Estabelecer diretrizes que permitam aos colaboradores, parceiros e prestadores de serviços da chreative seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e assim proteger as informações da chreative ou sob sua responsabilidade.

• Confidencialidade: princípio de segurança da informação que tem como objetivo garantir que o acesso à informação seja concedido somente a pessoas autorizadas.

• Integridade: princípio de segurança da informação que tem como objetivo garantir que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

• Disponibilidade: princípio de segurança da informação que tem como objetivo garantir que os usuários autorizados tenham acesso à informação sempre que necessário.

• Tratamento de informações: toda operação realizada, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

3.1. Princípios Gerais

Esta política serve como norte para a definição de normas e procedimentos de segurança da informação, assim como para a implementação de controles que tenham como objetivo preservas as informações quanto à integridade, confidencialidade e disponibilidade, e deve ser divulgada a todos os colaboradores e prestadores de serviços da chreative.

As informações produzidas ou acessadas pelos colaboradores e prestadores de serviços em virtude da realização das atividades profissionais contratadas, pertencem à chreative.

Exceções devem ser formalizadas em contrato entre as partes.

Os assuntos relativos à segurança da informação e à proteção de dados deverão ser discutidos em reunião ou comitê mensal dos diretores, ou sempre que necessário. As discussões deverão ser formalizadas em ata.

Todos os documentos relativos à segurança da informação e à proteção de dados deverão ser revistos e atualizados no mínimo a cada um ano ou sempre que algum fato relevante ou evento motive sua revisão antecipada.

Todos os contratos deverão conter cláusulas de confidencialidade e proteção da informação, segundo regulamentação vigente.

Todos os colaboradores e prestadores de serviço da chreative devem ser comunicados sobre a segurança da informação e proteção de dados, seja por meio de treinamentos ou outros métodos de conscientização, não só na fase de contratação, mas também durante todo o período de vigência do contrato.

Todo incidente que afete a segurança da informação e a proteção dos dados deverá ser comunicado ao corpo diretivo da chreative para análise.

Durante a prestação de serviços no ambiente de clientes, as políticas e outros documentos, assim como as diretrizes de segurança e continuidade do negócio do cliente deverão ser cumpridas e seguidas em sua totalidade. Qualquer incidente de segurança da informação ou proteção de dados no ambiente do cliente deverá ser comunicado à direção da chreative. Não é permitido copiar, captar, imprimir ou enviar imagens da tela do ambiente de clientes.

O não cumprimento das diretrizes citadas nesta política ou em outros documentos de segurança da informação e proteção de dados acarretará violação às regras internas da chreative e está sujeito às medidas administrativas e legais cabíveis.

3.2. Classificação da Informação

As informações tratadas na chreative devem ser classificadas em pública, uso interno ou confidencial. As informações que não forem classificadas, assim como as informações de clientes ou dados protegidos por lei, deverão ser tratadas como confidencial.

O tratamento para cada tipo de informação deve seguir as orientações do quadro 1.

3.3. Monitoramento e auditoria do ambiente

Para garantir as diretrizes mencionadas nesta política, a chreative poderá implantar sistemas de monitoramento nas dependências físicas, estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado.

As informações obtidas pelo sistema de monitoramento, poderão se tornar públicas em caso de exigência judicial, solicitação da direção, em caso de suspeita de fraude ou vazamento de informações.

A chreative poderá realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade e instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

3.4. Uso do Correio Eletrônico

O correio eletrônico da chreative deve ser utilizado exclusivamente para fins corporativos e relacionados às atividades do colaborador ou prestador de serviços, não sendo permitido:

• enviar mensagens não solicitadas em nome da chreative para múltiplos destinatários;

• enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a chreative vulneráveis a ações civis ou criminais;

• divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;

• falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

• produzir, transmitir ou divulgar mensagem que contenha ameaças eletrônicas, como spam, mail bombing, vírus de computador; que vise obter acesso não autorizado a outro computador, servidor ou rede; vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado; para assediar ou vigiar alguém; para acessar informações confidenciais sem explícita autorização do proprietário; que tenha conteúdo considerado impróprio, obsceno ou ilegal; seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros; que contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas; tenha fins políticos locais ou do país; que inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

3.5. Uso de Equipamentos Corporativo

Os equipamentos fornecidos pela chreative podem ser monitorados e se necessário poderá analisar e bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

O uso destes equipamentos para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a organização cooperará ativamente com as autoridades competentes.

