Política de Classificação da Informação

1. Objetivo

Informar as diretrizes de classificação da informação que deverão ser seguidas por todos os profissionais, prestadores de serviços e parceiros da NEKI.

Esta política está em concordância com a Política de Segurança da Informação corporativa e é dever de todos os profissionais conhecê-la, seguir e respeitar suas diretrizes.

2. Abrangência

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

3. Definições

INFORMAÇÃO: Dados que são processados, armazenados, transmitidos ou apresentados em qualquer forma, que têm valor para a organização.

4. Responsabilidades

COLABORADORES

Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço, por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da empresa.

  • Classificar e rotular as informações.

  • Proteger as informações conforme requisitos da política.

  • Informar desvios ou vulnerabilidades.

GERÊNCIA DE TECNOLOGIA

  • Fornece ferramentas e mecanismos para salvaguardar informações conforme classificação.

  • Determinar formas de garantir que somente as pessoas necessárias têm os acessos devidos.

COMITÊ DE SEGURANÇA DA INFORMAÇÃO

  • Analisar e criticar direitos de acesso.

  • Analisar e criticar classificações.

  • Determinar templates e formas de rotular informações.

5. Diretrizes

Essa política utiliza o processo de classificação da informação quanto à necessidade de proteção contra revelação. Para isso, todo e qualquer tipo de informação criada e/ou armazenada dentro das instalações da empresa deverá ser classificada por uma das seguintes opções:

  • Pública: São informações com conteúdo público para pessoas que trabalham interna ou externamente à empresa. Em geral, as informações já disponíveis na mídia ou que, por definição, lei ou regra são públicas.

  • Interna: São informações relacionadas normalmente com a organização interna da empresa e que, caso reveladas para pessoas que não mantém vínculo com ela, podem expor sua importância e estimular eventuais fraudes.

  • Restrita: São informações de importância especial para a empresa. A perda ou revelação dessas informações pode fazer com que a empresa tenha suas metas, ou parte delas, comprometidas, gerando como resultado prejuízos, tanto financeiros como de imagem. São informações restritas a uma área ou grupo de pessoas específico.

  • Confidencial: São informações de importância crucial para os objetivos da empresa, podendo abordar diversos assuntos, como estratégia empresarial, chaves privativas dos clientes e riscos associados. Sua revelação prematura ou indesejada pode acarretar sérios problemas para a administração, gerando prejuízos financeiros e comprometendo a participação ou competitividade no mercado. Essas informações devem ser protegidas por criptografia ou restritas a um grupo específico de pessoas autorizado a acessá-las.

5.1. Pública

Atividade

 Descrição

Definição

Informações que podem ser divulgadas para o público em geral, incluindo clientes, fornecedores, imprensa, concorrentes e outros.

Informações já disponíveis na internet, redes sociais abertas.

Acesso

Não há restrições de acesso a uma informação, quando ela é classificada como pública.

Divulgação

Uma informação classificada como pública pode ser divulgada interna e externamente sem qualquer autorização prévia. Geralmente essa informação já foi publicada anteriormente e não compromete, de forma alguma, nenhum departamento especificamente ou a empresa como um todo.

Armazenamento

Não há restrições quanto ao nível de armazenamento.

Transporte

Não há restrições quanto aos requisitos de segurança realizados no transporte.

Descarte

Não há restrições quanto ao descarte dela (documentos e/ou mídias).

Rotulagem

Documentos notadamente públicos não precisam ser rotulados após aprovação de divulgação. Se houver qualquer dúvida quanto a classificação da informação, ela deve ser tratada como restrita.

LGPD

Dados disponíveis nos sites do governo, protegidos pela lei da transparência, além de dados divulgados pelo titular em locais e redes públicas.

Exemplos

Apresentação institucional, mídias sociais, materiais de campanhas de marketing.

    5.2. Interna

    Atividade

    Descrição

    Definição

    Informações que podem ser divulgadas para todos os profissionais e estagiários. Também podem ser divulgadas a prestadores de serviços da empresa envolvidos nos processos e atividades.

    Acesso

    O acesso deve ser controlado de forma a somente os envolvidos terem acesso a essa informação.

    Divulgação

    Uma informação classificada como interna merece uma atenção maior no aspecto de divulgação quando comparada com a pública.

    Esse tipo informação pode ser divulgado para todos os colaboradores da empresa sem qualquer restrição. Entretanto deve ter seu conteúdo protegido contra qualquer pessoa que não faça parte dos quadros da empresa.

