Menu

NORMA SOBRE CLASSIFICAÇÃO DA INFORMAÇÃO

Introdução

Introdução

A informação é um ativo de valor essencial para a companhia, o seu uso deve ser feito dentro dos limites das finalidades de tratamento e o com compartilhamento adequado para aqueles que têm a necessidade de acesso à informação.

Na Accurate escolhemos abordar os critérios relativos à criticidade e divulgação.

Como critérios:

  • Para criticidade, o impacto ao negócio e a necessidade de confidencialidade e sigilo estabelecida por contratos e acordos comerciais e a legislação, que delimita restrições para informações trabalhistas, tributárias, financeiras, de saúde, entre outras.
  • Para a divulgação de informações dentro e fora da empresa, foi escolhido usar como referência o protocolo TLP Traffic Light Protocol, criado para intercâmbio de informações de segurança e vulnerabilidades. O TLP provê um esquema simples e intuitivo para indicar com quem informações potencialmente sensíveis podem ser compartilhadas.

 

Esta norma se aplica a todas as informações geridas e compartilhadas pela empresa, sendo que o registro da classificação de informações de sistemas internos e processos deve constar de sua documentação.

Termos e Definições

Termos e Definições

  • TLP – acrônimo, vide Traffic Lights Protocol
  • Traffic Lights Protocol – O TLP (Traffic Light Protocol) é um padrão global, mantido pelo FIRST (Forum of Incident Response and Security Teams), para indicar os limites de compartilhamento de informações entre partes interessadas. Este padrão foi criado para facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a colaboração mais efetiva.
  • Clientes – Nesta norma, relacionamento com clientes e prospects são considerados confidenciais. Documentos produzidos ou comunicados, devem preferencialmente ser classificados como TLP:AMBER, de modo que os destinatários possam compartilhar informações adiante, permitindo que os clientes possam tomar ações internamente.
  • Comunidade – Sob o TLP, uma comunidade é um grupo que compartilha objetivos, práticas e relacionamentos informais de confiança. Uma comunidade pode ser tão ampla quanto todos os profissionais de segurança cibernética em um país (ou em um setor ou região). Nesta norma, comunidade pode ser entendida como toda Accurate, todo um departamento ou área da Accurate, uma equipe de cliente, uma equipe específica para um projeto. Podemos ter equipes que incluem colaboradores de clientes
  • Gestor da Informação – aquele que produz, mantém ou é o responsável pela a informação
  • Organização – Nesta norma, a Accurate e suas subsidiárias; Sob o TLP, uma organização é um grupo que compartilha uma mesma afiliação através de um processo formal de filiação e que está sujeito a um conjunto de políticas em comum definidas pela organização. Uma organização pode ser tão ampla quanto todos os membros de uma organização para compartilhamento de informações, mas raramente mais ampla que isso.
  • Parceiros – Parceiros comerciais e Fornecedores, nesta norma têm seus relacionamentos considerados como confidenciais. Documentos ou comunicações produzidos para eles devem preferencialmente ser classificados como TLP:AMBER, de modo que os destinatários possam compartilhar informações adiante, permitindo que possam tomar ações internamente.
  • Destinatário da informação – O indivíduo, seja colaborador, cliente, fornecedor ou parceiro, especialmente designado ou membro de uma comunidade, que recebe informação. Deve ter ou ser orientado sobre o significado da classificação da informação que recebe para saber como tratar, proteger e distribuir.
  • Usuário da informação – veja usuário da informação.

Papéis e Responsabilidades

Papéis e Responsabilidades

Atividade

Usuário

Gestor da Informação

Diretor

Criação de documento interno

I

R A

Criação de documento público


R A

I

Envio de e-mails e outras comunicações

I

R A

Reclassificação de informação

I[^1]

R

A

onde Responsável/Autoridade/Informado/Consultado/Verifica/Suporta/Backup

  • [^1] Quando a reclassificação da informação produzir impactos em produtos, serviços ou no relacionamento da Accurate com clientes e parceiros, os destinatários prévios devem ser notificados, pois podem ser necessárias precauções adicionais de proteção da informação.

