NORMA SOBRE CLASSIFICAÇÃO DA INFORMAÇÃO

Introdução

  • A informação é um ativo de valor essencial para a companhia, o seu uso deve ser feito dentro dos limites das finalidades de tratamento e o com compartilhamento adequado para aqueles que tem a necessidade de acesso à informação.

  • Um esquema de classificação da informação deve ser simples, claro, intuitivo e preferencialmente de adoção geral, de modo a facilitar o intercâmbio de informações interno e externo sem ambiguidades.

  • Ainformaçãopodeserclassificadadediversasformas,considerandonecessidadeslegaisdeclassificação,tipos de dados, criticidade para a organização e escopo de divulgação, dentre outros.

  • Na Accurate escolhemos abordar os critérios relativos à criticidade e divulgação.

 

Escopo

Esta norma se aplica a todas as informações geridas e compartilhadas pela empresa.

Isso inclui dados em arquivões e documentos físicos ou eletrônicos, incluindo sistemas próprios ou contratados para seu uso.

A classificação de informação para sistemas e processos internos deve constar das documentações.

Referências Normativas

Gestão do Documento

  • Periodicidade – Esta norma deve ser revisada ao menos uma vez a cada 2 anos
  • Comunicação – Revisões deste documento devem ser comunicadas a todos os colaboradores da empresa
  • Aprovação – Alterações deste documento devem ser revisadas pelo grupo de gestores e aprovadas por ao menos um membro da diretoria.

 

Vigência – Início da vigência em 15/04/2024

Papéis e Responsabilidades

Usuário da Informação

São responsabilidades do usuário da informação:

  • Tratar as informações em sua posse (temporária ou definitiva) observando as premissas da segurança da informação corporativa;

  • Aplicar tratamento adequado ao nível de classificação da informação sob sua guarda;

  • Preservar a confidencialidade, integridade e disponibilidade da informação em todo seu ciclo de vida;

  • Proteger os dados com o nível adequado à criticidade da informação sob sua custódia;

  • Fazer uso das informações corporativas somente no interesse do serviço, para as finalidades designadas,

    observadas as limitações contratuais, não podendo utilizar, acessar, reproduzir, transportar, transmitir e

    distribuir tais informações em desacordo com a classificação aplicada;

  • Responder perante a justiça por quaisquer atos ou omissões relativos à violação de acordos de

    confidencialidade estabelecidos entre ele a Accurate e/ou Accurate e seus clientes ou parceiros, relativos à informações que tenha tido acesso ou realizado tratamento;

  • Manter, quando necessário, cadeia de custódia e trilha de auditoria das informações corporativas sob sua custódia, de acordo com a classificação da informação ou orientação expressa do gestor da informação, durante o período de guarda/tratamento;

Gestor da Informação

São responsabilidades do gestor da informação:

  • Todas as responsabilidades de Usuários da informação;

  • Definir o nível de classificação, segundo o disposto no item “Classificação da Informação”

    deste documento;

  • Avaliar a necessidade e, se for o caso, definir critérios para reclassificação de suas

    informações;

  • Avaliar o impacto no negócio quando da classificação e reclassificação da informação;

  • Decidir sobre o compartilhamento das informações sob sua gestão, monitorar o uso e

    tomar ações para prevenir e/ou interromper o uso indevido, considerando os atributos da

    confidencialidade, integridade e disponibilidade da informação;

  • Observar o princípio do privilégio mínimo na classificação de informações e concessão de

    acessos às mesmas;

Termos e Definições

Acordo de Confidencialidade – Contrato, aditivo contratual ou clausulas de um contrato , acordo , ou termo de compromisso onde as partes reconhecem a importância da guarda, preservação, proteção de informações e comprometem-se a não divulgar a outras partes sem autorização expressa, sob risco de consequências e penalidades;

TLP – acrônimo, vide Traffic Lights Protocol;

Traffic Lights Protocol – O TLP (Traffic Light Protocol) é um padrão global, mantido pelo FIRST (Forum of Incident Response and Security Teams), para indicar os limites de compartilhamento de informações entre partes interessadas. Este padrão foi criado para facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a colaboração mais efetiva;

Comunidade – Sob o TLP, uma comunidade é um grupo que compartilha objetivos, práticas e relacionamentos informais de confiança. Uma comunidade pode ser tão ampla quanto todos os profissionais de segurança cibernética em um país (ou em um setor ou região). Nesta norma comunidade pode ser entendida como toda Accurate, todo um departamento ou área da Accurate, uma equipe de cliente, uma equipe específica para um projeto. Podemos ter equipes que incluem colaboradores de clientes;

Gestor da Informação – aquele que produz, mantém ou é o responsável pela a informação;

Organização – Nesta norma, a Accurate e suas subsidiárias;

Parceiros – Parceiros comerciais e fornecedores, empresas subcontratadas, empresas e indivíduos prestadores de serviços;

Destinatário da informação – O indivíduo, seja colaborador, cliente, fornecedor ou parceiro, especialmente designado ou membro de uma comunidade, que recebe informação;

Usuário da Informação – Aquele que recebe, consulta, usa, realiza tratamento em informação em meios físicos, documentos e sistemas;

NDA – acrônimo, de Non Disclosure Agreement, vide Acordo de Confidencialidade;

Non Disclosure Agreement – vide Acordo de Confidencialidade

Critérios

CRITICIDADE

Ponderamos o impacto ao negócio

  • Financeiro, estratégico, reputação;

  • a necessidade de confidencialidade e sigilo estabelecida por contratos, acordos comerciais;

  • legislação, que delimita restrições e orientações para informações:

    • trabalhistas,

    • tributárias,

    • financeiras,

    • de dados pessoais

    • de saúde,

    • entre outras.

Níveis:
  • PÚBLICA – UNCLASSIFIED – baixo impacto

  • CONFIDENCIAL – CONFIDENTIAL – significativo impacto

  • ALTAMENTE CONFIDENCIAL – HIGLY CONFIDENTIAL – impacto alto ou catastrófico

Subclassificações – detalhamento quando contém de dados pessoais conforme a definição da LGPD:

  • DADOS PESSOAIS – PII

  • DADOS PESSOAIS SENSÌVEIS – SPII/PHI

 
CRITICIDADE

Ponderamos o impacto ao negócio

  • Financeiro, estratégico, reputação;

  • a necessidade de confidencialidade e sigilo estabelecida por contratos, acordos comerciais;

  • legislação, que delimita restrições e orientações para informações:

    • trabalhistas,

    • tributárias,

    • financeiras,

    • de dados pessoais

    • de saúde,

    • entre outras.

Níveis:
  • PÚBLICA – UNCLASSIFIED – baixo impacto

  • CONFIDENCIAL – CONFIDENTIAL – significativo impacto

  • ALTAMENTE CONFIDENCIAL – HIGLY CONFIDENTIAL – impacto alto ou catastrófico

Subclassificações – detalhamento quando contém de dados pessoais conforme a definição da LGPD:

  • DADOS PESSOAIS – PII

  • DADOS PESSOAIS SENSÌVEIS – SPII/PHI

 

Classificações

Considerações Gerais

ORIENTAÇÕES:

Toda informação corporativa, em meio físico ou eletrônico, deve ser classificada pelo seu criador preferencialmente no momento da produção.

No caso de documentos a referência é a criação do documento. No caso de informações utilizadas em sistemas e/ou processos, a documentação do processo ou sistema deve estabelecer a classificação de cada informação. A composição de perfis de acesso à telas, exportações e relatórios determina as comunidades de divulgação e a atribuição de perfis aos usuários estabelece “a necessidade de saber” (need-to-know basis).

A informação deve ser tratada conforme o nível de classificação por todos que tiverem acesso à mesma. Constatado o recebimento ou acesso à informação que não lhe compete o receptor da informação NÃO deve agir sobre ela e comunicar o originador da comunicação ou responsável pelo documento ou informação, reportando o fato.

A informação de propriedade da empresa, produzida por terceiro a pedido deste, deve apresentar a classificação da informação, se informada pelo solicitante.

Qualquer documento da Accurate pode ser reclassificado por um diretor, a qualquer tempo, desde que assegurado o respeito aos critérios de contratos e acordos de confidencialidade.

Um documento encontrado sem classificação de informação DEVE ser reavaliado e preferencialmente receber reclassificação explícita com a maior brevidade possível.

É IMPORTANTE reconhecer a responsabilidade por zelar para informação corporativa permanece e é solidária por todos os colaboradores que tiverem acesso a ela

SITUAÇÕES ESPECIAIS:

Nos sistemas corporativos internos ou de terceiros contratados como serviços, o controle da divulgação de informação é relacionado a níveis ou perfis de acesso. Cada colaborador deve tratar as informações que está autorizado a acessar como RED, a menos alguma norma ou que a documentação do sistema indique o contrário.

O fornecimento de informações por determinação judicial, somente pode ser efetivado após ciência e anuência da Diretoria.

A divulgação de informações em áreas públicas do site institucional ou nas áreas não autenticadas de aplicações corporativas deve ser aplicada apenas para dados e documentos explicitamente classificados com criticidade Pública e divulgação TLP:CLEAR pelo responsável pelas informações e documentos. Nas páginas de divulgação não é necessário constar explicitamente a classificação, porém é recomendado constar dos processos de autorização e/ou revisão para divulgação.

Toda a informação corporativa possui uma ou mais finalidades de uso, de acordo com o(s) processo(s) de que participa. Nenhum tratamento de dados deve ser realizado para finalidade diferente da(s) estabelecida(s). Em caso de dúvidas se finalidades já estabelecidas se aplicam ou não a novas situações, a Diretoria deve ser consultada. No caso de se tratar de “Dado Pessoal” ou “Dado Pessoal Sensível” o DPO também deve ser previamente consultado pois há restrições específicas da legislação a serem seguidas.

REGRAS DE TRANSIÇÃO:
  • Documentos encontrados sem classificação de informação, produzidos pela Accurate devem ser classificados, exceto nas situações previstas nessa norma.

  • Documentos gerados anteriormente sem modificação PODEM manter a classificação original.

  • Os documentos novos gerados DEVEM utilizar a nova definição de classificação de informação desta norma. A atualização de documentos PODE trocar o esquema de classificação para as definições mais atualizadas, o que é recomendado.

Mensagens de E-mail

INTERNO
  • Para mensagens vindas de fora, será incorporado texto:
    • “AVISO: Este e-mail foi originado de fora da organização. Não clique em links e não abra anexos, a menos que você conheça o remetente e tenha certeza de que o conteúdo é seguro!”
  • Os colaboradores devem estar SEMPRE atentos a sinais de coleta de informações ou armadilhas PHISHING / SPEAR-PHISHING
  • Devem SEMPRE estar com antivírus ativo e verificar qualquer tipo de anexo recebido.
  • Devem evitar abrir anexos executáveis, de origens desconhecidas e/ou não solicitados.
  • Casos suspeitos devem ser reportados para a equipe de infraestrutura pelo e- mail acc.security@accurate.com.br ou pelo canal acc.security do TEAMS
      
EXTERNO
  • O banner de classificação de informação do OUTLOOK. Nossa etiquetação fica nos metadados do e-mail apenas. 
  • A assinatura do seu e-mail HOJE é a forma de indicar aos clientes e parceiros a classificação de informação aplicada nas mensagens.
  • Para mensagens enviadas, o receptor de fora da Accurate receberá ao final da mensagem os textos:
    • “Este e-mail deve ser tratado como CONFIDENCIAL, exceto quando explicitamente informado. Obtenha autorização do responsável antes de compartilhar com outros.
      Se você recebeu este e-mail por engano, por favor informe a Accurate por seu ponto de contato, e-mail de resposta ou através de nosso website se mensagem automatizada. e então Delete/destrua esta mensagem e todos os seus anexos.
      É proibido fazer copiar, fazer uso ou sob qualquer revelar o conteúdo desta mensagem fora do contexto do projeto, cliente ou parceiro destinatário.

      This e-mail should be treated as CONFIDENTIAL, unless explicitly informed. Obtain approval before share this information with anyone else.
      If you have received it by mistake, please inform us thru known contact, an email reply or thru our website if is an automated communication and then delete the message and attachments.
      It is forbidden to copy, use or in any way reveal the contents of this message outside the context of the intended project, customer or partner of the recipients.”

Rotulação da Informação

CLEAR:

PÚBLICO

Informação não critica ou sensível, cuja divulgação não trará impactos relevantes para a empresa ou seus parceiros.

Risco mínimo no uso da informação.

Não há limites na divulgação, desde que respeitadas as regras propriedade e direitos autorais.

