Política de Segurança da Informação
Status: Vigente
Versao: 1.0
Ultima atualizacao: Abril de 2026
Responsavel: Seguranca da Informacao
Propósito
Esta política tem o objetivo de estabelecer diretrizes para o manuseio, proteção e gestão adequada das informações – incluindo documentos, registros e demais ativos informacionais – ao longo de todo o seu ciclo de vida. Ao promover a confidencialidade dos dados, esta política orienta a conduta de colaboradores e parceiros da WeCare, assegurando a conformidade com a ISO 27001.
Governança e Responsabilidade
A equipe de Infosec é responsável pelo desenvolvimento e pela definição desta política, assegurando sua estabilidade e atualização conforme necessário. Além disso, todos os setores da organização têm o compromisso de endossar e aderir integralmente às diretrizes aqui estabelecidas.
Conformidade Legal e Regulatória
Esta política está documentada de acordo com os requisitos da ISO 27001 para manter um Sistema de Gerenciamento de Segurança da Informação (SGSI) na WeCare, bem como a conformidade com legislações aplicáveis, como a LGPD.
Público-alvo
Esta política tem como público-alvo todos os colaboradores internos e externos contratados pela WeCare.
Descrição da política
Classificação da informação
Todos os documentos e dados, sejam eles eletrônicos ou físicos, criados ou manuseados pelos colaboradores da WeCare, deverão ser devidamente classificados de acordo com o nível de confidencialidade. A WeCare estabelece 3 categorias de confidencialidade para suas informações:
-
C1: Informação de uso público - Informações que podem ser divulgadas livremente sem causar prejuízo à organização e seus clientes. Geralmente, esses dados estão disponíveis ao público e não exigem controles restritivos de acesso.
-
C2: Informação de uso interno - Dados destinados ao uso exclusivo dentro da organização. Embora não sejam sensíveis, esses dados não devem ser divulgados a pessoas externas e requerem controles de acesso restritos aos colaboradores.
-
C3: Informação de uso restrito - Informações sensíveis e críticas para a organização, cujo acesso é limitado a um grupo seleto de colaboradores. A divulgação não autorizada desses dados pode causar impactos significativos a WeCare e seus clientes, sendo necessários controles rigorosos e medidas de segurança reforçadas.
Classificação dos dados pessoais
Todos os dados pessoais tratados pela organização, conforme definido na legislação vigente (LGPD), devem ser obrigatoriamente classificados como C3: Informação de uso restrito, em razão do alto impacto potencial decorrente de seu acesso, uso ou divulgação não autorizados.
C1: Informação de uso público
| Meio | Regra |
|---|---|
| Armazenamento local em devices pertencentes à WeCare | Permitido sem restrição |
| Armazenamento local BYOD | Permitido exclusivamente a funcionários autorizados |
| Armazenamento externo (pendrive, HD externo, etc.) | Permitido apenas para os dispositivos fornecidos pela WeCare |
| Armazenamento Google Drive | Apenas corporativo da WeCare |
| E-mails | Google e-mail corporativo, sem restrições |
| Site público | Permitido sem restrição |
| Comunicação (ex.: Slack, WhatsApp, etc.) | Permitido sem restrição |
| Mídia social (ex.: Facebook, LinkedIn, etc.) | Permitido sem restrição, desde que feito pelo dono da informação ou pessoa autorizada por ele |
| File transfer | Permitido sendo restrito ao autorizado pela WeCare ou especificado pelo cliente em contrato |
| Mídia impressa | Permitido sem restrição |
C2: Informação de uso interno
| Meio | Regra |
|---|---|
| Armazenamento local em devices pertencentes à WeCare | Permitido, sendo o device protegido por senha e seu acesso restrito à pessoa designada |
| Armazenamento local BYOD | Permitido, desde que siga as diretrizes aplicáveis aos dispositivos corporativos da WeCare. O uso da informação deve se limitar aos dados necessários para o trabalho, com acesso formalmente definido e mediante assinatura de termo de responsabilidade |
| Armazenamento externo (pendrive, HD externo, etc.) | Permitido apenas para os dispositivos fornecidos pela WeCare e criptografados |
