Política de Destruição de Informações Físicas

1. Introdução

A proteção das informações físicas é essencial para garantir a segurança dos dados e a confiança de nossos clientes. Esta política estabelece diretrizes rigorosas para a destruição segura de informações físicas, incluindo dispositivos de armazenamento e documentos impressos, alinhada com as melhores práticas atuais e adaptada para a plataforma SaaS Toolzz LMS.

2. Objetivo

Estabelecer procedimentos detalhados para a destruição segura de informações físicas, assegurando que dados confidenciais sejam irrecuperáveis após o descarte e que a Toolzz LMS esteja em conformidade com todas as leis e normas aplicáveis.

3. Escopo

Esta política aplica-se a todos os colaboradores, contratados, fornecedores e parceiros que manuseiam informações físicas pertencentes à Toolzz LMS, incluindo, mas não se limitando a, dispositivos de armazenamento (HDs, SSDs, unidades flash) e documentos em papel.

4. Responsabilidades

• Diretoria Executiva: Garantir o apoio e a adesão integral a esta política.
• Departamento de TI: Implementar e supervisionar os procedimentos de destruição de dispositivos eletrônicos.
• Departamento Administrativo: Supervisionar a destruição de documentos impressos e outros materiais físicos.
• Equipe de Segurança da Informação: Monitorar a conformidade, realizar auditorias periódicas e atualizar a política conforme necessário.
• Todos os Colaboradores e Terceiros: Cumprir rigorosamente os procedimentos estabelecidos e reportar imediatamente quaisquer incidentes ou desvios.

5. Procedimentos

5.1. Identificação e Classificação de Materiais

• Inventário Detalhado: Manter um registro atualizado e detalhado de todos os dispositivos de armazenamento e documentos físicos.
• Classificação de Dados: Categorizar os materiais com base no nível de sensibilidade (Confidencial, Restrito, Interno, Público) para determinar os métodos adequados de destruição.

5.2. Destruição de Dispositivos Eletrônicos

5.2.1. Preparação

• Backup Obrigatório: Garantir que todos os dados necessários sejam devidamente transferidos e armazenados de forma segura antes da destruição.
• Autorização Formal: Obter aprovação por escrito da gerência responsável antes de proceder com a destruição.
• Verificação de Propriedade e Licenças: Confirmar que o dispositivo pertence à Toolzz LMS e que todas as licenças de software foram gerenciadas adequadamente.

5.2.2. Métodos de Destruição

• Desmagnetização Avançada: Aplicar processos de desmagnetização que atendam ou excedam as especificações do NIST SP 800-88 Rev.1.
• Destruição Física Certificada: Utilizar equipamentos industriais para pulverizar, triturar ou desintegrar dispositivos, garantindo que não possam ser reconstruídos ou recuperados.
• Destruição Química ou Térmica Controlada: Quando apropriado, utilizar métodos químicos ou térmicos em instalações especializadas, seguindo todas as regulamentações ambientais.

5.2.3. Procedimentos Específicos por Dispositivo

• Discos Rígidos (HDs) e Unidades de Estado Sólido (SSDs):
  • Remover de sistemas seguindo procedimentos antieletrostáticos.
  • Realizar desmagnetização seguida de destruição física.
• Mídias Removíveis (Pendrives, Cartões de Memória, CDs, DVDs):
  • Proceder com a fragmentação física e assegurar descarte adequado.
• Equipamentos Móveis (Smartphones, Tablets, Laptops):
  • Executar limpeza de dados com múltiplas sobrescritas criptográficas antes da destruição física.
• Equipamentos de Rede e Servidores:
  • Garantir que todos os componentes de armazenamento sejam identificados e destruídos conforme os procedimentos acima.

5.3. Destruição de Documentos Impressos e Materiais Sensíveis

5.3.1. Coleta e Armazenamento Seguros

• Recipientes de Segurança: Utilizar contentores resistentes, lacrados e identificados para a coleta de materiais destinados à destruição.
• Controle Rigoroso de Acesso: Restringir o acesso aos materiais coletados exclusivamente ao pessoal autorizado e treinado.

