Política Corporativa de Segurança da Informação e Cibernética

1 OBJETIVOA informação é um dos principais bens de qualquer organização. Assim, a Ituran Brasil estabelece a presente Política Corporativa de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção das informações da organização, dos clientes e do público em geral.

2 PÚBLICO-ALVOEsta política destina-se a todos os colaboradores, clientes, fornecedores e usuários de informações da Ituran Brasil. Para os fins do disposto nesta política "Ituran Brasil" passa a ser substituído pelo termo "Ituran" no restante do texto, e o termo “Colaboradores” abrange todos os empregados, menores aprendizes, estagiários e administradores da Ituran.

3 RESPONSABILIDADESAs políticas, estratégias e processos corporativos de Segurança da Informação são supervisionados pelo Comitê de Segurança da Informação, coordenado pela Diretoria e composto por representantes das áreas de Riscos e Controles Internos, Auditoria, Tecnologia e Negócios da Ituran.

4 REGRAS

4.1 REGRAS GERAISAs políticas de segurança da informação são revisadas anualmente pela pelo Comitê de Segurança da Informação e sua revisão publicada.

4.2 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃONosso compromisso com o tratamento adequado das informações da Ituran, clientes e colaboradores está fundamentado nos seguintes princípios:

1. Confidencialidade - Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;
2. Disponibilidade - Garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
3. Integridade - Garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

4.3 DIRETRIZES DE SEGURANÇA DA INFORMAÇÃOA Segurança da Informação na Ituran estabelece os principais controles, denominados diretrizes:

1. As informações da Ituran, dos clientes e dos colaboradores devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
2. A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
3. Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um Colaborador ou equipe de Colaboradores.
4. O acesso às informações e recursos só deve ser feito se devidamente autorizado.
5. A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas.
6. A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades.
7. A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento.
8. Os riscos às informações da Ituran devem ser reportados à área de Segurança da Informação.
9. As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos Colaboradores, que devem entender e assegurar estas diretrizes.

4.4 TRATAMENTO DA INFORMAÇÃOA informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da Ituran em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.

4.5 GESTÃO DA SEGURANÇA DA INFORMAÇÃOPara assegurar que as informações tratadas estejam adequadamente protegidas, a Ituran adota os seguintes processos:

1. Gestão de Ativos da Informação - os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, e ter documentação e planos de manutenção atualizados.
2. Classificação da Informação - as informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias.
3. Gestão de Acessos - As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da Ituran. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o Colaborador, para que seja responsabilizado por suas ações.
4. Gestão de Riscos - os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Ituran, para que sejam recomendadas as proteções adequadas.
5. Tratamento de Incidentes de Segurança da Informação - os incidentes de Segurança da Informação da Ituran devem ser reportados à Segurança da Informação.
6. Conscientização em Segurança da Informação - a Ituran promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
7. Avaliação Independente da Auditoria - a efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.

4.6 PROPRIEDADE INTELECTUALTecnologias, marcas, metodologias e quaisquer informações que pertençam à Ituran não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio Colaborador em seu ambiente de trabalho.

4.7 DECLARAÇÃO DE RESPONSABILIDADEOs Colaboradores e Prestadores de Serviços diretamente contratados pela Ituran devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação.

Os contratos da Ituran devem possuir cláusula que assegure a confidencialidade das informações.

4.8 MEDIDAS DISCIPLINARESAs violações a esta política estão sujeitas às sanções disciplinares previstas nas políticas internas da Ituran e na legislação vigente no Brasil

5 DOCUMENTOS RELACIONADOSEsta Política Corporativa de Segurança da Informação é complementada por políticas e procedimentos internos específicos de Segurança da Informação na Ituran e suas áreas em conformidade com os aspectos legais tendo como base nos requisitos da ISO 27001.