Century Data

Política de Segurança
da Informação

1. Objetivo

A segurança da informação é um dos assuntos mais importantes para toda empresa. Desta forma, este documento apresenta um conjunto de instruções para normatizar e promover o entendimento e conscientização sobre o tema na Century Data, prevenindo perdas, danos e/ou acessos não autorizados.

2. Abrangência

As instruções estabelecidas neste documento aplicam-se a todos os administradores, colaboradores, prestadores de serviços, parceiros, que tenham quaisquer tipos de acesso às informações que pertençam a Century Data e/ou a seus clientes.

3. Introdução

O presente documento define a política de Segurança da Informação da Century Data, buscando assegurar os critérios de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade para proteger seus ativos físicos, lógicos e suas informações.

3.1. Confidencialidade
Visa assegurar o acesso às informações somente para pessoas autorizadas, num período acordado, podendo por exemplo, ser o período de permanência na empresa, o período de vínculo com a empresa.

3.2. Integridade
Visa assegurar que quaisquer informações não tenham sofrido nenhuma alteração sem prévia autorização dos seus responsáveis, com ciência expressa da alta liderança.

3.3. Disponibilidade
Visa assegurar o acesso de quaisquer informações sempre que houver a real necessidade e devida aprovação.

3.4. Autenticidade
Visa assegurar que a informação é proveniente de fonte anunciada e segura, sem ter sofrido quaisquer alterações ao longo do processo.

3.5. Legalidade/Legitimidade
Visa assegurar o consentimento explícito do titular de dados, para tratamento, salvo em situações nas quais haja indispensabilidade para cumprimento legal.

4. Responsabilidades

4.1. Alta Liderança da Century Data
Garantir o compromisso da empresa com a segurança da informação, alocar recursos e aprovar as iniciativas que promovam Segurança da Informação.

4.2. Colaborador
Cumprir a política, reportar incidentes, proteger suas credenciais e utilizar os recursos da empresa de forma responsável.

4.3. Equipe de Segurança da Informação
Implementar e manter os controles de segurança, providenciar a realização de pentest, tratar incident response e fornecer treinamento aos funcionários.

A Equipe de Segurança em particular, é responsável por estabelecer, através de definição de políticas, padrões, procedimentos e controles, a confidencialidade, integridade, disponibilidade, autenticidade e a legalidade/legitimidade das informações contidas nos ambientes da Century Data, minimizando possíveis impactos e vulnerabilidades e reduzindo a ocorrência de incidentes de segurança que comprometam seus negócios e suas principais atribuições.

5. Gestão e Controle de Acessos

A Century Data deve conceder e restringir o acesso aos recursos da informação apenas aos usuários autorizados, com base em suas funções e necessidades, considerando os seguintes recursos e estratégias:

5.1. Autenticação

5.1.1. MFA
Uso de mecanismos de autenticação robustos, como o Múltiplo Fator de Autenticação.

5.1.2. Senhas
Utilização de senhas fortes e exclusivas para cada sistema e aplicação. Uso de gerenciadores de senhas.

5.1.3. Autenticação baseada em Certificados
Para aplicações que exigem alto nível de segurança.

5.2. RBAC (Role-Based Access Control)

5.2.1. Princípio do Menor Privilégio
Os usuários da devem ter apenas os privilégios necessários para realizar suas tarefas.

5.2.2. Acesso baseado em funções
O acesso é definido com base nas funções dos usuários na organização.

5.2.3. Revisões Periódicas de Acessos
Os acessos devem ser revisados periodicamente para garantir que continuem sendo apropriados.

5.3. Gerenciamento de Identidade de Acessos
Gerenciamento das identidades e dos acessos de forma centralizada por IAM.

O detalhamento dessas orientações consta na Norma: Controle de Acessos – NOR 01.

