Política Institucional de Segurança da Informação Netimóveis

O documento abaixo, revisado e validado em 5 de agosto de 2024, substitui todas as versões anteriores, que são consideradas obsoletas e não podem ser usadas.

Esta Política Institucional de Segurança da Informação da Netimóveis Holding S.A. doravante denominada Netimóveis Brasil:

• a)Visa prover diretrizes para a segurança da informação, relacionadas ao manuseio, controle, integrações de sistemas, proteção (contra indisponibilidade, divulgação imprópria, acesso indevido e modificação não autorizada de informações e de dados) e descarte, promovendo a melhoria contínua dos processos relacionados à segurança da informação, mantendo a confidencialidade, integridade e disponibilidade das informações Netimóveis Brasil;
• b)É elaborada e revisada, anualmente, por proposta no NITI, Núcleo de Inteligência da Tecnologia Imobiliária e da Área de Segurança da Informação da Netimóveis Brasil, a qual considera os resultados dos testes das auditorias interna e externa e as normas vigentes, bem como as sugestões encaminhadas pela Netimóveis Brasil;
• c)É aprovada pelo Conselho de Administração Netimóveis Brasil;
• d)É aplicável às informações armazenadas ou em trânsito;
• e)É observada por todos os componentes da estrutura organizacional das associadas da Netimóveis Brasil e pelas demais pessoas com acesso autorizado às informações;
• f)Tem o cumprimento acompanhado pela Diretoria da Netimóveis Brasil e pelas áreas responsáveis pela segurança da informação;
• g)É divulgada aos empregados da Netimóveis Brasil e a qualquer pessoa que mantenha relação de prestação de serviço com a Netimóveis Brasil.

Os atributos básicos para a segurança da informação da Netimóveis Brasil são: confidencialidade, integridade e disponibilidade.

As entidades seguem as regras e soluções dispostas pela Netimóveis Brasil que dispõem sobre a segurança da rede de dados e dos ativos de tecnologia, para garantir os atributos básicos para a segurança da informação de todas plataformas e serviços oferecidos pela Netimóveis Brasil.

A Netimóveis Brasil respeita a privacidade, zelando pela disponibilidade, integridade e confidencialidade dos dados pessoais, em todo o seu ciclo de vida, em qualquer formato de armazenamento ou suporte.

Aos ativos da informação são aplicados requisitos de classificação, de acordo com regras institucionalizadas definidas com base nos aspectos legais e necessidades do negócio, as quais estão definidos em manual.

Todo o acesso às informações e a utilização dos recursos corporativos poderá ser monitorado, não sendo permitido ao usuário o uso desses recursos para atividades que não estejam relacionadas ao exercício das suas funções.

O inventário dos ativos de informação deve ser realizado sempre que necessário ou, no mínimo, a cada 2 (dois) anos.

As informações devem ser classificadas de acordo com os requisitos de proteção esperados em termos de finalidade, sigilo, valor, requisitos legais, sensibilidade e necessidades do negócio, de modo que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Os documentos produzidos no ambiente da Netimóveis Brasil recebem, do responsável de cada área, o nível de classificação de acordo com as informações do conteúdo.

Informações confidenciais não serão discutidas em locais públicos ou de circulação de pessoas não ligadas à Netimóveis Brasil.

A Diretoria Executiva estabelece o ciclo de vida (recebimento, manuseio, transporte, armazenamento e/ou descarte) dos ativos de informação, adequado à classificação e aspectos legais de cada ativo.

As associadas (e seus prepostos) da Netimóveis Brasil assinam termo de responsabilidade e de confidencialidade relativos aos ativos de informação a que tiver acesso, incluindo os dados compartilhados com terceiros, seja diretamente ou por meio de integrações de sistemas.

O processo de desligamento dos empregados das associadas da Netimóveis Brasil deve, obrigatoriamente, garantir a devolução dos ativos em seu poder.

As instalações que abrigam informações, documentos e equipamentos de processamento de informação sensível devem ter perímetros de segurança com controles apropriados que garantem o acesso apenas a pessoas autorizadas, bem como mecanismos de prevenção a incêndios e outros tipos de sinistros.

A Netimóveis Brasil possui requisitos de segurança para o controle de acesso à rede, aos sistemas operacionais, às aplicações e às informações. Os sistemas sensíveis são isolados e o acesso à informação, restrito.

Qualquer acesso à informação deve ser previamente autorizado pela área competente, levando em conta estritamente as atividades desenvolvidas pelo usuário.

