Manter os dados dos nossos clientes seguros, privados e confidenciais é uma das nossas maiores prioridades.
Estabelecem-se nesta página as salvaguardas administrativas, técnicas e físicas ("controlos") que a Informa D&B implementa para proteger a informação dos clientes. A Informa D&B atualiza estes controlos periodicamente, de modo a refletir as alterações na sua postura de segurança, com o objetivo de melhorar continuamente o grau de eficácia dos referidos controlos. Tais controlos fazem parte dos acordos da Informa D&B ("acordo") com os seus clientes e foram adequadamente concebidos para proteger, de acordo com as leis aplicáveis à prestação de serviços, a confidencialidade, integridade e disponibilidade das informações do cliente contra ameaças ou perigos previstos ou reais; contra o acesso, a utilização, a divulgação, a alteração ou a destruição não-autorizados ou ilegais; e a perda, a destruição ou o dano acidental. A Informa D&B mantém ainda políticas, normas e procedimentos de segurança, concebidos para salvaguardar o processamento de informações de clientes por funcionários e subcontratados da Informa D&B, de acordo com estes controlos.
O ambiente de controlo da Informa D&B reflete a atitude geral, a consciência e as ações de governo da Empresa, de gestão e dos colaboradores da Informa D&B, no que diz respeito à importância dos controlos e a sua ênfase dentro da organização. O ambiente de controlo na Informa D&B começa ao mais alto nível da Empresa. A liderança executiva e sénior desempenha um papel importante no estabelecimento dos valores centrais da Empresa, além de definir os seus princípios orientadores.
A Informa D&B valoriza fortemente as suas relações e a confiança dos clientes e parceiros. No atual ambiente de alta tecnologia, compreendemos que um programa de segurança, facilmente adaptável e ágil, é vital para a integridade do nosso negócio, e a privacidade e segurança de dados confidenciais e proprietários é uma das nossas maiores prioridades. Avaliamos e desenvolvemos a nossa segurança, disponibilidade e controlos de confidencialidade, para nos mantermos a par do atual cenário de ameaças. O ambiente de controlo da Informa D&B representa o esforço coletivo e o efeito de vários fatores no estabelecimento, aperfeiçoamento ou eficácia de controlos específicos de mitigação de riscos.
A Informa D&B designou um chief information security officer (CISO), que supervisiona o nosso programa de segurança global da informação. A equipa de segurança global e risco trabalha com as linhas de negócio de toda a Empresa, fornecendo uma estratégia de segurança da informação a nível corporativo, em linha com os objetivos da Empresa. O objetivo é minimizar a probabilidade e o impacto de ataques e incidentes de segurança sobre os nossos ativos de informação e os dos nossos clientes e terceiros.
A Informa D&B está empenhada na segurança e confidencialidade dos nossos clientes, quando utilizam os nossos produtos e serviços. A Informa D&B também se certifica anualmente pela norma ISO/IEC 27001 Information Security Management Systems (ISMS).
A Informa D&B segue as melhores práticas de classificação da informação, usando as seguintes etiquetas: "público", "uso interno", "comercial confidencial" e "confidencial". Os dados assim classificados são conteúdos que a Informa D&B adquire, processa, analisa e oferece em produtos, para os clientes utilizarem como solução para as suas necessidades comerciais. O objetivo do uso a dar a estes dados deve ser compreendido, antes da sua utilização. Protegemos estes dados através do recurso a uma combinação de tecnologias preventivas e de deteção, tais como sistemas de encriptação e deteção de intrusão. A par destas medidas de segurança, adotamos políticas e procedimentos que visam a validação e aplicação dos nossos controlos de segurança. O acesso a estes dados é restrito ao pessoal autorizado, através de controlos de acesso físicos e lógicos.
Os membros e atividades da equipa de segurança global e risco estão enquadrados pelos seguintes domínios e controlos:
Na Informa D&B, a segurança é um valor da responsabilidade de todos, e compreendemos que tudo começa com os nossos colaboradores. Começamos por efetuar verificações dos antecedentes dos empregados, no momento da contratação. Desde o início, os nossos funcionários recebem uma formação em segurança, concebida à medida, e anualmente a partir daí. Ao longo de cada ano, continuamos a partilhar e a reforçar a comunicação sobre as melhores práticas de segurança, para manter os nossos funcionários atualizados sobre as últimas tendências.
As políticas, as normas, os procedimentos e as diretrizes são uma componente crítica da governação na Informa D&B. Fornecem a estrutura e as regras em torno das quais a organização opera. As políticas são revistas com os responsáveis, para assegurar o alinhamento com os objetivos da Empresa e a contínua adequação e eficácia.
