Política de Privacidade e Segurança da Informação do ISQe

A proteção no tratamento de informação de parceiros de negócio e dados pessoais sob responsabilidade do ISQe de forma consistente com os requisitos profissionais, éticos, legais, regulamentares e contratuais, é uma das maiores prioridades da Empresa e algo que é considerado fundamental para o seu sucesso. A perda ou roubo de informação ou dados pessoais pode ter consequências graves a nível legal, financeiro e/ou reputacional, estando o ISQe comprometido com a salvaguarda da privacidade, confidencialidade, integridade e disponibilidade da sua informação ou de parceiros de negócio, quer esta se encontre em suporte físico, digital ou intelectual.

Desta forma, são princípios da política de privacidade e segurança da informação, para o garante de que o ISQe pode comprovar a qualquer momento a existência do nível de proteção adequada, o assegurar que:

  • A informação está protegida contra acessos não autorizados;
  • A informação só está acessível por pessoas e processos devidamente autorizadas para o efeito;
  • A integridade da informação é mantida através da exatidão da informação e dos métodos de processamento;
  • Todas as leis e regulamentos aplicáveis são respeitados;
  • A Segurança da informação quando em continuidade de negócio é apropriada, mantida e testada regularmente;
  • Todas as quebras de segurança da informação detetadas ou sob suspeita, são investigadas pelas áreas com competência para o efeito;
  • Todos os seus parceiros de negócio conhecem, a cada momento, as regras e princípios relativos à proteção e tratamento de dados pessoais (transparência);
  • Os dados pessoais são processados licitamente e de forma imparcial (licitude e lealdade);
  • Os dados pessoais são recolhidos e processados para finalidades determinadas, específicas, explícitas e legítimas (limitação das finalidades) e conservados apenas durante o período necessário (limitação da conservação);
  • Os dados pessoais são os adequados, relevantes e limitados ao necessário tendo em conta os objetivos para os quais são processados (minimização de dados);
  • Os dados pessoais são exatos e, sempre que necessário, retificados e atualizados (exatidão).

 

Para tal, o ISQe mantém um Sistema Integrado de Gestão da Privacidade e Segurança da Informação (SGPSI) constituído por esta política e outras informações documentadas relacionadas, sendo que o mesmo foi desenhado para manter, rever e continuamente melhorar a privacidade e segurança da informação, tendo por base uma avaliação e tratamento dos riscos existentes e garantindo o cumprimento do Ciclo de Melhoria Continua apresentado no Modelo de Governo do ISQe.

 

Objetivos do Sistema Integrado de Gestão da Privacidade e Segurança da Informação

 

O SGPSI tem como principais objetivos:

  1. Proporcionar segurança da informação, de acordo com os requisitos de negócio, leis e regulamentações relevantes;
  2. Gerir os ativos da organização mantendo responsabilidades de proteção apropriadas;
  3. Assegurar que a informação recebe um nível adequado de proteção, de acordo com a sua importância para a organização;
  4. Assegurar o acesso de utilizadores autorizados e prevenir o acesso não autorizado a sistemas e serviços;
  5. Prevenir o acesso físico não autorizado, os danos e as interferências na informação e nos recursos de processamento de informação da organização;
  6. Prevenir a exploração de vulnerabilidades técnicas;
  7. Assegurar que a segurança da informação é concebida e implementada no âmbito do ciclo de vida do desenvolvimento de sistemas de informação;
  8. Assegurar uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação, incluindo a comunicação de eventos e pontos fracos de segurança;
  9. Assegurar a continuidade de segurança da informação nos sistemas de gestão da continuidade do negócio da organização;
  10. Contribuir para uma cultura de segurança de informação, numa lógica de melhoria contínua;
  11. Garantir que o tratamento dos dados é feito de forma licita, leal e transparente;
  12. Garantir que os dados são exatos e atualizados sempre que necessário;
  13. Garantir que o período de retenção dos dados pessoais é o mínimo de acordo com as exigências legais ou de continuidade de negócio;
  14. Garantir que os dados pessoais são tratados de forma a manter a sua integridade e confidencialidade.

 

Responsabilidades

 

No contexto do SGPSI, o órgão máximo da empresa é o seu Managing Director, que será responsável por:

  • Garantir que o SGPSI faz parte de e está integrado com os processos da organização e com a estrutura de gestão global;
  • Manter formalmente operacional um Comité de Privacidade e Segurança da Informação, com a responsabilidade de planear, orientar, definir, acompanhar e controlar iniciativas e medidas relacionadas com a privacidade e segurança da informação;
  • Manter formalmente nomeado o Chief Information Security Officer (CISO) que será o interlocutor privilegiado com as restantes estruturas da organização nas atividades de gestão do SGPSI no âmbito da segurança da informação;
  • Manter formalmente nomeado o Data Protection Officer (DPO) – Encarregado da Proteção de Dados que será o interlocutor privilegiado com as restantes estruturas da organização nas atividades de gestão do SGPSI no âmbito da privacidade dos dados.

 

Todos os Coordenadores de Departamento devem estar conscientes da necessidade dos processos de negócio e de suporte estarem em conformidade com as políticas de privacidade e segurança de informação da organização, assim como da obrigação em implementar, nas suas áreas, as iniciativas que para tal se revelem necessárias.

Todos os colaboradores, bem como terceiros, que de alguma forma possam interagir com informação de parceiros de negócio, colaboradores e do próprio ISQe, estão obrigados a cumprir e a fazer cumprir todas as normas de privacidade e segurança da informação, devendo prontamente reportar ao CISO ou DPO qualquer evento que possa provocar, ou que tenha provocado, uma quebra de privacidade ou segurança da informação via email para infosec@isqe.com.

Os colaboradores, bem como terceiros, poderão ser disciplinarmente ou judicialmente responsabilizados em caso de incumprimento com políticas e normas de privacidade e segurança da informação estabelecidas pelo ISQe.

 

Manutenção

 

A Política de Privacidade e Segurança da Informação é periodicamente revista garantindo que continua adequada ao ISQe, sendo comunicada e disponibilizada a todos os colaboradores, e outras partes interessadas caso seja necessário.

 

Pedro Correia
Managing Director