1. Objetivo
Estabelecer diretrizes e princípios para garantir a confidencialidade, integridade e
disponibilidade das informações da Vitalprev.
Nosso objetivo é alcançar um elevado padrão de Segurança da Informação. A preocupação com
a Segurança da Informação é compartilhada em todos os níveis de gestão e representa um
compromisso individual de todos os colaboradores.
A Vitalprev está comprometida com a confidencialidade, integridade e disponibilidade de todos
os ativos físicos e lógicos de informação da empresa. Garantimos o cumprimento dos requisitos
legais, operacionais e contratuais e, para isso, orientamos as seguintes diretrizes:
• Estabelecer controles para proteger os sistemas de informação da Vitalprev contra roubo,
invasão e outras formas de danos ou perdas, incluindo entre outras: dados de caráter pessoal e
de negócios;
• Assegurar que a Vitalprev seja capaz de continuar a oferecer serviços mesmo que ocorram
incidentes que possam vir a impactar o negócio, garantindo a disponibilidade e confiabilidade
da infraestrutura de rede e serviços;
• Realizar uma revisão abrangente dos sistemas e dados da empresa para identificar e
implementar controles de acesso mais rigorosos;
• Desenvolver e implementar programas de treinamento regulares para funcionários, focados
em conscientização sobre segurança da informação, abordando boas práticas, políticas internas
e procedimentos de resposta a incidentes.
2.Campo de Aplicação
Esta política aplica-se a todas as partes interessadas da Vitalprev, sendo elas: colaboradores,
fornecedores, prestadores de serviços, clientes, quadro societário, governo, mídia,
concorrência, instituições de ensino e sociedade.
3. Documentação de Referencia
• ISO/IEC 27001 Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da
Segurança da Informação – Requisitos;
• ISO/IEC 27002 Tecnologia da Informação – Técnicas de Segurança – Código de Prática para
Controles de Segurança da Informação;
• ISO/IEC 27005 Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de
Segurança da Informação
4. Terminologia
CONFIDENCIALIDADE: É o aspecto relacionado a divulgação não autorizada, acesso e uso
indevido da informação corporativa.
INTEGRIDADE: A propriedade de que a informação não foi modificada ou corrompida, ou seja,
preserva sua exatidão.
DISPONIBILIDADE: A propriedade de que a informação esteja sempre pronta para o uso devido
e autorizado.
5. Desenvolvimento
• A atual estratégia de negócios da Vitalprev e a estrutura para gerenciamento de risco são as
diretrizes para identificação, avaliação e controle de riscos relacionados às informações por
meio do estabelecimento e manutenção da política de segurança da informação;
• A segurança da informação deve ser assegurada pela política em conjunto com documentos
complementares, incluindo, mas não se limitando às normas e procedimentos de segurança;
• A fim de garantir as operações de negócios da Vitalprev, mesmo depois de incidentes graves,
a Vitalprev deve assegurar a disponibilidade de planos de continuidade, procedimentos de
backup, proteção contra códigos e atividades maliciosas, sistemas e controles de acesso à
informação, gestão de incidentes e relatórios;
• Alguns dos aspectos mais importantes de apoio às atividades da Vitalprev são a
disponibilidade e confiabilidade de rede, infraestrutura e serviços. A Vitalprev tem por princípios
a transparência na divulgação das informações que são públicas, mas em determinadas
situações, quando necessário, prioriza a confidencialidade;
• A violação desta política e dos relevantes requisitos de segurança constitui uma quebra de
confiança entre o usuário e a Vitalprev, passível de sanções disciplinares e contratuais.
5.1 Avaliação de Riscos
A Vitalprev analisa continuamente o risco e avalia a necessidade de medidas de proteção em
seus ativos de informações;
• Uma avaliação global dos riscos dos sistemas de informação deve ser realizada anualmente.
As avaliações de risco devem identificar, quantificar e priorizar os riscos de acordo com os
critérios relevantes para riscos aceitáveis. As avaliações de risco devem ser realizadas quando
forem efetuadas mudanças que afetam a segurança da informação. Métodos reconhecidos para
avaliar os riscos devem ser empregados, como a ISO / IEC 27005 ou um padrão alternativo
aplicável e adequado;
• Os proprietários de sistema são responsáveis por assegurar que as avaliações de risco dentro
de sua área de responsabilidade sejam realizadas;
• Se uma avaliação de risco revelar riscos inaceitáveis, medidas devem ser tomadas para reduzir
o risco a um nível aceitável.
5.2 Classificação e Controle de Riscos
“Ativos” englobam os ativos de informação (lógicos) e os ativos físicos. A informação deve ser
classificada como uma das quatro categorias de confidencialidade:
5.2.1 Reservada
A informação com o mais alto nível de confidencialidade. A divulgação não autorizada da
informação reservada pode acarretar consequências para a credibilidade e continuidade de
negócios. O acesso é restrito e controlado.
5.2.2 Restrita
Informações sensíveis, às quais somente deve ter acesso controlado um grupo reduzido de
pessoas.
5.2.3 Interna
Informações disponibilizadas para acesso somente pelos funcionários da Vitalprev
5.2.4 Publica
Os documentos com informações sensíveis devem ser claramente rotulados quanto à sua
classificação de confidencialidade. Deve haver o armazenamento eletrônico seguro de
documentações críticas conforme orientação do proprietário delas.
6. Segurança em Recursos Humanos
6.1 Antes de Contratação
•Devem ser descritas as responsabilidades de segurança para cada função dos funcionários e
prestadores de serviços;
A Vitalprev analisa continuamente o risco e avalia a necessidade de medidas de proteção em
seus ativos de informações;

