Política de Segurança da Informação do Grupo BAG (BACHMANN Advisory Group)

1. Introdução

A segurança da informação é uma prioridade fundamental no Grupo BAG (BACHMANN Advisory Group) e na Complym AI. Como líderes em conformidade e soluções de Inteligência Artificial, garantimos que todos os dados, especialmente os confidenciais, sejam protegidos contra ameaças, acessos não autorizados e violações de privacidade. Esta política descreve os princípios e controles que implementamos para assegurar a proteção da informação dentro de nossas operações.

2. Objetivo

O objetivo desta Política de Segurança da Informação é proteger a integridade, confidencialidade e disponibilidade de todas as informações processadas pela BAG e suas subsidiárias. Ela se aplica a todos os colaboradores, prestadores de serviços, parceiros e quaisquer terceiros que tenham acesso aos nossos sistemas de informação.

3. Princípios de Segurança

3.1. Confidencialidade

Asseguramos que informações confidenciais, pessoais ou sensíveis, sejam acessadas apenas por pessoas autorizadas e exclusivamente para finalidades legítimas e necessárias.

3.2. Integridade

Implementamos mecanismos para garantir que as informações armazenadas e processadas sejam precisas, completas e estejam protegidas contra modificações indevidas ou destrutivas.

3.3. Disponibilidade

Nossas soluções, especialmente as de IA da Complym AI, são desenvolvidas e mantidas para garantir que as informações e os sistemas estejam sempre disponíveis para os usuários autorizados, minimizando riscos de interrupção.

4. Responsabilidades e Obrigações

4.1. Colaboradores e Prestadores de Serviços

Todos os colaboradores e prestadores de serviços são responsáveis por proteger as informações às quais têm acesso. Devem seguir estritamente as diretrizes de segurança, relatando imediatamente qualquer incidente ou violação de segurança ao time responsável.

4.2. Equipe de Segurança da Informação

Nossa equipe de Segurança da Informação é responsável pela implementação e gestão de políticas, diretrizes e controles de segurança, além de realizar auditorias regulares e treinamentos contínuos para garantir a conformidade com as melhores práticas de segurança cibernética.

5. Controle de Acesso

5.1. Autenticação e Autorização

O acesso a sistemas e informações é restrito a pessoas autorizadas, por meio de métodos robustos de autenticação, como autenticação multifator (MFA). Direitos de acesso são concedidos de acordo com a necessidade de função e responsabilidade de cada colaborador.

5.2. Revisão de Acesso

Realizamos revisões periódicas de todos os privilégios de acesso para garantir que apenas as pessoas corretas tenham os direitos necessários, ajustando ou removendo acessos conforme necessário.

6. Proteção de Dados

6.1. Criptografia

As informações sensíveis e confidenciais são protegidas por criptografia, tanto durante o armazenamento (em repouso) quanto durante a transmissão (em trânsito). Utilizamos os mais altos padrões de criptografia para proteger os dados contra acessos indevidos.

6.2. Backup e Recuperação

Mantemos políticas de backup e recuperação de dados para garantir que informações cruciais sejam restauradas em caso de falha de sistema ou incidente de segurança. Backups são realizados regularmente e armazenados em locais seguros.

7. Monitoramento e Auditoria

7.1. Monitoramento Contínuo

Monitoramos continuamente nossos sistemas e redes em busca de atividades suspeitas ou anômalas, utilizando ferramentas avançadas de detecção de ameaças, incluindo IA para garantir respostas rápidas a possíveis incidentes de segurança.

7.2. Auditorias Internas

Realizamos auditorias de segurança periódicas para avaliar a eficácia de nossas práticas de segurança e identificar potenciais áreas de melhoria. Nossas auditorias são realizadas internamente e, quando necessário, por especialistas externos.

8. Gestão de Incidentes de Segurança

8.1. Resposta a Incidentes

Em caso de incidentes de segurança, implementamos um plano de resposta a incidentes que inclui a identificação, contenção, erradicação e recuperação de ameaças. Todos os incidentes são registrados e investigados minuciosamente.

8.2. Comunicação de Incidentes

Colaboradores e terceiros devem notificar imediatamente a equipe de Segurança da Informação ao identificar qualquer violação de segurança, vazamento de dados ou anomalia que possa comprometer as informações ou sistemas da BAG.

9. Treinamento e Conscientização

9.1. Educação Contínua

Todos os colaboradores e prestadores de serviços participam de treinamentos periódicos de segurança da informação, com foco em conscientização sobre boas práticas de segurança cibernética, identificação de ameaças e medidas preventivas.

9.2. Simulações de Ataque

Realizamos simulações de ataques (testes de intrusão) para avaliar a eficácia dos controles de segurança e a prontidão de nossos colaboradores em reconhecer e responder a ameaças cibernéticas.

10. Política de Uso Adequado de TI

10.1. Uso Adequado dos Sistemas

Os recursos de TI da BAG, incluindo redes, e-mails e dispositivos, devem ser utilizados exclusivamente para fins comerciais autorizados. É proibido o uso inadequado de sistemas que possa comprometer a segurança da informação ou prejudicar a reputação da empresa.

10.2. Proibição de Software Não Autorizado

Somente softwares autorizados pela equipe de TI podem ser instalados e utilizados nos sistemas da BAG. A instalação de softwares não autorizados ou a realização de downloads que comprometam a segurança é expressamente proibida.

11. Revisão e Atualização da Política

Esta Política de Segurança da Informação será revisada periodicamente para garantir sua eficácia e alinhamento com as melhores práticas de segurança cibernética, as mudanças tecnológicas e os requisitos regulatórios.

12. Contato

Em caso de dúvidas sobre esta política ou sobre práticas de segurança da informação no Grupo BAG, entre em contato com nossa equipe de segurança:

E-mail:

[email protected]

Telefone+55 11 97566-7007