Política de Segurança da Informação
Esta política estabelece princípios e diretrizes gerais de segurança da informação aplicáveis à Evolution Services, aos seus processos internos e à atuação de profissionais vinculados a projetos, alocações e serviços executados para clientes.
Objetivo
Esta política tem por objetivo orientar a proteção de informações, acessos, ativos digitais e ambientes utilizados no contexto da atuação da Evolution Services, buscando reduzir riscos de exposição indevida, uso não autorizado, perda de confidencialidade e falhas evitáveis de segurança.
Princípios
A atuação da Evolution Services em matéria de segurança da informação observa, de forma geral, os seguintes princípios: confidencialidade das informações acessadas, uso autorizado e proporcional de acessos e recursos, proteção contra divulgação, alteração ou compartilhamento indevido, responsabilidade individual sobre credenciais e ambientes utilizados, observância de requisitos contratuais, operacionais e de segurança aplicáveis ao projeto e cooperação com medidas razoáveis de prevenção, identificação e resposta a incidentes.
Controle de acesso
O acesso a sistemas, ferramentas, repositórios, documentos e ambientes deve ocorrer apenas por pessoas autorizadas e somente na medida necessária ao exercício da atividade profissional vinculada ao projeto, contrato ou operação. Credenciais são de uso pessoal e intransferível, devendo ser protegidas com o devido cuidado. Não é permitido compartilhar senhas, chaves, acessos ou mecanismos equivalentes sem autorização formal e fundamento legítimo.
Uso adequado de ativos e ambientes
Equipamentos, contas, ambientes e recursos utilizados no contexto da operação devem ser empregados de forma compatível com a finalidade profissional autorizada, com cautela, zelo e observância das regras aplicáveis. Sempre que o cliente definir controles próprios de acesso, dispositivo, rede, autenticação, segregação de ambiente, monitoramento ou armazenamento, tais diretrizes deverão ser respeitadas no âmbito da atuação correspondente.
Tratamento de informações
Informações técnicas, comerciais, estratégicas, operacionais ou pessoais acessadas em razão da atividade profissional devem ser tratadas com reserva, necessidade e responsabilidade. Devem ser evitadas, entre outras condutas, armazenamento indevido de informações em locais não autorizados, envio de dados para destinatários incorretos, exposição de documentos em canais inadequados, uso de informações fora da finalidade legítima da atividade e manutenção desnecessária de cópias ou registros sem fundamento operacional.
Incidentes e comunicação
Suspeitas de comprometimento, perda de acesso, exposição indevida, envio equivocado de informação, uso não autorizado ou qualquer evento com potencial impacto de segurança devem ser comunicados com a maior brevidade possível pelos canais adequados da operação ou do cliente, conforme o contexto.
Ambientes de clientes
Quando a atuação ocorrer em ambientes, sistemas, dispositivos ou contas fornecidos ou controlados por clientes, prevalecerão também as políticas, normas e requisitos internos por eles estabelecidos, desde que aplicáveis ao contexto da atividade.
Responsabilidades gerais
A segurança da informação depende de atuação diligente, consciente e compatível com o nível de acesso concedido. Todos os envolvidos na operação devem agir com responsabilidade proporcional às informações e aos ambientes sob sua utilização.