Pesquisar
Close this search box.

Políticas de Segurança e Privacidade da Korn

    1. Declaração de Privacidade de Dados

    A Korn Traduções (“Korn” ou “nós”) preocupa-se em respeitar e resguardar a sua privacidade.

    Esta Política de Privacidade (“Política de Privacidade”) se aplica a todos os colaboradores, fornecedores, parceiros e clientes e tem como objetivo oferecer as diretrizes definidas e aplicadas pela Korn no tratamento de suas informações pessoais.

    Esta Política de Privacidade abrange e contempla, entre outras coisas, toda coleta e/ou tratamento de informações pessoais por meio de vários canais, como sites, aplicativos, redes sociais, vendas e eventos, ou tratamento de dados fornecidos por parceiros, clientes e fornecedores para prestação de serviços.

    A nossa Política de Privacidade baseia-se na ética e nos valores observados pela Korn e atende à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/2018) e ao Marco Civil da Internet (Lei 12.965/2014), que estabelecem princípios, garantias e deveres para o uso da Internet no Brasil.

    Leia atentamente esta Política de Privacidade para entender como e com qual finalidade os seus Dados Pessoais podem ser coletados pela Korn. É importante que a Política de Privacidade seja interpretada em conjunto e de acordo com qualquer outro documento, contrato ou cláusula de privacidade que a acompanhe. A Korn atuará como controladora dos seus Dados Pessoais, ou seja, cabe a nós a competência das decisões referentes ao Tratamento dos Dados Pessoais.

    Ao selecionar o campo de aceite da Política de Privacidade, você declara que aceita e consente com as informações aqui prestadas.

    1. Dados Pessoais, Meios de Coleta e Finalidade do Tratamento

    “Dados Pessoais” são informações sobre uma pessoa natural identificada ou identificável. Exemplos de Dados Pessoais incluem nome completo, profissão, documento de identidade, endereço, e-mail, número de telefone, escolaridade, IP, geolocalização, dados de veículos, entre outros.

    “Tratamento” significa toda operação realizada com Dados Pessoais, como operações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

    “Titular” é a pessoa natural a quem se referem os Dados Pessoais que são objeto do Tratamento.

    Dependendo do tipo de Titular (colaboradores, fornecedores, parceiros ou clientes) e da forma como esse Titular interage com a Korn, são coletadas diversas categorias de informações, como:

    • Informações pessoais de contato: qualquer informação fornecida com intenção de contato, como nome, endereço postal, e-mail, endereço comercial, informações de redes sociais e número de telefone.
    • Informações de login de conta: qualquer informação necessária para dar acesso a um perfil de conta específico para utilização dos nossos serviços. Exemplos incluem endereço de e-mail, nome de usuário, senha em formato irrecuperável e/ou pergunta e resposta de segurança, entre outras.
    • Informações técnicas sobre o computador/dispositivo móvel: qualquer informação sobre o sistema de computador ou outro dispositivo que você utiliza para acessar as nossas páginas, os nossos serviços ou os nossos aplicativos, o endereço IP utilizado para conectar seu computador ou dispositivo à internet, o tipo de sistema operacional e o tipo e a versão do navegador da web, entre outras informações de navegação.
    • Informações financeiras e de pagamento: informações necessárias para a realização de pedidos/contratos/faturamentos/cobranças/remunerações/reembolsos. A Korn certifica que seu serviço de processamento de pagamentos garante a conformidade das informações financeiras e de pagamento com as leis, as normas e os padrões de segurança aplicáveis.
    • Dados Pessoais Sensíveis: sempre que for necessário coletar e tratar Dados Pessoais Sensíveis por qualquer motivo, será solicitado o seu consentimento prévio e expresso. Se for necessário o tratamento de Dados Pessoais Sensíveis para outras finalidades, estas têm base legal e a Korn proverá prévia ciência ao Titular.
    • Dados Pessoais de Crianças e Adolescentes: sempre que for necessário coletar e tratar Dados Pessoais de crianças e menores de idade (como informações de plano de saúde e outros benefícios ou obrigações), será solicitado consentimento explícito aos pais ou responsáveis.

    2.1. Finalidade do Tratamento de Dados Pessoais

    O Tratamento dos seus Dados Pessoais pode ser realizado pela Korn mediante o seu consentimento, quando aplicável, em diversos meios, por obrigação legal, regulatória, contratual ou de outras formas. A Korn pode solicitar que você forneça seu consentimento por escrito, ou por qualquer meio que o confirme, sempre que necessário.

    Os seus Dados Pessoais são coletados para viabilização e/ou melhoraria da prestação dos serviços linguísticos para os quais a Korn foi contratada, bem como para:

    1. Identificação e/ou oferecimento de conteúdo relevante sobre determinada preferência e/ou interesse manifestado por você à Korn, incluindo, sem limitação, newsletters, eventos, convites, lembretes, notas de agradecimento, entre outros;
    2. Realização de atividades de relacionamento e atendimento ao cliente;
    3. Composição de banco de dados de fornecedores e prestadores de serviço da Korn;
    4. Composição de banco de dados de candidatos a vagas de emprego e estágio e prestadores de serviços na Korn;
    5. Condução de processos de recrutamento, admissão e treinamento para que possamos cumprir nossas obrigações trabalhistas com profissionais/colaboradores;
    6. Composição de banco de dados de empregados, membros do Alumni, comitês e outros grupos;
    7. Cadastro de fornecedores e celebração de contratos relacionados;
    8. Condução de operações internas (financeiras, contábeis, trabalhistas, entre outras), solução de problemas, análise de dados, integração e consolidação de dados;
    9. Venda de produtos e/ou serviços;
    10. Gerenciamento de riscos e detecção, prevenção e/ou remediação de fraudes ou outras atividades potencialmente ilegais ou proibidas, além de violações de políticas, contratos ou termos de uso aplicáveis;
    11. Proteção, defesa e administração dos interesses da Korn;
    12. Realização de projetos e atividades de responsabilidade ambiental e social;
    13. Cumprimento da legislação aplicável;
    14. Notificação sobre quaisquer alterações à presente Política de Privacidade;
    15. Cumprimento de qualquer outra demanda por você solicitada à Korn;
    • Tipos de Dados Coletados no Site e Formas de Registro

    A Korn coleta Dados Pessoais por meio de formulários on-line ou por meio físico quando você, por exemplo, inscreve-se para um evento, envia informações para candidatar-se a uma vaga ou preenche um formulário de contato no site.

    Quando você registra ou envia as suas informações para a Korn, nós, em geral, solicitamos dados como o seu nome, e-mail, telefone, cargo e empresa. Além disso, outras informações pessoais podem ser recebidas por meio de currículos enviados por você, quando for se candidatar para uma vaga, por meio de terceiros, como a empresa onde trabalha, ou até a partir de fontes públicas.

    • Dados de Navegação de Internet

    Quando você visita nosso site, nós coletamos dados de registro de internet padrão e padrão de comportamento. A Korn executa essa ação para levantar informações como a quantidade de visitantes em diferentes partes do site da Korn.

    Nós usamos ferramentas de analytics que nos ajudam a analisar o acesso e uso do nosso site. A ferramenta usa “cookies”, que são arquivos de texto localizados em seu computador, para coletar informações de registro de internet padrão e de comportamento de visitantes de forma anônima, sempre com o objetivo de avaliar o uso dos visitantes do site e compilar relatórios estatísticos sobre a atividade no site da Korn. Caso tenha interesse em saber mais sobre cookies, inclusive sobre como controlá-los, acesse o site https://www.allaboutcookies.org/

    As páginas ou os serviços da Korn também podem usar outras tecnologias de rastreamento, inclusive endereços IP, arquivos de registro e sinalizadores da web, que também nos ajudam a adaptar o site da Korn às suas necessidades pessoais.

        3. Armazenamento e Retenção de Dados

    A Korn poderá armazenar os seus Dados Pessoais pelo tempo necessário para cumprir as finalidades citadas nesta política e as leis ou os regulamentos aplicáveis, conforme o caso. Para a determinação da forma e duração do Tratamento dos seus Dados Pessoais pela Korn, serão considerados a natureza dos seus Dados Pessoais fornecidos à Korn e a finalidade do Tratamento. Uma vez que a finalidade tenha sido satisfeita, os seus Dados Pessoais serão eliminados.

    Traduções públicas, também conhecidas como traduções juramentadas, são documentos públicos e não podem ser descartados. O tradutor público deve manter uma via de cada tradução feita e registrá-la na Junta Comercial estadual na qual ele está matriculado (Decreto 13.609/43 e Deliberação da Junta Comercial de cada estado).

    A eliminação dos dados e das informações, quando necessária, será realizada por meio de procedimentos estabelecidos de eliminação física ou eletrônica, respeitando as demais legislações existentes e de forma a eliminar todas as evidências e cópias de posse da Korn.

