Política de Segurança e Informação
Última atualização em 30 de Julho de 2024
Introdução
A informação gerida pela Mooddie Digital Data, Lda. (Mooddie), os seus processos de suporte, sistemas, aplicações e redes são ativos valiosos para a organização e, neste contexto, a segurança da informação deve ser uma prioridade, de forma a assegurar a continuidade da atividade da organização, minimizando os riscos e maximizando o desempenho e a prestação do serviço. A segurança da informação deverá ser aplicada em todas as fases do ciclo de vida da mesma, assegurando a manutenção, de forma permanente e equilibrada, de um nível de qualidade e segurança elevado, prevenindo a materialização de riscos inerentes, para mitigar os potenciais danos provocados pela exploração de vulnerabilidades e incidentes de segurança, e garantindo que o negócio opera conforme esperado ao longo do tempo.
É entendimento da Mooddie que a segurança da informação é um pressuposto fundamental para o sucesso dos serviços por si prestados, sendo da responsabilidade de todos, colaboradores, fornecedores ou outras entidades que tenham acesso à informação em cada momento agir em conformidade com as regras definidas e impostas pela política.
A Segurança de Informação é constituído por um conjunto de políticas e procedimentos que asseguram os princípios essenciais da informação, a disponibilidade, a integridade e a confidencialidade, de acordo com os requisitos de negócio, leis e regulamentos relevantes.
Objetivo
Esta política pretende definir a finalidade, a direção, os princípios e as regras fundamentais da gestão de segurança da informação, segundo as características e necessidades do negócio da Mooddie Digital Data, Lda. (Mooddie) e das suas partes interessadas.
Âmbito/Público Alvo
Aplicável a toda a organização incluindo todas as partes interessadas, entidades que mantenham qualquer tipo de relação comercial/contratual com a Mooddie (colaboradores, clientes, fornecedores, prestadores de serviços) que tenham acesso, direito de uso ou controlo sobre ativos de informação titulados pela Mooddie e/ou aos recursos a eles associados.
Todas as partes interessadas devem conhecer e agir em conformidade com esta Política e com os demais documentos relacionados com a Segurança da Informação, conforme aplicável e adequado.
Incumprimento
Todas as partes interessadas abrangidas que, deliberadamente, violem esta política ficam sujeitas a sanções e outras ações, que podem ir até à cessação do contrato e/ou à participação às autoridades policiais ou judiciais das situações que indiciem a prática de crime.
Política de Segurança de Informação
A Política de Segurança da Informação expressa as considerações da Mooddie no que respeita à segurança da informação sobre os seguintes aspetos:
Aspetos elementares da Segurança da Informação
A gestão da segurança da informação e dos sistemas que a suportam é realizada garantindo, através de uma abordagem baseada na gestão de risco e na melhoria contínua, a confidencialidade, a integridade e a disponibilidade da informação. Neste sentido a Mooddie compromete-se a:
-
Garantir a segurança da informação que titula, assim como de todos os recursos a ela associados, sejam eles processuais, tecnológicos ou humanos.
-
Assegurar o estabelecimento e a prossecução dos princípios descritos nesta política, bem como a sua aprovação, publicação e comunicação a todos os colaboradores e entidades externas relevantes;
-
Garantir os recursos necessários para a operacionalização dos processos e atividades de gestão da segurança da informação;
-
Assegurar a definição, implementação e revisão da estratégia de gestão de segurança da informação e garantir o correto alinhamento com as políticas e objetivos estratégicos de negócio da Mooddie;
-
Promover, de forma estruturada e sistemática, a melhoria contínua.
Classificação e Manuseamento da Informação
Definindo-se ativo de segurança de informação como qualquer recurso com valor para a organização, estes são classificados em função da sua sensibilidade relativamente aos seus atributos, designadamente a confidencialidade, integridade e disponibilidade, de modo a aplicar os controlos adequados para a sua salvaguarda.
Utilização de Dispositivos Móveis e de Acesso Remoto
São aplicadas medidas de segurança à utilização de dispositivos móveis para garantir a confidencialidade, integridade e a disponibilidade da informação de negócio para que possa ser acedida (de forma local ou remota) e/ou processada por estes dispositivos.
