Política de Privacidade e S.I.

Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para organização ou seus clientes. Ela pode estar guardada para uso restrito ou exposta ao cliente para consulta ou manuseio. Pode estar impressa, escrita, pode ser falada, transmitidas por e-mails ou outros meios eletrônicos. Independente da forma apresentada ou o meio do qual a informação é compartilhada ou armazenada, a informação é o maior ativo da PASCHOALOTTO e de seus clientes e, por isso, essencial ao negócio. Uma vez que se é trabalhado com informações de terceiros (clientes), além de prover segurança para a sua própria operação, é exigido também o cumprimento contratual de segurança destas informações, sendo a PASCHOALOTTO responsável por qualquer incidente ou divulgação intencional ou arbitrária das mesmas. Por esses motivos, a informação deverá ser devidamente protegida e utilizada de modo ético e seguro, garantindo confiabilidade através da proteção da:

a) Confidencialidade: Garantir que o acesso à informação seja obtido somente por pessoas autorizadas;
b) Integridade: Garantir a exatidão e completude da informação e dos métodos de seu processamento, bem como da transparência no tratamento com os públicos envolvidos;
e
c) Disponibilidade: Garantir que as pessoas autorizadas tenham acesso à informação, sempre que necessário.

A Política de Segurança da Informação deve ser de conhecimento de todos e deve ser divulgada da seguinte forma:
a) Impressa;
b) Via campanhas de Segurança da Informação; e
c) Por meio digital, através da intranet corporativa.

A política deve estar disponível em local de acesso dos clientes internos e protegida contra alterações.

Todos os clientes internos, temporários, aprendizes, estagiários, líderes, executivos, diretores, sócios, além de prestadores de serviços, parceiros e fornecedores que realizem qualquer forma de acesso ou manipulação das informações ou utilizem recursos tecnológicos da PASCHOALOTTO devem aderir formalmente ao “Termo de Confidencialidade e Ciência da Política de Segurança da Informação” comprometendo-se a agir de acordo com a Política e Normas de segurança da informação, além do Código de Ética e Conduta da PASCHOALOTTO.

Para endereçar todo o esforço e manutenção necessária para a Segurança da Informação, a PASCHOALOTTO estabelece as seguintes diretrizes:

a) Uma estrutura de Gestão da Segurança da Informação será estabelecida e mantida com apoio da Alta Administração, através de um Sistema de Gestão de Segurança da Informação (SGSI);

b) A informação deverá ser utilizada com senso de responsabilidade e de modo ético e seguro por todos, em benefício exclusivo dos negócios corporativos; 

c) A PASCHOALOTTO reserva-se o direito de monitorar e registrar todo o uso das informações geradas, armazenadas ou veiculadas na empresa; 

d) Todos os ativos de informação devem ser devidamente identificados, classificados e monitorados;

e) A identificação de cada cliente interno da PASCHOALOTTO é única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;

f) Os riscos identificados deverão ser analisados, classificados e apresentados ao Comitê de Gestão da Segurança da Informação (CGSI), que deliberará sobre o tratamento adequado para tais;

g) A PASCHOALOTTO, segue, documenta e mantêm atualizadas as leis que regulamentam suas atividades, bem como dos aspectos de propriedade intelectual; 

h) Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta política o solicitante deverá documentá-las com todas as informações do fato por um documento escrito e comunica-las imediatamente à área de Segurança da Informação através do endereço de e-mail: soc@paschoalotto.com.br para que possibilite a adoção de medidas alternativas que minimizem os

