Security Policy – BR

Política de Segurança

1. APROVAÇÃO E DATA DE VIGÊNCIA

O texto foi aprovado em 19 de março de 2025 pelo Diretor-Geral da SMART2ME, S.L (doravante INDIGITALL). Esta “Política de Segurança da Informação” (doravante, Política) entrará em vigor na data de sua aprovação e permanecerá vigente até ser substituída por uma nova Política.

2. INTRODUÇÃO

A INDIGITALL depende fortemente dos sistemas de TIC (Tecnologia da Informação e Comunicação) para atingir seus objetivos. Reconhece que a transformação digital aumentou os riscos associados aos sistemas de informação que suportam os serviços públicos. Como fornecedora do setor público, a INDIGITALL deve gerenciar adequadamente esses riscos.

O objetivo desse gerenciamento de riscos é proteger os sistemas de TIC contra danos acidentais ou intencionais que possam afetar a disponibilidade, integridade, confidencialidade, autenticidade ou rastreabilidade das informações processadas pela INDIGITALL no âmbito dos serviços do setor público, especificamente para centros residenciais e de saúde.

Os sistemas de TIC devem ser protegidos contra ameaças em constante evolução que podem impactar a confidencialidade, integridade, disponibilidade, uso pretendido e valor das informações e serviços. Para se defender dessas ameaças, deve existir uma estratégia que se adapte às mudanças ambientais para garantir a continuidade dos serviços. Isso implica que os departamentos devem implementar as medidas de segurança mínimas exigidas pelo Esquema Nacional de Segurança (ENS), monitorar continuamente os níveis de desempenho dos serviços, rastrear e analisar vulnerabilidades relatadas e preparar uma resposta eficaz a incidentes para garantir a continuidade dos serviços.

Os diferentes departamentos da INDIGITALL devem garantir que a segurança da TIC seja parte integrante de cada etapa do ciclo de vida do sistema, desde a concepção até a desativação, incluindo desenvolvimento, aquisição e atividades operacionais. Os requisitos de segurança e as necessidades financeiras devem ser identificados e incorporados no planejamento, nos pedidos de licitação e na contratação de projetos de TIC.

Os departamentos devem estar preparados para prevenir, detectar, responder e recuperar-se de incidentes, conforme estabelecido no Artigo 8 do ENS.

3. ÂMBITO

3.1 Âmbito Subjetivo

Esta Política se aplica a todo o pessoal da INDIGITALL e a todas as pessoas ou entidades, internas ou externas, que prestam serviços à INDIGITALL, seja presencialmente ou remotamente.

3.2 Âmbito Objetivo

Esta Política se aplica aos sistemas de informação da INDIGITALL relacionados aos serviços da plataforma de “marketing automation” em um modelo SaaS.

4. MARCO REGULATÓRIO

A identificação e manutenção do marco regulatório será de responsabilidade do Responsável de Segurança da INDIGITALL e será regida pelo procedimento de identificação e avaliação dos requisitos legais. Isso incluirá instruções técnicas obrigatórias de segurança publicadas por meio de resoluções da Secretaria de Estado para Digitalização e Inteligência Artificial do Ministério de Assuntos Econômicos e Transformação Digital ou pela entidade que assumir essas funções.

Além disso, o Responsável de Segurança será encarregado de identificar as diretrizes de segurança do CCN aplicáveis à melhoria da conformidade com o ENS.

5. REQUISITOS MÍNIMOS DE SEGURANÇA

A Política de Segurança da INDIGITALL regula a gestão contínua do processo de segurança. Esta Política foi estabelecida de acordo com os princípios básicos estabelecidos no Capítulo II do ENS e foi desenvolvida considerando os seguintes requisitos mínimos de segurança:

a) Organização e implantação do processo de segurança (art.13). b) Análise e gerenciamento de riscos (art.14). c) Gestão de pessoal (art.15). d) Profissionalismo (art.16). e) Autorização e controle de acesso (art.17). f) Proteção de instalações (art.18). g) Aquisição de produtos de segurança e contratação de serviços de segurança (art.19). h) Privilégio mínimo (art.20). i) Integridade e atualização dos sistemas (art.21). j) Proteção da informação armazenada e transmitida (art.22). k) Prevenção em relação aos sistemas de informação interconectados (art.23). l) Registro de atividades e detecção de código malicioso (art.24). m) Incidentes de segurança (art.25). n) Continuidade dos negócios (art.26). ñ) Melhoria contínua do processo de segurança (art.27).

