Políticas de segurança da informação

A Intellischool trata a segurança da informação com seriedade. Esta política descreve os processos internos que usamos para garantir que os dados de nossos clientes permaneçam seguros.

Esta política define os requisitos de segurança da informação de alto nível da Intellischool com base no padrão ISO 27001: 2013, nossa própria estrutura interna de segurança cibernética e outras práticas recomendadas do setor, permitindo que a Intellischool minimize o risco de segurança da informação e responda com eficiência a incidentes.

Além disso, esta política alinha os controles e governança de segurança da informação da Intellischool com os requisitos legais e outros requisitos de conformidade.

Escopo

Esta Política se aplica a todos os funcionários da Intellischool, contratados e provedores de serviços terceirizados que realizam quaisquer atividades que envolvam a criação, acesso, uso, armazenamento, processamento ou transferência de informações mantidas pela Intellischool.

Esta Política se aplica a todos os ativos de informação que são de propriedade e / ou operados pela Intellischool e / ou registrados em qualquer domínio do Sistema de Nomes de Domínio (DNS) de propriedade da Intellischool e quaisquer dispositivos conectados à infraestrutura de rede da Intellischool, independentemente de serem de propriedade ou operado pela Intellischool.

Esta Política também cobre quaisquer ativos de informação terceirizados ou hospedados em provedores de serviços externos / terceirizados, se esse ativo residir em um domínio de propriedade da Intellischool ou parecer ser de propriedade ou operado pela Intellischool.

Definições

  • Risco de segurança da informação - riscos de segurança cibernéticos e relacionados ao sistema de informação são aqueles riscos que surgem através da perda de confidencialidade, integridade ou disponibilidade de ativos de informação e consideram os impactos para a organização (missão, funções, imagem ou reputação), indivíduos, outros organizações, o Estado e a Nação.
  • Risco de negócios de TI - Risco de negócios associado à adoção e uso de tecnologia. Isso inclui riscos cibernéticos e de segurança da informação.
  • Informações de Ativos - qualquer informação que seja valiosa para a organização. Este termo também inclui a infraestrutura de suporte subjacente, como processos de negócios, hardware, redes, armazenamento, aplicativos, provedores de terceiros e armazenamento, entre outros.
  • Segurança da informação - A proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de fornecer confidencialidade, integridade e disponibilidade.
  • Transferência de informações - qualquer atividade que envolva a transferência de dados de um aplicativo, sistema ou terminal para outro. As transferências de informações são consideradas, mas não se limitam a e-mail, transferências de arquivos e tráfego da web.
  • Informações de autenticação / credenciais - qualquer forma de autenticação usada para validar a identidade de um indivíduo. As informações de autenticação comuns são: senhas, chaves privadas, tíquetes, tokens, etc.
  • Conta - as contas fornecem uma maneira de identificar e autenticar indivíduos em um sistema.
  • Contas genéricas - contas que identificam uma função ou um grupo de pessoas.
  • Material chave - Os dados (por exemplo, chaves e IVs) necessários para estabelecer e manter relacionamentos de chave criptográfica. Em outras palavras, chaves secretas de formato, comprimento e quantidade (não especificado).
  • Infraestrutura de gerenciamento de chaves ou sistema de gerenciamento de chaves criptográficas - Todas as partes - hardware, firmware, software e outros equipamentos e sua documentação; instalações que hospedam o equipamento e funções relacionadas; e padrões, políticas, procedimentos e doutrina complementares que formam o sistema que gerencia e apóia o pedido e a entrega de material criptográfico e produtos e serviços de informação relacionados aos usuários.
  • SOE / MOE - (Standard Operating Environment or Managed Operating Environment) Ambiente Operacional Padrão ou Ambiente Operacional Gerenciado é uma implementação padrão de um sistema operacional e seu software associado.
  • Plano de Continuidade de Negócios - o BCP prepara o Intellischool para interrupções de negócios planejadas e não planejadas para que, em caso de interrupção, a Intellischool possa passar rapidamente de ‘Preparação’ para ‘Resposta’ a fim de manter as atividades de negócios centrais e proteger os interesses da Intellischool.
  • Plano de Recuperação de Desastres - DRP (Disaster Recovery Plan) refere-se aos processos, políticas e procedimentos relativos à preparação para a recuperação ou continuação de funções e serviços críticos após uma falha do sistema, provocada por humanos ou desastre natural.
  • Vulnerabilidade - Uma falha nos procedimentos de segurança, software, controles internos do sistema ou implementação de um SI que pode afetar a integridade, confidencialidade, responsabilidade e / ou disponibilidade de dados ou serviços. As vulnerabilidades incluem falhas que podem ser exploradas deliberadamente e aquelas que podem causar falhas devido a ações humanas inadvertidas ou desastres naturais.

