Caros Colaboradores e Parceiros, 

 Vivemos em uma era onde a informação é um dos ativos mais valiosos de qualquer organização. Proteger os dados, garantir sua integridade e assegurar que estejam disponíveis quando necessários é um dos pilares fundamentais para o sucesso e a longevidade de nosso negócio. A confiança que nossos clientes, fornecedores e parceiros depositam em nós depende diretamente da nossa capacidade de manter suas informações seguras. 

Na nossa jornada de crescimento e inovação, a segurança da informação não é apenas uma responsabilidade do time de TI. Ela é uma responsabilidade de todos nós. Cada colaborador, em suas atividades diárias, desempenha um papel fundamental na proteção dos nossos ativos de informação e na prevenção de possíveis ameaças. A crescente sofisticação dos ataques cibernéticos e a complexidade das regulamentações de proteção de dados exigem uma postura proativa e vigilante de todos, em acordo com a nossa Política do Sistema de Gestão de Segurança da Informação: 

Assumimos o compromisso com a melhoria contínua do Sistema de Gestão Integrado, com foco na Segurança da Informação e na Qualidade dos processos administrativos e operacionais das empresas Solutta, Auditto e Alerta Fiscal. 

Objetivando garantir a confidencialidade, integridade e disponibilidade das informações das nossas plataformas, bem como dos processos internos, promovendo: a proteção eficaz dos ativos informacionais; a eficiência operacional; e a conformidade com os requisitos legais, regulamentares e contratuais aplicáveis. 

A Política do Sistema de Gestão de Segurança da Informação fornece estrutura para os objetivos de Segurança da informação que consiste no tripé: 

1. Melhorar o Sistema de Gestão de Segurança da Informação e os processos de desenvolvimento. 

1. Manter e sustentar a plataforma Auditto. 

1. Manter a confidencialidade, integridade e disponibilidade das informações dos usuários da plataforma.  

Ainda, desenvolvemos este documento, a Política de Segurança da Informação, que vocês terão a oportunidade de conhecer a fundo. Este documento não é apenas um conjunto de regras: ele representa o nosso compromisso com a excelência operacional, a conformidade com as leis e, acima de tudo, com a segurança dos dados que são confiados à nossa organização. Ele guiará nossas práticas e decisões, garantindo que possamos operar de forma segura, transparente e responsável. 

Peço a todos que leiam atentamente e adotem as diretrizes estabelecidas nesta política. Juntos, podemos fortalecer a nossa segurança, proteger nosso futuro e continuar sendo uma empresa de confiança no mercado. 

Conto com o empenho de todos para que possamos, com responsabilidade e dedicação, fazer da segurança da informação uma prioridade em todas as nossas ações. 

 Atenciosamente, 

Erick Pomin – CEO 

FINALIDADE 

Estabelecer diretrizes e responsabilidades para garantir a proteção das informações do Grupo Pomin, assegurando a confidencialidade, integridade e disponibilidade dos dados, bem como o atendimento a legislações, normas e requisitos contratuais aplicáveis. 

VIGÊNCIA 

Esta política passa a vigorar a partir da data da sua publicação. 

ABRANGÊNCIA 

 Convém reforçar que inclui prestadores externos com acesso remoto. Sugestão de redação: 

Esta política se aplica a todos os funcionários, contratados, estagiários, terceiros, parceiros e fornecedores que possuam acesso — presencial ou remoto — às informações, sistemas ou ambientes do Grupo Pomin e de seus clientes. 

Empresas do Grupo Pomin: 

 Nome da Empresa: AUDITTO GESTAO EMPRESARIAL LTDA 

CNPJ: 46.185.440/0001-61 

Endereço: Rua Ascencional, nº 284, sala 01, jardim Ampliação – São Paulo – SP, CEP: 05713430 

Ramo de Atividade: Atividades de consultoria em gestão empresarial, exceto consultoria técnica 

Nome da Empresa: SOLUTTA BPO LTDA 

CNPJ: 05.759.157/0001-19 

Endereço: Rua Ascencional, nº 284, sala 01, jardim Ampliação – São Paulo – SP, CEP: 05713430 

Ramo de Atividade: Serviços combinados de escritório e apoio administrativo 

Nome da Empresa: ALERTA FISCAL SERVICOS E TECNOLOGIA TRIBUTARIA LTDA. 

