POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

  1. Aprovação e entrada em vigor

Esta Política de Segurança da Informação entra em vigor a partir da data de sua assinatura até que seja substituída por uma nova política.

  1. Missão da organização

A METADATA S.L., para atingir seus objetivos, assume seu compromisso com a segurança da informação, comprometendo-se com a gestão adequada da mesma, a fim de oferecer a todos os seus grupos de interesse as melhores garantias quanto à segurança das informações utilizadas. 

Esses sistemas devem ser administrados com diligência, tomando-se as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, a integridade ou a confidencialidade das informações processadas ou dos serviços prestados. 

O objetivo da segurança das informações é garantir a qualidade das informações e a continuidade da prestação de serviços, agindo preventivamente, monitorando as atividades diárias e reagindo prontamente a incidentes. 

Os sistemas de ICT devem ser protegidos contra ameaças que evoluem rapidamente e que podem afetar a confidencialidade, a integridade, a disponibilidade, o uso pretendido e o valor das informações e dos serviços. A defesa contra essas ameaças exige uma estratégia que se adapte às mudanças nas condições ambientais para garantir a prestação contínua de serviços. Isso implica que os departamentos devem implementar as medidas de segurança exigidas pelo Esquema de Segurança Nacional e pela norma ISO 27001, além de monitorar continuamente os níveis de prestação de serviços, rastrear e analisar as vulnerabilidades relatadas e preparar uma resposta eficaz a incidentes para garantir a continuidade dos serviços prestados. 

Os diferentes departamentos devem garantir que a segurança de ICT seja parte integrante de todos os estágios do ciclo de vida do sistema, desde sua concepção, passando pelas decisões de desenvolvimento ou aquisição e atividades operacionais, até sua desativação. Os requisitos de segurança e as necessidades de financiamento devem ser identificados, tanto para os produtos que desenvolvem e seus serviços associados quanto para o software básico adquirido de terceiros. 

Os departamentos devem estar preparados para prevenir, detectar, reagir e se recuperar de incidentes, de acordo com o artigo 8 da ENS (Artigo 8. Prevenção, detecção, resposta e preservação) e com a ISO 27001. 

  1. Escopo

Esta política se aplica a todos os sistemas de TIC da entidade e a todos os membros da organização envolvidos em serviços e projetos dentro do escopo da certificação: Os sistemas de informação que dão suporte ao Serviço de Desenvolvimento e Manutenção de Software, suporte para serviços de gerenciamento de plataformas de computação em nuvem, consultoria e suporte para gerenciamento de documentos de clientes. 

  1. Objetivos

Em vista do exposto acima, a Gerência estabelece os seguintes objetivos de segurança da informação:

Fornecer uma estrutura para aumentar a resiliência para uma resposta eficaz. 

Garantir a recuperação rápida e eficiente dos serviços no caso de qualquer desastre físico ou contingência que possa ocorrer e comprometer a continuidade das operações. 

Prevenir incidentes de segurança da informação na medida em que for técnica e economicamente viável, bem como mitigar os riscos de segurança da informação gerados por nossas atividades. 

Garantir a confidencialidade, a integridade, a disponibilidade, a autenticidade e a rastreabilidade das informações.

  1. Estrutura regulatória

Um de nossos objetivos deve ser o de cumprir os requisitos legais aplicáveis e quaisquer outros requisitos que subscrevemos, além dos compromissos assumidos com nossos clientes, bem como atualizá-los continuamente. Para esse fim, a estrutura legal e regulatória na qual realizamos nossas atividades é a seguinte 

ISO/IEC 27001:2022 Sistemas de gerenciamento de segurança da informação. 

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. 

Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e Garantia dos Direitos Digitais. 

Real Decreto Legislativo 1/1996, de 12 de abril, sobre a Lei de Propriedade Intelectual. 

Lei 2/2019, de 1º de março, que altera o texto revisado da Lei de Propriedade Intelectual, aprovado pelo Real Decreto Legislativo 1/1996, de 12 de abril, e transpõe para o direito espanhol a Diretiva 2014/26/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, e a Diretiva (UE) 2017/1564 do Parlamento Europeu e do Conselho, de 13 de setembro de 2017. 

Real Decreto 311/2022, de 3 de maio, que regulamenta o Regime de Segurança Nacional. 

Lei 34/2002, de 11 de julho, de Serviços da Sociedade da Informação e Comércio Eletrônico (LSSI). 

