Política de Segurança da Informação

Objetivo

Esta Política estabelece normas e diretrizes gerais de segurança da informação da Nuvini, suas afiliadas, parceiros e clientes, devendo ser observada por todos os seus colaboradores, sócios, investidores, terceiros contratados e empresas controladas.

Escopo / Aplicabilidade

Esta política é aplicável a todas as áreas e pessoas do grupo econômico e pessoas da Nuvini. Após a leitura desta Política, os colaboradores da Nuvini e de suas empresas controladas (incluindo estagiários, trabalhadores temporários e altos executivos) deverão, sempre antes de iniciar suas atividades ou vínculo contratual, assinar Termo de Ciência para confirmar que o conteúdo da Política foi compreendido e se refletirá em suas atitudes.

Definições

Colaboradores: qualquer pessoa vinculada à empresa, independentemente do vínculo contratual mantido (empregado celetista, estatutário, pejotizado, autônomo, temporário, estagiário etc.)

Informação: todo e qualquer dado, informação, projeto ou documento relativo à Nuvini, aos Investidores, clientes, colaboradores ou que o colaborador tenha recebido ou venha a receber durante qualquer relação contratual com a Nuvini ou qualquer de suas afiliadas e empresas controladas, independentemente de estarem classificados como confidenciais.

Princípios

Confidencialidade: as informações, na Nuvini, independentemente da sua natureza, devem ser disponibilizadas somente a pessoas autorizadas e quando o acesso for estritamente necessário.

Integridade: sempre que possível, deve ser buscada a manutenção da exatidão e da completude das informações e os registros de versões e alterações dos documentos.

Disponibilidade: o acesso à informação pelos colaboradores que tenham acesso deve ser sempre contínuo e disponibilizado em plataformas e condições que assegurem padrões razoáveis de segurança da informação.

Rastreabilidade: os colaboradores da Nuvini e de suas controladas devem sempre manter registros das  transações  e  alterações  realizadas  em  seus sistemas  e  aplicações, a fim de possibilitar futuras auditorias.

Regras Gerais

Os pontos a seguir representam as regras gerais de segurança da informação das empresas do Grupo Nuvini, e poderão ser complementadas por regras e regulamentos específicos aplicáveis a determinadas empresas ou situações, se necessário.

