Política da Segurança da informação

A segurança da informação é definida pelas práticas que permitem assegurar que a informação sob responsabilidade de uma organização apenas é acedida ou modificada pelas pessoas, entidades ou sistemas autorizados, durante o seu armazenamento, processamento ou transmissão. Estas práticas incluem as medidas necessárias para detetar, documentar e responder às ameaças à integridade, disponibilidade e confidencialidade da informação.

Toda a informação tem um valor associado, em alguns casos diretamente convertível em valor monetário, noutros associado a fatores qualitativos, nomeadamente reputacionais. A quebra da sua confidencialidade, integridade ou disponibilidade, no tratamento pelos seus utilizadores, pode implicar perdas significativas para a organização.
Atenta a estes fatores, a Microio estabelece, através da presente Política de Segurança da Informação, os alicerces da sua organização na gestão da segurança da informação, visando atingir os seguintes objetivos:

1. Confidencialidade: garantir que a informação está acessível somente às pessoas ou sistemas autorizados, e apenas pelo período estritamente necessário;

2. Integridade: garantir que a informação está completa, íntegra e que não é modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida;

3. Disponibilidade: garantir que a informação está disponível a todas as pessoas autorizadas, sempre que necessário.

 

Âmbito

A Política de Segurança da Informação da Microio destina-se a todas as partes interessadas as quais têm de a conhecer e agir em conformidade e ter em conta também os demais documentos específicos relacionados com a Segurança da Informação, conforme aplicável e adequado.
Todas as partes interessadas que deliberadamente violem esta ou outras políticas ficam sujeitas a sanções e outras ações, que podem ir até à cessação do contrato e/ou à participação às autoridades policiais ou judiciais das situações que indiciem a prática de crime.
A informação pode adotar diversas formas (estar impressa ou escrita em papel, armazenada eletronicamente, transmitida por correio ou meios eletrónicos, entre outras), devendo ser adequadamente protegida, independentemente do seu meio, utilização ou suporte. A segurança da informação deverá estar ajustada face à sua importância e valor. O acesso à informação é vital no funcionamento da Microio, dependendo da disponibilidade dos sistemas e infraestruturas de informação. A segurança no tratamento e transmissão da informação é assim fundamental para a eficiência do processo de produção das estatísticas oficiais. É da responsabilidade de todas as partes interessadas contribuírem proativamente para a segurança da informação.
Qualquer interrupção do serviço, fuga de informação para entidades não autorizadas ou modificação não autorizada de dados pode levar a uma perda de confiança e/ou violar as obrigações legais e contratuais para com cidadãos e empresas.
As ameaças à segurança da informação estão em constante evolução, o que implica a adaptação contínua de medidas de segurança da informação de modo a acompanhar as alterações tecnológicas e legislativas ou regulamentares. As medidas de segurança da informação devem ser técnica e economicamente viáveis e não devem limitar a produtividade e eficiência da Microio.

 

Objetivos

A Microio compromete-se a:

1. Cumprir os requisitos legais e outras normas nacionais, europeias e internacionais relevantes em matéria de segurança da informação;

2. Garantir a confidencialidade, integridade e disponibilidade da informação nos seus processos, seja ela em formato físico ou digital;

3. Controlar/restringir o acesso à informação sensível, disponibilizando-a apenas a parceiros autorizados e com o consentimento da administração/cliente/parceiro;

4. Assegurar uma comunicação efetiva das políticas e procedimentos de segurança da informação para todas as partes interessadas no respetivo âmbito de aplicação, sempre que seja adequado ou solicitado, e implementar um processo contínuo de sensibilização e formação em segurança da informação;

5. Garantir que os colaboradores, fornecedores e outras partes interessadas conhecem e dão cumprimento às políticas e procedimentos de segurança da informação e comunicam adequadamente qualquer suspeita de que a segurança ou a privacidade da informação foi comprometida. A Microio deve comunicar às autoridades competentes os incidentes de segurança de impacto elevado no negócio e nas partes interessadas, e qualquer violação de dados pessoais.

6. Garantir a continuidade de negócio, implementando medidas que assegurem a resiliência da Microio face à adversidade e garantam a disponibilidade da informação de acordo com a sua tipologia, valor e relevância, assegurando, desta forma, a manutenção e recuperação das atividades críticas da organização num intervalo de tempo aceitável, minimizando as consequências dos incidentes para as partes interessadas.

7. Melhorar continuamente a segurança da informação, promovendo a revisão contínua dos mecanismos e procedimentos de segurança da informação para assegurar que são efetivos, relevantes e adequados às necessidades;

8. Garantir os recursos necessários para a operacionalização dos processos e atividades de gestão da segurança da informação.

 

Segurança da informação para fornecedores

Para o cumprimento da política de segurança da informação nas relações com fornecedores, estão definidos os seguintes objetivos:

 

1. Garantir que todos os fornecedores que tenham acesso a ativos de informação da Microio estão sujeitos a acordo de confidencialidade e sigilo relativamente a toda a Informação e/ou dados pessoais a que tenham acesso por virtude ou em consequência das relações profissionais com a Microio. Este acordo de confidencialidade pode ser substituído por garantias contratuais que sejam consideradas adequadas e suficientes.

2. Os fornecedores que tenham acesso a ativos de informação da Microio, devem conhecer e dar cumprimento às políticas e procedimentos de segurança da informação, comunicando adequadamente qualquer suspeita de que a segurança ou a privacidade da informação foi comprometida.

3. O fornecedor não poderá utilizar a informação e/ou os dados pessoais a que tenha acesso, para fins distintos do seu fornecimento/prestação de serviços à Microio, não podendo, nomeadamente, transmiti-los a terceiros.

4. O dever de confidencialidade e as restantes obrigações previstas na presente cláusula deverão permanecer em vigor mesmo após o termo das relações profissionais entre o fornecedor e a Microio e também depois do final da relação entre o fornecedor e os seus colaboradores, subcontratados, consultores e/ou prestadores de serviços.

5. Fornecedores abrangidos: pelo menos os seguintes tipos de fornecedores são considerados abrangidos pela política de segurança de informação:

o Empresas subcontratadas para montagem de hardware da Microio, em particular quando recebem Firmware para programação em fábrica;

o Fornecedores de serviço de alojamento de servidores com acesso a ativos de informação incluindo dados pessoais de clientes;

o Fornecedor do serviço de e-mail;

o Fornecedores de serviços com acesso às instalações da Microio, nomeadamente o serviço de Vending e o serviço de limpeza;

o Fornecedores de serviços de Contabilidade e de Higiene e Segurança no Trabalho, com acesso a dados pessoais de colaboradores.