Política de Segurança da Informação
Controle de documento
Autoria, revisão e aprovação
| Autor | Reinaldo de Medeiros |
| Revisão | Bismarck Matos |
| Aprovação | Antonio Gomes - antonio@contacta.com.br |
Controle de versões
| Versão | Data | Responsável | Comentários |
|---|---|---|---|
| R1.2 | 02/10/2025 | Antonio Gomes |
Publicação
A versão mais atual desta Política de Segurança da Informação encontra-se disponível em: https://www.contacta.com.br/compliance/
Cópias impressas são consideradas sem controle e podem não refletir a última versão deste documento. Verifique versão mais recente disponível online.
Classificação
PÚBLICA
Críticas, sugestões e correções
Críticas, sugestões e correções a esta Política de Segurança ser enviadas para o e-mail dpo@contacta.com.br
Apresentação
A Política de Segurança da Informação da Contacta é o documento que formaliza os princípios, diretrizes e responsabilidades destinados a proteger a confidencialidade, integridade e disponibilidade das informações e dos ativos digitais da organização. Ela descreve o escopo de aplicação (colaboradores, terceiros e sistemas sob gestão da Contacta), os objetivos de segurança e o compromisso da liderança com a gestão de riscos, a prevenção de incidentes e a continuidade das operações. Este documento serve como referência obrigatória para todas as atividades que envolvam tratamento, armazenamento, transmissão e descarte de informações corporativas e de clientes.
A presente política foi elaborada com base em boas práticas e padrões reconhecidos internacionalmente — entre eles NIST Cybersecurity Framework (CSF), ISO/IEC 27001 e CIS Controls — e observa a legislação aplicável, incluindo a Lei Geral de Proteção de Dados (LGPD). Ela orienta a implementação de controles técnicos, organizacionais e processuais (controle de acessos, gestão de identidades, criptografia, monitoramento e resposta a incidentes, entre outros) e promove a melhoria contínua por meio de avaliações de risco periódicas, auditorias e treinamentos. A Contacta espera que todos os colaboradores e parceiros adotem estas diretrizes, contribuindo para um ambiente digital resiliente e confiável.
Sumário
Controle de documento
Autoria, Revisão e Aprovação
Controle de Versões
Publicação
Classificação
Críticas, sugestões e correções
Objetivo
Abrangência, escopo e divulgação
Referências e documentos complementares
Estrutura normativa
Conceitos e definições
Diretrizes de Segurança da Informação
Diretrizes gerais
Diretrizes específicas
Classificação e ciclo de vida da informação
Monitoramento
Acessos e identidades
Continuidade de negócios
Segurança dos dispositivos móveis
Internet e Redes Sociais
Normas complementares
Responsabilidades
Comitê de Segurança da Informação - CSI
Gestor de Segurança da Informação
Gestores da Informação
GAF - Gerência Administrativo-Financeira
Fornecedores e colaboradores externos
Penalidades e sanções
Casos omissos
Aprovação e revisão
Apêndice A
Declaração de Aceite da Política de Segurança
Objetivo
O objetivo desta política é estabelecer as diretrizes gerais do tratamento da segurança da informação na Contacta, visando garantir a integridade, confiabilidade e disponibilidade de toda e qualquer informação sob controle da empresa, protegendo dessa forma, os ativos da Contacta, seus clientes, parceiros comerciais e colaboradores.
A Contacta entende que a informação corporativa é um bem essencial para suas atividades e, para resguardar a qualidade e garantia dos produtos ofertados a seus clientes, a Contacta estabelece a Política de Segurança da Informação como parte do seu sistema de gestão.
A Política de Segurança da Informação está alinhada às melhores práticas reconhecidas internacionalmente visando garantir a governança adequada às informações sob responsabilidade da Contacta.
Abrangência, escopo e divulgação
Esta política se aplica a Contacta, devendo ser conhecida e seguida por todos os seus colaboradores e em cada um dos projetos ou atividades desenvolvidos pela Contacta.
