SEGURANÇA CIBERNÉTICA

1) APRESENTAÇÃO

Esta Política de Segurança Cibernética (“Política”) tem por objetivo assegurar a confidencialidade, a integridade e a disponibilidade de dados e sistemas de informações utilizados pela ABIX, na prestação de seus serviços e execução de suas atividades, bem como definir medidas e procedimentos de forma a garantir a seus clientes a devida proteção de seus dados e das transações realizadas.

2) DEFINIÇÕES

Para devida compreensão e aplicabilidade desta Política, são consideradas as definições indicadas a seguir:

A) Clientes: pessoas físicas e/ou jurídicas contratantes dos serviços prestados pela ABIX.

B) Colaboradores: são os sócios, funcionários, prestadores de serviço, estagiários, auxiliares ou quaisquer outros colaboradores da ABIX.

C) Dado pessoal1: é o dado que permite identificar, direta ou indiretamente, um indivíduo: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, entre outros.

D) Dado pessoal sensível2: são os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

E) Incidentes: Qualquer ocorrência que realmente ou potencialmente comprometa a confidencialidade, integridade ou disponibilidade de um sistema de informação ou a informação que o sistema processa, armazena ou transmite ou que constitui uma violação ou ameaça iminente de violação de políticas de segurança, procedimentos de segurança ou políticas de uso aceitáveis. São considerados incidentes, mas não se limitando a esses:

F) Riscos cibernéticos: são os riscos de ataques cibernéticos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede, fraudes externas e internas, entre outros, que possam expor Dados, redes e sistemas da ABIX, causando danos.

G) Prestador de serviço: pessoa física ou jurídica, devidamente contratada pela ABIX, prestadora de serviços:

  • de tecnologia;
  • de armazenamento ou qualquer forma de tratamento de Dados e Informações; ou
  • que venha a ter acesso, por conta do escopo de sua contratação, a Dados confidenciais, como classificados nesta Política.

1Conforme definição do art. 5º da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados).

2 Conforme definição do art. 5º da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados).

3) BASES DA POLÍTICA

A presente Política foi elaborada considerando o porte, o perfil de risco e o modelo de negócio da ABIX, bem como a natureza dos seus serviços, atividades e processos da empresa, além da sensibilidade dos dados e das informações dos clientes sob a responsabilidade da ABIX.

4) OBJETIVO DA POLÍTICA

Esta Política tem por objetivo estabelecer e comunicar os princípios, valores, conceitos, procedimentos e controles que são adotados na prestação de serviços da ABIX a seus Clientes e colaboradores, visando assegurar a confidencialidade, a integridade e a disponibilidade dos Dados e dos sistemas de informação utilizados, para a continuidade dos serviços prestados.

Ainda, esta Política visa viabilizar a identificação de possíveis violações de segurança cibernética, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais, a fim de mitigar os riscos cibernéticos, garantindo, ainda, a continuidade de seus negócios, protegendo os processos críticos de interrupções causadas por falhas ou desastres.

Por fim, esta Política tem por propósito estabelecer e melhorar o processo de Gestão de Riscos de Segurança Cibernética utilizado pela ABIX.

5) ABRANGÊNCIA E VIGÊNCIA

Esta Política se aplica a todos os colaboradores e prestadores de serviço da ABIX, de qualquer nível hierárquico, incluindo sócios, colaboradores, estagiários e pessoal do apoio administrativo, além de todos os parceiros comerciais que mantêm relações com a empresa e terceiros de qualquer natureza vinculados de alguma forma à ABIX (prestadores de serviços, fornecedores etc.).

A política cibernética expressa neste documento se aplica em todos os ambientes, sendo presencial, em trabalho remoto ou qualquer outra modalidade de trabalho em que seja acessado o banco de dados da empresa.

Esta Política tem vigência por prazo indeterminado, podendo ser atualizada sempre que necessário, sendo as alterações devidamente divulgadas no site da ABIX e demais meios de comunicação da empresa com colaboradores, parceiros e terceiros.

6) CLASSIFICAÇÃO DE DADOS

Os dados e as informações devem ser classificados de acordo com o nível de relevância e receber o tratamento e as proteções adequados a esta classificação.

Os dados e informações são classificados em Confidencial, Restrito, Interno e Público.

