Política de Segurança da Informação
A MTECH Serviços em Tecnologia da Informação Ltda. (CNPJ 42.631.899/0001-90) reconhece a informação como um ativo estratégico e estabelece esta Política de Segurança da Informação (PSI) para preservar a confidencialidade, integridade e disponibilidade das informações próprias, de clientes e de terceiros sob sua responsabilidade.
1. Objetivo
Definir princípios, diretrizes e responsabilidades para proteger as informações tratadas pela MTECH, em conformidade com as melhores práticas de mercado (referenciais como ABNT NBR ISO/IEC 27001 e 27002), requisitos legais aplicáveis e expectativas de partes interessadas.
2. Abrangência
Aplica-se a todos os colaboradores, estagiários, prestadores de serviço, fornecedores e parceiros que acessem informações, sistemas ou ambientes tecnológicos da MTECH, independentemente do vínculo contratual ou da localização.
3. Princípios
- Confidencialidade: acesso restrito a pessoas autorizadas;
- Integridade: proteção contra alterações não autorizadas;
- Disponibilidade: acesso oportuno e confiável quando necessário;
- Conformidade: aderência a leis, normas e contratos;
- Mínimo privilégio: concessão estrita ao necessário;
- Segregação de funções: separação de atividades sensíveis.
4. Diretrizes Gerais
- Classificação e tratamento da informação conforme criticidade e sensibilidade;
- Gestão de identidades, acessos e autenticação (incluindo MFA quando aplicável);
- Criptografia para dados em trânsito e em repouso conforme a criticidade;
- Gestão de vulnerabilidades, patches e atualizações de segurança;
- Monitoramento contínuo, registro de eventos (logs) e detecção de ameaças;
- Proteção de endpoints, redes, perímetro e ambientes em nuvem;
- Backups periódicos, testados e armazenados de forma segura;
- Gestão de continuidade de negócios e recuperação de desastres;
- Segurança no ciclo de desenvolvimento de software (Secure SDLC);
- Gestão de fornecedores e cláusulas contratuais de segurança;
- Programa permanente de conscientização e treinamento.
5. Responsabilidades
- Alta Direção: patrocinar, aprovar e prover recursos para o programa de segurança;
- Comitê de Segurança da Informação: deliberar sobre riscos, exceções e melhorias;
- Equipe de Segurança/TI: implementar, operar e monitorar controles;
- Gestores: assegurar a aderência das equipes às normas;
- Usuários: cumprir esta Política, normas e procedimentos correlatos.
6. Uso Aceitável
Recursos tecnológicos disponibilizados pela MTECH destinam-se a atividades profissionais. É vedado seu uso para fins ilícitos, ofensivos, discriminatórios, de violação de propriedade intelectual ou que comprometam a segurança da informação.
7. Gestão de Incidentes
Incidentes de segurança devem ser comunicados imediatamente ao canal interno designado para tratamento, contenção, investigação, registro e melhoria contínua. Incidentes envolvendo dados pessoais seguem o plano específico de resposta a incidentes em conformidade com a LGPD.
8. Conformidade e Sanções
O descumprimento desta Política sujeita o infrator a medidas disciplinares, contratuais e/ou legais cabíveis, sem prejuízo da reparação de eventuais danos. Auditorias internas e externas podem ser conduzidas para verificar a conformidade.
9. Revisão
Esta Política é revisada, no mínimo, anualmente, ou sempre que houver mudanças relevantes no contexto de riscos, legislação ou estratégia da MTECH.
