Política de Segurança e Privacidade da Informação

1. OBJETIVO 

Proteger os ativos de informação da Simetrik frente a riscos e ameaças, tanto internas quanto externas, garantindo a confidencialidade, integridade, disponibilidade e privacidade das informações. Na Simetrik, a segurança da informação é um pilar fundamental para a proteção dos nossos ativos, a confiança dos nossos clientes e o cumprimento de normas internacionais.

2. ESCOPO

Esta política se aplica a todos os funcionários, contratados, fornecedores e qualquer pessoa ou entidade com acesso aos sistemas, às informações e aos ativos de informação da Simetrik.

3. PRINCÍPIOS DE SEGURANÇA

Adotamos uma abordagem baseada em riscos para proteger os ativos de informação da Simetrik e de seus clientes contra ameaças e vulnerabilidades relevantes.

Além disso, integramos os princípios de segurança e privacidade da informação na cultura organizacional, promovendo que sua proteção seja uma responsabilidade compartilhada entre a alta direção, funcionários, contratados e terceiros, fortalecendo assim uma estrutura robusta de gestão.

A Simetrik orienta sua gestão com base nos seguintes princípios:

  • Confidencialidade: Garantimos que apenas pessoas autorizadas tenham acesso às informações, evitando acessos não autorizados ou divulgações indevidas.
  • Integridade: Asseguramos que as informações estejam protegidas contra modificações não autorizadas, mantendo-as precisas, confiáveis e completas.
  • Disponibilidade: Garantimos que as informações estejam disponíveis quando necessário, sem interrupções que afetem nossa operação.
  • Privacidade: Protegemos os dados pessoais, respeitando a privacidade de clientes, colaboradores e terceiros, sempre cumprindo as leis e regulamentações aplicáveis.
  • Responsabilidade e rastreabilidade: Promovemos mecanismos que permitam a adequada gestão, monitoramento e acompanhamento do acesso e uso das informações.
  • Melhoria contínua: Fortalecemos continuamente nossos controles, capacidades e processos para responder a um ambiente tecnológico e regulatório em constante evolução.
  • Uso responsável de tecnologias emergentes: Promovemos o uso seguro, ético e controlado de tecnologias emergentes, incluindo inteligência artificial, tomando como referência boas práticas internacionais para fortalecer progressivamente nossos modelos de governança.

Diretrizes principais:

  • Deve-se garantir a confidencialidade, integridade, disponibilidade e privacidade dos ativos de informação mantidos dentro da Simetrik.
  • Todos os sistemas de informação e ativos de informação utilizados nas operações e na prestação de serviços devem cumprir os controles de segurança definidos pela área de Segurança da Informação.
  • Todos os funcionários e contratados devem receber treinamento e conscientização anual em segurança da informação, para contar com os conhecimentos, habilidades e ferramentas necessárias para contribuir com a proteção das informações e dos ativos de informação aos quais têm acesso.
  • Devem ser aplicadas medidas para prevenir, detectar, responder, analisar, recuperar e investigar ameaças e vulnerabilidades de forma proativa.
  • Devem ser implementadas metodologias e ferramentas que permitam adaptação ágil às mudanças no ambiente tecnológico e às novas ameaças.
  • A segurança da informação deve estar integrada a todos os processos estratégicos e operacionais, garantindo que agregue valor e apoie o crescimento da Simetrik.
  • A Simetrik deve assegurar o cumprimento de todas as leis, normas, padrões e compromissos contratuais aplicáveis, incluindo:
    • Regulamentações locais e internacionais de segurança da informação, privacidade e proteção de dados pessoais, conforme aplicável.
    • Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento (PCI DSS).
    • Padrões e melhores práticas de segurança e privacidade da informação, incluindo ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27017 e ISO/IEC 27018.
    • Padrões internacionais reconhecidos como referência para a evolução do modelo de governança de inteligência artificial.
    • Acordos contratuais e compromissos com clientes.
    • Todas as leis e regulamentações aplicáveis nas jurisdições onde operamos e prestamos serviços.

4. RESPONSABILIDADES EM SEGURANÇA DA INFORMAÇÃO

A segurança da informação e a privacidade são uma responsabilidade compartilhada dentro da Simetrik.

Na Simetrik, esperamos que todas as pessoas com acesso aos nossos sistemas ou ativos de informação ajam de forma diligente, responsável e alinhada com as diretrizes estabelecidas pela organização para a proteção das informações. Da mesma forma, promovemos que nossos colaboradores, contratados e terceiros participem de espaços de capacitação e conscientização, e que reportem de maneira oportuna qualquer incidente, evento suspeito ou situação que possa afetar a segurança ou a privacidade das informações.

A alta direção reforça esse compromisso por meio da promoção de uma cultura de segurança, da definição de responsabilidades e do fortalecimento contínuo das capacidades organizacionais.

