Esta política define os princípios, diretrizes e procedimentos adotados pela Eloverde para garantir a segurança da informação, assegurando a confidencialidade, integridade e disponibilidade das informações da organização, de seus clientes, por todos os colaboradores — independentemente do cargo ou função que ocupam — e por terceiros que venham a ter acesso às informações da Eloverde.
Para os fins deste documento, entende-se por:
| Ativo | qualquer coisa que tenha valor para a organização. Qualquer produto, bem ou informação (ex.: equipamento, relatório impresso, sistema de informação, tecnologia proprietária desenvolvida pela empresa). |
| Ativo de informação | ativo que armazena, transmite ou processa informações, tais como: papel, computador, redes, discos rígidos, banco de dados, pendrive, dentre outros. |
| Confidencialidade | garantia de que a informação é acessível somente por pessoas autorizadas. |
| Custódia | ato ou efeito de proteger e garantir a devida auditoria referente à guarda de algo; proteção e guarda. |
| Dado pessoal | informação relacionada à pessoa natural identificada ou identificável. |
| Disponibilidade | garantia de que a informação estará disponível para as entidades autorizadas sempre que necessário ou demandado. |
| Informações Confidenciais | quaisquer informações divulgadas, fornecidas ou comunicadas (seja verbalmente ou por escrito, em forma eletrônica, textos, desenhos, fotografias, gráficos, projetos, plantas ou qualquer outra forma) pela Eloverde, na pessoa de seus sócios, administradores, diretores, empregados, prepostos ou subcontratados ao colaborador — sejam de natureza técnica ou comercial, incluindo mas não se limitando a know-how, tecnologia, clientes, produtos, treinamentos, planos de negócios, promoções, marketing, finanças, relatórios, demonstrações e documentos internos. |
| Integridade | garantia da exatidão e completeza da informação e dos métodos de seu processamento. |
| Legalidade | garantia de que todas as práticas de segurança da informação estão em conformidade com a legislação pertinente. |
| Política | intenções e diretrizes globais formalmente expressas pela direção. |
| Proporcionalidade | o nível, a complexidade e os custos dos processos de segurança devem ser apropriados e proporcionais ao valor e à necessidade de confiança nas informações, considerando a severidade, a probabilidade e a extensão de um dano potencial ou atual. |
| Recurso de Informação | qualquer dispositivo de hardware ou software de apoio à informação. |
| Segurança da informação | conjunto de práticas e métodos voltados para a preservação da confidencialidade, integridade e disponibilidade da informação tratada no âmbito da organização. |
| Titular | pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. |
| Tratamento | toda operação realizada com dados pessoais — coleta, produção, recepção, classificação, utilização, acesso, cruzamento, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. |
| Usuário | pessoa natural ou jurídica que acessa os serviços da Eloverde, independentemente de ser titular de dados cadastrados em seus sistemas, mas que, para esse acesso, forneça dados pessoais de qualquer natureza, com consentimento de uso explícito. |
A Política de Segurança da Informação da Eloverde tem como finalidade estabelecer diretrizes que assegurem o uso adequado, a proteção e o tratamento responsável das informações sob sua responsabilidade. São objetivos específicos:
- Preservar a confidencialidade, integridade e disponibilidade das informações tratadas, armazenadas ou transmitidas nos ambientes sob gestão da Eloverde;
- Proteger os ativos de informação contra acessos não autorizados, vazamentos, perdas ou alterações indevidas — acidentais ou intencionais;
- Assegurar a conformidade com as legislações vigentes, incluindo (mas não se limitando à) Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), bem como com requisitos contratuais e regulatórios aplicáveis;
- Fortalecer a cultura organizacional de segurança da informação, promovendo a conscientização e o engajamento contínuo de colaboradores, prestadores de serviço e parceiros;
- Estabelecer padrões e controles que sustentem o direcionamento estratégico da Eloverde em relação à gestão da segurança da informação e à resiliência organizacional;
- Manter a melhoria contínua do sistema de segurança da informação por meio de auditorias, revisões periódicas de políticas e evolução dos controles técnicos e administrativos implementados.
Esta política aplica-se a todos os colaboradores, terceiros, prestadores de serviço, parceiros e demais agentes que, de forma direta ou indireta, tenham acesso, tratem ou armazenem informações sob propriedade ou custódia da Eloverde.
Seu cumprimento é obrigatório independentemente do vínculo contratual, cargo, função ou localização, abrangendo também quaisquer pessoas ou organizações que atuem em nome da Eloverde ou em colaboração com ela.
A proteção de dados pessoais na Eloverde é orientada pelos seguintes princípios, os quais norteiam sua aplicação, gerenciamento e interpretação — em conformidade com a Lei nº 13.709/2018 (LGPD):
- Responsabilidade: todos os colaboradores, parceiros e prestadores de serviços da Eloverde são responsáveis por zelar pelo cumprimento das políticas e normas de segurança da informação e proteção de dados pessoais.