7) PRINCÍPIOS

A ABIX sempre empreenderá os melhores esforços a fim de garantir aos seus Clientes e colaboradores a segurança de seus Dados, bem como a qualidade e continuidade dos serviços prestados. Para tal, suas práticas são orientadas de acordo com os princípios indicados a seguir:

  • Confidencialidade: é a proteção dos Dados e Informações contra acessos não autorizados.
  • Integridade: salvaguarda da exatidão e completeza dos Dados, Informações, sistemas e serviços.
  • Acesso Controlado: o acesso aos Dados é restrito e controlado, significando que somente os Colaboradores ou Prestadores de Serviços que devem justificadamente ter acesso a uma determinada informação, tenham referido acesso.

8) DIRETRIZES GERAIS DE SEGURANÇA CIBERNÉTICA

A ABIX assume o compromisso de aplicar as diretrizes e boas práticas sistematizadas em lei para a proteção dos dados que transitam na empresa em forma física, digital ou verbal, bem como prevenir, detectar e reduzir a vulnerabilidade de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

Para tanto, utiliza em sua rotina de atividades softwares e ferramentas confiáveis e atualizadas para o armazenamento seguro das informações e dados pessoais em meio digital, tendo procedido à contratação de empresas especializadas para a prestação dos serviços de processamento e armazenamento de dados e computação em nuvem.

Além disso, dispõe de uma equipe de TI, responsável pela gestão, operação e monitoramento dos recursos de processamento das informações que garante a segurança na infraestrutura tecnológica de redes locais e internet, nos termos da política de segurança cibernética ABIX, bem como com a realização de backups periódicos, garantindo a disponibilidade dos dados.

A presente Política deverá ser cumprida e respeitada por todos os Colaboradores e Prestadores de Serviços da ABIX. Neste sentido, deverão ser respeitadas as seguintes diretrizes gerais:

  • Resguardar a proteção dos Dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas, respeitando as regras aqui estabelecidas;
  • Realizar a adequada classificação dos Dados;
  • Garantir que os sistemas e Dados sob sua responsabilidade estejam devidamente protegidos e sejam utilizados apenas para o cumprimento de suas atribuições;
  • Garantir a continuidade do processamento das informações Sensíveis;
  • Zelar pela integridade da infraestrutura tecnológica na qual são armazenados, processados ou de qualquer outra forma tratados os Dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a Dados internos e confidencias.
  • Realizar a manutenção dos softwares, antivírus e firewall instalados, mantendo-os sempre atualizados;
  • Não compartilhar as contas e senhas, mesmo com outros colaboradores;
  • Uma vez conectado à rede ou wi-fi da ABIX, é vedado acessar sites, aplicativos, filmes/séries, softwares piratas e outros endereços alheios que possam gerar risco de invasão;
  • Utilizar os equipamentos de informática e comunicação, sistemas e informações apenas para a realização das atividades profissionais relacionadas à ABIX;
  • Utilizar técnicas de autenticação multifator para controle de acesso de dispositivos móveis – como smartphones e laptops;
  • Não reutilizar suas senhas corporativas para fins não relacionados ao trabalho;
  • Utilizar padrões mínimos de segurança para elaboração de senhas internas, impedindo o cadastramento de senhas classificadas como fracas, a exemplo da sequência de números “123456” ou combinações simples e de fácil associação, como “nome+data de aniversário”;
  • Separar os dispositivos móveis de uso privado daqueles de uso institucional, quando possível;
  • Bloquear o computador quando ausentar-se;
  • Comunicar imediatamente ao DPO quaisquer descumprimentos a esta Política, bem como suspeita de intrusão no sistema, infraestrutura ou no acesso aos Dados.

