DIRETRIZES GERAIS

A Política de Segurança da Informação tem caráter permanente. O conteúdo deste documento poderá ser modificado a qualquer momento de acordo com as necessidades vigentes. Os profissionais da SleepUp e seus prestadores de serviços deverão, sempre que necessário, consultar a última versão disponível.

​

A presente Política de Segurança da Informação (“Política”) aplica-se a todos os níveis de hierárquicos da SleepUp, sócios, dirigentes, empregados, consultores, funcionários, trainees, estagiários e prestadores de serviços (“ Colaboradores”), e todos os Colaboradores estão cientes de que devem conhecer e respeitar todas as normas aqui dispostas, estando cientes de que o descumprimento de tais normas poderá acarretar a imposição pela Diretoria de sanções administrativas, a depender do grau de gravidade da conduta, incluindo demissão/término da relação contratual.

​

A presente Política tem como objetivo central disseminar entre todos os Colaboradores da SleepUp as políticas e os procedimentos definidos para garantir a integridade das informações produzidas e gerenciadas dentro do ambiente de trabalho. É responsabilidade de cada um dos seus Colaboradores garantir total confidencialidade e integridade das informações diariamente produzidas em razão e/ou no ambiente de trabalho. 

​

Todos os Colaboradores estão cientes de que toda informação gerada internamente pela SleepUp e/ou recebida de Usuários ou Clientes para o desenvolvimento de atividades de qualquer natureza é estritamente confidencial e deve manter-se íntegra durante toda a sua existência. Além disso, os Colaboradores, ao usarem qualquer meio eletrônico (chats, skype, google meet, zoom, e-mails, internet, entre outros), para o desenvolvimento de suas atividades, devem considerar seu uso de propriedade da empresa e nos interesses desta.  A utilização de meios eletrônicos para fins particulares é terminantemente proibida. Vale salientar, ainda, que os acessos a e-mails e à internet, passam por backups semanal e poderão ser objeto de auditorias e revisões a qualquer momento, estando à total disposição da administração da SleepUp.

​

A responsabilidade do Colaborador e/ou prestador de serviços no que se refere a confidencialidade e integridade das informações é obrigatória até mesmo após o seu desligamento e deve ser cumprida de acordo com os itens desta política.

​

Como itens de conformidade, a SleepUp vem estabelecer as seguintes medidas técnicas e administrativas relacionadas ao tratamento de dados pessoais, com revisões periódicas. 

1. Medidas Administrativas

1.1 Conscientização e Treinamento. Os recursos humanos da SleepUp devem receberam capacitação e treinamentos de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.

1.2 As informações passadas aos Colaboradores são recomendações referentes à : (i) como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário; (ii) como evitar de se tornarem vítimas de incidentes de segurança, tais como, contaminação por vírus ou ataques de phishing, dentre outros; (iii) manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas; (iv) não compartilhar logins e senhas de acesso das estações de trabalho; (v) bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros; (vi) vedação de transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, como pendrives, discos rígidos externos, dentre outros; (vi) informar imediatamente sobre incidentes e vulnerabilidades detectadas; (vii) seguir as orientações da política de segurança da informação (PSI).

1.3 Gerenciamento de Contratos : A SleepUp  determina a todos os Colaboradores a assinatura do termo de confidencialidade (non-disclosure agreement-NDA) para que se comprometam a não divulgar informações confidenciais que envolvam dados pessoais; para os fornecedores que realizam tratamento de dados pessoais em serviços de TI, a adequação aos contratos incluem, dentre outras, cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais, regras sobre compartilhamento de dados pessoais, relações entre controlador-operador, orientações sobre o tratamento a ser realizado e vedações a tratamentos incompatíveis com as orientações da SleepUp;

1.4 Organização da Segurança da Informação – Controles sobre como as responsabilidades são definidas e gerenciadas na SleepUp a partir dos sistema de controle de acesso aos dados pessoais aplicáveis a todos os usuários, com níveis de permissão na proporção da necessidade de acessar os dados pessoais, aplicando-se a premissa do menor privilégio (need to know), ou seja, os usuários do sistema da SleepUp terão o menor nível de acesso apenas para realização de suas atividades;

​

​1.5 Segurança Física e do Ambiente – Controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa;​

2. Medidas Técnicas

2.1 Gestão de Ativos da Informação – São realizados controles relacionados ao inventário de ativos, uso aceitável, classificação de informação e manuseio de mídias;

2.2 Controle de Acesso – São realizados controles em processos de autenticação (identificação de quem acessa o sistemas ou os dados) e autorização (determinação do que o usuário pode fazer); além da configuração de senhas com certo nível de complexidade, definindo-se, por exemplo, a necessidade de uso de caractere especial ou outros fatores necessários à proteção de dados pessoais contra acesso não autorizados;

2.3 Criptografia -  São realizados controles relacionados à gestão de chaves criptográficas SSL para comunicação entre serviços por meio de APIs, além da segurança de rede e criptografia de banco de dados para prevenir o vazamento de dados pessoais em todo o ciclo de tratamento.

2.4 Segurança nas Operações – São realizados controles relacionados à gestão da produção envolvendo a arquitetura de tecnologias que suportam os produtos/sistemas tais como : gestão de mudanças, gestão de capacidade, software malicioso, backups diariamente com armazenamento por 7 dias, registro de eventos, monitoramento, instalação, vulnerabilidades e a realização de backups offline, periódicos com armazenamento de forma segura; 

2.5 Segurança nas Comunicações – São realizados controles relacionados à segurança de dados em trânsito em rede, segregação, serviços de rede, transferência de informação, mensageria; utilização de conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim-a-fim para serviços de comunicação; instalação e manutenção de um sistema de firewall  e/ou utilizar um Web Application Firewall (WAF -Filtro de Aplicação) que monitore, detecte e bloqueia ameaças, impedindo conexões a redes não confiáveis; proteção de serviços de e-mail, utilizando antivírus integrados, ferramenta anti-spam e filtros de e-mail; remover quaisquer dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em rede públicas;

2.6 Gerenciamento de Vulnerabilidades : São realizadas atualizações periodicamente em todos os sistemas e aplicativos utilizados, mantendo-os em sua versão atualizada; são adotados e atualizados periodicamente softwares antivírus e antimalwares; são realizadas varreduras antivírus periódicas nos sistemas e utilizados;

2.7 Aquisição, desenvolvimento e manutenção de sistemas- Controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte. Todos os fornecedores do Tipo SAAS são aprovados de acordo com nossas Políticas de Segurança e Privacidade de Dados.

2.8 Relacionamento na cadeia de suprimento e Serviços em nuvem – Controles para avaliação de fornecedor para seleção, avaliação e reavaliação de provedores externos.

2.9 Gestão em incidentes de segurança da informação – Toda a infraestrutura está passível de rastreabilidade, inclusive para informar o DPO quanto a data e hora em que ocorreu o incidente de vazamento, e descrever de forma resumida, como ocorreu o incidente, qual  a natureza dos dados afetados, a quantidade de titulares afetados, a categoria dos titulares afetados, e quais as medidas de segurança foram utilizadas para a proteção de dados, de forma a prevenir o incidente e aquelas a serem tomadas após a ciência do incidente de vazamento.

2.10 Aspectos da segurança da informação na gestão da continuidade do negócio- Estabelece diretrizes a fim de minimizar os impactos negativos causados por quaisquer eventos que possam oferecer risco na continuidade de negócios da SleepUp. 

2.11 Conformidade – São realizados controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção, proteção de dados pessoais e revisões da segurança da informação.