6. Proteção contra Ameaças

A Century Data deve conceder e restringir o acesso aos recursos da informação apenas aos usuários autorizados, com base em suas funções e necessidades, considerando os seguintes recursos e estratégias:

6.1. Segurança de Rede

6.1.1. Firewalls
A Century Data usa firewalls para controlar o tráfego de rede.

6.1.2. IDS/IPS
Utilização de sistemas de detecção e prevenção de intrusão para monitorar e bloquear ataques.

6.1.3. Segmentação de Rede
A Century Data divide a rede em segmentos para limitar o impacto de incidentes.

6.1.4. VPN
O uso de VPN é obrigatório para acesso remoto à rede corporativa da Century Data.

6.2. Segurança em Aplicações

6.2.1. Desenvolvimento Seguro (SDLC)
Todos os projetos de desenvolvimento devem seguir uma metodologia SDLC robusta, incluindo análise de riscos, testes de segurança e revisões de código.

6.2.2. Segurança de APIs
Implementar mecanismos de autenticação e autorização robustos em todas as APIs, além de proteger contra ataques comuns como injection e DDoS.

6.2.3. Gerenciamento de Patches
Manter todos os softwares e sistemas atualizados com os patches de segurança mais recentes.

6.2.4. Validação de Entrada
Implementar rigorosas validações de entrada em todas as aplicações para prevenir ataques de injeção.

6.3. Proteção contra Malware

6.3.1. Engenharia Social
Implementar treinamentos regulares sobre engenharia social para conscientizar os colaboradores sobre os riscos de phishing, spear phishing e outros ataques.

6.3.2. Sandbox
Utilizar ambientes isolados (sandbox) para analisar arquivos suspeitos antes de abri-los em produção.

O detalhamento dessas orientações consta na Norma: Prevenção de Vulnerabilidades – NOR 02.

7. Monitoramento e Auditoria

A Century Data deve conceder e restringir o acesso aos recursos da informação apenas aos usuários autorizados, com base em suas funções e necessidades, considerando os seguintes recursos e estratégias:

7.1. Registro de Logs

7.1.1. Logs de Acesso e Eventos
Coletar logs de todos os sistemas, incluindo firewalls, servidores, dispositivos de rede e aplicações.

7.1.2. Centralização de Logs
Consolidar os logs em um sistema centralizado para facilitar a análise e a correlação de eventos.

7.1.3. Retenção de Logs
Definir políticas de retenção de logs adequadas, considerando requisitos legais e regulatórios.

7.2. Monitoramento de Rede

7.2.1. Análise de Tráfego
Utilizar ferramentas de análise de tráfego para identificar padrões de comportamento suspeitos e detectar intrusões.

7.2.2. Detecção de Anomalias
Implementar sistemas de detecção de anomalias para identificar atividades fora do padrão.

7.2.3. Monitoramento Contínuo
Realizar monitoramento contínuo da rede para detectar ameaças em tempo real.

O detalhamento dessas orientações consta na Norma: Monitoramento e Auditoria – NOR 03.

8. Gestão de Incidentes de Segurança da Informação

8.1. Resposta a Incidentes

8.1.1. Comunicação
Estabelecer um plano de comunicação claro para informar os stakeholders sobre incidentes de segurança.

8.1.2. Escalonamento
Definir um processo de escalonamento de incidentes para garantir uma resposta rápida e eficaz.

8.1.3. Contenção
Implementar medidas para conter a propagação de incidentes.

8.1.4. Erradicação
Remover a causa raiz do incidente.

8.1.5. Recuperação
Restaurar os sistemas e dados afetados.
Procedimentos para detecção, resposta e recuperação de incidentes de segurança.
Notificação de incidentes às autoridades competentes quando necessário.

8.2. Gestão de Vulnerabilidades

8.2.1. Escaneamento de Vulnerabilidades
Realizar varreduras de vulnerabilidades regularmente em todos os sistemas e aplicações.

8.2.2. Correção de Vulnerabilidades
Priorizar a correção de vulnerabilidades críticas e implementar um processo de patch management eficiente.