• Uma avaliação global dos riscos dos sistemas de informação deve ser realizada anualmente.
As avaliações de risco devem identificar, quantificar e priorizar os riscos de acordo com os
critérios relevantes para riscos aceitáveis. As avaliações de risco devem ser realizadas quando
forem efetuadas mudanças que afetam a segurança da informação. Métodos reconhecidos para
avaliar os riscos devem ser empregados, como a ISO / IEC 27005 ou um padrão alternativo
aplicável e adequado;
• Os proprietários de sistema são responsáveis por assegurar que as avaliações de risco dentro
de sua área de responsabilidade sejam realizadas;

• Se uma avaliação de risco revelar riscos inaceitáveis, medidas devem ser tomadas para reduzir
o risco a um nível aceitável
.
5.2 Classificação e Controle de Riscos
“Ativos” englobam os ativos de informação (lógicos) e os ativos físicos. A informação deve ser
classificada como uma das quatro categorias de confidencialidade:
5.2.1 Reservada
A informação com o mais alto nível de confidencialidade. A divulgação não autorizada da
informação reservada pode acarretar consequências para a credibilidade e continuidade de
negócios. O acesso é restrito e controlado.

5.2.2 Restrita
Informações sensíveis, às quais somente deve ter acesso controlado um grupo reduzido de
pessoas.
5.2.3 Interna
Informações disponibilizadas para acesso somente pelos funcionários da Vitalprev

5.2.4 Publica
Os documentos com informações sensíveis devem ser claramente rotulados quanto à sua
classificação de confidencialidade. Deve haver o armazenamento eletrônico seguro de
documentações críticas conforme orientação do proprietário delas.

6. Segurança em Recursos Humanos

6.1 Antes de Contratação
•Devem ser descritas as responsabilidades de segurança para cada função dos funcionários e
prestadores de serviços;

6.2 Durante a Contração
Os regulamentos de Tecnologia da Informação se referem aos requisitos de segurança da
informação da Vitalprev e a responsabilidade dos usuários;
• Todos os funcionários e terceiros devem receber treinamento e atualização adequados sobre
a política e os procedimentos de segurança da informação;
• As violações da política de segurança da informação e as premissas que a acompanham
normalmente resultarão em sanções disciplinares, dependendo das leis vigentes e das
condições de trabalho na Vitalprev;
• Equipamentos de informática de terceiros só podem ser conectados na(s) rede(s) da Vitalprev
quando expressamente permitido pela Gestão de TI e aprovado pela Alta Diretoria;

• A utilização de infraestrutura de TI da Vitalprev para atividades pessoais com fins comerciais
não é permitida em nenhuma circunstância