Quando da execução de atividades em clientes da Contacta, seus colaboradores, sem detrimento desta política, deverão também conhecer e seguir as diretrizes de segurança da informação do cliente.
Todos os colaboradores da Contacta receberão cópia desta Política de Segurança da Informação.
A versão mais recente desta norma está disponível no site da Contacta: https://www.contacta.com.br/compliance/
Referências e documentos complementares
Os documentos listados a seguir serviram de base ou complementam esta Política de Segurança da Informação:
- ABNT NBR ISO/IEC 27001:2013 - https://www.abntcatalogo.com.br/norma.aspx?ID=306580
- ABNT NBR ISO/IEC 27002:2013 – https://www.abntcatalogo.com.br/norma.aspx?ID=306582
- Lei nº 12.965/2014 - Marco Civil da Internet;
- Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
Estrutura normativa
Esta Política de Segurança se junta ao conjunto de normas e procedimentos que visam garantir a governança da Segurança da Informação na Contacta.
Conceitos e definições
Ameaça - Causa potencial de um incidente, que pode prejudicar a Contacta.
Ativo - Tudo aquilo que possui valor para a Contacta, seja ele tangível ou intangível.
Comitê de Segurança da Informação - Grupo de trabalho multissetorial cuja finalidade é tratar questões ligadas à Segurança da Informação.
Confidencialidade - Garantia de que a informação somente possa ser acessada por pessoas autorizadas, pelo período necessário e de não serem disponibilizados indevidamente.
Controle - Medida de segurança adotada para o tratamento de um risco específico.
Disponibilidade - Propriedade dos ativos da informação de serem acessíveis e utilizáveis sob demanda, pelas partes autorizadas.
Gestor da Informação - Colaborador ao qual foi atribuída responsabilidade sobre um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a sua gestão.
Incidente de segurança da informação - Um evento ou conjunto de eventos indesejados de segurança da informação, com possibilidade de afetar as operações ou ameaçar as informações da Contacta.
Integridade - Garantia de que a informação esteja completa, exata, íntegra e que não tenha sido modificada ou destruída indevidamente, de maneira não autorizada ou acidental durante o seu ciclo de vida.
Risco de segurança da informação - Efeito da incerteza sobre os objetivos de segurança da informação.
Segurança da informação - A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações.
Vulnerabilidade - Causa potencial de um incidente de segurança da informação, que pode prejudicar as operações ou ameaçar as informações da Contacta.
Diretrizes de segurança da informação
A seguir temos as diretrizes gerais e específicas de segurança da informação da Contacta. Elas serão detalhadas e complementadas através de normas complementares ou procedimentos operacionais a serem criados.
Diretrizes gerais
Garantir os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da Contacta através da adoção de controles contra ameaças;
Prover políticas, normas e procedimentos de segurança a todas as partes interessadas envolvidas nas atividades da Contacta.
Assegurar a educação e conscientização sobre as melhores práticas de segurança da informação para toda a Contacta.
Controlar e tratar, conforme as melhores práticas, os incidentes de segurança da informação.
Melhorar continuamente a Gestão de Segurança da Informação em perfeito alinhamento com os objetivos corporativos da Contacta.
Diretrizes específicas
Classificação e ciclo de vida da informação
Todas as informações produzidas pela Contacta(em formato físico ou digital), através de seus colaboradores ou sistemas, são propriedade da Contacta, devendo ser utilizadas exclusivamente para o atendimento dos objetivos corporativos da Contacta.
O acesso às informações e ativos da Contacta deve ser realizado através da adequada autorização de acesso, concedida pelos Gestores da Informação.
Toda a informação da Contacta é classificada conforme o seu grau de confidencialidade e criticidade, seguindo a noma ABNT NBR ISO/IEC 27001:2013 e respeitando a LGPD, durante todo o seu ciclo de vida.
