deve divulgar informações confidenciais contidas no dispositivo, mesmo após seu desligamento da empresa.
É responsabilidade do usuário realizar backups periódicos.
Dispositivos móveis devem ter senha de bloqueio automático ou biometria.
Alterações de configuração sem conhecimento prévio da área responsável são proibidas.
Softwares devem ser previamente homologados.
Em caso de furto ou roubo, comunicar imediatamente o gestor direto e registrar boletim de ocorrência.

BYOD (Bring Your Own Device)

Caso a empresa venha a autorizar uso de dispositivos pessoais, estes devem ser previamente cadastrados e seguir as mesmas regras de segurança (MFA, antivírus, criptografia etc.).
Aplicar soluções de gerenciamento de dispositivos móveis (MDM) se necessário, conforme avaliação da TI.

15. TRABALHO REMOTO

Seguir todas as normas de segurança estabelecidas nesta Política.
Acessar a rede da Sinapsetech por meio de VPN individual, com credenciais próprias. Fazer logoff ou bloquear a máquina sempre que se ausentar.
Evitar uso em áreas públicas que comprometam a privacidade.
Não expor dados confidenciais em ambientes de risco.

16. BACKUP

Backups devem ser executados preferencialmente fora do horário comercial.
Mídias de backup devem ser armazenadas em local seguro, seco e climatizado, distante do Datacenter.
Controlar o tempo de vida e uso das mídias de backup.
Seguir as determinações fiscais e legais para retenção de dados críticos.
Qualquer atraso ou falha de backup/restore deve ser justificado.
Devem ser realizados testes de restauração (restore) em periodicidade definida, para garantir a confiabilidade do backup.

17. DAS DISPOSIÇÕES FINAIS

Assim como a ética, a segurança deve ser compreendida como parte fundamental da cultura interna da empresa.

Todos os contratos de trabalho ou prestação de serviços devem conter cláusula ou Acordo de Confidencialidade.
A empresa compromete-se a revisar periodicamente esta Política para assegurar conformidade com a LGPD e maior proteção aos titulares de dados.
O não cumprimento desta Política sujeitará o usuário às medidas administrativas e legais cabíveis.
A Sinapsetech exonera-se de responsabilidade decorrente de uso indevido ou negligente dos recursos concedidos. Em casos de apuração de irregularidades, poderá analisar dados e evidências para instauração de processos investigatórios e adoção de medidas legais.

18. GESTÃO DE INCIDENTES DE SEGURANÇA E RESPOSTA A INCIDENTES

Definição de Incidente: Qualquer evento que comprometa ou ameace a integridade, a disponibilidade ou a confidencialidade dos ativos de informação da Sinapsetech.
Plano de Resposta a Incidentes: É mantido pela área de Segurança da Informação, em conjunto com TI, Compliance e outras áreas envolvidas.
Deve contemplar procedimentos de identificação, contenção, erradicação e recuperação, bem como comunicação interna/externa. Define-se um time de resposta (CSIRT ou equipe designada) responsável pelo tratamento dos incidentes.
Comunicação e Escalonamento: Qualquer colaborador que detectar evento suspeito deve informar imediatamente a área de TI ou Segurança.
Dependendo da criticidade, a alta gestão ou autoridades poderão ser notificadas.
Registro e Aprendizado: Todos os incidentes e medidas tomadas devem ser documentados para lições aprendidas e melhoria contínua.

19. GESTÃO DE ACESSOS

Concessão de Acessos: Todo acesso a sistemas, aplicativos ou dados deve ser formalmente requisitado, aprovado pelo gestor responsável e registrado pela TI.
Princípio de Menor Privilégio (Least Privilege): Cada colaborador recebe somente os acessos estritamente necessários para executar suas funções.
Revisão Periódica: A TI, em conjunto com os gestores, deve realizar revisões de acessos (pelo menos semestrais ou conforme definido) para remover contas inativas ou perfis desatualizados.
Revogação Imediata: Em caso de desligamento ou mudança de função, todos os acessos não mais necessários devem ser bloqueados ou revogados imediatamente.
Segregação de Funções: Sempre que possível, evitar que o mesmo usuário concentre permissões conflitantes, prevenindo fraudes ou erros.

20. GESTÃO DE RISCOS

Avaliação de Riscos: Periodicamente, a empresa conduzirá análises de risco em processos e sistemas críticos, considerando ameaças, vulnerabilidades e impactos.
Tratamento de Riscos: Ações corretivas ou mitigatórias serão priorizadas conforme gravidade (alto, médio, baixo).
Monitoramento: Resultados e indicadores de risco são monitorados para verificar eficácia dos controles e identificar necessidades de melhoria.
Alinhamento com Normas: Sempre que viável, alinhar os processos de gestão de risco a frameworks reconhecidos como ISO 27001, ISO 31000 ou NIST.

21. CONSCIENTIZAÇÃO E TREINAMENTO

Programa de Treinamento: A Sinapsetech manterá um programa contínuo de treinamento e conscientização em Segurança da Informação e Privacidade (LGPD), com frequência definida (por exemplo, anual ou semestral).
Conteúdo: O programa pode incluir tópicos como uso seguro de senhas, prevenção de phishing, proteção de dados pessoais, políticas internas, entre outros.
Campanhas de Simulação: Podem ser realizadas campanhas de phishing simulado ou outras atividades para testar a conscientização dos colaboradores.
Registro de Participação: A participação dos colaboradores será registrada para fins de auditoria e cumprimento de requisitos legais.

22. VIGÊNCIA E REVISÕES

Esta Política entra em vigor na data de sua publicação e deve ser revista, no mínimo, anualmente ou em periodicidade definida pela Diretoria.

A revisão será conduzida pela área responsável (Segurança da Informação), em conjunto com as áreas correlatas (Compliance e Gestores de Negócio). Quaisquer alterações serão comunicadas a todos os colaboradores pelos canais internos oficiais.

REFERÊNCIAS

Lei Geral de Proteção de Dados (LGPD – nº 13.709/2018).
ISO/IEC 27001 e ISO/IEC 27002 – Sistemas de Gestão de Segurança da Informação.
NIST SP 800-61 – Computer Security Incident Handling Guide.
NIST SP 800-30 – Guide for Conducting Risk Assessments.

DECLARAÇÃO DE CONFORMIDADE

Este documento substitui e atualiza versões anteriores da Política de Segurança da Informação da SinapseTech, consolidando boas práticas e alinhando a empresa às normas nacionais e internacionais. A adesão a esta Política é condição obrigatória para todo colaborador, prestador de serviço ou parceiro que acesse ou manipule ativos de informação da Sinapsetech.

CONTROLE DE VERSIONAMENTO

Versão	Data	Responsável	Descrição
1.0	01/06/2023	Nicole Borba (DPO)	Primeira versão do documenot
1.2	11/02/2025	João Back (CISO)	Versionamento do documento com novas alterações.