- Conscientização: é dever da Eloverde assegurar que todos os agentes de tratamento sob sua gestão tenham pleno conhecimento das políticas e diretrizes de segurança da informação, de modo a garantir a execução responsável de suas atividades.
- Legalidade: o tratamento de dados pessoais e a implementação de controles de segurança serão sempre pautados pela legislação vigente e pelas políticas organizacionais formalmente estabelecidas.
- Proporcionalidade: as ações, controles e investimentos em segurança da informação devem ser proporcionais ao valor do ativo da informação a proteger, considerando o risco associado, a criticidade e a finalidade do tratamento.
- Finalidade: o tratamento de dados pessoais realizado pela Eloverde deve ter propósitos legítimos, específicos e previamente informados ao titular — sendo vedado o tratamento para finalidades incompatíveis com as inicialmente declaradas.
- Direitos dos titulares: o tratamento de dados pessoais será realizado com respeito aos direitos dos titulares, assegurando-lhes transparência, acesso, retificação, eliminação e demais garantias previstas em lei.
- Segurança e confidencialidade: a Eloverde adota medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, vazamentos, alterações indevidas ou qualquer forma de tratamento ilícito ou acidental.
As boas práticas adotadas pela Eloverde visam proteger informações sensíveis, reduzir riscos de exposição indevida e fortalecer a cultura de segurança entre colaboradores, terceiros e parceiros.
Confidencialidade e propriedade da informação
- Toda informação tratada na Eloverde é considerada um ativo estratégico e deve ser protegida de forma adequada.
- Informações confidenciais só podem ser acessadas e compartilhadas mediante autorização formal.
- Todo material técnico, dados de clientes, documentos ou código desenvolvido por colaboradores são de propriedade exclusiva da Eloverde.
- O sigilo sobre dados sensíveis permanece obrigatório mesmo após o término do vínculo com a empresa.
Uso ético e profissional de recursos tecnológicos
- Equipamentos e ferramentas da Eloverde devem ser utilizados exclusivamente para fins profissionais.
- É proibido:
- Instalar softwares não autorizados;
- Executar downloads de fontes não confiáveis;
- Armazenar dados sensíveis em dispositivos não autorizados;
- Utilizar os recursos da empresa para fins ilícitos ou incompatíveis com a conduta ética.
Armazenamento em nuvem e organização de arquivos
- Arquivos corporativos devem ser armazenados somente em locais autorizados e seguros (ex.: AWS S3, Google Drive corporativo).
- Cabe a cada colaborador manter seus diretórios organizados e não acumular informações desnecessárias, respeitando a política de retenção e descarte.
Responsabilidades sobre equipamentos
- Os equipamentos corporativos fornecidos pela Eloverde devem ser mantidos em bom estado e devolvidos quando solicitado.
- Em caso de furto, dano ou extravio, o incidente deve ser imediatamente reportado à área de TI e Segurança.
- O uso de dispositivos pessoais (BYOD) deve seguir a política específica da empresa.
A seguir, são listadas condutas que ferem diretamente os princípios de segurança da Eloverde e estão sujeitas a sanções administrativas e legais.
Conteúdo inadequado e comportamento de risco
- Acessar, compartilhar ou armazenar conteúdos ilegais ou impróprios (pornografia, racismo, incitação à violência, pirataria);
- Participar de fóruns, redes sociais ou comunidades externas em nome da empresa sem autorização;
- Enviar e-mails com conteúdo ofensivo, político, religioso ou fora do escopo profissional.
Engenharia social e uso indevido de identidade
- Tentar obter dados de acesso, informações restritas ou manipular usuários para obter privilégios indevidos configura violação grave.
- Compartilhar credenciais ou utilizar o login de outro colaborador é expressamente proibido.
Manipulação indevida de sistemas e redes
É vedado:
- Tentar invadir, escanear, manipular ou burlar sistemas da Eloverde ou parceiros sem autorização explícita;
- Introduzir scripts, bots ou automações que interfiram no funcionamento normal das aplicações;
- Monitorar, interceptar ou redirecionar tráfego de rede sem permissão técnica formal.
A Eloverde adota práticas rígidas para controle de acesso aos seus sistemas, dados e recursos de infraestrutura, em conformidade com os princípios da segurança da informação. Os principais fundamentos adotados são:
Princípios de acesso
- Menor privilégio: cada usuário recebe apenas os acessos estritamente necessários ao desempenho de suas funções.
- Segregação de funções: atividades críticas são divididas entre diferentes perfis para prevenir fraudes e conflitos de interesse.
- Acesso Just-in-Time: quando aplicável, acessos são concedidos de forma temporária, sob demanda e com expiração automática.
Classificação dos tipos de acesso
- Administrativo: root, sysadmin, devops e demais perfis com permissões elevadas.
- Usuário interno: colaboradores da Eloverde, com permissões compatíveis com a função.
- Usuário externo: clientes, fornecedores e parceiros, conforme contrato ou vínculo.
