Política de Segurança da Informação

Versão 1.0

1. Introdução

A Política de Segurança da Informação (“Política”) tem como objetivo estabelecer as regras, procedimentos e controles de Segurança da Informação da SERENA TECNOLOGIA E BEM ESTAR LTDA. (“SERENA TECNOLOGIA”), conforme as previsões regulatórias.

A Segurança da Informação pode ser entendida como a capacidade de prevenir, detectar, responder e de se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações.

Dessa forma, o objetivo desta Política é descrever o uso aceitável de tecnologias e protocolos durante o tratamento de dados. Essas regras estão em vigor para proteger nossos parceiros, clientes, colaboradores, prestadores de serviços, titulares de dados e a própria empresa do uso inapropriado de ativos e informações, que possam expor a SERENA TECNOLOGIA a riscos, incluindo ataques cibernéticos, comprometimento de sistemas e serviços de rede, situações reputacionais e violações legais.

Por meio desta Política, buscamos manter os Princípios do Privacy by Design, mantendo a funcionalidade total das operações. Isso quer dizer que o documento não tem o objetivo de impor restrições que sejam contrárias à cultura estabelecida na SERENA TECNOLOGIA de abertura, confiança e integridade e sim ter uma abordagem “risk oriented”, contra ações ilegais ou prejudiciais por parte de indivíduos, conscientes ou não.

Ainda, esta Política visa viabilizar a identificação de possíveis violações de segurança da Informação, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais, a fim de mitigar, assim, os riscos de segurança da informação, garantindo, ainda, a continuidade de seus negócios, protegendo os processos críticos de interrupções causadas por falhas ou desastres.

Ressalta-se que esta Política é condizente com:

  • O porte, o perfil de risco e o modelo de negócio da SERENA TECNOLOGIA.
  • A natureza das suas atividades e a complexidade dos serviços e produtos por ela fornecidos.
  • A sensibilidade dos dados e das informações sob responsabilidade da SERENA TECNOLOGIA.

2. Normas de Referência

Normas que servem de referência para a elaboração desta Política:

  • Lei Geral de Proteção de Dados (Lei n.º 13.709/2018).
  • Resolução CD/ANPD n.º 2 de janeiro de 2022.

3. Âmbito de Aplicação

A Presente Política será aplicável a todos os colaboradores, prestadores de serviços, empregados, parceiros, membros da Alta Administração e quaisquer outras pessoas, sejam físicas ou jurídicas, que tenham ou venham a ter acesso aos dados por meio da SERENA TECNOLOGIA.

3.1. O não cumprimento desta Política

O não cumprimento desta Política acarretará sanções administrativas, podendo acarretar o desligamento do colaborador ou rescisão do contrato vigente e a reparação de danos, de acordo com a gravidade da ocorrência. Caberá, ainda, direito de regresso por eventuais penalidades que tenham sido sofridas pela empresa.

4. Definições

Visando auxiliar na interpretação e aplicação desta Política, as palavras com iniciais maiúsculas, seja no singular ou no plural, devem ser entendidas da seguinte forma:

  • Alta Administração se refere aos membros que compõem a diretoria executiva e o conselho da administração, caso esteja implementado.
  • ANPD se refere à Agência Nacional de Proteção de Dados.
  • Cliente(s) se refere aos usuários que adquirem ou utilizem de alguma forma os serviços da SERENA TECNOLOGIA.
  • Colaborador(es) se refere aos empregados contratados sob o regime da CLT, estagiários e jovens aprendizes.
  • Controlador(es) se refere às empresas que contratam o serviço da SERENA TECNOLOGIA.
  • Incidente de segurança com dados pessoais: Conforme definição da ANPD: Incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
  • Terceiro(s) se refere aos prestadores de serviços, parceiros comerciais, dentre outras pessoas jurídicas ou físicas que se relacionem comercialmente com a SERENA TECNOLOGIA.

5. Governança em Proteção de Dados

A SERENA TECNOLOGIA mantém um programa de governança em privacidade para estruturar políticas, processos, responsabilidades e cultura organizacional voltados à proteção de dados, alinhado à LGPD e às melhores práticas de mercado.

A execução e a atualização do programa são coordenadas por um Responsável de Privacidade, que supervisiona o ciclo de vida das políticas, prazos de revisão, conformidade e melhorias contínuas, com suporte consultivo jurídico externo.

