A Uncover está comprometida em proteger as informações de seus clientes, colaboradores, parceiros e da própria organização. A segurança da informação é um valor estratégico e uma responsabilidade compartilhada por todos os que interagem com nossos sistemas, dados e processos.
Este compromisso é formalizado por meio do nosso Sistema de Gestão de Segurança da Informação (SGSI), estruturado com base nas normas ABNT NBR ISO/IEC 27001:2022 e ISO/IEC 27002:2022, e se traduz na proteção contínua da confidencialidade, integridade e disponibilidade das informações que nos são confiadas.
Esta Política Geral de Segurança da Informação estabelece os princípios, compromissos e diretrizes que orientam a gestão da segurança da informação na Uncover. Seu objetivo é:
Proteger as informações de clientes, colaboradores, parceiros e da organização;
Garantir a conformidade com requisitos legais, regulatórios e contratuais aplicáveis;
Promover uma cultura organizacional de responsabilidade com a proteção de dados;
Assegurar a continuidade dos serviços e a resiliência dos sistemas de informação.
Esta política aplica-se a todos os colaboradores, prestadores de serviço, parceiros e fornecedores que acessem, processem, armazenem ou transmitam informações da Uncover ou de seus clientes, independentemente do regime de contratação, modalidade de trabalho ou localização.
A gestão da segurança da informação na Uncover é orientada pelos seguintes princípios fundamentais:
Confidencialidade — A informação é acessível somente a pessoas, processos e sistemas devidamente autorizados. O acesso é concedido com base no princípio do menor privilégio.
Integridade — A informação é mantida de forma exata, completa e protegida contra alterações não autorizadas ao longo de todo o seu ciclo de vida.
Disponibilidade — A informação e os sistemas que a suportam estão disponíveis para os usuários autorizados sempre que necessário, com mecanismos de continuidade e recuperação adequados.
Responsabilização — Toda ação realizada sobre os sistemas e informações da Uncover é rastreável ao seu responsável, garantindo auditabilidade e prestação de contas.
Conformidade — A Uncover opera em conformidade com as legislações, regulamentações e normas aplicáveis, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e a ISO/IEC 27001:2022.
A segurança da informação é uma responsabilidade de todos na Uncover:
Alta Direção — Aprovar e apoiar a política de segurança da informação, garantir os recursos necessários para operação do SGSI e promover a cultura de segurança na organização.
Comitê de Segurança da Informação — Coordenar a gestão estratégica da segurança, aprovar políticas e planos, analisar riscos e deliberar sobre incidentes críticos.
InfoSec (Segurança da Informação) — Implementar, operar e monitorar os controles do SGSI, coordenar a resposta a incidentes, conduzir o programa de conscientização e garantir a conformidade normativa.
Gestores de Área — Assegurar que suas equipes cumpram esta política, identificar e reportar riscos de seus processos e garantir o uso adequado das informações sob sua responsabilidade.
Colaboradores e Prestadores de Serviço — Cumprir esta política e as normas internas de segurança, proteger as informações acessadas no exercício de suas funções e reportar imediatamente qualquer evento ou suspeita de incidente de segurança.
POLÍTICA DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
“Prover continuamente produtos e serviços com qualidade e com garantia de segurança da informação (confidencialidade, integridade e disponibilidade) e privacidade de dados, mitigar riscos relacionados aos ativos de informação, buscando atender as necessidades dos seus stakeholders, considerando requisitos legais aplicáveis e buscando a melhoria contínua.”
A política:
Foi estabelecida pela Alta Direção.
Fornece uma estrutura para o estabelecimento dos objetivos do SG – Sistema de Gestão conforme descrito no item “Objetivos do SG – Sistema de Gestão”.
É comunicada à Uncover por meio de comunicados internos formais e disponibilizada no Notion.
É também comunicada às partes externas pertinentes, conforme apropriado.
É complementada pela PSI – Política de Segurança da Informação, a qual apresenta um conjunto de diretrizes para a proteção da informação, inclusive o compromisso com a conformidade.
O acesso às informações e sistemas da Uncover é concedido com base na necessidade de negócio e no princípio do menor privilégio. Toda concessão, alteração e revogação de acesso é realizada por processo formal. Todos os sistemas críticos utilizam autenticação multifator (MFA).
As informações da Uncover são classificadas em quatro níveis — Pública, Corporativa, Confidencial e Secreta — e tratadas com as salvaguardas correspondentes ao seu grau de sensibilidade.
A Uncover trata dados pessoais em conformidade com a LGPD e com as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD). Incidentes que envolvam dados pessoais são notificados às autoridades competentes dentro dos prazos legais aplicáveis.
A Uncover conduz um processo contínuo de identificação, análise, avaliação e tratamento de riscos de segurança da informação, baseado na ISO/IEC 27005:2023, com revisão formal ao menos uma vez ao ano.
A Uncover mantém um processo estruturado de gestão de incidentes de segurança da informação, com capacidade de detecção, resposta, contenção, recuperação e análise pós-incidente. Todos os colaboradores são responsáveis por reportar eventos suspeitos.
A Uncover mantém planos de continuidade e recuperação para assegurar a disponibilidade dos serviços críticos em situações adversas, com testes periódicos e revisão contínua.
A Uncover submete seu SGSI a auditorias internas e externas periódicas para verificar a conformidade com a ISO 27001:2022 e demais requisitos aplicáveis. Os resultados são revisados pela Alta Direção.
Todos os colaboradores recebem treinamento em segurança da informação no processo de integração e ao longo do ano, desenvolvendo o conhecimento necessário para proteger as informações no desempenho de suas funções.
Os requisitos de segurança da informação são estendidos aos fornecedores e parceiros que processam informações da Uncover, por meio de cláusulas contratuais e avaliações periódicas de conformidade.
O descumprimento desta política sujeita o infrator às sanções disciplinares previstas nos instrumentos contratuais aplicáveis, podendo incluir advertência, rescisão contratual e responsabilização civil e criminal, conforme a legislação vigente.
Dúvidas, solicitações e reportes de incidentes ou vulnerabilidades relacionados à segurança da informação devem ser direcionados ao time de InfoSec da Uncover pelos canais internos disponibilizados pela organização.
Para assuntos relacionados à proteção de dados pessoais (LGPD), o contato com o Encarregado de Dados (DPO) pode ser realizado pelo endereço: privacidade@uncover.co
Os documentos internos listados abaixo detalham os processos e controles que implementam esta política. Estes documentos são de acesso restrito e disponibilizados conforme necessidade de negócio:
Documento: Política de Segurança da Informação (completa) — Escopo: Interno
Documento: Procedimento de Gestão de Riscos — Escopo: Interno
Documento: Procedimento de Gestão de Incidentes — Escopo: Interno
Documento: Procedimento de Gestão de Acesso — Escopo: Interno
Documento: Procedimento de Gestão de Privacidade — Escopo: Interno
Documento: Procedimento de Gestão de Vulnerabilidades — Escopo: Interno
Documento: Plano de Conscientização e Treinamento — Escopo: Interno
Documento: Plano de Tratamento de Risco — Escopo: Interno
Documento: Plano de Continuidade de Negócio — Escopo: Interno
Esta política entra em vigor na data de sua aprovação e é revisada anualmente ou sempre que houver mudanças significativas no contexto organizacional, tecnológico ou regulatório que justifiquem sua atualização antecipada.