Para cumprir esses requisitos mínimos, a INDIGITALL aplicará as medidas de segurança do Anexo II do ENS, considerando:

  • Os ativos que constituem o sistema de informação da INDIGITALL.
  • A categoria de segurança do sistema, conforme previsto no Artigo 40.
  • As decisões tomadas para gerenciar os riscos identificados.

6. PRINCÍPIOS BÁSICOS

A Política de Segurança da Informação da INDIGITALL estabelece os seguintes princípios fundamentais para o uso de sistemas de informação:

  • Segurança como um processo integral: A segurança deve abranger todos os elementos humanos, materiais, técnicos, jurídicos e organizacionais relacionados aos sistemas de informação.

  • Gestão de riscos baseada em uma abordagem abrangente: A análise e a gestão de riscos são essenciais para a segurança e devem ser realizadas de forma contínua e atualizada regularmente.

  • Prevenção, detecção, resposta e preservação: A segurança do sistema de informação deve incluir ações relacionadas à prevenção, detecção e resposta a incidentes.

  • Múltiplas camadas de defesa: O sistema de informação da INDIGITALL deve contar com uma estratégia de proteção baseada em múltiplos níveis de segurança.

  • Monitoramento contínuo e reavaliação periódica: O monitoramento contínuo permite detectar atividades ou comportamentos anormais e garantir uma resposta adequada.

7. OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO

A INDIGITALL estabelece os seguintes objetivos de segurança:

  • Garantir a proteção da informação.

  • Segurança física: Os sistemas de informação da INDIGITALL são mantidos em áreas seguras e protegidas por controles de acesso adequados.

  • Controle de acesso: O acesso aos ativos de informação é limitado por meio de mecanismos de identificação, autenticação e autorização.

  • Aquisição, desenvolvimento e manutenção de sistemas: A segurança é considerada em todas as fases do ciclo de vida do sistema.

  • Garantir a continuidade dos serviços: Procedimentos são implementados para garantir a disponibilidade do sistema e a continuidade dos negócios.

  • Proteção de dados: Medidas técnicas e organizacionais são adotadas para gerenciar os riscos associados ao processamento de dados pessoais.

  • Conformidade: A INDIGITALL assegura o cumprimento das regulamentações de segurança da informação aplicáveis.

8. MISSÃO

Fundada em fevereiro de 2013, a INDIGITALL busca transcender os limites digitais, personalizando cada campanha de marketing de acordo com as preferências individuais dos clientes em todos os canais digitais por meio da inteligência artificial. Isso garante que cada interação seja relevante e eficaz, promovendo conexões autênticas, como se cada cliente tivesse um assistente pessoal. O objetivo da INDIGITALL é aumentar a competitividade empresarial por meio da transformação digital e de ferramentas de automação de marketing, impulsionando uma estratégia omnicanal e sustentável. A inovação tecnológica está no cerne da INDIGITALL.

9. CUMPRIMENTO DOS ARTIGOS

Para cumprir os artigos do Decreto Real 311/2022, a INDIGITALL implementou diversas medidas de segurança proporcionais à natureza das informações e serviços protegidos, levando em consideração a categoria dos sistemas afetados.

O cumprimento dos artigos do ENS é detalhado na “Declaração de Aplicabilidade”.

10. DESENVOLVIMENTO DA POLÍTICA

O Comitê de Segurança da Informação da INDIGITALL aprovou o desenvolvimento de um sistema de gestão, que será estabelecido, implementado, mantido e melhorado de acordo com os padrões de segurança. Esse sistema será adaptado e gerenciará os controles do Esquema Nacional de Segurança. O sistema será documentado e gerará evidências dos controles e do cumprimento dos objetivos estabelecidos pelo Comitê.

Um procedimento de gestão documental será estabelecido para definir as diretrizes para a estruturação da documentação de segurança do sistema, sua gestão e acesso.

O Comitê de Segurança da Informação é responsável pela revisão anual desta Política, propondo melhorias conforme necessário para aprovação pelo Diretor-Geral da INDIGITALL.

Esta Política de Segurança da Informação é obrigatória e está estruturada nos seguintes níveis hierárquicos:

  • Primeiro Nível: Política de Segurança da Informação.
  • Segundo Nível: Regulamentos de Segurança.
  • Terceiro Nível: Procedimentos de Segurança.