As informações deverão ser armazenadas ou descartadas de forma segura.
Findo o ciclo de vida da informação, definida pela legislação pertinente ou os interesses estratégicos da Contacta, ela deverá ser descartada de tal forma impossibilitar a sua recuperação ou reconstrução.
Monitoramento
Todos os dispositivos computacionais, equipamentos, sistemas e meios de comunicação da Contacta, devem ser utilizados única e exclusivamente para as atividades profissionais, estando sujeitos a monitoramento, sendo vedada a utilização desses ativos em desacordo com a legislação vigente, esta Política de Segurança da Informação, bem como as normas complementares.
Acessos e identidade
Os acessos às informações e aos ambientes tecnológicos e físicos da Contacta são controlados, não sendo permito o acesso de pessoas não autorizadas.
Todos os acessos são restritos e os privilégios os menores necessários para o desempenho das atividades de trabalho.
Todo acesso remoto é realizado utilizando-se ferramentas seguras, autorizadas pela Contacta e por canais de comunicação criptografados ponta-a-ponta.
Continuidade de negócios
A Contacta estabelece metodologia e estratégia tática e operacional adequadas à continuidade de negócios da empresa, visando garantir o pleno funcionamento de seus sistemas críticos.
Segurança dos dispositivos móveis
Em função da vulnerabilidade inerente aos dispositivos móveis, tais como perda ou roubo, todas as informações da Contacta, seus parceiros e clientes, deverão estar criptografados.
Os dispositivos móveis fornecidos pela Contacta, deverão ser utilizados única e exclusivamente para os objetivos estratégicos da Contacta, sendo vedado sua utilização para fins pessoais ou por terceiros sem a devida autorização de acesso.
Internet e redes sociais
A Contacta disponibiliza acesso à internet a todos os seus colaboradores através da sua rede corporativa. É vedado utilizar este acesso para quaisquer atividades ilegais, tais como, entre outros, por exemplo:
- Exploração sexual, pornografia infantil ou pedofilia
- Disseminação de códigos maliciosos e ameaças virtuais
- Discurso de ódio ou propagação de fake news.
- Expressão de preconceito baseado em etnia, sexo, orientação sexual e de gênero, origem, condição social e religião.
- Incitação de crimes ou contravenções penais
Todo acesso à Internet realizado na rede corporativa da Contacta é devidamente monitorado e controlado, não havendo, portanto, privacidade durante estes acessos.
Nenhuma informação da Contacta, de seus parceiros ou clientes, pode ser exposta em redes públicas, tais como redes sociais, nuvens públicas, etc.
É expressamente proibida a utilização de serviços ou sites para burlar os controles de acesso à Internet.
Apenas as pessoas expressamente autorizadas podem falar em nome da Contacta em Redes Sociais.
Normas complementares
Normas complementares serão criadas para detalhar os itens acima e complementar as diretrizes desta Política de Segurança da Informação.
Responsabilidades
Todos os colaboradores da Contacta, independentemente do seu cargo ou função, são responsáveis por:
- Cumprir as regras de Segurança da Informação aqui estabelecidas, bem como as normas complementares;
- Proteger os ativos de informação da Contacta contra acessos, modificação, destruição ou divulgação não autorizados;
- Utilizar os ativos tecnológicos, as informações e os sistemas a sua disposição apenas para as finalidades do negócio;
- Manter sigilo sobre todas as informações sigilosas da Contacta, não as expondo em locais públicos, redes sociais, diálogos informais e etc;
- Assinar a Declaração de Aceite da Política de Segurança;
- Comunicar formalmente qualquer incidente de segurança da informação ou descumprimento do que vai exposto nesta Política ao Gestor de Segurança da Informação.
