Política de Segurança de Classificação da Informação
Política de Segurança de Classificação da Informação
Objetivo
O objetivo desta Política é estabelecer as diretrizes de Segurança da Informação aplicáveis à classificação da informação. Esta política aplica-se exclusivamente à informação propriedade da DOCUTEN TECH, S.L. relacionada direta ou indiretamente com a prestação dos seus serviços, independentemente do formato e suporte em que se encontre (escrita, eletrónica, vídeo, voz, etc.).
Conteúdo
- Com o intuito de melhorar a produtividade, a DOCUTEN TECH, S.L. promove o uso responsável da informação, seja em formato eletrónico, em papel ou comunicada (por telefone, correio eletrónico, etc.).
- Independentemente do nível de classificação, a informação deve estar sempre acessível à Direção da DOCUTEN TECH, S.L.
- A classificação atribuída à informação deve ser revista periodicamente pelos respetivos proprietários.
- Deverão ser seguidas as normas estabelecidas pela DOCUTEN TECH, S.L. quanto à classificação, marcação e tratamento da informação.
- As medidas de segurança implementadas devem considerar os critérios de classificação e os requisitos de segurança definidos para cada critério.
- Os critérios e níveis de classificação dos ativos de informação, propriedade da DOCUTEN TECH, S.L., serão definidos de acordo com a sua importância para as atividades da empresa.
- A informação será classificada segundo os seguintes critérios:
- Confidencialidade
- Integridade
- Disponibilidade
- São designados como proprietários da informação os Diretores de cada Área ou Departamento, ou as pessoas em quem estes deleguem formalmente essa responsabilidade.
- Para cada ativo de informação foi designado um responsável.
- Os proprietários da informação são responsáveis por classificá-la segundo os critérios definidos, assim como por definir os diferentes acessos a essa informação.
- Os proprietários dos ativos são responsáveis por autorizar o seu uso, estabelecendo as medidas que considerem necessárias para a sua proteção.
Classificação Geral da Informação
Informação TLP:WHITE
(Divulgação sem limitações. Informação Pública.)
Informação que não requer proteção, seja por decisão expressa da DOCUTEN TECH, S.L. de a publicar, seja por exigência normativa, ou porque a sua divulgação, intencional ou acidental, não representa risco algum para a empresa. Esta informação será acessível tanto por membros da DOCUTEN TECH, S.L. como por terceiros.
Exemplo: informações sobre os serviços oferecidos pela DOCUTEN TECH, S.L.
| Quando usar | Como partilhar |
|---|---|
| Utilizar TLP:WHITE quando a informação não implica qualquer risco de uso indevido, desde que sejam seguidas as regras e procedimentos para a sua divulgação pública. | A informação TLP:WHITE pode ser distribuída sem restrições, sujeita aos controlos de copyright. |
Exemplos de documentação a etiquetar como TLP:WHITE incluem documentos como folhetos informativos sobre serviços ou produtos da empresa, relatórios anuais ou financeiros destinados ao público em geral, comunicados de imprensa sobre novas iniciativas ou parcerias, e detalhes sobre atividades da empresa que são abertas ao público. Além disso, inclui conteúdo disponível no site da empresa ou nas redes sociais corporativas. Esta categoria também pode incluir políticas gerais e guias públicas sobre a utilização dos serviços ou produtos da DOCUTEN, entre outros documentos cujo acesso não compromete a segurança nem a privacidade da empresa. A divulgação desta informação não requer aprovação adicional, mas deve sempre cumprir as normas de direitos de autor e proteção de propriedade intelectual.
Informação TLP:GREEN
(Divulgação limitada. Informação restrita a uma comunidade específica.)
| Quando usar | Como partilhar |
|---|---|
| Utilizar TLP:GREEN quando a informação é útil para as organizações participantes e para terceiros do setor ou da comunidade. | Os destinatários podem partilhar a informação designada como TLP:GREEN com organizações afiliadas ou membros do mesmo setor, mas nunca através de canais públicos. |
Exemplos de informação TLP:GREEN incluem relatórios de investigação ou análises de mercado que podem ser partilhados com aliados estratégicos, relatórios sobre projetos colaborativos, diretrizes e boas práticas que são disseminadas entre empresas de um mesmo setor, e acordos comerciais ou contratos-quadro com fornecedores e parceiros. Também pode incluir apresentações internas de resultados ou propostas que, embora não sejam confidenciais, devem ser mantidas dentro de uma comunidade específica. Esta informação pode ser distribuída sem grandes restrições dentro da organização ou com parceiros, mas nunca deve ser tornada pública ou partilhada através de canais acessíveis ao público em geral. A proteção desta informação é importante para evitar a sua utilização inadequada fora da comunidade de destino.
