Ver mais
Voltar ao topo

Política de Segurança da Informação na Relação com Fornecedores

1. Política de Segurança da Informação

1.1. Introdução

Os processos de negócio da INFORMA D&B dependem em grande medida dos Sistemas de Informação e a informação que armazenam. A Política de Segurança da Informação tem como missão estabelecer as diretrizes globais da Qualidade e Segurança da Informação para a organização, assim como proteger os ativos de informação.

Estas diretrizes incluem a adoção de uma série de medidas organizativas e normas que se apresentam neste documento e se desenvolvem nos seus documentos associados e cuja finalidade é a de proteger e melhorar os recursos de informação da INFORMA D&B e os Sistemas de Informação utilizados para o seu processamento, face a ameaças, internas ou externas, deliberadas ou acidentais, com o fim de assegurar a qualidade, o cumprimento da confidencialidade, a integridade, a disponibilidade e a legalidade da informação.

Esta Política está baseada nas recomendações de boas práticas para garantir a Segurança na Gestão de Sistemas de Informação (normas internacionais ISO 27001) assim como na legislação vigente aplicável.

 

1.2. Objetivo

O objetivo principal da criação desta política é garantir aos utilizadores a qualidade da informação e o acesso à mesma que se requere para o desempenho, assim como evitar perdas de informação e acessos não autorizados à mesma. 

 

1.3. Política de segurança da informação

Como resposta a um novo ambiente tecnológico onde a convergência entre a informática e as comunicações está a facilitar um novo paradigma de produtividade para as empresas, a INFORMA D&B está altamente comprometida em manter um serviço competitivo, oferecendo os seus serviços de informação assim como a criação de bases de dados de informação económica, financeira e de marketing de empresas e empresários num ambiente de qualidade, onde o uso de boas práticas de segurança é fundamental para conseguir os objetivos de confidencialidade, integridade, disponibilidade e legalidade de toda a informação gerida.

Consequentemente, a INFORMA D&B assume os seguintes compromissos a ter em conta na estrutura de aplicação do Sistema de Gestão de Segurança da Informação (SGSI):

  • Assegurar os recursos para a operacionalização dos processos e atividades no âmbito da gestão de Segurança da Informação, inclusive ao nível da sensibilização de colaboradores internos e externos para com esta temática e respetivas responsabilidades na contribuição para a eficácia do SGSI;
  • Assegurar a definição da estratégia que devem ser aplicadas no âmbito da gestão de Segurança da Informação, em alinhamento com as políticas e objetivos estratégicos da Informa D&B;
  • Assegurar que o sistema de gestão de segurança da informação atinge os resultados pretendidos;
  • Assegurar o cumprimento de toda a legislação que lhe seja aplicável e relevante para o SGSI.
  • Promover a melhoria contínua do SGSI.

Constituem-se desta forma como objetivos de segurança da informação:

  • A informação tratada pela INFORMA D&B será conhecida exclusivamente pelas pessoas autorizadas, com identificação prévia, no momento e pelos meios habilitados.
  • A informação tratada pela INFORMA D&B será completa, exata e válida.
  • Garantir a segurança da informação transmitida dentro da organização e com quaisquer entidades externas.
  • A informação tratada pela INFORMA D&B estará acessível e será utilizada pelos utilizadores autorizados e identificados em qualquer momento, estando garantida a sua própria permanência perante qualquer eventualidade.
  • Proporcionar formação e consciencialização aos colaboradores envolvidos e partes interessadas;
  • Garantir que todos os incidentes de segurança da informação e/ou suspeitas de fraquezas serão reportados e tratados;
  • Identificar os riscos de segurança da informação, que permanentemente serão avaliados, controlados e se possível reduzidos;
  • Garantir que são estabelecidos, mantidos e testados planos de continuidade de negócio.

 

1.4. Sanções

Qualquer violação premeditada ou negligente das regras de segurança da informação estabelecidas no SGSI, que suponha um potencial dano (consumado ou não) à INFORMA D&B, será alvo de medidas sancionatórias adequadas.

Todas as ações em que se comprometa a segurança da informação da INFORMA D&B e que não estejam previstas nas regras de segurança da informação estabelecidas no SGSI, devem ser revistas pela Direção Geral e pelo Comité de Segurança da Informação, para definir uma resolução, sujeitando-se ao critério da empresa e à legislação prevista.

2. Classificação da Informação

2.1. Classificação da informação

A informação é um ativo importante da Informa D&B, e como tal, deve ser adequadamente protegida ao longo de todo o seu ciclo de vida, desde a sua criação até à sua destruição.

