1. OBJETIVO

Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da Valid e de seus clientes. Posiciona-se como documento estratégico, com vistas a promover o uso seguro dos ativos de informação da Valid. Assim, deve ser entendida como uma declaração formal da Alta Administração acerca de seu compromisso com a proteção das informações sobre sua custódia, devendo ser cumprida por todos os terceiros e prestadores de serviços da Valid.

2. CAMPO DE APLICAÇÃO

Aplica-se a todos os provedores relevantes para o Sistema de Gestão de Segurança da Informação.

3. DIRETRIZES

As práticas da organização contratada devem estar aderentes à Política de Segurança da Informação, descritas nesse documento.

4. ASPECTOS GERAIS

• As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos terceiros e prestadores de serviços são de exclusiva propriedade da Valid, não podendo ser interpretado como de uso pessoal.

• Os terceiros e prestadores de serviços devem possuir uma identificação única (física e lógica), pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações.

• Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades.

• Informações confidenciais como senhas e/ou qualquer informação a qual o profissional possua em seu poder durante exercício do seu cargo devem sempre ser mantidas de forma secreta, sendo terminantemente proibido seu compartilhamento.

• O terceiro/ prestador de serviço compromete-se e é responsável pelos seus funcionários, agentes, consultores e ou representantes – que tenham necessidade de conhecer informações confidenciais – a manter sigilo sobre as mesmas, abstendo-se de copiar, vender, ceder, licenciar, comercializar, transferir ou outra forma de alienar, divulgar ou dispor de tais informações a outro (que não envolvido no contrato), tampouco de utilizá-las para quaisquer fins, exceto se com prévia e expressa autorização por escrito.

• As informações de clientes devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes estabelecidas pelas leis vigentes. Devem ser utilizadas somente para os fins para os quais foram autorizadas.

• Todos os terceiros e prestadores de serviços devem ter ciência de que o uso das informações e dos sistemas de informação podem ser monitorados, sem aviso prévio, e que os registros assim obtidos podem servir de evidência para a aplicação de medidas legais.

• Essa política é apoiada por um conjunto de normativas e procedimentos de segurança da informação estabelecidos pela Valid.
• A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.

• O terceiro/ prestador de serviço declara (por si, seus colaboradores, agentes, consultores) ter recebido e estar de acordo com essa Política de Segurança da Informação para Provedores, comprometendo-se a cumpri-la, bem como à eventuais atualizações que possam ser feitas pela Valid.
• Esses aspectos passam a ser obrigatórios a partir do início das atividades referentes ao contrato estabelecido entre a Valid e o Terceiro/ Prestador de Serviço.