6. Diretrizes Gerais de Responsabilidade e Conformidade

Esta Política tem o intuito de assegurar a proteção dos ativos de informação contra ameaças, internas ou externas, reduzir a exposição a perdas ou danos decorrentes de falhas de segurança da informação e garantir que os recursos adequados estarão disponíveis, mantendo um programa de segurança efetivo e conscientizando Colaboradores e Terceiros acerca do tema.

Os processos de segurança de dados e da informação da SERENA TECNOLOGIA devem assegurar a:

  • Confidencialidade: Garantia de que a informação somente estará acessível para pessoas autorizadas.
  • Integridade: Garantia de que a informação, armazenada ou em trânsito, não sofrerá qualquer modificação não autorizada, seja esta intencional ou não.
  • Disponibilidade: Garantia de que a informação estará disponível sempre que for necessário.
  • Autenticidade: Garantia sobre a fonte segura da informação.
  • Não repúdio: Garantia de monitoramento de uso, evitando negativa de autoria.

Ainda, a SERENA TECNOLOGIA assegura que:

  • Todos os dados pessoais coletados serão tratados conforme a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709 de 2018), sendo utilizados somente para a finalidade para a qual foram coletados;
  • Baseará a gestão de seus sistemas e ambientes virtuais com base em análises de riscos revisadas periodicamente;
  • A definição e implementação de controles terá como parâmetro normas nacionais e internacionalmente reconhecidas na área de sistemas de gestão de segurança da informação e segurança da informação;
  • Com base nas avaliações de riscos e perfil da organização será elaborado cenário de incidentes considerados nos testes de continuidade dos serviços;
  • Classifica os dados e as informações quanto à relevância;
  • Divulga e capacita a sua equipe, a fim de disseminar a cultura de segurança da informação.

6.1. Diretrizes Gerais de Responsabilização e Conformidade

Ainda, a SERENA TECNOLOGIA poderá realizar auditorias e monitoramento em suas redes, dispositivos e sistemas periodicamente para garantir a conformidade com esta Política.

6.1.1. Novos Dispositivos

Para que novos dispositivos sejam incluídos na rede e ao sistema, a aprovação explícita pelo gestor competente é necessária.

6.1.2. Autenticação

Todo uso de tecnologia ou dispositivos deve ser autenticado com ID de usuário e senha ou outro item de autenticação (por exemplo, token), conforme Política de Senha Segura.

6.1.3. Rastreamento

Todas as tecnologias ou dispositivos exigem uma lista de todo o pessoal autorizado a usar os dispositivos, conforme princípios de need to know.

6.1.4. Marcação

Todas as tecnologias ou dispositivos exigem rotulagem de dispositivos com proprietário, informações de contato e finalidade.

6.1.5. Classificação e Acesso à Informação

As informações devem ser classificadas e acessadas de acordo com esta Política.

6.1.6. Laptops

Como as informações contidas em Notebooks são especialmente vulneráveis, deve-se ter cuidado especial, dessa forma o uso dos mesmos deve ser realizado conforme o presente documento.

6.1.7. Software antivírus

O uso de software de proteção contra vírus deve estar em conformidade com o presente instrumento.

6.1.8. E-mail

A comunicação via e-mail e utilização dessas ferramentas deve estar em conformidade com o presente instrumento.

6.1.9. Usos Proibidos

Os ativos, sistemas e bens da SERENA TECNOLOGIA em nenhuma circunstância poderão ser utilizados para atividades ilícitas ou que vão em encontro com os objetivos, missão e cultura da empresa, assim como suas Políticas internas. A lista, a seguir, de condutas proibidas, é exemplificativa. São terminantemente proibidos(as):

