Política de Segurança da Informação para Terceiros

Revisão 5.0 aprovada pelo Diretor de Tecnologia (CTO) em 06/01/2023

1. Objetivo

A informação é o principal elemento de negócio da Neogrid e, dessa forma, deixar de manter a sua confidencialidade, integridade e disponibilidade são fatores críticos para o negócio.

Esta política tem como objetivo principal determinar as diretrizes estabelecidas para parceiros e terceiros na aderência às políticas corporativas da Neogrid.

Esta política não sobrepõe as diretrizes estabelecidas na Política de Segurança da Neogrid, que tem aplicabilidade interna.

2. Abrangência

Todos os parceiros e terceiros que possuem algum tipo de contratação com a Neogrid, independentemente do tipo de relacionamento, incluindo, mas não se limitando a prestadores de serviços, fornecedores, distribuidores de software, parceiros de tecnologia, etc.

3. Documentos Relacionados

ISO/IEC 27001:2013 Sistema de gestão da segurança da informação

ISO/IEC 27002:2013 Código de prática para controles de segurança da informação

4. Responsabilidades

4.1. Gestores de Contratos (Gestor da área)

• Quando da contratação de parceiros ou terceiros que venham a acessar a rede interna e os dados da Neogrid, o Gestor do contrato deverá garantir, de preferência contratualmente, que todos estejam cientes das políticas corporativas da Neogrid, incluído esta Política e a POL-TEC-001 Política de Segurança da Informação;

• Solicitar requisição de acesso de terceiro para: concessão/remoção de direito de acesso, alteração de nível de acesso, desativação/ativação de login.

4.2. Parceiro ou Terceiro Contratado

• É de responsabilidade dos parceiros e terceiros, observar e seguir as diretrizes estabelecidas nas políticas e procedimentos corporativos da Neogrid que sejam pertinentes para o desenvolvimento do trabalho, destacando esta política;

• Todas as atividades executadas devem observar a legislação vigente e a normatização de órgãos e entidades reguladoras com relação à Segurança da Informação e Proteção de Dados.

5. Diretrizes

5.1. Gerais

Os parceiros ou terceiros devem cumprir com todos os requisitos das legislações aplicáveis e devem comprometer-se a seguir, integralmente, os seguintes itens:

• Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada, mantendo a sua confidencialidade;

• Preencher e atender os requisitos de segurança da informação e privacidade acordados em contrato firmado entre as partes a fim de mitigar os riscos associados;

• Respeitar NDA (Non Disclosure Agreement) por prazo indeterminado;

• Assegurar que os recursos colocados à sua disposição sejam utilizados apenas para as finalidades acordadas e aprovadas pela Neogrid;

• Garantir que os sistemas e as informações sob sua responsabilidade estejam adequadamente protegidos;

• Garantir a continuidade do processamento das informações críticas de negócios;

• Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;

• Responder, sempre que solicitado, o formulário de Due Diligence disponibilizado pela Neogrid com questões relacionadas à Segurança da Informação, Governança de TI e Privacidade de dados;

• Cumprir as Políticas e Procedimentos da Neogrid, e esta Política;

• Comunicar imediatamente a área de Segurança da Informação da Neogrid através do e-mail infosec@neogrid.com, na identificação de qualquer incidente ou não conformidade de segurança da informação e, na identificação de qualquer incidente relacionado a privacidade de dados, comunicar também o DPO da Neogrid através do e-mail dpo@neogrid.com.

5.2. Acesso lógico e uso aceitável

• A requisição de acesso lógico de terceiros aos ativos da Neogrid para: concessão ou remoção de direto de acesso, alteração no nível de acesso, desativação/ativação de login de terceiro, é feita pelo ‘Gestor da área’, que também é o gestor do contrato, por meio da ferramenta de chamados da Neogrid,conforme procedimento vigente. A solicitação será avaliada e aprovada de acordo com a necessidade, seguindo as diretrizes corporativas de Segurança da Informação e as políticas internas;

• É dever do gestor do contrato informar a validade da contratação no momento da solicitação do acesso, bem como solicitar a exclusão do acesso quando não houver mais necessidade;

• Os computadores de parceiros e terceiros não podem ser conectados na rede interna da Neogrid, deverão utilizar apenas da rede convidados (guests), ou servidor intermediário (jumper)com as devidas aprovações da TI Corporativa ou Operações, sendo que estes equipamentos deverão estar protegidos por software antivírus/anti-malware e demais softwares devidamente licenciados, sendo que essa conformidade deve ser apresentada a Neogrid sempre que solicitado;

• O acesso ao ambiente de nuvem da Neogrid (office 365), somente deve ser concedido ao terceiro após avaliação da equipe de Segurança da Informação da Neogrid;

• É proibido o acesso, download ou distribuição de qualquer conteúdo que viole direitos autorais e de propriedade da Neogrid. Da mesma forma, não é permitido acesso ou distribuição de conteúdo pornográfico de qualquer natureza ou conteúdo que viole o Estatuto da Criança e Adolescente;

• As credenciais de acesso disponibilizadas, quando aplicáveis, são de uso pessoal e intransferível, não podem ser divulgadas ou compartilhadas. O colaborador terceiro deve manter suas credenciais de acesso seguras, sendo de sua responsabilidade qualquer utilização indevida;

• É responsabilidade da empresa terceira comunicar ao gestor do contrato da Neogrid qualquer desligamento de seus colaboradores para que as devidas revogações de acesso sejam executadas.

