Ao utilizar nossos serviços, você concorda com nossa política

1. Introdução

A Advys Contabilidade reconhece a importância da segurança da informação para proteger os dados sensíveis dos clientes e garantir a integridade e confidencialidade das informações. Esta política estabelece as diretrizes e procedimentos necessários para atender aos requisitos legais e de conformidade com a ISO 27001.

2. Objetivo

O objetivo desta política é proteger a informação contra diversos tipos de ameaças, garantir a continuidade dos serviços, minimizar danos e assegurar o cumprimento das leis e regulamentações aplicáveis.

3. Âmbito

Esta política se aplica a todos os colaboradores, fornecedores, parceiros e qualquer pessoa que tenha acesso às informações da Advys Contabilidade, incluindo aqueles que trabalham de forma híbrida ou 100% home office.

4. Responsabilidades

  • Diretoria:
    • Garantir recursos necessários para implementação e manutenção da política.
    • Aprovar a política de segurança e qualquer revisão significativa.
  • Equipe de TI:
    • Monitorar e atualizar a infraestrutura de TI.
    • Implementar medidas de segurança (ex.: firewalls, antivírus, backups).
    • Realizar auditorias regulares de segurança.
  • Colaboradores:
    • Seguir todas as diretrizes desta política.
    • Reportar qualquer incidente ou suspeita de incidente de segurança à equipe de TI imediatamente.
    • Participar de treinamentos de segurança da informação.

5. Classificação da Informação

A informação será classificada conforme seu nível de sensibilidade:

  • Confidencial:
    • Inclui dados financeiros dos clientes, informações fiscais, senhas e detalhes de contratos.
    • Exemplo: Declarações de imposto de renda dos clientes.
  • Interna:
    • Informações que são acessíveis a todos os colaboradores, mas não ao público externo.
    • Exemplo: Políticas internas da empresa, manuais de procedimentos.
  • Pública:
    • Informações que podem ser divulgadas sem restrições.
    • Exemplo: Informações disponíveis no site da empresa, relatórios públicos.

6. Controle de Acesso

  • Acesso à informação será concedido conforme a necessidade do trabalho.
    • Exemplo: Somente o departamento financeiro terá acesso a dados financeiros detalhados.
  • Uso obrigatório de autenticação de dois fatores (2FA) para acesso aos sistemas críticos.
    • Exemplo: Login nos sistemas contábeis usando senha e um código enviado para o celular do colaborador.
  • Senhas devem ser complexas (mínimo de 8 caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais) e trocadas a cada 90 dias.
    • Exemplo: A senha “Advys@2024!” atende aos critérios de complexidade.

7. Uso de Serviços em Nuvem

  • OneDrive (Microsoft): Usado para armazenamento de documentos internos.
    • Exemplo: Armazenamento de relatórios financeiros e planilhas de controle interno.
  • Domínio, Fiscontech, Nucont, SIEG, Nibo, Omie, SSParisi: Usados para processamento contábil e fiscal.
    • Exemplo: Processamento de folhas de pagamento, gestão de tributos e lançamentos contábeis.

Todos os serviços em nuvem devem ser configurados para garantir a segurança dos dados, incluindo criptografia em trânsito e em repouso.

8. Trabalho Remoto

  • Dispositivos usados para acessar informações da empresa devem ter antivírus e firewall atualizados.
    • Exemplo: Computadores pessoais de colaboradores devem ter um software antivírus atualizado.
  • Uso de VPN (Virtual Private Network) obrigatório para acesso remoto aos sistemas da empresa.
    • Exemplo: Colaboradores que trabalham de casa devem se conectar à VPN da empresa antes de acessar os sistemas contábeis.
  • Informações sensíveis não devem ser armazenadas em dispositivos pessoais.
    • Exemplo: Planilhas com dados de clientes NÃO devem ser salvas no desktop pessoal do colaborador.

9. Treinamento e Conscientização

  • Todos os colaboradores receberão treinamento regular sobre boas práticas de segurança da informação.
    • Exemplo: Treinamentos anuais sobre como identificar e responder a tentativas de phishing.
  • Sessões de conscientização sobre a importância da segurança da informação.
    • Exemplo: Palestras regulares sobre novas ameaças e melhores práticas de segurança.

10. Gestão de Incidentes

  • Todos os incidentes de segurança devem ser reportados imediatamente à equipe de TI.
    • Exemplo: Se um colaborador perceber que um email phishing foi aberto, deve informar à equipe de TI imediatamente.
  • A equipe de TI avaliará o incidente e tomará as medidas necessárias para mitigar os danos e prevenir futuras ocorrências.
    • Exemplo: A equipe de TI pode isolar um computador infectado e restaurar dados a partir de um backup.

11. Auditoria e Conformidade

  • Auditorias internas serão realizadas regularmente para garantir a conformidade com esta política e com a ISO 27001.
    • Exemplo: Revisões semestrais dos controles de acesso e logs de segurança.
  • Não conformidades serão tratadas com ações corretivas e preventivas.
    • Exemplo: Se uma auditoria identificar que senhas não estão sendo trocadas regularmente, ações corretivas serão implementadas imediatamente.

12. Penalidades

Qualquer violação desta política será tratada com seriedade e pode resultar em medidas disciplinares, incluindo:

  • Advertência Verbal: Para infrações leves, como deixar o computador desbloqueado.
  • Advertência Escrita: Para infrações moderadas, como uso inadequado de senhas.
  • Suspensão: Para infrações graves, como compartilhamento não autorizado de informações confidenciais.
  • Demissão/Encerramento de Contrato: Para infrações muito graves ou repetidas, como sabotagem ou roubo de dados.

13. Revisão da Política

Esta política será revisada anualmente, ou sempre que houver mudanças significativas na infraestrutura de TI, ou nos requisitos legais.

14. Disposições Finais

Esta política entra em vigor a partir da data de sua publicação e deve ser comunicada a todos os colaboradores, fornecedores e parceiros da Advys Contabilidade.

Última atualização: 31.01.2024