    1. Compartilhamento de Dados Pessoais

    A Korn não comercializará os seus Dados Pessoais, mas poderá compartilhá-los ou transferi-los a terceiros, no Brasil ou no exterior, com o objetivo de cumprir as finalidades previstas nesta política e quaisquer ordens judiciais ou decisões de qualquer outra autoridade competente, de acordo com a legislação aplicável. Sendo assim, a Korn pode compartilhar ou transferir os seus Dados Pessoais com terceiros, dentro ou fora do Brasil, nas seguintes hipóteses:

    • Os serviços prestados pela Korn requerem o suporte de uma infraestrutura tecnológica que pode ser estabelecida fora do Brasil, como servidores e serviços em nuvem (cloud), que podem ser de propriedade de ou fornecidos por terceiros, provedores de sistemas de TI ou serviços relacionados a folha de pagamentos e recursos humanos, dentre outros;
    • Bancos, exclusivamente para transações contratuais ou trabalhistas;
    • Parceiros comerciais com os quais a Korn mantém colaborações ou alianças, os quais estarão cientes e assumirão responsabilidades e comprometimentos sobre privacidade de Dados Pessoais acordados em cláusulas contratuais específicas. Autorizando o orçamento você está dando consentimento à Korn Traduções para enviar, quando necessário, seus dados pessoais ou possíveis dados pessoais e/ou sensíveis constantes nos documentos enviados, para profissionais parceiros que estão fora do Brasil com a única finalidade de atender a sua solicitação de serviços linguísticos da melhor forma. Os dados enviados serão somente os necessários para o cumprimento das atividades solicitadas, sendo garantidos os direitos, princípios e salvaguardas estabelecidos pelo regime da LGPD; e
    • Autoridades administrativas e judiciais que, no exercício de sua competência, exijam essas informações.

    Para os casos não previstos acima em que seja necessário o compartilhamento dos Dados Pessoais, será solicitada ao Titular dos Dados Pessoais a sua autorização expressa (consentimento) pelo envio de uma notificação com informações sobre o compartilhamento.

    Em todas as hipóteses, a Korn se compromete a compartilhar apenas os Dados Pessoais que se fizerem necessários ao cumprimento da respectiva finalidade ou ao atendimento da respectiva ordem específica, conforme o caso.

    1. COVID-19 – Item Aplicável a Colaboradores e Visitantes

    Em virtude das medidas de prevenção e controle de contágio da Covid-19, a Korn e/ou o edifício onde está localizada poderão também coletar informações pessoais de seus colaboradores, prestadores de serviços e visitantes, como histórico de saúde em relação à Covid-19, informações sobre o local de trabalho e temperatura corporal, entre outras.

    1. Transferência Internacional de Dados

    Os serviços fornecidos pela Korn requerem o suporte de uma infraestrutura tecnológica que pode ser estabelecida fora do Brasil, como servidores e serviços em nuvem (cloud), que podem ser de propriedade de ou fornecidos por terceiros. Além disso, para a realização de suas atividades, a Korn pode ter que compartilhar seus Dados Pessoais com terceiros fora do Brasil.

    Nesses casos, a Korn assegura que contratará apenas terceiros que atendam aos mais altos padrões de segurança e que apliquem, no mínimo, o mesmo nível de proteção de Dados Pessoais previsto na legislação brasileira.

    1. Segurança

    A Korn e os terceiros com os quais os seus Dados Pessoais podem ser compartilhados observam os padrões de segurança necessários à prevenção e remediação do acesso não autorizado de Dados Pessoais, empregando os meios aplicáveis e os padrões de segurança recomendados para protegê-los na medida em que forem técnica e operacionalmente viáveis.

    1. Link de Terceiros

    A Korn pode oferecer links para redirecionamento a sites de terceiros com a finalidade de melhorar a sua experiência de navegação, informação ou prestação de serviços. A Korn esclarece que a presente Política de Privacidade não se aplica a Dados Pessoais por você fornecidos a quaisquer companhias, indivíduos e/ou organizações que não a Korn. Tais pessoas, físicas ou jurídicas, podem adotar diferentes políticas relacionadas à privacidade e à informação de Dados Pessoais coletados por elas e tratados de qualquer outro modo.

    A Korn recomenda que você consulte as políticas de privacidade dessas pessoas e/ou dos sites de terceiros antes de fornecer seus Dados Pessoais.

    1. Direitos do Titular de Dados

    A Korn respeita a sua privacidade e preocupa-se em disponibilizar os canais necessários para que você possa exercer os seus direitos e receber informações adequadas, claras e transparentes sobre o uso e o tratamento dos seus Dados Pessoais. Desse modo, qualquer solicitação para alteração de dados incompletos, inexatos ou desatualizados e/ou para exclusão de dados fornecidos à Korn, inclusive Dados Pessoais, deve ser realizada por e-mail para [email protected].

    A solicitação será analisada e, caso não implique interrupção de fornecimento dos serviços prestados pela Korn ou incida em alguma das hipóteses de conservação dos dados, será realizada. Caso implique interrupção de fornecimento dos serviços, a sua relação com a Korn estará encerrada, mas as obrigações decorrentes da prestação permanecerão válidas e, nesse caso, as suas informações e os seus Dados Pessoais continuarão sendo usados e tratados pela Korn e/ou pelos terceiros autorizados até a necessidade ou as finalidades previstas nessa Política serem satisfeitas.

    Além da alteração e exclusão dos Dados Pessoais, você também poderá exercer os seguintes direitos, mediante requerimento à Korn, por e-mail para [email protected]:

    • confirmação sobre se o tratamento dos seus Dados Pessoais é realizado pela Korn e/ou por terceiros autorizados, inclusive após o término da sua relação com a Korn;
    • obtenção de informação sobre quais Dados Pessoais são armazenados e de outro modo tratados pela Korn;
    • informação sobre as entidades públicas e privadas com as quais a Korn compartilhou dados;
    • solicitação de correção de dados incompletos, inexatos ou desatualizados;
    • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa quando a Korn solicitar o seu consentimento para o tratamento dos Dados Pessoais em alguma situação específica;
    • revogação do consentimento quando a Korn solicitar o seu consentimento para o tratamento dos Dados Pessoais em alguma situação específica; e
    • comunicação à Korn que você discorda do tratamento dos seus Dados Pessoais, explicando o motivo da oposição para análise do caso pela Korn.

    Por motivos de segurança, a Korn pode solicitar dados ou informações adicionais para confirmar a identidade e a autenticidade do Titular no caso de solicitação para o exercício desses diretos.

    O Titular pode entrar em contato com a empresa pelo e-mail privacidade@korntraduções.com.br.

    1. Comunicação: Alteração, Cancelamento ou Dúvidas sobre a Presente Política de Privacidade

    Se você desejar acessar, alterar ou excluir seus Dados Pessoais fornecidos para a Korn ou exercer quaisquer um dos seus direitos como Titular, entre em contato conosco pelo e-mail [email protected]. Nós iremos tomar as medidas necessárias e/ou responder a esse e-mail em prazo razoável conforme a viabilidade técnica e operacional da Korn. A Korn também poderá pedir que você atualize os seus Dados Pessoais periodicamente.

    Se você não estiver de acordo com a presente Política de Privacidade, desejar excluir quaisquer Dados Pessoais tratados pela Korn ou obter esclarecimentos sobre a aplicação desta Política de Privacidade e sobre os seus direitos, entre em contato conosco pelo e-mail [email protected]. Ficaremos felizes em esclarecer quaisquer dúvidas e/ou atender à sua solicitação.

    Por fim, se você recebeu uma comunicação da Korn e gostaria de não a ter recebido, avise-nos por meio do link “Cancelar Inscrição” (Unsubscribe) ou envie um e-mail para [email protected].

    O objetivo da Korn será responder a todas as demandas acima o mais rápido possível.

    1. Encarregado pela Proteção de Dados

    A Korn é sediada em São Paulo – Brasil. O contato do Encarregado pela Proteção de Dados da Korn é:

    Av. Nove de Julho, 3384 – conj. 64/65 – Jardim Paulista, São Paulo – SP, 01406-000

    [email protected]

    1. Alterações desta Política de Privacidade

    Todos os Dados Pessoais tratados pela Korn estarão de acordo com esta Política de Privacidade e com as finalidades supracitadas.

    A Korn se reserva o direito de alterar a presente Política de Privacidade, total ou parcialmente, a qualquer momento. A data de atualização mais recente será inserida na Política revisada, conforme indicado abaixo.

    Consulte a presente Política de Privacidade periodicamente para verificar eventuais alterações. O uso do site da Korn ou o fornecimento de Dados Pessoais por qualquer outro meio pressupõe a sua anuência com a presente Política de Privacidade.

    1. Revisão e Aprovação desta Política

    Esta Política deve ser revisada a cada dois anos ou a qualquer momento, conforme necessário ou desejado pela Korn, obedecendo ao ciclo de aprovações das áreas e alçadas envolvidas. Uma versão atualizada desta Política será devidamente disponibilizada nesta página assim que concluída.Av. Nove de Julho, 3384 – conj. 64/65 – Jardim Paulista, São Paulo – SP, 01406-000

Política Operacional de Segurança da Informação

INTRODUÇÃO

A Korn Traduções, visando estabelecer uma aliança duradoura e de confiança com seus clientes, colaboradores e fornecedores, e com o objetivo de satisfazer as necessidades dos seus clientes com excelência, confidencialidade, integridade e disponibilidade, está comprometida com a proteção das informações de sua propriedade utilizadas no fornecimento de seus serviços.

O estabelecimento de um Sistema de Gestão de Segurança e Privacidade da Informação é um compromisso da alta direção da Korn Traduções cujo foco é:

  • Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da Korn Traduções ou que sejam utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus serviços.
  • Garantir o atendimento à legislação vigente e requisitos contratuais.
  • Promover a capacitação de seus colaboradores.
  • Praticar a melhoria contínua do Sistema de Gestão da Segurança e Privacidade da Informação.

Esta Política é endossada e complementada pela Política de Privacidade, pelo Código de Ética e Conduta, pelos Acordos de Confidencialidade e pelo Termo Aditivo de Contrato de Trabalho – Alteração do regime presencial de trabalho para o regime teletrabalho (Home Office) Parcial ou Integral.

