Informativo Público de Segurança da Informação (PSI)

Introdução

Contamos com você para proteger nossa inovação com chatbots, garantindo segurança em cada etapa. A Política de Segurança da Informação, também referida como PSI, orienta e estabelece as diretrizes corporativas da EZ para a proteção dos ativos de informação e a prevenção de responsabilidades legais para todos os usuários. Ela deve ser cumprida e aplicada em todas as áreas da instituição. Este documento baseia-se nas recomendações da norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, e está alinhado às leis vigentes no Brasil, especialmente a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018). Nosso objetivo é aumentar a segurança da infraestrutura tecnológica, orientando colaboradores e clientes no uso dos ativos de tecnologia da informação. Alterações serão comunicadas via WhatsApp "EZ SOFT | Geral" e no site.


Através deste Informativo, comunicamos ao mercado nossas melhores práticas de segurança da informação, assegurando disponibilidade, integridade e confidencialidade dos dados, protegendo-os para inovar, em linha com a excelência da EZ SOFT.


Objetivos

Estabelecer diretrizes que permitam aos colaboradores, usuários e clientes da EZ seguirem padrões de comportamento relacionados à segurança da informação, adequados às necessidades de negócio e à proteção legal da EZ, da Cliente e do usuário.


Orientar a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento. Preservar as informações da EZ, da Cliente e do usuário quanto à:

  • Integridade: Garantia de que a informação seja mantida em seu estado original, protegendo-a contra alterações indevidas, intencionais ou acidentais.
  • Confidencialidade: Garantia de que o acesso à informação seja exclusivo para pessoas autorizadas.
  • Disponibilidade: Garantia de que os usuários autorizados tenham acesso à informação e aos ativos sempre que necessário.


Aplicações da PSI

As diretrizes aqui estabelecidas devem ser seguidas por todos os colaboradores e prestadores de serviço vinculados à EZ, aplicando-se à informação em qualquer meio ou suporte.


Para clientes e usuários de clientes da EZ, além destas disposições, serão consideradas disposições especiais firmadas entre EZ e a Cliente.


Esta política informa cada colaborador da EZ que ambientes, sistemas, computadores e redes poderão ser monitorados e gravados, com prévia notificação, conforme previsto nas leis brasileiras. É obrigação de cada colaborador manter-se atualizado sobre esta PSI e normas relacionadas, buscando orientação do gestor ou do setor de TI quando houver dúvidas sobre aquisição, uso ou descarte de informações.


Princípios de Segurança e Proteção de Dados

Toda informação produzida ou recebida pelos colaboradores como resultado de atividades profissionais contratadas pela EZ pertence à instituição ou aos seus clientes, salvo exceções explícitas e formalizadas em contrato.


Os equipamentos de informática, sistemas e informações são destinados a atividades profissionais. O uso pessoal é permitido, desde que não afete o desempenho dos sistemas e serviços.


A EZ, via setor de TI, pode registrar o uso de sistemas e serviços para garantir disponibilidade e segurança, com base em legítimo interesse e obrigações legais. A EZ realiza Relatórios de Impacto à Proteção de Dados (DPIA) para processos de risco elevado, conforme LGPD (Art. 5º, §2º).


Requisitos da PSI

  • Para uniformidade, a PSI será comunicada a colaboradores, fornecedores, clientes e usuários da EZ via WhatsApp "EZ SOFT | Geral" e no site, devendo ser cumprida dentro e fora da EZ.
  • Deve existir um Comitê Multidisciplinar de Segurança da Informação (CSI).
  • A PSI e normas serão revistas e atualizadas anualmente ou antes, diante de fatos relevantes, com decisão do CSI, em até 30 dias após identificação do evento.
  • Todos os contratos da EZ com terceiros (fornecedores, parceiros, clientes, autônomos) devem incluir um Acordo ou Cláusula de Confidencialidade como condição para acesso a ativos de informação.
  • A responsabilidade pela segurança da informação será comunicada na contratação, com orientação sobre procedimentos e uso correto de ativos. Colaboradores devem assinar um Termo de Responsabilidade.
  • Incidentes de segurança devem ser notificados ao setor de TI em até 24 horas e, se necessário, encaminhados ao CSI em até 48 horas para análise.
  • Um plano de contingência e continuidade será implantado e testado anualmente, reduzindo riscos de perda de confidencialidade e integridade.
  • Requisitos de segurança, incluindo planos de contingência, serão identificados no escopo de projetos, justificados, documentados, implantados e testados na fase de execução.
  • Controles apropriados, rastros de acesso ou registros de atividades serão criados em pontos críticos (ex.: estações, notebooks, internet, e-mail, sistemas) para mitigar riscos.
  • A EZ exonera-se de responsabilidade por uso indevido, negligente ou imprudente dos recursos, reservando-se o direito de analisar dados para investigações e adotar medidas legais.
  • A PSI será implementada via procedimentos obrigatórios para colaboradores, clientes, parceiros e fornecedores, independentemente de hierarquia ou vínculo.
  • O não cumprimento da PSI ou normas resultará em violações internas e medidas administrativas/legais cabíveis.


