Política de Segurança Cibernética

Para a Avizz transparência é fundamental, por isso, preparamos esta política para informar de forma clara e direta o comprometimento com a gestão da Segurança e como estabelecemos diretrizes que envolvem Confidencialidade, Integridade e Disponibilidade dos dados utilizados nos negócios, caso ainda tenha dúvidas, nossos canais de atendimento estão à sua disposição.

1. Qual é o âmbito de aplicação?

A Política de Segurança Cibernética e da Informação é aplicável a todos os Administradores, Diretores, colaboradores, fornecedores e consultores da Avizz, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações da Avizz.
Em caso de contratação de terceiros, estes devem estar cientes de todas as diretrizes existentes nesta Política. É de propriedade da Avizz toda a informação gerada ou tramitada por meio dos seus recursos.

2. Definições e interpretação

Sem prejuízo de outras definições constantes nesta Política, as palavras e expressões abaixo indicadas, sempre que utilizadas pela primeira letra maiúscula, terão as seguintes definições:
  • Ambiente(s) Virtual(ais) ou Ambiente(s): Engloba, mas não se limita a ambientes computacionais, onde se disponibilizam aplicações e serviços, consumidos via internet;
  • Colaborador(es): significa os empregados e funcionários da Avizz, contratados de acordo com a Consolidação das Leis Trabalhistas, estagiários contratados de acordo com a Lei 6.494/77 e respectivas alterações ou qualquer pessoa com vínculo empregatício com a Avizz, podendo ser contratado também como fornecedor de serviços;
  • Dado(os): são valores individuais, que quando combinados transmitem informações. No âmbito desta Política, os Dados representam características ou atributos pertencentes a uma pessoa física, jurídica ou a própria organização;
  • Dado Pessoal(ais): qualquer informação relacionada a uma pessoa física identificada ou identificável. A expressão Dado Pessoal utilizada nesta Política quando não explicitamente mencionada, também abrangerá Dado Pessoal Sensível;
  • Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Incidente de Segurança ou Incidente: a ocorrência de um evento isolado ou uma série de eventos de segurança da informação indesejados ou inesperados, que podem comprometer ou impactar as operações do negócio e ameaçar a segurança da informação;
  • Informação da Avizz: significam as informações administrativas e financeiras da Avizz, bem como qualquer outra Informação associada a Avizz que não se enquadre na definição de Informação do Cliente. Informações da Avizz podem ser classificadas de acordo com diferentes níveis de sigilo e/ou confidêncialidade;
  • Segurança Cibernética: é a proteção aplicada a Ambientes, softwares, dispositivos, bases de dados e outros recursos tecnológicos com o objetivo de reduzir a probabilidade de eventos de risco, ameaça e vulnerabilidade aos ativos. Eventos estes que podem gerar comprometimento da confiabilidade no produto, indisponibilidade dos serviços e perda de informações;
  • Terceiros: entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Avizz, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como prestador terceirizado;
  • Tratamento da Informação ou Tratamento: compreende as condutas e controles associados e conferidos à Informação durante todo o seu Ciclo de Vida;” - Qualquer fator ou ponto que possa ser explorado e assim gerar incidentes de segurança.
  • Ameaça: Fonte potencial de dano; elemento ou atividade que possui potencial de causar uma consequência.
  • Colaborador: Empregado em regime CLT ou estagiário (aquele que possui um termo de compromisso firmado entre a empresa e a instituição de ensino).
  • ETIR - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais: Grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança da informação.
  • Evento de segurança da informação: Ocorrência identificada em um sistema, serviço ou rede que indica uma possível violação da Política de segurança da informação ou falha de controles de segurança da informação, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
  • Evidência: Dados que apoiam a existência ou a veracidade de alguma coisa.
  • Risco Cibernético: Ameaça à confidencialidade, integridade e disponibilidade das informações no Espaço Cibernético.
  • Terceiros: Pessoas que não possuam vínculo empregatício com a Avizz e que não sejam estagiários. Por Terceiros entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Avizz, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como trabalhador contratado por outra companhia que não a Avizz.
  • Vulnerabilidade: Brecha sistêmica que permite ataque de exploração ou violação à segurança da informação de uma aplicação/rede.

3. Quais são os princípios de segurança da informação?

  • Confidencialidade: Garantir que os dados sejam acessados, tratados ou divulgados apenas a indivíduos ou entidades autorizadas;
  • Integridade: Garantir que os dados estejam íntegros e sem qualquer alteração indevidas, acidentais ou propositais;
  • Disponibilidade: Garantir que os dados estejam acessíveis às pessoas ou indivíduos autorizados.

4. Diretrizes

A Avizz está comprometida com o Tratamento justo e ético de Dados Pessoais e prioriza o cuidado com o direito à privacidade. Entendemos que esse é um aspecto essencial para que tenhamos a confiança de nossos clientes e parceiros. Os serviços prestados pela Avizz demandam o uso de Dados Pessoais, compreendendo a coleta, o processamento, o compartilhamento e o armazenamento dessas informações.

Gestão de Acessos

Todas as informações, sistemas, redes e aplicativos são protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.
Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da Avizz estão relacionados com os seus negócios, exclusivamente. No ato da contratação ou mudança de área, de Colaboradores e Terceiros, existem processos que registram, revisam e ajustam os acessos físicos e lógicos de acordo com as funções desempenhadas, garantindo que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função.