Abrangência

Esta Política aplica-se a todos os colaboradores e terceiros que sejam usuários dos recursos e das informações da Korn Traduções.

Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as leis abaixo relacionadas, mas não se limitando a elas:

Cabe a Alta Direção da Korn, juntamente com áreas internas envolvidas, revisar e manter atualizado os registros de legislação aplicável e efetuar ações de adequação, quando aplicável.

Demais partes interessadas na cadeia operacional da Korn (clientes, fornecedores, terceiros, pessoas jurídicas/subcontratados, entre outros), de acordo com sua abrangência e aplicabilidade, também deverão respeitar à legislação a ela aplicável.

  • Constituição Federal;
  • Código de Defesa do Consumidor
  • Lei Federal nº 8.159, de 8 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
  • Lei Federal nº 9.610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
  • Lei Federal nº 9.279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
  • Lei Federal nº 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
  • Lei Federal nº 10.406, de 10 de janeiro de 2002 (Institui o Código Civil)
  • Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Institui o Código Penal)
  • Lei Federal nº 9.983, de 14 de julho de 2000 (Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940:

– Código Penal e dá outras providencias.

  • Lei nº 12.965, de 23 de abril de 2014 (Lei do Marco Civil da Internet)
  • Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)
  • Lei Anticorrupção (Lei Nº 12.846, de 1º de agosto de 2013)
  • Lei nº 10.097/2000 e Decreto nº 9.579, de 22 de novembro de 2018, relativa à Lei da Aprendizagem e de empregabilidade de menores
  • Lei nº 12.737, de 30 de novembro de 2012.

Termos e Definições

Para os efeitos desta Política, aplicam-se os seguintes termos e definições:

  • Aceitação de risco: decisão de aceitar um risco.
  • Áreas críticas: dependências da Korn Traduções ou de seus clientes onde esteja situado um ativo de informação relacionado a informações críticas para os negócios da empresa ou de seus clientes.
  • Ameaça: causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização.
  • Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco.
  • Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
  • Ação corretiva: ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável.
  • Ataque: tentativa para destruir, expor, alterar, desabilitar, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um ativo.
  • Ativo: qualquer componente, recurso ou conjunto destes aplicáveis para a preservação da confidencialidade, integridade e disponibilidade de dados e informações (hardware, software, infraestrutura, pessoas com seus conhecimentos, etc.).
  • Ativo da informação: conhecimento ou dados que tenham valor para a empresa.
  • Autenticidade: propriedade que garante a autoria de um determinado dado.
  • CGSI: Comitê Gestor de Segurança da Informação, grupo multidisciplinar que reúne representantes de diversas áreas da empresa, aprovado pela Diretoria, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI – Sistema de Gestão de Segurança da Informação.
  • Comunicação de risco: troca ou compartilhamento de informações sobre riscos entre o tomador de decisões e outras partes interessadas.
  • Confiabilidade: característica de comportamento consistente e resultados desejados.
  • Confidencialidade: característica de informação não está disponível nem pode ser revelada a indivíduos, entidades ou processos não autorizados.
  • Controle: meios de gerenciamento de risco, incluindo políticas, procedimentos, guias, práticas ou estruturas organizacionais, que podem ser administrativos, técnicos, de gestão ou de natureza legal.
  • Controle de acesso: meios para assegurar que o acesso a ativos é autorizado e restrito com base nos requisitos de segurança e de negócios.
  • Critérios de risco: termos de referência pelos quais é avaliada a importância do risco.
  • Dados pessoais: quaisquer informações associadas a uma pessoa física identificada ou identificável fornecidas pela Korn Traduções e/ou acessadas em seu nome e/ou que se relacionem à condição de pessoa física vinculada à Korn Traduções, incluindo, mas não se limitando a, nome, endereço, telefone, e-mail, dados bancários.
  • Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da empresa.
    • Nota: os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, nos requisitos legais ou regulamentares, nas obrigações contratuais e nos requisitos de negócio da empresa para a segurança da informação.
  • Disponibilidade: característica do que é acessível e utilizável sob demanda por uma entidade autorizada.
  • Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede indicando uma possível violação da Política de Segurança da Informação e Privacidade ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
  • Gestão de riscos: atividades coordenadas para direcionar e controlar uma empresa no que se refere a riscos.
  • Informações críticas para os negócios da Korn Traduções: toda informação que, se for alvo de acesso, modificação, destruição ou divulgação não autorizada, resultará em perdas operacionais ou financeiras à Korn Traduções ou seus clientes. Exemplo: dados dos clientes, fontes de sistema, regras de negócios, informações estratégias ou de negócio de clientes obtida em reuniões, planejamento estratégico da Korn Traduções, prospecções, informações estratégicas da Korn Traduções.
  • Impacto: mudança adversa nos objetivos de negócios.
  • Incidente de segurança da informação: um único evento ou uma série de eventos de segurança da informação indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
  • Integridade: propriedade de salvaguarda da exatidão e completeza dos ativos.
  • Mitigação: limitação das consequências negativas de um determinado evento.
  • Não repúdio: capacidade de provar a ocorrência de um evento alegado ou de ação e de suas entidades de origem, a fim de resolver disputas sobre a ocorrência ou não ocorrência de evento ou ação e envolvimento de entidades no evento.
  • Risco: combinação da probabilidade de um evento e suas consequências.
  • Risco de segurança da Informação: possibilidade de uma ameaça explorar uma vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos à empresa.
  • Risco residual: risco remanescente após o tratamento de riscos.
  • Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação.
    • Nota: adicionalmente, outras propriedades, tais como a autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.
  • Sistema de gestão: estrutura de políticas, procedimentos, guias e recursos associados para atingir os objetivos da empresa .
  • Sistema de Gestão da Segurança da Informação – SGSI: parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
  • Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco.
  • Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

INFORMAÇÃO DOCUMENTADA

Estrutura Normativa

Os documentos que compõem a estrutura normativa são divididos em 5 categorias:

  1. Política (nível estratégico): define as regras de alto nível que representam os princípios básicos que a Korn Traduções decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as políticas operacionais e os procedimentos sejam criados e detalhados.
  2. Política operacional: constituída do presente documento, define regras específicas que orientam e regulam responsabilidades e ações em nível operacional.
  3. Procedimentos (nível operacional): instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da Korn Traduções.
  4. Manuais: guia de instruções que apoia a execução de um processo ou o uso de um software.
  5. Templates: modelos de documentos e controles sob controle de versão.

Todos os processos e templates são disponibilizados no Portal de Processos e os registros estão no repositório de documentos da Korn Traduções. Toda informação documentada que evidenciar a execução de um processo deve ter seu armazenamento controlado visando sua pronta recuperação.

Novos documentos ou revisões devem ser submetidos pelos gestores das áreas em questão para aprovação da alta direção antes de serem disponibilizados, conforme processo Informação Documentada, pertencente à Qualidade.

Cópias impressas do conteúdo do Portal de Processos Korn Traduções não são consideradas válidas e são proibidas.

Os documentos integrantes da estrutura devem ser divulgados a todos os colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Korn Traduções quando de sua admissão através dos meios oficiais de divulgação interna da empresa, conforme o Plano de Comunicação da Korn Traduções, e podem ser disponibilizados pelo software de gestão de RH vigente, pelo Portal de Processos e pelo repositório de documentos compartilhados, de maneira que seu conteúdo possa ser consultado a qualquer momento.

Toda alteração realizada na Política de Segurança da Informação e Privacidade deverá ser repassada à CEO ou à Diretoria Administrativa para aprovação. Após sua aprovação, a política deverá ser divulgada e os colaboradores treinados.

Classificação das Informações

Define-se como necessária a classificação de toda informação de propriedade da Korn Traduções ou sob sua custódia, de maneira proporcional ao seu valor para a empresa.

Informações que compõem o SGSI devem ser classificadas em:

  • Confidenciais – são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da Korn Traduções. Podem ser protegidas, por exemplo, por criptografia.
  • Restritas – são informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Estão protegidas por restrição de acesso às pastas em que estão contidas no drive de rede e nos diferentes níveis de acesso nos sistemas e no Portal da Korn Traduções.
  • Internas – são aquelas que não podem ser divulgadas para pessoas de fora da Korn Traduções, mas que, caso isso aconteça, não causam grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
  • Públicas – são dados que não necessitam de proteção específica contra vazamentos, pois podem ser de conhecimento público.

Informações relativas aos colaboradores, ao setor financeiro da Korn Traduções e informações de clientes (dados cadastrais e documentos) são sempre consideradas restritas, sendo seu acesso concedido apenas às pessoas que precisam delas para exercerem suas atividades e prestar o serviço contratado. Para possibilitar o controle adequado da informação, devem ser utilizados os níveis de acesso descritos em Procedimentos Gerais de Infraestrutura e TI.

DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação e Privacidade da Korn Traduções que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.

