Pronto para elevar a segurança da sua empresa?
Descubra como a Caf pode proteger sua operação, reduzir fraudes e otimizar o onboarding com performance e confiança.
Segurança
1. Objective
This Information Security Policy (“ISP”) aims to establish the principles, concepts, and general guidelines regarding Information Security (I.S.), intended to protect the information of Combateafraude Tecnologia da Informação S.A. (“CERTTA”) and its clients. This is a strategic document designed to promote the secure use of CERTTA’s information assets and to guide all employees, clients, and partners regarding the information security directives adopted.
Accordingly, this Policy shall be understood as a formal statement of the company’s commitment to protecting the information under its custody and must be complied with by all employees.
2. Scope and Assumptions
This Policy outlines comprehensive guidelines for the protection of information, ensuring the fundamental principles of confidentiality, integrity, and availability. Its scope encompasses all CERTTA operations and establishes essential premises for preserving information security at all organizational levels.
Given the growing reliance on information technology (IT) assets, it is essential that administrators and users of these assets adopt appropriate protection measures, comply with the controls required by CERTTA, and maintain operational risk levels involving data and information within acceptable criteria.
3. Coverage and Applicability
This Policy applies to:
- All CERTTA Employees, regardless of (i) their area of activity, (ii) hierarchical level, or (iii) headquarters, branch, or country where they are allocated;
- All Third Parties (goods and service providers) who perform professional activities at CERTTA or represent it for any purpose, regardless of their headquarters, branch, or country.
For the purposes of this Policy, Employees and Third Parties shall be jointly referred to as “Collaborators.”
4. Information Security Principles
Information security aims to preserve the properties of confidentiality, integrity, and availability of information, whether in electronic, physical, or verbal form, as well as the systems that store such information, based on the following pillars:
Confidentiality: Access to CERTTA’s information, as well as that of its clients, suppliers, and third parties, is granted only to authorized individuals and only when necessary, preventing unauthorized access.
Integrity: CERTTA ensures the accuracy and completeness of information and its processing methods, as well as the integrity of client data under its responsibility.
Availability: CERTTA ensures that information and related assets are available to professionals who genuinely require access, in accordance with the service levels agreed with clients.
Authenticity: CERTTA ensures the legitimacy and veracity of the origin of information, guaranteeing the unequivocal identification of the author of data recorded in its systems. Mechanisms are adopted to prevent unauthorized changes and ensure traceability throughout the information lifecycle.
5. Definitions
For better understanding of this Policy, the following definitions apply:
Threat: Potential cause of an incident that may result in harm to CERTTA’s business.
Cloud Computing Environment: Model for delivering IT resources (infrastructure, platform, or software) via the internet through external providers, with high scalability and flexibility.
Anonymization: Use of reasonable and available technical means at the time of processing by which data can no longer be associated, directly or indirectly, with an individual.
Antivirus/Antimalware: Security solution installed on devices to detect, block, and remove malicious software.
Information Asset: Any item that contains, processes, or supports CERTTA data, including files, systems, physical devices (such as laptops and servers), and printed documents.
Audit: Systematic, documented, and independent process for obtaining evidence and evaluating the extent to which audit criteria are met.
Backup: Secure copy of corporate information stored in a safe location, used for recovery in case of loss, failure, or incident.
Information Security, Privacy, and Data Protection Committee: Permanent multidisciplinary working group appointed by CERTTA’s Board to address matters related to privacy, data protection, and information security.
Encryption: Technique used to encode information to prevent unauthorized access, even in the event of interception or leakage.
Personal Data: Information relating to an identified or identifiable natural person.
Sensitive Personal Data: Personal data relating to racial or ethnic origin, religious belief, political opinion, union membership, health, sexual life, genetic or biometric data linked to a natural person.
Firewall: Device or software used to control network traffic, allowing or blocking connections based on security rules.
Information Security Incident: Any event that compromises the confidentiality, integrity, or availability of information, including but not limited to personal data.
Processing: Any operation performed on Personal Data, such as collection, production, reception, classification, use, access, reproduction, transmission, distribution, processing, archiving, storage, deletion, evaluation, modification, communication, transfer, dissemination, or extraction.
Vulnerability: Weakness in systems, processes, or configurations that may be exploited by a threat.
6. Guidelines
CERTTA is committed to complying with applicable legislation. To effectively guide its business activities, CERTTA establishes a structured and transparent Information Security Policy. Accordingly, the following guidelines apply:
- Treat all information confidentially and ethically throughout its lifecycle;
- Ensure segregation of duties to prevent conflicts of interest or self-sabotage;
- Monitor and respond to incidents involving all CERTTA assets and services;
- Promote awareness and engagement through regular training;
- Adopt and disseminate security best practices throughout the application development lifecycle and in new processes and products.
Additionally:
- Information and technological environments are the exclusive property of CERTTA;
- Client, partner, third-party, and employee information must be handled ethically and in compliance with applicable laws, especially data protection laws;
- Information must be used only for authorized purposes;
- System and information usage may be monitored and logs used as evidence;
- CERTTA commits to adopting appropriate security techniques for data processing;
- Confidential information must never be shared without authorization and secure mechanisms;
- Responsibilities for information security must be widely communicated;
- This Policy is supported by additional security standards and procedures;
- CERTTA is committed to continuous improvement of its Information Security Management System in accordance with ISO/IEC 27001.
7. Roles and Responsibilities
7.1 All Collaborators
- Be aware of and comply with the guidelines established by CERTTA, especially the information security criteria set forth in this document;
- Classify information in accordance with the criteria defined in CERTTA’s internal Information Classification Policy;
- Strictly comply with this Policy, CERTTA’s Information Security Standards and Procedures, and any other documents related to information security;
- Participate in information security training sessions, campaigns, and workshops provided by CERTTA;
- Protect information against unauthorized access, modification, destruction, or disclosure;
- Ensure that the technological resources, information, and systems made available are used only for purposes approved by CERTTA;
- Comply with laws and regulations governing intellectual property and fair competition;
- Do not discuss confidential work matters in public places or exposed areas (airplanes, public transportation, restaurants, social gatherings, etc.), including posting comments or opinions about confidential matters on blogs and social media;
- Do not share your access credentials to CERTTA Systems with third parties, including other collaborators;
- Immediately report any non-compliance with or violation of this Policy to the Information Security area via email: [email protected];
- Notify the DPO (Data Protection Officer) and CERTTA’s Privacy area via [email protected] and [email protected] in the event of incidents and/or questions related to personal data privacy, in accordance with the applicable Privacy Policies;
- In the event of a violation of this Policy, contact CERTTA’s Whistleblowing Channel (https://www.contatoseguro.com.br/caf) or the Compliance team directly via email: [email protected].