Informação TLP:AMBER
(Divulgación limitada. Información Restringida a las Organizaciones de los Participantes.)
Informação necessária para o correto desempenho das funções e atividades da DOCUTEN TECH, S.L. que, embora necessite de proteção, não será classificada como TLP:RED. A sua divulgação, intencional ou acidental, poderá causar prejuízos económicos leves ou moderados à DOCUTEN TECH, S.L., mas não deteriorará significativamente a imagem corporativa nem violará os direitos das pessoas. A informação classificada será acessível apenas ao pessoal autorizado pela DOCUTEN TECH, S.L. e não poderá ser transmitida ou comunicada a ninguém fora do grupo sem autorização prévia do proprietário. Exemplo: Diretório telefónico, organograma da empresa.
Informação TLP:RED (Divulgación Limitada. Información Confidencial.)
| Quando usar | Como partilhar |
|---|---|
| Deve-se utilizar TLP:AMBER quando a informação necessita ser distribuída de forma limitada, mas representa um risco para a privacidade, reputação ou operações caso seja partilhada fora da organização. | Os destinatários podem partilhar informação designada como TLP:AMBER apenas com membros da sua própria organização que necessitem de a conhecer, bem como com clientes, fornecedores ou parceiros que precisem de a conhecer para se protegerem ou evitar danos. O emissor pode especificar restrições adicionais para a partilha desta informação. |
Informação cuja divulgação, alteração ou perda pode causar um prejuízo económico grave à DOCUTEN TECH, S.L., um dano significativo à sua imagem pública, violar diretamente o direito à privacidade das pessoas ou afetar significativamente a sua posição no mercado ou o cumprimento da legislação vigente. Os ativos de informação confidenciais não poderão, em nenhum caso, ser acedidos publicamente e poderão existir casos em que alguns utilizadores tenham apenas acesso temporário. Os acessos, permanentes ou temporários, a ativos de informação confidenciais deverão estar plenamente justificados e aprovados. A informação classificada como confidencial será acessível apenas por um grupo limitado e definido de pessoas. A transferência excecional para terceiros não é permitida sem a autorização prévia do proprietário da informação. Exemplo: Planos estratégicos, informação económica.
Adicionalmente, a informação que deve ser conhecida apenas pelo seu proprietário, como palavras-passe de utilizador, chaves criptográficas, etc., não poderá ser partilhada nem divulgada. Serão adotadas medidas extremas de proteção na sua geração e posterior distribuição aos proprietários, utilizando cifragem e mecanismos que permitam identificar se houve qualquer tipo de intervenção (tamper proof). Será mantida uma segurança rigorosa no seu armazenamento (cifragem irreversível para palavras-passe, separação em partes e atribuição de chaveiros para chaves-mestras, entre outros).
| Quando usar | Como partilhar |
|---|---|
| Deve-se utilizar TLP:RED quando a informação está limitada a pessoas específicas e pode ter impacto na privacidade, reputação ou operações se for utilizada de forma inadequada. | Os destinatários não devem partilhar informação designada como TLP:RED com nenhum terceiro fora do âmbito em que foi originalmente exposta, salvo. |
Exemplos de informação TLP:RED incluem documentos essenciais cuja divulgação não autorizada poderia afetar diretamente a privacidade de indivíduos ou a competitividade da empresa. Exemplos incluem planos estratégicos a longo prazo, informações financeiras detalhadas, contratos confidenciais com clientes ou fornecedores, e dados pessoais de empregados ou clientes que devem ser protegidos de acordo com as leis de privacidade. Também abrange detalhes sobre processos internos sensíveis, como fusões e aquisições em curso, e propriedade intelectual não divulgada, como designs, patentes ou algoritmos exclusivos. Além disso, inclui informações críticas, como chaves de acesso a sistemas ou dados cifrados que permitem o acesso a sistemas internos. O acesso a essa informação deve ser limitado a um grupo pequeno e autorizado, e não deve ser partilhado fora da organização sem a devida autorização. Os documentos classificados como TLP:RED devem ser armazenados, geridos e transmitidos com os mais altos padrões de segurança, como cifragem e controles rigorosos de acesso, para evitar riscos associados ao seu uso indevido.