De forma a implementar um adequado nível de segurança no tratamento e utilização da informação, deve ser estabelecido um sistema de classificação de informação na Informa D&B. Este sistema deve permitir, de forma rápida e simples, categorizar a informação de acordo com o seu grau de confidencialidade, integridade e disponibilidade, e constituir um fator de agilidade na tomada de decisão, relacionada com a segurança da mesma. Neste sentido, torna-se necessário implementar um sistema de classificação da informação que reflita adequadamente o grau de criticidade da informação, de acordo com os seguintes níveis:

  • Comercial Confidencial: Refere-se a toda a informação que a Informa D&B adquire, processa, analisa e/ou disponibiliza a entidades externas à organização no âmbito de relações comerciais existentes ou de possíveis relações a serem estabelecidas.
  • Pública: Toda a informação de domínio público ou cuja divulgação não pressupõe impactos na atividade da organização. O seu conteúdo não pode conter informações de índole pessoal ou informação pessoal de clientes e parceiros, e não pode ter restrições legais associadas (locais, nacionais ou internacionais) em termos de acesso e utilização.

 

2.2. Manipulação e marcação da informação segundo o seu nível de proteção

2.2.1.  Regras Gerais:

  • A informação deve ser classificada de acordo com as regras de classificação, independentemente do seu suporte (físico, eletrónico ou outro).
  • A responsabilidade por classificar a informação da Informa D&B é do seu owner ou do responsável pela sua criação.
  • Em todas as situações cuja troca de informação considere documentos com diferentes níveis de classificação, devem ser aplicadas as regras correspondentes ao nível mais elevado.
  • A alteração do nível de Classificação da Informação apenas poderá ser efetuada sob consulta e consentimento do responsável pela informação (Reclassificação).

2.2.2. Níveis de classificação

Cada nível de classificação compreende os seguintes atributos para a correta classificação e utilização:

  • Acesso: limitações do acesso à informação.
  • Criação: cuidados a ter na criação de informação.
  • Divulgação / Distribuição: limitações que podem afetar o ato de divulgação da informação (e.g. canais
de transmissão seguros).
  • Reprodução / Impressão: restrições aplicadas à reprodução ou impressão da informação.
  • Transmissão / Transporte: medidas que devem ser adotadas para proteger a 
informação durante a sua transmissão ou transporte.
  • Armazenamento: cuidados a ter em conta, aquando do armazenamento da informação.
  • Destruição: cuidados que se devem ter em conta aquando da destruição da informação.

 

  Comercial Confidencial Pública
Acesso O acesso à informação é aplicado a parceiros, clientes, fornecedores e outras entidades com quem se possam vir a estabelecer relações comerciais Sem restrições de acesso
Criação A informação deve ser classificada no momento da sua criação A informação deve ser classificada no momento da sua criação
Reprodução / Impressão É permitida a sua reprodução e/ou impressão de acordo com as necessidades comerciais É permitida a sua reprodução e/ou impressão sem restrições
Transmissão / Transporte Para suportes físicos, através de correio, pode utilizar-se o correio normal para o seu envio.
No caso de transmissão eletrónica, utilizam-se sempre meios de codificação quando a informação está em movimento mas não será necessário codificar cada ficheiro, apenas os canais ou meios que o albergam.
É permitida a sua transmissão e transporte sem restrições
Etiquetagem Para suportes físicos (papel):
  • No rodapé dos documentos deve ser indicado o nível de classificação: Este conteúdo é confidencial e não poderá ser distribuído e/ou reproduzido, no todo ou em parte, sem o prévio consentimento da Informa D&B
Para suportes eletrónicos:
  • No rodapé dos documentos deve ser indicado o nível de classificação: Este conteúdo é confidencial e não poderá ser distribuído e/ou reproduzido, no todo ou em parte, sem o prévio consentimento da Informa D&B (salvo as situações previamente identificadas)
Para suportes físicos (equipamentos):
  • Não necessita de classificação visível
Nos rótulos dos suportes magnéticos, rodapé, e capa de documentos não necessita de classificação visível
Destruição
  • A informação em suporte físico deve ser destruída utilizando os mecanismos existentes para esse efeito na organização;
  • A informação em formato eletrónico deve ser apagada dos suportes onde está armazenada, fazendo uso de ferramentas de eliminação segura de Informação. Caso não seja possível garantir a sua destruição eletrónica, a mesma deverá ser destruída fisicamente.
A destruição não exige métodos que previnam o retrocesso do procedimento

3. Gestão de Incidentes de Segurança da Informação

3.1. Identificação de um Evento de Segurança da Informação

A identificação de um evento de segurança da informação pode acontecer através de diversas fontes tanto internas como externas à INFORMA D&B, nomeadamente:

  • Clientes;
  • Terceiros que se relacionem com a INFORMA D&B e tenham conhecimento de uma eventual ocorrência.

Uma vez verificada a ocorrência, por qualquer parte externa, deve a mesma ser imediatamente e pelo meio mais célere comunicada à INFORMA D&B através de uma notificação ao Serviço de Apoio ao Cliente apoio@informadb.pt.

Versão 2.0