O Responsável pela Segurança da Informação (CISO), com o apoio da área de Qualidade, deve revisar este regulamento pelo menos anualmente, propondo melhorias conforme necessário.

Os funcionários da INDIGITALL e as empresas terceirizadas devem estar familiarizados com esta Política de Segurança, assim como com todos os regulamentos, procedimentos, instruções técnicas e demais documentos relevantes para suas funções.

10.1 Primeiro Nível Regulatório: Política de Segurança da TIC

A Política de Segurança da TIC é o instrumento normativo de mais alto nível no quadro regulatório de segurança da INDIGITALL. Deve ser aprovada pelo Diretor-Geral da INDIGITALL.

10.2 Segundo Nível Regulatório: Normas de Segurança da Informação

As Normas de Segurança da TIC são instrumentos de nível médio que cobrem áreas específicas de segurança. A entidade responsável por sua aprovação é o Comitê de Segurança da INDIGITALL.

10.3 Terceiro Nível Regulatório: Procedimentos de Segurança da TIC

Os Procedimentos de Segurança da TIC são instrumentos de nível inferior, detalhados e aplicáveis a um escopo específico. O Responsável de Segurança é encarregado de sua aprovação.

11. ORGANIZAÇÃO DA SEGURANÇA

11.1 Funções e Perfis de Segurança

Para garantir o cumprimento e a adaptação às medidas exigidas por lei, foram criados papéis e perfis de segurança, e os cargos ou órgãos que os ocuparão foram designados da seguinte forma:

  • Responsável pela Informação: Juan Carlos de Vela Benavides
  • Responsável pelo Serviço: Xavier Omella Claparols
  • Responsável pela Segurança: Marcos Fortún Arranz
  • Responsável pelo Sistema: Jesús Moreira Rubio

11.2 Comitê de Segurança da Informação

A INDIGITALL estabeleceu um Comitê de Segurança da Informação como um órgão colegiado, composto pelos seguintes membros:

  • Diretor-Geral: Diretor-Geral da INDIGITALL.
  • Membros: Responsável pelo Serviço, Responsável pelo Sistema, Responsável pela Segurança.

Além disso, outros membros da INDIGITALL podem ser incorporados ao trabalho do Comitê, incluindo grupos de trabalho especializados internos, externos ou mistos.

O Comitê de Segurança da Informação realizará sessões presenciais ou remotas semestralmente, com aviso prévio do Diretor-Geral do Comitê. Reuniões extraordinárias podem ser realizadas sempre que necessário devido a circunstâncias específicas.

11.3 Responsabilidades associadas ao esquema ancional de segurança

A seguir, são detalhadas e estabelecidas as funções e responsabilidades de cada um dos papéis de segurança do ENS:

Funções do Responsável pela Informação e pelos Serviços

  • Estabelecer e aprovar os requisitos de segurança aplicáveis ao serviço e à informação dentro do marco estabelecido no Anexo II do ENS, conforme proposta ao Responsável de Segurança do ENS e/ou Comitê de Segurança da Informação.
  • Aceitar os níveis de risco residual que afetem o Serviço e a Informação.

Funções do Responsável de Segurança (CISO/RSF)

  • Manter e verificar o nível adequado de segurança das informações gerenciadas e dos serviços eletrônicos prestados pelos sistemas de informação.
  • Gerenciar, supervisionar e manter a segurança física das instalações da INDIGITALL.
  • Promover a formação e conscientização em matéria de segurança.
  • Designar responsáveis pela execução da análise de riscos, da declaração de aplicabilidade, identificação de medidas de segurança, determinação das configurações necessárias e elaboração da documentação do sistema.
  • Fornecer assessoria para a determinação da categoria do sistema, em colaboração com o Responsável pelo Sistema e/ou Comitê de Segurança da Informação.
  • Participar na elaboração e implementação dos planos de melhoria da segurança e, quando necessário, nos planos de continuidade, procedendo à sua validação.
  • Gerenciar as revisões externas ou internas do sistema.
  • Gerenciar os processos de certificação.
  • Submeter ao Comitê de Segurança a aprovação de mudanças e outros requisitos do sistema.

