O Sistema de Gestão de Segurança da Informação (SGSI) consiste em um conjunto de documentos
(políticas, normas, manuais, procedimentos, registros) definidos de acordo com o nível de maturidade
(atual e desejado), considerando as capacidades técnicas e operacionais para mantê-los. Desta forma, a
abordagem da Empresa para implantação do SGSI consiste em melhorias contínuas e sucessivas, com o
objetivo de assegurar a sustentabilidade das diretrizes implementadas.

Todos os colaboradores, em qualquer vínculo, função ou cargo, são responsáveis pela proteção e
salvaguarda dos ativos de informação sob sua responsabilidade, dos ambientes físicos e computacionais a
que tenham acesso, independente das medidas de segurança existentes.

As diretrizes dessa política, das normas que a suportam e as decisões de segurança da informação são
determinadas conforme a percepção de risco aos objetivos e negócios da Empresa, visando atingir o grau
de segurança necessário, dentro dos limites orçamentários e padrões de qualidade estabelecidos.

As informações de propriedade da Empresa ou sob sua custódia devem ser classificadas de acordo com
seu grau de sigilo e receber o devido tratamento para assegurar sua proteção durante todo o ciclo de vida.

O acesso às instalações, sistemas, redes, dados e informações de propriedade ou sob responsabilidade
da Empresa deve ser monitorado, controlado e restrito às necessidades profissionais de cada colaborador.
O acesso de terceiros (clientes, fornecedores e demais parceiros comerciais) aos ativos de informação da
Empresa deve seguir as normas, procedimentos e critérios definidos, com a finalidade de mitigar os riscos
de violação dos requisitos de segurança da informação.

Toda aquisição de hardware e software necessária para o desempenho das atividades dos colaboradores
deverá ser coordenada pela área de TI, para garantir a aderência aos requisitos técnicos e funcionais de
tecnologia e segurança da informação.

Os recursos de TI e comunicação disponibilizados aos colaboradores devem ser utilizados para as
finalidades determinadas, sempre em harmonia com os interesses da Empresa.

A Empresa deve identificar as ameaças potenciais e os impactos operacionais e estratégicos aos seus
negócios, e desta forma desenvolver e manter mecanismos que garantam a continuidade de seus
processos críticos.

Com o objetivo de promover a redução de riscos e manutenção dos níveis de segurança já existentes, o
desenvolvimento de sistemas de informação por equipe própria ou por terceiros deve levar em conta as
diretrizes e normas de segurança da informação. De forma similar, a aquisição de sistemas e os contratos
de suporte e manutenção das aplicações utilizadas na Empresa estão também sujeitos aos mesmos
controles.

Todos os projetos iniciados e em andamento na Empresa devem levar em conta os aspectos relevantes
em segurança da informação. A confidencialidade, disponibilidade e integridade dos ativos de informação
devem ser preservadas pelas equipes envolvidas no projeto, independentemente de serem os
colaboradores próprios ou terceirizados.

Os colaboradores devem reportar quaisquer incidentes que possam comprometer a segurança das
informações corporativas. A Equipe de TI é responsável por avaliar e tratar os incidentes de segurança da
informação, implantando as medidas necessárias para evitar a sua recorrência. Quando necessário,
contatos apropriados com autoridades relevantes devem ser mantidos.

As práticas de segurança da informação adotadas pelos colaboradores serão auditadas periodicamente,
de forma a avaliar a conformidade das ações executadas em relação ao estabelecido nesta Política e
demais normas e procedimentos que suportam o SGSI.

A Empresa reserva-se o direito de monitorar os acessos físicos, bem como a utilização de seus
equipamentos, sistemas e demais recursos de TI, para que ameaças ou ações não autorizadas sejam
detectadas e tratadas tempestivamente.

Todos os colaboradores devem receber treinamento relativo às diretrizes, normas e procedimentos da
Empresa em segurança da informação, além de contínua conscientização sobre os riscos emergentes,
precauções e boas práticas para a utilização adequada dos recursos de TI.
Os profissionais envolvidos com tecnologia e segurança da informação devem assegurar a participação
em grupos especializados, associações profissionais ou fóruns especializados, com a finalidade de se
manter continuamente atualizados.

O conjunto de documentos que compõe a Política de Segurança da Informação deve passar por revisões
e análises críticas a cada dois anos, ou sempre que ocorrer algum fato ou evento relevante que justifique a
sua revisão ou adequação.

O descumprimento ou inobservância das diretrizes estabelecidas nesta Política e em seus documentos
complementares constitui conduta inadequada do colaborador.
É importante ressaltar que condutas inadequadas podem resultar em prejuízos financeiros, operacionais,
além de impactos legais, regulatórios, de reputação e imagem para a Empresa.
Sendo assim, eventuais medidas administrativas, cíveis e judiciais aplicáveis em cada situação serão
definidas pelo Comitê de Segurança da Informação e Privacidade – CSIP.