Referência: BRA-TEC-POL-001 | Versão: 02 | Data: 29/04/2026 | Classificação: Pública
A Trio reconhece que a informação é um dos seus principais ativos e, portanto, deve ser protegida de forma adequada.
Esta Política de Segurança da Informação (PSI) foi elaborada em conformidade com a Resolução BCB nº 85, de 8 de abril de 2021, refletindo o compromisso da TRIO com o cumprimento das normas legais e regulamentares aplicáveis e, estabelece os princípios, diretrizes e responsabilidades para garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações tratadas pela organização. O objetivo é minimizar riscos, prevenir incidentes de segurança, assegurar a continuidade das operações, garantir conformidade com as leis e regulamentações aplicáveis e promover a cultura de segurança da informação entre colaboradores, prestadores de serviço e parceiros.
Esta PSI é complementada por sub-políticas específicas (como Senhas, Classificação da Informação, Backup, Gestão de Acessos, entre outras) que detalham controles técnicos e operacionais.
2.1. Quando referenciado nesta política, os termos a seguir terão os seguintes significados:
- 2.1.1. Área de TI/SI: Área de Tecnologia da Informação / Segurança da Informação.
- 2.1.2. Ativos: Todos os recursos que possuem valor para a organização e que devem ser protegidos. Podem incluir: informações, aplicações, equipamentos, pessoas, etc.
- 2.1.3. Backup: Processo de criar cópias de segurança de dados, sistemas ou arquivos para garantir que possam ser recuperados em caso de perda, falha ou incidente.
- 2.1.4. Computação em Nuvem: Modelo de prestação e consumo de serviços de tecnologia (como servidores, armazenamento, bancos de dados e redes) entregues sob demanda através da internet.
- 2.1.5. Criptografia: Processo de transformar informações legíveis em dados codificados para protegê-las contra acessos não autorizados.
- 2.1.6. Incidentes: Eventos que comprometem ou têm potencial de comprometer a integridade, confidencialidade ou disponibilidade de ativos, dados ou sistemas.
- 2.1.7. LGPD: Lei Geral de Proteção de Dados, que estabelece regras para o tratamento de dados pessoais.
- 2.1.8. Logs: Registros automáticos de atividades realizadas em aplicações. São fundamentais para monitoramento, auditoria, diagnóstico de problemas, etc.
- 2.1.9. OWASP Top 10: Documento de conscientização padrão para desenvolvedores que lista e explica os riscos de segurança mais críticos em aplicações web.
- 2.1.10. Patches: Atualizações de software que corrigem falhas, vulnerabilidades ou melhoram funcionalidades.
- 2.1.11. Plano de Contingência / Continuidade de Negócios: Conjunto de procedimentos documentados para garantir que os processos críticos da empresa possam continuar operando ou ser recuperados rapidamente em caso de falhas, interrupções ou desastres.
- 2.1.12. Princípio do menor privilégio: Usuário deve ter apenas os acessos e permissões estritamente necessários para realizar as suas funções.
- 2.1.13. PSI: Política de Segurança da Informação.
- 2.1.14. Secure By Default (Segurança por Padrão): Princípio no qual um sistema ou software já é entregue configurado com os níveis mais rígidos de segurança possíveis.
- 2.1.15. Secure By Design (Segurança desde a Concepção): Abordagem de engenharia de software onde os requisitos e controles de segurança são incorporados desde a fase inicial de planejamento e arquitetura da solução.
Esta política se aplica à Trio, abrangendo todos os sistemas, processos, informações e ativos. Seu cumprimento é obrigatório para todos os sócios, acionistas, diretores, membros do Conselho de Administração, usuários, colaboradores, colaboradores temporários, terceiros, estagiários e aprendizes, doravante chamados de "colaboradores".
4.1. A PSI tem como princípios fundamentais:
- 4.1.1. Confidencialidade: Acesso às informações restrito apenas a pessoas autorizadas.
- 4.1.2. Integridade: Assegurar que as informações sejam corretas, completas e não alteradas indevidamente.
- 4.1.3. Disponibilidade: Garantir acesso às informações e sistemas sempre que necessário para a operação.
Para apoiar estes princípios, a Trio adota os seguintes compromissos:
4.2. Gestão de Ativos
- 4.2.1. Identificação, registro e proteção de ativos durante todo o seu ciclo de vida.
4.3. Proteção e Classificação da Informação
- 4.3.1. Tratamento das informações de acordo com sua classificação (pública, interna, confidencial ou restrita), conforme definido na Política de Classificação da Informação.
4.4. Gestão de Identidades e Acessos
- 4.4.1. Concessão de acessos seguindo o princípio do menor privilégio, com revisões periódicas, conforme Política de Gestão de Acessos.
