Política da Segurança da Informação e Proteção de Dados

1. OBJETIVO

Estabelecer diretrizes, princípios e responsabilidades para a Segurança da Informação e a Proteção de Dados Pessoais na G&P Projetos e Sistemas S.A. (“G&P”), visando proteger os ativos de informação sob responsabilidade e/ou custódia da organização, assegurando a Confidencialidade, Integridade e Disponibilidade (CIA) e apoiando o cumprimento de requisitos legais, regulatórios, contratuais e normativos, incluindo a ISO/IEC 27001:2022 e a Lei nº 13.709/2018 (LGPD).

Esta Política constitui o documento de mais alto nível do Sistema de Gestão de Segurança da Informação (SGSI) da G&P e:

é apropriada ao propósito e ao contexto da organização e aos riscos de Segurança da Informação pertinentes ao escopo do SGSI;
estabelece um direcionamento e estrutura para definição e revisão de objetivos de Segurança da Informação, alinhados ao negócio e à gestão de riscos;
inclui o compromisso de atender aos requisitos aplicáveis (legais, regulatórios, contratuais e normativos);
inclui o compromisso de melhoria contínua do SGSI;
é mantida como informação documentada, comunicada internamente e disponibilizada às partes interessadas pertinentes, quando apropriado.

2. ESCOPO DO SGSI

O SGSI da G&P abrange:

Sistema de Gestão de Segurança da Informação que suporta e protege os processos de recrutamento, seleção, contratação e capacitação de profissionais de tecnologia para alocação em squads de serviços de tecnologia e Application Management Service (AMS), conforme Declaração de Aplicabilidade vigente.

Estão incluídos no escopo, quando relacionados aos processos acima:

pessoas, processos e tecnologias;
ativos de informação físicos e digitais;
sistemas, redes, serviços em nuvem e trabalho remoto;
colaboradores, estagiários, terceiros, parceiros e fornecedores que atuem no escopo.

3. CONTEXTO E PARTES INTERESSADAS

A G&P atua na prestação de serviços de tecnologia, com dependência de informações e sistemas para execução de processos de negócio. A Segurança da Informação é fator crítico para:

continuidade e qualidade dos serviços;
proteção de dados pessoais e informações corporativas e de clientes;
confiança de clientes, parceiros, colaboradores e candidatos;
atendimento a requisitos legais, regulatórios e contratuais.

Partes interessadas relevantes incluem, entre outras: clientes, colaboradores, fornecedores, órgãos reguladores, alta direção, e demais partes conforme documentações complementares.

4. PRINCÍPIOS E PILARES

A G&P adota como pilares:

Confidencialidade: informações acessíveis apenas a pessoas autorizadas e para finalidades legítimas.

Integridade: informações íntegras, completas e protegidas contra alterações indevidas.

Disponibilidade: informações e serviços disponíveis a usuários autorizados conforme necessidade do negócio.

Privacidade e Proteção de Dados (LGPD): o tratamento de dados pessoais deve observar princípios e bases legais aplicáveis, com salvaguardas proporcionais aos riscos e orientações internas de privacidade.

Proporcionalidade e abordagem baseada em risco: controles e medidas de segurança são definidos e priorizados com base:

na criticidade dos ativos/processos e nos riscos avaliados no SGSI;
em requisitos contratuais, legais e regulatórios aplicáveis;
na viabilidade operacional, mantendo justificativas e evidências quando aplicável.

5. COMPROMETIMENTO DA ALTA DIREÇÃO

A Alta Direção demonstra comprometimento com a Segurança da Informação e com o SGSI ao:

aprovar e patrocinar esta Política e suas atualizações;
assegurar que objetivos e prioridades de Segurança da Informação estejam alinhados aos objetivos do negócio;
garantir que responsabilidades sejam atribuídas e compreendidas;
disponibilizar recursos proporcionais aos riscos e às necessidades do negócio, com base em informações de desempenho e risco do SGSI;
realizar análises críticas do SGSI em periodicidade definida pela governança, considerando resultados de medições, auditorias, incidentes, riscos e ações de melhoria.

6. OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO

Obter a Certificação ISO27001 até Jan/2026;
Garantir Segurança e Agilidade na Alocação de Recursos aos Clientes;
Acompanhar o cumprimento do SLA de atendimento e/ou resolução dos chamados, garantindo tratamento dentro dos prazos definidos, priorização adequada e redução de riscos e impactos no escopo do SGSI;
Acompanhar, junto ao Gestor de TIC, a disponibilidade dos recursos tecnológicos do parque, identificando indisponibilidades e atuando para reduzir riscos e impactos ao escopo do SGSI;

7. PAPÉIS E RESPONSABILIDADES

7.1. Alta Direção

responder pelo direcionamento, priorização e decisão sobre riscos relevantes;
aprovar a Política, objetivos do SGSI e decisões de aceite de risco significativas.

7.2. Área de Segurança da Informação

coordenar a governança do SGSI e apoiar sua evolução;
manter a metodologia de gestão de riscos e consolidar o registro de riscos;
apoiar auditorias e acompanhar ações corretivas e melhorias;
definir diretrizes e orientar áreas internas quanto a requisitos de Segurança da Informação aplicáveis ao escopo.

7.3. Área de Tecnologia da Informação

implementar e manter controles técnicos e operacionais necessários ao escopo, priorizados por risco e criticidade, conforme normas/procedimentos aplicáveis;
apoiar a gestão de identidades e acessos, proteção de endpoints e infraestrutura, continuidade/backup e registros/monitoramento, na medida necessária para suportar o SGSI;
manter evidências técnicas essenciais para rastreabilidade e auditoria, conforme definido no SGSI.

7.4. Gestores e Donos de Processo do Escopo

garantir que processos sob sua responsabilidade observem esta Política e os procedimentos aplicáveis;
apoiar a identificação de riscos, requisitos e necessidades de controle.

7.5. Usuários

conhecer e cumprir esta Política e os documentos aplicáveis;
utilizar recursos de informação apenas para fins autorizados;
proteger credenciais, dados e ativos sob sua guarda;
reportar suspeitas de incidente, violação ou fragilidade assim que identificado, pelos canais oficiais divulgados pela G&P.
não compartilhar credenciais, senhas ou mecanismos de autenticação;
adotar medidas de proteção orientadas pela organização (por exemplo, bloqueio de tela e uso de autenticação reforçada, como múltiplos fatores, quando aplicável e conforme definido para cada sistema).

7.6. Terceiros, Parceiros e Fornecedores

devem cumprir requisitos de Segurança da Informação aplicáveis ao serviço/relacionamento, formalizados contratualmente ou por termos aplicáveis;
estão sujeitos a medidas de controle, monitoramento e verificação proporcionais ao risco do relacionamento, quando aplicável.

8. DIRETRIZES GERAIS DO SGSI

8.1. Diretrizes Organizacionais

A G&P estabelece e mantém, de forma proporcional aos riscos e à criticidade do escopo, diretrizes e controles organizacionais, detalhados em documentos complementares do SGSI, incluindo:

governança do SGSI, com papéis, responsabilidades e segregação de funções quando aplicável, adotando controles compensatórios quando necessário;
inventário e gestão de ativos/informações relevantes ao escopo e sua criticidade;
diretrizes de uso aceitável dos ativos e informações;
regras de classificação, rotulagem e transferência segura de informações, quando aplicável;
gestão de acessos baseada em necessidade, menor privilégio e rastreabilidade;
gestão de fornecedores/parceiros, com requisitos de Segurança da Informação proporcionais ao risco do relacionamento;
gestão de incidentes com registro, avaliação, resposta e lições aprendidas, preservando evidências quando aplicável;
continuidade e resiliência proporcionais aos riscos e aos compromissos de serviço;
qualquer monitoramento e registro observará critérios de necessidade e proporcionalidade, bem como a legislação aplicável;
conformidade com requisitos legais, regulatórios e contratuais relevantes, incluindo privacidade e proteção de dados pessoais.

8.2. Diretrizes de Pessoas

A G&P promove:

conscientização e orientação em Segurança da Informação e Proteção de Dados compatíveis com riscos e contexto do escopo;

atribuição de responsabilidades individuais (incluindo confidencialidade e conduta esperada);

práticas de ingresso, movimentação e desligamento compatíveis com proteção de acessos e informações;

canal e cultura de reporte de eventos/incidentes de Segurança da Informação.

8.3. Diretrizes Físicas

A G&P adota medidas físicas proporcionais para:

proteção de áreas, instalações e equipamentos utilizados no escopo;
controle de entrada e monitoramento em áreas críticas, quando aplicável;
proteção de ativos fora das instalações, quando aplicável (ex.: trabalho remoto);
descarte ou reutilização segura de equipamentos e mídias.

8.4. Diretrizes Tecnológicas

A G&P mantém controles tecnológicos aplicáveis ao escopo, proporcionais ao risco, incluindo:

proteção de dispositivos de usuários e ativos tecnológicos relevantes;
autenticação adequada e controle de acessos privilegiados quando aplicável;
configuração segura, gestão de mudanças e tratamento de vulnerabilidades conforme criticidade;
proteção contra software malicioso e outras ameaças relevantes;
cópias de segurança e capacidade de recuperação conforme criticidade;
registro e monitoramento de eventos de segurança em ativos críticos;
uso de criptografia e/ou outras salvaguardas quando apropriado (ex.: em dados sensíveis);
controles para prevenção de vazamento de dados, quando aplicável ao risco e ao tratamento de informação.

9. GESTÃO DE EXCEÇÕES

Quando houver necessidade operacional ou limitação técnica/organizacional que impeça o cumprimento de um requisito de segurança:

a exceção deve ser registrada, justificada e avaliada quanto ao risco;
deve existir definição de controles compensatórios quando aplicável;
a aprovação deve seguir a governança definida pelo SGSI;
exceções devem ser revisadas conforme critérios e periodicidade definidos no SGSI (ex.: por criticidade ou mudança de contexto).

10. REVISÃO, APROVAÇÃO E DIVULGAÇÃO

Esta Política é mantida como informação documentada do SGSI;
Deve ser revisada de forma planejada, ou sempre que houver mudanças relevantes no escopo, no contexto, nos riscos ou em requisitos legais/contratuais aplicáveis;
A aprovação é de responsabilidade da Alta Direção;
A Política deve ser comunicada e estar disponível às partes aplicáveis do escopo por canais internos e/ou externos adequados.

Política da Segurança da Informação e Proteção de Dados

Serviços e Soluções

Produtos

Sobre a G&P

Governança Corporativa

Fale com a gente

Encontre a G&P no Glassdoor

Simplifying IT
for a complex world.

Platform partnerships

Governança Corporativa

Ética

Tratamento de Dados

ESG

Mindset Inovador e Tecnologia como Solução para a sua empresa

Somos líderes em Transformação
Digital no Brasil

Serviços e Soluções

Produtos

Iza

Solo

Services

Business Challenges

Digital Transformation

Security

Automation

Gaining Efficiency

Industry Focus

Política da Segurança da Informação e Proteção de Dados

Simplifying IT for a complex world.

Platform partnerships

Governança Corporativa

Ética

Tratamento de Dados

ESG

Mindset Inovador e Tecnologia como Solução para a sua empresa

Somos líderes em Transformação Digital no Brasil

Serviços e Soluções

Produtos

Iza

Solo

Services

Business Challenges

Digital Transformation

Security

Automation

Gaining Efficiency

Industry Focus

Simplifying IT
for a complex world.

Somos líderes em Transformação
Digital no Brasil