Política de Segurança da Informação

INTRODUÇÃO

Somos a PLAYKIDS INTERNET MOVEL S.A., pessoa jurídica de direito privado, inscrita no CPNJ sob o nº 23.909.174/0001-77 – adiante também denominada como (“Playkids” ou “EMPRESA”).

A Política de Segurança da Informação da EMPRESA tem por objetivo principal definir as diretrizes estratégicas para as ações relativas à Segurança da Informação, com o intuito de implementar as melhores práticas de segurança da informação, tendo por finalidade estabelecer as diretrizes para criação, transmissão, processamento, utilização, armazenamento, recuperação e descarte de informações a fim de preservar as informações quanto aos seguintes princípios:

• Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário; e
• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Esta Política procura estabelecer uma cultura corporativa em segurança, compatível com o uso aceitável das informações e dos ativos que a suportam, de forma a minimizar riscos e criar um ambiente seguro para a realização das atividades da EMPRESA e está de acordo com as leis, regulamentação e autorregulação aplicáveis, e as melhores práticas de mercado.

DIRETRIZES GERAIS

As diretrizes e regras adotadas pela EMPRESA coordenam a consecução dos seguintes objetivos:

• Monitoramento eficaz da efetividade dos processos e controles implementados para mitigação dos riscos de segurança cibernética e direcionados nesta Política;
• Identificação tempestiva de riscos emergentes de segurança da informação a serem tratados;
• Otimização contínua da capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético;
• Disseminação perene de uma cultura de atenção à segurança da informação e de assimilação da proteção dos dados tratados pela EMPRESA como premissa de qualquer desenho de processos ou soluções e como padrão essencial de qualquer procedimento operacional;

CONTROLES DE SEGURANÇA DA INFORMAÇÃO

O programa permanente de Segurança da Informação da EMPRESA consiste em um amplo processo que, no horizonte dos princípios e objetivos traçados, guia a implementação de controles ou instrumentos de gestão da informação, dentre os quais se destacam:

Classificação dos dados e das informações

Para ser possível proteger e tratar informações de maneira adequada é necessário classificar os tipos de informações existentes na EMPRESA. A classificação é determinada com base no valor da informação, sensibilidade, criticidade, obrigações legais e contratuais, e a Companhia define rótulos para a classificação das informações, os quais devem ser observados e aplicados internamente durante o tratamento de informação.

Desenvolvimento voltado para privacidade e segurança dos dados

A EMPRESA possui equipes dedicadas à criação e otimização de instrumentos de melhoria de segurança das suas aplicações com foco em dados pessoais, observando-se exigências legais e melhores técnicas conhecidas no mercado.

Direito de propriedade

A EMPRESA zela pelo respeito a todos os aspectos da propriedade intelectual presente em seu ambiente e em suas operações. É dever de todos a abstenção do uso de informações ou propriedade intelectual da EMPRESA para fins particulares.

Gestão e definições de uso de ativos de informação

São quaisquer recursos envolvidos no ciclo de vida dos dados na organização. Na EMPRESA, esses recursos são protegidos contra acessos indevidos, e os colaboradores devem observar os cuidados inerentes a cada atividade, atuando com integridade e discernimento durante a utilização dos equipamentos da EMPRESA, incluindo regras específicas para dispositivos móveis e conectados à sua rede.

Gestão de acessos

A EMPRESA adota procedimentos formais para a gestão de acesso de todo o seu ambiente de T.I, contemplando processos de Concessão, Revogação, Transferência, Revisão e Autenticação de Acessos.

Gestão de mudanças

A EMPRESA adota diversos controles sobre alterações em sistemas internos e bases de dados da Companhia, incluindo procedimentos de revisão de código, de integridade e continuidade dos sistemas desenvolvidos, rastreamento, versionamento, testes e gerenciamento do ciclo de integração contínua.

Gestão de redes e de criptografia

Por meio da gestão das suas redes, a EMPRESA preserva o fluxo seguro de dados entre os componentes dos seus sistemas, observando-se a segmentação das redes e o uso de padrões de configuração seguros e criptografia forte.

Gestão de vulnerabilidades

A EMPRESA realiza varreduras e testes recorrentes em seu ambiente de TI, por equipe especializada em testes de segurança, para aferição de falhas e vulnerabilidades em seus sistemas, cujo tratamento é realizado por suas equipes de segurança cibernética e desenvolvimento seguro.

Proteção contra malware

Mecanismos de proteção são implementados contra códigos maliciosos em pontos de entrada e saída dos sistemas da EMPRESA. Esses pontos incluem firewalls, servidores de acesso remoto, estações de trabalho, servidores de e-mail, servidores web, servidores proxy e dispositivos móveis.

Gestão de fornecedores

A partir de informações recebidas e verificações internas, a EMPRESA avalia os riscos envolvidos na contratação de cada fornecedor, para garantir a conformidade com as regras de segurança e privacidade cibernética e da informação da Companhia, de acordo com os serviços prestados.

Prevenção do vazamento de informações

A EMPRESA aplica controle de transmissão de informação em seu ambiente de TI, por meio de soluções automatizadas, que detectam, restringem e alertam a circulação indevida de dados. Os controles estão associados à classificação destas informações.

Plano de contingência

A EMPRESA possui plano para recuperação segura dos dados tratados pela companhia e funcionalidades dos seus sistemas, em caso de indisponibilidade de serviços críticos de tecnologia que sustentam sua operação, e conta com backup de dados.

Treinamentos e conscientização em segurança da informação

Com o objetivo de disseminar o conhecimento e aprimoramento contínuo, a EMPRESA realiza treinamentos e promove meios de conscientização periódicos relativos à Segurança da Informação e Privacidade de Dados, abrangendo todos os colaboradores e criando assim uma cultura de segurança da informação.

Gestão de incidentes

O processo de gestão de incidentes da EMPRESA destina-se a prevenir, detectar, responder e recuperar-se diante de evento inesperado que gere algum tipo de instabilidade, violação de política ou norma interna, ou que possa causar danos à Companhia. Todos incidentes reportados no ambiente de tecnologia da EMPRESA passam por procedimentos de identificação, análise, classificação e comunicação, de acordo com seus efeitos e com o interesse das partes envolvidas e eventualmente afetadas. Em caso de identificação, pelo público externo, de alguma inconsistência ou falha no ambiente da EMPRESA, a Companhia disponibiliza canal para recebimento do comunicado respectivo, pelo e-mail security+canal@sbxgroup.com.

Criptografia

É empregado o uso de técnicas de criptografia como medida essencial para mitigar riscos de segurança e proteger os direitos dos titulares dos dados, conforme as boas práticas de segurança da informação e os requisitos da LGPD (Lei Geral de Proteção de Dados Pessoais) e GDPR (General Data Protection Regulation).

Adotamos a criptografia para assegurar a confidencialidade e a integridade das informações, protegendo dados armazenados e em trânsito contra acessos e manipulações não autorizadas. Estas medidas visam

VIOLAÇÃO DA POLÍTICA

O descumprimento das diretrizes do Programa de Segurança da Informação, definidas nesta Política, constitui ofensa grave e acarreta a aplicação de sanções em conformidade com as normas vigentes. O colaborador ou prestador de serviço que deliberadamente deixar de notificar violações a esta política também estará sujeito às medidas mencionadas acima.

ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Esta Política de Segurança da Informação está sujeita a alterações a qualquer momento e, com efeito, imediato. Sendo assim, recomendamos que visite esta página sempre que possível para esclarecimentos e obtenção de informações atualizadas.