Funções do Responsável pelo Sistema

  • Suspender ou interromper o acesso à informação ou prestação de serviço se identificar deficiências graves de segurança.
  • Implementar e gerenciar os Sistemas de Informação da INDIGITALL durante todo o seu ciclo de vida, incluindo a implementação dos controles de cibersegurança, bem como sua operação e verificação de funcionamento adequado.
  • Definir a topologia e a gestão do Sistema de Informação, estabelecendo critérios de uso e serviços disponíveis.
  • Assegurar que as medidas específicas de segurança sejam integradas adequadamente dentro do marco geral de segurança.
  • Colaborar com o Responsável de Segurança para a investigação e resolução de ciberincidentes que afetem os Sistemas de Informação da INDIGITALL, aplicando os conhecimentos obtidos com a análise de incidentes passados para reduzir a probabilidade ou impacto de incidentes futuros.
  • Realizar as funções de administrador de segurança do sistema:
    • Gerenciar, configurar e atualizar hardware e software utilizados nos mecanismos e serviços de segurança.
    • Gerenciar autorizações concedidas aos usuários do sistema, em particular os privilégios concedidos, incluindo a monitorização da atividade no sistema e sua conformidade com as autorizações concedidas.
    • Aprovar alterações na configuração vigente do Sistema de Informação.
    • Garantir o cumprimento estrito dos controles de segurança estabelecidos.
    • Garantir a aplicação dos procedimentos aprovados para a gestão do Sistema de Informação.
    • Supervisionar a instalação, modificação e melhoria de hardware e software para garantir que a segurança não seja comprometida e esteja sempre em conformidade com as autorizações pertinentes.
    • Monitorar o estado de segurança utilizando ferramentas de gestão de eventos de segurança e mecanismos de auditoria técnica.
    • Quando a complexidade do sistema justificar, o Responsável pelo Sistema poderá designar responsáveis delegados com dependência funcional direta, responsáveis por ações específicas atribuídas a eles. Da mesma forma, poderá delegar funções específicas de suas responsabilidades em outro(s) responsável(eis).

Funções do Comitê de Segurança da Informação

O Comitê de Segurança terá as seguintes funções:

  • Atender às solicitações sobre Segurança da Informação provenientes da Administração e dos diferentes papéis de segurança e/ou áreas, informando regularmente sobre o estado da Segurança da Informação.
  • Fornecer assessoria em matéria de Segurança da Informação.
  • Resolver conflitos de responsabilidade entre as diferentes unidades administrativas.
  • Promover a melhoria contínua do sistema de gestão da Segurança da Informação, assegurando:
    • A coordenação dos esforços das diferentes áreas para garantir consistência e alinhamento com a estratégia definida, evitando redundâncias.
    • A proposição de planos de melhoria da Segurança da Informação, incluindo orçamento correspondente, priorizando ações de segurança quando os recursos forem limitados.
    • A consideração da Segurança da Informação em todos os projetos, desde a especificação inicial até a operação, garantindo a criação e utilização de serviços horizontais que reduzam redundâncias e promovam a uniformidade dos sistemas de TIC.
    • O acompanhamento dos principais riscos residuais assumidos pela Administração e a recomendação de possíveis ações corretivas.
    • O acompanhamento da gestão de incidentes de segurança e a recomendação de ações para mitigação.
    • A elaboração e revisão regular da Política de Segurança da Informação para sua aprovação pelo órgão competente.
    • A elaboração das normativas de Segurança da Informação para aprovação em coordenação com a Direção-Geral.
    • A verificação dos procedimentos de segurança da informação e demais documentações para aprovação.
    • A elaboração de programas de formação para capacitar e conscientizar o pessoal em Segurança da Informação e proteção de dados pessoais.
    • A definição e aprovação dos requisitos de formação e qualificação de administradores, operadores e usuários no âmbito da Segurança da Informação.
    • A promoção da realização de auditorias periódicas do ENS e de proteção de dados para verificar o cumprimento das obrigações de segurança da informação pela Administração.

11.4 Procedimentos de Designação

A criação do Comitê de Segurança da Informação, a nomeação de seus integrantes e a designação dos Responsáveis identificados nesta Política foram realizadas pelo Diretor-Geral da INDIGITALL e comunicadas às partes interessadas.

Os membros do Comitê, assim como os papéis de segurança, serão revisados a cada três anos ou quando ocorrer uma vacância.

