Política de Segurança da Informação

Atualizado em 01/02/2026 Documento oficial
Conteúdo
  1. 1. Objetivo
  2. 2. Abrangência
  3. 3. Princípios de Segurança
  4. 4. Classificação da Informação
  5. 5. Controle de Acesso
  6. 6. Proteção de Dados e Sistemas
  7. 7. Gestão de Incidentes de Segurança
  8. 8. Segurança Física
  9. 9. Conscientização e Treinamento
  10. 10. Conformidade Legal e Regulatória
  11. 11. Responsabilidades
  12. 12. Sanções
  13. 13. Revisão
  14. 14. Contato

1. Objetivo

Esta Política de Segurança da Informação estabelece as diretrizes, princípios e responsabilidades para a proteção das informações da NAI S/A e de seus clientes, parceiros e colaboradores. Aplica-se a todos os ativos de informação, sejam eles digitais, físicos ou verbais.

2. Abrangência

Esta política aplica-se a todos os colaboradores, prestadores de serviço, fornecedores e terceiros que acessam, processam ou armazenam informações da NAI S/A, incluindo os ambientes dos sites www.nai-it.com.br, nai-it.com e grcway.com.

3. Princípios de Segurança

A NAI S/A adota os seguintes princípios fundamentais de segurança da informação:

  • Confidencialidade: Garantir que as informações sejam acessíveis apenas a pessoas autorizadas.
  • Integridade: Assegurar a precisão e completude das informações e dos métodos de processamento.
  • Disponibilidade: Garantir que os usuários autorizados tenham acesso às informações e aos ativos associados quando necessário.
  • Autenticidade: Garantir que a identidade de usuários e sistemas seja verificada antes do acesso.
  • Não repúdio: Assegurar que ações realizadas possam ser rastreadas ao responsável.

4. Classificação da Informação

As informações da NAI S/A são classificadas nos seguintes níveis:

  • Pública: Informações que podem ser divulgadas sem restrições.
  • Interna: Informações de uso interno, não destinadas ao público externo.
  • Confidencial: Informações sensíveis que requerem proteção especial contra acesso não autorizado.
  • Restrita: Informações de alto impacto, acessíveis apenas a um grupo limitado de pessoas autorizadas.

5. Controle de Acesso

O acesso aos sistemas e informações da NAI S/A é gerenciado com base nos seguintes controles:

  • Acesso concedido pelo princípio do menor privilégio (need-to-know).
  • Autenticação multifator (MFA) obrigatória para sistemas críticos.
  • Revisão periódica dos direitos de acesso.
  • Desativação imediata de acessos em casos de desligamento ou mudança de função.
  • Registro e monitoramento de acessos a sistemas e dados sensíveis.

6. Proteção de Dados e Sistemas

A NAI S/A implementa medidas técnicas e organizacionais para proteger seus ativos de informação:

  • Criptografia: Dados sensíveis são criptografados em trânsito (TLS/SSL) e em repouso.
  • Firewall e IDS/IPS: Sistemas de detecção e prevenção de intrusões são mantidos atualizados.
  • Antivírus e antimalware: Soluções de proteção são instaladas e atualizadas em todos os endpoints.
  • Backup: Backups regulares são realizados e testados periodicamente para garantir a recuperação de dados.
  • Atualizações: Patches de segurança são aplicados de forma tempestiva em todos os sistemas.

7. Gestão de Incidentes de Segurança

A NAI S/A mantém um processo estruturado para gestão de incidentes de segurança:

  • Identificação e registro de incidentes em tempo hábil.
  • Classificação e priorização conforme impacto e urgência.
  • Contenção, erradicação e recuperação de incidentes.
  • Comunicação aos envolvidos e às autoridades competentes, quando aplicável (conforme LGPD — Lei 13.709/2018).
  • Análise pós-incidente para identificação de melhorias.

8. Segurança Física

Os ambientes físicos que abrigam ativos de informação são protegidos por:

  • Controle de acesso físico com identificação e registro.
  • Monitoramento por câmeras de segurança (CFTV).
  • Proteção contra desastres naturais, incêndios e falhas de energia.
  • Descarte seguro de mídias e documentos físicos contendo informações sensíveis.

9. Conscientização e Treinamento

Todos os colaboradores e prestadores de serviço recebem treinamento periódico sobre:

  • Boas práticas de segurança da informação.
  • Identificação de ameaças como phishing, engenharia social e malware.
  • Procedimentos de resposta a incidentes.
  • Responsabilidades individuais na proteção de dados.

10. Conformidade Legal e Regulatória

Esta política está alinhada com as seguintes normas e legislações:

  • LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018).
  • ISO/IEC 27001 — Sistema de Gestão de Segurança da Informação.
  • ISO/IEC 27002 — Código de práticas para controles de segurança da informação.
  • Marco Civil da Internet — Lei 12.965/2014.

11. Responsabilidades

  • Alta Direção: Aprovar e apoiar a implementação desta política.
  • Equipe de TI/Segurança: Implementar e monitorar os controles de segurança.
  • Gestores: Garantir a conformidade de suas equipes com esta política.
  • Colaboradores: Cumprir as diretrizes desta política e reportar incidentes.
  • DPO (Encarregado de Dados): Supervisionar a conformidade com a LGPD e esta política.

12. Sanções

O descumprimento desta política pode resultar em medidas disciplinares, incluindo advertência, suspensão ou rescisão contratual, além de responsabilização civil e criminal conforme a legislação vigente.

13. Revisão

Esta política é revisada anualmente ou sempre que houver mudanças significativas no ambiente de negócios, tecnológico ou regulatório da NAI S/A.

14. Contato

Para dúvidas, sugestões ou relatos de incidentes de segurança, entre em contato:

NAI S/A
Endereço: Avenida Doutor José Bonifácio Coutinho Nogueira, nº 150, térreo, Jardim Madalena, Campinas, SP, CEP 13091-611
Telefone: (11) 5200-1015
E-mail: seguranca@nai-it.com
Site: www.nai-it.com.br

Voltar