  • A distribuição ou acesso de Informações Confidenciais, restritas por pessoas que não possuam a devida autorização de segurança.
  • Violações dos direitos de qualquer pessoa ou empresa protegida por direitos autorais, segredo comercial, patente ou outra propriedade intelectual, ou leis ou regulamentos semelhantes, incluindo, mas não limitado à instalação ou distribuição de produtos de software “pirateados” ou outros que não sejam devidamente licenciados para uso pela SERENA TECNOLOGIA.
  • Realização ou uso de cópia não autorizada de material protegido por direitos autorais, incluindo, mas não limitado a digitalização e distribuição de fotografias de revistas, livros ou outras fontes protegidas por direitos autorais, música protegida por direitos autorais e a instalação de qualquer software protegido por direitos autorais para o qual a SERENA TECNOLOGIA ou o usuário final não tenha uma licença ativa.
  • A exportação de software, informações técnicas, software ou tecnologia de criptografia, em violação às leis internacionais ou regionais de controle de exportação, sem a devida autorização.
  • A introdução de programas maliciosos na rede ou servidor da SERENA TECNOLOGIA ou de Terceiros (por exemplo, vírus, worms, cavalos de tróia, bombas de e-mail, etc.).
  • A revelação da senha de contas de acesso para outras pessoas ou permissão do uso de contas de acesso por outras pessoas. Isso inclui familiares e outros membros da família quando o trabalho está sendo feito em casa.
  • O uso de um ativo de computação da SERENA TECNOLOGIA para se envolver ativamente na aquisição ou transmissão de material que viole as leis de assédio sexual ou locais de trabalho hostis na jurisdição local do usuário.
  • A feitura de ofertas fraudulentas de produtos, itens ou serviços provenientes de qualquer conta da SERENA TECNOLOGIA.
  • Efetuar violações de segurança ou interrupções de comunicação de rede. As violações de segurança incluem, mas não se limitam, a acessar dados dos quais o funcionário não é um destinatário pretendido ou fazer login em um servidor ou conta que o funcionário não está expressamente autorizado a acessar, a menos que essas funções estejam dentro do escopo das funções normais. Para os propósitos desta seção, “interrupção” inclui, mas não se limita a, detecção de rede, inundações de ping, falsificação de pacotes, negação de serviço e informações de roteamento forjadas para fins maliciosos.
  • A varredura de portas ou varredura de segurança de forma independente é expressamente proibida, a menos que seja feita uma notificação prévia ao Gestor Responsável.
  • Executar qualquer forma de monitoramento de rede que intercepte dados, a menos que essa atividade faça parte do trabalho/dever normal do funcionário.
  • Contornar a autenticação do usuário ou a segurança de qualquer host, rede ou conta.
  • Usar qualquer programa/script/comando ou enviar mensagens de qualquer tipo com a intenção de interferir ou desabilitar a sessão do terminal de um usuário, por qualquer meio, localmente ou via Internet/Intranet/Extranet.
  • Revelar informações ou listas de funcionários da SERENA TECNOLOGIA para terceiros.
  • Realizar o envio de mensagens de e-mail não solicitadas, incluindo o envio de “lixo eletrônico” ou outro material publicitário para indivíduos que não solicitaram especificamente esse material (spam de e-mail).
  • Envio de PANs (números de cartão de crédito) não criptografados por qualquer tecnologia de mensagens do usuário final (e-mail, mensagens instantâneas, bate-papo).
  • Realizar qualquer forma de assédio via qualquer canal de comunicação.
  • Realizar o uso não autorizado ou falsificação de informações de cabeçalho de e-mail.
  • Criar ou encaminhar “correntes”, “Ponzi” ou outros esquemas de “pirâmide” de qualquer tipo.
  • Publicar mensagens não relacionadas a negócios iguais ou semelhantes em muitos grupos de notícias Usenet (spam de grupo de notícias).
  • Não empregar os esforços necessários de cuidado para acesso a rede pública de internet.

7. Procedimentos e Controles

7.1. Política de Classificação de Dados

A SERENA TECNOLOGIA adota diretrizes internas para classificação e tratamento das informações sob sua responsabilidade, considerando critérios de sensibilidade, confidencialidade e relevância para suas operações e para a proteção dos dados de seus clientes.

De forma geral, as informações são organizadas em níveis de acesso e proteção compatíveis com sua natureza e finalidade, buscando assegurar o uso adequado, o sigilo e a integridade das informações corporativas e pessoais tratadas pela empresa.

A classificação segue parâmetros que diferenciam:

  • Informações públicas, destinadas à divulgação externa previamente autorizada;
  • Informações de uso interno, restritas a colaboradores, prestadores e parceiros autorizados;
  • Informações confidenciais ou sensíveis, cujo acesso é limitado e controlado, com tratamento conforme a Lei Geral de Proteção de Dados (LGPD) e demais normas aplicáveis.