Das Responsabilidades Específicas

1 – Dos Colaboradores e Fornecedores em Geral da EZ

Colaboradores (pessoas físicas, CLT ou prestadoras de serviço) são responsáveis por prejuízos sofridos ou causados à EZ e terceiros devido à não obediência às diretrizes.

2 – Dos Colaboradores da EZ em Regime de Exceção (Temporários)

Devem compreender riscos específicos e cumprir o aceite do CSI. A concessão pode ser revogada se o risco superar o benefício ou se o colaborador não cumprir as condições.

3 – Dos Gestores de Pessoas e/ou Processos da EZ

Devem exemplificar segurança, atribuir responsabilidade na contratação, exigir Termo de Compromisso e Ciência, solicitar Acordo de Confidencialidade para colaboradores casuais e adaptar processos à PSI.

4 – Dos Custodiantes da Informação da EZ

4.1 – Da Área de Tecnologia da Informação

Testar controles, informar riscos residuais, configurar equipamentos com controles de segurança, segregar funções, garantir segurança em sistemas públicos, gerar rastros de acesso válidos, administrar backups, implantar controles para transporte de mídias, planejar capacidade e atribuir contas a responsáveis identificáveis. Bloquear acessos rapidamente, sincronizar relógios com servidores oficiais e monitorar indicadores (uso, resposta, indisponibilidade, incidentes).

4.2 – Da Área de Segurança da Informação da EZ

Propor metodologias, apoiar iniciativas, publicar a PSI, promover conscientização, avaliar controles novos, analisar incidentes, apresentar atas do CSI e buscar alinhamento corporativo.

4.3 – Do Comitê de Segurança da Informação da EZ

Constituído por colaboradores chave por um ano (prorrogável), com mínima representação de TI, RH, Gerência e Jurídico. Reuniões semestrais ou extras para incidentes graves, com uso de especialistas. Responsável por propor investimentos, alterações na PSI, avaliar incidentes e definir medidas para descumprimentos.

5 – Do Monitoramento e da Auditoria do Ambiente

A EZ pode implantar monitoramento (estações, servidores, e-mail, internet), tornar dados públicos por ordem judicial ou do CSI, inspecionar máquinas e instalar sistemas de proteção.

6 – Correio Eletrônico da EZ

Uso exclusivo para fins corporativos, preferindo ERP para clientes. Proibido enviar mensagens não solicitadas, usar endereços não autorizados, divulgar informações sem permissão, falsificar cabeçalhos ou enviar conteúdo ilícito (ex.: spam, vírus, pornografia). Mensagens devem incluir assinatura padrão.

7 – Internet

Regras promovem ética e uso profissional. A EZ monitora e pode bloquear acessos, informando riscos. Uso pessoal é permitido, desde que não prejudique o trabalho. Apenas autorizados falam com a mídia, e downloads/serviços de streaming têm restrições (ex.: sem proxy, peer-to-peer).

8 – Identificação

Dispositivos e senhas protegem identidades. Uso indevido é crime (Código Penal, Art. 307). Identificações devem estar vinculadas a documentos oficiais, com senhas seguras (8 caracteres para usuários, 10 para administradores, duplo fator quando disponível). Senhas não devem ser compartilhadas, anotadas ou óbvias, trocadas anualmente e bloqueadas após 5 tentativas.

