1. Introdução
Esta política tem como objetivo garantir a segurança da informação no desenvolvimento, operação e manutenção do Zydon Link, um add-on que facilita a integração entre o ERP Sankhya e marketplaces/e-commerces, garantindo a confidencialidade, integridade e disponibilidade das informações transferidas.
2. Escopo
Esta política aplica-se a todos os colaboradores da Zydon, bem como a qualquer terceiro que possa interagir com o Zydon Link.
3. Responsabilidades
Direção: Garantir a adoção e cumprimento desta política.
Equipe Técnica: Manter o Zydon Link seguro e operacional, seguindo as melhores práticas de desenvolvimento e segurança da informação.
4. Gestão de Ativos
Classificação de Informações: As informações transferidas pelo Zydon Link serão classificadas como confidenciais, dado que contêm informações pessoais.
4.1 Política interna de gestão de equipamentos corporativos
I. Zele pelos equipamentos e materiais da empresa de maneira a evitar acidentes, perdas, estragos e prejuízos. Utilize apenas arquivos com licença e autorizados pela TI.
II. Todo o ferramental de trabalho, incluindo, mas, não se limitando a computadores, equipamentos, conexão de internet, e-mail, chat, etc; são ferramentas corporativas providas pela Zydon, e deve ser utilizado exclusivamente no cumprimento do contrato de trabalho, podendo ser monitorados sem prévio aviso ou consentimento.
III. Os equipamentos corporativos são passíveis de auditoria para verificação de conformidade com as práticas orientadas pelo código de conduta (por exemplo, download de softwares sem licença, etc).
IV. Todos os equipamentos corporativos devem ser devolvidos em perfeito funcionamento até a data de assinatura da rescisão do contrato de trabalho. Caso sejam constatados danos decorrentes do mau uso ou destruição dos recursos fornecidos, a pessoa responsável deverá ressarcir o produto ou o valor do mesmo para a empresa. Para ressarcimentos, a empresa considerará especificação idêntica ou similar do produto danificado/destruído.
V. Caso seja necessária a retirada de qualquer equipamento da empresa, que não sejam aqueles usualmente utilizados na sua atividade (notebook, telefone celular, dentre outros), solicite autorização da liderança e assine o termo de responsabilidade e guarda do equipamento a ser retirado, e tenha ciência de que você se torna responsável em caso de roubos ou acidentes.
VI. Nunca deixe os equipamentos da empresa expostos ou visíveis na parte dianteira do carro, ou em demais situações de exposição ou risco, assegure-se de sempre garantir a integridade e segurança de tais equipamentos, pois você é o responsável por eles.
5. Controle de Acesso
O acesso ao Zydon Link é configurado e manipulado dentro do próprio ERP Sankhya, bem como o acesso a qualquer outro módulo nativo. Sendo de responsabilidade do nosso cliente definir quais pessoas/usuários que poderão visualizar, editar e excluir os dados.
O acesso ao código e configurações do Zydon Link será restrito à equipe técnica, com controles de autenticação definidos pelo time de gestão Zydon.
5.1 Política de Senhas interna para colaboradores Zydon
A Política de Senhas da Zydon regula o uso de senhas de acesso às plataformas da Zydon. Esta política foi desenvolvida para a melhoria da segurança da informação e para preservar o acesso restrito ao sistema.
I. Suas senhas de acesso às plataformas Zydon são pessoais e intransferíveis.
II. Cadastre senhas fortes, difíceis de serem identificadas ou hackeadas. Evite cadastrar senhas fáceis de serem descobertas, tais como: data de nascimento, nome dos pais, números sequenciais, etc.
III. É proibido compartilhar as senhas de acesso à rede e aos sistemas internos com os colegas de trabalho. Todas as atividades efetuadas são registradas e associadas à senha do usuário, de modo a responsabilizá-lo no caso de irregularidades. Nunca envie senhas por nenhum canal.
IV. Caso se ausente do seu local de trabalho, seu computador ou terminal deve ser bloqueado, a fim de evitar que outras pessoas possam utilizá-lo em seu lugar. Se for necessário se conectar a outro terminal, realize a desconexão do mesmo, assim que a atividade estiver concluída.
6. Transferência Segura de Dados
Garantir que a API utilizada para transferência de dados entre sistemas seja segura, utilizando criptografia e outras medidas de segurança adequadas.
7. Desenvolvimento e Manutenção Segura
Adotar práticas de desenvolvimento seguro, como revisão de código e teste de segurança, para garantir que o Zydon Link seja resistente a ameaças.