• As informações (em formato físico ou digital) e os ambientes tecnológicos  utilizados pelos usuários são propriedade exclusiva da Nuvini, não podendo  ser  interpretado como de uso pessoal. Assim, os colaboradores da Nuvini desde já ficam cientes de que é expressamente proibida qualquer tipo de transferência dessas informações para ambientes não detidos e protegidos pela Nuvini. São exemplos desses ambientes:
  • Computadores, pendrives, HD’s externos ou quaisquer dispositivos pessoais, de clientes ou fornecedores não fornecidos pela Nuvini;
  • Drivers virtuais vinculados a contas de e-mail pessoal ou não pertencentes às empresas do grupo Nuvini;
  • Envios como anexos de e-mail a contas pessoais ou para finalidades que não sejam de interesse da Nuvini ou de suas empresas;
  • Upload de documentos em sites, formulários ou qualquer ambiente ou plataforma, exceto quando autorizadas expressamente por um representante da Nuvini ou quando o upload for procedimento de interesse da Nuvini ou de suas afiliadas.
• As informações devem ser tratadas de forma ética e sigilosa e de acordo com as  diretrizes estabelecidas pela Governança Corporativa da Nuvini e das leis  vigentes;
• Quaisquer informações de propriedade da Nuvini devem ser utilizadas somente para os fins autorizados e sempre no melhor interesse das empresas do grupo;
• Todos os colaboradores da Nuvini, independentemente da relação contratual, devem ter ciência de que o uso das informações e dos sistemas de informação podem ser monitorados, sem aviso  prévio, e que os registros assim obtidos podem servir de evidência para a  aplicação de medidas de qualquer natureza, incluindo comerciais, estratégicas e disciplinares;
• Os colaboradores diretos da Nuvini devem possuir identificação única (física ou digital), pessoal e intransferível, que seja capaz de o qualificar como  responsável por suas  ações, em ambiente físico ou digital;
• Somente profissionais autorizados, com vínculo contratual prévio e após a ciência do conteúdo desta política devem possuir acesso às informações da Nuvini e de seus clientes;
• Todo processo, sempre que possível, durante seu ciclo de vida, deve garantir a  segregação de funções, por meio da participação de mais de uma pessoa ou equipe;
• Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os  usuários devem possuir somente as permissões necessárias para a execução de suas atividades;
• Os colaboradores são responsáveis pela salvaguarda e confidencialidade de informações e senhas que possuam durante exercício do seu cargo. Além de eventuais regulamentos e políticas específicas, são boas práticas de segurança de senhas e da informação:
  • Manter softwares e sistemas operacionais sempre atualizados;
  • Adotar ferramentas de gestão de crises e incidentes cibernéticos, além de backups e cópias de segurança;
  • Investir em soluções de segurança que apontem vulnerabilidades na infraestrutura e nos sistemas internos das empresas;
  • Implementar políticas específicas de segurança da informação, com disposições adequadas à prática da empresa e com documentação de protocolos e procedimentos;
  • Promover treinamentos e monitoramentos periódicos e a toda a empresa;
  • Adotar mecanismos de bloqueio de saída de arquivos e informações (Ex.: bloqueios a e-mails pessoais e ao reconhecimento de pendrives pelos computadores da empresa);
  • Definir métricas e dados de avaliação da segurança da informação da empresa
• As responsabilidades no que tange à garantia dos princípios devem ser amplamente divulgados entre as empresas do Grupo, fazendo valer firmemente a aplicação das normas aqui descritas;
• A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada e/ou para usos estatísticos sem expor os clientes de forma identificável ou para outras características de sistema disponíveis para o próprio cliente.
• Não discutir nem mencionar informações confidenciais fora do ambiente de trabalho, assim entendido o ambiente físico da empresa e os canais oficiais de comunicação corporativa, protegidos pelas regras e procedimentos mencionados nesta política. São exemplos de ambientes inadequados para discussões ou qualquer tipo de menção a informações confidenciais:
  • Meios de transporte (ônibus, Uber, aviões etc.);
  • Festas e confraternizações da empresa;
  • Happy Hours;
  • Bares e restaurantes;
  • Casas de familiares, amigos e conhecidos;

Em todo caso, as normas deverão ser revisadas pelo jurídico da Nuvini, para validação da observância das regras previstas nesta Política de Governança Corporativa e de termos e questões técnicas relacionadas à matéria.

Classificação

Para assegurar maior clareza e segurança, as empresas da Nuvini poderão adotar um modelo de rotulagem da informação de acordo com o grau de confidencialidade e caráter estratégico de um documento ou informação, na forma seguinte:

A classificação das informações de acordo com a tabela acima deverá ser feita de forma discricionária pelo gestor da área responsável pela criação ou manuseio da informação.

Gestão de Consequências

Em todo caso, qualquer descumprimento ou violação desta política, bem como incidentes de qualquer natureza relacionadas a segurança da informação, deverá ser comunicado imediatamente ao time de compliance da Nuvini, através do email [email protected], ou à diretoria da empresa, caso se trate de uma afiliada do grupo Nuvini.

Os procedimentos a serem aplicados aos casos de descumprimento desta Política ou a publicações de informações em desacordo com as diretrizes de classificação serão definidos pela Diretoria da Nuvini ou da empresa controlada, a depender do caso.

Gerenciamento

A alta diretoria das empresas do Grupo Nuvini ou o time de Segurança da Informação, quando existente, serão responsáveis pela observância desta política nas operações das empresas, sendo seu dever a remessa de casos de descumprimento ao time de compliance da Nuvini.