Política de Segurança da Informação

A MTECH Serviços em Tecnologia da Informação Ltda. (CNPJ 42.631.899/0001-90) reconhece a informação como um ativo estratégico e estabelece esta Política de Segurança da Informação (PSI) para preservar a confidencialidade, integridade e disponibilidade das informações próprias, de clientes e de terceiros sob sua responsabilidade.

1. Objetivo

Definir princípios, diretrizes e responsabilidades para proteger as informações tratadas pela MTECH, em conformidade com as melhores práticas de mercado (referenciais como ABNT NBR ISO/IEC 27001 e 27002), requisitos legais aplicáveis e expectativas de partes interessadas.

2. Abrangência

Aplica-se a todos os colaboradores, estagiários, prestadores de serviço, fornecedores e parceiros que acessem informações, sistemas ou ambientes tecnológicos da MTECH, independentemente do vínculo contratual ou da localização.

3. Princípios

  • Confidencialidade: acesso restrito a pessoas autorizadas;
  • Integridade: proteção contra alterações não autorizadas;
  • Disponibilidade: acesso oportuno e confiável quando necessário;
  • Conformidade: aderência a leis, normas e contratos;
  • Mínimo privilégio: concessão estrita ao necessário;
  • Segregação de funções: separação de atividades sensíveis.

4. Diretrizes Gerais

  • Classificação e tratamento da informação conforme criticidade e sensibilidade;
  • Gestão de identidades, acessos e autenticação (incluindo MFA quando aplicável);
  • Criptografia para dados em trânsito e em repouso conforme a criticidade;
  • Gestão de vulnerabilidades, patches e atualizações de segurança;
  • Monitoramento contínuo, registro de eventos (logs) e detecção de ameaças;
  • Proteção de endpoints, redes, perímetro e ambientes em nuvem;
  • Backups periódicos, testados e armazenados de forma segura;
  • Gestão de continuidade de negócios e recuperação de desastres;
  • Segurança no ciclo de desenvolvimento de software (Secure SDLC);
  • Gestão de fornecedores e cláusulas contratuais de segurança;
  • Programa permanente de conscientização e treinamento.

5. Responsabilidades

  • Alta Direção: patrocinar, aprovar e prover recursos para o programa de segurança;
  • Comitê de Segurança da Informação: deliberar sobre riscos, exceções e melhorias;
  • Equipe de Segurança/TI: implementar, operar e monitorar controles;
  • Gestores: assegurar a aderência das equipes às normas;
  • Usuários: cumprir esta Política, normas e procedimentos correlatos.

6. Uso Aceitável

Recursos tecnológicos disponibilizados pela MTECH destinam-se a atividades profissionais. É vedado seu uso para fins ilícitos, ofensivos, discriminatórios, de violação de propriedade intelectual ou que comprometam a segurança da informação.

7. Gestão de Incidentes

Incidentes de segurança devem ser comunicados imediatamente ao canal interno designado para tratamento, contenção, investigação, registro e melhoria contínua. Incidentes envolvendo dados pessoais seguem o plano específico de resposta a incidentes em conformidade com a LGPD.

8. Conformidade e Sanções

O descumprimento desta Política sujeita o infrator a medidas disciplinares, contratuais e/ou legais cabíveis, sem prejuízo da reparação de eventuais danos. Auditorias internas e externas podem ser conduzidas para verificar a conformidade.

9. Revisão

Esta Política é revisada, no mínimo, anualmente, ou sempre que houver mudanças relevantes no contexto de riscos, legislação ou estratégia da MTECH.