11.5 Matriz RACI: Matriz de Atribuição de Responsabilidades

TarefaDGRIRSDPDCISO/RSFCIO
Política de SegurançaACCCRC
Determinação da categoria do SistemaCC  A/RC
Análise de Riscos IR A/RR
Declaração de Aplicabilidade IR A/RR
Normas e Procedimentos de S.I I  A/RR
Resposta a incidentes de segurançaIICIA/RR
Segurança do ciclo de vida dos serviços e sistemas de informação   CA/R 

A (Accountable): Responsável pela decisão final, autoriza e aprova.

R (Responsible): Responsável pela execução do trabalho.

C (Consulted): Consultado antes da tomada de decisão.

I (Informed): Informado sobre as decisões tomadas.

12. RESOLUÇÃO DE CONFLITOS

O Comitê de Segurança da Informação da INDIGITALL será responsável pela resolução de conflitos e/ou divergências de opinião que possam surgir entre os papéis de segurança.

13. DADOS PESSOAIS

A INDIGITALL somente processará dados pessoais quando forem adequados, pertinentes e não excessivos, e quando se relacionarem ao escopo e finalidades para as quais foram obtidos. Além disso, a INDIGITALL adotará as medidas técnicas e organizacionais necessárias para cumprir as regulamentações vigentes de Proteção de Dados, de acordo com a Política de Proteção de Dados Pessoais aprovada pela Presidência da INDIGITALL.

Em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados – GDPR), e sua transposição para a legislação espanhola por meio da Lei Orgânica 3/2018, de 5 de dezembro, sobre Proteção de Dados Pessoais e Garantia dos Direitos Digitais, foram implementadas medidas apropriadas, como a análise da legitimidade legal de cada atividade de processamento de dados, análise de riscos, avaliação de impacto quando o risco for alto, registro de atividades e nomeação de um Encarregado de Proteção de Dados.

14. TERCEIROS

Ao prestar serviços para outras organizações ou lidar com informações de terceiros, eles serão informados sobre esta Política de Segurança da Informação. A INDIGITALL definirá e aprovará os canais de coordenação da informação e os procedimentos de ação para responder a incidentes de segurança, bem como outras atividades relacionadas à segurança realizadas em colaboração com outras entidades.

Caso a INDIGITALL utilize serviços de terceiros ou compartilhe informações com terceiros, eles serão informados sobre esta Política de Segurança e as Normas de Segurança aplicáveis a esses serviços ou informações. Os terceiros estarão sujeitos às obrigações estabelecidas nos regulamentos mencionados, mantendo a capacidade de desenvolver seus próprios procedimentos operacionais para cumpri-los. Serão estabelecidos procedimentos específicos para comunicação e resolução de incidentes. Também será garantido que os funcionários de terceiros sejam adequadamente treinados em segurança, pelo menos no nível exigido por esta Política de Segurança.

Além disso, considerando a obrigação de cumprir as Instruções Técnicas de Segurança estabelecidas na segunda disposição adicional do Decreto Real 311/2022, e em conformidade com a Resolução de 13 de outubro de 2016 da Secretaria de Estado para Administrações Públicas, que aprova a Instrução Técnica de Segurança para o cumprimento do Esquema Nacional de Segurança, exige-se que operadores do setor privado que prestam serviços ou soluções para entidades públicas sujeitas ao Esquema Nacional de Segurança apresentem a correspondente Declaração de Conformidade para sistemas de categoria BÁSICA ou a Certificação de Conformidade para sistemas de categoria MÉDIA ou ALTA.

Caso qualquer aspecto desta Política de Segurança não possa ser cumprido por um terceiro conforme exigido nos parágrafos anteriores, será necessário um relatório do Responsável pela Segurança do ENS especificando os riscos envolvidos e como serão gerenciados. Esse relatório deverá ser aprovado pelos responsáveis pela informação e pelos serviços afetados antes de prosseguir.

15. MELHORIA CONTÍNUA

A gestão da segurança da informação é um processo em constante evolução. Portanto, a INDIGITALL deve implementar um processo de melhoria contínua, que incluirá, entre outras ações:

  • Revisão da Política de Segurança da Informação.
  • Revisão dos serviços e informações e sua categorização.
  • Execução anual da análise de riscos.
  • Condução de auditorias internas e externas.
  • Revisão das medidas de segurança.
  • Revisão e atualização dos regulamentos e procedimentos.

Para a INDIGITALL, a gestão adequada da segurança da informação é um desafio contínuo e coletivo, essencial para a continuidade da organização.