7.2 Responsibilities of the Information Security Team
- Review and validate CERTTA’s Information Security Policies, ensuring compliance with applicable legislation;
- Identify and communicate potential technical vulnerabilities related to the Information Security System, acting as the guardian of the Information Security System Organization Policy and ensuring compliance with this document and other relevant guidelines;
- Support CERTTA’s Information Security, Privacy, and Data Protection Committee in mitigating organizational risks and contribute to achieving the strategic objectives of the Information Security System;
- Implement and manage information security controls and standards by broadly promoting and reviewing Information Security Policies, Standards, and Procedures for all collaborators, including third parties;
- Promote information security awareness initiatives for all collaborators;
- Propose and manage projects and initiatives related to CERTTA’s information security management;
- Manage and monitor the systems and controls under the responsibility of CERTTA’s Information Security area and those of its clients;
- Manage software, assets, scripts, privileged accounts, vulnerabilities, equipment, and other activities that ensure the security of information managed by CERTTA;
- Control changes made to IT assets, ensuring they are properly analyzed and tested to prevent adverse impacts on CERTTA’s operations or information security.
7.3 Responsibilities of the Compliance Area
- Communicate legislative changes that impact these policies, proposing the necessary adaptations;
- Provide support to the business areas in handling cases of non-compliance, including the recommendation of disciplinary and/or legal measures, when applicable;
- Support other areas in adopting containment measures in situations involving improper use of data.
7.4 Responsibilities of the Privacy Area and the DPO
- Advise CERTTA on the adoption of best practices in personal data protection, in compliance with applicable legislation;
- Monitor and propose solutions to mitigate risks related to privacy and personal data protection;
- Educate collaborators on secure and appropriate personal data processing practices;
- Act as a point of communication between CERTTA, data subjects, and governmental authorities.
8. Information Classification and Handling
To establish robust security criteria in line with governance best practices, CERTTA adopts formal information classification and labeling practices, as set forth in its Information Classification Policy.
Information is categorized according to its level of importance, criticality, sensitivity, and relevance to CERTTA’s business, using the following standard labels: Public, Internal, Restricted, Confidential.
All information must be adequately protected in accordance with CERTTA’s information security guidelines throughout its entire lifecycle, including its creation, handling, storage, transportation, and disposal.
Information must be used ethically, transparently, and exclusively for the purposes for which it was collected, in compliance with the principles of privacy and personal data protection established by the LGPD.
When information is used for statistical purposes, reports, or analyses, anonymization is mandatory, ensuring that the data does not allow the direct or indirect identification of clients, third parties, or collaborators, except where expressly consented to or required by law.
9. Information Security Measures
In order to protect CERTTA’s assets and ensure the confidentiality, integrity, availability, and authenticity of data, CERTTA adopts a robust set of information security measures, applied both within its internal environment and across the products and services offered to the market. These measures aim to mitigate risks, prevent security incidents, and ensure compliance with legal and regulatory requirements. The measures adopted by CERTTA are described below.
9.1 Access Management
In order to ensure the effectiveness of the Information Security System, all access granting, revocation, and review activities are performed by the IT department, based on the principle of least privilege, as set forth in the Logical Access Management Policy.
Accordingly, access permission levels are limited strictly to the information necessary for the performance of the user’s duties, preventing access to information that is not required for their role.
All collaborators and service providers are responsible for complying with these guidelines, using only the accesses that have been formally granted (upon proper approval) and maintaining the confidentiality of their credentials.
Considering that a significant portion of collaborators work remotely (home office), they are responsible for adopting appropriate physical protection measures in their work environments, including, but not limited to:
- Ensuring that devices used for work are protected against unauthorized access by third parties;
- Avoiding the storage of sensitive information in unsecured locations;
- Locking the screen when away from the workstation to ensure confidentiality;
- Avoiding the discussion of confidential matters in public places;
- Complying with the clean desk policy, avoiding the placement of information on sticky notes or similar materials attached to computers or work equipment.
Regarding physical access to CERTTA’s facilities, especially environments containing technological resources, access is restricted and controlled, in accordance with the following principles:
- Access to CERTTA’s physical premises is granted only upon formal authorization;
- Visitors must be previously identified and registered and, when necessary, accompanied by an authorized collaborator throughout their stay.
9.2 Password Management
Passwords and access codes for personal devices and systems must not be shared under any circumstances, as they are personal and non-transferable information, in accordance with the guidelines and recommendations set forth in CERTTA’s Password Policy.
In addition, CERTTA collaborators must comply with minimum security standards, including the use of a password vault.
Each collaborator is fully responsible for all actions performed using their credentials, as well as for any damages or losses resulting from the disclosure of their password to third parties, regardless of the reason.
9.3. Encryption
In order to establish the highest security standards, CERTTA seeks to implement cryptographic controls for the storage and transmission of information in the course of its activities. Accordingly, all confidential data of CERTTA must be protected through encryption, including data on all equipment used by collaborators and/or third parties, in compliance with the guidelines and recommendations set forth in the Encryption Policy.
In addition, whenever new controls are implemented, they shall be tested and evaluated with regard to their security level and effectiveness, ensuring that the established protection criteria are being met.
9.4. Corporate Email
The use of corporate email services must be exclusively related to CERTTA’s activities and interests. All information stored or transmitted through the corporate email system is the exclusive property of CERTTA. The account holder is fully responsible for its use, and the following actions are prohibited:
- Storing emails or any organizational information in a personal mailbox or in any other digital or printed storage medium;
- Forging, falsifying, or altering any information contained in messages;
- Producing, transmitting, or disclosing messages containing hostile information;
- Sending email messages using CERTTA’s domain or another person’s username or email address that the sender is not authorized to use;
- Disclosing unauthorized information or screenshots, systems, documents, or similar materials without express authorization.
