POLÍTICA DE SEGURANÇA E PRIVACIDADE DA INFORMAÇÃO

1. OBJETIVO 

Proteger os ativos de informação da Simetrik contra riscos e ameaças, tanto internos quanto externos, garantindo a confidencialidade, integridade, disponibilidade e privacidade da informação.

Na Simetrik, a segurança da informação é um pilar fundamental para a proteção dos nossos ativos, a confiança dos nossos clientes e o cumprimento das normas internacionais.

2. ESCOPO

Esta política se aplica a todos os colaboradores, contratados, fornecedores e qualquer pessoa ou entidade com acesso aos sistemas, informações e ativos de informação da Simetrik.

3. PRINCÍPIOS DE SEGURANÇA

Adotamos uma abordagem baseada em riscos para proteger os ativos de informação e os dados dos clientes contra ameaças de alto impacto e probabilidade.

Além disso, integramos os princípios de segurança da informação na cultura organizacional, tornando a segurança da informação uma responsabilidade compartilhada entre a alta administração, colaboradores, contratados e terceiros, garantindo assim uma estrutura de segurança robusta.

A Simetrik assume um firme compromisso com os seguintes princípios fundamentais de segurança e privacidade:

• Confidencialidade: Garantimos que apenas pessoas autorizadas tenham acesso à informação, evitando acessos não autorizados ou divulgações indevidas.
• Integridade: Asseguramos que a informação esteja protegida contra modificações não autorizadas, mantendo-a precisa, confiável e completa.
• Disponibilidade: Garantimos que a informação esteja disponível sempre que necessário, sem interrupções que afetem nossas operações.
• Privacidade: Protegemos os dados pessoais, respeitando a privacidade de clientes, colaboradores e terceiros, sempre em conformidade com as leis e regulamentos aplicáveis.

Diretrizes principais:

• A Confidencialidade, Integridade, Disponibilidade e Privacidade dos ativos de informação da Simetrik devem ser sempre garantidas.
• Todos os sistemas de informação e ativos de informação utilizados nas operações e na prestação de serviços devem cumprir os controles de segurança definidos pelo Infosec.
• Todos os colaboradores, contratados e terceiros devem receber formação e conscientização anual em segurança da informação para garantir que possuam o conhecimento, habilidades e ferramentas necessárias para contribuir com a proteção da informação e dos ativos de informação aos quais têm acesso.
• Devem ser aplicadas medidas para prevenir, detectar, responder, analisar, recuperar e investigar ameaças e vulnerabilidades de forma proativa.
• Devem ser implementadas metodologias e ferramentas que permitam uma adaptação ágil às mudanças no ambiente tecnológico e às novas ameaças.
• A segurança da informação deve estar integrada em todos os processos estratégicos e operacionais, garantindo que agregue valor e apoie o crescimento da Simetrik.
• A Simetrik deve garantir o cumprimento de todas as leis, normas e padrões de segurança aplicáveis, incluindo:
  • Regulamentos internacionais e locais de privacidade e segurança de dados.
  • Padrão de Segurança de Dados PCI DSS.
  • Melhores práticas de segurança da informação, incluindo ISO 27001, ISO 27701 e ISO 27018.
  • Acordos contratuais e compromissos com clientes.
  • Todas as leis e regulamentos aplicáveis nas jurisdições onde operamos.

4. RESPONSABILIDADES EM SEGURANÇA DA INFORMAÇÃO

A segurança da informação é uma responsabilidade compartilhada dentro da Simetrik.

Todos os colaboradores, fornecedores e terceiros com acesso aos nossos sistemas devem:

• Cumprir com as políticas e diretrizes de segurança estabelecidas.
• Aplicar medidas adequadas para a proteção da informação.
• Relatar imediatamente qualquer incidente ou anomalia de segurança.
• Participar dos programas de formação em segurança da informação.

O Diretor de Segurança da Informação é responsável por proteger os ativos de informação e minimizar os riscos associados a esses ativos.

Para mais informações sobre funções específicas, consulte o documento de Papéis e Responsabilidades.

5. CONTROLES E MEDIDAS 

5.1 SEGURANÇA DA INFORMAÇÃO

Implementamos controles para garantir a proteção da informação nas seguintes áreas:

• Controle de acesso: Gestão de credenciais, autenticação multifator (MFA) e princípio de privilégio mínimo.
• Proteção de dados: Criptografia em trânsito e em repouso, anonimização e controle de acesso a dados sensíveis.
• Segurança na nuvem: Aplicação de controles de segurança em serviços cloud.
• Segurança no desenvolvimento de software: Implementação de práticas de desenvolvimento seguro e testes de vulnerabilidades.
• Gestão de incidentes de segurança: Plano de resposta, análise de eventos e mitigação de riscos.
• Gestão de riscos: Avaliação e mitigação contínua de ameaças.
• Monitoramento e auditoria: Análise contínua de atividades e detecção de anomalias.
• Segurança em fornecedores e terceiros: Avaliação de riscos, cumprimento de requisitos de segurança e acordos contratuais.
• Continuidade do negócio e recuperação de desastres: Planos de contingência para garantir a operacionalidade em caso de incidentes.
• Conscientização e formação em segurança: Treinamento contínuo para colaboradores e terceiros em boas práticas de segurança, incluindo cibersegurança, engenharia social e phishing.

5.2 CIBERSEGURANÇA

A Simetrik adota uma abordagem de cibersegurança para proteger sua infraestrutura, dados e operações contra ameaças digitais em constante evolução. Para isso, são estabelecidos os seguintes princípios e controles:

• Gestão de ameaças e vulnerabilidades: Monitoramento contínuo de ameaças, análise de vulnerabilidades e gestão de riscos cibernéticos.
• Proteção contra ataques cibernéticos: Implementação de soluções avançadas de segurança, como WAF, antivírus e ferramentas de resposta a ataques.
• Segurança na rede: Aplicação de controles para proteger redes internas e externas por meio de segmentação, protocolos seguros e monitoramento de tráfego.
• Segurança em identidades e acessos: Implementação de políticas de autenticação robusta e gestão de identidades para minimizar os riscos de acesso não autorizado.
• Cibersegurança em dispositivos: Aplicação de controles de segurança em endpoints e equipamentos corporativos para prevenir ataques direcionados.

6. COMUNICAÇÃO E RELATÓRIO DE INCIDENTES

A equipe de Segurança da Informação da Simetrik está disponível para esclarecer dúvidas ou receber relatos de incidentes pelo e-mail  incidents@simetrik.com. 

Não relatar incidentes ou violações pode resultar em ações disciplinares e/ou corretivas, conforme aplicável.

7. EXCEÇÕES

Qualquer exceção a esta política deve ser aprovada pelo Diretor de Segurança da Informação.

8. CONFORMIDADE

A segurança da informação é parte da nossa identidade e compromisso com a confiança e excelência.

O descumprimento desta política será considerado uma falta grave e poderá resultar em medidas disciplinares, incluindo sanções administrativas ou rescisão do contrato de trabalho, conforme a legislação vigente e as políticas internas da Simetrik.

Todos os colaboradores, contratados e terceiros são responsáveis pelo cumprimento desta política.

‍

Emiliano Murúa Cuesta

Diretor de Segurança da Informação

‍

Última atualização: 20 de março de 2025