Comitê de Segurança da Informação - CSI
O Comitê de segurança da informação é formado pelo gestor da segurança da informação e por um representante das seguintes gerências da Contacta:
- GNE - Gerência de Negócios
- GAF - Gerência Administrativo-Financeira
- GSD - Gerência de Soluções e Delivery
- GSO - Gerência de Suporte e Operação
O CSI deve se reunir periodicamente para:
- Revisar, propor e aprovar as iniciativas referentes as ações de Segurança da Informação;
- Revisar e aprovar as políticas e normas de Segurança da Informação da Contacta;
- Acompanhar as ações do gestor da segurança da informação e efetuar o seu alinhamento com os objetivos estratégicos da Contacta;
- Apoiar, promover e divulgar as ações da Segurança da Informação.
Gestor de Segurança da Informação
O Gestor de Segurança da Informação a é um funcionário da Contacta, certificado em segurança da informação, definido para exercer as seguintes responsabilidades:
- Implementar o Plano de Segurança da Informação e demais definições do Comitê de Segurança da Informação;
- Ser o ponto focal para as ações de segurança da informação na Contacta;
- Interagir com consultores externos para implantar as melhores práticas de gestão de segurança da informação;
- Realizar a gestão de riscos de segurança da informação;
- Implementar controles para reduzir riscos, ameaças e vulnerabilidades;
- Responder aos incidentes de segurança;
- Revisar e atualizar a Política de Segurança da Informação e suas Normas Complementares para apresentar ao CSI e aprovação pela Diretoria Executiva;
- Estabelecer o Plano de Continuidade de Negócios da Contacta;
- Propor e ações de conscientização e divulgação da política de Segurança da Informação;
- Sugerir e implementar ferramentas tecnológicas para ampliar os controles de segurança da informação.
Gestores da Informação
Os Gestores da Informação são colaboradores da Contacta que possuem sistemas da informação sob a sua responsabilidade. São responsabilidades dos gestores da informação:
- Elaborar e manter atualizadas as classificações das informações geradas pelos sistemas sob sua responsabilidade;
- Rotular adequadamente os documentos gerados conforme a classificação da informação;
- Autorizar e revisar os acessos aos sistemas sob sua responsabilidade;
- Garantir que os acessos concedidos tenham o menor privilégio possível para execução das atividades de trabalho.
GAF - Gerência Administrativo-Financeira
- Garantir que os contratos firmados entre a Contacta e seus parceiros sigam as diretrizes da Política de Segurança da Contacta e suas normas complementares;
- Na admissão de novos colaboradores apresentar a Política de Segurança da Informação e coletar de Declaração de Aceite da Política de Segurança devidamente assinada;
- Informar aos gestores da informação quando do término de contrato de trabalho de colaboradores da Contacta, para que seus acessos sejam devidamente excluídos.
Fornecedores e colaboradores externos
Os fornecedores e colaboradores externos da Contacta devem conhecer e seguir esta Política de Segurança da Informação. Os contratos com estes parceiros, devem estabelecer cláusulas que garantam a proteção dos ativos de informação da Contacta.
Penalidades e sanções
Nos casos em que houver violação desta política de Segurança da Informação ou normas complementares, sanções administrativas e/ou legais poderão ser adotadas, incluindo; advertência verbal, por escrito, suspensão não remunerada e a demissão por justa causa.
Toda violação ou desvio deverá ser avaliado para a determinação das medidas necessárias, visando à correção da falha ou reestruturação de processos.
Em caso de dúvidas quantos aos princípios e responsabilidades descritas nesta política, o colaborador deve entrar em contato com o Gestor da Segurança da Informação.
Casos omissos
Os casos não descritos nesta Política de Segurança da Informação e nem pelas normas complementares, deverão ser avaliados pelo CSI.
Em todos os casos, omissos ou não, a Contacta segue a legislação em vigor.
Aprovação e revisão
Esta Política da Segurança da Informação é aprovada e endossada pela Diretoria Executiva da Contacta e deve ser revisada, no mínimo, anualmente ou sempre que se fizer necessário.
São Paulo / Rio de Janeiro, 02 de outubro de 2025