9.5. Use of Equipment
CERTTA’s equipment is provided exclusively for the performance of professional activities and includes content filtering and monitoring tools, with the purpose of protecting collaborators, preserving the company’s assets, and ensuring compliance with this Policy and the Code of Conduct.
The equipment does not allow the use of mass storage devices (such as USB flash drives and external USB disks). In addition, access to CERTTA’s services requires the mandatory use of MFA (Multi-Factor Authentication) tools through authenticator applications.
9.6. Backup
In order to ensure the integrity and availability of the information under its custody, CERTTA performs recurring backups of its databases, as set forth in the Backup Policy.
CERTTA also conducts restore tests to confirm the integrity of backup copies and their recovery time.
10. Use of Artificial Intelligence
CERTTA aims to establish guidelines for the responsible, ethical, and secure use of Artificial Intelligence (AI) in the development of products, services, and tests carried out by CERTTA, in accordance with its institutional principles and governance structure. Accordingly, collaborators involved in the design, development, deployment, and monitoring of AI systems must base their decisions on the following principles, as reinforced by CERTTA’s AI governance framework:
- Security and Reliability: AI systems must be designed to operate in a secure and reliable manner, including in the face of unforeseen situations;
- Transparency and Accountability: The right to information regarding automated decisions made by AI systems must be ensured, making AI systems understandable;
- Ethics and Fairness: The entire AI lifecycle must be conducted in an ethical, fair, non-discriminatory, and trustworthy manner, based on impact assessments;
- Accountability: Collaborators must assume responsibility for decisions and impacts arising from the use of AI;
- Risk Management: An organizational culture focused on continuous monitoring and mitigation of risks associated with AI must be implemented.
Accordingly, CERTTA is committed to developing products and systems that:
- Operate in a fair manner, actively recognizing and correcting disparities;
- Do not make distinctions of any kind, including but not limited to race, color, sex, gender, age, national or social origin, or any other condition.
CERTTA also commits to continuously monitoring the use of artificial intelligence in alignment with its principles, values, and strategic objectives.
11. Personal Data Protection
CERTTA maintains a robust governance program for privacy and personal data protection. As provided in its Privacy Policy, all necessary measures are adopted to ensure CERTTA’s compliance with applicable data protection legislation.
Among the measures adopted, access to information is restricted to authorized individuals only, including data sharing with third parties when necessary, as well as defined data retention periods and secure data disposal procedures.
12. Risk Management, Objectives, and Information Security Incidents
CERTTA has a Risk Management Policy and a formal procedure that governs the handling of Information Security incidents, establishing guidelines, responsibilities, and procedures to ensure the proper protection of its information assets.
Risk management is carried out through risk assessments, including the identification, evaluation, and treatment of risks that may impact CERTTA’s operations, assets, reputation, or legal and regulatory compliance.
This process is aligned with the organization’s strategic context and aims to preserve the principles of confidentiality, integrity, availability, and authenticity of information.
Identified risks are assessed based on their likelihood and impact and are treated according to their criticality through mitigation, acceptance, transfer, or elimination actions, always in accordance with the risk levels defined by Senior Management.
Regarding information security incidents, CERTTA adopts formal procedures that establish:
- Identification, categorization, and analysis of incidents;
- Immediate response and treatment for containment and damage mitigation;
- Detailed incident recording for audit and continuous improvement purposes;
- Communication to internal stakeholders and, when applicable, notification to clients, regulatory authorities, or other stakeholders, as required;
- Execution of lessons-learned activities to strengthen security controls.
All collaborators are required to immediately report any event or suspected security incident using the official channels made available.
13. Information Asset Management
CERTTA’s information assets must be properly identified, classified, and recorded in a centralized inventory, whenever applicable, in accordance with internal guidelines. Responsibility for maintaining, periodically updating, and ensuring the accuracy of the information asset inventory lies with CERTTA’s Information Security team, with the support of the respective asset owners, who must ensure that the information remains accurate and up to date.
Proper asset management is essential to ensure the protection of CERTTA’s information throughout all stages of its lifecycle, promoting the integrity, confidentiality, and availability of corporate data and resources.
14. Security Awareness Training
We recognize our collaborators as a first line of defense in protecting CERTTA’s data and that of our clients. To support this role effectively, we maintain a dedicated team focused on promoting security awareness, starting from the onboarding process for new collaborators to ensure their familiarity with secure practices. In addition, we remain committed to continuous training in data security and the protection of personal information.
Our collaborators are trained to effectively identify and report commonly used attack vectors, such as phishing. The effectiveness of our awareness programs is monitored through performance indicators, ensuring continuous improvement. Training schedules are periodically reviewed to incorporate market trends and the evolving maturity of our collaborators.
We foster an active security culture through various communication and engagement initiatives, including:
- Biweekly newsletter: continuous communication on security topics with all collaborators;
- Social media content: sharing useful security tips with our clients and followers;
- Corporate podcast: a space where collaborators share knowledge on security;
- Engagement events: events open to the public and collaborators’ families aimed at bringing security awareness to the community, as well as events focused on collaborators and third parties to exchange knowledge and experiences related to cybersecurity beyond the work environment.
These initiatives ensure that our collaborators are always informed and prepared to face security challenges, reinforcing our proactive posture in data protection.
15. Engagement and Use of Tools Provided by Suppliers and Third Parties
CERTTA maintains a robust KYS (Know Your Supplier) process. All suppliers must undergo a prior privacy and information security due diligence assessment, both at the time of engagement and throughout the duration of the contractual relationship.
Depending on the service or product provided, the supplier may also be required to present information security and business continuity certifications, such as: ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27017, ISO/IEC 27018, and ISO 22301. Such certifications must be issued by an Accredited Certification Body (ACB) holding national or international accreditation.
All tools and systems used by collaborators must be previously authorized by the Information Security area in order to ensure that they meet the appropriate security standards. The use of non-approved systems may result in the sanctions established in this Policy being applied to the offending user.
Likewise, all third-party or supplier tools must be used in good faith and in compliance with CERTTA’s policies and standards, with users being aware of their accountability for any improper use or use in violation of the established policies.
