- Introdução
O objetivo desta política de segurança é delinear as medidas e práticas que a Allamex™ adota para garantir a confidencialidade, integridade e disponibilidade de nossos sistemas e dados. Esta política se aplica a todos os funcionários, contratados e entidades terceirizadas que têm acesso aos nossos sistemas e informações. A adesão a esta política é obrigatória para proteger nossas informações comerciais e de clientes contra acesso, divulgação, alteração ou destruição não autorizados.
- Controle de acesso
2.1Contas de usuário:
- Serão criadas contas de usuário para todos os funcionários e contratados que acessam os sistemas de negócios on-line de atacado.
- As contas de usuário serão concedidas com base no princípio do menor privilégio, garantindo que os indivíduos tenham acesso apenas aos recursos necessários para desempenhar suas responsabilidades de trabalho.
- Senhas fortes serão aplicadas, exigindo uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.
- A autenticação multifator (MFA) será implementada para todas as contas de usuário para fornecer uma camada adicional de segurança.
2.2Acesso de terceiros:
- O acesso de terceiros aos nossos sistemas e dados será concedido apenas com base na necessidade de conhecimento.
- Entidades terceirizadas serão obrigadas a assinar um acordo de confidencialidade e aderir a padrões e práticas de segurança consistentes com os nossos.
- Proteção de dados
3.1Classificação dos dados:
-
- Todos os dados serão classificados com base em sua sensibilidade e criticidade para determinar os níveis adequados de proteção.
- Diretrizes de classificação de dados serão fornecidas aos funcionários para garantir o manuseio, armazenamento e transmissão adequados de dados.
3.2Criptografia de dados:
-
- A transmissão de dados confidenciais será criptografada usando protocolos de criptografia padrão do setor, como SSL/TLS.
- Mecanismos de criptografia serão implementados para proteger os dados em repouso, especialmente para informações confidenciais armazenadas em
- bancos de dados e sistemas de arquivos.
3.3Backup e recuperação de dados:
-
- Backups regulares de dados críticos serão realizados e armazenados com segurança em um local externo.
- A integridade do backup e os processos de restauração serão testados periodicamente para garantir a capacidade de recuperação dos dados em caso de desastre.
4.Rede de Segurança
-
- Firewalls e Sistemas de Detecção de Intrusão:
- Firewalls e sistemas de detecção de intrusão serão implantados para proteger nossa infraestrutura de rede contra tentativas de acesso não autorizado e atividades maliciosas.
- Monitoramento regular e análise do tráfego de rede serão conduzidos para identificar e responder a quaisquer incidentes de segurança em potencial.
4.1Acesso remoto seguro:
-
- O acesso remoto aos nossos sistemas será permitido apenas por meio de canais seguros, como VPNs (Virtual Private Networks).
- As contas de acesso remoto serão protegidas por fortes mecanismos de autenticação e monitoradas para quaisquer atividades suspeitas.
5.Resposta a Incidentes
5.1Relatórios de incidentes:
-
-
- Funcionários e contratados serão treinados para relatar imediatamente quaisquer incidentes de segurança, violações ou atividades suspeitas ao ponto de contato designado.
- Os procedimentos de comunicação de incidentes serão comunicados com clareza e revisados periodicamente para garantir uma resposta e resolução oportunas.
-
5.2Equipe de Resposta a Incidentes:
-
-
- Uma equipe de resposta a incidentes será designada para lidar com incidentes de segurança, investigar violações e coordenar as ações apropriadas.
- As funções e responsabilidades dos membros da equipe serão definidas e suas informações de contato estarão prontamente disponíveis.
-
5.3Recuperação de Incidentes e Lições Aprendidas:
-
-
- Ações imediatas serão tomadas para mitigar o impacto dos incidentes de segurança e restaurar os sistemas e dados afetados.
- Após cada incidente, uma revisão pós-incidente será realizada para identificar as lições aprendidas e implementar as melhorias necessárias para evitar incidentes semelhantes no futuro.
-
6.Segurança física
6.1Controle de acesso:
-
- O acesso físico a data centers, salas de servidores e outras áreas críticas será restrito apenas ao pessoal autorizado.
- Mecanismos de controle de acesso, como autenticação biométrica, cartões-chave e vigilância CCTV, serão implementados conforme apropriado.
6.2Proteção do equipamento:
-
- Todos os equipamentos de informática, mídia de armazenamento e dispositivos portáteis serão protegidos contra roubo, perda ou acesso não autorizado.
- Os funcionários serão treinados para armazenar e manusear equipamentos com segurança, especialmente quando trabalham remotamente ou viajam.
7.Formação e Consciência
7.1 Treinamento de conscientização de segurança:
-
- Treinamento regular de conscientização de segurança será fornecido a todos os funcionários e contratados para educá-los sobre as melhores práticas, políticas e procedimentos de segurança.
- As sessões de treinamento abordarão tópicos como segurança de senha, conscientização sobre phishing, manipulação de dados e relatórios de incidentes.
7.2 Reconhecimento da Política:
-
- Todos os funcionários e contratados deverão revisar e reconhecer sua compreensão e conformidade com esta política de segurança.
- Os reconhecimentos serão atualizados regularmente e mantidos como parte dos registros de pessoal.
8.Revisão e atualizações da política
Esta política de segurança será revisada periodicamente e atualizada conforme necessário para refletir mudanças na tecnologia, regulamentos ou requisitos de negócios. Todos os funcionários e contratados serão informados sobre quaisquer atualizações e sua adesão à política revisada será exigida.
Ao implementar e aplicar esta política de segurança, pretendemos proteger nosso negócio on-line de atacado, dados de clientes e manter a confiança de nossos parceiros e clientes.