7.1.1. Política de Restrição de Acessos

A SERENA TECNOLOGIA adota o princípio do acesso mínimo necessário, assegurando que cada colaborador, prestador ou parceiro tenha acesso apenas às informações e sistemas indispensáveis para o desempenho de suas funções.

Os níveis de acesso são definidos de acordo com a sensibilidade das informações e a necessidade operacional, garantindo que dados estratégicos e pessoais recebam proteção compatível com seu grau de criticidade.

De forma geral, o acesso a informações e recursos tecnológicos:

  • É concedido mediante autorização prévia e controles de autenticação adequados;
  • Está condicionado à assinatura de termos de confidencialidade e responsabilidade;
  • É revisto periodicamente, especialmente em casos de mudança de função, desligamento ou alteração de responsabilidades;
  • Deve seguir políticas internas que regulam criação, uso e revogação de credenciais, bem como monitoramento de acessos a ambientes sensíveis.

7.2. Política de Sistemas Antivírus

A SERENA TECNOLOGIA adota medidas preventivas e de controle voltadas à proteção de seus sistemas, redes e dispositivos contra códigos maliciosos, como vírus, trojans e outros tipos de software que possam comprometer a segurança da informação.

De forma geral, todos os dispositivos e sistemas utilizados nas operações da SERENA TECNOLOGIA devem seguir boas práticas de segurança, tais como:

  • Utilização de soluções antivírus e antimalware regularmente atualizadas;
  • Adoção de verificações periódicas de segurança em equipamentos e sistemas conectados à rede corporativa;
  • Isolamento e análise imediata de dispositivos suspeitos de infecção, até que sua integridade seja confirmada;
  • Proibição de atividades maliciosas ou de disseminação intencional de softwares que possam causar danos ou interrupções aos sistemas da empresa ou de terceiros.

7.3. Política de Auditoria

A SERENA TECNOLOGIA adota práticas de auditoria e monitoramento voltadas à verificação da conformidade com suas políticas internas de segurança, privacidade e uso responsável dos recursos tecnológicos.

As atividades de auditoria são conduzidas de forma proporcional, transparente e alinhada à Lei Geral de Proteção de Dados (LGPD), respeitando a privacidade e os direitos dos colaboradores, parceiros e demais titulares de dados.

As auditorias podem incluir verificações técnicas e operacionais relacionadas à segurança da informação, acesso a sistemas corporativos e conformidade regulatória, sempre mediante critérios previamente definidos e comunicados internamente.

7.4. Política de Dispositivos Desktop e Laptop

Com o objetivo de manter a segurança em dispositivos locais, será necessário a adoção das seguintes medidas:

  • Os usuários de desktops e laptops devem concordar em assumir responsabilidade compartilhada pela segurança de seu sistema e pelas informações nele contidas.
  • Ao alocar um desktop ou laptop, o usuário deve preencher um Formulário de Usuário de Desktop/Laptop e se comprometer a cumprir todas as seções aplicáveis desta Política de Segurança de Desktop e Laptop.
  • Desktops e laptops são entregues aos colaboradores da SERENA TECNOLOGIA, quando isso acontece, o usuário assume a “tutela” temporária do sistema.
  • Ao deixar a posição na SERENA TECNOLOGIA, o indivíduo deve devolver o dispositivo ao seu gerente ou supervisor, assinando novamente seu Formulário de Usuário de Desktop/Laptop original. Isso libera o indivíduo de responsabilidade sobre ações futuras realizadas com este dispositivo.
  • Os usuários devem tomar todas as medidas razoáveis para se proteger contra a instalação de software não licenciado ou malicioso, conforme esta Política.
  • Não é permitido o uso de software não licenciado (pirataria de software).
  • Os softwares instalados devem ser validados e aprovados pelo Gestor Responsável. Instalações não gerenciadas podem comprometer o ambiente operacional de TI e também constituir um risco de segurança, incluindo a disseminação intencional ou não intencional de vírus de software e outros softwares mal-intencionados.
  • O software comercial (incluindo shareware) deve: a) Ter uma licença válida para cada usuário em potencial; b) Ser verificado quanto a todos os riscos de segurança conhecidos, incluindo software malicioso.
  • O Usuário deve proteger seu acesso por senha e não permitir acessos de convidados.
  • O Usuário deve proteger o acesso ao seu PC com a tela de bloqueio automático para forçar o usuário a fazer login novamente após 15 (quinze) minutos de inatividade.
  • O Usuário deve permitir a execução diária do antivírus, programada pelo Setor Responsável.
  • O Usuário deve permitir a atualização regular de seu sistema operacional e aplicativos, como seu navegador, cliente de e-mail, aplicativos de escritório, etc.
  • O Usuário não pode instalar ou abrir arquivos recebidos de entidades desconhecidas.
  • O Usuário deve desativar os recursos de ‘autorun’ que acionam qualquer mídia para ser montada e executada assim que for conectada ao PC.
  • Os Usuários não devem abrir arquivos executáveis recebidos por e-mail ou pelo navegador (Por exemplo, componentes ActiveX).
  • O Usuário deve notificar qualquer risco de infecção ao Gestor Responsável.