Lei 40/2015, de 1º de outubro, sobre o Regime Jurídico do Setor Público. 

Lei 39/2015, de 1º de outubro, sobre o Procedimento Administrativo Comum das Administrações Públicas.

  1. Desenvolvimento

Para atingir esses objetivos, é necessário:

Melhorar continuamente nosso sistema de segurança da informação. 

Identificar possíveis ameaças, bem como o impacto nas operações comerciais que essas ameaças, caso se concretizem, podem causar. 

Preservar os interesses de nossas principais partes interessadas (clientes, funcionários e fornecedores), a reputação, a marca e as atividades de criação de valor. 

Trabalhar em conjunto com nossos fornecedores e subcontratados para melhorar a prestação de serviços de TI, a continuidade dos serviços e a segurança das informações, levando a uma maior eficiência em nossos negócios. 

Avaliar e garantir a competência técnica da equipe e assegurar que ela esteja adequadamente motivada para participar da melhoria contínua de nossos processos, fornecendo treinamento e comunicação interna para desenvolver as melhores práticas definidas no sistema. 

Garantir o estado correto das instalações e dos equipamentos adequados, de modo que estejam em correspondência com a atividade, os objetivos e as metas da empresa. 

Garantir uma análise contínua de todos os processos relevantes, estabelecendo as melhorias relevantes em cada caso, dependendo dos resultados obtidos e dos objetivos estabelecidos. 

Estruturar nosso sistema de gestão de forma que seja fácil de entender. Nosso sistema de gestão tem a seguinte estrutura:


O gerenciamento do nosso sistema é confiado ao Gerente do Sistema, e o sistema estará disponível em nosso sistema de informações em um repositório, que pode ser acessado de acordo com os perfis de acesso concedidos de acordo com nosso procedimento atual de gerenciamento de acesso.

  1. Organização da segurança

A responsabilidade principal é da Gerência Geral da organização, que é responsável por organizar funções e responsabilidades e fornecer recursos adequados para atingir os objetivos do IMS.

Esses princípios são assumidos pela Gerência, que fornece os meios necessários e dá a seus funcionários recursos suficientes para cumpri-los, que são definidos e divulgados por meio das Políticas de Segurança atuais. 

Os papéis ou funções de segurança definidos são:

Função

Deveres e responsabilidades

Responsável pela informação

Tomar as decisões relativas à informação tratada.

Responsável pelos serviços

Coordenar a implementação do sistema.

Melhorar o sistema de forma contínua.

Responsável pela segurança

Determinar a adequação das medidas técnicas.

Proporcionar a melhor tecnologia para o serviço.

Responsável pelo sistema

Coordenar a implementação do sistema.

Melhorar o sistema de forma contínua.

Direção

Proporcionar os recursos necessários para o sistema.

Liderar o sistema.

Essa definição é complementada por perfis de cargos e documentos do sistema.

As diferenças de critérios que possam levar a conflitos devem ser tratadas no Comitê de Segurança, e os critérios da Diretoria Geral devem sempre prevalecer. 

  1. Comitê de Segurança

O procedimento para sua nomeação e renovação deve ser ratificado pelo Comitê de Segurança, que é o órgão com maior responsabilidade dentro do sistema de gerenciamento de segurança da informação, de modo que todas as principais decisões relacionadas à segurança sejam acordadas por esse comitê. 

Os membros do comitê de segurança da informação são:

  • Diretor de Informações 
  • Gerente de serviços 
  • Diretor de segurança 
  • Gerente de sistema 
  • Gerência da empresa

Esses membros são indicados pelo comitê, que é o único órgão que pode nomeá-los, renová-los e demiti-los.

O comitê de segurança é um órgão executivo autônomo, com autonomia de decisão, e sua atividade não está subordinada a nenhum outro elemento de nossa empresa.

A organização da segurança das informações é desenvolvida no documento que complementa esta Política de Organização da Segurança. 

Essa política é complementada pelo restante das políticas, procedimentos e documentos em vigor para desenvolver nosso sistema de gerenciamento.

  1. Gestão de Riscos

Todos os sistemas sujeitos a esta Política devem realizar uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos. Esta análise é revisada regularmente:

  • Pelo menos uma vez ao ano;
  • Quando houver alteração nas informações tratadas;
  • Quando houver mudanças nos serviços prestados;
  • Quando ocorrer um incidente grave de segurança;
  • Quando forem reportadas vulnerabilidades graves.