6.3 Encerramento e Mudança da Contratação
• A responsabilidade pelo término do contrato de trabalho ou mudança nas atividades
funcionais deve ser claramente definida e cumpridas as ações pertinentes quanto ao nível de
acesso aos sistemas da Vitalprev;

• Os ativos da Vitalprev em poder de funcionários, devem ser devolvidos quando não forem
mais necessários para o uso ou na rescisão contratual;
• A comunicação em caso de rescisão de contrato ou mudança de atividades deve ocorrer por
meio de procedimentos estabelecidos no sistema de recursos humanos

6.4 Segurança Física e do Ambiente (Áreas Seguras)
Equipamentos de informática e informações que requeiram proteção devem estar situados em
áreas fisicamente seguras. As áreas seguras devem ter controle de acesso adequado para
garantir que somente as pessoas autorizadas tenham acesso. A seguinte classificação deve ser
aplicada às áreas de segurança:

• As áreas de segurança devem ser demarcadas nas plantas baixas ou explicitamente descritas
em um documento separado;

• Todo(s) o(s) edifício(s) da Vitalprev deve(m) ser protegido(s) de acordo com a sua classificação,
por meio de sistemas de segurança adequados, incluindo registros de auditoria apropriados;

• As áreas de segurança classificadas em “vermelho” devem ser apropriadamente protegidas
com equipamentos de prevenção, alarmes e combate contra incêndio;

• Todas as portas externas e janelas devem ser fechadas e trancadas no final do dia de trabalho;

• As áreas de segurança classificadas em vermelho devem ser adequadamente protegidas
contra danos causados por fogo, água, explosões, vibrações etc.;

• O Gestor Administrativo é responsável por aprovar o acesso físico às salas técnicas e restritas;

• Todo o pessoal deve ser identificado e usar o cartão de identificação funcional e exclusivo em
qualquer área da empresa. Os cartões de identificação são pessoais, e não devem ser
compartilhados com terceiros ou outros funcionários;

• Os cartões de acesso podem ser fornecidos para prestadores de serviço, técnicos e outros,
após a apropriada identificação e assinatura de um termo de confidencialidade que é condição
contratual;

• Qualquer funcionário que autorizar o ingresso de visitantes na empresa, torna-se responsável
pela supervisão destes durante toda a sua permanência na empresa;
• Os visitantes das áreas classificadas em vermelho devem portar cartões de identificação de
visitantes de forma visível e seus acessos físicos serem registrados na entrada e saída;

• Esses visitantes devem ter o acompanhamento e monitoramento integral na sua permanência
dentro da Vitalprev.

6.5 Segurança em Equipamentos
Equipamentos de processamento de dados com riscos classificados como “alto”, devem ser
protegidos contra ameaças ambientais (incêndio, inundação, variações de temperatura etc.). A
classificação dos equipamentos deve ser baseada em avaliações de risco.
As informações classificadas como “sensíveis” não devem ser armazenadas em equipamentos
móveis (por exemplo: laptops, telefones celulares, cartões de memória, pen drive etc.). Caso
seja necessário o armazenamento de informações sensíveis em equipamentos portáteis, estas
devem ser protegidas por senha e criptografadas, em conformidade com as diretrizes da área
de TI e área de Segurança da Informação (VB Tech). Os equipamentos móveis devem ser
transportados como bagagem de mão durante viagens.
6.6 Gestão de Comunicação e Operações de TI

• Todos os gestores precisam assegurar que todas as Políticas/documentação dos sistemas de
TI esteja de acordo com as normas e procedimentos da Vitalprev;

• A Vitalprev deve ter procedimentos de emergência/contingência sempre prontos para uso, se
necessários;

• Os procedimentos operacionais devem ser documentados e a documentação deve ser
atualizada imediatamente após as mudanças significativas;

• Os deveres e responsabilidades devem ser segregados de forma a reduzir a possibilidade de
atos não autorizados ou abusivos e não previstos nos ativos da Vitalprev;