CNPJ: 14.690.979/0001-81 

Endereço: Avenida Jose Silva de Azevedo Neto, nº200, bloco 002, sala nº 0103, Barra da Tijuca – Rio de Janeiro – RJ, CEP: 22775056. 

Ramo de Atividade: 82.19-9-99 – Preparação de documentos e serviços especializados de apoio administrativo não especificados anteriormente 

Nome da Empresa: AUDITTO TECNOLOGIA S/A. 

CNPJ: 20.228.002/0001-40 

Endereço: Rua Ascencional, nº 284, sala 01, jardim Ampliação – São Paulo – SP, CEP: 05713430 

Ramo de Atividade: 62.03-1-00 – Desenvolvimento e licenciamento de programas de computador não-customizáveis 

DEFINIÇÕES 

• Organização: todas as empresas que fazem parte do pelo Grupo Pomin, incluindo filiais e subsidiárias. 

• SGSI: Sistema de Gestão de Segurança da Informação. 

• Gestor da Informação: gerador da informação ou seu principal usuário. Responsável por definir o nível de classificação da informação ou sua criticidade. 

• Custodiante: Pessoa com atribuição fornecida pelo proprietário da informação de proteger adequadamente esta informação. 

• Usuário: Pessoa (Funcionário ou Terceiro) que utiliza de forma autorizada, as informações do Grupo Pomin e de seus clientes.  

• Recurso Computacional: Além da própria informação em formato eletrônico, todo meio direto ou indireto utilizado para seu tratamento, tráfego e armazenamento (Redes, Sistemas, Bancos de Dados, Computadores etc.) 

• Incidente de Segurança da Informação: evento identificado que possa comprometer a confidencialidade, integridade ou disponibilidade das informações. 

• Informação Sensível: informações cujo acesso, modificação ou divulgação não autorizada possa gerar impacto negativo ao Grupo Pomin, seus clientes ou parceiros. 

• Ativo de Informação: qualquer recurso que suporte o tratamento da informação, incluindo dados, softwares, hardwares, instalações, serviços e pessoas. 

RESPONSABILIDADES 

Diretoria Executiva:  

• Apoiar a política de segurança da informação. 

• Fornece recursos necessários para garantir a segurança da informação.  

Comitê Segurança da Informação:  

• Realizar a análise das informações referente a segurança da informação. 

• Apoiar na tomada de decisão em relação a segurança da informação 

Infraestrutura: 

• Desenvolver, implementar e manter a política de segurança da informação. 

• Garantir o entendimento dos colaboradores em relação a esta política.  

• Manter a infraestrutura necessária para garantir a segurança da informação.  

Todos os Colaboradores: 

• Cumprir com as diretrizes estabelecidas nesta política e reportar qualquer atividade suspeita ou incidente de segurança. 

PRINCÍPIOS E DIRETRIZES 

Compliance 

 O Grupo Pomin busca estar em conformidade com todas as normas, regulamentações e requisitos contratuais aplicáveis à segurança da informação. 

 Auditorias regulares são realizadas para assegurar a conformidade com esta política e identificar oportunidades de melhoria. 

Propriedade da Informação 

 Qualquer informação gerada, adquirida e utilizada pelo Grupo Pomin é considerada de propriedade da companhia e, consequentemente, deve ser protegida de acordo com as políticas estabelecidas. 

Classificação da Informação 

 Todas as informações devem ser classificadas e tratadas de acordo com a PO.003 – Política de Classificação da Informação, sendo responsabilidade de cada colaborador assegurar o tratamento compatível com o nível de classificação atribuído. 

Aspectos Éticos 

Todos os recursos de informação compartilhados na empresa devem ser utilizados de forma que outros usuários não sejam afetados ou prejudicados. 

Acesso Controlado 

 Todo usuário com acesso a recursos computacionais deve possuir uma identificação pessoal única, intransferível. 

 O usuário deve ter acesso autorizado apenas aos recursos necessários para a execução de suas funções. 