Para a harmonização das análises de risco, o Comitê de Segurança estabelecerá uma avaliação de referência para os diferentes tipos de informações tratadas e os diferentes serviços prestados. O Comitê de Segurança dinamizará a disponibilidade de recursos para atender às necessidades de segurança dos diferentes sistemas, promovendo investimentos de caráter horizontal.

Para a realização da análise de riscos, será considerada a metodologia de análise de riscos desenvolvida no procedimento de Análise de Riscos.

  1. Gestão de Pessoal

Todos os membros da METADATA têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e a Regulamentação de Segurança, sendo responsabilidade do Comitê de Segurança TIC dispor dos meios necessários para que a informação chegue aos afetados.

Todos os membros da METADATA deverão participar de uma sessão de conscientização sobre segurança pelo menos uma vez ao ano. Será estabelecido um programa contínuo de conscientização para todos os membros da METADATA, em particular para os novos contratados.

As pessoas com responsabilidade no uso, operação ou administração de sistemas TIC receberão treinamento para o uso seguro dos sistemas, conforme necessário para desempenhar seu trabalho. O treinamento será obrigatório antes de assumir uma responsabilidade, seja na primeira atribuição ou em caso de mudança de cargo ou responsabilidades.

  1. Profissionalismo e segurança dos recursos humanos

Esta Política se aplica a todo o pessoal da METADATA e ao pessoal externo que realiza tarefas dentro da empresa.

O departamento de Recursos Humanos incluirá funções de segurança da informação nas descrições dos cargos, informará a todos os funcionários contratados sobre suas obrigações no cumprimento da Política de Segurança da Informação, gerenciará os Compromissos de Confidencialidade com o pessoal e coordenará as tarefas de capacitação dos usuários sobre esta Política.

Os objetivos de controle da segurança do pessoal são:

  • Reduzir os riscos de erro humano, irregularidades, uso indevido de instalações e recursos e manuseio não autorizado de informações;
  • Explicar as responsabilidades de segurança na fase de recrutamento e incluí-las nos acordos a serem assinados, verificando seu cumprimento durante o desempenho das tarefas;
  • Assegurar que os usuários estejam cientes das ameaças e preocupações de segurança da informação e capacitados para apoiar a Política de Segurança da Informação da organização no curso de suas atividades normais;
  • Estabelecer compromissos de confidencialidade com todo o pessoal e usuários fora das instalações de processamento de informações;
  • Estabelecer ferramentas e mecanismos necessários para promover a comunicação sobre fraquezas de segurança existentes e incidentes, a fim de minimizar seus efeitos e prevenir reincidências.
  1. Autorização e controle de acesso aos Sistemas de Informação

O controle de acesso aos sistemas de informação tem como objetivo:

  • Evitar o acesso não autorizado a sistemas de informação, bases de dados e serviços de informação;
  • Implementar a segurança no acesso dos usuários por meio de técnicas de autenticação e autorização;
  • Controlar a segurança na conexão entre a rede da METADATA e outras redes públicas ou privadas;
  • Revisar os eventos críticos e atividades realizadas pelos usuários nos sistemas;
  • Conscientizar sobre a responsabilidade no uso de senhas e equipamentos;
  • Garantir a segurança da informação quando se utilizam laptops e computadores pessoais para o trabalho remoto.
  1. Proteção das instalações

Os objetivos desta política em relação à proteção das instalações são:

  • Prevenir o acesso não autorizado, danos e interferências nas sedes, instalações e informações da METADATA;
  • Proteger o equipamento de processamento de informações críticas da METADATA, colocando-o em áreas protegidas e protegidas por um perímetro de segurança definido, com medidas de segurança e controles de acesso adequados. Também incluir a proteção desses equipamentos em seu transporte e quando estiverem fora das áreas protegidas, por manutenção ou outros motivos;
  • Controlar fatores ambientais que possam prejudicar o bom funcionamento do equipamento de computação que armazena as informações da METADATA;
  • Implementar medidas para proteger as informações manuseadas pelo pessoal nos escritórios, no curso normal de suas atividades;
  • Proporcionar proteção proporcional aos riscos identificados.

Esta Política se aplica a todos os recursos físicos relacionados aos sistemas de informação da METADATA: instalações, equipamentos, cabeamento, arquivos, meios de armazenamento, etc.

Deve-se destacar que, no caso da METADATA, todos os ambientes de desenvolvimento, qualidade, etc., estão localizados externamente em uma hospedagem segura, sendo apenas os laptops e periféricos que devem ser protegidos localmente.