4.5. Privacidade de Dados Pessoais
- 4.5.1. Tratamento de dados pessoais em conformidade com a LGPD e demais regulamentações aplicáveis.
4.6. Senhas e Autenticação
- 4.6.1. Uso de credenciais seguras, vedado o compartilhamento, conforme Política de Senhas.
4.7. Dispositivos e Rede
- 4.7.1. Uso de equipamentos corporativos de acordo com padrões definidos pela área de TI/SI.
4.8. Backups e Retenção
- 4.8.1. Cópias de segurança de dados críticos, criptografadas e com períodos de retenção definidos na Política de Backup e Retenção.
4.9. Gestão de Incidentes
- 4.9.1. Registro, análise e resposta a incidentes de segurança, incluindo comunicação a reguladores e titulares de dados quando aplicável.
4.10. Plano de Contingência
- 4.10.1. Manutenção de processos de continuidade de negócios para rápida recuperação frente a falhas ou desastres.
4.11. Criptografia
- 4.11.1. Proteção de informações sensíveis por meio de mecanismos de criptografia adequados, tanto em repouso quanto em trânsito, utilizando algoritmos e protocolos reconhecidos pelo mercado. A gestão de chaves criptográficas deve ser controlada, com acesso restrito e ciclos de vida definidos.
4.12. Desenvolvimento Seguro
- 4.12.1. Adoção de práticas de desenvolvimento seguro ao longo de todo o ciclo de vida de sistemas, incluindo análise de requisitos de segurança e revisão de código.
- 4.12.2. Devem ser seguidas diretrizes reconhecidas de mercado, como o OWASP Top 10, bem como princípios de secure by design e secure by default, assegurando que controles de segurança sejam incorporados desde a concepção das soluções.
- 4.12.3. Os testes de segurança nos sistemas críticos devem ser realizados periodicamente, no mínimo anualmente. As vulnerabilidades identificadas devem ser registradas, classificadas quanto ao risco e tratadas por meio de plano de ação com prazos definidos e acompanhamento até sua resolução.
4.13. Inteligência Cibernética
- 4.13.1. Monitoramento contínuo de ameaças cibernéticas, com coleta e análise de informações relevantes para antecipação de riscos, identificação de tendências e apoio à tomada de decisão em segurança da informação. Devem ser utilizadas fontes confiáveis.
4.14. Gestão de Riscos
- 4.14.1. Identificação, análise, avaliação e tratamento contínuo dos riscos relacionados à segurança da informação e tecnologia, considerando impactos ao negócio, financeiro, reputacional, operacional e conformidade regulatória. Os riscos devem ser documentados, classificados e acompanhados por meio de planos de tratamento e revisões periódicas.
4.15. Avaliação e Monitoramento de Fornecedores de Tecnologia
- 4.15.1. Avaliação e monitoramento de fornecedores que tenham acesso a informações ou sistemas da organização, garantindo que atendam aos requisitos de segurança da informação e privacidade. Devem ser estabelecidos contratos com cláusulas específicas de segurança, confidencialidade e proteção de dados.
4.16. Computação em Nuvem
- 4.16.1. Adoção de controles de segurança adequados no uso de serviços em nuvem, incluindo gestão de acessos, proteção de dados, monitoramento de atividades e conformidade com requisitos legais e regulatórios. Deve ser considerado o modelo de responsabilidade compartilhada entre a organização e o provedor de serviços.
4.17. Logs e Auditoria
- 4.17.1. Geração, proteção e análise de registros de eventos relevantes, conforme Política de Gestão de Logs.
4.18. Cultura e Conscientização
- 4.18.1. A organização deve estabelecer ações contínuas de conscientização em segurança da informação, assegurando que colaboradores compreendam e apliquem boas práticas e suas responsabilidades na proteção das informações.
- 5.1. O descumprimento poderá resultar em medidas disciplinares, conforme legislação e normas internas.
- 5.2. Gestores devem garantir que suas equipes estejam cientes e em conformidade com esta PSI.
- 5.3. A área de Segurança da Informação é responsável por revisar esta política e propor atualizações.
- 5.4. A alta administração é responsável por sua aprovação.
- 5.5. Esta política será revisada periodicamente, no mínimo uma vez ao ano, ou sempre que ocorrerem alterações significativas nos processos de TI, riscos, estrutura organizacional, mudanças legais, regulatórias ou de caráter operacional relevantes.
| ELABORADOR | REVISOR | APROVADOR |
|---|
| Géssica Ribeiro | Eurico Nicácio | Manoel Souza |
Géssica Ribeiro
REVISOREurico Nicácio
APROVADORManoel Souza