 Os equipamentos computacionais devem ser configurados de forma a preservar a integridade e confidencialidade de seus dados. 

 O uso de informações consideradas sensíveis não deve ser feito na presença de pessoas não autorizadas. 

 Cada usuário de sistema computacional deve utilizar apenas sua estação de trabalho / notebook, exceto os departamentos da empresa que possuam turnos de trabalho definidos. 

 As diretrizes detalhadas sobre concessão, revisão e revogação de acessos encontram-se no PR004 – Gestão de Controle de Acesso Lógico, que devem ser seguido integralmente. 

Uso aceitável dos ativos 

 A utilização de recursos computacionais da empresa só deve ser feita após autorização/ concessão formal. 

 Os recursos disponibilizados pela empresa não devem ser utilizados para ofender, caluniar, constranger, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, nem veicular opiniões pessoais de qualquer tipo. 

Uso de equipamento pessoal 

 Equipamentos pessoais só poderão ser utilizados após aprovação.  

As configurações dos equipamentos pessoais devem atender aos mesmo requisitos dos equipamentos da organização. 

 As diretrizes sobre uso de dispositivos pessoais encontram-se na PO.008 – Política de BYOD (Bring Your Own Device), que deve ser seguida integralmente 

Proteção de Equipamentos 

 Equipamentos devem ser protegidos contra danos físicos e ambientais. 

Manutenção e Suporte 

 Utilizar uma mala ou mochila projetada para transportar notebooks.  

Nunca deixar o notebook desatendido em locais públicos ou de fácil acesso. Sempre manter o dispositivo próximo e sob vigilância.  

Durante viagens, manter o notebook na bagagem de mão e não o despachar com a bagagem principal para evitar danos. 

Não expor os equipamentos a temperaturas extremas, umidade excessiva ou luz solar direta por longos períodos. 

 Os equipamentos devem ser adequadamente protegidos contra quedas e impactos durante o transporte. Nunca carregar o dispositivo em posições instáveis. 

Qualquer problema técnico deverá ser reportado imediatamente ao suporte técnico da organização, por um de nossos canais de comunicação: 

• E-mail: suporte@solutta.com – Canal exclusivo para a formalização de incidentes de segurança não relacionados a dados pessoais, abrangendo ocorrências que envolvam a infraestrutura física (ex.: acesso não autorizado a áreas restritas, falhas em sistemas de segurança predial) ou a infraestrutura digital (ex.: indisponibilidade de sistemas, falhas de hardware ou software que comprometam a operação). 

• E-mail: dpo@grupopomin.com.br – Canal dedicado à formalização de incidentes que envolvam dados pessoais, incluindo suspeitas de vazamento, acesso não autorizado, perda, modificação ou tratamento inadequado de dados. Deve ser utilizado sempre que houver indícios de que informações de titulares possam ter sido expostas ou utilizadas em desconformidade com a LGPD ou com as políticas internas de proteção de dados da organização. 

 Monitoramento 

 Todos os recursos de informação de propriedade do Grupo Pomin (hardwares e softwares) poderão ser monitorados e vistoriados a qualquer momento, para: 

•  garantir o uso eficiente das horas de expediente; 

•  monitorar ações que tenham sido motivo de preocupação; 

• detectar fraudes de usuários ou detectar aqueles que representam uma ameaça, para que, desta forma, possa reagir rapidamente, prevenindo ataques internos e protegendo os dados das empresas; 

• realizar o levantamento de logs para eventual auditoria. 

Segregação de Funções 

 O Grupo Pomin mantém regras que impossibilita que um único usuário tenha o controle exclusivo da operação de um determinado procedimento em sua totalidade. 

 Deverá ser garantida a segregação das funções de aprovadores e executores.  

 Ambiente de Trabalho Remoto 

 O colaborador deve assegurar que o espaço de trabalho remoto seja seguro, evitando que terceiros tenham acesso visual ou físico a informações sensíveis. 

 Utilizar apenas dispositivos autorizados pela organização para realizar atividades de trabalho remoto. 

 Evitar armazenar dados sensíveis localmente em dispositivos pessoais. Utilizar serviços de armazenamento na nuvem aprovados pela organização. 

 Utilizar apenas canais de comunicação seguros, como e-mails corporativos ou plataformas de colaboração autorizadas, para compartilhar informações sensíveis. 

Dispomos da PO.018 – Política de Regime Presencial e Remoto que estabelece as diretrizes aplicáveis aos colaboradores do Grupo Pomin contratados sob o regime CLT, que atuam em modelo de trabalho presencial ou remoto.  

Seu objetivo é assegurar a conformidade com a legislação trabalhista, promover o alinhamento operacional e orientar quanto às boas práticas relacionadas à marcação de ponto, gestão de horas extras, apresentação de atestados e declarações, organização do ambiente de trabalho, cuidados com ergonomia, comunicação e produtividade. 

Disponibilidade das Políticas  

 Todas as políticas corporativas estão disponíveis para consulta na área do Colaborador no CRM – sistema Auditto. O acesso ao conteúdo solicita o aceite formal por parte do leitor, confirmando a ciência e o comprometimento com as diretrizes da empresa. 

Segurança Física 

Áreas onde informações sensíveis são processadas ou armazenadas devem ter controle de acesso físico, conforme definido na PR.011 – Gestão de Ambiente Físico. 

Mesa e Tela Limpa 

Abaixo estão algumas diretrizes para proteção de informações: 

• as áreas devem possuir local para armazenamento de documentos que possa ser utilizado pelos usuários. 

•  a área de trabalho deve ser mantida limpa e organizada, evitando o excesso de papéis, pastas, mídias de computador e objetos de uso pessoal; 

• sobre a mesa de trabalho deve ser mantido apenas o material necessário para o desempenho de suas atividades. 

• informações sensíveis ou críticas ao negócio, quando não requeridas, devem ser guardadas de forma segura, especialmente quando o escritório estiver vazio. 

• o uso de fotocopiadoras ou outras tecnologias de reprodução (exemplos: scanners, máquinas fotográficas digitais e celulares) deve ter o seu acesso restrito e controlado. 

• devem ser retirados papéis, anotações e lembretes das mesas de trabalho quando o usuário não estiver no local de trabalho e ao final do expediente. 

• o descarte de mídias contendo informações de clientes ou sigilosas deve ser realizado de acordo com a PR.003 – Procedimento de Gestão de Ativos. 

• todos os documentos obtidos de outros departamentos devem ser devolvidos prontamente quando não forem mais necessários. 

• A impressão de documentos com a finalidade de leitura deve ser evitada. Nesses casos, é necessário dar preferência à leitura na tela do equipamento. 

• informações sensíveis ou classificadas como confidenciais, quando impressas, devem ser retiradas imediatamente da impressora. 

• os monitores devem ter suas áreas de trabalho organizadas, com o mínimo de documentos disponíveis, evitando assim que informações importantes sejam acessadas por pessoas não autorizadas. 

• sempre que o usuário se ausentar de sua mesa, as estações de trabalho (desktops e notebooks) devem ser bloqueadas (pressionando primeiramente a combinação das teclas Ctrl + Alt + Del e, em seguida, a tecla Enter ou a combinação das teclas Windows + L), a fim de impedir que outros usuários possam acessar indevidamente seus acessos corporativos. 

• se uma sessão estiver ociosa por mais de 05 (cinco) minutos, é necessário que o usuário redigite a senha para reativar a estação de trabalho. 

Treinamento 

Após a integração o colaborador deverá realizar o treinamento de Segurança da Informação disponível na Smartleader no prazo de 5 dias. 

ASPECTOS TECNOLÓGICOS 

7.1. Resumidamente, o Grupo Pomin solicita o cumprimento das seguintes diretrizes: 

7.2.  Uso de Software 

• Não são permitidos “downloads” e instalação de softwares não homologados ou sem licença válida pelos usuários.  

• Somente softwares e programas previamente homologados pelo departamento de Infraestrutura e que sejam necessários para desempenho da função do usuário são permitidos poderão ser instalados nos equipamentos.  

Uso de Equipamentos 

• Nenhuma alteração de hardware pode ser efetuada sem autorização prévia do departamento de Infraestrutura. 

