Objetivo
A presente Política de Segurança da Informação tem por objetivo estabelecer diretrizes, princípios e responsabilidades para a proteção das informações da FATTO, assegurando sua confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade, em alinhamento com os objetivos estratégicos do negócio e com os requisitos legais, regulatórios e contratuais aplicáveis.
Abrangência
Esta política aplica-se a todos os administradores, colaboradores, estagiários, aprendizes, prestadores de serviços, parceiros, fornecedores e quaisquer terceiros que tenham acesso a informações, sistemas ou ativos de informação da FATTO, independentemente do meio ou local de acesso.
Diretrizes Gerais
A segurança da informação na FATTO será orientada pelos seguintes princípios:
I. Proteção da informação como ativo estratégico da organização;
II. Acesso à informação baseado na necessidade de negócio e no princípio do menor privilégio;
III. Segregação de funções como mecanismo de mitigação de riscos;
IV. Utilização adequada, ética e legal dos recursos de tecnologia da informação;
V. Responsabilização individual pelo uso e proteção das informações sob sua guarda;
VI. Adoção de controles compatíveis com o nível de criticidade das informações.
Classificação da Informação
As informações deverão ser classificadas conforme seu nível de sensibilidade e impacto para o negócio, observando, no mínimo, as seguintes categorias:
- Pública
- Interna
- Confidencial
- Restrita
A classificação orientará os controles de acesso, armazenamento, compartilhamento, retenção e descarte da informação. Cada área é responsável pela adequada classificação das informações sob sua gestão.
5. Gestão de Acessos
O acesso às informações e sistemas da FATTO deverá ser concedido, alterado e revogado por meio de processo formal, com aprovação do gestor responsável.
Os acessos devem:
I. Ser compatíveis com as atribuições do usuário;
II. Ser revisados periodicamente;
III. Ser imediatamente revogados em casos de desligamento, mudança de função ou perda de necessidade de uso.
6. Uso Aceitável dos Recursos
Os recursos tecnológicos da FATTO devem ser utilizados exclusivamente para fins profissionais, em conformidade com esta política e demais normas internas.
É vedado:
I. Alterar configurações, instalar ou remover softwares sem autorização;
II. Burlar controles de segurança;
III. Utilizar os recursos para fins ilícitos ou incompatíveis com as atividades da empresa.
7. Proteção de Dados e Privacidade
O tratamento de dados pessoais deverá observar os princípios de finalidade, necessidade, segurança e conformidade com a legislação vigente, bem como com a Política de Privacidade da FATTO.
O acesso a dados pessoais deverá ser restrito a pessoas autorizadas e limitado às atividades necessárias ao desempenho de suas funções.
8. Compartilhamento e Armazenamento de Informações
O compartilhamento de informações deverá ocorrer exclusivamente por meios autorizados pela FATTO e apenas com pessoas devidamente autorizadas.
Informações classificadas como Confidenciais ou Restritas devem receber proteção adicional, sendo vedado seu armazenamento ou transmissão por meios não aprovados pela organização.
9. Dispositivos e Trabalho Remoto
Os dispositivos utilizados para acesso às informações da FATTO devem ser protegidos contra acessos não autorizados, perda, furto ou uso indevido.
O trabalho remoto deverá observar os requisitos de segurança definidos pela organização, garantindo a proteção das informações fora do ambiente corporativo.
10. Segurança Operacional
A FATTO manterá controles de segurança compatíveis com os riscos do negócio, incluindo, mas não se limitando a, mecanismos de proteção, atualização de sistemas, backup, monitoramento e registro de atividades.
Os detalhes técnicos e operacionais serão definidos em normas e procedimentos específicos.
11. Gestão de Incidentes de Segurança da Informação
Todo incidente ou suspeita de incidente de segurança da informação deverá ser comunicado imediatamente pelos canais oficiais da FATTO.
Os incidentes serão tratados conforme procedimento específico, contemplando identificação, contenção, análise, resposta e implementação de ações corretivas.
12. Monitoramento e Auditoria
A FATTO poderá monitorar e registrar o uso de seus sistemas, redes e ativos de informação, respeitando os limites legais, para fins de segurança, auditoria, investigação e conformidade.
13. Responsabilidades
Todos os usuários são responsáveis pela proteção das informações e ativos sob sua utilização.
Os gestores são responsáveis por:
I. Garantir a correta concessão e revisão de acessos;
II. Assegurar o cumprimento desta política em suas áreas.
A área responsável pela Segurança da Informação deverá:
I. Definir e manter controles de segurança;
II. Apoiar a gestão de incidentes;
III. Promover a melhoria contínua dos processos de segurança.
14. Violações e Medidas Disciplinares
O descumprimento desta política poderá resultar na aplicação de medidas disciplinares, contratuais e/ou legais, conforme a gravidade da infração e a legislação vigente.
15. Exceções
Exceções a esta política deverão ser formalmente solicitadas, avaliadas quanto aos riscos envolvidos e aprovadas pela área competente, com prazo de validade definido.
16. Revisão e Atualização
Esta política deverá ser revisada periodicamente ou sempre que houver mudanças relevantes no ambiente organizacional, tecnológico ou regulatório.
Controle de versão 2026.01
Início de vigência: 27/04/2026