Esta prática permite o alinhamento com os vários regulamentos e melhora a nossa capacidade para lidar com as ameaças à segurança que possamos enfrentar. O conjunto de políticas apoia-se em frameworks externas sobre normas de cibersegurança e alinha-se com outros elementos que se justifique considerar, tais como a família de normas de tecnologias de informação 27000 das International Organization for Standardization e International Electrotechnical Commission (ISO/IEC).
As políticas revistas são publicadas num repositório interno da Empresa, após aprovação, para que os empregados lhes possam aceder facilmente, a partir dos seus postos de trabalho. As alterações significativas às políticas são comunicadas, conforme necessário, através de reuniões, mensagens de e-mail, apresentações, pela intranet da Empresa, e/ou através de comunicações à escala da Empresa.
Para além das nossas políticas, mantemos também processos de conformidade, para processamento de dados protegidos, com vista ao cumprimento de requisitos legais, regulamentares, contratuais, e de segurança aplicáveis.
Os direitos de acesso e privilégios necessários para o desempenho da função de um utilizador são concedidos, de acordo com:
Os utilizadores autorizados devem autenticar-se na rede, aplicações e plataformas, usando o seu ID de utilizador e palavra-passe. A autenticação de utilizadores e dispositivos nos sistemas de informação é feita por palavras-passe, que satisfazem os requisitos de complexidade de palavra-passe da Informa D&B.
Após a rescisão do contrato de trabalho, o acesso aos produtos e sistemas é revogado.
As ligações de rede são protegidas através de uma combinação de controlos de segurança para proteção de dados e sistemas. Baseiam-se tais controlos no tipo e finalidade da ligação, e incluem, embora não se limitem a estes, a segmentação da rede, utilização de firewalls e outros dispositivos de segurança, além de apropriados mecanismos de autenticação.
O acesso à informação disponível através da rede é controlado, de modo a prevenir e detetar o acesso não-autorizado, enquanto é proporcionado um acesso seguro aos utilizadores a sistemas autorizados. As atividades e o tráfego de rede são registados e os registos armazenados, sendo utilizados mecanismos de recolha específicos da indústria ou de fornecedores.
Os dispositivos implementados na rede da Informa D&B são configurados para satisfazer os requisitos de segurança, tendo em conta os objetivos específicos que têm (internos, orientados para o exterior, desmilitarizados). Os serviços não-essenciais de rede são desativados ou removidos.
O acesso público direto por redes públicas (por exemplo, Internet) a qualquer rede interna da Informa D&B é restrito. O tráfego, de entrada e saída, de redes não confiáveis (incluindo ligações wireless externas ou guests) e hosts é restrito.
A ligação de uma nova rede a redes de sistemas da Empresa ou comerciais, localizados na Empresa, ou a um centro de dados, segue as melhores práticas internacionais.
A informação sensível não é transmitida pela Internet ou outras vias de comunicação públicas, a menos que seja encriptada em trânsito. Os ficheiros de dados são encriptados utilizando a segurança da camada de transporte (TLS) encriptada para sessões de comunicação na Web.
A Informa D&B utiliza processos de gestão de chaves de encriptação para ajudar a garantir a geração, armazenamento, distribuição e destruição segura das chaves de encriptação.
A Informa D&B investiga, de forma atempada e coordenada, incidentes relacionados com a segurança, disponibilidade, confidencialidade e privacidade, e responde a qualquer violação real ou suspeita de violação da segurança dos sistemas de informação da Informa D&B, cumprindo ao mesmo tempo as leis e os regulamentos aplicáveis. A Informa D&B realiza exercícios de segurança, com simulações de cenários reais, pelo menos uma vez por ano.
A Informa D&B desenvolveu e mantém práticas que estabelecem a classificação e priorização de incidentes de segurança da informação, com base na gravidade do incidente e na sensibilidade dos sistemas e dados afetados. Para apoiar estes esforços, a Informa D&B implementou e monitoriza alertas de várias ferramentas, que asseguram uma deteção eficaz.
Existem ferramentas de monitorização, cujo objetivo é medir a utilização atual em relação a thresholds predefinidos e gerar alertas para notificar equipas de aplicação e de apoio a infraestruturas, quando os limiares são excedidos. Os alertas são revistos para determinar se é necessária uma ação corretiva. Caso sejam necessários meios de informação adicionais, para responder às necessidades de utilização, estes serão implementados de acordo com as políticas formais de gestão de ativos e gestão de mudanças.