Governança de Segurança da Informação

  • Uma governança de segurança de informação adequada será alcançada para garantir que os ativos de informação sejam protegidos adequadamente com base em sua classificação e sensibilidade; os riscos são gerenciados; conformidade com requisitos regulamentares, legislativos e contratuais são alcançados; e os objetivos estratégicos do negócio são alcançados.
  • Um comitê consultivo digital (DAC) ou equivalente será estabelecido como o órgão de governança responsável por garantir que a governança de segurança da informação adequada seja estabelecida, mantida, monitorada, aprimorada e atingir seus objetivos.
  • Uma abordagem de risco de negócios em relação ao risco de segurança da informação será adotada. A Intellischool deve definir uma estrutura de gerenciamento de risco de segurança da informação apropriada para garantir que os riscos sejam devidamente identificados, analisados, avaliados, rastreados, gerenciados e relatados.
  • Os recursos de segurança da informação, como gerenciamento de riscos e gerenciamento de políticas, não serão terceirizados.

Segurança de Recursos Humanos

  • Processos de recursos humanos adequados (por exemplo, recrutamento, integração, desligamento e disciplinar) serão estabelecidos para reduzir o risco de ameaças internas e divulgação não autorizada de informações.
  • Funcionários, contratados ou provedores de serviços terceirizados que buscam acesso a ativos de informações de propriedade ou propriedade da Intellischool terão verificações de antecedentes realizadas de acordo com as políticas e procedimentos da Intellischool, leis, regulamentos e ética relevantes antes de receberem acesso.
  • Funcionários, contratados e provedores de serviços terceirizados que acessam ou usam os ativos de informações da Intellischool estarão sujeitos a atividades de conscientização e educação, incluindo tópicos como políticas, responsabilidades, consequências de não conformidade, ameaças de segurança potenciais e como evitá-las.
  • A administração exigirá que funcionários, contratados e prestadores de serviços terceirizados apliquem a segurança da informação de acordo com esta Política e que apoiem os Padrões de Segurança de TI.
  • Os acordos de trabalho e contratos relativos à segurança da informação com funcionários, contratados e fornecedores terceirizados persistirão durante e após o emprego.

Segurança de Gerênciamento de Ativos

  • Os ativos de informação serão usados ​​e protegidos adequadamente com base nas informações que armazenam, processam ou transmitem.
  • Todos os ativos de informação serão identificados, classificados, rotulados e registrados em um inventário centralizado; estar sujeito a revisões periódicas para confirmação de sua existência, adequação dos controles implementados e classificações definidas.
  • Os ativos de informações serão removidos, transferidos, higienizados, destruídos e descartados com segurança com base em sua classificação e procedimentos estabelecidos. Todos os funcionários, contratados e provedores de serviços terceirizados devolverão os ativos da Intellischool em sua posse após o término de seu emprego, contrato ou acordo.
  • Os ativos de informação nunca serão armazenados em dispositivos locais, como laptops, tablets, computadores desktop ou smartphones. Ativos de informação somente serão acessados, consultados e manipulados usando o ambiente virtual baseado em nuvem seguro da Intellischool.
  • O uso de mídia removível não é permitido em nenhuma circunstância.
  • Todas as comunicações comerciais da Intellischool enviadas por e-mail serão enviadas e recebidas usando o endereço de e-mail de uma empresa da Intellischool.

Segurança de Controle de Acesso

  • Processos adequados para provisionar, modificar, revogar e revalidar contas de usuários serão estabelecidos a fim de reduzir o risco de acesso não autorizado aos ativos de informação.
  • O acesso aos ativos de informação será autenticado com base em uma necessidade do negócio (princípio de necessidade de saber) e alocado aos privilégios mínimos exigidos (princípio de privilégio mínimo).
  • Funcionários, contratados e provedores de serviços terceirizados que acessam ativos de informação mantidos ou de propriedade da Intellischool serão identificados exclusivamente.
  • O uso de contas de usuário genéricas não é permitido em nenhuma circunstância.
  • O uso não autorizado de contas de usuário será evitado protegendo as credenciais de autenticação e implementando controles técnicos.
  • As credenciais de autenticação não serão compartilhadas.
  • Todas as atividades de identificação, autenticação e autorização da conta do usuário serão registradas e monitoradas.
  • O acesso temporário aos ativos de informação mantidos ou de propriedade da Intellischool somente será concedido em circunstâncias excepcionais e será restrito e supervisionado.