9 – Computadores e Recursos Tecnológicos da EZ

Equipamentos são da EZ, usados para atividades institucionais. Manutenções e atualizações requerem TI, com antivírus ativo. Proibido acesso não autorizado, violação de segurança ou uso de software pirata. Arquivos pessoais podem ser excluídos, e documentos devem ir para repositórios de rede.

10 – Dispositivos Móveis

Permite mobilidade com equipamentos próprios ou autorizados. Colaboradores assumem sigilo e notificação de furtos. Uso de internet exige cuidado, com senhas de bloqueio e autorização para equipamentos particulares.

11 – CPD

Acesso apenas com TI, mantendo limpeza e proibindo alimentos/bebidas.

12 – Dados Pessoais


Definições Terminológicas

  • Titular(es) de Dados: Pessoa natural identificável a quem se refere um Dado Pessoal.
  • Manejo de Dados Pessoais: Operações com dados (coleta, armazenamento, etc.).
  • Operador: Quem maneja dados em nome do Controlador.
  • LGPD: Lei nº 13.709/2018, que regula proteção de dados.
  • Encarregado (DPO): Responsável pela proteção de dados.
  • Consentimento: Acordo livre do Titular para manejo de dados.
  • Controlador: Quem decide sobre o manejo de dados.
  • Dado(s) Pessoal(is): Informações que identifiquem uma pessoa.
  • Dado(s) Pessoal(is) Sensível(is): Dados que possam discriminar (ex.: saúde, raça).
  • Anonimização: Processo que impede identificação.


Princípios de Proteção de Dados Pessoais

O manejo de dados pela EZ segue:

  • Legalidade, Transparência e Não Discriminação: Feito de forma justa, com bases legais (contrato, lei, interesse legítimo, direitos) e informação prévia ao Titular. Consentimento é obtido quando necessário, com revogação possível. Dados sensíveis são tratados com segurança extra em casos específicos (ex.: saúde, com consentimento explícito).
  • Limitação e Adequação da Finalidade: Compatível com o propósito original.
  • Necessidade (Minimização): Apenas dados essenciais são manejados, com compartilhamento justificado.
  • Exatidão (Qualidade): Dados são precisos e atualizados, com correção pelo Titular.
  • Retenção e Limitação: Dados são retidos pelo tempo necessário, com revisão periódica.
  • Integridade e Confidencialidade: Protegidos contra acessos indevidos ou danos.
  • Responsabilização: A EZ demonstra conformidade com registros e supervisão de terceiros.


Como Operadora, a EZ segue instruções do Controlador, com sigilo e segurança. Como Controladora, obtém consentimento e fiscaliza terceiros.


Direitos dos Titulares de Dados Pessoais:

Incluem confirmação, acesso, correção, anonimização, portabilidade, exclusão, informação sobre compartilhamento, recusa de consentimento, revogação e oposição a manejos ilegais.


Prestadores de Serviços Terceirizados:

A EZ verifica que suboperadores cumpram a LGPD, com cláusulas contratuais de segurança.


Transferência Internacional de Dados Pessoais

Permitida com nível adequado (ANPD ou GDPR), salvaguardas (cláusulas padrão, certificações) ou consentimento explícito, com informação prévia ao Titular.


Programa de Conformidade às Leis de Proteção de Dados Pessoais

Inclui disseminação de responsabilidades, treinamentos, incorporação de cuidados e avaliação de riscos.


Registro de Reclamações e Encarregado (DPO) da EZ

Reclamações por manejos ilegais vão ao DPO (Gustavo Schumann, dpo@ezsoft.com.br), que as remete ao CSI. O DPO conduz conformidade, monitora leis, orienta, treina, reporta às autoridades e elabora relatórios.


13 – Backup

Backups automatizados fora do horário comercial, com mídias seguras e renovação anual. Erros são corrigidos rapidamente, com controle auditado e retenção mínima de 30 dias.


14 – Das Disposições Finais

Segurança é parte da cultura ética da EZ. Atividades adicionais incluem análise estática, SCA, pull requests, guarda de código, segregação, criptografia TLS 1.2, gestão de segredos, pentests e segurança em nuvem (privilégio mínimo, logs, certificações).


Versão: 17/03/2025

Documentos de Referência


Share by: