Política de Segurança da Informação e Cibernética da Navas


Data de vigência: 15 de janeiro de 2021

Segurança das informações e segurança cibernética são assuntos sérios. Nós fundamentamos nossos processos e ativos em três princípios principais: confidencialidade, integridade e disponibilidade.

a. Confidencialidade Nós tratamos todos os dados como se confidenciais fossem (com exceção dos dados públicos), deste modo, garantimos que somente pessoas previamente autorizadas têm acesso a específicas informações, fontes ou sistema.

b. Integridade Mantemos os dados intocados, de modo a preservar a sua originalidade e confiabilidade. Garantimos a integridade dos dados, isto é, adotamos todas as precauções necessárias para que a informação não seja modificada ou eliminada sem autorização e para que seja mantida a legitimidade e consistência, de modo a condizer exatamente com a realidade.

c. Disponibilidade A relação da segurança da informação com a disponibilidade é a garantia de acesso aos dados sempre que necessário. Ou seja, é a possibilidade de os colaboradores e membros da organização acessarem os dados de maneira fluida, segura e eficiente.

Estes princípios dependem da autenticidade e da legalidade das informações, que são essenciais para toda a estrutura:

a. Autenticidade
A autenticidade garante a veracidade da autoria da informação, ou seja, deixa conhecido o autor, quem produziu a informação.

b. Legalidade
A legalidade está relacionada com a classificação de algo como legal juridicamente, ou seja, que está em conformidade com a Lei. Refere-se à legalidade das informações e também à legalidade dos processos internos.

O manuseio, o armazenamento, o transporte e o descarte são todos feitos levando em consideração o exposto acima. Deste modo, nossos processos e ativos são desenvolvidos com o máximo de segurança física, humana e tecnológica. Para explicar nossa abordagem ao tema, preparamos a figura a seguir:

Esta Política de Segurança da Informação e Cibernética foi desenvolvida de acordo com a abordagem explicada acima. Deixamos claro em mais detalhes como nos organizamos e quais ferramentas usamos para proteger seus dados contra ameaças e riscos.

1. Classificação de dados

O nível de confidencialidade é determinado com base no valor da informação e os classificamos em:

a. Públicos

i. Informações institucionais fornecidas pelos clientes para divulgação nos desenvolvimentos realizados por nós.

ii. Códigos abertos;

iii. Portfólio e projetos em desenvolvimento, desde que com a autorização dos clientes.

b. Internos

i. Indicadores de performance como KPIs, volumetria e dados transacionais;

ii. Estratégias de negócio;

iii. Roadmap;

iv. Apresentações institucionais de clientes.

c. Confidenciais

i. Informações contábeis, como o faturamento e o balanço financeiro;

ii. Informações bancárias;

iii. Banco de dados;

iv. Informações de recursos humanos;

v. Documentos e informações dos negócios dos clientes para análise e desenvolvimento;

vi. Dados de acesso a contas privadas.

2. Gerenciamento de permissões, de identidade e acesso

a. Graus de acessibilidade. Definimos diretrizes para o acesso à informação de diferentes profissionais e times, estabelecendo graus de acessibilidade.

b. Registro de rastreabilidade. Utilizando-se de registros de rastreabilidade da manipulação de dados, prevenimos, detectamos e reduzimos a vulnerabilidade de incidentes nas áreas de administração e de desenvolvimento. A programação do código é acompanhada por meio de versionamento e a rastreabilidade das atividades realizadas no ambiente do cliente depende dos acessos disponibilizados.

3. Procedimentos de rotina

a. Verificações antivírus. Nos servidores e hospedagem próprios, executamos os verificadores de dependências para garantir a inexistência de códigos maliciosos e é feita varredura semanal. O antivírus funciona 24 horas, sem intervalos e em todas as entregas são instalados plug-ins de segurança.

b. Cronogramas de backup. Um backup é feito diariamente.

c. Boas práticas de uso de e-mail corporativo. Cada colaborador e integrante da Navas é conscientizado no processo de onboarding e ocasionalmente relembrado a:

i. Ficar atento aos sinais de phishing;

ii. Não compartilhar senhas e usuários;

iii. Não utilizar o e-mail corporativo para fins pessoais;

iv. Não baixar anexos e não clicar em links de e-mails desconhecidos;

v. Não enviar informações sensíveis por e-mail sem a devida proteção;

vi. Não compartilhar mensagens de e-mail com pessoas não autorizadas dentro ou fora da organização;

vii. Não abrir mensagens de spam;

viii. Reportar eventuais falhas e brechas para o time de TI;

ix. Não utilizar reder de WiFi desprotegidas.

Estendemos a conscientização aos nossos cliente, compartilhando com eles um Guia de Boas Práticas de Segurança da Informação.

d. Conscientização sobre tipos de ataques. Regularmente, bem como durante o processo de onboarding, conscientizamos os colaboradores sobre os diversos tipos de possíveis ataques:

i. Kan Vírus: são pequenos softwares desenvolvidos com o propósito de causar danos no sistema e infectam outros softwares para poder se propagar;

ii. Trojan: são softwares disfarçados como outro aplicativo ou documento que visa abrir portas no sistema para um ataque;

iii. Worm: diferente do vírus que precisa de um software para infectar, o worm é um software completo, têm a função de auto replicação, causando assim maior dano e se multiplicando no sistema infectado;

iv. Sniffers: são softwares que têm a função de interceptar e analisar os dados que passam em uma rede;

v. Exploit: é um software ou sequência de comandos que tem como objetivo tomar benefício de uma determinada vulnerabilidade para ganhar controle do sistema;

vi. Spoofing: é uma técnica utilizada para mascarar determinado ataque como por exemplo: IP spoofing, e-mail spoofing, onde é usado a técnica para burlar o sistema sobre a confiabilidade do IP ou do e-mail;

vii. Scanners de portas: são softwares que têm a função de realizar uma vistoria no sistema em buscas de vulnerabilidades;

viii. DoS: é um ataque que consiste em invalidar um determinado sistema por sobrecarga, o ataque geralmente é feito por um computador mestre que tem controle de vários outros computadores zumbis. Este ataque distribuído é conhecido como DDoS.

e. Política de senhas fortes. Para executar nossos serviços, seguimos as políticas de senhas fortes das ferramentas que utilizamos. Deste modo, as senhas possuem pelo menos 8 (oito) caracteres, letras maiúsculas, letras minúsculas, números, pontuações ou caracteres não-alfanuméricos.

f. Filtro de spam. Utilizamos a inteligência antispam disponível pelo Google que funciona como um funil composto por um conjunto de regras, fatores e algoritmos que classificam a mensagem recebida como legítima ou não.

4. Infraestrutura de hardware e software

a. Políticas de atualização de softwares. Qualquer alteração no código passa por um processo de revisão (code review) com um número específico de aprovações para que seja implementado.

b. G Suite. Utilizamos o G Suite, espaço de trabalho do Google, de acordo com padrões rigorosos de privacidade e segurança. Para mais informações, acesse o site: https://workspace.google.com/security/?secure-bydesign_activeEl=data-centers

5. Notificações de incidentes de segurança

a. Aviso do servidor próprio. Comportamentos estranhos são avisados pelo servidor.

b. Revisão manual. Mensalmente é feita revisão manual dos programas desenvolvidos, quando há o pagamento de uma taxa mensal.

c. Notificação do cliente. Eventuais incidentes podem ser notificados pelo próprio cliente para adoção imediata de medidas por nós.

Esta Política é revisada e atualizada no mínimo uma vez por ano.