Segurança de Criptografia

  • O material de codificação será gerenciado e protegido de forma adequada.
  • O material de codificação suspeito de estar comprometido será:
    1. Comunicado imediatamente aos Co-Fundadores.
    2. Revogado imediatamente quando houver suspeita de comprometimento.
  • Um sistema de gerenciamento de chaves criptográficas foi implementado e é gerenciado sob a autoridade dos cofundadores.
  • Uma lista de algoritmos criptográficos aprovados (ACA) e protocolos criptográficos aprovados (ACP) para uso na Intellischool foi estabelecida e está disponível para acesso de funcionários, contratados e terceiros relevantes.

Segurança Física e ambiental

  • Os ativos de informação mantidos e de propriedade da Intellischool são hospedados inteiramente por provedores de serviços em nuvem da Intellischool e não podem ser acessados fisicamente. Os provedores de serviços em nuvem da Intellischool impõem limitações rígidas de acesso físico aos equipamentos em seus data centers.

  • Os ativos de informação serão protegidos para reduzir os riscos de ameaças e perigos ambientais e as oportunidades de acesso não autorizado.

  • Os recursos de processamento e comunicação de informações que hospedam ativos de informação mantidos e de propriedade da Intellischool serão adequadamente protegidos e projetados contra desastres naturais causados pelo homem e ataques maliciosos.

Segurança de Operações

  • As mudanças nos ativos de informações de produção serão controladas por meio de um processo formal de gerenciamento de mudanças e transição.
  • Os recursos de ativos de informações serão monitorados, ajustados e serão feitas projeções de requisitos de capacidade futuros para garantir que o desempenho atual e futuro seja alcançado.
  • Ferramentas e procedimentos que cobrem a detecção de potenciais incidentes de segurança cibernética serão estabelecidos, implementados e mantidos.
  • Os backups de informações serão realizados em ativos de informações aplicáveis, com base em sua classificação e disponibilidade de negócios e requisitos de integridade.
  • Os eventos de ativos de informação serão registrados, retidos, arquivados, protegidos e correlacionados para detectar, investigar e responder a incidentes de segurança. As configurações de registro e auditoria serão definidas e implementadas levando em consideração os requisitos regulamentares e as melhores práticas.
  • Os Ambientes Operacionais Gerenciados (MOEs - Managed Operating Environments) serão definidos, projetados e implementados de forma que uma abordagem comum, consistente e segura seja obtida. Todos os MOEs evitarão alterações não autorizadas de instalação e configuração de software.
  • MOEs e aplicativos serão configurados de forma a reduzir o risco de ataques cibernéticos.
    A confidencialidade, integridade e disponibilidade dos sistemas de banco de dados e seu conteúdo serão mantidas com base em sua classificação.
  • As informações sobre vulnerabilidades técnicas aplicáveis ​​aos ativos de informação mantidos e proprietários da Intellischool serão obtidas em tempo hábil, avaliadas e gerenciadas para reduzir o risco de ataques cibernéticos.
  • Requisitos de auditoria e atividades envolvendo a verificação de sistemas operacionais serão cuidadosamente planejados e acordados para minimizar interrupções nos processos de negócios.

Segurança de Comunicação

  • As redes serão projetadas, configuradas e operadas de maneira segura para evitar ataques cibernéticos e minimizar interrupções.
  • Controles de segurança apropriados serão implementados a fim de minimizar o acesso não autorizado e os efeitos das interrupções na rede e nos serviços online. Uma abordagem de defesa em profundidade será considerada através da implementação de várias camadas de controles.
  • A estratégia de detecção e prevenção de intrusão será desenvolvida, implementada e mantida para que o Intellischool detecte incidentes de forma eficiente e responda a ataques cibernéticos.
  • As transferências de ativos de informações serão protegidas em repouso e em trânsito com base em sua classificação. Devem ser estabelecidos acordos de transferência e não divulgação entre Proprietários de Negócios e as organizações de envio ou recebimento.
  • Os ativos de informação serão configurados de forma a reduzir o risco de ataques cibernéticos.
  • O tráfego de rede, incluindo dados importados ou exportados de um ativo de informações mantido ou de propriedade da Intellischool, será monitorado quanto a conteúdo malicioso e violações da política.
  • Dispositivos móveis e tecnologias de comunicação serão controlados, protegidos e monitorados.