Não é permitido copiar, captar, imprimir ou enviar imagens da tela para terceiros, assim como fazer download de softwares e aplicações sem a devida autorização da direção da chreative, devendo atender à lei de direitos autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio dos equipamentos, assim como propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

3.6. Identificação e Senhas

Para proteger os acessos às informações, todo colaborador ou prestador de serviços da chreative possui identificação individual e senha para acessar os sistemas e correio eletrônico.

São utilizados os serviços da Microsoft para guarda dos projetos e outros documentos necessários à prestação de serviços da chreative aos seus clientes. O acesso aos serviços Microsoft é realizado de forma nominal, mediante e-mail chreative e senha.

Não é permitido o compartilhamento de identificação e senha, assim como fazer uso de identificação de outro colaborador ou prestador de serviços.

A identificação individual é concedida no momento da admissão e solicitada a troca da senha no primeiro acesso.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários, portanto, assim que algum colaborador ou prestador de serviços for desligado ou solicitar desligamento, sair de férias ou se afastar por qualquer motivo, seus acessos são retirados.

Para os sistemas utilizados no ambiente da chreative, as senhas devem ser configuradas os seguintes parâmetros:

• Mínimo de 8 caracteres;

• Uso de caracteres especiais (/ % ? $ &), números e letras maiúsculas e minúsculas;

• Não devem ser reutilizadas as últimas 3 senhas;

• Expiração de senha a cada 90 (noventa) dias;

• Forçar a troca da senha inicial por uma que seja pessoal e segura.

Os colaboradores e prestadores de serviços devem adotar boas práticas de segurança para a definição de senha, como: não ser de fácil adivinhação, não possuir caracteres idênticos consecutivos ou somente caracteres numéricos ou alfabéticos; e não utilizar informações pessoais, tais como nomes, números telefônicos, dia de aniversário etc.; nunca compartilhar sua senha e não anotar em papéis ou deixar gravada em recursos do tipo autocompletar.

A identificação de acessos a sistemas e outros recursos tecnológicos da chreative que tenham perfil administrador devem ter a senha somente ao conhecimento dos sócios-administradores.

3.7. Acesso físico

As instalações da chreative ficam em um condomínio que possui duas portarias, a primeira que concede acesso ao condomínio e a segunda ao prédio. O acesso é permitido somente mediante apresentação de crachá ou com prévia autorização, conforme descrição a seguir:

Novos colaboradores ou prestadores de serviços: no primeiro dia de atividade, o acesso à primeira portaria é realizado mediante cadastro com apresentação de documento de identificação e autorização prévia da chreative. Na segunda portaria mediante autorização prévia da chreative. A chreative então solicita a confecção do crachá nominal ao funcionário ou prestador de serviços, que passará a utilizá-lo para acesso as duas portarias.

Visitantes: na primeira portaria de acesso, a recepcionista liga nas dependências das chreative para solicitar autorização para acesso e então é realizado o cadastro do visitante com apresentação de documento de identificação. Na segunda portaria, a recepcionista liga nas dependências das chreative para solicitar autorização para acesso.

3.8. Continuidade do Negócio

A continuidade dos negócios da chreative consiste na prestação do serviço em ambiente digital dos nossos clientes e no uso de sistemas na nuvem.

O contrato com nossos colaboradores e prestadores de serviço permite o desenvolvimento das atividades tanto nas dependências da chreative, quanto de suas residências ou outras localidades, o que nos garante o mínimo impacto à prestação do serviço em caso de queda de energia elétrica ou de internet.

3.9. Responsabilidades

Todos os colaboradores ou prestadores de serviços da chreative devem seguir as diretrizes contidas nesta política, zelando pela segurança das informações a que tenham acesso durante o desenvolvimento de suas atividades.

Devem também cumprir as leis e normas que regulamentem as atividades da chreative e seu mercado de atuação, assim como comunicar qualquer descumprimento da política de segurança da informação.

Os sócios diretores tem por responsabilidade desenvolver, revisar, aprovar e disseminar as políticas e normas da chreative, assim como comprometer-se em aplicar as melhores práticas de segurança da informação e proteção de dados dentro do ambiente corporativo.

BRASIL. Lei 13.709, de 14 de agosto de 2018. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 fev. 2022.

Subchefia para Assuntos Jurídicos. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 fev. 2022.

ISO/IEC 27002:2013 (2013). Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.