Pular para o conteúdo principal

Sistema de Gestão de Segurança da Informação (SGSI)

Organização: WeCare
Sistema: Sistema de Gestão de Segurança da Informação (SGSI)
Versao: 1.0
Ultima atualizacao: Maio de 2025
Responsavel: Seguranca da Informacao

1. Objetivo

Este documento define o escopo do Sistema de Gestão de Segurança da Informação (SGSI) da WeCare, estabelecendo os limites, ativos, processos, tecnologias, pessoas e serviços abrangidos pelos controles de Segurança da Informação, Privacidade e Proteção de Dados.

O escopo foi definido considerando:

  • Os objetivos estratégicos da organização;
  • A natureza dos serviços prestados;
  • Os requisitos legais, regulatórios e contratuais aplicáveis;
  • Os requisitos da ISO/IEC 27001:2022;
  • Os riscos relacionados à confidencialidade, integridade e disponibilidade das informações.

2. Declaração de Escopo

O Sistema de Gestão de Segurança da Informação (SGSI) da WeCare abrange os processos, pessoas, tecnologias e ativos envolvidos no desenvolvimento, hospedagem, operação, suporte e manutenção da plataforma WeCare, disponibilizada por meio do domínio:

  • wecare.app.br
  • todos os subdomínios da WeCare

O escopo contempla os controles necessários para garantir a proteção das informações processadas pela organização, incluindo dados corporativos, operacionais e dados pessoais tratados pela plataforma.

3. Serviços Abrangidos

Estão incluídos no escopo do SGSI os seguintes serviços e processos:

3.1 Desenvolvimento de Software

  • Desenvolvimento de aplicações web;
  • Desenvolvimento e manutenção de APIs;
  • Versionamento de código-fonte;
  • Revisão e aprovação de código;
  • Pipeline de integração e entrega contínua (CI/CD);
  • Gestão de mudanças em aplicações.

3.2 Infraestrutura e Operações

  • Infraestrutura em nuvem;
  • Servidores e ambientes computacionais;
  • Bancos de dados;
  • Redes e componentes de conectividade;
  • Monitoramento de ambientes;
  • Backups e restauração;
  • Gestão de disponibilidade.

3.3 Segurança da Informação

  • Gestão de acessos e identidades;
  • Gestão de vulnerabilidades;
  • Registro e monitoramento de logs;
  • Resposta a incidentes de segurança;
  • Gestão de riscos de Segurança da Informação;
  • Gestão de ativos;
  • Controles criptográficos;
  • Segurança de aplicações.

3.4 Privacidade e Proteção de Dados

  • Tratamento de dados pessoais;
  • Atendimento aos direitos dos titulares;
  • Gestão de incidentes envolvendo dados pessoais;
  • Gestão de bases legais e finalidades;
  • Governança de privacidade;
  • Controles relacionados à LGPD.

3.5 Pessoas e Terceiros

  • Colaboradores internos;
  • Prestadores de serviço;
  • Terceiros com acesso aos ativos do escopo;
  • Processos de onboarding e desligamento;
  • Treinamentos de Segurança da Informação e Privacidade.

4. Ativos Abrangidos

Os seguintes ativos fazem parte do escopo do SGSI:

Ativos de Informação

  • Dados corporativos;
  • Dados operacionais;
  • Dados pessoais tratados pela plataforma;
  • Documentação técnica e operacional;
  • Registros de auditoria e logs.

Ativos Tecnológicos

  • Aplicações web;
  • APIs;
  • Repositórios de código;
  • Ambientes de desenvolvimento, homologação e produção;
  • Bancos de dados;
  • Ferramentas de monitoramento;
  • Ferramentas de CI/CD;
  • Sistemas de autenticação e autorização.

5. Limites do Escopo

O SGSI cobre exclusivamente os ativos, processos e serviços sob responsabilidade direta da WeCare.

Os controles definidos neste SGSI aplicam-se aos ambientes e informações gerenciados pela organização dentro do escopo estabelecido.

6. Exclusões do Escopo

Estão excluídos do escopo do SGSI:

  • Equipamentos e ambientes pertencentes aos clientes;
  • Sistemas internos dos clientes;
  • Infraestruturas não administradas pela WeCare;
  • Serviços terceirizados fora da capacidade de gestão da organização;
  • Dispositivos pessoais sem acesso aos ativos corporativos.

As exclusões acima não eliminam a necessidade de avaliação de riscos associados a integrações, fornecedores ou dependências externas.

7. Partes Interessadas

As principais partes interessadas relacionadas ao SGSI incluem:

  • Clientes;
  • Usuários da plataforma;
  • Diretoria;
  • Colaboradores;
  • Prestadores de serviço;
  • Fornecedores;
  • Parceiros tecnológicos;
  • Órgãos reguladores e autoridades competentes.

8. Requisitos Aplicáveis

O SGSI considera os seguintes requisitos:

Legais e Regulatórios

  • Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018);
  • Marco Civil da Internet;
  • Requisitos contratuais aplicáveis;
  • Obrigações regulatórias relacionadas ao negócio.

Normativos

  • ISO/IEC 27001:2022;
  • ISO/IEC 27002:2022;
  • Boas práticas de segurança da informação e privacidade.

9. Objetivos do SGSI

O SGSI possui os seguintes objetivos:

  • Proteger a confidencialidade, integridade e disponibilidade das informações;
  • Reduzir riscos de Segurança da Informação;
  • Atender requisitos legais, regulatórios e contratuais;
  • Estabelecer controles de segurança auditáveis;
  • Melhorar continuamente a maturidade de Segurança da Informação e Privacidade;
  • Fortalecer a resiliência operacional da organização.

10. Responsabilidades

A gestão do SGSI é responsabilidade da organização, com apoio da diretoria, lideranças e equipes envolvidas nos processos abrangidos pelo escopo.

Todos os colaboradores e terceiros com acesso aos ativos incluídos no escopo devem cumprir as políticas, procedimentos e controles definidos pela WeCare.

11. Revisão do Escopo

O escopo do SGSI deve ser revisado:

  • Anualmente;
  • Sempre que houver mudanças significativas no ambiente;
  • Em alterações relevantes de negócio;
  • Em mudanças regulatórias ou contratuais;
  • Após incidentes relevantes de segurança.