Política de Segurança da Informação

1. Âmbito

A informação e respetivos repositórios são ativos críticos para a Vieira de Almeida (VdA). Qualquer que seja a forma e o meio de transmissão, recolha e armazenamento de informação, a mesma deve ser adequadamente protegida. Neste enquadramento, a segurança da informação assume um carater de máxima prioridade e foco em toda a atividade da sociedade, sendo assumido como uma prática essencial para o desenvolvimento sustentável do seu negócio.

A Política de Segurança da Informação (PSI) é um documento que se enquadra no nível estratégico da estrutura documental da Segurança da Informação da VdA, estrutura esta que se encontra definida e organizada no Sistema de Gestão da Segurança da Informação (SGSI), em conformidade com a norma ISO/IEC 270001 (Information Security Management Systems), a qual:

  • Define a estratégia e princípios gerais da gestão de Segurança da Informação;
  • Define o modelo organizacional e de governança da Segurança da Informação;
  • Visa fomentar uma cultura de Segurança da Informação;
  • Visa promover a Segurança da Informação como um propósito indispensável a alcançar.

2. Definição de Segurança da Informação

A Segurança da Informação visa proteger a informação de um amplo conjunto de ameaças através de um processo de gestão de riscos, garantindo a continuidade das atividades de negócio e maximizando o retorno em investimentos efetuados.

Toda a informação tem um valor para a sociedade e tem de ser convenientemente protegida. A proteção da informação desenvolve-se sempre em torno de três principais eixos:

  • Confidencialidade: Garantia de que a informação é acedida apenas por pessoas que têm autorização para tal;
  • Integridade: Salvaguarda da exatidão da informação e dos métodos de processamento, de forma a garantir a sua credibilidade e robustez; e
  • Disponibilidade: Garantia de que os utilizadores autorizados têm acesso à informação e ativos correspondentes sempre que necessário.

A VdA utiliza a norma ISO/IEC 20071 como referencial para a gestão da segurança da informação, a qual, em conjunto com a legislação e regulamentação aplicável, bem como outras melhores práticas internacionais neste âmbito, são a base de todos os controlos, políticas e procedimentos que constituem o seu SGSI.

3. Princípios e objetivos de Segurança da Informação

Os princípios de Segurança da Informação têm por base o suporte e proteção da atividade operacional da VdA, assim como a promoção dos comportamentos aceitáveis e desejados que todos os utilizadores devem adotar, definindo assim uma cultura pró Segurança da Informação transversal a toda a firma. Neste contexto, os objetivos do SGSI são:

  • Garantir que a Segurança da Informação faz parte integrante de todas as atividades essenciais;
  • Garantir que a Segurança da Informação contribui para a criação de valor e suporta o negócio;
  • Garantir que as obrigações legais e normativas são cumpridas, que as expetativas dos stakeholders são geridas e endereçadas e que as coimas/multas aplicadas por entidades reguladoras são evitadas;
  • Analisar e avaliar as ameaças emergentes à Segurança da Informação, para que se possa atuar na mitigação dos riscos de forma informada e atempada;
  • Reduzir os custos, melhorar a eficácia e eficiência e promover uma cultura de melhoria contínua da Segurança da Informação;
  • Garantir que os riscos são tratados de forma consistente e efetiva;
  • Orientar os recursos de Segurança da Informação para a proteção dos ativos em que incidentes de segurança possam representar impactos relevantes para a atividade operacional;
  • Promover uma cultura proativa no que respeita a temas de Segurança da Informação, incentivando comportamentos responsáveis por parte dos utilizadores finais, reduzindo a probabilidade de ocorrência de incidentes de segurança e limitando o impacto na atividade operacional.

4. Responsabilidades na Segurança da Informação

A PSI aplica-se a todos os colaboradores da VdA, independentemente da sua posição ou função, seja qual for o seu nível de responsabilidade e funções exercidas e a todos e quaisquer stakeholders (parte interessada ou interveniente no processo de negócio da VdA; inclui, entre outros, colaboradores, clientes, fornecedores, acionistas, reguladores, etc.) que tenham acesso a informação sob a responsabilidade da VdA.

Os stakeholders devem conhecer as instruções, regras e sanções relativas ao funcionamento dos serviços que utilizam, devendo ainda:

  • Aceitar plenamente as regras e responsabilidades definidas neste documento e nas normas e procedimentos internos da VdA sobre a utilização dos recursos de tratamento da informação;
  • Cumprir os códigos de ética profissional, bem como os requisitos da legislação em vigor relacionados com as atividades do setor, com especial atenção à legislação de proteção de dados;
  • Comunicar imediatamente qualquer falha ou não conformidade identificada na Segurança da Informação, de acordo com o procedimento de notificação de incidentes;
  • Responsabilizar-se pela sua identidade eletrónica, palavras-passe, credenciais de autenticação, autorização ou outro dispositivo de segurança, não partilhando com ninguém esta informação;
  • Respeitar as regras de acesso e distribuição para todos os ativos classificados como informação confidencial, informação restrita ou informação interna.

5. Divulgação

A PSI encontra-se estratificada de acordo com o seu propósito e audiência e encontra-se disponível para todos os stakeholders, internos ou externos da VdA.

6. Validade e Revisão

Este documento é válido a partir da sua data de aprovação até à comunicação e aprovação de uma nova versão. A sua revisão ocorre numa base anual, ou, sempre que existam alterações de requisitos internos ou externos que exijam uma revisão mais regular.

7. Versão e classificação

Este documento é de acesso público e corresponde à sua atualização de 2025-02-13.