6.7 Serviços de Terceiros
A aquisição e instalação de equipamentos de TI e software devem ser aprovadas pela área de
TI. Todos os contratos referentes aos sistemas de TI terceirizados devem incluir:
• Requisitos de segurança da informação, incluindo a confidencialidade, integridade e
disponibilidade;

• Uma descrição do nível de segurança acordado;
• Requisitos para a notificação de incidentes de segurança de partes;

• Uma descrição de como a Vitalprev pode garantir que terceiros estão cumprindo seus
contratos;
• Uma descrição do direito da Vitalprev para auditar terceiros.
6.8. Proteção Contra Códigos Maliciosos
Os recursos de processamento de dados devem ser protegidos contra vírus e outros códigos
maliciosos de forma contínua. Esta responsabilidade é do Gerente / Gestor de TI.

6.9. Backup
A área de Segurança da Informação é responsável por realizar regularmente os backups e
restauração desses backups, bem como o armazenamento dos dados nos sistemas da Vitalprev
de acordo com a sua classificação. Os backups devem ser armazenados externamente ou em
uma área separada do arquivo original e apropriadamente protegida.

6.10. Gerenciamento de Redes
A área de Segurança da Informação tem a responsabilidade de proteger a rede interna da
Vitalprev e deve haver um inventário contendo todos os equipamentos conectados à rede da
Vitalprev. Todo o acesso às redes da Vitalprev deve ser registrado em trilhas de auditoria.

6.11. Gerenciamento de Mídias Removíveis
Deve ser evitado, sempre que viável, o uso de mídias removíveis; deve haver procedimentos
para a gestão das mídias de armazenamento removíveis, contendo claramente as permissões e
proibições; A proteção das mídias com informações é de responsabilidade de cada usuário; as
mídias de armazenamento devem ser descartadas de forma segura e protegidas quando não
forem mais necessárias, de acordo com os procedimentos formais.

6.12. Troca de Informações
• Devem ser estabelecidos procedimentos e controles para proteger o intercâmbio de
informações com terceiros, quer sejam clientes ou fornecedores. Os fornecedores devem
cumprir com os procedimentos acordados com a Vitalprev;

• O uso de e-mail por qualquer funcionário da Vitalprev deve seguir o permitido por seu cargo
e função;

• A Vitalprev tem o direito de acessar os e-mails e outros dados pessoais armazenados na sua
rede de acordo com os requisitos legais vigentes
6.13. Utilização de Criptografia
O armazenamento e a transferência da informação sensível devem ser criptografados ou de
outra maneira protegidos.
6.14. Monitoramento de Acesso
• O acesso e a utilização dos sistemas de TI devem ser registrados e monitorados, a fim de
detectar atividades não autorizadas;

• O acesso e as ações devem ser rastreáveis até sua origem;

• A capacidade e qualidade dos sistemas de TI e redes devem ser suficientemente monitoradas,
a fim de assegurar o funcionamento confiável e a disponibilidade presente e futura;

• A área de Segurança da Informação deve registrar e tratar como incidentes de segurança,
todas as ocorrências críticas;

• A área de Segurança da Informação deve garantir que os relógios de todos os equipamentos
estejam sincronizados com a hora oficial da localidade;

• O uso de sistemas de informação que contenham informações de caráter pessoal deve estar
em conformidade com a legislação vigente
6.16. Controle de Acesso
6.16.1. Necessidades dos Negócios

• Deve haver diretrizes por escrito para o controle de acesso e senhas baseadas nos
requisitos de negócios e de segurança. As diretrizes devem ser reavaliadas regularmente

;
• As diretrizes de segurança devem conter os requisitos de senha (frequência da troca,
comprimento mínimo, tipos de caracteres que podem/devem ser utilizados etc.) e regular o seu
armazenamento.
6.16.2. Gerenciamento de Acesso de Usuário

• Deve haver autenticação dos usuários no acesso aos sistemas;

• Deve ter combinação única e individual definidas para o nome de usuário e senhas;

• Deve ser determinado prazo para troca de senha;

• O usuário é responsável por qualquer uso de suas credenciais de acesso e senhas;

• O usuário deve manter sigilo de suas credenciais e senhas e não as divulgar.
6.16.3. Autorização para Acesso

• O acesso aos sistemas de informação deve ser autorizado pela de Segurança da
Informação, de acordo com as diretrizes do proprietário do sistema de informação. Isto inclui os
direitos de acesso e os privilégios que os acompanham. As autorizações só devem ser concedidas
baseadas na necessidade de conhecimento ou uso regulado por cargo e função;

• O Gestor da área deve solicitar ao administrador do sistema a concessão de acesso e
alterações, de acordo com as diretrizes do proprietário do sistema;
• Em caso de acesso por terceiros, o visitado, quando for o caso, é responsável pela
solicitação.

