Política de segurança da informação

Política de Segurança da Informação

A Capgemini Brasil está comprometida em prestar serviços de TI orientados por princípios de qualidade, colaboração, melhoria contínua, bem como o cumprimento de todos os requisitos legais aplicáveis de segurança da informação buscando sempre a máxima satisfação de nossos clientes, para os quais a segurança da informação, a continuidade do serviço e o tratamento adequado dos riscos são nossa prioridade.

Esta política está baseada nos seguintes princípios:

• Confidencialidade: Garantia de que o acesso à informação é restrito a pessoas autorizadas.
• Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
• Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos necessários sempre que for preciso.

Diretrizes Gerais

• A segurança da informação deve estar alinhada aos objetivos e estratégias de negócios da empresa, portanto é assunto estratégico na Capgemini Brasil.
• A segurança da informação deve ser praticada em concordância com os valores e ética estabelecidos pelo Grupo Capgemini.
• A alta direção da empresa está comprometida e apoia as metas e princípios de segurança da informação.
• A segurança da informação é responsabilidade e faz parte das atribuições de trabalho e deve ser atendida por todos os empregados e provedores externos e clientes da empresa. Estes devem proteger as informações da empresa contra acesso, modificação, destruição ou divulgação não autorizados.
• Todos os empregados, provedores externos e clientes da Capgemini Brasil devem assegurar que os Ativos e Ativos de Informação colocados à sua disposição sejam utilizados apenas para as finalidades aprovadas pela empresa.
• Segurança na Capgemini Brasil está condicionada à existência de riscos e aos custos dos mecanismos de proteção face ao valor do Ativo de Informação protegido.
• Os papéis e responsabilidades estão estabelecidos no Sistema de Gestão da Segurança da Informação e devem ser cumpridos conforme lá definidos.
• Os líderes e Engagements Managers das BU’s devem ter uma postura exemplar em relação a segurança da informação, servindo como modelo de conduta para os empregados sob sua gestão.
• Durante e após a contratação, a área de recursos humanos deve assegurar que todos os empregados tenham ciência das políticas e procedimentos sobre a segurança da informação, através da realização dos treinamentos mandatórios.
• O departamento jurídico deve garantir que todos os contratos de trabalho, contratos com clientes e fornecedores tenham as cláusulas de confidencialidade, propriedade intelectual, classificação e proteção da informação, conforme estabelecido nas políticas e procedimento da Capgemini Brasil.
• O CSO deve estabelecer os processos e procedimentos, bem como as definições das políticas de segurança da informação, assegurando a integridade dos ativos de informação da Capgemini Brasil alinhados com a estratégia do grupo de Cybersecurity, conforme descrito abaixo:
  • Conter e reduzir os principais riscos cibernéticos que possam afetar o negócio da empresa;
  • Minimizar as fraquezas humanas e técnicas;
  • Cumprir obrigações contratuais em termos de segurança e privacidade de dados;
  • Demonstrar a existência dos controles de segurança e seu funcionamento adequado para a Alta Direção, clientes, acionistas e órgãos reguladores
• Todos os empregados da Capgemini Brasil devem ter conhecimento das políticas e procedimentos da segurança da informação, bem como agir de acordo com as diretrizes estabelecidas nas políticas da empresa.
• A sistemática de auditorias independentes em segurança da informação deve ser estruturada para ser realizada anualmente (contado a partir da publicação desta política), por empresa ou órgão certificado em ISO/IEC 27001, com foco em Compliance e Controles de Segurança da Informação, nos termos da ISO/IEC 27001.
• A continuidade dos serviços é guiada pelo processo de continuidade de negócios da empresa, no qual os requisitos para a segurança da informação e continuidade em situações adversas são estabelecidos. O Group IT mantém um plano de continuidade dos serviços em caso de falhas dos serviços prestados a organização. 
• Uma preocupação da organização com a segurança da informação está ligada aos incidentes de segurança da informação que possam vir a ocorrer e gerar impacto na confidencialidade, integridade e disponibilidade dos negócios da empresa.  Alguns exemplos deste tipo de incidentes são:
  • Acesso não autorizado a sites, sistemas, serviços e dados;
  • Roubo ou perda de ativos físicos, como notebooks, celulares, smartphones, tablets, pen drives, HDs externos, impressoras etc.;
  • Roubo ou perda de arquivos lógicos, como informações, dados, sistemas, serviços e documentos impressos;
  • Danos a ativos físicos ou lógicos em decorrência de desastres ambientais como incêndios, enchentes, derramamentos químicos etc.;
  • Suspeita de roubo de informações corporativas (sigilosas ou não);
  • Uso indevido de ativos da companhia para ameaçar, coagir, difamar, ridicularizar, ofender, prejudicar colegas e/ou obter algum tipo de vantagem, tanto no quesito profissional quanto pessoal;

Escopo NBR ISO/IEC 27001:2013

• Sistema de Gestão de Segurança da Informação (SGSI) que protege ativos da informação utilizados por nossos Delivery Centers para:
  • “Infrastructure Management Services” em Alphaville e Araraquara
  • “Application Management, Application Development and Testing Services” em Alphaville.

O Sistema de Gestão de Segurança da Informação (SGSI) da Capgemini é operacionalizado por meio das localidades:

• Matriz Capgemini – Unidade Alphaville

Alameda Grajaú, 60, 14°andar

Alphaville – Barueri – SP

CEP: 06454-050

• Unidade Araraquara

Avenida São Paulo, 1000, 2 °andar

Centro – Araraquara – SP

CEP: 14801-060