Políticas

Fique por dentro de todas as nossas políticas

1. PROPÓSITO E PRINCÍPIOS

Esta Política tem como objetivo estabelecer princípios, diretrizes e responsabilidades em relação aos ativos da informação1, equipamentos, softwares básicos e aplicativos de propriedade da Saúde BRB ou de entidade parceira, assim como aqueles contratados sob qualquer regime, para resguardar os princípios da segurança da informação:

  • Confidencialidade: garante que o acesso às informações seja efetuado somente pelas pessoas autorizadas, durante o período necessário;
  • Integridade: garante que a Informação esteja íntegra e completa durante todo o seu ciclo de vida;
  • Disponibilidade: garante que a Informação esteja disponível para as pessoas autorizadas, sempre que se fizer necessária;
  • Autenticidade: garante a veracidade da autoria da informação;
  • Legalidade: o uso da informação deve estar de acordo com as leis, regulamentos, licenças e contratos em vigência.

Esta Política foi formulada tendo como referência a Missão, a Visão e os Valores Corporativos da Saúde BRB e tem também como objetivo promover a conformidade dos processos e atividades internas com a legislação e as melhores práticas relativas à segurança da informação.

2. APLICAÇÃO

A Política de Segurança da Informação aplica-se à Saúde BRB – Caixa de Assistência e à Clínica Saúde BRB.

3. PÚBLICO ALVO

As diretrizes e regras deste documento destinam-se aos colaboradores permanentes ou temporários, membros dos órgãos estatutários, prestadores de serviços, parceiros e/ou quaisquer outros terceiros que mantenham relacionamento com a Saúde BRB e que, no âmbito dessa relação, possam vir a ter acesso às áreas, equipamentos, informações, arquivos, redes e dados de titularidade da Caixa de Assistência.

4. DIRETRIZES

As seguintes diretrizes norteiam a governança da segurança da informação na Saúde BRB:

4.1. Adotar procedimentos padronizados e medidas para preservar a integridade, confidencialidade, disponibilidade, autenticidade e legalidade no tratamento das informações, possuídas ou custodiadas, que possam promover impactos na continuidade de suas atividades;

4.2. Utilizar medidas de proteção das informações contra acesso, modificação, destruição ou divulgação não autorizada;

4.3. Buscar garantir a segurança dos ativos que custodiam informações e utilizar mecanismos de controle para verificação dos fatores de risco de suas atividades, custo e valor agregado em relação à tecnologia;

4.4. Formalizar acordos de confidencialidade e de não divulgação de informações confidenciais, ou sigilosas, que visam a proteção das informações e comunicam aos signatários as suas responsabilidades;

4.5. Aplicar requisitos e controles de segurança quando da necessidade de acesso aos recursos de processamento da informação, ou a informação propriamente dita por partes externas, prestadores ou beneficiários;

4.6. Treinar os usuários dos ativos de informação quanto sistemas, ambientes de trabalho, equipamentos, documentos, informações, bens e materiais, de forma a certificá-los sobre as ameaças e riscos relacionados à segurança da informação, bem como orientar quanto ao uso correto desses ativos;

4.7. Dispor de sistema de segurança física para proteção dos acessos aos ambientes, do transporte de equipamentos e de documentação, com perímetro estabelecido de acordo com a criticidade dos locais, atividades e informações , bem como manter em segurança e protegidos por barreiras, eletrônicas ou não, todos os recursos e instalações de processamento de informações críticas ou sensíveis às atividades, inclusive equipamentos para contingência e mídia de backup, de acordo com a avaliação dos riscos e procedimentos claramente definidos;

4.8. Promover a segregação de funções e unidades organizacionais para reduzir os riscos de segurança da informação, como também dos ambientes de recursos de desenvolvimento, teste e produção, para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais;

4.9. Buscar a utilização de procedimentos de backups que permitam, em quaisquer situações, a recuperação de softwares, sistemas, dados e documentação, armazenados em meio físico ou lógico, e que devem ser verificados e testados regularmente, para garantir sua efetividade;

4.10. Realizar análises críticas periódicas dos riscos de segurança e dos controles implementados bem como quando houver mudanças nos requisitos das atividades e de suas prioridades, nas novas ameaças e vulnerabilidades;

4.11. Dispor — para os casos de terceirização do desenvolvimento de softwares — de acordos de licença e de evolução do sistema e de cobrança dos requisitos contratuais com respeito à qualidade do código e à existência de garantias;

4.12. Gerenciar efetivamente os incidentes para a garantia de resposta rápida, efetiva e ordenada, por meio da adoção de controles adequados e tempestivos;

4.13. Implementar mecanismo que permita registrar os incidentes de segurança, tão logo sejam detectados.

Como nos contatar

E-mail