Define-se como necessária a proteção das informações que sejam da Korn Traduções ou que estejam sob sua custódia, sendo fator primordial nas atividades profissionais de cada colaborador, estagiário, jovem aprendiz ou prestador de serviços da empresa:

  1. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da Korn Traduções e devem estar atentos a ameaças externas, bem como fraudes, roubo de informações e acesso indevido a sistemas de informação sob responsabilidade da Korn Traduções.
  2. Assuntos confidenciais não devem ser expostos publicamente.
  3. Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados.
  4. Somente softwares homologados podem ser utilizados no ambiente computacional da Korn Traduções.
  5. Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislação pertinente e respeitando o procedimento de descarte.
  6. Todos os dados considerados imprescindíveis ao negócio da Korn Traduções devem ser protegidos através de rotinas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação.
  7. O acesso às dependências da Korn Traduções deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  8. O acesso lógico a sistemas computacionais disponibilizados pela Korn Traduções deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado.
  9. São de propriedade da Korn Traduções todas as criações, códigos ou procedimentos desenvolvidos por qualquer colaborador, estagiário, jovem aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa.
  10. Não é permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou outros equipamentos de gravação, como câmeras em dispositivos móveis, nas dependências da Korn Traduções, exceto se for autorizado pela alta direção. É estritamente proibido fotografar ou filmar a tela dos computadores, seja no escritório ou em home office.
  11. Não é permitido a instalação de impressoras nos computadores da Korn Traduções, exceto quando autorizado pela alta direção. O acesso às impressoras já instaladas no escritório também deve ser autorizado pela alta direção mediante a solicitação do gestor.
  12. Colaboradores que trabalham em regime de home office deverão sempre exercer suas atividades no endereço fornecido à Korn Traduções, em uma rede de acesso à internet particular, protegida por senha. É estritamente proibido o exercício de suas funções em outro endereço, que implica transporte da máquina e acesso em outra rede, exceto mediante autorização da alta direção, após ser comunicado o novo local, a necessidade e após análise de riscos. Nenhum acesso aos dados e sistemas da Korn Traduções deve ser feito em rede pública (aeroportos, restaurantes, etc.).
  13. Os computadores disponibilizados pela Korn Traduções aos colaboradores, estagiários e jovens aprendizes, para exercício de suas atividades, são de uso exclusivo para atividades relacionadas à Korn Traduções e não podem ser utilizados para atividades pessoais. Quando autorizado pela alta direção, os computadores poderão ser utilizados para treinamentos, palestras ou webinários online. É permitido aos jovens aprendizes assistirem aulas pela plataforma formal do instituto responsável por sua contratação, porém são estritamente vedados pesquisas na internet e armazenamento de arquivos.
  14. Não é permitido a conexão de dispositivos móveis particulares (notebooks, tablets, entre outros) à rede principal da Korn Traduções, seja em segmentos cabeados ou sem fio. Caso seja necessário, deve ser liberado apenas com autorização prévia formal da alta direção. Para clientes pode ser disponibilizada uma rede WiFi separada para visitantes, que não possui conexão com a rede interna.

Ressalta-se que as situações previstas nessa Política não são exaustivas, sendo certo que outras relacionadas ao uso dos equipamentos no ambiente de trabalho ou dúvidas quanto à segurança da informação podem ocorrer.

Quanto a essas situações, não expressamente previstas nesta Política e/ou nas demais Políticas e no nosso Código de Ética e Conduta, a Korn Traduções conta com o bom senso de seus funcionários e caso dúvidas permaneçam, os departamentos de TI e de RH/Gestão de Pessoas podem sempre ser contatados para tirar dúvidas por meio dos e-mails [email protected] e [email protected].

Avaliação de Riscos de Segurança da Informação

A gestão do SGSI da Korn Traduções deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da empresa por meio do mapeamento de vulnerabilidades, ameaças, impacto e probabilidade de ocorrência, bem como da adoção de controles que mitigam estes riscos junto aos responsáveis pelos ativos aos quais os riscos estão associados.

Competências Necessárias para Segurança da Informação

Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na Korn Traduções, garantindo assim o sucesso do SGSI. A competência exigida deve:

  1. Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;
  2. Reter informações documentadas adequadas como prova de competência.

AMBIENTE FÍSICO

O acesso aos ambientes físicos da Korn Traduções é controlado e monitorado. Os visitantes e fornecedores devem se restringir à recepção e à sala de reuniões, quando necessário, sendo restrito o acesso aos demais ambientes.

Não é permitida a entrada de colaboradores e fornecedores fora do expediente, exceto quando estritamente necessário e mediante autorização prévia da alta direção, sendo que terceiros devem estar sempre acompanhados por um colaborador da Korn Traduções.

Todo o detalhamento quanto ao controle de acesso às instalações da Korn Traduções, proteção contra ameaças externas, alarmes, utilidades (alimentação elétrica, água, ar condicionado e outros) está descrito nos Procedimentos Gerais de Infraestrutura e TI.

Fornecedores

Os contratos celebrados com fornecedores que possam ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação. Os fornecedores mais relevantes e críticos, no que tange à segurança da informação, que atuam diretamente com a Korn Traduções recebem treinamento nas diretrizes estabelecidas nessa política.

POLÍTICA DE MESA LIMPA E TELA LIMPA

Todos os colaboradores, estagiários e jovens aprendizes que atuam em nome da Korn Traduções devem estar cientes e praticar as orientações e diretrizes constantes nesta política e elas devem ser respeitadas tanto em atividades dentro do escritório da Korn Traduções quanto em atividades em home office, quando pertinentes a essa modalidade.

O objetivo desta Política de Mesa Limpa e Tela Limpa é assegurar que dados e informações, tanto em formato digital quanto físico, e ativos, tangíveis ou não, não sejam deixados desprotegidos no local de trabalho durante seu uso ou quando alguém deixa seu local de trabalho, seja por um curto período, em períodos de paralisação (almoço, reuniões, etc.) ou ao final do expediente.

Os colaboradores, estagiários e jovens aprendizes devem:

  • Utilizar os ativos da Korn Traduções, em uso interno ou externo (home office ou alocação em cliente), com cuidado, visando garantir sua preservação e seu funcionamento adequado.
  • Bloquear as estações de trabalho quando se afastarem ou se ausentarem do local de trabalho para impedir acesso não autorizado.
  • Não deixar desnecessariamente sobre a mesa documentos impressos. Quando não estiverem em uso, esses devem ser armazenados em armários ou gavetas trancados, especialmente fora do horário do expediente.
  • Não deixar as chaves de armários ou de salas em locais desprotegidos ou de acesso a pessoas não autorizadas.
  • Não guardar pastas com documentos sensíveis, confidenciais, estratégicos ou com dados pessoais em locais de fácil acesso.
  • Informações sensíveis ou críticas para os negócios da Korn Traduções devem ser mantidas em local seguro (armários com chave ou, quando digitais, em pastas com acesso restrito).
  • Não anotar ou deixar informações confidenciais ou sensíveis em quadros de aviso ou em locais visíveis.
  • Não deixar anotações, recados e lembretes à mostra sobre a mesa ou colados em paredes, divisórias, murais ou teclados e monitores do computador, incluindo, mas não se limitando a: senhas de acesso ou de desbloqueio de tela, telefones, endereços de e-mail de clientes ou contatos, informações confidenciais, entre outros.
  • Destruir os documentos impressos antes de descarta-los. Sempre que possível, utilizar máquina fragmentadora ou, caso seja em grande quantidade, empresa especializada em descarte e reciclagem. Nesse último caso, sempre acompanhado de um colaborador da Korn Traduções para garantir a destruição correta das informações.
  • Não imprimir documentos apenas para sua leitura. Leia-os nas telas dos ativos de informações, preferencialmente. Busque uma cultura sem papel pois diminui o risco da segurança da informação e beneficia a natureza.
  • Caso precise imprimir, retirar imediatamente da impressora os documentos com informações pessoais, sensíveis ou confidenciais.
  • Caso utilize scanner ou equipamento para cópia de imagem, retire o documento a ser copiado imediatamente após o uso.
  • Posicionar mesas e móveis de forma que dados confidenciais e sensíveis não sejam visíveis de janelas, corredores, passagens de pessoas próximas ou que tenham visão dos ativos com dados e informações como telas e papéis sobre mesas.
  • Após o final do expediente ou em ausência prolongada, manter o espaço de trabalho limpo e organizado, documentos guardados, gavetas e armários trancados e computador ou dispositivo móvel desligado, especialmente aqueles conectados em rede/internet. Durante o uso do equipamento, encerre devidamente os aplicativos ou serviços que não estiverem em uso para o desenvolvimento de suas atuais atividades.
  • Descartar informações deixadas em salas de reunião (apagar quadros, triturar folhas ou outro recurso utilizado durante a reunião).
  • Não consumir alimentos na estação de trabalho, tanto no escritório quanto no ambiente home office evitando, a degradação e má conservação dos equipamentos e documentos. A Korn permite o uso de garrafinhas com tampa bem vedada e apenas contendo água e nenhum outro líquido (como chás, cafés, refrigerantes, sucos, etc.) em cima das mesas, mas nunca nas mesas que houver documentos. Para esses casos recomendamos que coloquem na gaveta ou na prateleira mais próxima, para evitar o derramamento de líquidos.

Os casos não previstos ou que estejam omissos nesta política deverão ser encaminhados para o departamento de TI.

POLÍTICA PARA TRANSFERÊNCIA DE INFORMAÇÕES

  • Colaboradores da Korn e partes externas que tratam ou possuem acesso aos ativos da Korn devem ser comunicados e estar conscientes e orientados dos requisitos de segurança da informação dos ativos, informações e dados pessoais relacionados.
  • Os procedimentos estabelecidos pela Korn de segurança, controle de acesso, uso de softwares e antivírus, armazenamento e término do tratamento de dados e informações devem ser seguidas por todos os envolvidos, incluindo colaboradores e fornecedores/ terceirizados, conforme aplicável.
  • Acordo de Confidencialidade de dados e informações, incluindo a privacidade dos dados, são assinados, entre partes, com colaboradores internos e fornecedores/terceirizados.

POLÍTICA PARA USO DE DISPOSITIVOS MÓVEIS

O objetivo dessa política é estabelecer padrões na utilização de dispositivos móveis para garantir a Segurança da Informação e o atendimento às legislações.