16. Exceptions
Collaborators who require an exception to this Policy must:
- Submit a formal request containing a detailed explanation of the need for the exception, with prior approval from their immediate manager;
- Register the request by opening a ticket directed to the Information Security area;
- Await the analysis, documentation, and final decision of the Information Security area, with validation by CERTTA’s Executive Management.
In situations where the exception represents a risk to information security or regulatory compliance, formal risk acceptance may be required, in accordance with the applicable Risk Management Policy. In such cases, CERTTA’s Risk Management team will be engaged to perform the risk assessment, document the decision, and, when applicable, obtain approval from Senior Management.
17. Sanctions
In the event of non-compliance with the rules established in this Policy by collaborators or third parties, the sanctions set forth in CERTTA’s Code of Ethics and Conduct shall be applied. The severity of the sanctions will be determined according to the level of seriousness of the conduct committed by the collaborator.
18. Final Provisions
This Policy shall remain in force for a period of one (1) year; however, it may be reviewed, updated, or amended at any time, at CERTTA’s sole discretion, whenever a relevant fact or event justifies its revision.
The Information Security area is responsible for supervising compliance with this Policy and for referring any relevant cases to executive management. In the event of questions related to this Policy, it is recommended to contact the Information Security area via email at [email protected].
19. References
The following guidelines and supporting documents are an integral part of this Information Security Policy for legal purposes and must be equally observed:
- Audit Log Management Procedure;
- Backup Policy;
- Brazilian Law No. 13,709/2018 – General Data Protection Law (LGPD);
- Cloud Security Policy;
- Code of Conduct & Ethics;
- Data Retention and Disposal Policy;
- Encryption Policy;
- Equipment Use Policy;
- Information Classification Policy;
- Information Security System Organization Policy;
- ISO 31000 – Risk Management;
- ISO/IEC 27001 – Information Security Management;
- ISO/IEC 27002 – Information security, cybersecurity, and privacy protection – Information security controls;
- Logical Access Management Policy;
- Password Policy;
- Personal Data Breach and Information Security Incident Management Procedure Manual;
- Privacy Policies;
- Procedures Manual for the Secure Disposal of Data and Sensitive Information;
- Security Measures Applied by CERTTA;
- Standard for the Secure Disposal of Sensitive Information;
- Trust Services Criteria for SOC 2 Type 2.
20. Version History
1. Objetivo
A presente Política de Segurança da Informação (“PSI”) tem o intuito de estabelecer os princípios, conceitos e diretrizes gerais a respeito da Segurança da Informação (S.I), os quais visam proteger as informações da Combateafraude Tecnologia da Informação S.A. (“CERTTA”) e de seus clientes. Trata-se de documento estratégico para promover o uso seguro dos ativos de informação da CERTTA, orientar a todos os colaboradores, clientes e parceiros no que tange às diretivas relacionadas à segurança da informação adotadas. Assim, deve ser entendida como uma declaração formal da empresa acerca de seu compromisso com a proteção das informações sob sua custódia, devendo ser cumprida por todos os colaboradores.
2. Escopo e Premissas
Esta política delineia diretrizes abrangentes para a proteção das informações, assegurando os princípios fundamentais de confidencialidade, integridade e disponibilidade. Seu escopo envolve a totalidade das operações da CERTTA e estabelece premissas essenciais para a preservação da segurança da informação em todos os níveis da organização.
Com o crescente suporte dado pelos ativos de tecnologia da informação (TI), é fundamental que as medidas adequadas de proteção sejam tomadas pelos administradores e usuários desses ativos, cumprindo os controles esperados pela CERTTA e mantendo o nível de risco das operações que envolvam dados e informações dentro de critérios aceitáveis.
3. Abrangência e Aplicabilidade
Dessa forma, a presente Política se aplica a:
- Todos os Funcionários da CERTTA, independentemente de sua (i) área de atuação, (ii) nível hierárquico; (iii) sede, filial ou país em que esteja alocado;
- Todos os Terceiros (prestadores de bens e serviços) que desenvolvam suas atividades profissionais na CERTTA, ou que a representem para quaisquer finalidades, independentemente da sede, filial ou país que esteja alocado.
Para fins desta Política, quando for necessário mencioná-los em conjunto, trataremos Funcionários e Terceiros apenas como “Colaboradores”.
4. Princípios da Segurança da Informação
A segurança da informação visa preservar as propriedades de confidencialidade, integridade, disponibilidade das informações, sejam elas em meio eletrônico, físico ou mesmo acessadas de forma verbal, bem como, os sistemas de armazenamento, preservando-se os seguintes pilares:
Confidencialidade: O acesso às informações da CERTTA, de seus clientes, fornecedores e terceiros são obtidos somente por pessoas autorizadas e quando o acesso de fato for necessário, prevenindo o acesso indevido.
Integridade: A CERTTA assegura a exatidão e a completude das informações e dos métodos de seu processamento, bem como a integridade dos dados de clientes que estejam sob sua responsabilidade.
Disponibilidade: A CERTTA assegura que as informações e ativos correspondentes estejam sempre disponíveis aos profissionais que realmente necessitam de acesso, assegurando que os dados sejam disponibilizados conforme o nível previsto no acordo de serviço contratado pelos clientes.
Autenticidade: A CERTTA assegura a legitimidade e a veracidade da origem das informações, garantindo a identificação inequívoca do autor dos dados registrados em seus sistemas. São adotados mecanismos que impedem modificações não autorizadas e asseguram a rastreabilidade de todas as alterações realizadas durante o ciclo de vida da informação.
5. Definições
Para melhor compreensão desta Política, é importante destacarmos as definições indicadas a seguir, quais sejam:
Ameaça: Causa potencial de um incidente, que pode acarretar eventuais prejuízos aos negócios da CERTTA.
Ambiente em Nuvem (Cloud Computing): Modelo de entrega de recursos de T.I (infraestrutura, plataforma ou software) por meio da internet, utilizando provedores externos, com alta escalabilidade e flexibilidade.
Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Antivírus/Antimalware: Solução de segurança instalada em dispositivos para detectar, bloquear e remover softwares maliciosos.
Ativo de Informação: Qualquer item que contenha, processe ou suporte dados da CERTTA, incluindo arquivos, sistemas, dispositivos físicos (como notebooks e servidores) e documentos impressos.