6.16.4. Trabalho Remoto

• O acesso remoto aos sistemas da Vitalprev somente é permitido de acordo com o
processo vigente, e após a Política de Segurança da Informação da Vitalprev for conhecida e
entendida e os termos de responsabilidade e confidencialidade assinados;

• O acesso remoto somente pode ocorrer por meio de soluções de segurança aprovadas
pelas áreas de TI e de Segurança da Informação.
6.17. Controles Criptografados
Diretrizes para a administração e uso de criptografia para proteger as informações devem estar
disponíveis e podem ser encontrados na política de criptografia.
6.18. Servidores em Nuvem ou Software de Serviço

• A seleção de nuvem ou serviços hospedados externamente deve cumprir toda a legislação
vigente de proteção de dados, que se aplica aos usuários, e não deve violar a avaliação de risco;

• Na definição do local em que os dados pessoais serão armazenados(país), deve ser assegurado
que não haja restrições legais.
6.19. Gestão de Incidentes de Segurança da Informação (Comunicação de Incidentes)

• Todas as violações da segurança, juntamente com o uso indevido dos sistemas de informações
em desacordo com os procedimentos, devem ser tratadas como incidentes de segurança;

• Todos os funcionários são responsáveis por comunicar as violações e possíveis quebras de
segurança. Os incidentes de segurança devem ser comunicados aos respectivos gestores
imediatos;

• Devem ser desenvolvidos procedimentos para gestão e comunicação de incidentes de
segurança;

• Os procedimentos devem conter medidas para prevenir a repetição, bem como
medidas para minimizar os danos.

6.19.1. Coleta de Evidências
O Gestor da área deve estar familiarizado com os procedimentos para a coleta das evidências.

6.20. Planejamento de Continuidade de Negócios (Plano de Continuidade de
Negócios)
• Quando necessário, devem existir planos de continuidade e contingências que abranjam os
sistemas de informação, de infraestrutura críticos e outros essenciais;

• Os planos de continuidade do negócio devem ser focados nos riscos operacionais;

• Os planos de continuidade devem estar alinhados com todos os planos de contingências e
planos gerais da Vitalprev;

• Os planos de continuidade devem ser testados regularmente para assegurar a adequação, e
que a gestão e os funcionários compreendem a sua execução;
• Os sistemas de produção e outros sistemas classificados como risco “alto” devem ter soluções
de backup.

6.21. Conformidade
CONFORMIDADE COM REQUISITOS LEGAIS E CONTRATUAIS

A Vitalprev deve cumprir a legislação, bem como outras diretrizes externas, como por exemplo:

• As leis e regulamentações trabalhista, relativas ao ambiente de trabalho, horário de trabalho,
proteção do emprego etc.;

• Regulamentos relacionados às atividades de saúde, ambientais e de segurança nas empresas;

• Leis e regulamentações relativas ao tratamento de dados de caráter pessoal;

• Legislação aplicável ao setor em que atua;

• Requisitos contratuais.

6.21.1. Proteção e Privacidade das Informações Pessoais
A Vitalprev respeita a privacidade quanto a coleta e registro de informações de seus
colaboradores, prestadores de serviços, clientes e visitantes, sendo capaz de identificá-los e ter
o comprometimento de não divulgar sem a sua expressa permissão, a menos que seja
formalmente autorizada ou obrigada por meio de decisão judicial, para fins de prevenção a
fraudes ou outro crime. Tal ação é necessária para a proteção e defesa dos direitos das pessoas
e segurança individual quer sejam seus colaboradores, clientes, prestadores de serviços ou
visitantes.

