
POLÍTICA PARA PROVEDORES
I. OBJETIVO
Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da Valid e de seus clientes.
Posiciona-se como documento estratégico, com vistas a promover o uso seguro dos ativos de informação da Valid. Assim, deve ser entendida como uma declaração formal da Alta Administração acerca de seu compromisso com a proteção das informações sobre sua custódia, devendo ser cumprida por todos os terceiros e prestadores de serviços da Valid.
II. CAMPO DE APLICAÇÃO
Aplica-se a todos os provedores relevantes para o Sistema de Gestão de Segurança da Informação.
III. DIRETRIZES
As práticas da organização contratada devem estar aderentes à Política de Segurança da Informação, descritas nesse documento.
IV. ASPECTOS GERAIS
As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos terceiros e prestadores de serviços são de exclusiva propriedade da Valid, não podendo ser interpretado como de uso pessoal.
Os terceiros e prestadores de serviços devem possuir uma identificação única (física e lógica), pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações.
Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades.
Informações confidenciais como senhas e/ou qualquer informação a qual o profissional possua em seu poder durante exercício do seu cargo devem sempre ser mantidas de forma secreta, sendo terminantemente proibido seu compartilhamento.
O terceiro/ prestador de serviço compromete-se e é responsável pelos seus funcionários, agentes, consultores e ou representantes – que tenham necessidade de conhecer informações confidenciais – a manter sigilo sobre as mesmas, abstendo-se de copiar, vender, ceder, licenciar, comercializar, transferir ou outra forma de alienar, divulgar ou dispor de tais informações a outro (que não envolvido no contrato), tampouco de utilizá-las para quaisquer fins, exceto se com prévia e
expressa autorização por escrito.
As informações de clientes devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes estabelecidas pelas leis vigentes. Devem ser utilizadas somente para os fins para os quais foram autorizadas.
Todos os terceiros e prestadores de serviços devem ter ciência de que o uso das informações e dos sistemas de informação podem ser monitorados, sem aviso prévio, e que os registros assim obtidos podem servir de evidência para a aplicação de medidas legais.
Essa política é apoiada por um conjunto de normativas e procedimentos de segurança da informação estabelecidos pela Valid.
A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.
O terceiro/ prestador de serviço declara (por si, seus colaboradores, agentes, consultores) ter recebido e estar de acordo com essa Política de Segurança da Informação para Provedores, comprometendo-se a cumpri-la, bem como à eventuais atualizações que possam ser feitas pela Valid.
Esses aspectos passam a ser obrigatórios a partir do início das atividades referentes ao contrato estabelecido entre a Valid e o Terceiro/ Prestador de Serviço.
Informação enviada à destinatários externos será classificada e rotulada, pelos colaboradores da VALID, quanto ao seu conteúdo (confidencial, restrita ou interna).
E-mails cuja classificação seja “confidencial” ou “restrita” e que contenham anexo(s) serão compactados e protegidos por senha.
A senha para abertura do anexo será enviada através de um novo e-mail ou qualquer outro meio de comunicação, que poderá ser previamente combinado.