8. Conscientização e Treinamento
Continuar com rodas de estudo, workshops e treinamentos internos para garantir que a equipe esteja atualizada com as melhores práticas de segurança da informação e desenvolvimento.
9. Comunicação com Clientes
Utilizar o Intercom para comunicação os clientes, garantindo que o histórico de chamados seja armazenado de forma segura.
Sempre que realizar uma video-conferência, utilizar o Google Meet e comunicar a todos os participantes que a mesma será gravada.
10. Incidentes de Segurança
Processo de resposta a incidentes(PRI)
10.1 Preparação
Definição de Incidente: Um incidente de segurança é qualquer evento adverso que comprometa a integridade, confidencialidade ou disponibilidade das informações ou sistemas do Zydon Link.
Equipe de Resposta a Incidentes (ERI): Formar uma ERI com membros de TI, Jurídico e Comunicação. Designar um líder para coordenar a resposta a incidentes.
10.2 Identificação
Sistema de Detecção: Utilizar ferramentas de monitoramento e detecção de intrusões para identificar possíveis incidentes.
Canais de Comunicação: Estabelecer canais claros para que os colaboradores e clientes possam reportar suspeitas de incidentes.
10.3 Análise
Avaliação Inicial: Avaliar a gravidade, o impacto e o escopo do incidente.
Investigação: Coletar evidências e entender a causa raiz do incidente.
10.4 Contenção
Contenção Imediata: Tomar medidas para conter o incidente e prevenir danos adicionais.
Contenção de Longo Prazo: Implementar soluções mais permanentes para evitar a recorrência do incidente.
10.5 Erradicação
Remoção da Causa: Após a identificação da causa raiz, tomar medidas para eliminar a ameaça.
10.6 Recuperação
Monitoramento: Monitorar os sistemas para garantir que estão seguros e operacionais.
Testes: Realizar testes para confirmar a recuperação completa dos sistemas.
10.7 Lições Aprendidas
Revisão do Incidente: Conduzir uma revisão pós-incidente para identificar lições aprendidas e melhorias necessárias.
Atualização de Políticas: Atualizar o PRI e outras políticas relevantes com base nas lições aprendidas.
10.8 Documentação e Comunicação
Registro de Incidentes: Documentar todos os incidentes, ações tomadas e lições aprendidas em um registro de incidentes.
Comunicação Externa: Coordenar a comunicação com stakeholders externos conforme necessário, em conformidade com as leis e regulamentações aplicáveis.
10.9 Treinamento e Simulações
Treinamento da Equipe: Treinar a ERI e outros colaboradores relevantes sobre o processo de resposta a incidentes.
Simulações de Incidentes: Realizar simulações periódicas para avaliar e melhorar a eficácia do PRI.
10.10 Revisão e Melhoria Contínua:
**Avaliação do PRI**: Revisar o PRI regularmente e após cada incidente para garantir que ele permaneça eficaz e atualizado.
11. Avaliação e Revisão
Realizar avaliações periódicas desta política e dos controles de segurança associados para garantir sua eficácia contínua.
12. Conformidade Legal
Garantir conformidade com leis e regulamentações aplicáveis relacionadas à segurança da informação e privacidade de dados.
13. Ferramentas e Tecnologias
Utilizar as ferramentas do Google Workspace para a gestão de colaboradores, garantindo que as configurações de segurança adequadas estejam em vigor.
14. Código de Conduta
Manter e promover o cumprimento do Código de Conduta Zydon, enfatizando a ética e a responsabilidade no tratamento das informações dos clientes.
É expressamente proibida a utilização de dados sobre negócios e assuntos da Zydon para influenciar decisões que venham favorecer interesses particulares ou de terceiros e que não se relacionem com o propósito da Zydon. Deve-se manter sigilo a respeito das informações de profissionais, negócios, clientes, fornecedores, parceiros e outras organizações, obtidas em razão das atividades que desempenhem no grupo. Essa obrigação continuará vigorando mesmo depois do término do vínculo empregatício ou parceria.
É vedado compartilhar conteúdos estratégicos da Zydon por qualquer meio (gravações de vídeo ou de áudio, bem como armazenamento de informações ou dados) sem o consentimento da liderança imediata.
O tratamento de dados pessoais deverá ser realizado somente quando necessário e apenas para propósitos legítimos, claros e predeterminados, nos termos da Lei 13.709/2018 (Lei Geral de Proteção de Dados).
Caso algum ou algum Zydoner queira utilizar ou citar a Zydon em trabalhos acadêmicos, precisa submeter a solicitação ao comitê de ética para liberação.