POLÍTICA DE SEGURANÇA DA INFORMAÇÃO – KMM

1. 1. O objetivo da gestão de Segurança da Informação da KMM é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a KMM.
   2. A Presidência, Diretoria Executiva e o CGSIC estão comprometidos com uma gestão efetiva de Segurança da Informação na KMM. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da KMM.
   3. Elaborar, implantar e seguir por completo políticas, normas, processos, procedimentos, planos e demais documentos do SGSI, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da KMM sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;
   4. Disponibilizar as políticas, as normas, os processos, os procedimentos, os planos e demais documentos do SGSI a todas as partes interessadas, sendo essas em nível organizacional (NSTECH) e da KMM.
   5. Garantir a educação e conscientização sobre as práticas adotadas pela KMM do SGSI para às partes interessadas.
   6. Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais.
   7. Tratar integralmente incidentes de segurança da informação, garantindo que estes sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas.
   8. Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres.
   9. Melhorar continuamente o SGSI por meio da definição, implantação e monitoramento do desempenho do SGSI alinhado com os objetivos de segurança em todos os níveis da organização.
   10. Fica constituído o CGSIC, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior de cada área da empresa, tais como: Tecnologia da Informação, Segurança da Informação, Recursos Humanos, Comunicação etc.
   11. Todos os usuários da informação e partes interessadas, caso identifiquem qualquer ameaça, vulnerabilidade e/ou incidente em relação à segurança da informação (p. ex. acesso a sites maliciosos, phishing, vazamento de dados etc.) devem informar imediatamente a equipe de segurança da informação.
   12. Sempre que houver cliente ou fornecedor fora do país, considerar legislações aplicáveis para a segurança da informação, por exemplo: criptografia, privacidade e proteção de dados pessoais, legislações trabalhistas específicas etc. O jurídico deverá atuar na análise dessas legislações de país estrangeiro antes da assinatura do contrato.
   13. A divulgação de dados fora das permissões da LGPD (consentimento explicito, cumprimento de obrigação legal ou regulatória, execução de contratos, interesse legítimo, proteção da vida ou da integridade física e transferências internacionais) é restrita, e só é permitida em situações de consentimento explícito ou quando necessário para a defesa de direitos em processos judiciais ou por meio de instrumentos judiciais na forma da lei.
   14. Todos os projetos da KMM, independentemente de serem de desenvolvimento ou de atendimento ao cliente (implantação), deverão ter as necessidades (requisitos) de Segurança da Informação, Proteção e Privacidade de Dados especificadas e acompanhadas até a sua implantação. Os projetos de implantação de ferramentas ou softwares (aquisição) no ambiente da KMM deverão ter um parecer da equipe de segurança da informação ou CGSIC em relação aos itens de segurança.
   15. Todos os fornecedores da KMM devem possuir um contrato formal. É vedado o início dos trabalhos antes da assinatura do contrato.
   16. A KMM poderá executar a qualquer momento uma auditoria de boas práticas de Segurança da Informação nos fornecedores.