Adicionalmente, como medidas de segurança, os usuários de laptops devem cumprir as seguintes regras:

  • Os laptops não devem ser deixados à vista em um veículo sem vigilância, mesmo por um curto período de tempo;
  • Os laptops não devem ser deixados em um veículo durante a noite;
  • Os laptops não devem ser posicionados de forma que sejam visíveis do lado de fora de uma janela do andar térreo, a menos que não haja alternativa;
  • Um laptop exibindo informações confidenciais sendo usadas em um local público, por exemplo, num comboio, avião ou autocarro, deve, sempre que possível, ser posicionado de forma a que o ecrã não possa ser visto por outras pessoas. Se necessário, alguns dispositivos possuem funções para proteger a visão de terceiros posicionados ao lado da tela;
  • Em situações vulneráveis, por ex. áreas públicas como saguões de aeroportos, hotéis e centros de conferências, o laptop nunca deve ser deixado sem vigilância;
  • Os computadores portáteis devem sempre que permitidos ser transportados como bagagem de mão ao viajar, de preferência em malas com cores vivas ou etiquetas grandes, pois isso impedirá muitos ladrões em potencial;
  • Quando qualquer uma das regras acima for inadequada ou impraticável, o proprietário é responsável por tomar todas as medidas razoáveis para minimizar o risco de perda ou dano do laptop;
  • Os usuários de laptop devem empregar o padrão corporativo para criptografia de dados em arquivos e pastas em laptops, por exemplo, Microsoft EFS (Sistema de Arquivos Criptografados) ou PGPDisk.
  • Os usuários de laptops devem notificar as autoridades competentes imediatamente se seu laptop for perdido ou roubado.

7.5. Política de Email

A SERENA TECNOLOGIA estabelece diretrizes gerais para o uso responsável e seguro de e-mails corporativos, com o objetivo de prevenir incidentes de segurança da informação e proteger dados corporativos e pessoais sob sua guarda.

O envio de comunicações eletrônicas deve ser realizado com atenção, ética e conformidade às normas internas, garantindo que as mensagens sejam direcionadas apenas aos destinatários necessários e contenham informações adequadas ao contexto profissional.

Adicionalmente, como parte das medidas de segurança adotadas, os colaboradores da SERENA TECNOLOGIA devem observar as seguintes boas práticas:

  • Agir com cautela ao enviar e-mails externos, especialmente ao incluir múltiplos destinatários ou anexos;
  • Utilizar mensagens com avisos de confidencialidade e uso restrito sempre que o conteúdo envolver informações corporativas ou sensíveis;
  • Verificar a legitimidade de remetentes e links antes de abrir arquivos ou acessar endereços eletrônicos, prevenindo incidentes de segurança;
  • Manter o uso dos canais corporativos autorizados para o envio e recebimento de informações internas, respeitando as diretrizes de confidencialidade e classificação da informação;
  • Proteger dispositivos e credenciais corporativas, utilizando autenticação reforçada e evitando compartilhamentos não autorizados.

7.7. Política de Criptografia

A SERENA TECNOLOGIA adota mecanismos de criptografia e outras medidas de segurança da informação com o objetivo de proteger a confidencialidade, integridade e autenticidade dos dados tratados em seus ambientes tecnológicos.

