Diretrizes de Desenvolvimento
26. Política de Procedimento de Expurgo de Informações Pós Distrato

Política de Procedimento de Expurgo de Informações Pós Distrato

1. Introdução

A segurança da informação é essencial para a integridade e reputação de nossa organização. Esta política estabelece diretrizes para o expurgo seguro de informações, tanto físicas quanto lógicas, após o término de contratos (distrato), garantindo conformidade com as melhores práticas globais e regulamentações aplicáveis.

2. Objetivo

Definir procedimentos claros e eficazes para o expurgo seguro de todas as informações relacionadas a clientes, parceiros e terceiros após o distrato, minimizando riscos de vazamento de dados e assegurando a conformidade com leis e normas vigentes.

3. Escopo

Esta política se aplica a todos os colaboradores, contratados, fornecedores e parceiros que lidam com informações armazenadas ou processadas pela nossa organização, incluindo dados hospedados em serviços de nuvem como a AWS.

4. Responsabilidades

  • Diretoria Executiva: Apoiar e promover o cumprimento desta política.
  • Gestão de TI: Garantir a implementação e manutenção dos procedimentos descritos.
  • Equipe de Segurança da Informação: Monitorar a conformidade e conduzir auditorias periódicas.
  • Colaboradores e Terceiros: Cumprir os procedimentos estabelecidos e reportar quaisquer desvios.

5. Procedimentos

5.1. Expurgo de Informações Lógicas

5.1.1. Identificação e Catalogação

  • Mapeamento de Dados: Identificar todos os locais onde os dados do cliente são armazenados, incluindo bancos de dados, sistemas de arquivos, backups e logs.
  • Inventário de Ativos: Manter um inventário atualizado de todos os ativos de informação relacionados.

5.1.2. Planejamento do Expurgo

  • Análise de Impacto: Avaliar o impacto do expurgo nos sistemas e serviços.
  • Cronograma: Estabelecer datas e horários para a execução das atividades, minimizando interrupções.

5.1.3. Métodos de Expurgo

  • Sobrescrita Segura: Utilizar técnicas de sobrescrita múltipla conforme as diretrizes do NIST SP 800-88 Rev.1.
  • Destruição de Chaves Criptográficas: Quando aplicável, destruir as chaves para tornar os dados inacessíveis.
  • Serviços AWS:
    • Amazon S3: Configurar políticas de ciclo de vida para exclusão automática e permanente de objetos.
    • Amazon RDS e DynamoDB: Excluir instâncias e snapshots, garantindo a remoção completa dos dados.
    • Amazon EBS: Excluir volumes e utilizar a opção de exclusão segura.
    • AWS Backup: Verificar e remover backups associados.

5.1.4. Verificação e Validação

  • Testes de Confirmação: Utilizar ferramentas especializadas para verificar a efetividade do expurgo.
  • Documentação: Registrar evidências do processo, incluindo logs e relatórios de atividades.

5.2. Expurgo de Informações Físicas

5.2.1. Identificação de Dispositivos

  • Localização de Hardware: Identificar todos os dispositivos físicos que contêm dados do cliente, como servidores, discos rígidos e mídias removíveis.

5.2.2. Métodos de Destruição

  • Destruição Física: Realizar a trituração ou desmagnetização dos dispositivos conforme as normas ISO/IEC 21964.
  • Devolução Controlada: Se os dispositivos forem propriedade do cliente ou de terceiros, realizar a devolução seguindo protocolos de segurança.

5.2.3. Registro do Processo

  • Certificados de Destruição: Obter e arquivar certificados emitidos por empresas especializadas.
  • Inventário Atualizado: Atualizar o inventário de ativos para refletir a destruição ou remoção dos dispositivos.

6. Conformidade e Auditoria

  • Regulamentações Aplicáveis: Assegurar conformidade com LGPD, GDPR, ISO/IEC 27001 e outras normas relevantes.
  • Auditorias Internas: Realizar auditorias semestrais para verificar a aderência aos procedimentos.
  • Relatórios de Conformidade: Gerar e manter relatórios detalhados para fins de auditoria e compliance.

7. Treinamento e Conscientização

  • Programas Educacionais: Fornecer treinamento regular aos colaboradores sobre procedimentos de expurgo e melhores práticas de segurança.
  • Atualizações de Política: Comunicar prontamente quaisquer alterações nesta política ou nos procedimentos associados.

8. Revisão e Atualização

  • Periodicidade: Esta política deve ser revisada anualmente ou conforme necessário devido a mudanças tecnológicas ou regulamentares.
  • Responsáveis pela Revisão: A Equipe de Segurança da Informação é responsável por conduzir as revisões e propor atualizações.

9. Consequências do Não Cumprimento

  • Medidas Disciplinares: O descumprimento desta política pode resultar em ações disciplinares, incluindo demissão por justa causa.
  • Responsabilidade Legal: Em casos de negligência ou má-fé, os responsáveis podem ser sujeitos a ações legais e penalidades previstas em lei.

10. Contato

Para dúvidas ou esclarecimentos sobre esta política, entre em contato com a Equipe de Segurança da Informação através do e-mail seguranca@toolzz.me.

25. Gestão de Projetos e Produtos27. Política de Destruição de Informações Físicas