1. Objetivo
Estabelecer critérios e controles para classificar, rotular, proteger, compartilhar, armazenar e descartar as informações da Artaxnet e de terceiros, reduzindo riscos de confidencialidade, integridade e disponibilidade.
2. Escopo
Aplica-se a todos os colaboradores, prestadores e terceiros com acesso à informação da Artaxnet, em todos os sistemas e meios (nuvem AWS, endpoints, e-mail, repositórios de código, backups, impressos etc.).
3. Papéis e responsabilidades
- Proprietário da informação: define o nível de classificação e autoriza acessos/compartilhamentos.
- Custodiante (TI/Segurança): implementa controles (acesso, criptografia, backup, monitoramento).
- Usuários: cumprem esta política e reportam incidentes.
- Segurança da Informação: promove, treina e audita o cumprimento.
4. Níveis de classificação
- Pública: informação destinada ao público. Divulgação não causa risco.
- Interna: uso interno. Divulgação não autorizada pode causar impacto operacional menor.
- Confidencial: informação de negócio ou de clientes/terceiros cuja divulgação gera impacto moderado/alto.
- Restrita: informação crítica ou altamente sensível (ex.: segredos de negócio, chaves KMS, dados pessoais sensíveis).
5. Regras de rotulagem
- Documentos/sistemas devem conter rótulo no título ou metadados:
[PÚBLICA] / [INTERNA] / [CONFIDENCIAL] / [RESTRITA]. - Repositórios (S3 buckets, repositórios Git) devem indicar o nível na descrição ou tag.
- E-mails: incluir o nível no assunto quando aplicável.
6. Tratamento por nível (mínimos obrigatórios)
| Controle | Pública | Interna | Confidencial | Restrita |
|---|---|---|---|---|
| Acesso (IAM/ACLs) | Livre | Limitado por função | Mínimo privilégio, revisão trimestral | Mínimo privilégio, aprovação do proprietário, revisão mensal |
| Criptografia em trânsito | TLS 1.2+ | TLS 1.2+ | TLS 1.3 preferencial | TLS 1.3 + HSTS |
| Criptografia em repouso | Recomendado | Obrigatório (AES-256) | Obrigatório AES-256 (AWS KMS) | Obrigatório AES-256 (AWS KMS CMK dedicado) |
| Compartilhamento externo | Livre | Autorização do proprietário | NDA + controle de destinatários | NDA + registro + aprovação executiva |
| Impressão/Exportação | Livre | Controlada | Restrita, marcar “Confidencial” | Desaconselhada; justificar e registrar |
| Backups | Conforme política | Criptografados | Criptografados + teste de restauração | Criptografados + segregação + testes frequentes |
| Retenção | Conforme lei | ≥ 2 anos | 3–5 anos (ou contrato) | Conforme risco/lei, mínimo necessário |
| Eliminação | Normal | Exclusão lógica | Eliminação segura | Eliminação segura verificada |
Os requisitos acima são mínimos; proprietários podem exigir controles adicionais conforme o risco.
7. Controles tecnológicos (AWS & endpoints)
- AWS: S3, EBS, RDS criptografados com AES-256/KMS; Security Groups/NACLs; WAF/Shield; ALB com TLS 1.3; CloudTrail/CloudWatch/GuardDuty/Security Hub; IAM com MFA; rotação de chaves KMS.
- Endpoints: Kaspersky (Windows) e Bitdefender (macOS) com gestão centralizada; MFA; bloqueio de USB quando aplicável; correções regulares.
- Desenvolvimento: SAST/DAST, controle de dependências, revisão de código, segregação de ambientes (dev/test/prod).
8. Terceiros e subencarregados
Antes de compartilhar informação Confidencial/Restrita, exigir NDA, cláusulas de segurança, avaliação de riscos e controles equivalentes (criptografia, acesso mínimo, descarte ao término). Manter inventário atualizado de terceiros.
9. Incidentes e exceções
Incidentes são tratados conforme o Procedimento de Resposta a Incidentes. Exceções a esta política requerem aprovação por escrito do Proprietário da informação e de Segurança.
10. Conscientização e conformidade
Treinamento anual obrigatório (phishing, tratamento de dados, classificação). Auditorias internas periódicas. Descumprimentos podem acarretar medidas disciplinares.
11. Referências
Boas práticas alinhadas a ISO/IEC 27001/27002 e CIS Controls v8.