Todo o pessoal da METADATA é responsável por cumprir a política de tela limpa e mesa limpa, para proteger as informações relacionadas ao trabalho diário nos escritórios.

  1. Aquisição de produtos

Os diferentes departamentos devem assegurar que a segurança TIC seja uma parte integrante de cada etapa do ciclo de vida do sistema, desde sua concepção até sua retirada de serviço, passando pelas decisões de desenvolvimento ou aquisição e atividades de operação. Os requisitos de segurança e as necessidades de financiamento devem ser identificados e incluídos no planejamento, na solicitação de propostas e nos editais para projetos de TIC.

Além disso, será considerada a segurança da informação na aquisição e manutenção dos sistemas de informação, limitando e gerenciando as alterações.

  1. Segurança por padrão

A METADATA considera estratégico que os processos integrem a segurança da informação como parte de seu ciclo de vida. Os sistemas de informação e os serviços devem incluir a segurança por padrão desde sua criação até sua retirada, incluindo a segurança nas decisões de desenvolvimento e/ou aquisição e em todas as atividades operacionais, estabelecendo a segurança como um processo integral e transversal.

  1. Integridade e atualização do sistema

A METADATA compromete-se a garantir a integridade do sistema por meio de um processo de gestão de mudanças que permita o controle da atualização dos elementos físicos ou lógicos mediante autorização prévia à sua instalação no sistema. Essa avaliação será realizada principalmente pela direção técnica, que avaliará o impacto na segurança do sistema antes de realizar as mudanças e controlará de forma documentada as alterações consideradas importantes ou com implicações na segurança dos sistemas.

Por meio de revisões periódicas de segurança, será avaliado o estado de segurança dos sistemas, em relação às especificações dos fabricantes, às vulnerabilidades e às atualizações que os afetem, reagindo com diligência para gerenciar o risco à vista do estado de segurança desses sistemas.

  1. Proteção da informação armazenada e em trânsito

A METADATA estabelece medidas de proteção para a Segurança da Informação armazenada ou em trânsito através de ambientes inseguros. Considera-se ambiente inseguro os laptops, dispositivos periféricos, mídias de informação e comunicações em redes abertas ou com criptografia fraca.

  1. Prevenção de sistemas de informação interconectados

A METADATA estabelece medidas de proteção para a Segurança da Informação, especialmente para proteger o perímetro, em particular se estiver conectado a redes públicas, especialmente se forem usadas totalmente ou principalmente para a prestação de serviços de comunicações eletrônicas disponíveis ao público.

Em qualquer caso, serão analisados os riscos decorrentes da interconexão do sistema, através de redes, com outros sistemas, e será controlado o ponto de união.

  1. Registros de atividade

A METADATA registrará as atividades dos usuários, retendo as informações necessárias para monitorar, analisar, investigar e documentar atividades indevidas ou não autorizadas, permitindo identificar a pessoa responsável em cada momento.

Os principais objetivos da Gestão de Incidentes são:

  • Estabelecer um sistema de detecção e reação contra códigos maliciosos;
  • Dispor de procedimentos de gestão de incidentes de segurança e fraquezas detectadas nos elementos do sistema de informação;
  • Esses procedimentos cobrirão mecanismos de detecção, critérios de classificação, procedimentos de análise e resolução, bem como os canais de comunicação para as partes interessadas e o registro das ações;
  • Este registro será utilizado para a melhoria contínua da segurança do sistema;
  • Garantir que os serviços de TI voltem a funcionar de forma otimizada;
  • Reduzir os possíveis riscos e impactos causados pelo incidente;
  • Proteger a integridade dos sistemas no caso de um incidente de segurança;
  • Comunicar o impacto de um incidente assim que for detectado, para ativar o alerta e implementar um plano de comunicação empresarial adequado;
  • Promover a eficiência empresarial.
  1. Continuidade das atividades

A METADATA, com o objetivo de garantir a continuidade das atividades, estabelece medidas para que os sistemas possuam backups e mecanismos necessários para garantir a continuidade das operações em caso de perda dos meios habituais de trabalho.

  1. Melhoria contínua do processo de segurança

A METADATA estabelece um processo de melhoria contínua da segurança da informação, aplicando os critérios e metodologia estabelecidos no Esquema Nacional de Segurança.

Em Málaga, aos vinte e nove de janeiro de 2024.