9) MEDIDAS DE SEGURANÇA, PROCEDIMENTO, CONTROLE E REVISÃO

Além das diretrizes gerais supramencionadas, a ABIX informa que as seguintes medidas de segurança e controles devem ser aplicadas a fim de reduzir a vulnerabilidade a incidentes de segurança e garantir maior segurança aos Dados, aos ambientes lógicos e à continuidade de seus negócios e do atendimento ao Cliente, com foco na prevenção de Incidentes:

  • O Colaborador e os Prestadores de Serviços somente deverão possuir acesso aos Dados e às Informações internas ou confidenciais após a realização de sua autenticação no sistema, por meio de dispositivo previamente cadastrado e autorizado através de Autenticação Multifator (MFA) ou certificado, além da inserção de login e senha pessoal e intransferível;
  • Na hipótese de o Prestador de Serviços não possuir, em decorrência do Contrato, acesso ao ambiente, quaisquer Informações internas ou confidenciais, Sensíveis ou não, somente poderão ser compartilhadas na estrita medida necessária para a execução do objeto do contrato ou por meio de conexão privada e segura;
  • Informações confidenciais e/ou Sensíveis somente deverão ser compartilhadas de forma criptografada, protegidas por senha;
  • Todos os Colaboradores e Prestadores de Serviço que podem vir a ter acesso aos Dados e Informações devem assinar, obrigatoriamente, termo de confidencialidade ou possuir cláusula de confidencialidade em seus contratos, devidamente validada pelo departamento jurídico;
  • Deverão ser realizados treinamentos e avaliações, em periodicidade a ser definida pelo Encarregado de Dados, para a devida conscientização, educação e treinamento dos Colaboradores e Prestadores de Serviços, a fim de que esta Política seja plenamente aplicada, garantindo assim a proteção e confidencialidade dos Dados e Informações;
  • Os acessos aos Dados serão devidamente controlados, revisados, monitorados, restringidos a menor permissão e privilégios possíveis;
  • Referidos acessos serão revisados periodicamente (a cada seis meses) pela equipe de Tecnologia da Informação e Segurança Cibernética e deverão também ser cancelados tempestivamente ao término do contrato do Colaborador ou do Prestador de Serviço, evitando, assim, acessos não autorizados à Base de Dados.

10) PROCEDIMENTOS DE RESPOSTAS A INCIDENTES

Apesar da implementação das mais variadas medidas que buscam evitar a ocorrência de incidentes, caso estes venham a ocorrer, a ABIX estabelece um plano de ação e de resposta a incidentes, que, dentre outras, seguirá às seguintes diretrizes elementares:

  • A detecção de atividades anômalas, invasões não autorizadas, ou qualquer evento que possa comprometer a segurança dos Dados deverá ser comunicada internamente ao Encarregado de Proteção de Dados da ABIX;
  • Este deverá, em conjunto com a equipe responsável pela tecnologia de informação e segurança cibernética, proceder uma avaliação detalhada do incidente, de modo a investigar e revisar todas as suas circunstâncias, buscando identificar os tipos dos dados envolvidos, possíveis impactos nos titulares, e a eficácia das medidas de segurança implementadas;
  • Após identificação e confirmação da ocorrência de incidentes a ABIX deverá comunicar e notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados, conforme previsto na LGPD;
  • O incidente deverá ser isolado, evitando sua disseminação, bem como erradicado com a eliminação de malware, correção de vulnerabilidades exploradas e a implementação de patches de segurança, com o objetivo de que o ambiente cibernético retorne à normalidade de forma célere;
  • Deverão ser iniciados os procedimentos de restauração de sistemas comprometidos, reinstalação de servidores, aplicativos e banco de dados afetados, recuperação de Dados e reativação das funcionalidades operacionais; e
  • Deverá ser procedido o levantamento das possíveis correções de segurança cibernética a serem implementadas pela ABIX, a fim de evitar novos incidentes, bem como deverá ocorrer a documentação do incidente ocorrido, de modo a descrever detalhadamente seus nuances.

11) VIOLAÇÃO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

O não cumprimento das diretrizes apresentadas nesta política ensejará adoção de medidas disciplinares que serão aplicadas de acordo com a natureza e a gravidade da infração cometida, além das penalidades previstas em lei.

A depender da severidade dos fatos, a ABIX poderá decidir pelo término da relação de colaboração, parceria ou rescisão do contrato/extinção da relação comercial. Em caso de condenação relacionada ao descumprimento desta política, é permitido também à empresa o ajuizamento de ação regressiva.

Os Sócios e/ou Coordenadores de equipe são responsáveis pelas apurações internas dos desvios de conduta identificados ou comunicados, que serão feitas de forma a não expor os responsáveis, sejam eles colaboradores, parceiros ou terceiros.

Segurança Cibernética – Código: PO-ABIX-36 – Revisão: 01
Última atualização: 23/10/25