Auditoria: Processo sistemático, documentado e independente para obtenção de evidências e posterior avaliação, com o objetivo de determinar a extensão na qual os critérios de auditoria são atendidos.
Backup: Cópia de segurança das informações corporativas armazenadas em local seguro, utilizada para recuperação em caso de perda, falha ou incidente.
Comitê de Segurança da Informação, Privacidade e Proteção de Dados: Grupo de trabalho multidisciplinar permanente, nomeado pela diretoria da CERTTA, que tem por finalidade tratar questões ligadas à privacidade, proteção de dados e a segurança da informação.
Criptografia: Técnica de codificação da informação para impedir o acesso não autorizado aos dados, mesmo em caso de interceptação ou vazamento.
Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Firewall: Dispositivo ou software utilizado para controlar o tráfego de rede, permitindo ou bloqueando conexões com base em regras de segurança.
Incidente de Segurança da Informação: Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade da informação, incluindo, mas não se limitando a dados pessoais.
Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Vulnerabilidade: Fragilidade em sistemas, processos ou configurações que pode ser explorada por uma ameaça para causar ou obter acesso não autorizado.
6. Diretrizes
A CERTTA é comprometida com a observância da legislação em vigor aplicável. Para orientar suas atividades empresariais de maneira eficaz, é essencial estabelecer uma Política de Segurança da Informação estruturada e transparente, promovendo aderência e conformidade. Assim sendo, as diretrizes que regem esta Política e a atuação de todos os colaboradores da CERTTA no tocante à segurança da informação, são:
- Tratar de maneira sigilosa e ética toda informação na CERTTA, contemplada em todas as etapas de seu ciclo de vida;
- Assegurar a segregação de funções, a fim de não criar cenários de autossabotagem e interesses próprios entre o corpo de colaboradores, em todo o processo no escopo da companhia;
- Conduzir monitoramento e resposta de incidentes de todos os ativos e serviços da CERTTA a fim de mitigar os riscos;
- Promover a conscientização e o engajamento da equipe por meio de treinamentos regulares, fortalecendo a cultura de segurança da informação em todos os níveis da empresa;
- Adotar e disseminar boas práticas de segurança em todo o ciclo de desenvolvimento de aplicações, bem como na criação de novos processos e produtos, assegurando a conformidade e a proteção dos ativos de informação desde a concepção.
Do mesmo modo, aplicam-se as seguintes disposições:
- As informações e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da CERTTA, não podendo ser interpretado como de uso pessoal;
- As informações de clientes, parceiros, terceiros ou colaboradores, devem ser tratadas de forma ética e sigilosa e em conformidade com as leis vigentes aplicáveis às atividades da CERTTA, em especial aquelas que regulamentam a proteção de dados pessoais (mas não se limitando a apenas essas);
- As informações (sejam de clientes, parceiros, terceiros ou colaboradores) devem ser utilizadas somente para os fins para os quais foram autorizados;
- Todos os colaboradores, prestadores de serviços e terceiros devem estar cientes de que o uso dos sistemas e das informações da CERTTA pode ser monitorado, sendo que os registros de monitoramento poderão ser utilizados como evidências em investigações internas ou processos administrativos e judiciais;
- A CERTTA mantém um compromisso com o cliente em adotar técnicas e meios de segurança mais adequados e disponíveis em relação à segurança dos dados trafegados, processados e/ou armazenados nos sistemas da CERTTA;
- Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de uma pessoa ou equipe.
- Informações confidenciais, como senhas, chaves de acesso, dados de clientes ou quaisquer outros ativos de informação sensíveis, devem ser mantidos sob sigilo absoluto e jamais compartilhados, salvo quando expressamente autorizado e protegido por mecanismos seguros;
- As responsabilidades no que tange à garantia dos pilares da segurança da informação devem ser amplamente divulgadas na CERTTA fazendo valer firmemente a aplicação das diretrizes aqui descritas;
- Essa política é apoiada por um conjunto de normativas e procedimentos de segurança da informação estabelecidos pela CERTTA;
- A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os titulares de forma identificável ou para outras características de sistema disponíveis para o próprio cliente;
- A CERTTA está comprometida com a melhoria contínua de sua abordagem para segurança da informação, através da implementação, manutenção e melhoria do seu sistema de gestão de segurança da informação conforme a ISO/IEC 27001.
7. Papéis e Responsabilidades
7.1 Compete a todos os colaboradores
- Estar cientes e aderentes às diretrizes estabelecidas pela CERTTA, principalmente aos critérios de segurança da informação estabelecidos neste documento;
- Realizar a classificação das informações, conforme os critérios definidos na Política interna de classificação das informações;
- Cumprir fielmente a Política, as Normas, os Procedimentos de Segurança da Informação da CERTTA e demais documentos que versem sobre segurança da informação;
- Participar dos treinamentos, campanhas, workshops relacionados à segurança da informação e disponibilizados pela CERTTA;
- Proteger as informações contra acessos, modificações, destruição ou divulgação não autorizada pela CERTTA;
- Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela CERTTA;
- Cumprir as leis e as normas que regulamentam a propriedade intelectual e concorrência leal;
- Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões sobre assuntos confidenciais em blogs e redes sociais;
- Não compartilhar suas credenciais de acesso aos Sistemas da CERTTA com terceiros, inclusive com outros colaboradores;
- Comunicar imediatamente à área de Segurança da Informação sobre qualquer descumprimento ou violação desta Política, através do e-mail: [email protected];
- Comunicar o DPO (Data Protection Officer ou Encarregado de Dados) e a área de Privacidade da CERTTA, através dos e-mails [email protected] e [email protected], em caso de incidentes e ou dúvidas relacionadas a privacidade de dados pessoais, em conformidade com as Políticas de Privacidade vigentes;
- Em caso de violação desta Política, acionar o Canal de Denúncias da CERTTA (https://www.contatoseguro.com.br/caf) ou diretamente ao time de Compliance através do e-mail [email protected].