| Armazenamento Google Drive | Apenas o corporativo da WeCare com acesso restrito à informação |
| E-mails | O envio de informações é permitido mediante autorização do responsável pelos dados e deve ser direcionado apenas a um grupo restrito de destinatários com real necessidade de acesso à informação |
| Site público | Não permitido |
| Comunicação (ex.: Slack, WhatsApp, etc.) | Permitido apenas em canais autorizados corporativamente e seguindo também as premissas descritas no item “e-mail” |
| Mídia social (ex.: Facebook, LinkedIn, etc.) | Não é permitido |
| File transfer | Permitido, desde que autorizado pela WeCare ou especificado contratualmente pelo cliente. O acesso deve ser restrito exclusivamente a grupos de pessoas com necessidade justificada de acesso à informação |
| Mídia impressa | Permitido apenas ao responsável pela informação. A mídia deve ser armazenada em cofre quando a informação estiver em repouso e descartada de forma segura quando não for mais necessária |
C3: Informação de uso restrito
| Meio | Regra |
|---|---|
| Armazenamento local em devices pertencentes à WeCare | Permitido, sendo o device protegido por senha e seu acesso restrito à pessoa designada |
| Armazenamento local BYOD | Não é permitido |
| Armazenamento externo (pendrive, HD externo, etc.) | Permitido apenas para os dispositivos fornecidos pela WeCare e criptografados |
| Armazenamento Google Drive | Apenas o corporativo da WeCare com acesso restrito à informação |
| E-mails | O envio de informações é permitido mediante autorização do responsável pelos dados e deve ser direcionado apenas a um grupo restrito de destinatários com real necessidade de acesso à informação. Os arquivos transacionados devem estar protegidos por senha ou criptografados |
| Site público | Não é permitido |
| Comunicação (ex.: Slack, WhatsApp, etc.) | Não é permitido |
| Mídia social (ex.: Facebook, LinkedIn, etc.) | Não é permitido |
| File transfer | Permitido, desde que autorizado pela WeCare ou especificado contratualmente pelo cliente. O acesso deve ser restrito exclusivamente a grupos de pessoas com necessidade justificada de acesso à informação e os arquivos transacionados devem estar protegidos por senha ou criptografados |
| Mídia impressa | Não permitido |
Responsabilidade pelo Manuseio e Classificação da Informação
Todos os usuários da organização são responsáveis por manusear e classificar adequadamente as informações com as quais têm contato, conforme as diretrizes desta política. É dever de cada usuário proteger a confidencialidade das informações, aplicando corretamente os níveis de classificação definidos. As responsabilidades específicas por função estão descritas no Anexo A desta Política.
Concessão de acesso à informação
O acesso às informações da WeCare deve seguir integralmente as diretrizes estabelecidas na Política de Gestão de Acesso, a qual define os princípios, critérios, responsabilidades e controles para concessão, alteração, revisão e revogação de acessos a sistemas, aplicações e dados corporativos.
Uso de Softwares de Uso Interno
Os softwares desenvolvidos ou fornecidos pela WeCare (e.x.: e-mail, armazenamento, comunicação, etc.) são de uso exclusivo para fins corporativos e devem ser utilizados unicamente para os fins a que se destinam, em conformidade com as políticas de segurança da informação e as diretrizes técnicas estabelecidas pela organização.
Uso de Softwares Não Aprovados
É terminantemente proibido utilizar softwares, plataformas ou ferramentas não aprovadas pela WeCare para acessar, processar, armazenar, transmitir ou compartilhar informações pertencentes à organização, exceto nos casos em que o uso esteja previamente acordado contratualmente com o cliente e autorizado pela WeCare.
Incidentes de Segurança da Informação
Todos os usuários da WeCare são encorajados a reportar imediatamente qualquer situação suspeita ou incidente que possa comprometer a confidencialidade das informações da organização, incluindo dados pessoais protegidos pela LGPD. O reporte deve ser realizado conforme as orientações definidas na Política de Gestão de Incidentes.
