Política de Segurança da Informação

Introdução

A presente Política de Segurança da Informação tem por objeto diretrizes para proteção, preservação e descarte de informação no ambiente convencional ou de tecnologia da VB Cosméticos e Conteúdo S.A. e demais empresas do grupo VB, afiliadas, coligadas e sociedades sob controle comum.

Princípios

Garantia de disponibilidade, para que a informação esteja acessível e utilizável quando necessário.
Garantia de integridade da informação, para que não seja modificada ou destruída de maneira não autorizada ou acidental.
Garantia de confidencialidade da informação, para que não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado.
Garantia de autenticidade de autoria e origem da informação, para que sejam sempre identificáveis.

Conceitos

Artefato malicioso – Qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas ou redes de computadores.
Ataque – Tentativa deliberada e não autorizada para acessar/manipular informações, ou tornar um sistema inacessível, não íntegro, ou indisponível.
Ativo – Qualquer recurso que tenha valor para as empresas do grupo VB.
Ativo de informação – Dados, informações e seus meios de armazenamento, transmissão e processamento, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso.
Colaborador – Diretores, conselheiros, empregados, cedidos, requisitados, contratados, prestadores de serviço, estagiários e jovens aprendizes que atuem nas ou para as empresas do grupo VB.
Espaço cibernético – Espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas por meio desse ambiente.
Gestor – Titulares das áreas que desempenham atividades gerenciais e titulares dos órgãos executivos de direção das empresas do grupo VB.
Incerteza – Estado, mesmo que parcial, da deficiência de informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade. A incerteza pode se transformar em ameaça ou em oportunidade para a empresa.
Incidente de segurança da informação – Qualquer evento adverso, confirmado ou sob suspeita, que afete a proteção dos sistemas de informação e que comprometa ou tenha potencial para comprometer a segurança da informação.
Informação – Dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.
Privacidade – Direito fundamental da pessoa humana, que exige proteção a informações e dados pessoais.
Proprietário da informação – Gestor de unidade organizacional responsável pela produção ou tratamento das informações em seus processos de negócio.
Proprietário do risco (ou risk owner) – Colaborador que possui autoridade e responsabilidade pelo gerenciamento de um ou mais Riscos de Segurança da Informação.
Risco de segurança da informação – Potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças.
Segurança cibernética – Ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis.
Segurança da informação – Ações que objetivam viabilizar e assegurar a disponibilidade, integridade e confidencialidade da informação.
Segurança física – Medidas físicas destinadas a impedir, detectar e responder ao acesso não autorizado a pessoas, bens, valores, equipamento, instalações relacionadas aos ativos de informação.
Titular – Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Violação – Qualquer atividade que desrespeite as diretrizes estabelecidas nesta política ou em quaisquer dos demais instrumentos regulamentares que a complementem.

