I. OBJETIVO

Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da Valid e de seus clientes.
Posiciona-se como documento estratégico, com vistas a promover o uso seguro dos ativos de informação da Valid. Assim, deve ser entendida como uma declaração formal da Alta Administração acerca de seu compromisso com a proteção das informações sobre sua custódia, devendo ser cumprida por todos os terceiros e prestadores de serviços da Valid.

II. CAMPO DE APLICAÇÃO

Aplica-se a todos os provedores relevantes para o Sistema de Gestão de Segurança da Informação.

III. DIRETRIZES

As práticas da organização contratada devem estar aderentes à Política de Segurança da Informação, descritas nesse documento.

IV. ASPECTOS GERAIS

As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos terceiros e prestadores de serviços são de exclusiva propriedade da Valid, não podendo ser interpretado como de uso pessoal.

Os terceiros e prestadores de serviços devem possuir uma identificação única (física e lógica), pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações.

Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades.

Informações confidenciais como senhas e/ou qualquer informação a qual o profissional possua em seu poder durante exercício do seu cargo devem sempre ser mantidas de forma secreta, sendo terminantemente proibido seu compartilhamento.

O terceiro/ prestador de serviço compromete-se e é responsável pelos seus funcionários, agentes, consultores e ou representantes – que tenham necessidade de conhecer informações confidenciais – a manter sigilo sobre as mesmas, abstendo-se de copiar, vender, ceder, licenciar, comercializar, transferir ou outra forma de alienar, divulgar ou dispor de tais informações a outro (que não envolvido no contrato), tampouco de utilizá-las para quaisquer fins, exceto se com prévia e
expressa autorização por escrito.

As informações de clientes devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes estabelecidas pelas leis vigentes. Devem ser utilizadas somente para os fins para os quais foram autorizadas.

Todos os terceiros e prestadores de serviços devem ter ciência de que o uso das informações e dos sistemas de informação podem ser monitorados, sem aviso prévio, e que os registros assim obtidos podem servir de evidência para a aplicação de medidas legais.

Essa política é apoiada por um conjunto de normativas e procedimentos de segurança da informação estabelecidos pela Valid.

A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.

O terceiro/ prestador de serviço declara (por si, seus colaboradores, agentes, consultores) ter recebido e estar de acordo com essa Política de Segurança da Informação para Provedores, comprometendo-se a cumpri-la, bem como à eventuais atualizações que possam ser feitas pela Valid.

Esses aspectos passam a ser obrigatórios a partir do início das atividades referentes ao contrato estabelecido entre a Valid e o Terceiro/ Prestador de Serviço.

Informação enviada à destinatários externos será classificada e rotulada, pelos colaboradores da VALID, quanto ao seu conteúdo (confidencial, restrita ou interna).

E-mails cuja classificação seja “confidencial” ou “restrita” e que contenham anexo(s) serão compactados e protegidos por senha.

A senha para abertura do anexo será enviada através de um novo e-mail ou qualquer outro meio de comunicação, que poderá ser previamente combinado.