Politica da segurança na relação com os fornecedores

1. Política de Segurança da Informação

1.1. Introdução

Os processos de negócio da INFORMA D&B dependem em grande medida dos Sistemas de Informação e a informação que armazenam. A Política de Segurança da Informação tem como missão estabelecer as diretrizes globais da Qualidade e Segurança da Informação para a organização, assim como proteger os ativos de informação.

Estas diretrizes incluem a adoção de uma série de medidas organizativas e normas que se apresentam neste documento e se desenvolvem nos seus documentos associados e cuja finalidade é a de proteger e melhorar os recursos de informação da INFORMA D&B e os Sistemas de Informação utilizados para o seu processamento, face a ameaças, internas ou externas, deliberadas ou acidentais, com o fim de assegurar a qualidade, o cumprimento da confidencialidade, a integridade, a disponibilidade e a legalidade da informação.

Esta Política está baseada nas recomendações de boas práticas para garantir a Segurança na Gestão de Sistemas de Informação (normas internacionais ISO 27001) assim como na legislação vigente aplicável.

1.2. Objetivo

O objetivo principal da criação desta política é garantir aos utilizadores a qualidade da informação e o acesso à mesma que se requere para o desempenho, assim como evitar perdas de informação e acessos não autorizados à mesma.

1.3. Política de segurança da informação

Como resposta a um novo ambiente tecnológico onde a convergência entre a informática e as comunicações está a facilitar um novo paradigma de produtividade para as empresas, a INFORMA D&B está altamente comprometida em manter um serviço competitivo, oferecendo os seus serviços de informação assim como a criação de bases de dados de informação económica, financeira e de marketing de empresas e empresários num ambiente de qualidade, onde o uso de boas práticas de segurança é fundamental para conseguir os objetivos de confidencialidade, integridade, disponibilidade e legalidade de toda a informação gerida.

Consequentemente, a INFORMA D&B assume os seguintes compromissos a ter em conta na estrutura de aplicação do Sistema de Gestão de Segurança da Informação (SGSI):

Assegurar os recursos para a operacionalização dos processos e atividades no âmbito da gestão de Segurança da Informação, inclusive ao nível da sensibilização de colaboradores internos e externos para com esta temática e respetivas responsabilidades na contribuição para a eficácia do SGSI;
Assegurar a definição da estratégia que devem ser aplicadas no âmbito da gestão de Segurança da Informação, em alinhamento com as políticas e objetivos estratégicos da Informa D&B;
Assegurar que o sistema de gestão de segurança da informação atinge os resultados pretendidos;
Assegurar o cumprimento de toda a legislação que lhe seja aplicável e relevante para o SGSI.
Promover a melhoria contínua do SGSI.

Constituem-se desta forma como objetivos de segurança da informação:

A informação tratada pela INFORMA D&B será conhecida exclusivamente pelas pessoas autorizadas, com identificação prévia, no momento e pelos meios habilitados.
A informação tratada pela INFORMA D&B será completa, exata e válida.
Garantir a segurança da informação transmitida dentro da organização e com quaisquer entidades externas.
A informação tratada pela INFORMA D&B estará acessível e será utilizada pelos utilizadores autorizados e identificados em qualquer momento, estando garantida a sua própria permanência perante qualquer eventualidade.
Proporcionar formação e consciencialização aos colaboradores envolvidos e partes interessadas;
Garantir que todos os incidentes de segurança da informação e/ou suspeitas de fraquezas serão reportados e tratados;
Identificar os riscos de segurança da informação, que permanentemente serão avaliados, controlados e se possível reduzidos;
Garantir que são estabelecidos, mantidos e testados planos de continuidade de negócio.

1.4. Sanções

Qualquer violação premeditada ou negligente das regras de segurança da informação estabelecidas no SGSI, que suponha um potencial dano (consumado ou não) à INFORMA D&B, será alvo de medidas sancionatórias adequadas.

Todas as ações em que se comprometa a segurança da informação da INFORMA D&B e que não estejam previstas nas regras de segurança da informação estabelecidas no SGSI, devem ser revistas pela Direção Geral e pelo Comité de Segurança da Informação, para definir uma resolução, sujeitando-se ao critério da empresa e à legislação prevista.

2. Classificação da Informação

2.1. Classificação da informação

A informação é um ativo importante da Informa D&B, e como tal, deve ser adequadamente protegida ao longo de todo o seu ciclo de vida, desde a sua criação até à sua destruição.