Entende-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, como notebooks, tablets e telefones celulares, de propriedade da Korn Traduções ou particulares, em caso de telefones celulares utilizados, com aprovação da alta direção, para a realização de atividades profissionais relacionadas à empresa.

  • Todos os dispositivos móveis da Korn Traduções disponibilizados devem ser cadastrados e configurados com identificação única, padrões mínimos de segurança e com um usuário responsável pelo uso.
  • Os dispositivos móveis disponibilizados devem ser utilizados única e exclusivamente pelos usuários que assumiram a responsabilidade pelo seu uso.
  • Os telefones celulares particulares autorizados para uso em atividades da Korn Traduções devem atender aos requisitos de segurança informados pelo departamento de TI.
  • Caso seja fornecido um chip de operadora de telefone celular para utilização em contatos profissionais, a identificação do chip e do responsável pelo seu uso deve ser mantida sob controle do departamento de TI.
  • Conforme a política de mesa limpa e tela limpa, o dispositivo deve ser bloqueado enquanto não estiver sendo utilizado, de forma a proteger o acesso de pessoas não autorizadas.
  • Seguindo as recomendações da Política da mesa limpa e tela limpa, os dispositivos móveis devem ser bloqueados quando não estiverem em uso de forma a proteger as informações o acesso por pessoas não autorizadas.

COMPARTILHAMENTO DE DADOS

Apenas os computadores fornecidos pela Korn Traduções devem ser utilizados pelos colaboradores, estagiários e jovens aprendizes, não sendo permitido a nenhum colaborador da empresa o acesso aos dados em computadores pessoais. Todos os dados deverão ser armazenados nas pastas adequadas do drive de rede. O departamento de TI deve verificar periodicamente todos os compartilhamentos existentes e garantir que dados considerados confidenciais ou restritos estejam com o devido controle de acesso. Na necessidade do uso de uma máquina virtual, por razão de continuidade do negócio, ela poderá ser acessada por meio de um computador pessoal, quando autorizado pela alta direção da Korn Traduções e seguindo as diretrizes do departamento de TI.

Todos na Korn Traduções devem considerar a informação como um bem da empresa, um dos recursos críticos para a realização do negócio.

Privacidade da Informação sob custódia da empresa

Define-se como necessária a proteção da privacidade das informações que estão sob custódia da Korn Traduções, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios aos quais a Korn Traduções detém total controle administrativo, físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da Korn Traduções e reafirmam o seu compromisso com a melhoria contínua desse processo:

  1. As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados;
  2. As informações são recebidas pela Korn Traduções, tratadas e armazenadas de forma segura e íntegra, com acessos restritos e manipuladas apenas pelas pessoas necessárias para prestação do serviço;
  3. As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado;
  4. As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados, além de assinatura de contrato de confidencialidade;
  5. As informações somente são fornecidas a terceiros mediante autorização prévia, por escrito, do cliente ou para o atendimento de exigência legal ou regulamentar;
  6. As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais somente são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes.

 

Criação de Acessos e Conta de e-Mail para Não Colaboradores

Não é permitida a criação de acessos e conta de e-mail para pessoas que não sejam colaboradores da Korn Traduções, exceto estagiários e jovens aprendizes.

Caso terceiros precisem de credencial de acesso lógico a sistemas ou ferramentas que dependam de e-mail para o seu correto funcionamento, o gerente do colaborador deverá justificar a necessidade e solicitar a aprovação do CGSI. Nesses casos, o acesso do terceiro deve ser restrito a correspondências relacionadas ao desempenho de suas funções dentro da empresa, em horário comercial e de acordo com as políticas da Korn Traduções.

Prestadores de serviços da Korn Traduções não devem integrar qualquer lista de distribuição e/ou pastas públicas da Korn Traduções que possam conter informações destinadas a colaboradores.

Gestão de Acessos

Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação do acesso até a sua revogação.

  1. GERENCIAMENTO DE SENHA
    • As senhas de todos os acessos deverão ser trocadas a cada 3 (três) meses.
    • Usuários novos devem trocar a sua senha no primeiro acesso.
    • As senhas de acesso à máquina, à VPN (Virtual Private Network) e ao e-mail e drive devem ter no mínimo 10 (dez) caracteres. As demais senhas devem seguir definição de cada aplicação.
    • As senhas de acesso à máquina, à VPN e ao e-mail e drive devem exigir nível de complexidade contendo números, caracteres especiais, letras maiúsculas e minúsculas. As demais senhas devem seguir essa determinação quando possível, senão seguir definição de cada aplicação.
    • O acesso à VPN deverá ser feito utilizando senha de acesso do AD (Active Directory que implementa SSO – Single Sign On – um método de ter apenas uma senha para acessar várias aplicações).
    • As novas senhas não devem coincidir com as últimas 3 (três) senhas digitadas.
    • As senhas não devem ser salvas na aplicação, devendo ser digitadas a cada acesso.

Revisões de Acessos Lógicos

O departamento de TI fará revisões periódicas dos acessos, podendo ser feita de forma conjunta com os usuários. Colaboradores, estagiários e jovens aprendizes devem informar sempre que notar qualquer anormalidade ou acesso não necessário ao seu trabalho.

  1. LIBERAÇÃO DE ACESSO
    • Deverá ser utilizada identificação única, pessoal e exclusiva para assegurar a responsabilidade de cada usuário em suas ações.
    • Disponibilizar os acessos considerando o mínimo necessário para o usuário possa executar suas funções.
    • Novos colaboradores, estagiários e jovens aprendizes recebem acesso conforme a função que irão desempenhar. Essa informação deverá ser fornecida ao TI conforme Procedimento de Recrutamento Seleção e Admissão do RH.
    • Os privilégios deverão ser autorizados pela diretoria de cada área (Diretoria Administrativa ou Diretoria Comercial e Financeira).
    • Não é permitida a utilização de usuários genéricos (não nominais), a não ser em sistemas que não possuam esta funcionalidade;
    • A liberação de acesso está formalizada nos Procedimentos Gerais de Infraestrutura e TI.
    • O controle de privilégios é feito por grupos de usuários ou função que exerça (perfil) de forma a facilitar o gerenciamento dos privilégios.
    • Senhas administrativas ou genéricas, quando liberadas, deverão ter controle específico. O departamento de TI mantém uma lista atualizada de pessoas (Colaboradores/Fornecedores) que possuem tais senhas para que seja possível realizar as demais operações de revogação e controle de mudança.
    • A liberação de acesso a fornecedores ou consultores deverá ser analisada criticamente junto aos responsáveis pela aplicação, toda aplicação deverá ter um responsável.
  2. REVOGAÇÃO DE ACESSO

A revogação de acesso pode ocorrer nas situações de desligamento de colaborador conforme fluxo de desligamento, mudança de função, encerramento de contrato com fornecedor ou solicitação.

  • TI deverá manter os registros de acessos sempre atualizados para que seja possível, no momento da revogação, conseguir realizar a exclusão ou inativação imediata dos acessos dos usuários.
  • O acesso de colaboradores, estagiários ou jovens aprendizes desligados da empresa é bloqueado seguindo o Processo de Recrutamento Seleção e Admissão do RH.

3. MUDANÇAS DE FUNÇÃO E ANÁLISE CRÍTICA DOS DIREITOS DE ACESSO

  • TI e Gestores deverão ser comunicados formalmente das mudanças de função, seguindo o Processo de Recrutamento Seleção e Admissão do RH. TI deverá analisar junto ao novo gestor os acessos e permissões.

4. SEGREGAÇÃO DE FUNÇÕES

  • Um critério de segregação de funções para liberação de permissões, baseado em “cargos/funções/operação”, deve ser considerado, de forma que o usuário (Colaborador, estagiário, jovem aprendiz, cliente, fornecedor) tenha acesso somente ao indispensável para execução de sua atividade.
  • Mudanças de privilégios devem ser autorizadas pela liderança.

5. FERRAMENTA DE ACESSO REMOTO

  • O acesso a estação de trabalho e servidores por aplicativos de assistência remota deve ser feito apenas por ferramentas autorizadas e sempre com o conhecimento de TI. As ferramentas utilizadas pela Korn Traduções e o procedimento para esses acessos estão descritos em Procedimentos Gerais de Infraestrutura e TI.
  • Os acessos e seus logs deverão ser analisados periodicamente a fim de evitar acessos indevidos.

6. REINICIALIZAÇÃO DE SENHAS

  • A reinicialização da senha e desbloqueio deverá ser realizado pelo proprietário da conta por meio de abertura de chamado realizada ferramenta de suporte de TI. No momento da reinicialização, TI deverá comunicar que a senha será desbloqueada ou reinicializada, a pedido dele, por e-mail ao proprietário a fim de garantir a integridade da operação.
  • Quando uma senha genérica ou administrativa for alterada isso deverá ser comunicado ao responsável e pessoas que a utilizam.

Prevenção de Ataques

  • SINCRONIZAÇÃO DE RELÓGIOS

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários.

  • NAVEGAÇÃO NA INTERNET

Considera-se a Internet meio essencial para busca de informações e produtividade do trabalho, portanto, seu uso em estações de trabalho está liberado sob monitoramento. Tal monitoramento deve ser capaz de:

  1. Detectar os acessos que estão sendo realizados;
  2. Detectar os arquivos baixados e enviados através da Internet;
  3. Identificar possíveis desvios de conduta ou vazamento de informação.

Devem ser seguidas as normas quanto ao uso da Internet determinadas no Código de Ética e Conduta da Korn Traduções.

Acesso à Internet em servidores deverá ser bloqueado.