O uso de criptografia é aplicado de forma proporcional ao nível de sensibilidade das informações e ao risco envolvido nas operações, abrangendo comunicações eletrônicas, armazenamento de dados e demais processos que demandem proteção adicional.

A empresa utiliza tecnologias e padrões de segurança amplamente reconhecidos no mercado, observando recomendações de órgãos técnicos e regulamentares competentes. As práticas são revisadas periodicamente, acompanhando a evolução tecnológica e as melhores práticas do setor.

7.8. Prevenção à Incidente de Segurança ocasionado por Colaboradores ou Terceiros

7.8.1. Concessão de Acesso aos Sistemas e Monitoramento

A Diretoria exigirá a assinatura de Termo de Confidencialidade e Sigilo com os Colaboradores e Terceiros envolvidos nas operações da SERENA TECNOLOGIA, bem como indicará quem são os gestores responsáveis por conceder, limitar, excluir e suprimir o acesso aos sistemas e ambientes virtuais da SERENA TECNOLOGIA, de forma que a SERENA TECNOLOGIA contará com mecanismos de cadastro, autenticação e de rastreio das ações (logs dos históricos) realizadas por seus Colaboradores e Terceiros, que, porventura, tenha acesso aos seus sistemas.

A SERENA TECNOLOGIA manterá canal de denúncia anônimo disponível aos Colaboradores, para que possam relatar condutas suspeitas de colegas ou de Terceiros, bem como, realizará periodicamente auditorias internas, com o objetivo de avaliar o histórico de acessos (logs) de Colaboradores, a fim de diagnosticar eventual conduta suspeita ou irregular, bem como irá requerer o mesmo padrão de zelo e de gestão das empresas de processamento, armazenamento e computação em nuvem contratadas.

7.8.2. Uso de equipamentos corporativos, responsabilidade com os dados de acesso e restrições de acesso

A SERENA TECNOLOGIA fornecerá os equipamentos eletrônicos que sejam necessários a execução das atividades pelo Colaborador, tais como: laptops, pen-drives, tablets, celulares, dentre outros, podendo assim realizar varreduras e investigações internas nos equipamentos corporativos. Além disso, a SERENA TECNOLOGIA se propõe a implementar em seus equipamentos e sistemas um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais, conforme determinado nesta Política.

Os Colaboradores são responsáveis por todos os atos executados com seu identificador (login), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia, estando proibido de ceder ou facilitar o uso do seu identificador ou o uso de equipamentos por outras pessoas, ainda, enquanto estiver ausente deverá bloqueá-los, outros detalhes constam na Política de Segurança da Informação.

7.9. Prevenção à Indisponibilidade do Sistema e Ambientes Virtuais da SERENA TECNOLOGIA

Para garantir a continuidade operacional e reduzir o risco de indisponibilidade, a empresa adota medidas preventivas e contrata suporte técnico especializado de terceiros, responsável pela execução de rotinas de verificação e resposta a incidentes. Como práticas de controle, poderão implementadas as seguintes medidas:

  • Redundância de links de internet e de servidores;
  • Monitoramento por meio de logs;
  • Load balance;
  • Assistência externa com o provedor de internet com SLA máximo de 4h (quatro horas) para a solução, quando estiver sem acesso à rede.

7.9.1. Manutenção e Cópias de Segurança

A SERENA TECNOLOGIA realiza cópias de Segurança (Backup) e recuperação (Restore) de dados e informações, inclusive das informações e dados que, porventura, estejam sendo processados e armazenados por prestadores de serviços localizados no Brasil ou no exterior, devendo adotar medidas administrativas que visem a sua integridade e inviolabilidade.

7.9.2. Informações e Proteção aos Clientes

A SERENA TECNOLOGIA disponibiliza em seu sistema os Termos de Uso e Aviso de Privacidade, pelos quais será possível verificar as condições gerais dos serviços disponíveis e de utilização da plataforma, além de informar as empresas terceiras que terão acesso aos dados pessoais, para fins de prestação dos serviços.

7.10. Segurança das Comunicações

Para garantir a segurança das Comunicações a SERENA TECNOLOGIA deve sempre:

  • Utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim-a-fim para serviços de comunicação.
  • Instalar e manter um sistema de firewall e/ou utilizar um Web Application Firewall (WAF – Filtro de Aplicação).
  • Proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e integrar o antivírus ao sistema de e-mail.
  • Remover quaisquer dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas.