    Não se deve falar sobre as ações classificadas como internas com qualquer pessoa de fora, seja familiar, amigo ou terceiro.

    Armazenamento

    Por necessitar de um mínimo de segurança, deve-se evitar deixar esse tipo de informação de forma desprotegida:

    Informações na rede:

    • Bloquear a máquina quando não estiver sob a sua guarda.

    • Não utilizar a máquina ou se logar utilizando a conta de outro usuário.

    • Evitar salvar qualquer tipo de informação fora das pastas na rede da empresa.

    Documentos:

    • Guardá-los em ambiente controlado de modo a não os deixar à vista.

    • Rotulá-los de forma a ficar bem explícito sua classificação.

    Mídias:

    • Guardá-las em ambiente controlado de modo a não as deixar à vista.

    • Criptografar a mídia de forma a proteger seus dados.

    Transporte

    Ao transportar esse tipo de informação, deve-se garantir que pessoas que não sejam colaboradores da empresa não tenham acesso à mesma. Autorizações serão concedidas somente sob as condições descritas no item Direito de Propriedade.

    Descarte

    Antes de ser descartado:

    • Os documentos devem ser picotados de modo que seu conteúdo fique incompreensível ou ilegível;

    • As mídias magnéticas devem ser inutilizadas (por destruição do seu conteúdo ou inutilizando-as fisicamente de maneira que não possam ser reconstituídas).

    Rotulagem

    A capa ou rodapé do documento devem estar rotuladas como documento interno. Informações como tickets no sistema de serviço, e ferramentas que possuem controle de classificação próprio não precisam ser rotuladas. Se houver qualquer dúvida quanto a classificação da informação, ela deve ser tratada como restrita.

    LGPD

    Nome, função, e-mail, telefone corporativo.

    Exemplos

    Documentos de processo, políticas internas, cronogramas.

    5.3. Restrita

    Atividade

    Descrição

    Definição

    Informações que podem ser divulgadas para todos os profissionais e estagiários. Também podem ser divulgadas a prestadores de serviços da empresa envolvidos nos processos e atividades.

    Acesso

    O acesso deve ser controlado de forma a somente os envolvidos terem acesso a essa informação.

    Divulgação

    Uma informação classificada como interna merece uma atenção maior no aspecto de divulgação quando comparada com a pública.

    Esse tipo informação pode ser divulgado para todos os colaboradores da empresa sem qualquer restrição. Entretanto deve ter seu conteúdo protegido contra qualquer pessoa que não faça parte dos quadros da empresa.

    Não se deve falar sobre as ações classificadas como internas com qualquer pessoa de fora, seja familiar, amigo ou terceiro.

    Armazenamento

    Por necessitar de um mínimo de segurança, deve-se evitar deixar esse tipo de informação de forma desprotegida:

    Informações na rede:

    • Bloquear a máquina quando não estiver sob a sua guarda.

    • Não utilizar a máquina ou se logar utilizando a conta de outro usuário.

    • Evitar salvar qualquer tipo de informação fora das pastas na rede da empresa.

    Documentos:

    • Guardá-los em ambiente controlado de modo a não os deixar à vista.

    • Rotulá-los de forma a ficar bem explícito sua classificação.

    Mídias:

    • Guardá-las em ambiente controlado de modo a não as deixar à vista.

    • Criptografar a mídia de forma a proteger seus dados.

    Transporte

    Ao transportar esse tipo de informação, deve-se garantir que pessoas que não sejam colaboradores da empresa não tenham acesso à mesma. Autorizações serão concedidas somente sob as condições descritas no item Direito de Propriedade.

    Descarte

    Antes de ser descartado:

    • Os documentos devem ser picotados de modo que seu conteúdo fique incompreensível ou ilegível;

    • As mídias magnéticas devem ser inutilizadas (por destruição do seu conteúdo ou inutilizando-as fisicamente de maneira que não possam ser reconstituídas).

    Rotulagem

    A capa ou rodapé do documento devem estar rotuladas como documento interno. Informações como tickets no sistema de serviço, e ferramentas que possuem controle de classificação próprio não precisam ser rotuladas. Se houver qualquer dúvida quanto a classificação da informação, ela deve ser tratada como restrita.

    LGPD

    Nome, função, e-mail, telefone corporativo.

    Exemplos

    Documentos de processo, políticas internas, cronogramas.

      5.4. Confidencial

      Atividade

      Descrição

      Definição

      Uma informação para ser classificada como confidencial, tem valor suficiente para dar acesso aos ambientes de produção da empresa, burlar ou fraudar algum sistema de segurança ou, cujo acesso indevido ao seu conteúdo, coloque em risco algum projeto de extrema importância e/ou os negócios da empresa como um todo, ou de clientes.