  • REDES E SEGREGAÇÃO DE REDES

Considerando que a maior parte de nossos colaboradores trabalha em regime de home office, as informações e aplicações utilizadas pela Korn Traduções estão em servidores na nuvem, com proteção de Firewall implementada em software para abrangência de todos os equipamentos utilizados tanto internamente, no escritório, quanto externamente.

Não é permitido o acesso à rede Wireless principal ou cabeada por visitantes. Caso haja necessidade de conexão, deve ser disponibilizado acesso apenas a rede configurada para visitantes.

A descrição da rede está detalhada nos Procedimentos Gerais de Infraestrutura e TI.

  • ESTAÇÕES E SERVIDORES
  1. Estações de trabalho e servidores deverão ter controle de sessão inativa. O bloqueio deverá ser feito automaticamente após um período de inatividade determinado por TI.
  2. Estações de trabalho e servidores deverão possuir antivírus instalados e atualizados, e não podem ser desabilitados por usuários comuns.
  3. Estações de trabalho deverão possuir acesso por meio do AD.
  4. Acesso à porta USB deverá estar desabilitado.
  5. Informações confidenciais deverão ser armazenadas criptografadas, seguindo orientações definidas nos Procedimentos Gerais de Infraestrutura e TI. Notebooks deverão ter seu HD criptografado.
  6. Não é permitido o compartilhamento de pastas nos computadores de colaboradores da Korn Traduções. Os dados devem sempre estar no drive de rede e os que necessitam de compartilhamento entre colaboradores devem ser alocados em pastas apropriadas atentando-se às permissões de acesso aplicáveis aos referidos dados.
 
  • MIDIAS REMOVIVEIS

É proibida a utilização de mídias removíveis (como dispositivos de armazenamento USB, HD externo, etc.). Caso a utilização seja estritamente necessária para alguma atividade, o colaborador deverá justificar ao gestor responsável, que avaliará a possibilidade, junto ao departamento de TI, de liberação seguindo-se as premissas e necessidades previstas nesta Política.

  • TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES

A troca de informações com clientes ou fornecedores deve ser realizada por canais seguros.

  1. Adotar sempre a prática da criptografia nos canais de comunicação (e-mail, voip, SFTP, gerenciadores de arquivos).
  2. Não se deve transportar informações confidenciais por canais não seguros
 
  • POLÍTICA PARA O USO DE CONTROLES CRIPTOGRÁFICOS

Procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações por meio da ativação de recursos de segurança da informação e configuração de canal seguro de comunicação devem ser estabelecidos e mantidos pelo departamento de TI. Esses procedimentos devem conter regras sobre o uso efetivo e adequado de controles criptográficos na proteção da informação.

Visando a garantia da integridade e da recuperação da informação, é proibida a implantação de controles criptográficos não homologados pelo departamento de TI.

Gestão de Backups

Para garantia da integridade dos sistemas e dados, o departamento de TI é responsável pela realização de cópias de segurança (Backup), que estão definidas nesta Política e nos Procedimentos Gerais de Infraestrutura e TI, as quais garantem que:

  • As aplicações e informações lógicas devem possuir backup de dados realizados de forma periódica.
  • Os backups devem ser armazenados em locais diferentes do ambiente de produção.
  • Backups, quando trafegados ou armazenados em mídias físicas, devem ser criptografados.
  • Os backups deverão ser testados regularmente em um período máximo de 6 meses, ou testados imediatamente caso exista alguma mudança no ambiente. Os testes deverão ser documentados para auditoria.

Propriedade Intelectual

São de propriedade da Korn Traduções todos os projetos, criações, produtos e inovações levantadas e desenvolvidas internamente ou procedimentos desenvolvidos por qualquer colaborador durante o curso de seu vínculo empregatício.

Uso do correio eletrônico (e-mail)

O correio eletrônico fornecido pela Korn Traduções é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da Korn Traduções, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Os colaboradores são informados de que todos os e-mails trocados nos computadores da Korn por eles utilizados poderão ser rastreados e verificados.

É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis e inúteis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem da Korn Traduções;
  • Possam prejudicar a imagem de outras empresas;
  • Sejam incoerentes com as políticas da Korn Traduções.

Devem também ser seguidas as normas constantes no Código de Ética e Conduta da Korn Traduções.

E-mails recebidos com informações de segurança (como avisos sobre phishing, acesso ao e-mail em outro dispositivo, suspeita de vírus em arquivo, entre outros) devem ser encaminhados para TI.

Caso um e-mail seja enviado indevidamente para um destinatário, comprometendo a segurança da informação da Korn Traduções e/ou das suas partes interessadas, deve ser feita a comunicação imediata ao e-mail [email protected] para que sejam tomadas as ações necessárias.

Não é permitido o acesso de e-mails pessoais pelo computador da Korn Traduções.

O serviço de e-mail deve observar:

  • E-mails deverão ser trafegados por canal seguro.
  • A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam e controle de conteúdo.

 

Instant Messenger

É permitido o uso do Google Chat apenas pelo login da Korn Traduções;

É permitido o Skype apenas para uso organizacional;

A comunicação com clientes e fornecedores via WhatsApp deve ser feita preferencialmente pelo aplicativo instalado no computador. O uso do WhatsApp, tanto versão web quanto aplicativo, é monitorado pelo departamento de TI para acompanhar a entrada e saída de arquivos e pode ser bloqueado conforme diretrizes de segurança que estejam vigentes na Korn Traduções.

A utilização desses aplicativos no computador da Korn Traduções deve ser exclusivamente com contatos internos da Korn Traduções ou com contatos externos (clientes e fornecedores) quando tratar de assuntos relacionados à empresa.

Outros aplicativos são proibidos e, em caso de necessidade, é obrigatório contatar o CGSI.

Softwares ilegais e direito autoral

A Korn Traduções respeita os direitos autorais dos softwares, não permitindo o uso de softwares não licenciados. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário contatar o departamento de TI para qualquer tipo de instalação (mesmo que sejam softwares que precisem apenas ser copiados e executados).

Periodicamente, o departamento de TI fará inspeção nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta política. Caso sejam encontrados softwares não autorizados, estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais softwares não autorizados se responsabilizam perante a Korn Traduções por quaisquer problemas ou prejuízos causados em decorrência de tal ato.

O departamento de TI mantém as evidências da propriedade de licenças de uso de software e registros do uso adequado do número de licenças garantindo os direitos de propriedade intelectual. Este item é aplicado conforme item Inventário de Ativos desta Política Operacional de Segurança da Informação e respectivos procedimentos.

A Korn Traduções também não executa cópia de todo ou partes de livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral e sem a devida citação das referências cabíveis.

Ações disciplinares podem ocorrer na violação deste item e serão aplicadas pelo CGSI conforme o item Sanções desta Política Operacional de Segurança da Informação.

Inventário de Ativos

Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento da empresa ou informações. Os pontos críticos a serem monitorados, por exemplo, espaço para armazenamento, espaço para crescimento de banco de dados, quantidade de computadores e licenças de software.

  • Todos os softwares e hardwares da Korn Traduções devem ser inventariados e controlados pelo departamento de TI.
  • Não é permitida a instalação de nenhum software sem o consentimento do departamento de TI.
  • Não é permitido contratar e utilizar nenhum software para uso organizacional, na nuvem ou desktop, sem o consentimento do departamento de TI.
  • Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento do departamento de TI.
  • O departamento de TI deverá ter processos para detecção de softwares instalados.
  • Ativos em posse de colaboradores e fornecedores devem ser controlados. Em caso de desligamento ou encerramento de contrato, o ativo deverá ser devolvido conforme procedimento estabelecido pelo departamento de TI.
  • Softwares devem possuir gestão de suas licenças e uso controlado pelo departamento de TI.
  • O inventário deve ser atualizado, pelo departamento de TI, a cada aquisição ou descarte.

 

Descarte, destruição e reutilização de equipamentos e mídias

Todas as mídias utilizadas na operação dos processos do SGSI devem ser guardadas, reutilizadas e destruídas de forma segura e protegida, como incineração, trituração ou remoção dos dados para uso por outra aplicação. O descarte de mídias pode ser feito por meio de uma empresa especializada.

Deve-se assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou gravados com segurança:

  • A formatação de dispositivos de armazenamento para reutilização deve ser realizada através de formatação com processo seguro Wipe com o acompanhamento de um profissional da área de Segurança da Informação.
  • Dispositivos defeituosos ou não mais utilizados deverão ser destruídos, impedindo qualquer recuperação de dados.
  • Papéis confidenciais ou de uso interno deverão ser armazenados em locais seguros e não podem ser descartados sem antes terem sido picotados por uma fragmentadora, cabendo a cada responsável adotar esta prática com todos os documentos sob sua responsabilidade.

 

Papéis e Responsabilidades

É dever de todos – colaboradores, estagiários, jovens aprendizes e prestadores de serviços da Korn Traduções – cumprir com as seguintes obrigações:

Colaboradores, estagiários, aprendizes e prestadores de serviços

Define-se como necessária a classificação de toda informação que seja de propriedade da Korn Traduções ou que esteja sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado dela:

  1. Zelar continuamente pela proteção das informações da Korn Traduções ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada;
  2. Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Korn Traduções;
  3. Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos;
  4. Garantir a continuidade do processamento das informações críticas para os negócios da Korn Traduções;
  5. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;
  6. Atender às leis que regulamentam as atividades da Korn Traduções e seu mercado de atuação;
  7. Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
  8. Comunicar imediatamente ao DPO, CGSI ou Qualidade qualquer descumprimento da Política de Segurança da Informação e Privacidade e/ou dos procedimentos de Segurança da Informação;
  9. Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso dessas informações em relação a terceiros ou para uso pessoal.