Para acessar os sistemas corporativos disponibilizados pela Netimóveis Brasil, o usuário deverá estar identificado, autenticado e autorizado. Suas ações poderão ser auditadas a qualquer tempo. Os acessos serão concedidos à medida que solicitados e autorizados pela área responsável.

Não é concedido acesso a usuários e entidades externas às redes da Netimóveis Brasil, seja eventual ou por meio de API's, sem autorização formal do gestor responsável pela área de segurança da Netimóveis Brasil.

A Netimóveis Brasil determina as regras de acesso e de bloqueio a páginas eletrônicas para que não haja comprometimento da segurança da informação, impacto nas regras de negócio e danos à imagem.

Os recursos de correio eletrônico corporativo são monitorados e serão utilizados para suporte das atividades desenvolvidas pela Netimóveis Brasil e seguem as regras de classificação da informação.

A gestão de acessos tem por objetivo estabelecer critérios para acesso aos sistemas eletrônicos utilizados pelas associadas da Netimóveis Brasil.

É atribuição do diretor de cada associada da Netimóveis Brasil designar formalmente os responsáveis pela gestão de acesso, bem como monitorar e assegurar que as políticas sistêmicas e procedimentos relativos à gestão de acessos sejam adotados e praticados.

As rotinas relacionadas à gestão de acesso às plataformas e aos sistemas corporativos da Netimóveis Brasil deverão, de preferência, ser realizadas exclusivamente pelo NITI.

A matriz, grupos e permissões de acesso deverão respeitar a hierarquia de atividades, cargos ou funções, impedindo que ocorram acessos conflitantes e cumulativos, mitigando a possibilidade de riscos operacionais, financeiros e ocorrência de fraudes.

As revisões de acesso devem ser realizadas de forma continuada, a fim de garantir a inativação de usuários indevidos, a revisão das permissões concedidas e a existência de perfis de acesso com privilégio maior do que o necessário para execução das atividades. No mínimo anualmente, deve ser realizada a revisão integral dos acessos concedidos.

É prerrogativa dos gestores de negócio apontar os acessos conflitantes e cumulativos que podem incorrer em riscos e solicitar ajustes na concessão de acessos.

A Netimóveis Brasil define as regras referentes a guarda dos dados e informações acessadas por toda a rede.

A Netimóveis Brasil determina as regras de acesso e integrações de sistemas de terceiros, incluindo aquelas por meio de API's, para que não haja comprometimento da segurança da informação, impacto nas regras de negócio e danos à imagem.

Os vazamentos de dados porventura ocorridos por meio de sistemas de terceiros, contratados pelas associadas da rede, serão da inteira e exclusiva responsabilidade das associadas, incluindo as penalidades previstas por lei no contrato.

As informações produzidas no ambiente das associadas, por meio de recursos próprios ou de serviços contratados, são de inteira responsabilidade das associadas.

As senhas de acesso são individuais, intransferíveis, de responsabilidade única e exclusiva do usuário e não podem ser compartilhadas ou divulgadas. As senhas respeitarão regras de complexidade mínima definidas.

Todos os softwares utilizados deverão ser licenciados. Não devem ser instalados, conectados e utilizados softwares não autorizados pela Netimóveis Brasil, independentemente da natureza de uso ou aplicação. Deve-se respeitar o direito à propriedade intelectual, na forma da legislação em vigor, não reproduzindo ou divulgando material sem a autorização do autor.

Para os contratos firmados com terceiros deve-se incluir cláusulas de cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), de confidencialidade, de acordo de nível de serviço e em cumprimento a todas as regras definidas nesta Política e nos documentos a ela subordinados.

As cópias de segurança e a restauração de informações são realizadas segundo parâmetros de criticidade, prioridade, bem como observando regras específicas de geração e restauração, conforme a classificação da informação.

O acesso remoto e o monitoramento dos trabalhos realizados devem respeitar as recomendações de segurança de forma a garantir a integridade, a disponibilidade e a confidencialidade das informações manipuladas.

A utilização e a gestão de sistemas de informação devem estar de acordo com as leis, contratos e em conformidade com políticas e padrões de segurança sistêmicos da Netimóveis Brasil.

Os registros de logs são armazenados em bases segregadas, por período fixado, para registrar acessos a sistemas computacionais e a serviços de rede.

A Netimóveis Brasil define processos para aquisição, desenvolvimento e manutenção de sistemas de informação que garantam os atributos definidos por esta Política.

As normas dos órgãos reguladores prevalecem sobre esta Política, sempre que houver divergência ou conflito.

Complementam a presente Política, e a ela se subordinam, todas as normas e procedimentos operacionais que regulam a segurança da informação da Netimóveis Brasil.