AMBER:

CONFIDENCIAL | LIMITADO

Os dados são críticos, protegidos por acordo de confidencialidade.

Só devem ser divulgados para o contexto do projeto / cliente a que se aplicam, para quem precisa acessar a informação.

AMBER + STRICT:

CONFIDENCIAL | LIMITADO

Compartilhamento exclusivamente interno à Accurate, para quem precisa conhecer a informação.

Divulgação externa proibida.

RED:

CONFIDENCIAL | CONTROLADO

Os dados são críticos, protegidos por acordo de confidencialidade.

Só devem ser divulgados para o contexto do projeto / cliente a que se aplicam, para quem precisa acessar a informação.

RED PII

CONFIDENCIAL | RESTRITO – CONTÈM DADOS PESSOAIS

Somente para os olhos e ouvidos dos indivíduos destinatários, não é permitido compartilhamento nenhum.

Observar as regras de proteção de dados pessoais, bases legais e finalidades autorizadas para uso dos dados.

RED SPII PHI

CONFIDENCIAL | CONTROLADO – CONTÈM DADOS PESSOAIS SENSIVEIS

Somente para os olhos e ouvidos dos indivíduos destinatários, não é permitido compartilhamento nenhum.

Observar as regras de proteção de dados pessoais, bases legais e finalidades autorizadas para uso dos dados.

Referências para Classificação da Informação

CLEAR
  • Área não logada do site da Accurate, incluindo posts públicos do blog;

  • páginas de login de aplicações internas da Accurate ( Pantheon, Comunicadores, Gitlab, Webmail, etc.);

  • Posts nas redes sociais da empresa Ex: Instagram, LinkedIn, youtube links listados, etc.;

  • Materiais publicitários – Apresentações, folders, fliers;

  • Materiais promocionais Ex: Cadernos, Brindes, Canetas, enfeites, etc;

  • Políticas corporativas gerais.

AMBER
  • Informações de projetos;

  • Informações e clientes;

  • Processos administrativos e financeiros recorrentes junto à parceiros e fornecedores;

  • Propostas técnicas – na Accurate Equipe projeto, Comercial, Gestor; no cliente Solicitante, Compras;

  • Proposta comercial – na Accurate comercial, gestores; no cliente, o solicitante, compras;

  • Contratos – na Accurate comercial, gestores ,diretoria, jurídico; no cliente solicitante, compras;

  • Status de projetos.

AMBER STRICT
  • Comunicados internos;

  • Procedimentos, normas, documentação e registros de operações de processos exclusivamente internos;

  • Políticas e procedimentos ligados à processos confidenciais da empresa.

  • Informação gerais nas ferramentas de divulgação internas (Ex: Feedz);

  • Informações nos canais globais de comunicadores (Ex: Geral);

  • Informações nas áreas comuns do Gitlab (Wiki Accurate, gitlab://accurate/empresa,etc.);

  • Documentação sobre a infraestrutura interna de TI da Accurate;

  • Planos de Continuidade de Negócios;

  • Planos de Metas.

RED
  • Informações financeiras consolidadas da empresa e das áreas;

  • Informações sobre ações judiciais com a Accurate;

  • Política comercial;

  • Avaliação e planejamento Estratégico;

  • Avaliação e planejamento de Riscos Corporativos;

  • War-room para cenários de vulnerabilidade e continuidade de negócios.

RED PII
  • Informações com dados cadastrais de colaboradores;

  • Informações com pessoais de parceiros e clientes;

  • Relatórios de atividades de colaboradores em projetos.

RED SPII/PHI
  • Dados pessoais sensíveis (sexo, etnia, religião, orientação política, etc.);

  • Dados de crianças e adolescentes;

  • Dados de saúde, dados comportamentais;

  • Dados regulados/ protegidos por lei (sigilo bancário/fiscal).

A SOLUÇÃO CERTA PARA SEU NEGÓCIO

A SOLUÇÃO CERTA PARA SEU NEGÓCIO

+ de 3 décadas de mercado

Entregamos diversas soluções sempre com agilidade e qualidade.

Conheça nossas redes sociais:

contato@accurate.com.br

Rua Irmã Gabriela, 51 cj 517, CEP 04571-130, Cidade Monções, São Paulo, SP Política de PrivacidadePolítica de CookiesCódigo de Conduta e Ética – Configurações de Cookies