Para manter um nível satisfatório de segurança constitui-se o Comitê de Gestão de Segurança da Informação (CGSI) que adotará as diretrizes apresentadas:

a) O controle de acesso dos clientes internos ou terceiros aos ativos de informação deve ser devidamente controlado e aprovado pelo responsável pela informação (gerência ou, diretoria), a qual o acesso permitirá a manipulação, quer seja para simples consulta ou para alteração;

b) O uso do e-mail sob domínios de propriedade da PASCHOALOTTO será permitido para clientes internos e para terceiros somente quando for necessário, e por tempo determinado pela gerência da área solicitante mediante a assinatura do Termo de responsabilidade. Este tempo poderá ser prorrogado mediante nova solicitação da gerência da área;

c) Cópias de segurança (backup) devem ser realizadas através de mídias específicas para as informações que são consideradas vitais para os sistemas e para a retomada das atividades das áreas, em caso de indisponibilidade;

d) Regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas para os desenvolvimentos realizados dentro da organização;

e) Terceiros somente deverão ter acessos a sistemas legados da empresa quando acompanhados por recurso interno;

f) A concessão de acesso remoto para os clientes internos deve ser autorizada formalmente e solicitada ao departamento de Tecnologia da Informação pela gerência
da área solicitante, ocasião em que deverá ser indicado o tipo de acesso, permissão e as informações a serem acessadas, sendo de responsabilidade do solicitante dos atos oriundo do acesso;

g) Dispositivo móvel entende-se qualquer equipamento eletrônico com atribuições de mobilidade no manuseio da informação e destina-se ao uso para realização das
atividades de trabalho e para comunicação com a empresa, fornecedores ou clientes, devendo ser utilizado somente para esta finalidade, podendo haver especificações e/ou restrições de acordo com normativas contratuais de nossos clientes contratantes; 

h) As informações devem ser classificadas e manuseadas de acordo com a confidencialidade e as proteções necessárias, da seguinte forma: Pública, Sensível, Privada e Confidencial e devem ser tratadas, armazenadas e descartadas de maneira correta para garantir os aspectos de segurança da informação no negócio da PASCHOALOTTO e nas informações dos seus clientes;

 i) As responsabilidades de todos quanto à segurança da informação devem ser definidas, seguindo requisitos mínimos de boa conduta e ética;

j) Os ativos tangíveis e intangíveis de informação devem ser identificados de forma individual, inventariados, protegidos e monitorados de acessos indevidos. As mídias
devem ser gerenciadas de forma adequada, conforme os requisitos de segurança da informação; 

k) Um conjunto de regras para garantir a padronização das técnicas criptográficas deve ser estabelecido, incluindo a aplicação adequada das mesmas e as  responsabilidades para manter a segurança no transporte ou armazenamento das informações independente do meio utilizado. Quanto à transmissão de informações, este recurso é utilizado para garantir a privacidade na comunicação dos dados da PASCHOALOTTO e de seus clientes; 

l) Um processo de gestão de mudanças deve estar em vigor para garantir que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da organização; 

m) Medidas de segurança devem ser adotadas para garantir a proteção das informações de maneira eficaz e reduzir os riscos de acesso não autorizado, perda ou dano à informação; 

n) Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (Confidencialidade, Integridade e Disponibilidade); 

o) Todos os incidentes que afetem a segurança da informação devem ser reportados à área de Segurança da Informação através da abertura de chamado no sistema de Service Desk utilizado na empresa. Estes analisarão o incidente e tomarão as ações devidas, repassando a tratativa às áreas responsáveis;

p) Todos os incidentes de segurança devem ser reportados para a área de Segurança da Informação, para que sejam analisados, avaliados e tratados pela área responsável; 

q) As responsabilidades do departamento de Tecnologia da Informação e suas subdivisões devem ser estabelecidas, bem como as restrições do uso de ativos tecnológicos da organização; 

r) Devem ser definidas regras para garantir que não ocorram violações jurídicas, regulamentares ou contratuais nos requisitos de segurança da informação na
organização; 

s) Devem ser estipuladas diretrizes para garantir que o acesso físico às instalações onde os ativos de TI e as informações críticas a continuidade do negócio estejam armazenados seja controlado de forma a garantir a sua disponibilidade, integridade e confidencialidade.