7.11. Da contratação de serviços de processamento, armazenamento de dados e de computação em nuvem

A SERENA TECNOLOGIA realizará avaliações prévias para efetivar a contratação de terceiros prestadores de serviços de processamento, armazenamento de dados e de computação em nuvem, seja no Brasil ou no exterior, de forma que as práticas de verificação a serem adotadas consideram a: i. criticidade do serviço, ii. sensibilidade dos dados e informações a serem processados, armazenados e gerenciados, levando em conta ainda a classificação prevista no item 6.1 desta Política.

A SERENA TECNOLOGIA poderá adotar as seguintes práticas:

  • Pesquisa prévia utilizando banco de dados público ou privado;
  • Solicitação de preenchimento de formulário e envio de documentos e informações;
  • Visitas técnicas;
  • Auditoria realizada por empresa externa independente especializada;
  • Solicitação de contratação de seguro contra vazamento de dados;
  • Previsão contratual de responsabilidade por incidente de dados pessoais ocasionados por sua culpa ou dolo;
  • Realizar contrato de acordo de nível de serviço com o provedor de serviços em nuvem, contemplando a segurança dos dados armazenados;
  • Avaliar se o serviço oferecido pelo provedor do serviço em nuvem atende os demais requisitos de segurança da informação estabelecidos;
  • Analisar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado;
  • Utilizar técnicas de autenticação multi-fator para acesso aos serviços em nuvem relacionados a dados pessoais;
  • O Contratado deverá cumprir com o Guia da ANPD de Segurança da Informação;
  • Ainda, no momento de extinção contratual o prestador de serviços deverá:
    • Transferir os dados ao novo prestador ou à SERENA TECNOLOGIA.
    • Confirmar a integridade e disponibilidade dos dados transferidos e, após isso, excluí-los de sua base.

7.12. Política de Senha Segura

As senhas utilizadas em nível profissional em atividades ligadas a SERENA TECNOLOGIA devem respeitar as seguintes regras:

  • Os usuários nunca devem compartilhar sua senha com outros usuários.
  • Todas as senhas de nível de sistema (por exemplo, root, enable, NT admin, contas de administração de aplicativos, etc.) devem ser alteradas pelo menos a cada 90 (noventa) dias.
  • Todas as senhas de nível de sistema de produção devem fazer parte do banco de dados global.
  • Todas as senhas de nível de usuário (por exemplo, e-mail, web, computador desktop, desenvolvimento, sistema de contabilidade do comerciante, produção etc.) devem ser alteradas pelo menos a cada 90 (noventa) dias.
  • As contas de usuário que têm privilégios de nível de sistema concedidos por meio de associações a grupos ou programas devem ter uma senha exclusiva e diferente de todas as outras contas mantidas por esse usuário.
  • As senhas não devem ser inseridas em mensagens de e-mail ou outras formas de comunicação eletrônica, bem como não devem ser inseridas em post-its ou locais de fácil visualização.
  • A reutilização de senhas em diferentes níveis de administração e uso do sistema não é permitida.
  • Trimestralmente, um software de quebra de senha será usado para identificar aleatoriamente senhas fracas e pedir aos proprietários das contas que as alterem imediatamente.
  • Todas as senhas de backoffice inativas devem ser revogadas após 90 (noventa) dias.
  • O acesso ao servidor de banco de dados é conhecido apenas pelo Administrador.
  • Os Usuários não devem imprimir ou escrever em papel suas senhas. A SERENA TECNOLOGIA instrui que os Usuários a memorizem e não mantenham nenhum rastro. No entanto, o Usuário pode usar alguma ajuda de memória com truques para lembrá-lo.
  • O Usuário deve utilizar sempre senhas de, no mínimo, 8 (oito) caracteres, misturando letras maiúsculas e minúsculas, números e caracteres especiais, e não deve usar informações pessoais ou palavras de dicionário para gerar sua senha.
  • O Usuário deverá escolher uma nova senha para o backoffice de gerenciamento pelo menos uma vez a cada 90 (noventa) dias e não poderá usar uma das últimas quatro senhas que utilizou antes.
  • Se desenvolvedores, funcionários ou clientes tiverem acesso aos ambientes de produção e teste, as credenciais usadas para acessar um ou outro devem ser diferentes.