5.3. Segurança no uso dos ativos

O terceiro é responsável:

• Pela proteção dos dispositivos físicos contendo informação da Neogrid que estão sob sua guarda;

• Garantir a segurança e a integridade do recurso de TI em uso, mantendo-o nas condições originais. É de responsabilidade do terceiro zelar pela conservação e boas condições da Infraestrutura e equipamentos;

• Comunicar imediatamente ao setor de TI da Neogrid e ao Gestor da área a ocorrência de qualquer anomalia no uso dos recursos de TI;

• Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras números e símbolos, evitando o uso de nomes, sobrenomes, número de documentos, placas de carros, números de telefone, datas que possam ser relacionadas com o colaborador. As senhas temporárias devem ser alteradas imediatamente. As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em nenhuma hipótese.

5.4. Gestão de Acessos

• Um NDA (Non Disclosure Agreement) com a empresa parceira deve ser providenciado, antes do início do processo de gestão de acessos a fim de mitigar os riscos associados com o acesso de terceiro aos ativos da Neogrid. O gestor do contrato tem a responsabilidade de buscar a assinatura deste termo, caso ele ainda não exista;

• Solicitações de acesso de qualquer natureza devem ser feitas via ferramentas de chamado da Neogrid, passando pelo fluxo de avaliação e aprovação definido conforme item 6.2 ‘Acesso Lógico e uso aceitável’;

• Devem ser identificados os visitantes e prestadores de serviço terceirizados, distintamente dos funcionários;

• O acesso a infraestrutura e sistemas internos da Neogrid devem ser acessados de maneira segura, conforme procedimentos de segurança estabelecidos pela Neogrid.

5.5. Transferência da informação

Assim como os colaboradores internos, os parceiros e terceiros contratados pela Neogrid deverão seguir as diretrizes vigente para transferência da Informação, devendo ser extremamente cautelosos na utilização de quaisquer meios de comunicação.

Fica proibido o armazenamento de informações de qualquer nível de classificação em ativo que não seja homologado pela Neogrid.

É proibido a divulgação e disseminação de informações da Neogrid com mais alto grau de sensibilidade, sem autorização, justificativa e criptografia.

Entende-se por divulgação e disseminação de informações com mais alto grau de sensibilidade específicas da Neogrid, toda e qualquer troca de mensagens com organizações ou pessoas não autorizadas, que contenha qualquer referência a:

• Documentação dos sistemas (código fonte, diagramas, documentação de tabelas etc.);

• Diagramas, propostas, checklists operacionais, projetos, procedimentos técnicos ou da empresa;

• Decisões sobre aquisições, fusões, incorporações;

• Documentações cuja classificação não permita a divulgação;

• Patentes, desenvolvimento de software e de soluções.

Os requisitos para confidencialidade da informação estão descritos no contrato.

5.6. Segurança da Informação e Privacidade

Os contratos com Parceiros e Terceiros deverão estar contemplados com cláusulas com referências aos requisitos de Segurança da Informação e Privacidade a ser seguido pelos contratados, bem como a obrigatoriedade do cumprimento das Políticas, Procedimentos e Normas da Neogrid que sejam pertinentes à Segurança da informação, Privacidade e para o desenvolvimento do trabalho.

6. Término de Contrato de Serviço/Produto

O término do contrato de prestação de serviço por terceiros é acompanhado por processos internos da Neogrid, definidos em contrato.

7. Violação de Conduta

São consideradas violações à Política as seguintes situações, não se limitando as:

• Quaisquer ações ou situações que possam expor a Neogrid à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;

• Uso indevido ou acesso indevido a dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa da Neogrid;

• Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Neogrid;

• A não-comunicação imediata de quaisquer descumprimentos desta Política ou qualquer outra determinada pela Neogrid.

8. Avaliações Periódicas

A Neogrid poderá realizar, sempre que achar necessário, avaliações para atestar a efetividade da implementação de controles de segurança baseados nas boas práticas determinadas pela ISO/IEC 27001:2013 e ISO/IEC 27002:2013, devendo para isso, comunicar o parceiro com antecedência.

9. Sanções

A violação a um controle ou a não-aderência a essa Política e a outras Políticas e Procedimentos da Neogrid e suas definições são consideradas violações graves, podendo ser aplicadas penalidades pecuniárias de acordo com os termos contratuais, sem prejuízo da apuração de todos os danos causados e eventual indenização.

10. Vigência

Essa política entra em vigor a partir da data de sua publicação e sua revisão deve ocorrer no máximo a cada doze meses, ou sempre que se fizer necessária.

As alterações desta Política e das normas complementares devem ser devidamente comunicadas as partes interessadas.