Autenticação e Gestão de Identidades‍

O acesso aos sistemas deve ser controlado e com geração de LOGs, que registrem ações executadas pelos usuários, garantindo que seja possível identificar qual ação foi executada, qual usuário realizou a ação e quando a ação foi executada. Deve-se utilizar credenciais únicas e identificáveis, passíveis de bloqueios a qualquer momento ou alteração referentes a mudanças de função.

Gestão de Terceiros‍

Provedores e fornecedores de serviços são controlados e avaliados constantemente perante o ponto de vista de Segurança da Informação, assegurando o uso correto das informações às quais terão acesso.

Criptografia‍

O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia. A área de tecnologia deve executar revisões de criptografia e gerenciamento de chaves periodicamente, ou mediante alterações significativas de tecnologias.

Prevenção a Vazamentos de Informações‍

São adotados controles para rastreamento e prevenção de vazamentos de informações baseadas no nível de classificação. Os controles adotados permitem a identificação de informações armazenadas em ativos, evidenciando informações sensíveis.

Gestão de Incidentes de Segurança da Informação‍

São utilizados controles de detecção no ambiente como Antivírus, Antispam, filtro de conteúdos e ferramentas de detecção de comportamentos maliciosos. O time de Segurança da Informação conta para registros de incidentes, onde há um fluxo de trabalho definido para resolução e correção do ocorrido.

Segregação de Ambientes‍

Os ambientes de teste e desenvolvimento são separados do ambiente de produção e dados reais não devem ser utilizados para testes. Os controles de acesso devem estar em vigor para fornecer uma separação distinta.

Backups‍

Bases de dados de produção sofrem backups diários, garantindo que sejam restaurados em caso de perda de dados ou interrupção de serviços. A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.

Classificação da Informação‍

Todos os documentos e informações devem ser classificados de acordo com seu nível de confidencialidade, conforme critérios gerais definidos no Manual Para Classificação da Informação, que define diretrizes e graus de sigilo para documentos, sendo estes: Públicos, Internos, Confidenciais ou Restritos. Para isso, devem ser considerados os impactos envolvendo a exposição de cada tipo de informação ao público geral. Para cada grau de sigilo, deve-se adotar práticas específicas de proteção de dados.

Conscientização em Segurança da Informação‍

Devem ser promovidas campanhas periódicas de treinamento e disseminação de princípios e boas práticas de Segurança da Informação para todos os Colaboradores, com o intuito de tornar estes conhecimentos intrínsecos a todas as áreas de negócio da Avizz. As campanhas devem ser disponibilizadas via e-mail, redes sociais.

Utilização de serviços em nuvem

A Avizz deve assegurar que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

5. Recomendações de Segurança para Clientes

A Avizz deve assegurar que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

Senhas

Crie senhas complexas sem a utilização de dados próprios, como nome, data de nascimento ou telefone. Evite nomes de familiares e dê preferência para o uso de mais de uma palavra, com variação entre caracteres maiúsculos e minúsculos, além disso, mescle números e caracteres especiais. Não utilize a mesma senha em diversos sistemas e aplicativos. E as troque com frequência ou caso desconfie de algum tipo de vazamento acidental, se possível, habilite um segundo fator de autenticação (ex.: biometria ou SMS).

Acesso em redes públicas‍

Evite o uso do aplicativo e site de qualquer instituição bancária ou de pagamento em redes públicas, como Wi-Fi de hotéis, shoppings e lan house. Esse tipo de acesso pode estar sendo interceptado por algum software malicioso utilizado por terceiros.

Engenharia social e phishing

Suspeite de qualquer tipo de informação ou solicitação que receber por qualquer meio, seja SMS, E-mail, WhatsApp, ligações ou outros aplicativos mensageiros. Evite abrir e-mails cujo remetente ou conteúdo sejam desconhecidos, não clique em links disponibilizados em e-mails ou em mensagens SMS suspeitas e/ou desconhecidas, não realize o download ou execute arquivos anexos em e-mails suspeitos (ex.: com erros gramaticais ou tom de urgência).

Engenharia social e phishing

Se atente ao acessar páginas na internet, sempre verifique se o site que você está acessando é realmente o verdadeiro e desconfie de domínios que não sejam o domínio oficial da Avizz, https://avizz.com.br/. Em caso de dúvidas quanto à legitimidade das páginas, acesse sempre o domínio de maneira direta através de seu navegador de internet.

6. Canal de contato

Para dúvidas ou solicitações, os usuários devem entrar em contato com o encarregado de proteção de segurança cibernética da Avizz por meios de um dos nossos canais de atendimento.
Endereço para correspondência: Avenida das Américas, 19005, Bloco 1, Sala 614, Recreio dos Bandeirantes, Rio de Janeiro-RJ, CEP 22.790-703.

7. Alteração da política de segurança cibernética

Esta Política de Segurança está sujeito a eventuais alterações e atualizações pela Avizz, a qualquer tempo, para permitir a contínua melhoria de suas Soluções e Plataformas. Em caso de alterações, a Avizz dará publicidade a tais modificações, com a correspondente data de elaboração do novo documento.
É recomendado que os Titulares consultem regularmente esta Política de Segurança para estarem sempre atualizados com relação a Confidencialidade, Integridade e Disponibilidade de Dados pela Avizz.


Última atualização em 03 de janeiro de 2023.