POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI

EMPRESA: KEYCONSULTAS SISTEMAS DE INFORMAÇÃO LTDA

Versão do documento: 1.2

Data de revisão/aprovação: 20/02/2026

Classificação do documento: Público

1. OBJETIVO

Esta Política de Segurança da Informação (PSI) estabelece as diretrizes para proteção dos ativos de informação da KEYCONSULTAS SISTEMAS DE INFORMAÇÃO LTDA, empresa atuante na prestação de serviços de tecnologia da informação.

A política tem como objetivo garantir a confidencialidade, integridade, disponibilidade e conformidade legal das informações tratadas pela empresa internamente, e no escopo de seus serviços prestados a clientes corporativos, especialmente quando nos serviços prestados houver tratamento de dados pessoais submetidos às disposições da LGPD.

2. ABRANGÊNCIA DA PSI

Esta política se aplica a:

  • Sócios e administradores;

  • Empregados e colaboradores;

  • Prestadores de serviço e terceiros;

  • Parceiros comerciais em CONTRATOS de serviços;

  • Todos os ativos de informação, incluindo dados digitais, físicos, sistemas, redes, dispositivos e ambientes em nuvem utilizados pela empresa.

Aplica-se tanto a informações próprias da empresa quanto àquelas tratadas em nome de clientes.

3. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO ADOTADOS

A segurança da informação na empresa é orientada pelos seguintes princípios:

  • Confidencialidade: acesso restrito às pessoas autorizadas;

  • Integridade: preservação da exatidão e completude das informações;

  • Disponibilidade: acesso às informações sempre que necessário;

  • Responsabilização e Prestação de Contas (Accountability): demonstração da adoção de medidas eficazes de proteção de dados;

  • Conformidade Legal: atendimento à LGPD e demais normas aplicáveis.

4. DIRETRIZES GERAIS

4.1 Governança e Responsabilidades

  • A Administração é responsável por aprovar e revisar esta política no mínimo anualmente, sendo admitidas revisões em períodos menores sempre que surgir oportunidades de melhoria.

  • É dispensável a indicação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) nos termos da LGPD considerando-se que se trata de uma empresa de Pequeno porte (EPP), contudo fica designado o Administrador como responsável interinamente por essa função.

  • Todos os colaboradores diretos e terceiros devem aderir formalmente às regras de segurança da informação deste documento.

  • A referência a este Plano de Segurança da Informação será feita em todos os CONTRATOS de serviços com Fornecedores a que se aplicar.

4.2 Controle de Acessos

  • O acesso a sistemas e dados será concedido com base no princípio do menor privilégio.

  • Contas devem ser individuais e intransferíveis.

  • Existe proibição de compartilhamento de credenciais.

  • Deve ser adotados métodos de autenticação forte sempre que possível (ex.: MFA).

  • Senhas devem ser complexas, com no mínimo 8 caracteres, sempre utilizando números, letras maiúsculas e minúsculas, e caracteres especiais admissíveis.

  • Os colaboradores devem bloquear as telas de seus computadores (Win+L) sempre que se ausentarem de suas mesas.

4.3 Proteção de Dados Pessoais (LGPD)

A empresa compromete-se a:

  • Tratar dados pessoais, quando forem parte do escopo dos serviços, apenas para finalidades legítimas, específicas e informadas;

  • Manter registro das atividades de tratamento quando aplicável;

  • Implementar medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e situações acidentais ou ilícitas;

  • Firmar contratos com terceiros contendo cláusulas de proteção de dados, especialmente os pessoais;

  • Comunicar incidentes de segurança à autoridade competente e aos titulares, quando exigido pela LGPD.

  • Fazer constar documento específico de adesão às normas da LGPD em CONTRATOS sempre que houver a possibilidade de tratamento de dados pessoais de terceiros.

4.4 Segurança Técnica

A empresa adotará, conforme aplicável ao seu porte enquanto EPP:

  • Uso de antivírus e firewall atualizados em todos os Terminais de trabalho;

  • Atualizações periódicas de sistemas operacionais (patch management);

  • Backup periódico de base de dados dos Sistemas, e dos terminais de trabalho necessários;

  • Criptografia de dados sensíveis em trânsito e, quando possível, em armazenamento;

  • Monitoramento básico de acessos e registros (logs) em Sistemas;

  • Proteção de ambientes em nuvem com configurações seguras.

4.5 Classificação da Informação

As informações devem ser classificadas como:

  • Pública: pode ser divulgada.

  • Uso Interno: restrita a colaboradores;

  • Confidencial: não pode ser divulgada sem consentimento expresso, inclusive da outra Parte, ou por ordem judicial ou de autoridade administrativa competente. Ex,: dados de clientes, senhas, tokens de acesso a serviços, códigos-fonte e dados pessoais.

  • Dados Pessoais / Dados Sensíveis;

  • Na ausência de classificação explícita a informação deve ser tratada como Confidencial.

Informações classificadas como confidenciais ou dados pessoais devem receber nível adicional de proteção.

4.6 Uso Aceitável de Recursos Tecnológicos

Os equipamentos e e-mails fornecidos pela empresa são para uso exclusivamente profissional.

É vedado aos sócios, colaboradores e terceiros contratados:

  • Utilizar recursos corporativos para armazenamento de arquivos pessoais ilícitos.

  • Instalar softwares não autorizados nos terminais de trabalho;

  • Compartilhar informações confidenciais sem autorização formal;

  • Armazenar dados corporativos em dispositivos pessoais sem controle da empresa.

  • Utilizar email corporativo em dispositivo celular sem bloqueio de tela e proteção de senha.

4.7 Gestão de Incidentes de Segurança

  • Todo incidente de segurança, perda de equipamento, vazamento de dados, ou suspeita de vazamento ainda não confirmado, ou infecção por malware deve ser comunicada imediatamente à Administração de TI para tomada imediata de medidas necessárias.

  • É expressamente proibido tentar ocultar incidentes de segurança.

  • Será realizada análise do incidente, identificação de causa, mitigação e registro formal.

  • Quando envolver dados pessoais, serão observados os requisitos de comunicação previstos na LGPD (via Formulário de ROPD simplificado).

4.8 Continuidade de Negócios

A empresa manterá procedimentos mínimos para:

  • Recuperação de dados a partir de backup de Bancos de Dados e Sistemas;

  • Restauração operacional de sistemas críticos;

  • Garantir a continuidade dos serviços essenciais aos clientes.

5. TREINAMENTO E CONSCIENTIZAÇÃO

A empresa promoverá treinamentos periódicos aos seus colaboradores para conscientizar sobre:

  • Segurança da informação;

  • Boas práticas digitais;

  • Prevenção de phishing e engenharia social;

  • Proteção de dados pessoais.

O Treinamento sobre politicas de segurança se dará obrigatoriamente no primeiro mês de atividade do colaborador, e periodicamente a cada atualização sempre que necessário.

Do prestador de serviços será exigido o cumprimento de melhores práticas de segurança da informação por meio de termos do contrato.

6. SANÇÕES

O descumprimento desta política por colaboradores ou Fornecedores poderá resultar em:

  • Advertência formal;

  • Suspensão da prestação dos serviços;

  • Rescisão contratual com penalidades previstas;

  • Responsabilização civil ou administrativa, quando aplicável.

7. REVISÃO DESSE DOCUMENTO

Esta política será revisada anualmente, ou sempre que houver oportunidades de melhoria motivadas por mudanças relevantes na legislação, na estrutura da empresa ou em seus processos tecnológicos.

 

FINAL DO DOCUMENTO.

ADMINISTRAÇÃO E SISTEMAS.

Digite para pesquisar

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors