Nossa Política de Segurança.
A Medicina Direta está comprometida em garantir a proteção e o correto gerenciamento das informações, assegurando sua confidencialidade, integridade e disponibilidade. Esta Política de Segurança da Informação (PSI) estabelece diretrizes fundamentais para prevenir riscos e ameaças, promovendo um ambiente seguro para colaboradores, clientes e parceiros.
1. Aplicação:
Esta política se aplica a todos os colaboradores da Medicina Direta.
2. Objetivos:
Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer diretrizes e princípios para garantir a confidencialidade, integridade e disponibilidade das informações da Medicina Direta. A política visa proteger os ativos de informação contra ameaças internas e externas, garantindo conformidade legal e regulatória.
3. Definições:
Princípios fundamentais da Política de Segurança da Informação:
Confidencialidade: Garantir que as informações sejam acessadas apenas por pessoas autorizadas;
- Integridade: Assegurar a precisão e confiabilidade das informações, prevenindo modificações não autorizadas.
- Disponibilidade: Garantir que as informações e sistemas estejam disponíveis sempre que necessário.
- Autenticidade: Garantir que as informações sejam confiáveis e provenientes de fontes verificadas.
- Responsabilidade: Assegurar que todos os colaboradores compreendam e cumpram suas obrigações quanto à segurança da informação.
4. Diretrizes Gerais:
4.1 – Gestão de Riscos
A empresa realizará avaliações periódicas de riscos, no mínimo anuais, para identificar ameaças e vulnerabilidades.
Medidas de mitigação serão implementadas com base nos resultados da análise de risco.
4.2 – Controle de Acessos
O acesso às informações e sistemas será concedido apenas a usuários autorizados e com base no princípio do menor privilégio.
Revisão periódica de acessos para garantir a conformidade com as regras estabelecidas.
4.3 – Gestão de Ativos
- Os ativos de informação serão identificados, classificados e protegidos conforme sua criticidade.
- O uso de dispositivos pessoais para acesso a informações corporativas estará sujeito a políticas específicas.
- Procedimentos de descarte seguro de ativos de informação para evitar vazamentos de dados deverá ser utilizado.
4.4 – Classificação da Informação
- As informações da empresa serão classificadas de acordo com seu nível de sensibilidade e criticidade.
A proteção e os controles aplicáveis a cada nível de classificação serão definidos em normas específicas.
4.5 – Segurança Física e Ambiental
- Medidas de segurança física serão aplicadas para proteger instalações, servidores e arquivos confidenciais.
- O acesso às instalações será controlado e monitorado.
- Implementação de sistemas de vigilância eletrônica em áreas sensíveis.
4.6 – Gestão de Incidentes de Segurança
- Todos os incidentes de segurança da informação deverão ser registrados e tratados conforme o plano de resposta a incidentes.
- Relatórios de incidentes serão analisados para a implementação de ações preventivas.
- Definição de tempos de resposta e escalonamento de incidentes.
4.7 – Gestão da Continuidade do Negócio
- A empresa manterá um plano de continuidade de negócio para assegurar a operação em caso de falhas ou desastres.
- Testes periódicos serão realizados para garantir a eficiência do plano.
- Definição de responsáveis pela ativação do plano de continuidade.
4.8 – Gestão de Conformidade
- A conformidade com leis, regulamentos e padrões aplicáveis será monitorada continuamente.
- Auditorias internas e externas serão realizadas para verificar a aderência à ISO 27001 e outras normas aplicáveis.
- Implementação de políticas de proteção de dados em conformidade com LGPD e GDPR.
4.9 – Treinamento e Conscientização
- Todos os colaboradores receberão treinamentos regulares sobre segurança da informação.
- Campanhas de conscientização e reciclagem serão promovidas no mínimo anualmente para reforçar boas práticas.
4.10 – Uso Apropriado dos Canais de Comunicação
- O uso dos canais de comunicação da empresa, incluindo correio eletrônico corporativo, internet e demais recursos digitais, deve ser exclusivamente para fins profissionais.
- Mensagens eletrônicas devem seguir os padrões de confidencialidade e conformidade estabelecidos.
- O uso inadequado dos recursos poderá resultar em sanções disciplinares conforme a política da empresa.
4.11 – Melhoria Contínua
- A empresa se compromete a garantir a melhoria contínua do Sistema de Gestão de Segurança da Informação com base em análises críticas e indicadores de desempenho.
- Indicadores serão monitorados periodicamente para avaliar a eficácia das práticas de segurança da informação.
- A alta direção assegurará a implementação de melhorias sempre que necessário.
4.12 – Promoção da Cultura de Segurança da Informação
- A Alta Direção, gestores e responsáveis pela Segurança da Informação deverão realizar ações para disseminar e apoiar a cultura de Segurança da Informação.
- A segurança da informação deve ser parte integrante de todas as fases de projetos e os objetivos de segurança da informação devem estar contemplados nos objetivos do projeto.
- A empresa assegurará a divulgação, treinamento e revisão anual da Política de Segurança da Informação, garantindo que todos os colaboradores estejam cientes e alinhados com as diretrizes estabelecidas.
4.13 – Revisão e Aprovação
Esta política será revisada anualmente ou conforme necessário para garantir sua adequação às mudanças na empresa e no ambiente regulatório. Todas as alterações serão aprovadas pela Direção e pelo Comitê de Segurança da Informação.
5. Responsabilidades:
- Comitê de Segurança de Informação – Será responsável por revisar e atualizar esta política periodicamente.
- Colaboradores – É responsabilidade de todos os colaboradores cumprir esta política e relatar eventuais vulnerabilidades ou incidentes.
- Diretoria – A Alta Direção tem o compromisso de fornecer suporte e recursos necessários para a implementação e melhoria contínua do SGSI.
POLÍTICA DE SEGURANÇA
Segurança e cumprimento das normas legais e regulatórias.