Usuário da Informação

Usuário da Informação

São responsabilidades do usuário da informação:

  • Tratar as informações em sua posse (temporária ou definitiva) observando as premissas da segurança da informação corporativa;
  • Aplicar tratamento adequado ao nível de classificação da informação sob sua guarda;
  • Preservar a confidencialidade, integridade e disponibilidade da informação em todo seu ciclo de vida;
  • Proteger os dados com o nível adequado à criticidade da informação sob sua custódia;
  • Fazer uso das informações corporativas somente no interesse do serviço, para as finalidades designadas, observadas as limitações contratuais, não podendo utilizar, acessar, reproduzir, transportar, transmitir e distribuir tais informações em desacordo com a classificação aplicada;
  • Responder perante a justiça por quaisquer atos ou omissões relativos à violação de acordos de confidencialidade estabelecidos entre ele a a Accurate e/ou Accurate e seus clientes ou parceiros, relativos à informações que tenha tido acesso ou realizado tratamento.

Gestor da Informação

Gestor da Informação

São responsabilidades do gestor da informação:

  • Todas as responsabilidades de Usuários da informação;
  • Definir o nível de classificação, segundo o disposto no item “Classificação da Informação” deste documento;
  • Avaliar a necessidade e, se for o caso, definir critérios para reclassificação de suas informações;
  • Avaliar o impacto no negócio quando da classificação e reclassificação da informação;
  • Decidir sobre o compartilhamento das informações sob sua gestão, monitorar o uso e tomar ações para prevenir e/ou interromper o uso indevido, considerando os atributos da confidencialidade, integridade e disponibilidade da informação;
  • Observar o princípio do privilégio mínimo na classificação de informações e concessão de acessos às mesmas;
  • Manter, quando necessário, cadeia de custódia e trilha de auditoria das informações corporativas sob sua custódia, de acordo com a classificação da informação ou orientação expressa do gestor da informação, durante o período de guarda/tratamento;

Descrição

Descrição

Foram selecionados como critérios:

  • CRITICIDADE – “Pública”, “Relevante”, “Confidencial”;
  • DIVULGAÇÃO – “TLP:CLEAR”, “TLP,GREEN”, “TLP:AMBER”, TLP:RED”, conforme o Traffic Light Protocol versão 1.0

Classificação

Classificação

Toda informação corporativa, em meio físico ou eletrônico, deve ser classificada pelo seu criador preferencialmente no momento da produção.

No caso de documentos a referência é a criação do documento. No caso de informações utilizadas em sistemas e/ou processos, a documentação do processo ou sistema deve estabelecer a classificação de cada informação. A composição de perfis de acesso à telas, exportações e relatórios determina as comunidades de divulgação e a atribuição de perfis aos usuários estabelece “a necessidade de saber” (need-to-know basis).

A informação deve ser tratada conforme o nível de classificação por todos que tiverem acesso à mesma. Constatado o recebimento ou acesso à informação que não lhe compete, o receptor da informação NÃO deve agir sobre ela e comunicar o originador da comunicação ou responsável pelo documento ou informação, reportando o fato.

A classificação da informação deve preferencialmente constar em todas as páginas dos documentos físicos ou eletrônicos destinados à impressão. Nos documentos eletrônicos a classificação pode ser destacada nos metadados do documento. Conforme o tipo de material produzido a classificação da informação pode constar apenas em seção específica, arquivo dedicado, à essa informação, nome do arquivo ou no meio de transmissão ( exemplos texto de e-mail; Arquivo ZIP com vários documentos; PDF, vídeo ou foto de origem externa compartilhado )

A informação de propriedade da empresa, produzida por terceiro a pedido deste, deve apresentar a classificação da informação, se informada pelo solicitante.

Documentos internos SEM CLASSIFICAÇÃO DE INFORMAÇÃO EXPLÍCITA, será entendido como “Público – TLP: CLEAR”, pois o receptor ou pessoa que tiver acesso não está devidamente informado sobre a criticidade e escopo de divulgação da informação. É IMPORTANTE reconhecer a responsabilidade por zelar pela informação corporativa permanece e é solidária por todos os colaboradores que tiverem acesso a ela. Um documento encontrado sem classificação de informação DEVE ser reavaliado e preferencialmente receber reclassificação explícita com a maior brevidade possível.

Documentos não classificados pelo produtor original do documento podem ser classificados pelos gestores de área ou diretamente pela diretoria.

Qualquer documento da Accurate pode ser reclassificado por um diretor, a qualquer tempo, desde que assegurado o respeito aos critérios de contratos e acordos de confidencialidade.

Classificação de Criticidade

Classificação de Criticidade

Quanto à criticidade:

Criticidade

Quando deve ser usada

Pública

Toda informação que pode ser divulgada sem que isso provoque impactos negativos no negócio, observadas as conveniências do processo, produto ou serviço a que diz respeito. Algumas informações acerca do relacionamento da Accurate com clientes, em situações previamente acordadas entre as partes podem ser públicas.

Relevante

Toda informação com impacto ao negócio e serviços, acerca de "Fatos Relevantes" aos segmentos de atuação da empresa, "Incidentes de Segurança ", "Incidentes de Privacidade" ou outros eventos em que o compartilhamento é compulsório pela legislação vigente ou no melhor interesse para atender as Políticas de Privacidade, Segurança da Informação e/ou o Código de Conduta.

Confidencial

Toda informação interna da Accurate cuja divulgação põe em risco a segurança, privacidade, reputação, continuidade de negócios e/ou estabilidade operacional seja da empresa, colaboradores , clientes ou parceiros; É informação de fonte externa protegida por acordo de confidencialidade junto à Accurate. É informação cuja exposição fora do ambiente da organização possa acarretar em perdas financeiras, de imagem, de competitividade etc.; Informações em áreas logadas de sistemas, exceto quando indicado explicitamente na documentação do mesmo.

Classificação de Divulgação - TLP

Classificação de Divulgação - TLP

O Traffic Light Protocol (TLP) foi criado para facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a colaboração mais efetiva. O compartilhamento de informações ocorre a partir de uma fonte em direção a um ou mais destinatários. O TLP é um conjunto de quatro marcações (labels) usadas para indicar os limites de compartilhamento a serem aplicados pelos destinatários.

TLP

Quando deve ser usado

Como pode ser compartilhado

TLP: RED

Somente para os olhos e ouvidos dos indivíduos destinatários, não é permitido compartilhamento nenhum. Fontes podem usar TLP: RED quando não é possível atuar sobre a informação sem colocar em risco significativo a privacidade, reputação ou operações da Accurate ou de demais organizações envolvidas.

Destinatários não podem compartilhar informações TLP: RED com mais ninguém. No contexto de uma reunião, por exemplo, informações TLP: RED são limitadas àqueles presentes na reunião.

TLP: AMBER

Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) dentro de sua própria organização e com seus clientes. Aplica-se para tratamentos de dados em execução de contratos Accurate e clientes. Fontes podem usar o TLP: AMBER quando é necessário apoio para agir de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade, reputação ou operações das organizações envolvidas.

Destinatários podem compartilhar TLP: AMBER com membros de sua própria organização e com seus clientes, mas somente com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua organização e seus clientes e evitar danos continuados, ou executar escopos definidos de contratos.

TLP: AMBER + STRICT

Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) e somente dentro da própria Accurate.

Colaboradores da Accurate podem compartilhar TLP: AMBER + STRICT somente com outros colaboradores da Accurate, e somente com aqueles que necessitam saber da informação (need-to-know basis).

TLP: GREEN

Divulgação limitada, destinatários podem divulgar dentro de sua comunidade. Fontes podem usar TLP: GREEN quando a informação é útil para a conscientização dentro de sua comunidade mais ampla.

Destinatários podem compartilhar informações TLP: GREEN com seus pares e organizações parceiras dentro de sua comunidade, mas não por meio de canais publicamente acessíveis. Informações TLP: GREEN não podem ser compartilhadas fora de uma comunidade.

TLP: CLEAR

Não há limites na divulgação. Fontes podem usar TLP: CLEAR quando há um risco mínimo ou não há previsão de risco de mau uso da informação, de acordo com regras e procedimentos aplicáveis para divulgação pública. Destinatários podem disseminar para o mundo, não há limites na divulgação.

Desde que respeitadas as regras padrão de direitos autorais, as informações TLP: CLEAR podem ser compartilhadas sem restrições.

Regras

Regras

Situações especiais

Nos sistemas corporativos internos ou de terceiros contratados como serviços, o controle da divulgação de informação é relacionado a níveis ou perfis de acesso. Cada colaborador deve tratar as informações que está autorizado a acessar como TLP:RED, a menos alguma norma ou a que a documentação do sistema indique o contrário.

  • A divulgação externa de qualquer informação classificada como “Relevante” somente pode ser realizada com prévia ciência e anuência da Diretoria.
  • O fornecimento de informações por determinação judicial, somente pode ser efetivado após ciência e anuência da Diretoria.
  • A divulgação de informações em áreas públicas do site institucional ou nas áreas não autenticadas de aplicações corporativas deve ser aplicada apenas para dados e documentos explicitamente classificados com criticidade Pública e divulgação TLP:CLEAR pelo responsável pelas informações e documentos. Nas páginas de divulgação não é necessário constar explicitamente a classificação, porém é recomendado constar dos processos de autorização e/ou revisão para divulgação.
  • Toda a informação corporativa possui uma ou mais finalidades de uso, de acordo com o(s) processo(s) de que participa. Nenhum tratamento de dados deve ser realizado para finalidade diferente da(s) estabelecida(s). Em caso de dúvidas se finalidades já estabelecidas se aplicam ou não a novas situações, a Diretoria deve ser consultada. No caso de se tratar de “Dado Pessoal” ou “Dado Pessoal Sensível” o DPO também deve ser previamente consultado pois há restrições específicas da legislação a serem seguidas.

Usos em documentos

Na classificação de informação devemos usar:

Para Informação Pública

Exemplos:

TLP: CLEAR – Informação Pública – Disseminação livre.

Documento DDD – TLP: CLEAR– Informação Pública – Disseminação livre.

Para Informação Confidencial com divulgação para comunidades

Exemplos:

TLP: AMBER– Confidencial, não compartilhar fora do grupo XXXX.

  • (onde grupo XXX pode ser o contexto do projeto, do cliente, incluindo pessoas do cliente)

TLP: AMBER – Confidencial, não compartilhar fora do contexto do cliente / parceiro destinatário.

Documento DDD – TLP: AMBER – Confidencial, não compartilhar fora do contexto do cliente / parceiro destinatário.

Para Informação Confidencial de uso exclusivo Accurate

Exemplos:

TLP: AMBER+STRICTConfidencial – Uso interno Accurate Software – não reproduzir ou divulgar externamente.

Para Informação Confidencial de uso restrito / compartilhamento proibido

TLP:RED – Confidencial, uso exclusivo, expressamente proibido reproduzir ou divulgar por qualquer meio ou para qualquer outra pessoa.

Para orientar o uso do TLP em documentos, recomenda-se aplicar as diretrizes de uso expressas no documento TLP versão 2.0 em português.

Adicionalmente em situação onde apenas por possível o uso de markdown, sem extensões de suporte a cores, deve-se usar referências em negrito (Ex. TLP:GREEN).

A marcação TLP deve preferencialmente ser alinhada à direita e ser a última parte da classificação.

Uso em e-mails

Ao ser usada em e-mails, a referência à classificação da informação deve ser orientativa, especialmente quando envolver pessoas de fora da Accurate. É obrigação do emissor da comunicação deixar claro ao receptor qual o uso que ele pode ou não fazer com a informação recebida.

Para assinaturas de e-mail de colaboradores da Accurate, seguir o guia de orientações, junto ao material de onboarding.

Referências para classificação de informações

Referências para classificação de informações

Informação PÚBLICA – TLP: CLEAR

  • Área não logada do site da Accurate, incluindo posts públicos do blog.
  • páginas de login de aplicações internas da Accurate ( Pantheon, Comunicadores, Gitlab, Webmail, etc.)
  • Posts nas redes sociais da empresa Ex: Instagram, LinkedIn, youtube links listados, etc.
  • Materiais publicitários – Apresentações, folders, flyers;
  • Material promocional Ex: Cadernos, Brindes, Canetas, enfeites, etc
  • Políticas corporativas gerais

 

Informação PÚBLICA – TLP: GREEN

  • Material publicitário personalizado
  • Material útil para a conscientização e formação, aplicáveis dentro de sua comunidade mais ampla. Destinatários podem compartilhar informações TLP:GREEN com seus pares e organizações parceiras dentro de sua comunidade, mas não por meio de canais publicamente acessíveis.

 

Informação CONFIDENCIAL – TLP: AMBER+STRICT

  • Comunicados internos;
  • Procedimentos, normas, documentação e registros de operações de processos exclusivamente internos;
  • Políticas e procedimentos ligados a processos confidenciais da empresa.
  • Informação gerais nas ferramentas de divulgação internas Ex: Feedz;
  • Informações nos canais globais de comunicadores Ex: Geral;
  • Informações nas áreas comuns do Gitlab (Wiki Accurate, gitlab://accurate/empresa, etc.);
  • Documentação sobre a infraestrutura interna de TI da Accurate;
  • Planos de Continuidade de Negócios;
  • Planos de Metas;

 

Informação CONFIDENCIAL – TLP: AMBER

  • Informações de projetos;
  • Informações e clientes;
  • Processos administrativos e financeiros recorrentes junto à parceiros e fornecedores;
  • Dados pessoais de colaboradores para concessão de acessos internos e de clientes (nome, cpf, e-mail, data nascimento);
  • Propostas técnicas – na Accurate Equipe projeto, Comercial, Gestor; no cliente Solicitante, Compras;
  • Proposta comercial – na Accurate Comercial+Gestor; no cliente Solicitante, Compras;
  • Contratos – na Accurate Comercial,Gestor,Diretoria,Jurídico; no cliente Solicitante, Compras;
  • Status de projetos;

 

Informação CONFIDENCIAL – TLP:RED

  • Informações financeiras consolidadas da empresa e das áreas;
  • Dados completos RH de colaboradores;
  • Informações sobre ações judiciais com a Accurate;
  • Política comercial;
  • Avaliação e planejamento Estratégico;
  • Avaliação e planejamento de Riscos Corporativos;
  • War-room para cenários de vulnerabilidade e continuidade de negócios;

Nota de Publicação

Nota de Publicação

Algumas seções foram omitidas ou adaptadas para divulgação ao público externo, sem prejuízo do conteúdo.

A SOLUÇÃO CERTA PARA SEU NEGÓCIO

A SOLUÇÃO CERTA PARA SEU NEGÓCIO

+ de 3 décadas de mercado

Entregamos diversas soluções sempre com agilidade e qualidade.

Conheça nossas redes sociais:

FALE COM A ACCURATE

contato@accurate.com.br

R. Gomes de Carvalho, 1629, 1º andar, sala 101 – Vila Olímpia, São Paulo – SP, 04547-006 – Política de PrivacidadePolítica de CookiesCódigo de Conduta e Ética – Configurações de Cookies