Uso Aceitável de Ativos
Os ativos de informação propriedade da Mooddie são utilizados de forma a garantir a sua proteção, evitando a exposição dos mesmos a riscos de Segurança de Informação com potencial impacto de comprometerem a continuidade de negócio da Mooddie. A Mooddie concede aos seus colaboradores e visitantes o direito de utilizar os seus próprios equipamentos, desde que sejam cumpridas as orientações internas.
Relação com Fornecedores
Os fornecedores são avaliados de forma a garantir relações contratuais com entidades que contribuem para a obtenção de acesso a matérias e serviços adequados ao negócio da Mooddie. Os cadernos de encargos elaborados pela Mooddie para adjudicação de contratos de fornecimentos de bens ou serviços compreendem aspetos que garantem a Segurança da Informação, estipulando responsabilidades e deveres do fornecedor.
Controlos de Acesso Físico e Lógico
Estão implementados controlos de acesso físico e lógico que permitem a gestão de identidades através de processos de identificação e autenticação do utilizador e que, por sua vez, permitem a implementação de regras de restrição baseadas em critérios de segurança. Os diferentes perfis, privilégios e níveis de acesso físicos e lógicos são definidos seguindo o Princípio do Privilégio Mínimo, ou seja, pela atribuição do nível de acesso estritamente necessário para o utilizador desempenhar as funções atribuídas e não mais.
Criptografia
A Mooddie implementa mecanismos criptográficos para proteger informação lógica de acessos não autorizados.
Mesa e Ecrã Limpo
A informação considerada sensível, em formato físico ou digital, é devidamente protegida sempre que não se encontra em uso.
Cópias de Segurança
São efetuadas cópias de segurança, que ocorrem com uma periodicidade definida de forma a salvaguardar a informação. Os colaboradores e visitantes são responsáveis pelas cópias de segurança da informação contida nos equipamentos a seu cargo.
Transferência de Informação
A informação é trocada em canais de comunicação aprovados seguindo os requisitos de segurança definidos consoante a sua classificação de segurança.
Princípios de Engenharia e Política de Desenvolvimento de Sistemas de Informação Seguros
São aplicados princípios de desenvolvimento de sistemas de informação seguros em todos os níveis da arquitetura de sistemas (negócio, dados, aplicações e tecnologia) balanceando a necessidade de segurança com a necessidade de acessibilidade/eficiência funcional. Os princípios são considerados durante todo o ciclo de vida dos sistemas de informação numa perspetiva evolutiva.
Segurança da Informação na Gestão de Projetos
A segurança da informação é endereçada na gestão de projetos através da identificação de possíveis riscos de segurança de informação associados ao projeto a implementar.
Gestão de Riscos e Gestão de Incidentes e Continuidade de Negócio
São identificados, analisados, quantificados/qualificados os riscos decorrentes de várias fontes de risco para os seus ativos de informação. Os eventos que colocam em causa ou tenham potencial de colocar em causa os compromissos de Segurança de Informação são tratados como possíveis incidentes de segurança e são tratados de acordo com o processo de Gestão de Incidentes interno. A continuidade da Segurança da Informação é contemplada na continuidade de negócio, de tal forma que contempla a perda de recursos de informação através da implementação de controlos preventivos e de recuperação.
Perfis, Responsabilidades e Autoridades
Encontram-se definidos os papéis, responsabilidades e autoridades para fazer cumprir os comprometimentos da Mooddie perante a Segurança da Informação.
Responsabilidades da Segurança da Informação
A Política de Segurança da Informação é da responsabilidade do CISO - Chief Information Security Officer, cabendo-lhe o controlo e a avaliação da implementação, a comunicação à gestão de topo do seu desempenho e a garantia da conformidade do sistema com os requisitos da Norma.
Manutenção e Comunicação das Políticas de Segurança da Informação
A Política de Segurança da Informação deve ser periodicamente revista, de forma a garantir que continua a ser adequada à Mooddie e deve ser comunicada a todas as partes interessadas no âmbito da sua relação com a Mooddie.
Fale Connosco
Poderá contactar a Mooddie para todos os assuntos relacionados com esta política através do seguinte endereço de email: social@mooddie.pt ou enviar o seu pedido por carta para a morada Rotunda das Oliveiras, 5 R/C Dto 1990-428 Lisboa.