 

Comitê Gestor de segurança da informação (CGSI)

O Comitê Gestor de Segurança da Informação (CGSI) é um grupo multidisciplinar que reúne representantes de diversas áreas da Korn Traduções, indicados pela Alta Direção, com o intuito de definir e apoiar estratégias necessárias à implantação e manutenção do SGSI. As reuniões do CGSI são trimestrais, para planejamento e revisão de ações, e pode haver reuniões extraordinárias, quando houver necessidade de deliberação urgente.

Compete ao CGSI:

Propor ajustes, aprimoramentos e modificações na estrutura normativa do SGSI, submetendo à aprovação da Alta Direção;

  1. Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Alta Direção;
  2. Requisitar informações das demais áreas da Korn Traduções, por meio das diretorias e gestores, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação;
  3. Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação;
  4. Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como de não conformidades com a política, as normas ou os procedimentos de segurança da informação;
  5. Notificar aos gestores e diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação;
  6. Receber sugestões para implantação de normas e procedimentos de segurança da informação;
  7. Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;
  8. Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da informação;
  9. Manter a gestão dos ativos da informação;
  10. Gerir a continuidade dos negócios, demandando junto às diversas áreas da Korn Traduções Planos de Continuidade dos Negócios, validando-os periodicamente. O Plano de Continuidade de Negócios deve ser definido, implementado e testado a fim de garantir a disponibilidade dos sistemas de informações;
  11. Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação;
  12. Adotar mecanismos automatizados, sempre que possível, para gerenciamento, prevenção e detecção de eventos de segurança;
  13. Implementar mecanismos para proteção da segurança física e ambiental a fim de prevenir danos e acessos não autorizados à informação;
  14. Decidir sobre os processos de autenticação e controle de acesso seguro adotados para os sistemas de informações;
  15. Deliberar sobre o uso de ferramentas de proteção contra softwares maliciosos, vírus, spam, phishing scan e outros dispositivos que possam ameaçar os sistemas de informação da empresa.

Diretores e Gestores

Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da Korn Traduções ou de um cliente.

Gerentes e diretores podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo deles a responsabilidade final pela sua proteção.

Compete a este papel:

  1. Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade e, na identificação de possíveis problemas e ou ameaças, verificar possíveis causas e iniciar procedimento de tomada de ação corretiva, quando necessário.
  2. Cumprir e fazer cumprir a política, as normas e os procedimentos de segurança da informação e privacidade;
  3. Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade;
  4. Sugerir ao CGSI, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas;
  5. Acompanhar a ação corretiva até sua conclusão e analisar criticamente as ações corretivas executadas, para verificar sua eficácia e identificar possíveis ajustes necessários.
  6. Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação;

Comunicar imediatamente ao CGSI eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade e de possíveis ações corretivas que requeiram o envolvimento do CSGI.

Alta Direção

A Alta Direção da Korn Traduções está comprometida com o sistema de gestão de segurança da informação e privacidade devendo:

  1. Estabelecer as responsabilidades e atribuições do Comitê Gestor de Segurança da Informação;
  2. Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos de forma compatível com a orientação estratégica da Korn Traduções;
  3. Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da Korn Traduções;
  4. Providenciar para que os recursos necessários para o sistema de gestão de segurança da informação estejam disponíveis;
  5. Comunicar a importância da gestão eficaz da segurança da informação e do cumprimento dos requisitos do sistema de gestão da segurança da informação e privacidade;
  6. Certificar que o sistema de gestão de segurança da informação alcance seus resultados pretendidos;
  7. Coordenar e incentivar as pessoas a contribuírem com a eficácia do sistema de gestão da segurança da informação e privacidade;
  8. Promover a melhoria contínua deste SGSI; e
  9. Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade.
  10. Analisar criticamente, juntamente com o Comitê Gestor de Segurança da Informação (CGSI) os registros e resultados das auditorias realizadas na Korn Traduções, incluindo o status de suas ações corretivas, listadas abaixo.

A análise deve ser realizada logo após a realização das respectivas auditorias e devem ser feitos registros adequados destas análises realizadas, bem como de ações de correção e melhoria definidas nas análises.

  • Auditoria do Sistema de Informação conforme processo Controles de auditoria de sistemas de informação.
  • Auditoria interna do SGQ e SGSI: Já descrito nesta Política, no item Auditoria Interna e na operacionalização do processo Auditoria Interna, apresentado no Portal de Processos.
  • Auditoria de certificação ou de manutenção da certificação do SGQ e SGSI por OCC – Organismo de Certificação Credenciado.
  1. Requerer a área da Qualidade o planejamento das auditorias conforme periodicidades abaixo:
  • Auditoria do Sistema de Informação: anual.
  • Auditoria interna: anual.
  • Auditoria de certificação ou de manutenção da certificação: conforme plano de auditoria acordado com OCC.

Área de Recursos Humanos

  • Cabe, adicionalmente, à Área de Recursos Humanos:
  1. Assegurar-se de que os colaboradores, estagiários, jovens aprendizes comprovem, por escrito, estar cientes da estrutura normativa do SGSI e dos documentos que a compõem;
  2. Para os novos colaboradores, estagiários e jovens aprendizes, deve ser aplicado o treinamento em segurança da informação no início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante esse período;
  3. Ter planos de reciclagem das normas internas da Korn Traduções;
  4. Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da Korn Traduções.

Área de Qualidade

Cabe à área de Qualidade:

  1. Consolidar e coordenar a implantação, execução, monitoramento e melhoria do SGSI;
  2. Convocar, coordenar e prover apoio às reuniões do CGSI;
  3. Prover, quando solicitado pelo CGSI, as informações de gestão de segurança da informação que estejam sendo tratadas conjuntamente com os processos do SGQ;
  4. Coordenar as reuniões de análise crítica do SGSI e acompanhar os planos de ação resultantes delas;
  5. Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação;
  6. Efetuar auditorias e inspeções de conformidade periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua;
  7. Desenvolver junto a área de Gestão de Pessoas um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação;
  8. Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação e a necessidade de seguir a Política, as Normas e os Procedimentos referentes ao Sistema de Gestão de Segurança da Informação (SGSI);
  9. Estabelecer junto a Alta Direção normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento desse objetivo.

MELHORIA CONTÍNUA

  • Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes.
  • Deve-se considerar a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação e privacidade.

 

AUDITORIA INTERNA

Todo ativo de informação sob responsabilidade da Korn Traduções é passível de auditoria em data e horários determinados pelo CGSI. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Alta Direção e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da Korn Traduções ou de seus clientes de forma que se misturem ou impeçam o acesso às informações de propriedade ou sob responsabilidade da Korn Traduções.

Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, o departamento de TI poderá realizar monitoramento e controle proativos, mantendo a confidencialidade do processo e das informações obtidas.

Em ambos os casos, as informações obtidas poderão servir como indício ou evidência em processo administrativo e/ou legal.

As auditorias internas são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.

As auditorias internas devem ser realizadas a cada um ano, por auditores internos ou externos, capacitados e treinados, com conhecimento na norma ISO 27001 e da LGPD. Deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos.

As auditorias externas devem ser realizadas para manter a validade das certificações definidas.

Ação Corretiva

Quando forem identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas elas devem ser registradas para análise e tratamento.

Toda não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácia das ações, conforme o processo de Não Conformidade da Qualidade.

Contato com Autoridades

Os contatos com autoridades estão consolidados no Plano de Comunicações da Korn Traduções.

A gestão dos contatos com autoridades é da responsabilidade da Gestão de Pessoas que deve consolidar, comunicar e divulgar em repositório conhecido e acessível da Korn Traduções a lista dos contatos atualizados periodicamente.

Análise Crítica do SGSI

A Korn Traduções deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Tal análise deve ter a participação direta da Alta Direção e deve considerar:

  1. O resultado das ações de análises críticas anteriores do SGSI;
  2. Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação;
  3. Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados de auditorias internas ou externas do SGSI; e

4) cumprimento dos objetivos da segurança da informação;

  1. d) Comentários das partes interessadas;
  2. e) Os resultados da avaliação de risco e a situação do plano de tratamento do risco;
  3. f) Oportunidades para a melhoria contínua;
  4. g) Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros).

As saídas das análises críticas devem incluir decisões relacionadas a oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

A Korn Traduções deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.

Análise Crítica de Conformidade Técnica

A Korn Traduções efetua a verificação e análise crítica de conformidade técnica considerando:

  1. Realização da Auditoria do Sistema de Informação seguindo checklist definido no processo Controles de auditoria de sistemas de informação, que seja realizada por pessoa capacitada em TI, interna ou externa à Korn Traduções, como um profissional de sistemas experiente, considerando:
    • Que seja feito por profissional independente à área de TI e diferente do profissional que já realizou o processo Controles de auditoria de sistemas de informação internamente;
    • Periodicidade de execução no mínimo anualmente;
    • O checklist deve ser totalmente preenchido em todos seus requisitos de verificação e que o profissional, com base em sua experiência e inclua outros itens de verificação conforme apropriado;
    • Que os registros definidos no checklist e outros que o profissional definiu, sejam devidamente documentados e mantidos em locais apropriados.
  2. Se aplicável e viável tecnicamente, devido a possíveis riscos mapeados e levantados sobre os ativos do sistema de segurança da informação, conforme processo Riscos para o Sistema de Gestão da Segurança da Informação (SGSI) executar teste de invasão ou avaliações de vulnerabilidades, considerando:
    • Seja feito quando na análise de riscos realmente requerer, pela sua criticidade, a necessidade de execução teste de invasão ou avaliações de vulnerabilidades (como por exemplo pentest; penetration test, teste de intrusão, testes de invasão e avaliações de vulnerabilidades)
    • Feito por empresas ou profissionais com capacitação comprovada e com procedimentos claramente definidos para sua realização
    • Para o acontecimento do pentest, será necessária uma autorização, contendo o escopo da realização. É proibida a execução de pentest sem a devida autorização, conforme previsto em lei, e fora do escopo definido previamente.
    • Que os registros dos testes de invasão ou avaliações de vulnerabilidades que forem executados, sejam devidamente documentados, entregues pelo profissional executante e mantidos em locais apropriados. E caso sejam encontradas vulnerabilidades, as recomendações para solucioná-las deverão ser incluídas no relatório final.