7.13. Política de Análises de Riscos

A execução, desenvolvimento e implementação de programas de análises de riscos são de responsabilidade do Diretor da Área de Tecnologia da Informação. Espera-se que os funcionários cooperem totalmente com qualquer análise conduzida em sistemas pelos quais são responsáveis. Espera-se também que os colaboradores trabalhem conjuntamente no desenvolvimento de um plano de gestão de risco e remediação. Avaliações preliminares de risco serão sempre realizadas quando ocorrerem:

  • Grandes Pedidos de Alteração.
  • Grandes mudanças nos sistemas e redes responsáveis pelo transporte ou processamento de informações confidenciais ou restritas, incluindo novos equipamentos de rede, novos sistemas operacionais e novos servidores de correio.
  • Novas interfaces para processadores de terceiros ou integradores de sistemas.

7.13.1. Processo de Avaliação de Risco

As análises de risco devem conter ao menos os seguintes componentes:

  • Atribuir um nível de risco;
  • Atribuir valores para probabilidade e impacto do evento negativo, conforme matriz previamente aprovada;
  • Determinar qual nível de segurança existe no momento;
  • Verificar possibilidade de Risco inerente;
  • Estabelecer medidas complementares e realizar a gestão do risco.

O risco é definido como uma função da probabilidade de um evento negativo se concretizar e da magnitude da perda se ocorrer. Os seguintes níveis de risco são usados no processo de avaliação:

  • Risco mínimo;
  • Baixo risco;
  • Risco moderado;
  • Alto risco;
  • Risco máximo.

7.14. Política de Desenvolvimento Seguro de Software

Caso vá realizar o desenvolvimento próprio, mesmo que por mão de obra de terceiros, de sistemas e softwares, a SERENA TECNOLOGIA deverá estabelecer uma Política de Desenvolvimento Seguro de Software.

8. Política de Retenção de Dados

A SERENA TECNOLOGIA deverá manter Política de Retenção de Dados, levando em consideração as normas aplicáveis, principalmente relacionadas aos dados pessoais.

9. Plano de Respostas a Incidentes

A SERENA TECNOLOGIA deve elaborar cenários de incidentes, no âmbito dos testes de continuidade dos negócios, visando mapear os eventos capazes de dificultar a operação dos agentes computacionais ou humanos, que provocam queda no desempenho, obstrução ou erro na execução de um ou mais processos organizacionais e impossibilitam a plena operação dos serviços. Além disso, deverá manter a Política de Resposta a Incidentes de Segurança aplicadas e difundidas na empresa.

Ainda, em caso de incidentes, como interceptações, compartilhamentos ou vazamentos de informações, o Colaborador ou Terceiro tem o dever de informar a Área de Tecnologia da Informação da SERENA TECNOLOGIA ou o seu Encarregado de Dados, em um prazo máximo de 2 (duas) horas, para que todas as medidas de segurança sejam tomadas.

10. Capacitação de Colaboradores e Terceiros

A equipe da SERENA TECNOLOGIA manterá comunicação ativa e periódica sobre os termos desta Política, de modo que os Colaboradores e Terceiros que prestem serviços relevantes e relacionados com esta Política, passaram por capacitações, com objetivo de esclarecer a interpretação e aplicação desta Política, bem como informá-los sobre temas atrelados a esta Política, tais como: proteção de dados pessoais, segurança da informação, política de consequências, dentre outros.

Além disso, a equipe da SERENA TECNOLOGIA será responsável por orientar os Colaboradores para não desativarem ou ignorarem as configurações de segurança de estações de trabalho, realizar backups offline, periódicos e armazená-los de forma segura e inventariar e cifrar dados de dispositivos externos. Os treinamentos devem conter no mínimo:

  • Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário;
  • Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;
  • Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
  • Não compartilhar logins e senhas de acesso das estações de trabalho;
  • Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;
  • Seguir as orientações da política de segurança da informação.

11. Vigência

A presente Política foi aprovada pela Diretoria Executiva, de forma que o documento entra em vigor em 13/11/2025 e será revisado no período máximo de 01 (um) ano ou havendo necessidade anterior, o que for menor, para que permaneça sempre atualizado.

Em caso de dúvidas acerca desta Política, por favor, entre em contato através do e-mail contato@serenanotes.ai.