POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE

1. OBJETIVO A Data Stone estabelece sua Política de Segurança da Informação e Privacidade, como parte integrante do seu sistema de gestão corporavo, alinhada às boas prácas do mercado, à normas internacionalmente aceitas e a legislação brasileira pernente, com o objetivo de garantir níveis adequados de proteção a informações e dados pessoais operados pela Data Stone, de seus clientes e colaboradores sob sua responsabilidade.

2. PROPÓSITO Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação e Privacidade que permitam aos colaboradores da Data Stone adotar padrões de comportamento seguro; Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação e Privacidade dos Dados Pessoais; Resguardar as informações da Data Stone, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade; Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus colaboradores, clientes, fornecedores e parceiros; Minimizar os riscos de perdas financeiras, de parcipação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da Data Stone como resultado de falhas de segurança.

3. POLÍTICA Esta política se aplica a todos os colaboradores, fornecedores e parceiros da Data Stone, que possuem acesso às informações e dados pessoais da Data Stone e/ou fazem uso de recursos computacionais compreendidos na infraestrutura interna.

3.1 É POLÍTICA DA DATA STONE: - Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade das informações e dados pessoais operados na Data Stone sejam angidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas; - Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: Colaboradores, terceiros contratados, fornecedores e, onde pernente, clientes; - Garantir a educação e a conscienzação sobre as práticas de segurança da informação e privacidade de dados adotadas pela Data Stone para Colaboradores, terceiros contratados, fornecedores e, onde pernente, clientes; - Atender integralmente requisitos de segurança da informação e privacidade dos dados pessoais aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais; - Tratar integralmente incidentes de segurança da informação e a privacidade de dados pessoais, garantindo que eles sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas; - Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria continua de planos de continuidade e recuperação de desastres; - Melhorar continuamente a Gestão de Segurança da Informação e Privacidade através da definição e revisão sistemática de objevos de segurança em todos os níveis da Data Stone.

4. PAPÉIS E RESPONSABILIDADES

4.1 Comitê Gestor de Segurança da Informação - CGSI Fica constuído o Comitê Gestor de Segurança da Informação - CGSI, contando com a parcipação de, pelo menos, um Gerente de Desenvolvimento, um Gerente de Tecnologia da Informação e pelo menos três membros com conhecimento em tecnologia da informação, tanto com suporte a infraestrutura quanto com sistemas.

4.2 É responsabilidade do CGSI: - Analisar, revisar e propor a aprovação de políticas e normas relacionadas à Segurança da Informação; - Garantir a disponibilidade dos recursos necessários para uma efeva Gestão de Segurança da Informação; - Garantir que as avidades de segurança da informação e privacidade de dados sejam executadas em conformidade com a PSI; - Promover a divulgação da PSI e tomar as ações necessárias para disseminar uma cultura de Segurança da Informação e privacidade de dados pessoais no ambiente da Data Stone.

5. SANÇÕES E PUNIÇÕES As violações, mesmo que por mera omissão ou tentava não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa aos colaboradores celestas. Quanto aos colaboradores pessoa jurídica e cooperados, poderá implicar a imediata rescisão do contrato entre as partes; A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado e recorrência, podendo o CGSI, repassar a informação da infração ao Gestor imediato que, aplicará a pena quando idenficada a falta grave. No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efevação das sanções e punições conforme termos previstos em contrato; Para o caso de violações que impliquem em avidades ilegais, ou que possam incorrer em dano a Data Stone, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pernentes.

6. CASOS OMISSOS Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para posterior deliberação. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da connua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constui rol enumeravo, sendo obrigação do usuário da informação da Data Stone adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objevo de garanr proteção às informações e dados pessoais.