A PASCHOALOTTO monitora e registra todo o uso das informações geradas, armazenadas ou veiculadas na empresa. Para tanto a organização mantem controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgou necessário para reduzir os riscos, e reservar-se o direito de:

a) Implantar outros sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônicos, navegação, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados;

b) Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta PSI;

c) Instalar outros sistemas de proteção e detecção de invasão para prevenir a segurança das informações e dos perímetros de acesso, levando em consideração normas específicas e contratual de nossos clientes contratantes, e;

d) Instalar câmeras nas instalações físicas, levando em consideração normas específicas e contratual de nossos clientes contratantes.

Para toda e qualquer infração à Política de Segurança da Informação (PSI), às Normas de Segurança da Informação e ao Código de Ética e Conduta, deverá ser aberto um incidente de segurança da informação, tratado de acordo com o Plano de Tratamento de Incidentes de Segurança da Informação e informado ao Comitê de Gestão de Segurança da Informação (CGSI) e, por conseguinte, apurada através de procedimentos internos conduzidos pelas áreas de Compliance e NOC da PASCHOALOTTO.

Caso o Comitê de Gestão de Segurança da Informação (CGSI) julgue cabível, o cliente interno envolvido poderá, enquanto durar o processo de apuração interna, ser afastado da função ou suspenso.

Ao cliente interno suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração deverá ser aplicada com proporcionalidade à ocorrência com base no Código de Ética e Conduta, Termo de Confidencialidade e Aceite da Política de Segurança da Informação (PSI) e legislações vigentes.

A PASCHOALOTTO exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus clientes internos, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis

Esta PSI deverá ser revisada anualmente ou quando uma mudança significativa ocorrer na
organização.

• 10.1. INFORMAÇÔES DO DOCUMENTO
  REPOSITÓRIO DE DOCUMENTOS: Portal Paschoalotto (Intranet): http://portal.paschoalotto.com.br 
  RESPONSÁVEL PELO DOCUMENTO: Departamento de Compliance
  CLASSIFICAÇÃO DA INFORMAÇÃO: Sensível
• 10.2. VERSÃO DO DOCUMENTO
  
  

OBS: O Comitê de Gestão de Segurança da Informação (CGSI)poderá realizar aprovações sem a participação de todos os membros, desde que pelo menos 5 membros estejam presentes e tenham poder de decisão. O quórum mínimo é de 5 membros do CGSI. Para assuntos que representem impacto estratégico, a decisão deverá ter a aprovação/conhecimento da Diretoria.

Informo para devidos fins que li e entendi o documento chamado “Política de Segurança da Informação” e comprometo-me em sempre estar atento às atualizações desta Política e das normas que a suportam; 

• Estou ciente que todos os ambientes da PASCHOALOTTO, físicos e eletrônicos, como contas de e-mail fornecidas pela empresa, acesso à internet, dispositivos móveis, estão sujeitos a monitoramento para devida proteção e guarda dos ativos da empresa, seja com uso de câmeras com captação de imagem e voz, seja com uso de dispositivos de autenticação de identidade ou softwares de segurança da informação, para auditorias físicas e/ou eletrônicas;
  
  
• Assumo o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de minhas funções na PASCHOALOTTO, mesmo depois de terminado meu vínculo contratual mantido com a organização;
  
  
• Estou ciente e de acordo que o não cumprimento das condições estabelecidas neste termo poderá culminar no exame da conduta sob o aspecto disciplinar (segundo o Código de Ética e Conduta da PASCHOALOTTO), reparações de natureza civil e criminal, sem prejuízo da rescisão do contrato de trabalho por justa causa, se apurada minha responsabilidade;
  
  
• Declaro neste ato que comunicarei ao Departamento de Segurança da Informação todas as irregularidades porventura ocorridas no uso dos recursos tecnológico e no manuseio de informações, bem como, qualquer suspeita ou ameaça ao sigilo, integridade ou segurança das informações que eu detectar, para que seja providenciada a imediata regularização e averiguação das mesmas.
  
  

Por fim, manifesto neste ato minha concordância expressa com todas as cláusulas acima, assinando o presente Termo de Confidencialidade e Ciência da PSI como prova de meu livre e espontâneo aceite.

 _______________________________
Local e Data

___________________________________
 Assinatura