Os sistemas de registo de auditoria são configurados para registar atividades e eventos significativos e relevantes para a segurança da informação, nos sistemas da Informa D&B.
Servidores, postos de trabalho e dispositivos móveis são monitorizados utilizando agentes específicos para o efeito, e.g., inventory discovery.
Os dados nos computadores portáteis são protegidos por encriptação. O software antimalware é implementado e mantido em plataformas que são suscetíveis de serem comprometidas.
A utilização de meios eletrónicos amovíveis é restrita.
As normas de configuração são desenvolvidas e revistas anualmente. As revisões de segurança são realizadas periodicamente , para assegurar o cumprimento, sendo consideradas as recomendações do fornecedor e as melhores práticas da indústria.
A segurança do software e das aplicações da Informa D&B é avaliada através de um programa de gestão da vulnerabilidades e regida através da política e normas de desenvolvimento seguro.
Com base na classificação do risco da aplicação, o software passa pelas revisões e pelos testes que se apliquem, incluindo revisões de conceção e testes de segurança de aplicação estática (SAST). O resultado dos testes é captado e analisado através de um adequado sistema de gestão de segurança aplicacional.
A Informa D&B tem implementado um processo de gestão de vulnerabilidades para monitorizar continuamente as vulnerabilidades que sejam detetadas pelos fornecedores, reportadas pelos investigadores ou descobertas internamente, através de scans de vulnerabilidades ou atividades de Red Team.
As vulnerabilidades são documentadas e classificadas por níveis de severidade, considerando a probabilidade e o impacto previsíveis. A Informa D&B designa a(s) equipa(s) adequada(s) para efetuar a reparação e acompanhar o processo até à resolução, conforme necessário. As vulnerabilidades críticas devem ser imediatamente resolvidas; as vulnerabilidades de elevada gravidade, devem sê-lo a curto prazo; as vulnerabilidades de gravidade média, a médio prazo; sendo os planos de mitigação acompanhados por um processo de gestão do risco residual.
Os novos colaboradores completam a formação em segurança, código de conduta e formação em privacidade, no âmbito do processo de integração na organização, recebendo ainda formação anual e direcionada (conforme necessário e adequado à função que desempenhem) posteriormente, para ajudar a manter a conformidade com as Políticas de Segurança da Informa D&B, bem como com outras políticas da Empresa, tais como o Código de Conduta e as políticas e os procedimentos de privacidade. A Informa D&B realiza periodicamente campanhas de sensibilização sobre segurança e testes específicos, para dotar os seus funcionários de consciência sobre as suas responsabilidades e facultar orientação para criar e manter um local de trabalho seguro.
Este processo segue um quadro global definido para o aprovisionamento, e para o ciclo de vida da gestão de riscos, nos momentos de seleção, utilização, monitorização e cessação da relação. São estabelecidas regras para o estabelecimento de requisitos de segurança e due dilligence (que incluem conformidade, privacidade e tecnologia) para terceiros (incluindo os nossos fornecedores e parceiros comerciais), que operem com a Informa D&B. Estas entidades devem seguir as orientações das nossas políticas, devem cumprir as nossas normas e adotar os nossos procedimentos de segurança da informação, aplicáveis ao serviço que esteja a ser prestado.
Através de avaliações contínuas, identificamos potenciais ameaças e respetivos impactos no negócio, e desenvolvemos planos de mitigação adequados. As nossas estratégias e os nossos planos de continuidade de negócios e de recuperação de desastres estão pensados para dar resposta aos eventos mais típicos, de origem natural ou não, como catástrofes naturais ou desastres provocados pelo homem. Os planos seguem as melhores práticas da indústria e alinham-se concretamente com os princípios da ISO/IEC 22301:2012 (Sistema de Gestão da Continuidade de Negócios).
As nossas normas de segurança física estão concebidas para restringir o acesso físico não-autorizado aos recursos do centro de dados. Os sistemas da Empresa e os componentes da infraestrutura de rede estão fisicamente localizados em áreas de acesso controlado. As medidas de controlo podem incluir: pontos de acesso limitado, leitores de acesso, acesso monitorizado por câmaras de vigilância, limitação de acesso ao pessoal autorizado.
O recurso aos nossos fornecedores de centros de dados alojados implica que a identificação, deteção e proteção de ameaças físicas e ambientais (infraestruturas, dados e software) são geridos através de requisitos de conformidade de terceiros e acordos de níveis de serviço (SLA).