Diretrizes

Toda informação utilizada pelas empresas do grupo VB é um ativo que possui valor e deve ser gerenciada adequadamente ao longo de todo seu ciclo de vida, para que esteja disponível para acesso pelo público adequado, protegida contra manipulação indevida, com tratamento adequado ao seu grau de sigilo ou restrição de acesso e passível de rastreamento.
As empresas do grupo VB são as proprietárias e as detentoras do direito de uso exclusivo das informações geradas, armazenadas, processadas ou transmitidas no ambiente convencional ou de tecnologia.
As informações utilizadas nas empresas do grupo VB devem ser classificadas a partir de metodologias e critérios definidos internamente, quanto ao seu grau de sigilo ou nível de restrição de acesso, considerando os processos e atividades nas quais estão inseridas, a fim de assegurar que essas informações recebam um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para as empresas do grupo VB.
O gestor de cada informação deve determinar a autorização de acesso, incluindo os relacionados ao sistema de gestão empresarial, levando em consideração o sigilo adequado e a necessidade de acesso em cada caso, no cumprimento dos objetivos estratégicos do grupo VB.
O acesso à informação deve ser autorizado apenas para os colaboradores que dela necessitem para o desempenho de suas atividades profissionais.
Cada colaborador deve acessar apenas as informações ou os sistemas previamente autorizados.
Qualquer tentativa não autorizada de acesso à informação ou sistema deve ser considerada uma violação.
A credencial (login e senha) concedida a um colaborador é de uso individual, intransferível e de conhecimento exclusivo.
Os recursos corporativos fornecidos pelas empresas do grupo VB, inclusive o correio eletrônico, devem ser utilizados prioritariamente para fins profissionais. Dessa forma, todo e qualquer uso não deve violar leis e normativos aplicáveis.
Para garantir o cumprimento desta política, a utilização dos recursos corporativos deve ser registrada e monitorada pelas empresas do grupo VB, não devendo o colaborador ter expectativa de sigilo em sua utilização.
A segurança da informação deve ser obtida a partir da implementação de um conjunto de controles adequados, incluindo processos, procedimentos, estruturas organizacionais e sistemas.
Todos os colaboradores devem ser orientados a preservar a integridade de documentos, registros, cadastros e sistemas de informação das empresas do grupo, em todos os meios que utilizam, tanto físico quanto eletrônico.
Os gestores devem providenciar proteção e controle de acesso físico e lógico aos seus recursos de informação, compatível com o seu nível de criticidade e/ou classificação.
Todo incidente que afetar a segurança da informação deve ser reportado imediatamente à administração das empresas do grupo VB, para a adoção das providências cabíveis.
Os riscos de segurança da informação devem ser identificados, quantificados e priorizados para que se adotem medidas de proteção adequada.
Devem ser mantidos registros atualizados dos indicadores de segurança da informação, bem como a adequada manutenção da arquitetura cibernética, dos ativos tecnológicos, das configurações e das soluções de segurança em uso na empresa.
Os colaboradores das empresas não devem divulgar ou fazer uso de informações corporativas da empresa em benefício próprio ou de terceiros, não importando o tipo de mídia ou suporte utilizado.
Os recursos de ambiente convencional ou de tecnologia utilizados nas atividades de gestão, operacionais e de suporte das empresas do grupo VB devem ser protegidos contra situações de indisponibilidade e devem ter planos de continuidade definidos.
Os gestores devem definir e implementar medidas de prevenção e recuperação para situações de desastre e contingência, que devem contemplar os colaboradores e os recursos de tecnologia e de infraestrutura necessários.
Todos os relacionamentos formais com terceiros (contratos, convênios, acordos de acionistas, acordos de gestão, formação de consórcios, dentre outros) em que haja o compartilhamento de informações das empresas do grupo VB e/ou a concessão de qualquer tipo de acesso aos seus ambientes e recursos corporativos devem ser precedidos por termos de confidencialidade e conter cláusulas que tratem especificamente de privacidade e segurança da informação.
As empresas do grupo VB devem garantir que qualquer informação com valor comprobatório para fins de auditorias, de conformidade e judiciais seja preservada na forma e pelos prazos exigidos.
As empresas do grupo VB devem incluir a segurança da informação em seus treinamentos corporativos e programas de capacitação.
As empresas do grupo VB devem assegurar o adequado tratamento de dados pessoais, em estrita observância aos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD), mantendo sempre monitoramento contínuo da conformidade às disposições da LGPD.
Os colaboradores devem ser orientados da responsabilidade pelo cumprimento da Política de Segurança da Informação e da Política de Privacidade e Proteção de Dados, bem como que a mera tentativa de burla às diretrizes desta política ou aos controles estabelecidos pelas empresas do grupo VB, quando constatada, pode vir a caracterizar infração contratual e/ou legal.

Disposições Gerais

A presente Política de Segurança da Informação deve ser interpretada e aplicada em conjunto com outros padrões, normas e procedimentos aplicáveis pelas empresas do grupo VB, incluindo a sua Política de Privacidade e Proteção de Dados.
Deve ser assegurado pelas empresas do grupo VB que esta política seja amplamente divulgada aos seus colaboradores, visando a sua disponibilidade para todos que se relacionam com a organização e que, direta ou indiretamente, são impactados.
Esta política pode ser regulamentada por procedimentos unificados e válidos para todas as empresas do grupo VB ou, ainda, por normativos internos específicos de cada empresa do grupo, mas sempre alinhados aos princípios, conceitos e diretrizes aqui estabelecidos.
Esta política, e demais instrumentos regulamentares subordinados a ela, devem ser atualizados periodicamente, sempre que houver necessidade, ou no prazo máximo de 5 (cinco) anos, visando a garantir que os requisitos técnicos e legais aplicáveis à segurança da informação estejam sendo cumpridos, em conformidade com a legislação vigente e as diretrizes que conduzem o desenvolvimento dos negócios do grupo VB.
Esta Política de Segurança da Informação foi atualizada em 22/10/2024.