- Aplicações: tokens, secrets, credenciais de APIs e autenticação máquina-a-máquina.
Identificação e autenticação
- Todos os acessos são realizados por identificadores únicos.
- Perfis privilegiados são protegidos por autenticação multifator (MFA).
- O compartilhamento de credenciais é terminantemente proibido.
Política de senhas
- Senhas devem conter no mínimo 16 caracteres, com uso obrigatório de letras maiúsculas, minúsculas, números e caracteres especiais.
- É vedado o uso de senhas previsíveis ou contendo informações pessoais.
- Recomenda-se troca periódica a cada 90 dias, ou sempre que houver suspeita de comprometimento.
Concessão, revisão e revogação de acessos
- Todo acesso deve ser solicitado via sistema de controle e aprovado pela liderança da área.
- As concessões devem ser documentadas com data, escopo e aprovador.
- A revisão de acessos ocorre a cada 90 dias.
- O acesso é revogado automaticamente em caso de desligamento, mudança de função ou encerramento contratual.
Monitoramento e auditoria
- Todos os acessos são registrados em logs de auditoria, utilizando serviços como AWS CloudTrail, CloudWatch e SIEM.
- Eventos suspeitos geram alertas automáticos.
- São realizadas auditorias periódicas para verificação de conformidade com esta política.
Acesso a ambientes críticos
- Ambientes de produção, infraestrutura e bancos de dados só são acessados por perfis autorizados e monitorados.
- O acesso remoto exige uso de bastion hosts, VPNs ou ferramentas equivalentes.
- Acesso direto a bases de produção exige justificativa formal e registro de auditoria.
Esta política será revisada anualmente — ou sempre que houver alterações relevantes nos processos internos, mudanças na legislação vigente, evolução tecnológica significativa ou ocorrência de incidentes que justifiquem uma reavaliação antecipada.
A responsabilidade pela atualização e revisão da política é da equipe de Segurança da Informação, com validação da diretoria executiva da Eloverde.
Para garantir o cumprimento, a governança e a disseminação das diretrizes relacionadas à Segurança da Informação e à Proteção de Dados, a Eloverde conta com:
- Um Comitê Gestor de Segurança da Informação, responsável por deliberar e supervisionar iniciativas estratégicas;
- Um Encarregado de Proteção de Dados (DPO), designado conforme a Lei Geral de Proteção de Dados (LGPD), responsável pela interlocução entre a Eloverde, os titulares de dados e a ANPD.
Atribuições do Comitê Gestor de Segurança da Informação
O Comitê Gestor atua como instância de suporte estratégico e técnico, com as seguintes responsabilidades:
- Deliberar sobre temas e incidentes relacionados à segurança da informação, assegurando a confidencialidade, integridade e disponibilidade das informações da Eloverde;
- Propor, revisar e aprovar políticas, normas e procedimentos relacionados à segurança da informação e privacidade;
- Avaliar e priorizar iniciativas de mitigação de riscos e proteção de ativos de informação;
- Apoiar a definição de investimentos e soluções técnicas para melhoria contínua da segurança;
- Acompanhar a execução do Plano de Resposta a Incidentes, propondo ações preventivas e corretivas;
- Deliberar sobre solicitações de uso de dispositivos pessoais (BYOD) no ambiente da empresa;
- Avaliar os resultados de auditorias e fiscalizações internas e externas;
- Constituir grupos de trabalho para temas específicos e convidar especialistas externos, quando necessário;
- Promover o alinhamento entre a estratégia da Eloverde, as tecnologias adotadas e os requisitos de segurança e conformidade.
Atribuições do DPO – Data Protection Officer
Nos termos do art. 41 da LGPD, o DPO da Eloverde tem como responsabilidades:
- Ser o canal de comunicação entre os titulares de dados, a Eloverde e a Autoridade Nacional de Proteção de Dados (ANPD);
- Receber e responder solicitações de titulares, reclamações e notificações relativas ao tratamento de dados pessoais;
- Receber comunicações da ANPD e adotar as providências cabíveis;
- Orientar os colaboradores e prestadores de serviço quanto às boas práticas de proteção de dados pessoais;
- Apoiar o Comitê de Segurança da Informação nas ações relacionadas à privacidade e conformidade legal.
Comunicação e responsabilidade coletiva
Todo colaborador, fornecedor ou parceiro da Eloverde que identificar ou suspeitar de violação de dados, incidentes de segurança ou descumprimento desta política deverá notificar imediatamente a unidade responsável por Segurança da Informação ou o DPO.
O desconhecimento desta política ou de seus complementos não isenta o colaborador de responsabilidade por eventuais atos ou omissões.
Normas complementares
Esta política é complementada por regulamentos específicos, tais como:
- Plano de Resposta a Incidentes;
- Política de Troca de Senhas;
- Política de Uso de Dispositivos Pessoais (BYOD);
- Política de Retenção e Classificação da Informação.
Esses documentos são revisados periodicamente e possuem força normativa no mesmo nível desta política.