- Objetivos
O objetivo principal deste documento é definir as práticas e compromissos de todos os fornecedores que possuem relação com os ativos de informação da Korn Traduções, bem como conscientizar os fornecedores sobre o correto uso dos recursos disponibilizados.
Este documento também contempla a definição de responsabilidade sobre as ações de fornecedores e ações disciplinares relacionadas.
1.1 Autores
A Política de Segurança da Informação para Fornecedores da Korn Traduções, bem como a sua revisão e manutenção, é de responsabilidade do Comitê Gestor de Segurança da Informação (CGSI).
Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhorias podem ser encaminhadas para os membros do Comitê Gestor de Segurança da Informação (CGSI) no seguinte e-mail: [email protected].
1.2 Divulgação e Distribuição
Esta política de segurança da informação para fornecedores deve ser parte integrante do contrato de prestação de serviço de todos os fornecedores de Tecnologia de Informação da Korn Traduções.
No ato da assinatura do contrato de prestação de serviço o fornecedor assume total conhecimento e concordância com as diretrizes definidas neste documento.
1.3 Versão e Revisão
Esta Política bem como suas Diretrizes e Responsabilidades Gerais dos Fornecedores podem ser revisadas, e uma nova versão deve ser elaborada, homologada, divulgada e distribuída nos seguintes casos:
- Alteração significativa em um ativo de informação coberto por esta política;
- Criação de novos ativos de informação relevantes a esta política;
- Diretrizes e Responsabilidades Gerais dos Fornecedores
Todos os fornecedores estão cientes de suas responsabilidades relativas à segurança da informação alinhadas a LGPD e se comprometem a respeitar a esta Política, bem como os documentos abaixo, firmando assim o comprometimento sobre as informações e diretrizes da Korn Traduções:
- Acordo de Confidencialidade para Cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD;
- Política de privacidade (disponível em: https://korntraducoes.com.br/politica-de-privacidade/)
- Política Operacional de Segurança da Informação, aplicável apenas aos fornecedores de TI.
- REGRAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO PARA FORNECEDORES
Os itens abaixo descrevem as diretrizes de segurança relacionadas com os fornecedores da Korn Traduções.
3.1 Propriedade Intelectual
- O fornecedor é responsável por garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço;
- O fornecedor é responsável pela propriedade intelectual do conteúdo dos equipamentos que trouxer para as dependências da Korn Traduções;
- O fornecedor é responsável por garantir que os softwares por ele instalados não ferem qualquer tipo de lei de direitos autorais.
3.2 Acesso à Internet no ambiente da Korn Traduções
- A Korn Traduções se reserva o direito de monitorar o acesso à Internet do fornecedor para garantir o uso adequado;
- A Korn Traduções se reserva o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;
- O acesso à Internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento da prestação de serviço para a Korn Traduções.
3.3 Computação Móvel
- O fornecedor se compromete inteiramente pela segurança dos dados de seus equipamentos nas dependências da Korn Traduções;
- O fornecedor é responsável por garantir que os equipamentos ou mídias que utiliza estão com todos os softwares atualizados, legalizados, com antivírus e livres de qualquer tipo de software que possa prejudicar os ativos de sistemas da Korn Traduções.
3.4 E-mails
- A qualquer tempo e de qualquer local o fornecedor não deve encaminhar e-mails para colaboradores da Korn Traduções cujo conteúdo não tenha relação com o trabalho.
3.5 Manuseio Lógico das Informações
- O fornecedor se compromete a tratar apenas as informações recebidas da Korn Traduções que tenham relação direta com seu serviço conforme descrito no contrato de prestação de serviço;
- O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da Korn Traduções que lhe forem concedidas;
- A divulgação interna das informações da Korn Traduções dentro da empresa do fornecedor deve ser formalmente informada e alinhada entre as partes;
- O fornecedor se compromete a não transmitir informações da Korn Traduções por canais de comunicação não seguros, tais como redes sociais, WhatsApp, etc., que possam ocasionar vazamento destas informações;
- O fornecedor se compromete com o descarte adequado e seguro das informações da Korn Traduções ao final do serviço ou quando elas não forem mais utilizadas (o que ocorrer primeiro);
- A Korn Traduções se reserva no direito de realizar auditorias de segurança da informação, previamente comunicadas, em seus fornecedores.
3.6 Armazenamento Lógico das Informações
- O armazenamento de informações da Korn Traduções pelo fornecedor deve ser realizado de modo seguro, ou seja, com controle de acesso restrito do fornecedor;
- É proibido o armazenamento de dados de propriedade da Korn Traduções em mídias removíveis.
- O fornecedor também se compromete com a garantia de que as informações da Korn Traduções não serão adulteradas durante o armazenamento de mídias sob sua responsabilidade.
3.7 Acesso aos Sistemas ou equipamentos da Korn (Local ou remoto)
- O fornecedor somente poderá acessar os sistemas ou equipamentos da Korn Traduções para suporte ou manutenção, quando aplicável ao escopo do serviço, e nesses casos o acesso só será permitido após a comunicação formal;
- Os acessos remotos de todos os fornecedores, quando aplicável ao escopo do serviço, devem ser realizados por meio seguro (VPN/ senhas controladas de acesso/ acesso controlado e monitorado/acessos privado ou particular).
3.8 Uso de Senhas, aplicável a fornecedores de TI.
- O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da Korn Traduções em nenhum caso;
- Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para as atividades relacionadas conforme definido e autorizado pela equipe de TI da Korn.
- A Korn Traduções é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato ou projeto, este deve solicitar obrigatoriamente a sua desativação imediata;
- O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente a Korn Traduções a sua perda ou vazamento.
3.9 Colaboradores do Fornecedor
- O fornecedor é responsável por comunicar imediatamente a Korn Traduções o desligamento de seus colaboradores, quando estes estejam prestando algum serviço ou possuam credenciais de acesso aos sistemas da Korn Traduções;
- O fornecedor deve comunicar imediatamente qualquer mudança na lista de seus colaboradores autorizados a prestar o serviço à Korn Traduções;
- Todos os colaboradores do fornecedor que prestam serviço à Korn Traduções assumem total conhecimento e concordância com o conteúdo deste documento, bem como aos documentos descritos no item 2 acima.
3.10 Segurança Física
- O fornecedor é responsável pela devolução à Korn Traduções ou pelo descarte adequado das informações quando estas não forem mais necessárias ou ao final de seu serviço;
- O fornecedor se compromete a acessar as dependências físicas da Korn Traduções somente quando devidamente autorizado e acompanhado por um colaborador da Korn;
- O fornecedor só poderá acessar o ambiente físico da Korn após aprovação da equipe de TI da Korn e o mesmo deve ser acompanhado por um funcionário da Korn na realização da atividade.
- Para a retirada de equipamentos da Korn Traduções, por qualquer motivo, o fornecedor deverá preencher o Termo de Entrega e Manutenção elaborado pela equipe de TI da Korn.
- Incidentes e Medidas Disciplinares
Qualquer violação das diretrizes constantes nesta política constitui incidentes de segurança da informação e será devidamente registrado e analisado pelo Comitê Gestor de Segurança da Informação (CGSI) da Korn Traduções.
Após análise deste comitê, serão deliberadas medidas disciplinares ao fornecedor, que, respeitando a legislação vigente, podem incluir:
- Advertência formal ou informal;
- Cancelamento do contrato de prestação de serviço;
- Ações judiciais ou abertura de boletim de ocorrência.