Denúncias

Qualquer descumprimento desta Política ou ainda suspeitas ou evidências devem ser reportadas à Korn Traduções por meio do e-mail [email protected] ou por correspondência para:

A/C DPO

Classificação: SIGILOSA

Endereço: Av. Nove de Julho, 3384 – conj. 64/65 – Jardim Paulista, São Paulo – SP, 01406-000

Violações e Sanções

Violações

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não sendo esta uma lista exaustiva:

  1. Quaisquer ações ou situações que possam expor a Korn Traduções ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;
  2. Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa da Alta Direção;
  3. Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Korn Traduções ou de seus clientes;
  4. Descumprir alguns dos itens estabelecidos nesta política de segurança;
  5. A não comunicação imediata à diretoria ou DPO de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação que porventura um colaborador, estagiário, jovem aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

Sanções

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da Korn Traduções são consideradas faltas graves, podendo ser aplicadas as sanções constantes no Código de Ética e Conduta da Korn Traduções: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Podem ainda ocorrer sanções definidas pelo CGSI sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

Política de Segurança da Informação para Fornecedores

  1. Objetivos

O objetivo principal deste documento é definir as práticas e compromissos de todos os fornecedores que possuem relação com os ativos de informação da Korn Traduções, bem como conscientizar os fornecedores sobre o correto uso dos recursos disponibilizados.

Este documento também contempla a definição de responsabilidade sobre as ações de fornecedores e ações disciplinares relacionadas.

1.1 Autores    

A Política de Segurança da Informação para Fornecedores da Korn Traduções, bem como a sua revisão e manutenção, é de responsabilidade do Comitê Gestor de Segurança da Informação (CGSI).

Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhorias podem ser encaminhadas para os membros do Comitê Gestor de Segurança da Informação (CGSI) no seguinte e-mail: [email protected].

1.2 Divulgação e Distribuição

Esta política de segurança da informação para fornecedores deve ser parte integrante do contrato de prestação de serviço de todos os fornecedores de Tecnologia de Informação da Korn Traduções.

No ato da assinatura do contrato de prestação de serviço o fornecedor assume total conhecimento e concordância com as diretrizes definidas neste documento.

1.3 Versão e Revisão

Esta Política bem como suas Diretrizes e Responsabilidades Gerais dos Fornecedores podem ser revisadas, e uma nova versão deve ser elaborada, homologada, divulgada e distribuída nos seguintes casos:

  • Alteração significativa em um ativo de informação coberto por esta política;
  • Criação de novos ativos de informação relevantes a esta política;
  1. Diretrizes e Responsabilidades Gerais dos Fornecedores

Todos os fornecedores estão cientes de suas responsabilidades relativas à segurança da informação alinhadas a LGPD e se comprometem a respeitar a esta Política, bem como os documentos abaixo, firmando assim o comprometimento sobre as informações e diretrizes da Korn Traduções:

  • Acordo de Confidencialidade para Cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD;
  • Política de privacidade (disponível em: https://korntraducoes.com.br/politica-de-privacidade/)
  • Política Operacional de Segurança da Informação, aplicável apenas aos fornecedores de TI.
  1. REGRAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO PARA FORNECEDORES

Os itens abaixo descrevem as diretrizes de segurança relacionadas com os fornecedores da Korn Traduções.

3.1 Propriedade Intelectual

  • O fornecedor é responsável por garantir a conformidade legal de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço;
  • O fornecedor é responsável pela propriedade intelectual do conteúdo dos equipamentos que trouxer para as dependências da Korn Traduções;
  • O fornecedor é responsável por garantir que os softwares por ele instalados não ferem qualquer tipo de lei de direitos autorais.

3.2 Acesso à Internet no ambiente da Korn Traduções

  • A Korn Traduções se reserva o direito de monitorar o acesso à Internet do fornecedor para garantir o uso adequado;
  • A Korn Traduções se reserva o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;
  • O acesso à Internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento da prestação de serviço para a Korn Traduções.

3.3 Computação Móvel

  • O fornecedor se compromete inteiramente pela segurança dos dados de seus equipamentos nas dependências da Korn Traduções;
  • O fornecedor é responsável por garantir que os equipamentos ou mídias que utiliza estão com todos os softwares atualizados, legalizados, com antivírus e livres de qualquer tipo de software que possa prejudicar os ativos de sistemas da Korn Traduções.

3.4 E-mails

  • A qualquer tempo e de qualquer local o fornecedor não deve encaminhar e-mails para colaboradores da Korn Traduções cujo conteúdo não tenha relação com o trabalho.

3.5 Manuseio Lógico das Informações

  • O fornecedor se compromete a tratar apenas as informações recebidas da Korn Traduções que tenham relação direta com seu serviço conforme descrito no contrato de prestação de serviço;
  • O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da Korn Traduções que lhe forem concedidas;
  • A divulgação interna das informações da Korn Traduções dentro da empresa do fornecedor deve ser formalmente informada e alinhada entre as partes;
  • O fornecedor se compromete a não transmitir informações da Korn Traduções por canais de comunicação não seguros, tais como redes sociais, WhatsApp, etc., que possam ocasionar vazamento destas informações;
  • O fornecedor se compromete com o descarte adequado e seguro das informações da Korn Traduções ao final do serviço ou quando elas não forem mais utilizadas (o que ocorrer primeiro);
  • A Korn Traduções se reserva no direito de realizar auditorias de segurança da informação, previamente comunicadas, em seus fornecedores.

3.6 Armazenamento Lógico das Informações

  • O armazenamento de informações da Korn Traduções pelo fornecedor deve ser realizado de modo seguro, ou seja, com controle de acesso restrito do fornecedor;
  • É proibido o armazenamento de dados de propriedade da Korn Traduções em mídias removíveis.
  • O fornecedor também se compromete com a garantia de que as informações da Korn Traduções não serão adulteradas durante o armazenamento de mídias sob sua responsabilidade.

3.7 Acesso aos Sistemas ou equipamentos da Korn (Local ou remoto)

  • O fornecedor somente poderá acessar os sistemas ou equipamentos da Korn Traduções para suporte ou manutenção, quando aplicável ao escopo do serviço, e nesses casos o acesso só será permitido após a comunicação formal;
  • Os acessos remotos de todos os fornecedores, quando aplicável ao escopo do serviço, devem ser realizados por meio seguro (VPN/ senhas controladas de acesso/ acesso controlado e monitorado/acessos privado ou particular).

 

3.8 Uso de Senhas, aplicável a fornecedores de TI.

  • O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da Korn Traduções em nenhum caso;
  • Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para as atividades relacionadas conforme definido e autorizado pela equipe de TI da Korn.
  • A Korn Traduções é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato ou projeto, este deve solicitar obrigatoriamente a sua desativação imediata;
  • O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente a Korn Traduções a sua perda ou vazamento.

3.9 Colaboradores do Fornecedor

  • O fornecedor é responsável por comunicar imediatamente a Korn Traduções o desligamento de seus colaboradores, quando estes estejam prestando algum serviço ou possuam credenciais de acesso aos sistemas da Korn Traduções;
  • O fornecedor deve comunicar imediatamente qualquer mudança na lista de seus colaboradores autorizados a prestar o serviço à Korn Traduções;
  • Todos os colaboradores do fornecedor que prestam serviço à Korn Traduções assumem total conhecimento e concordância com o conteúdo deste documento, bem como aos documentos descritos no item 2 acima.

 

3.10 Segurança Física

  • O fornecedor é responsável pela devolução à Korn Traduções ou pelo descarte adequado das informações quando estas não forem mais necessárias ou ao final de seu serviço;
  • O fornecedor se compromete a acessar as dependências físicas da Korn Traduções somente quando devidamente autorizado e acompanhado por um colaborador da Korn;
  • O fornecedor só poderá acessar o ambiente físico da Korn após aprovação da equipe de TI da Korn e o mesmo deve ser acompanhado por um funcionário da Korn na realização da atividade.
  • Para a retirada de equipamentos da Korn Traduções, por qualquer motivo, o fornecedor deverá preencher o Termo de Entrega e Manutenção elaborado pela equipe de TI da Korn.
  1. Incidentes e Medidas Disciplinares

Qualquer violação das diretrizes constantes nesta política constitui incidentes de segurança da informação e será devidamente registrado e analisado pelo Comitê Gestor de Segurança da Informação (CGSI) da Korn Traduções.

Após análise deste comitê, serão deliberadas medidas disciplinares ao fornecedor, que, respeitando a legislação vigente, podem incluir:

  • Advertência formal ou informal;
  • Cancelamento do contrato de prestação de serviço;
  • Ações judiciais ou abertura de boletim de ocorrência.

Este site usa cookies para garantir que você obtenha a melhor experiência em nosso site.