7.2 Compete aos colaboradores da área de Segurança da Informação
- Revisar e validar as Políticas de Segurança da Informação da CERTTA, assegurando sua conformidade com a legislação vigente;
- Identificar e comunicar possíveis vulnerabilidades técnicas relacionadas ao Sistema de Segurança da Informação, atuando como guardião da Política de Organização do Sistema de Segurança da Informação, assegurando o cumprimento deste documento e das demais orientações pertinentes ao tema;
- Apoiar o Comitê de Segurança da Informação, Privacidade e Proteção de Dados da CERTTA na mitigação de riscos organizacionais e contribuir para o alcance dos objetivos estratégicos do Sistema de Segurança da Informação;
- Realizar a implementação e gestão dos controles e padrões de segurança da informação, por meio promoção ampla e revisão das Políticas, Normas e Procedimentos de Segurança da Informação para todos os colaboradores, incluindo terceirizados;
- Promover ações de conscientização sobre Segurança da Informação para todos os colaboradores;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento da segurança da informação da CERTTA;
- Administrar e monitorar os sistemas e controles aplicados sob gerência da área de Segurança da Informação da CERTTA e seus clientes;
- Administrar os softwares, ativos, scripts, contas privilegiadas, vulnerabilidades, equipamentos, entre outras atividades que garantam a segurança da informação gerenciada pela CERTTA;
- Controlar as alterações realizadas nos ativos de TI, assegurando que sejam devidamente analisadas e testadas, de forma a evitar a ocorrência de impactos adversos nas operações da CERTTA ou em sua segurança.
7.3 Compete à área de Compliance
- Comunicar alterações legislativas que impactem essas políticas, propondo as adaptações necessárias;
- Oferecer suporte às áreas na condução de casos de descumprimento, incluindo a sugestão de medidas disciplinares e/ou legais, quando aplicável;
- Apoiar as demais áreas na adoção de medidas de contenção em situações de uso indevido de dados.
7.4 Compete à área de Privacidade e ao DPO
- Orientar a CERTTA quanto à adoção das melhores práticas em proteção de dados pessoais, em conformidade com as legislações aplicáveis;
- Monitorar e propor soluções para mitigação de riscos relacionados à privacidade e proteção de dados pessoais;
- Educar os colaboradores sobre práticas seguras e adequadas de tratamento de dados pessoais;
Atuar como ponto de comunicação entre a CERTTA, os titulares de dados e as autoridades governamentais.
8. Classificação e Tratamento da Informação
Para estabelecer critérios sólidos de segurança, conforme as melhores práticas de governança, a CERTTA adota práticas formais de classificação e rotulagem da informação, conforme estabelecido em sua Política de Classificação da Informação.
As informações são categorizadas de acordo com seu grau de importância, criticidade, sensibilidade e relevância da informação para os negócios da CERTTA, seguindo os seguintes rótulos padrão: Público, Interno, Restrito, Confidencial.
Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da CERTTA em todo o seu ciclo de vida, abrangendo a sua geração, manuseio, armazenamento, transporte e descarte.
As informações devem ser utilizadas de forma ética, transparente e exclusivamente para as finalidades para as quais foram coletadas, respeitando os princípios de privacidade e proteção de dados pessoais previstos na LGPD.
No caso de utilização para fins estatísticos, relatórios ou análises, é obrigatória a implementação da anonimização, garantindo que os dados não permitam a identificação direta ou indireta de clientes, terceiros ou colaboradores, salvo mediante consentimento expresso ou disposição legal.
9. Medidas de Segurança da Informação
Com o objetivo de proteger os ativos da CERTTA e garantir a confidencialidade, integridade, disponibilidade e autenticidade dos dados, a CERTTA adota um conjunto robusto de medidas de segurança da informação, aplicadas tanto em seu ambiente interno quanto nos produtos e serviços oferecidos ao mercado. Essas ações visam mitigar riscos, prevenir incidentes de segurança e assegurar conformidade com requisitos legais e regulatórios. As medidas adotadas pela CERTTA estão descritas a seguir.
9.1 Gestão de Acesso
Com o objetivo de assegurar a efetividade do Sistema de Segurança da Informação, toda liberação, revogação e revisão de acesso serão concedidos através do setor de T.I, pautado no princípio do privilégio mínimo, conforme disposto na Política de Gestão de Acessos Lógicos.
Ou seja, o nível de permissão de acesso se limita às informações estritamente necessárias ao desempenho das funções do usuário, evitando qualquer acesso a informações desnecessárias para execução de sua função.
Reforçamos que todos os colaboradores e prestadores de serviços são responsáveis por respeitar essas diretrizes, utilizando apenas os acessos que lhes forem formalmente concedidos (mediante formal aprovação) e mantendo o sigilo de suas credenciais.
Considerando que grande parte dos colaboradores atuam em trabalho remoto (home office), eles são responsáveis por adotar medidas de proteção física adequadas em seus locais de trabalho, incluindo, mas não se limitando a:
- Garantir que dispositivos utilizados para o trabalho estejam protegidos contra o acesso não autorizado de terceiros;
- Evitar o armazenamento de informações sensíveis em locais não seguros;
- Bloquear a tela quando se afastar do local de trabalho, garantindo a confidencialidade;
- Evitar tratar de assuntos confidenciais em locais públicos;
- Seguir a política de mesa limpa, evitando incluir qualquer informação em notas adesivas ou afins colados no computador ou equipamento de trabalho.
Quanto ao acesso físico a instalações da CERTTA, especialmente a ambientes que contenham recursos tecnológicos, este acesso é restrito e controlado, observando os seguintes princípios:
- O acesso às unidades físicas da CERTTA será concedido apenas mediante autorização formal.
- Visitantes deverão ser previamente identificados, registrados e, quando necessário, acompanhados por um colaborador autorizado durante toda a permanência.
9.2 Gerenciamento de Senhas
As senhas e códigos de acesso a dispositivos e sistemas pessoais não devem ser compartilhados sob nenhuma circunstância, por se tratar de informações de uso pessoal e intransferível, conforme previsto nas diretrizes e recomendações da Política de Senhas da CERTTA.
Ademais, os colaboradores da CERTTA seguem padrões mínimos de segurança, utilizando cofre de senhas.
O colaborador é integralmente responsável por todas as ações realizadas sob suas credenciais, bem como por quaisquer prejuízos decorrentes do fornecimento de sua senha a terceiros, independentemente do motivo.
