Política de Segurança da Informação

A Capgemini Brasil está comprometida em fornecer serviços de TI orientados por princípios de qualidade, colaboração e melhoria contínua; sempre buscando a máxima satisfação de nossos clientes, para quem a segurança da informação, a continuidade no serviço e o tratamento no prazo adequado dos riscos, são nossa prioridade.

Esta política está baseada nos seguintes princípios:

Confidencialidade: Garantia de que o acesso à informação é restrito a pessoas autorizadas.

Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos necessários sempre que for preciso.

Estes princípios estão alinhados à estratégia da Capgemini Brasil que, através do programa CySIP, tem como base a ISO27001:2013, visando assegurar a confidencialidade, disponibilidade e integridade das informações da empresa, de acordo com o processo de gestão de risco de segurança da informação.

 

Diretrizes Gerais

  • A segurança da informação deve estar alinhada aos objetivos e estratégias de negócios da empresa, portanto é assunto estratégico na Capgemini Brasil.
  • A segurança da informação deve ser praticada em concordância com os valores e ética estabelecidos pelo Grupo Capgemini.
  • A alta direção da empresa está comprometida e apoia as metas e princípios de segurança da informação.
  • A segurança da informação é responsabilidade e faz parte das atribuições de trabalho e deve ser atendida por todos os empregados e provedores externos e clientes da empresa. Estes devem proteger as informações da empresa contra acesso, modificação, destruição ou divulgação não autorizados.
  • Todos os empregados, provedores externos e clientes da Capgemini Brasil devem assegurar que os Ativos e Ativos de Informação colocados à sua disposição sejam utilizados apenas para as finalidades aprovadas pela empresa.
  • Segurança na Capgemini Brasil está condicionada à existência de riscos e aos custos dos mecanismos de proteção face ao valor do Ativo de Informação protegido.
  • Os papéis e responsabilidades estão estabelecidos no Sistema de Gestão da Segurança da Informação e devem ser cumpridos conforme lá definidos.
  • Os líderes e Engagements Manager das BU’s devem ter uma postura exemplar em relação a segurança da informação, servindo como modelo de conduta para os empregados sob sua gestão.
  • Durante e após a contratação, a área de recursos humanos deve assegurar que todos os empregados tenham ciência das políticas e procedimentos sobre a segurança da informação.
  • O departamento jurídico deve garantir que todos os contratos de trabalho, contratos com clientes e fornecedores tenham as cláusulas de confidencialidade, propriedade intelectual, classificação e proteção da informação, conforme estabelecido nas políticas e procedimento da Capgemini Brasil.
  • O CySIP Officer deve estabelecer os processos e procedimentos, bem como as definições das políticas de segurança da informação, assegurando a integridade dos ativos de informação da Capgemini Brasil alinhados com a estratégia do programa CySIP, conforme descrito abaixo:
  • Conter e reduzir os principais riscos cibernéticos que possam afetar o negócio da empresa;
  • Minimizar as fraquezas humanas e técnicas;
  • Cumprir obrigações contratuais em termos de segurança e privacidade de dados;
  • Demonstrar a existência dos controles de segurança e seu funcionamento adequado para a Alta Direção, clientes, acionistas e órgãos reguladores.
  • O CySIP Officer deve assegurar a aplicabilidade dos requisitos da linha de base do programa CySIP, a qual deve ser revisada uma vez por ano, para garantir o desempenho da segurança da informação consistente ao Grupo Capgemini.
  • Todos os empregados da Capgemini Brasil devem ter conhecimento das políticas e procedimentos da segurança da informação, bem como agir de acordo com as diretrizes estabelecidas nas políticas da empresa.
  • A sistemática de auditorias independentes em segurança da informação deve ser estruturada para ser realizada anualmente (contado a partir da publicação desta política), por empresa ou órgão certificado em ISO 27001, com foco em Compliance e Controles de Segurança da Informação, nos termos da ISO 27001.
  • Esta política deve ser revisada ou revalidada periodicamente pelo Comitê de Segurança da Informação.
  • A continuidade dos serviços é guiada pelo processo de continuidade de negócios da empresa, no qual os requisitos para a segurança da informação e continuidade em situações adversas são estabelecidos. O Group IT mantém um plano de continuidade dos serviços em caso de falhas dos serviços prestados a organização.
  • Nos serviços providos aos clientes da Capgemini Brasil através do IMOC, sua segurança da informação estará condicionada exclusivamente ao que tange à implementação e execução do escopo contratado, às condições previamente definidas e aprovadas nas políticas internas de cada cliente.
  • Uma preocupação da organização com a segurança da informação está ligada aos incidentes de segurança da informação que possam vir a ocorrer e gerar impacto na confidencialidade, integridade e disponibilidade dos negócios da empresa. Alguns exemplos deste tipo de incidentes são:
  • Acesso não autorizado a sites, sistemas, serviços e dados;
  • Roubo ou perda de ativos físicos, como notebooks, celulares, smartphones, tablets, pen drives, HDs externos, impressoras etc.;
  • Roubo ou perda de arquivos lógicos, como informações, dados, sistemas, serviços e documentos impressos;
  • Danos a ativos físicos ou lógicos em decorrência de desastres ambientais como incêndios, enchentes, derramamentos químicos etc.;
  • Suspeita de roubo de informações corporativas (sigilosas ou não);
  • Uso indevido de ativos da companhia para ameaçar, coagir, difamar, ridicularizar, ofender, prejudicar colegas e/ou obter algum tipo de vantagem, tanto no quesito profissional quanto pessoal;
  • No caso de um incidente de segurança, o empregado deve relatá-lo imediatamente ao seu gestor e registrá-lo em ferramenta apropriada.
  • A denúncia poderá ser feitam também através do e-mail br@capgemini.com.
  • O não cumprimento desta Política de Segurança da Informação caracteriza violação contratual.