5. CONTROLES E MEDIDAS 

5.1 SEGURANÇA DA INFORMAÇÃO

Implementamos controles para garantir a proteção das informações nas seguintes áreas:

  • Controle de acesso: Gestão de credenciais, autenticação multifator (MFA) e princípio do menor privilégio.
  • Proteção de dados: Criptografia em trânsito e em repouso, controle de acesso a dados sensíveis.
  • Segurança em nuvem: Aplicação de controles de segurança em serviços em nuvem.
  • Segurança no desenvolvimento de software: Implementação de práticas de desenvolvimento seguro e testes de vulnerabilidade.
  • Gestão de incidentes de segurança: Plano de resposta, análise de eventos e mitigação de riscos.
  • Gestão de riscos: Avaliação e mitigação contínua de ameaças.
  • Monitoramento e auditoria: Análise contínua de atividades e detecção de anomalias.
  • Segurança em fornecedores e terceiros: Avaliação de riscos, cumprimento de requisitos de segurança e acordos contratuais.
  • Continuidade de negócios e recuperação de desastres: Planos de contingência para garantir a operação em caso de incidentes.
  • Conscientização e treinamento em segurança: Capacitação contínua para funcionários e terceiros em boas práticas de segurança, incluindo cibersegurança, engenharia social e phishing.

5.2 CIBERSEGURANÇA

A Simetrik adota uma abordagem de cibersegurança para proteger sua infraestrutura, dados e operações contra ameaças digitais em constante evolução. Para isso, são estabelecidos os seguintes princípios e controles:

  • Gestão de ameaças e vulnerabilidades: Monitoramento contínuo de ameaças, análise de vulnerabilidades e gestão de riscos cibernéticos.
  • Proteção contra ataques cibernéticos: Implementação de soluções de segurança avançadas, como WAF, antivírus e ferramentas de resposta a incidentes.
  • Segurança de rede: Aplicação de controles para proteger redes internas e externas por meio de segmentação, protocolos seguros e monitoramento de tráfego.
  • Segurança de identidades e acessos: Implementação de políticas de autenticação robusta e gestão de identidades para minimizar riscos de acesso não autorizado.
  • Cibersegurança em dispositivos: Aplicação de controles de segurança em endpoints e dispositivos corporativos para prevenir ataques direcionados.

5.3 PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A Simetrik gerencia os dados pessoais em conformidade com as normas de privacidade e proteção de dados aplicáveis em cada jurisdição, bem como com os compromissos contratuais assumidos com clientes e terceiros. Esse compromisso se reflete em práticas voltadas a:

  • Gestão de dados: Garantir o tratamento adequado, lícito e transparente dos dados pessoais.
  • Finalidade e responsabilidade: Definir de forma clara as finalidades do tratamento e as responsabilidades associadas.
  • Minimização e proteção: Promover a coleta, uso e retenção apenas dos dados estritamente necessários, bem como sua adequada proteção.
  • Gestão de riscos de privacidade: Identificar, avaliar e tratar riscos associados ao tratamento de dados pessoais.
  • Direitos dos titulares: Atender, quando aplicável, às solicitações relacionadas aos direitos dos titulares dos dados.
  • Proteção contra acessos não autorizados: Prevenir acessos, usos, divulgações, alterações ou perdas não autorizadas.

5.4 GOVERNANÇA DE INTELIGÊNCIA ARTIFICIAL

À medida que a Simetrik continuar incorporando tecnologias de inteligência artificial em seus processos, produtos ou serviços, promoverá uma gestão baseada em princípios de segurança, privacidade, supervisão, responsabilidade e análise de riscos. Nesse contexto, a Simetrik avançará progressivamente no alinhamento com padrões internacionais reconhecidos, com o objetivo de fortalecer seu modelo de governança de inteligência artificial. Isso inclui, conforme aplicável:

  • Supervisão e responsabilidade: Promover a definição de responsáveis pela adoção, uso e supervisão de sistemas de inteligência artificial.
  • Intervenção humana: Garantir que haja supervisão humana adequada sobre o uso de sistemas de inteligência artificial, especialmente em processos ou decisões com impacto relevante.
  • Tomada de decisão responsável: Promover que as decisões apoiadas em inteligência artificial contem com critérios de revisão e controle compatíveis com seu nível de risco, evitando dependência inadequada de decisões exclusivamente automatizadas quando for necessária validação humana.
  • Proteção de dados e informações sensíveis: Proteger os dados pessoais, as informações sensíveis e as informações de clientes utilizadas por sistemas de inteligência artificial, de acordo com sua classificação e nível de criticidade.

6. COMUNICAÇÃO E REPORTE DE INCIDENTES

A equipe de Segurança da Informação da Simetrik está disponível para atender qualquer dúvida ou reporte de incidentes por meio do e-mail  incidents@simetrik.com

Não reportar incidentes ou violações pode resultar em ações disciplinares e/ou corretivas, conforme aplicável.

7. EXCEÇÕES

Qualquer exceção a esta política deve ser aprovada pelo Diretor de Segurança da Informação.

8. CUMPRIMENTO

A segurança da informação faz parte da nossa identidade e do nosso compromisso com a confiança e a excelência. O não cumprimento desta política será considerado uma falta grave e pode resultar em medidas disciplinares, incluindo sanções administrativas ou a rescisão do contrato de trabalho, conforme a legislação vigente e as políticas internas da Simetrik. Todos os funcionários, contratados e terceiros associados são responsáveis por cumprir esta política.

Emiliano Murúa Cuesta

Diretor de Segurança da Informação

Última atualização: 15 de abril de 2026

Este site está registrado em wpml.org como um site de desenvolvimento. Você pode mudar para uma chave de site de produção para remove this banner.