Aquisição de sistema, desenvolvimento e segurança de manutenção

  • Os requisitos de segurança da informação serão incluídos em projetos de entrega de novos ativos de informação ou melhorias nos ativos de informação existentes.
  • Os desenvolvedores de software adotarão práticas e princípios de programação seguros ao desenvolver software.
  • Ambientes de desenvolvimento serão estabelecidos e protegidos. Os ambientes de produção serão separados lógica ou fisicamente dos de desenvolvimento.
  • Novos sistemas de informação, atualizações e novas versões estarão sujeitos a atividades de teste, incluindo testes de segurança, antes de serem implementados na produção.
  • As informações em ambientes de produção, incluindo dados de produção anônimos, não serão usadas em ambientes de teste ou desenvolvimento, a menos que os ambientes de teste ou desenvolvimento sejam protegidos no mesmo nível do ambiente de produção. O uso de informações de produção para fins de teste ou desenvolvimento será aprovado e o risco aceito.

Segurança de relacionamento com fornecedores

  • Os prestadores de serviços terceirizados serão adquiridos de acordo com as políticas e procedimentos de aquisição da Intellischool.
  • Os ativos de informação mantidos ou de propriedade da Intellischool não serão armazenados, processados ou transferidos para fora da jurisdição na qual o proprietário da informação é residente.
  • Os provedores de serviços terceirizados que acessam, armazenam, transmitem ou processam ativos de informações mantidos ou de propriedade da Intellischool estarão sujeitos a uma auditoria completa de segurança de informações antes de entrar em uma obrigação contratual.
  • Os controles associados à proteção dos ativos de informação confiados a um provedor de serviços terceirizado, bem como outros requisitos, serão documentados em cláusulas contratuais, um memorando de entendimento ou acordo formal equivalente entre as partes.
  • Os relacionamentos com prestadores de serviços terceirizados serão gerenciados de forma adequada.
  • Os prestadores de serviços terceirizados serão reavaliados periodicamente para fins de conformidade, alterações e monitoramento de risco.

Gestão de incidentes de segurança da informação

  • Um plano de resposta a incidentes (IRP) será estabelecido e testado periodicamente. O IRP considerará incidentes comuns de segurança cibernética para garantir uma resposta eficiente e ordenada aos ataques cibernéticos.
  • Todos os incidentes cibernéticos e de segurança da informação, como divulgação não autorizada, acesso ou exclusão / destruição de ativos de informação (incluindo aplicativos ou credenciais de rede), serão relatados aos cofundadores da Intellischool.

Continuidade de negócios e resiliência

  • Um plano de recuperação de desastre (DRP - disaster recovery plan) será estabelecido e testado periodicamente para garantir que os serviços essenciais possam ser restaurados durante uma grande interrupção estendida que afete as instalações de processamento primário da Intellischool ou outras instalações de provedores de serviços.
  • Os requisitos de disponibilidade serão estabelecidos e acordados para os principais serviços e implementar os controles necessários para garantir que esses requisitos sejam atendidos.

Compliance

  • A conformidade com as políticas estabelecidas e os requisitos legais e regulamentares aplicáveis será monitorada e alcançada de forma proativa. Isso inclui direitos de propriedade intelectual, proteção de registros, licenças de software, privacidade e controles criptográficos.
  • As atividades de monitoramento de conformidade serão aprimoradas com análises independentes e processos automatizados.
  • Não conformidades com a Política serão identificadas, analisadas, avaliadas, rastreadas, gerenciadas e relatadas.
  • A violação desta Política pode resultar na retirada do acesso ao e-mail e redes do Intellischool, bem como possível ação disciplinar sob o acordo ou contrato de trabalho apropriado.
  • Quaisquer violações reais ou suspeitas desta Política devem ser relatadas imediatamente aos Co-Fundadores.
  • O cumprimento desta política é obrigatório em todas as circunstâncias.