• Todo usuário é responsável pelos equipamentos que utiliza em suas tarefas, devendo zelar por eles. 

Uso da Internet 

• O uso da Internet deverá ser para fins profissionais. 

• O Grupo Pomin se reserva ao direito de monitorar, registrar e auditar os acessos efetuados pelos usuários.  

• É proibido o uso da Internet no local de trabalho para acessar conteúdo de natureza indevida ou que possa ser ofensivo. Além disso, é proibido e viola esta Política o uso da Internet no local de trabalho para fins ilegais, intimidadores/constrangedores, ofensivos ou que violem outras Políticas, padrões ou Procedimentos do Grupo Pomin ou qualquer outro uso que reflita adversamente no Grupo. 

Uso de Correio Eletrônico 

• O sistema de e-mail do Grupo Pomin deve ser usado essencialmente para fins profissionais e tais para cumprir os objetivos de negócios (ou para fins investigativos ou disciplinares). 

• Mensagens de origem desconhecida contendo anexos ou conteúdo duvidoso devem ser apagadas imediatamente. Na dúvida, consulte os responsáveis por suporte à Infraestrutura ou Segurança da Informação. 

• Antes de enviar um e-mail para fora do Grupo Pomin, considere o impacto da visualização por uma pessoa não autorizada e, em seguida, tome as medidas necessárias para gerenciar esse impacto. 

• Mensagens que sabidamente contenham vírus ou outras formas de malware não devem ser enviadas ou encaminhadas. 

• Cópias de documentos que violem as Leis de Direitos Autorais não devem ser enviadas. 

• Quando houver a necessidade de enviar arquivos por e-mail, coloque senha nos arquivos e faça o envio separadamente ao destinatário (em outro e-mail). 

• Por ser um recurso do Grupo Pomin, a empresa se reserva ao direito de registrar e auditar os e-mails dos usuários. 

•       As contas de e-mail corporativas são propriedade do Grupo Pomin e podem ser monitoradas a qualquer momento, respeitando a legislação vigente. 

Uso da Rede Wireless (rede sem fio) 

O acesso à rede wireless por meio de equipamentos externos (smartfone, notebooks pessoais) é permitido somente após a prévia autorização por parte dos gestores e autenticação adequada por parte da equipe de infraestrutura. 

Comunicação de Incidentes de Segurança 

Todas as suspeitas de violações da Política de Segurança da Informação e quaisquer outros eventos relacionados à segurança, que porventura venha a tomar conhecimento ou chegue a presenciar, deverão ser informadas à equipe de Segurança da Informação imediatamente, por um de nossos canais de comunicação: 

E-mail: suporte@solutta.com.br – Canal exclusivo para a formalização de incidentes de segurança não relacionados a dados pessoais, abrangendo ocorrências que envolvam a infraestrutura física (ex.: acesso não autorizado a áreas restritas, falhas em sistemas de segurança predial ou ausência de bloqueios) ou a infraestrutura digital (ex.: indisponibilidade de sistemas, falhas de hardware ou software que comprometam a operação). 

E-mail: dpo@grupopomin.com.br – Canal dedicado à formalização de incidentes que envolvam dados pessoais, incluindo suspeitas de vazamento, acesso não autorizado, perda, modificação ou tratamento inadequado de dados. Deve ser utilizado sempre que houver indícios de que informações de titulares possam ter sido expostas ou utilizadas em desconformidade com a LGPD ou com as políticas internas de proteção de dados da organização. 

Conformidade / Sanções 

No caso de violação desta ou das demais políticas relacionadas à Segurança da Informação. O Grupo Pomin poderá adotar medidas disciplinares (advertência, suspensão e até mesmo demissão), conforme previsto na Legislação Trabalhista (CLT).  

Essas medidas poderão ser aplicadas pela área de Gente e Gestão conforme estabelecido na PR.010 Advertências Disciplinares no Ambiente de Trabalho. Este procedimento tem como finalidade assegurar que as ações corretivas sejam conduzidas de acordo com princípios legais e éticos. 

Para contratos de Pessoa Jurídica, os responsáveis serão advertidos, podendo ter o contrato rescindido.