Exceções
Qualquer pedido de exceção a esta política dev e ser submetido por escrito e será avaliado caso a caso. Exceções serão permitidas apenas após aprovações documentadas do CISO (Chief Information Security Officer) ou do Comitê de Direção.
Revisão do Documento
Este documento de política e procedimento será revisado quanto a atualizações e alterações, no mínimo, uma vez por ano pela área de InfoSec (Segurança da Informação).
Anexo A - Responsabilidades das funções sobre a Segurança da Informação
CTO – Chief Technology Officer
Responsável pela estratégia tecnológica e arquitetura de sistemas da organização.
Responsabilidades:
- Garantir que as soluções tecnológicas estejam alinhadas com os objetivos estratégicos da empresa;
- Apoiar a integração da segurança desde o design de sistemas e serviços (security by design);
- Supervisionar o desenvolvimento e operação de plataformas tecnológicas com foco em desempenho, escalabilidade e segurança;
- Trabalhar em conjunto com o CISO e outras áreas para assegurar que inovações tecnológicas não comprometam a proteção das informações;
- Incentivar o uso de boas práticas de engenharia segura, DevSecOps e automação de segurança.
- Alocar os recursos técnicos, humanos e financeiros necessários para a implementação e manutenção de controles de segurança da informação, garantindo que as iniciativas de proteção estejam devidamente suportadas pelas áreas de tecnologia.
CISO – Chief Information Security Officer
Responsável pela gestão estratégica da segurança da informação na organização.
Responsabilidades:
- Definir e liderar a estratégia de segurança da informação alinhada aos objetivos do negócio;
- Supervisionar a implementação e eficácia dos controles de segurança;
- Gerenciar riscos cibernéticos em nível organizacional;
- Reportar diretamente à alta direção sobre o estado da segurança da informação;
- Coordenar resposta a incidentes de alto impacto;
- Promover uma cultura corporativa voltada à segurança, conformidade e resiliência digital.
Equipe de Segurança da Informação
Especialistas dedicados à proteção da informação e à gestão dos riscos cibernéticos.
Responsabilidades:
- Definir e manter políticas, normas e diretrizes de segurança da informação;
- Realizar análise de riscos, testes de vulnerabilidade e avaliação de controles;
- Monitorar ambientes e responder a incidentes de segurança;
- Promover campanhas de conscientização e treinamentos especializados;
- Suportar projetos da organização garantindo a aplicação dos requisitos de segurança.
Encarregado de Proteção de Dados (DPO)
O Encarregado é responsável por garantir a conformidade da organização com a legislação de proteção de dados e atuar como canal de comunicação entre a empresa, os titulares dos dados e a autoridade reguladora.
Responsabilidades:
- Atuar como ponto de contato com titulares de dados e autoridades reguladoras;
- Monitorar a conformidade com normas de proteção de dados pessoais;
- Apoiar a avaliação de riscos e a definição de medidas de privacidade;
- Conduzir ações de conscientização sobre tratamento de dados pessoais;
- Acompanhar incidentes relacionados à violação de dados pessoais.
Equipe de Tecnologia da Informação (TI)
Profissionais responsáveis pela infraestrutura tecnológica e suporte aos sistemas de informação.
Responsabilidades:
- Implantar, manter e monitorar controles técnicos para proteção dos ativos de informação;
- Gerenciar acessos, sistemas operacionais, redes e aplicações de forma segura;
- Realizar atualizações, correções e backups regulares;
- Apoiar a investigação e resposta a incidentes de segurança;
- Assegurar a disponibilidade e o funcionamento seguro da infraestrutura tecnológica.
Usuários Finais
Todos os colaboradores, estagiários, terceiros e qualquer pessoa que utilize recursos da organização.
Responsabilidades:
- Cumprir as políticas, normas e procedimentos de segurança da informação da organização;
- Utilizar os recursos tecnológicos de forma ética e responsável;
- Proteger suas credenciais de acesso e não compartilhá-las;
- Reportar imediatamente qualquer incidente de segurança ou comportamento suspeito;
- Participar dos treinamentos e campanhas de conscientização promovidas pela organização.