De forma a implementar um adequado nível de segurança no tratamento e utilização da informação, deve ser estabelecido um sistema de classificação de informação na Informa D&B. Este sistema deve permitir, de forma rápida e simples, categorizar a informação de acordo com o seu grau de confidencialidade, integridade e disponibilidade, e constituir um fator de agilidade na tomada de decisão, relacionada com a segurança da mesma. Neste sentido, torna-se necessário implementar um sistema de classificação da informação que reflita adequadamente o grau de criticidade da informação, de acordo com os seguintes níveis:

Comercial Confidencial: Refere-se a toda a informação que a Informa D&B adquire, processa, analisa e/ou disponibiliza a entidades externas à organização no âmbito de relações comerciais existentes ou de possíveis relações a serem estabelecidas.
Pública: Toda a informação de domínio público ou cuja divulgação não pressupõe impactos na atividade da organização. O seu conteúdo não pode conter informações de índole pessoal ou informação pessoal de clientes e parceiros, e não pode ter restrições legais associadas (locais, nacionais ou internacionais) em termos de acesso e utilização.

2.2. Manipulação e marcação da informação segundo o seu nível de proteção

2.2.1. Regras Gerais:

A informação deve ser classificada de acordo com as regras de classificação, independentemente do seu suporte (físico, eletrónico ou outro).
A responsabilidade por classificar a informação da Informa D&B é do seu owner ou do responsável pela sua criação.
Em todas as situações cuja troca de informação considere documentos com diferentes níveis de classificação, devem ser aplicadas as regras correspondentes ao nível mais elevado.
A alteração do nível de Classificação da Informação apenas poderá ser efetuada sob consulta e consentimento do responsável pela informação (Reclassificação).

2.2.2. Níveis de classificação

Cada nível de classificação compreende os seguintes atributos para a correta classificação e utilização:

Acesso: limitações do acesso à informação.
Criação: cuidados a ter na criação de informação.
Divulgação / Distribuição: limitações que podem afetar o ato de divulgação da informação (e.g. canais de transmissão seguros).
Reprodução / Impressão: restrições aplicadas à reprodução ou impressão da informação.
Transmissão / Transporte: medidas que devem ser adotadas para proteger a  informação durante a sua transmissão ou transporte.
Armazenamento: cuidados a ter em conta, aquando do armazenamento da informação.
Destruição: cuidados que se devem ter em conta aquando da destruição da informação.

	Comercial Confidencial	Pública
Acesso	O acesso à informação é aplicado a parceiros, clientes, fornecedores e outras entidades com quem se possam vir a estabelecer relações comerciais	Sem restrições de acesso
Criação	A informação deve ser classificada no momento da sua criação	A informação deve ser classificada no momento da sua criação
Reprodução / Impressão	É permitida a sua reprodução e/ou impressão de acordo com as necessidades comerciais	É permitida a sua reprodução e/ou impressão sem restrições
Transmissão / Transporte	Para suportes físicos, através de correio, pode utilizar-se o correio normal para o seu envio. No caso de transmissão eletrónica, utilizam-se sempre meios de codificação quando a informação está em movimento mas não será necessário codificar cada ficheiro, apenas os canais ou meios que o albergam.	É permitida a sua transmissão e transporte sem restrições
Etiquetagem	Para suportes físicos (papel): No rodapé dos documentos deve ser indicado o nível de classificação: Este conteúdo é confidencial e não poderá ser distribuído e/ou reproduzido, no todo ou em parte, sem o prévio consentimento da Informa D&B Para suportes eletrónicos: No rodapé dos documentos deve ser indicado o nível de classificação: Este conteúdo é confidencial e não poderá ser distribuído e/ou reproduzido, no todo ou em parte, sem o prévio consentimento da Informa D&B (salvo as situações previamente identificadas) Para suportes físicos (equipamentos): Não necessita de classificação visível	Nos rótulos dos suportes magnéticos, rodapé, e capa de documentos não necessita de classificação visível
Destruição	A informação em suporte físico deve ser destruída utilizando os mecanismos existentes para esse efeito na organização; A informação em formato eletrónico deve ser apagada dos suportes onde está armazenada, fazendo uso de ferramentas de eliminação segura de Informação. Caso não seja possível garantir a sua destruição eletrónica, a mesma deverá ser destruída fisicamente.	A destruição não exige métodos que previnam o retrocesso do procedimento

3. Gestão de Incidentes de Segurança da Informação

3.1. Identificação de um Evento de Segurança da Informação

A identificação de um evento de segurança da informação pode acontecer através de diversas fontes tanto internas como externas à INFORMA D&B, nomeadamente:

Clientes;
Terceiros que se relacionem com a INFORMA D&B e tenham conhecimento de uma eventual ocorrência.

Uma vez verificada a ocorrência, por qualquer parte externa, deve a mesma ser imediatamente e pelo meio mais célere comunicada à INFORMA D&B através de uma notificação ao Serviço de Apoio ao Cliente vipclientes@informadb.pt.