9.3. Criptografia
Visando estabelecer os mais altos padrões de segurança, a CERTTA busca implementar controles criptográficos para o armazenamento e o tráfego das informações no desenvolvimento de suas atividades. Dessa forma, todos os dados confidenciais da CERTTA devem ser protegidos por meio de criptografia, incluindo todos os equipamentos utilizados por colaboradores e/ou terceiros, observando as diretrizes e recomendações previstas na Política de Criptografia.
Além disso, em caso de implementação de novos controles, estes serão testados e avaliados, observando seu nível de segurança e efetividade, garantindo que os critérios de proteção estão sendo atingidos pelo controle.
9.4. E-mail corporativo
O uso dos serviços de correio eletrônico corporativo deve estar exclusivamente relacionado às atividades e interesses da CERTTA. As informações armazenadas ou trafegadas pelo sistema de correio eletrônico corporativo são de exclusiva propriedade da CERTTA. O titular da conta possui total responsabilidade pelo uso, sendo vedado:
- Armazenar e-mails ou qualquer informação da organização na caixa postal particular ou outro meio de armazenamento digital ou impresso;
- Forjar, falsificar ou adulterar quaisquer informações nas mensagens;
- Produzir, transmitir ou divulgar mensagem com informações hostis;
- Enviar mensagens por correio eletrônico utilizando o domínio da CERTTA ou utilizando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja aquele autorizado a utilizar;
- Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa.
9.5. Uso de equipamentos
Os equipamentos da CERTTA são fornecidos exclusivamente para o desempenho das atividades profissionais e incluem ferramentas de filtragem e monitoramento de conteúdo, com o intuito proteger os colaboradores, preservar os ativos da companhia e garantir o cumprimento desta Política e do Código de Conduta.
Os equipamentos não permitem o uso de dispositivos de armazenamento em massa (pendrive e disco USB). Ademais, para acessar os serviços da CERTTA, é obrigatória a utilização de ferramentas de MFA (Multi Factor Authentication) por meio de aplicativos autenticadores.
9.6. Backup
A fim de garantir a integridade e disponibilidade das informações sob sua custódia, a CERTTA realiza backups recorrentes de seus bancos de dados, conforme previsto na Política de Backup.
A CERTTA também realiza testes de restore com o objetivo de confirmar a integridade das cópias de segurança e o tempo de recuperação destas cópias.
10. Utilização de Inteligência Artificial
A CERTTA tem como objetivo estabelecer diretrizes para o uso responsável, ético e seguro da Inteligência Artificial (IA) no desenvolvimento de produtos, serviços e testes realizados pela CERTTA, em conformidade com seus princípios institucionais e estrutura de governança. Dessa forma, os colaboradores envolvidos na concepção, desenvolvimento, implantação e monitoramento de sistemas de IA devem pautar suas decisões nos seguintes princípios, reforçados pela estrutura de governança de IA da CERTTA:
- Segurança e Confiabilidade: Os sistemas de IA devem ser projetados para operar de forma segura e confiável, inclusive diante de situações imprevisíveis;
- Transparência e Prestação de Contas: Deve ser assegurado o direito à informação sobre decisões automatizadas tomadas por sistemas de IA tornando o sistema de IA compreensível;
- Ética e Justiça: Todo o ciclo de vida da IA deve ser conduzido de forma ética, justa, não discriminatória e confiável, com base em avaliações de impacto;
- Responsabilidade: Os colaboradores devem assumir responsabilidade pelas decisões e impactos decorrentes do uso da IA;
- Gestão de Riscos: Deve-se implementar uma cultura organizacional voltada ao monitoramento contínuo e à mitigação de riscos associados à IA.
Por isso, a CERTTA compromete-se a desenvolver os produtos e seus sistemas que:
- Operem de maneira justa, reconhecendo e corrigindo disparidades de forma ativa;
- Não realizem distinções de qualquer natureza, incluindo raça, cor, sexo, gênero, idade, origem nacional ou social, ou qualquer outra condição.
Assim como, compromete-se a monitorar continuamente o uso da inteligência artificial, alinhado aos princípios, valores e objetivos estratégicos da CERTTA.
11. Proteção de dados pessoais
A CERTTA possui um robusto programa de governança em privacidade e proteção de dados pessoais. Conforme previsto em nossa Política de Privacidade, todas as medidas são adotadas para garantir a conformidade da CERTTA com as legislações de proteção de dados.
Dentre as medidas adotadas, destaca-se o acesso das informações somente às pessoas autorizadas, incluindo o compartilhamento com terceiros, quando necessário, além do armazenamento por tempo determinado e o procedimento de descarte das informações.
12. Gestão de Riscos, Objetivos e Incidentes de Segurança da Informação
A CERTTA possui uma Política de Gestão de Riscos e um procedimento formal que norteia o tratamento de incidentes de Segurança da Informação, estabelecendo as diretrizes, responsabilidades e procedimentos para a proteção adequada de seus ativos de informação.
A gestão é realizada através de uma avaliação de riscos, através da identificação, avaliação e tratamento de riscos que possam impactar as operações, os ativos, a imagem ou a garantia de conformidade legal e regulatória da CERTTA.
Este processo está alinhado ao contexto estratégico da organização e visa preservar os princípios de confidencialidade, integridade, disponibilidade e autenticidade das informações.
Os riscos identificados são avaliados quanto à sua probabilidade e impacto e tratados conforme sua criticidade, mediante ações de mitigação, aceitação, transferência ou eliminação, sempre respeitando os níveis de risco definidos pela Alta Direção.
Com relação aos incidentes de segurança da informação, a CERTTA adota procedimentos formais que determinam:
- A identificação, categorização e análise dos incidentes;
- O tratamento e resposta imediata para contenção e mitigação dos danos;
- O registro detalhado dos incidentes para fins de auditoria e melhoria contínua;
- A comunicação aos responsáveis internos e, quando aplicável, a notificação a clientes, autoridades regulatórias ou outros stakeholders, conforme exigido;
- A execução de atividades de lições aprendidas para fortalecer os controles de segurança.
Todos os colaboradores são obrigados a reportar imediatamente qualquer evento ou suspeita de incidente de segurança utilizando os canais oficiais disponibilizados.
13. Gestão dos ativos de informação
Os ativos de informação da CERTTA devem ser devidamente identificados, classificados e registrados em um inventário centralizado, sempre que aplicável, conforme diretrizes internas. A responsabilidade pela manutenção, atualização periódica e precisão do inventário de ativos de informação é da equipe de Segurança da Informação da CERTTA, com o apoio dos respectivos proprietários dos ativos, que devem garantir que as informações estejam corretas e atualizadas.
O gerenciamento adequado dos ativos é essencial para garantir a proteção das informações da CERTTA em todas as etapas de seu ciclo de vida, promovendo a integridade, confidencialidade e disponibilidade dos dados e recursos corporativos.
14. Treinamentos de Conscientização
Reconhecemos nossos colaboradores como uma linha de defesa na proteção dos dados da CERTTA e de nossos clientes. Para apoiar na eficácia, contamos com uma equipe dedicada à promoção da conscientização em segurança, que se iniciam desde o processo de integração para novos colaboradores, garantindo sua familiarização com práticas seguras. Além disso, mantemos um compromisso com o treinamento contínuo em segurança de dados e proteção de informações pessoais.
Treinamos nossos colaboradores para identificar e denunciar com eficácia vetores de ataque frequentemente utilizados, como o phishing. A eficácia dos nossos programas de conscientização é monitorada através de indicadores de desempenho, assegurando melhorias contínuas. O cronograma de treinamentos é revisado periodicamente, incorporando tendências de mercado e a evolução da maturidade dos nossos colaboradores.
Fomentamos uma cultura de segurança ativa por meio de diversas iniciativas de comunicação e engajamento:
- Newsletter quinzenal: mantemos uma comunicação contínua sobre segurança com todos os colaboradores;
- Conteúdo em redes sociais: compartilhamos dicas de segurança úteis para nossos clientes e seguidores;
- Podcast corporativo: um espaço onde colaboradores compartilham conhecimentos sobre segurança;
- Eventos de engajamento: temos um evento aberto ao público e familiares dos colaboradores, com objetivo de levar segurança para a comunidade. E outro tipo de evento com o foco nos colaboradores e terceiros, para trocas de conhecimento e experiências que envolvam cibersegurança para além da jornada de trabalho.
Estas iniciativas asseguram que nossos colaboradores estejam sempre informados e preparados para enfrentar desafios de segurança, solidificando nossa postura proativa na proteção de dados.
15. Contratação e uso de ferramentas de fornecedores e terceiros
A CERTTA possui um robusto processo de KYS (Know Your Supplier). Todos os fornecedores deverão ser submetidos a uma prévia avaliação de due diligence de privacidade e segurança da informação tanto para a contratação, quanto na manutenção dos contratos.
A depender do serviço ou produto, o fornecedor também deve apresentar certificações de segurança da informação e continuidade de negócios: ISO/ IEC 27001; ISO/ IEC 27701; ISO/ IEC 27017; ISO/ IEC 27018; ISO 22301. Os certificados devem ser concedidos por Organismo Certificador Credenciado (OCC), detentor de acreditação nacional ou internacional.
Todas as ferramentas e sistemas utilizados pelos colaboradores deverão ser previamente autorizadas pela área de Segurança da Informação, a fim de garantir que possuam o nível de segurança adequado. O uso de sistemas não homologados poderá acarretar as sanções estabelecidas nesta Política ao usuário infrator.
Da mesma forma, todas as ferramentas de terceiros ou fornecedores deverão ser utilizadas seguindo a boa-fé e observando as políticas e normas da CERTTA, ciente da responsabilização pelo uso indevido ou em desacordo com as políticas estabelecidas.
16. Exceções
Colaboradores que necessitem de uma exceção a esta Política deverão:
- Enviar uma solicitação formal contendo a explicação detalhada da necessidade da exceção, com a prévia aprovação de seu líder imediato;
- Registrar a solicitação por meio da abertura de chamado direcionado à área de Segurança da Informação;
- Aguardar a análise, documentação e decisão final da área de Segurança da Informação, com validação da Diretoria da CERTTA.
Em situações em que a exceção representar um risco para a segurança da informação ou para a conformidade regulatória, poderá ser exigido o aceite formal do risco, em conformidade com a Política de Gestão de Riscos vigente. Nesses casos, o time de Gestão de Riscos da CERTTA será acionado para realizar a avaliação do risco, registrar a decisão e, quando aplicável, obter a aprovação da Alta Direção.
17. Sanções
Em caso de não cumprimento das regras estabelecidas nesta Política por parte de colaboradores ou terceirizados, serão aplicadas as sanções descritas no Código de Ética/Conduta da CERTTA. A severidade das sanções será determinada conforme o grau de gravidade da conduta praticada pelo colaborador.
18. Disposições finais
A presente Política vigorará pelo prazo de 1 (um ano), porém poderá ser revista, atualizada e alterada a qualquer tempo, a exclusivo critério da CERTTA, sempre que algum fato relevante ou evento motive sua revisão.
A área de Segurança da Informação deve supervisionar o cumprimento desta Política, remetendo eventuais casos à diretoria. Em situações de dúvidas relacionadas a esta política, recomenda-se entrar em contato com a área de Segurança da Informação por meio do e-mail [email protected].
19. Referências
Integram a presente Política de Segurança da Informação, para os fins legais, e devem ser igualmente observadas as previsões das seguintes diretrizes e documentos de apoio a esta PSI:
- ISO 27001 – Gestão da Segurança da Informação;
- ISO 27002 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação;
- ISO 31.000 – Gestão de Risco;
- Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
- Código de Conduta & Ética;
- Manual de Procedimento de Violação de Dados Pessoais e Gestão de Incidentes de Segurança da Informação;
- Manual de Procedimentos para o Descarte Seguro de Dados e Informações Sensíveis;
- Medidas de Segurança Aplicadas pela CERTTA;
- Padrão de Descarte Seguro de Informações Sensíveis;
- Política de Classificação das Informações;
- Política de Uso de Equipamentos;
- Políticas de Privacidade;
- Política de Backup;
- Política de Criptografia;
- Política de Gestão de Acessos Lógicos;
- Política de Organização do Sistema de Segurança da Informação;
- Política de Segurança para Uso em Nuvem;
- Política de Senhas;
- Procedimento de Gestão de Registros (Logs) de Auditoria;
- Política de Retenção e Descarte;
- Trust Service Criteria para SOC 2 Tipo 2.