5.3.2. Métodos de Destruição

• Fragmentação de Alta Segurança: Utilizar fragmentadoras que atendam ao nível de segurança P-5 ou superior, conforme a norma DIN 66399, produzindo partículas impossíveis de serem reconstruídas.
• Pulverização ou Pulpação: Aplicar processos industriais que desagregam o material, tornando a reconstrução física ou química inviável.
• Serviços Especializados Certificados: Contratar empresas que possuam certificações reconhecidas internacionalmente e que forneçam certificados detalhados de destruição.

5.3.3. Procedimentos Operacionais

• Agendamento Estrito: Estabelecer cronogramas frequentes e obrigatórios para a destruição, evitando acúmulo de materiais sensíveis.
• Supervisão Obrigatória: Designar um responsável interno para supervisionar todo o processo de destruição, seja interno ou terceirizado.
• Transporte Seguro: Garantir que quaisquer materiais transportados para fora das instalações sejam acompanhados por pessoal autorizado e utilizem rotas e métodos seguros.

5.4. Registro e Documentação

• Certificados Detalhados de Destruição: Exigir documentos que descrevam o método utilizado, data, hora, local, materiais destruídos e pessoas envolvidas.
• Registro de Auditoria: Manter logs completos e imutáveis de todas as atividades de destruição, disponíveis para auditorias internas e externas.
• Atualização Imediata do Inventário: Refletir a destruição nos sistemas de inventário em tempo real, garantindo precisão dos registros.

6. Conformidade e Auditoria

• Regulamentações e Normas Aplicáveis: Assegurar conformidade com LGPD, ISO/IEC 27001, ISO/IEC 21964, NIST SP 800-88 Rev.1, entre outras.
• Auditorias Frequentes: Realizar auditorias trimestrais para verificar aderência total aos procedimentos e identificar oportunidades de melhoria.
• Relatórios de Conformidade: Elaborar relatórios detalhados e apresentá-los à alta direção e, quando exigido, às autoridades regulatórias.

7. Treinamento e Conscientização

• Programa de Capacitação Intensivo: Implementar treinamentos semestrais obrigatórios para todos os colaboradores, incluindo testes de compreensão e certificações internas.
• Atualizações e Boletins Informativos: Divulgar imediatamente quaisquer alterações na política ou nos procedimentos através de canais oficiais.
• Simulações e Exercícios Práticos: Realizar periodicamente exercícios para testar a prontidão e a compreensão dos procedimentos pelos colaboradores.

8. Segurança Ambiental e Sustentabilidade

• Descarte Ecológico: Garantir que todos os materiais sejam descartados de forma ambientalmente correta, em conformidade com as leis ambientais e políticas de sustentabilidade da Toolzz LMS.
• Parcerias Responsáveis: Trabalhar exclusivamente com fornecedores que possuam certificações ambientais e de gestão de resíduos reconhecidas.
• Monitoramento de Impacto Ambiental: Avaliar e reportar o impacto ambiental dos processos de destruição e buscar continuamente melhorias.

9. Revisão e Atualização

• Periodicidade Estrita: Esta política será revisada a cada 12 meses ou imediatamente após quaisquer mudanças legais, regulatórias ou tecnológicas relevantes.
• Processo de Revisão Formal: A revisão será conduzida por um comitê composto por membros da Equipe de Segurança da Informação, TI, Compliance e Alta Direção.
• Registro de Alterações: Todas as versões da política serão arquivadas, e as alterações documentadas em um histórico de modificações.

10. Consequências do Não Cumprimento

• Medidas Disciplinares Severas: Qualquer violação desta política resultará em ações disciplinares que podem incluir advertências formais, suspensão ou rescisão contratual.
• Responsabilidade Civil e Criminal: Em casos de negligência grave ou má-fé, os responsáveis poderão ser sujeitos a processos legais, penalidades financeiras e sanções criminais.
• Notificação às Autoridades: Violações que resultem em compromissos de segurança serão reportadas imediatamente às autoridades competentes, conforme exigido por lei.

11. Contato

Para esclarecimentos, dúvidas ou reportar incidentes relacionados a esta política, entre em contato com o Departamento de Segurança da Informação da Toolzz LMS:

• E-mail: seguranca@toolzz.me