Objetivo

A informação é um dos principais bens de qualquer organização. Assim, a Ituran Brasil estabelece a presente Política Corporativa de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção das informações da organização, dos clientes e do público em geral.

Público-alvo

Esta política destina-se a todos os colaboradores, clientes, fornecedores e usuários de informações da Ituran Brasil. Para os fins do disposto nesta política "Ituran Brasil" passa a ser substituído pelo termo "Ituran" no restante do texto, e o termo “Colaboradores” abrange todos os empregados, menores aprendizes, estagiários e administradores da Ituran.

Responsabilidades

As políticas, estratégias e processos corporativos de Segurança da Informação são supervisionados pelo Comitê de Segurança da Informação, coordenado pela Diretoria e composto por representantes das áreas de Riscos e Controles Internos, Auditoria, Tecnologia e Negócios da Ituran.

Regras

Regras gerais

As políticas de segurança da informação são revisadas anualmente pela pelo Comitê de Segurança da Informação e sua revisão publicada.

Princípios de segurança da informação

Nosso compromisso com o tratamento adequado das informações da Ituran, clientes e colaboradores está fundamentado nos seguintes princípios:

• Confidencialidade - Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;
• Disponibilidade - Garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
• Integridade - Garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

Diretrizes de segurança da informação

A Segurança da Informação na Ituran estabelece os principais controles, denominados diretrizes:

• As informações da Ituran, dos clientes e dos colaboradores devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
• A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
• Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um Colaborador ou equipe de Colaboradores.
• O acesso às informações e recursos só deve ser feito se devidamente autorizado.
• A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas.
• A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades.
• A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento.
• Os riscos às informações da Ituran devem ser reportados à área de Segurança da Informação.
• As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos Colaboradores, que devem entender e assegurar estas diretrizes.

Tratamento da Informação

A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da Ituran em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.

Gestão da segurança da informação

Para assegurar que as informações tratadas estejam adequadamente protegidas, a Ituran adota os seguintes processos:

• Gestão de Ativos da Informação - os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, e ter documentação e planos de manutenção atualizados.
• Classificação da Informação - as informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias.
• Gestão de Acessos - As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da Ituran. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o Colaborador, para que seja responsabilizado por suas ações.
• Gestão de Riscos - os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Ituran, para que sejam recomendadas as proteções adequadas.
• Tratamento de Incidentes de Segurança da Informação - os incidentes de Segurança da Informação da Ituran devem ser reportados à Segurança da Informação.
• Conscientização em Segurança da Informação - a Ituran promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
• Avaliação Independente da Auditoria - a efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.

Propriedade Intelectual

Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Ituran não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio Colaborador em seu ambiente de trabalho.

Declaração de responsabilidade

Os Colaboradores e Prestadores de Serviços diretamente contratados pela Ituran devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação.

Os contratos da Ituran devem possuir cláusula que assegure a confidencialidade das informações.

Medidas disciplinares

As violações a esta política estão sujeitas às sanções disciplinares previstas nas políticas internas da Ituran e na legislação vigente no Brasil

Documentos relacionados

Esta Política Corporativa de Segurança da Informação é complementada por políticas e procedimentos internos específicos de Segurança da Informação na Ituran e suas áreas em conformidade com os aspectos legais tendo como base nos requisitos da ISO 27001.