8.2.3. Gerenciamento de Riscos
Avaliar os riscos associados a cada vulnerabilidade e definir as ações de mitigação apropriadas.

O detalhamento dessas orientações consta nas Normas: Resposta a Incidentes – NOR 04.

Gestão de Vulnerabilidades – NOR 05.

9. Backup & Restore

9.1. Backup regular
Realizar backups completos e incrementais regularmente de todos os dados críticos.

9.2. Teste de Recuperação
Realizar testes de recuperação de desastres periodicamente para garantir a eficácia dos procedimentos.

9.3. Armazenamento Offsite
Armazenar cópias de segurança em local seguro e remoto.

O detalhamento dessas orientações consta na Norma: Backup & Restore – NOR 06.

10. Segurança em Nuvem

A nuvem, apesar de ser um ambiente altamente seguro, exige cuidados especiais devido algumas particularidades:

10.1. Compartilhamento de infraestrutura
Múltiplos clientes compartilham a mesma infraestrutura física, o que pode aumentar o risco de ataques.

10.2. Complexidade
A arquitetura em nuvem é complexa e dinâmica, o que pode dificultar a identificação e a mitigação de vulnerabilidades.

10.3. Responsabilidade compartilhada
A responsabilidade pela segurança é dividida entre o provedor de nuvem (IaaS, PaaS ou SaaS) e o cliente.

A Century Data trata essas questões em normativos próprios.

O detalhamento dessas orientações consta nas Normas: Controle de Acessos – NOR 01.
Resposta a Incidentes – NOR 04.
Gestão de Vulnerabilidades – NOR 05.
Criptografia – NOR 07.

11. Segurança de Dispositivos Móveis

BYOD (Bring your own device), MDM (Mobile Device Management), segurança de aplicativos móveis.

11.1. Gestão de Dispositivos
Uso de dispositivos seguros e atualizados.
Proteção contra malware e vírus.
Criptografia de dados em trânsito e em repouso.

11.2. Segurança de Dispositivos

11.2.1. Dispositivos pessoais
Proibir o uso de dispositivos pessoais para acessar os sistemas da empresa, exceto em casos autorizados.

11.2.2. Atualizações
Manter os sistemas operacionais, softwares e aplicativos atualizados com as últimas correções de segurança.

11.2.3. HTTPS
Utilizar o protocolo HTTPS (Hyper Text Transfer Protocol Secure) para garantir a segurança das transmissões de dados pela internet.

O detalhamento dessas orientações consta na Norma: BYOD – NOR 08.

12. Classificação da Informação

12.1. Níveis de classificação

A Century Data define níveis de sensibilidade da informação (pública, confidencial, restrita).

O detalhamento dessas orientações consta na Norma: Classificação da Informação – NOR 09.

13. Treinamento e Conscientização

A Century Data oferece treinamentos regulares sobre Segurança da Informação para todos os colaboradores, incluindo temas como engenharia social, segurança de senhas, e boas práticas de segurança.

13.1. Simulações de Phishing
Realiza simulações de phishing periodicamente para avaliar a conscientização dos colaboradores.

13.2. Simulações de ataques
Realizar simulações de ataques cibernéticos para avaliar a prontidão da equipe.

O detalhamento dessas orientações consta na Norma: Treinamento e Conscientização – NOR 10.

14. Gestão de Riscos

14.1. Análise de riscos
A Century Data realiza análises de risco regularmente para identificar e avaliar as ameaças à segurança da informação.

O detalhamento dessas orientações constam na Norma: Gestão de Riscos Cibernéticos – NOR 11.

15. Revisão e Atualização

15.1. Revisão Anual
A Century Data realiza uma revisão anual da PSI para garantir que ela continue sendo relevante e eficaz e se mantenha atualizada com eventuais mudanças no ambiente e/ou regulatórias.

A Century Data é uma empresa que ajuda seus clientes no caminho da transformação digital, promovendo tecnologias que permitem a criação de novas linhas de negócios.

© 2026 Todos os direitos reservados