6.21.2. Conformidade com as Políticas e Procedimentos de
Segurança Informação

• Todos os funcionários devem cumprir a política de segurança da informação e diretrizes de
segurança;

• A Alta Direção é responsável por garantir que todos os seus funcionários cumpram a política
de segurança;
• Os funcionários e outros usuários externos devem ser avisados de que as evidências dos
incidentes de segurança são armazenadas e a Vitalprev pode ser requisitada a entregá-las por
decisão da justiça a fim de cumprir com a legislação existente e regras contratuais.

6.21.3. Auditorias
Auditorias devem ser planejadas e organizadas com as partes envolvidas a fim de minimizar o
risco de perturbar as operações e negócios da Vitalprev. Este processo deve estar estabelecido
em documento normativo.

6.21.4. Tratamento das exceções

• Toda e qualquer exceção às diretrizes de segurança devem ser analisadas, avaliadas e
autorizadas pelo gerente da área e por final aprovado pela Diretoria;

• Deve ser definido um processo para o tratamento das exceções às regras de segurança
estabelecidas nesta política, normas e procedimento de segurança;

• As exceções devem ser aprovadas em nível de alçada, mediante justificativas de necessidade
de negócio, restrições tecnológicas e obsolescência de equipamentos, levando-se em
consideração a avaliação dos riscos envolvidos

;
• Devem ser elaborados termos de responsabilidade e confidencialidade para as exceções
autorizadas e assinados pelos responsáveis;

• Estes termos de responsabilidade devem ser documentados e controlados quanto aos seus
períodos de vigência;

• Toda exceção autorizada deve ter um prazo de validade definido e ao término deste prazo
deverá ser reanalisada a necessidade de renovação do termo de responsabilidade por um novo
período

6.22. Estrutura da Documentação
A Vitalprev tem uma estrutura para os documentos que descreve sua arquitetura de segurança
em três níveis

:
• Nível 1: A política de segurança da informação, a definição de metas, objetivos a
responsabilidade e os requisitos globais. Adicionalmente, este nível fornece uma visão geral
sobre os documentos de governança em matéria de segurança da informação e sua importância;

• Nível 2: Normas de segurança, fornecendo diretrizes e princípios para a segurança da
informação. Este nível define o que deve ser feito, a fim de cumprir com a política estabelecida;

• Nível 3: Procedimentos de segurança e operacionais para a segurança da informação. Contém
detalhes de como essas normas (nível 2) devem ser implementadas. Este nível de documentação
e controle pode variar dependendo dos tipos de serviços e tecnologia utilizados.
7. Papeis, Responsabilidades e Autoridades Organizacionais

8. Penalidades
O descumprimento dessa política e suas normas poderá implicar em medidas administrativas
cabíveis, resguardando os interesses da corporação.

9. Compromisso da Alta Direção
A Alta Direção garante sua liderança e comprometimento em relação ao sistema de gestão da
segurança da informação pelos seguintes meios:

• Definição de política e objetivos de segurança da informação: Garantindo que a política de
segurança da informação e os objetivos estejam alinhados com a estratégia organizacional.
• Integração do SGSI nos processos organizacionais: Assegurando que os requisitos do SGSI
estejam incorporados aos processos empresariais.
• Alocação de recursos adequados: Garantindo que recursos financeiros, tecnológicos e humanos necessários estejam disponíveis para o funcionamento eficaz do SGSI.

• Comunicação da importância do SGSI: Comunicando regularmente a relevância da segurança da informação e da conformidade com o SGSI para a organização.

• Monitoramento do desempenho do SGSI: Assegurando que o SGSI atinja os resultados esperados, através de auditorias, revisões e avaliações de desempenho.

• Suporte às equipes e colaboradores: Orientando e apoiando os funcionários para que contribuam para a eficácia do SGSI.

• Promoção da melhoria contínua: Incentivando melhorias constantes no sistema de gestão, com base em revisões e análises críticas.

• Delegação de responsabilidades: Garantindo que gestores de diferentes áreas demonstrem liderança em segurança da informação nas suas respectivas responsabilidades.