Objetivo
A presente Política de Segurança da Informação tem por objetivo estabelecer diretrizes, princípios e responsabilidades para a proteção das informações da FATTO e de seus clientes, assegurando sua confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade, em alinhamento com os objetivos estratégicos do negócio e com os requisitos legais, regulatórios e contratuais aplicáveis.
Abrangência
Esta política aplica-se a todos os administradores, colaboradores, estagiários, aprendizes, prestadores de serviços, parceiros, fornecedores e quaisquer terceiros que tenham acesso a informações, sistemas ou ativos de informação da FATTO, independentemente do meio ou local de acesso.
Diretrizes Gerais
A segurança da informação na FATTO será orientada pelos seguintes princípios:
I. Proteção da informação como ativo estratégico da organização;
II. Acesso à informação baseado na necessidade de negócio e no princípio do menor privilégio;
III. Segregação de funções como mecanismo de mitigação de riscos;
IV. Utilização dos recursos de tecnologia da informação estritamente para as finalidades do negócio e em conformidade com as normas de segurança;
V. Responsabilização individual pelo uso e proteção das informações sob sua guarda;
VI. Adoção de controles compatíveis com o nível de criticidade das informações.
As informações deverão ser classificadas conforme seu nível de sensibilidade e impacto para o negócio, observando, no mínimo, as seguintes categorias:
- Pública: Posts em redes sociais e artigos do Blog;
- Interna: Manuais e comunicados internos;
- Confidencial: Metodologias FATTO, contratos e propostas;
- Restrita: Dados de folha de pagamento, senhas e dados sensíveis (LGPD).
A classificação orientará os controles de acesso, armazenamento, compartilhamento, retenção e descarte da informação. Cada área é responsável pela adequada classificação das informações sob sua gestão.
Gestão de Acessos
O acesso às informações e sistemas da FATTO deverá ser concedido, alterado e revogado por meio de processo formal, com aprovação do gestor responsável.
O documento utilizado será o Formulário de Concessão de Acessos aos Recursos Computacionais da FATTO, o qual deverá ser preenchido no momento da admissão do colaborador e mantido atualizado conforme eventuais alterações de acesso. Em caso de desligamento, o documento deverá ser devidamente atualizado, registrando a data de término do vínculo e a revogação de todos os acessos concedidos.
Os acessos devem:
I. Ser compatíveis com as atribuições do usuário;
II. Ser revisados periodicamente;
III. Ser imediatamente revogados em casos de desligamento, mudança de função ou perda de necessidade de uso.
É obrigatório o uso de Autenticação Multifator (MFA) para acesso ao e-mail corporativo e sistemas críticos. O uso de gerenciadores de senhas homologados é a prática recomendada para o armazenamento seguro de credenciais.
Uso Aceitável dos Recursos
Os recursos tecnológicos da FATTO devem ser utilizados exclusivamente para fins profissionais, em conformidade com esta política e demais normas internas.
É vedado:
I. Alterar configurações, instalar ou remover softwares sem autorização prévia da área responsável;
II. Burlar ou tentar contornar quaisquer controles de segurança estabelecidos pela organização;
III. Utilizar os recursos tecnológicos de forma a comprometer a segurança, a performance dos sistemas ou os objetivos operacionais da FATTO;
IV. Inserir dados confidenciais de clientes, dados pessoais ou segredos de negócio em ferramentas de Inteligência Artificial (IA) generativas públicas;
V. Deixar estações de trabalho desbloqueadas ao se ausentar ou documentos sensíveis expostos, seja na sede da empresa, em clientes ou locais de circulação pública (Política de Mesa e Tela Limpa).
Proteção de Dados e Privacidade
O tratamento de dados pessoais deverá observar os princípios de finalidade, necessidade, segurança e conformidade com a legislação vigente, bem como com a Política de Privacidade da FATTO, sob a supervisão da instância interna de integridade.
O acesso a dados pessoais deverá ser restrito a pessoas autorizadas e limitado às atividades necessárias ao desempenho de suas funções.
Compartilhamento e Armazenamento de Informações
O compartilhamento de informações deverá ocorrer exclusivamente por meios autorizados pela FATTO e apenas com pessoas devidamente autorizadas.
Informações classificadas como Confidenciais ou Restritas devem receber proteção adicional, sendo vedado seu armazenamento ou transmissão por meios não aprovados pela organização.
Dispositivos e Trabalho Remoto
Os dispositivos utilizados para acesso às informações da FATTO devem ser protegidos contra acessos não autorizados, perda, furto ou uso indevido.
O trabalho remoto deverá observar os requisitos de segurança definidos pela organização, garantindo a proteção das informações fora do ambiente corporativo.
Segurança Operacional
A FATTO manterá controles de segurança compatíveis com os riscos do negócio, incluindo, mas não se limitando a, mecanismos de proteção, atualização de sistemas, backup, monitoramento e registro de atividades.
Os detalhes técnicos e operacionais serão definidos em normas e procedimentos específicos.
A FATTO realiza avaliações de segurança (Due Diligence) em fornecedores e parceiros que tratam dados da organização antes da contratação e periodicamente durante a vigência do contrato.
Gestão de Incidentes de Segurança da Informação
Todo incidente ou suspeita de incidente de segurança da informação deverá ser comunicado imediatamente pelos canais oficiais da FATTO.
Os incidentes serão tratados conforme procedimento específico, contemplando identificação, contenção, análise, resposta e implementação de ações corretivas.
Incidentes que envolvam desvios éticos ou violações graves desta política também podem ser reportados de forma anônima através do Canal de Ética da FATTO.
Monitoramento e Auditoria
A FATTO poderá monitorar e registrar o uso de seus sistemas, redes e ativos de informação, respeitando os limites legais, para fins de segurança, auditoria, investigação e conformidade.
Responsabilidades
Todos os usuários são responsáveis pela proteção das informações e ativos sob sua utilização.
Os gestores são responsáveis por:
I. Garantir a correta concessão e revisão de acessos;
II. Assegurar o cumprimento desta política em suas áreas.
A área responsável pela Segurança da Informação deverá:
I. Definir, manter e testar controles de segurança, reportando riscos críticos à Comissão de Governança e Compliance;
II. Apoiar a gestão de incidentes;
III. Promover a melhoria contínua dos processos de segurança.
Violações e Medidas Disciplinares
O descumprimento desta política será tratado conforme o regime sancionatório estabelecido no Código de Ética e Conduta da FATTO, sem prejuízo das responsabilidades civis e penais cabíveis.
Exceções
Exceções a esta política deverão ser formalmente solicitadas, avaliadas quanto aos riscos envolvidos e aprovadas pela área competente, com prazo de validade definido.
Revisão e Atualização
Esta política deverá ser revisada periodicamente ou sempre que houver mudanças relevantes no ambiente organizacional, tecnológico ou regulatório.
Controle de versão 2026.01 Início de vigência: 27/04/2026
