Política de Segurança da Informação

Atualizado em 16 de Novembro de 2022
1. OBJETIVO
A Política de Segurança da Informação da Phi tem por objetivo padronizar e disciplinar regras e diretrizes relativas à Segurança da Informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes para a melhor utilização dos recursos disponíveis e entrega de valor para o cliente.
2. DEFINIÇÕES
Segurança da informação: é a proteção da informação contra diversos tipos de ameaças que visa garantir a continuidade do negócio, minimizar o risco à organização e prover oportunidades de   negócio. É obtida a partir da implementação de controles adequados para garantir que os objetivos do negócio e de segurança da organização sejam atendidos.  

Usuários: o usuário é quem irá usufruir do serviço prestado. Para esta Política, considera-se usuários os colaboradores, diretores, menores aprendizes, estagiários e terceiros que acessam qualquer tipo de informação para realizar as suas atividades profissionais na/para a Phi.  

PCI-DSS (Payment Card Industry Data Security Standards) – Padrão de segurança de dados para desenvolvida para indústria de cartões de crédito e afins.
3. ABRANGÊNCIA
A presente política se aplica a todos os colaboradores, diretores, menores aprendizes, estagiários e terceiros que possuam vínculo, ainda que transitório, coma a Phi.
4. DIRETRIZES
Toda informação ou sistema de informações possui um determinado valor. Sendo assim, pode ser considerado como um ativo da Phi. Este ativo, como todos os outros, deve ser protegido de forma adequada. Um sistema de segurança visa proteger as informações contra um grande número de ameaças internas e externas. Esta proteção pretende garantir a continuidade do negócio minimizando os possíveis prejuízos e maximizando as oportunidades.  

Um sistema de Segurança da Informação tem como objetivo:  

Confidencialidade: Garantir que as informações são acessadas apenas por aqueles expressamente autorizados;  

Integridade: Preservar a Integridade da Informação. Garantir que todas as informações estão íntegras e precisas durante todo o ciclo: Criação, Processamento e Destruição;  

Disponibilidade: Garantir que os usuários, quando devidamente autorizados, tenham acesso às informações sempre que necessitarem.  
4.1. Segurança da Informação
A Segurança da Informação na Phi é desenvolvida de forma integrada, unindo ações para a gestão inteligente dos ativos humanos, físicos e da infraestrutura tecnológica da informação em todos os ambientes corporativos.  
4.2. Gestão de Vulnerabilidades
A gestão de vulnerabilidades visa garantir a confidencialidade, integridade e disponibilidade das informações através de processos de avaliação de vulnerabilidades, identificando possíveis ameaças em que a Phi possa estar exposta, buscando a implementação de controles de segurança adequados, frente aos custos, tecnologia e objetivos de negócio. 
4.3. Resposta a Incidentes
A Phi possui um plano estruturado e documentado de resposta a incidentes de segurança da informação. Este plano tem por objetivo principal orientar e definir papéis e responsabilidades nos casos de incidentes relevantes, a fim de assegurar a retomada dos ativos afetados no menor tempo possível, além de assegurar o menor impacto na continuidade das operações.
4.4. Definição e Implementação das Regras de Segurança
Todo projeto desenvolvido na Phi, independentemente do produto ou serviço fim, considera sempre assegurar desde a sua concepção, a segurança e privacidade de dados como característica fundamental.
4.5. Treinamento e Conscientização
A Phi promove capacitações e ações de treinamento e conscientização aos colaboradores para devida ciência e concordância com as responsabilidades no cumprimento da Política de Segurança da Informação, suas Normas e Procedimentos. Além disso, promove treinamentos institucionais e comunicações de atualização, contemplando informações relevantes sobre o tema.
4.6. Classificação da Informação
A Phi realiza o tratamento das informações de acordo com o nível de importância, sigilo e privacidade, desta forma implementa os controles de segurança necessários e adequados levando em consideração assegurar os princípios da confidencialidade, integridade e disponibilidade das informações.
4.7. Acesso aos Recursos e Ativos de Informação
Em relação ao acesso aos ativos de informação a Phi implementa controles que visam garantir que todos os acessos aos recursos de processamento de informação sejam devidamente autenticados e autorizados, utilizem uma identificação pessoal e intransferível, sejam compatíveis com a função e destinados somente às finalidades da Phi.
4.8. Direitos de propriedade intelectual e uso de softwares proprietários
A fim de garantir a conformidade relacionada aos direitos de propriedade intelectual, bem como o uso de produtos de softwares proprietários, nenhum colaborador da Phi utiliza sob hipótese alguma quaisquer tipos de softwares (programa, aplicativo, aplicação, utilitário, plugin, app etc.) sem que ele esteja devidamente licenciado para a finalidade ao qual foi adquirido;
4.9. Proteção dos Perímetros
A Phi dentro das necessidades, busca garantir que haja sempre que necessário controles para prevenir acesso físico e lógico não autorizado, danos e interferências nas instalações que abrigam ou armazenam ativos de propriedade da Phi.
4.10. Segurança Cibernética
Os procedimentos e os controles da segurança cibernética são implementados de modo a abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
4.11. Demandas e projetos
As demandas e projetos de negócio, serviços de retaguarda ou tecnologia estão em conformidade com as diretrizes, processos e arquitetura corporativa de segurança da informação. As demandas e projetos devem são submetidos aos checklists de Segurança da Informação aplicado pela área de Segurança da Informação, garantindo a sua aderência às melhores práticas e normativas de segurança.
4.12. PCI-DSS
O Payment Card Industry Data Security Standards é a norma que prevê a proteção da privacidade e confidencialidade de dados de cartões de crédito. Toda organização que transmita, processe ou armazene dados de cartão deve estar em conformidade com o PCI-DSS.
Assim sendo, com o objetivo de estar em conformidade com o PCI-DSS, a Phi possui a certificação PCI, obtida através do processo anual de auditoria, atendendo e estando de acordo com todos os controles e requisitos avaliados e exigidos durante o processo de certificação.
4.13. Revisão
A empresa revisará essa Política anualmente e será publicada nesta página.