      Informações de alto nível de sigilo, as quais, se divulgadas indevidamente, podem causar danos e prejuízos a NEKI ou a terceiros. Seu uso requer medidas de controle e proteção rigorosas contra acessos, cópias, reproduções ou divulgação não autorizadas.

      Acesso

      Deve-se evitar enviar este tipo de informação por e-mail ou outras formas de envio, a menos que elas sejam criptografas e protegidas.

      Um pequeno número de pessoas deve ter acesso a informações confidenciais, de modo a reduzir ao máximo a possibilidade de vazamento. Os colaboradores com acesso a esse tipo de informação precisam de autorização e justificativa para lidar com dados desse valor. 

      Divulgação

      Esse tipo de informação não deve ser divulgado sob hipótese alguma. Caso exista uma real necessidade de revelação dessa informação, a mesma só será realizada depois de devidamente autorizada pelo Encarregado de Proteção de Dados ou a Diretoria, e firmado um acordo de preservação de sigilo e integridade entre ambas as partes, informando as possíveis penalidades e/ou sanções que o infrator estará sujeito.

      Se possível, a informação (por exemplo, a senha de uma máquina de produção) deverá ser trocada logo após a ocorrência da contingência.

      Não se deve falar sobre as ações classificadas como confidenciais com qualquer pessoa de fora, seja familiar, amigo ou terceiro. A divulgação destas informações é passível das sanções disciplinares aplicáveis, conforme Política de sanções.

      Armazenamento

      Por se tratar de informações com conteúdo crítico, é preciso que se mantenha o maior nível possível de segurança ao armazená-las:

      Informações na rede:

      • Bloquear a máquina quando não estiver sob a sua guarda.

      • Não utilizar a máquina ou se logar com a conta de outro usuário.

      • Salvar essas informações em diretórios com esse propósito e utilizar recursos adicionais de segurança (criptografia, identificação digital etc.).

      • Guardar cópia de segurança de certificado digital e par de chaves utilizado, de modo que, numa emergência, o conteúdo possa ser recuperado.

      Documentos:

      • Armazenar, trancado, em ambiente seguro (preferencialmente cofres) com registro de logs.

      • Guardar a chave referente ao item anterior em local seguro.

      Mídias:

      • Manter criptografado.

      • Armazenar, trancado, em ambiente seguro (preferencialmente cofres) com registro de logs.

      • Guardar a chave referente ao item anterior em local seguro.

      Transporte

      O transporte desse tipo de informação deve ser feito utilizando o máximo em recursos de segurança (envelopes lacrados, sacos opacos lacrados etc.), de modo que o seu conteúdo não fique explícito durante o percurso. Todo o processo de transporte deve ser devidamente registrado com data, horário, nome do responsável e número de série do envelope, dada a sensibilidade desse tipo de informação.

      Devido ao valor que esse tipo de informação possui, deve-se garantir que somente pessoas autorizadas tenham acesso ao material transportado.

      Descarte

      Antes de ser descartado:

      • Os documentos devem ser picotados de modo que seu conteúdo fique incompreensível ou ilegível.

      • As mídias magnéticas devem ser inutilizadas (por destruição do seu conteúdo – essa aplicação deve ser aprovada pela área de Segurança – ou inutilizando-as fisicamente de maneira que não possam ser reconstituídas).

      Rotulagem

      A capa ou rodapé do documento devem estar rotulados como documento confidencial. O acesso a seu conteúdo deve deixar claro que é uma informação privilegiada e confidencial.

      LGPD

      Dados pessoais sensíveis ou estruturados.

      Exemplos

      Senhas, análises de riscos, análises de vulnerabilidades, informações estratégicas.

      Qualquer informação que não esteja rotulada deverá ser tratada como RESTRITA Á ÁREA.

      6. Penalidades

      O descumprimento das diretrizes desta política, mesmo que por mero desconhecimento, sujeitará o infrator a sanções administrativas, incluindo a aplicação de advertências verbal ou escrita, demissão por justa causa ou rescisão contratual, bem como sujeitará o infrator às demais penalidades administrativas, cíveis e penais previstas na legislação brasileira.

      É dever de todo colaborador comunicar ao Gestor a ocorrência de incidente que afete a segurança da informação, que por sua vez escalará a Diretoria Executiva para análise, quando assim for necessário.

        Versão 1.0 – 24 de Fevereiro de 2025