Política Geral de Segurança da Informação
1 - INTRODUÇÃO
A Nexti estabelece sua Política Geral de Segurança da Informação e Privacidade, como parte integrante do seu sistema de gestão corporativo, alinhada às boas práticas do mercado, à normas internacionalmente aceitas e a legislação brasileira pertinente, com o objetivo de garantir níveis adequados de proteção a informações e dados pessoais operados pela organização, de seus clientes e colaboradores sob sua responsabilidade.
2 - PROPÓSITO
Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação e Privacidade que permitam aos colaboradores da Nexti adotar padrões de comportamento seguro, adequados às metas e necessidades da Nexti;
Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;
Resguardar as informações da Nexti, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus colaboradores, clientes, fornecedores e parceiros;
Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da Nexti como resultado de falhas de segurança.
3 - ESCOPO
Esta política se aplica a todos os usuários da Nexti, incluindo qualquer indivíduo ou organização que possui vínculo com a Nexti, tais como colaboradores e prestadores de serviço que possuem acesso às informações e dados pessoais da Nexti e/ou fazem uso de recursos computacionais compreendidos na infraestrutura da Nexti.
3.1 É política da Nexti
- Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade das informações e dados pessoais operados na da Nexti sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;
- Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: Colaboradores, terceiros contratados, fornecedores e, onde pertinente, clientes;
- Garantir a educação e a conscientização sobre as práticas de segurança da informação e privacidade de dados adotadas pela Nexti para Colaboradores, terceiros contratados, fornecedores e, onde pertinente, clientes;
- Atender integralmente requisitos de segurança da informação e privacidade dos dados pessoais aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;
- Tratar integralmente incidentes de segurança da informação e a privacidade de dados pessoais, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas;
- Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;
- Melhorar continuamente a Gestão de Segurança da Informação e Privacidade através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
4 - PAPÉIS E RESPONSABILIDADES
4.1 Comitê Gestor de Segurança da Informação e Privacidade - CGSIP
Fica constituído o Comitê Gestor de Segurança da Informação e Privacidade – CGSIP, contando com a participação de, pelo menos, um representante de cada departamento, tendo como líder do comitê o coordenador de tecnologia da informação e contará com o DPO da Nexti e um consultor como responsável pelo processo. O comitê reunir-se-à semanalmente para discutir assuntos vinculados à certificação.
4.1.1 É responsabilidade do CGSIP:
- Analisar, revisar e aprovar alterações em políticas, normas, formulários e procedimentos relacionadas à segurança da informação e privacidade;
- Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;
- Garantir que as atividades de segurança da informação e privacidade de dados sejam executadas em conformidade com a PGSIP;
- Promover a divulgação da PGSIP e tomar as ações necessárias para disseminar uma cultura de segurança da informação e privacidade de dados pessoais no ambiente da Nexti.
4.1.2 É responsabilidade do DPO:
O Encarregado pelo Tratamento de Dados Pessoais (DPO), designado formalmente pela organização, atua com independência técnica, acesso direto à alta gestão e sem conflitos de interesse. Suas principais responsabilidades incluem:
- Ser o canal de comunicação entre a organização, os titulares de dados e a ANPD;
- Orientar colaboradores sobre práticas de proteção de dados;
- Monitorar e registrar operações de tratamento de dados pessoais;
- Apoiar na elaboração de relatórios de impacto (RIPD);
- Comunicar incidentes de segurança com dados pessoais;
- Supervisionar mecanismos internos de conformidade e mitigação de riscos;
- Apoiar cláusulas contratuais de proteção de dados com terceiros.
Os dados de contato com o DPO estão no Política de Privacidade, disponível no site da Nexti e seguem abaixo nesta Política de Segurança da Informação:
Nome DPO: Robson Vieira
e-mail: dpo@nexti.com
Telefone: (48) 3112-6790
A organização garante os recursos necessários para o pleno exercício da função e estabelece substituto em caso de ausência, conforme previsto pela Resolução CD/ANPD nº 18/2024.
5 - SANÇÕES E PUNIÇÕES
As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa aos colaboradores celetistas. Quanto aos colaboradores pessoa jurídica e cooperados, poderá implicar a imediata rescisão do contrato entre as partes;
A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação e Privacidade, devendo-se considerar a gravidade da infração, efeito alcançado e recorrência, podendo o CGSIP, repassar a informação da infração ao Gestor imediato que, aplicará a pena quando identificada a falta grave.
No caso de terceiros contratados ou prestadores de serviço, o CGSIP deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;
Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a Nexti, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.
6 - CASOS OMISSOS
Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para posterior deliberação.
As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da Nexti adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção às informações da Nexti.
7 - CONTROLE DE REVISÕES
| Data | Versão | Alteração |
|---|---|---|
| 12/08/2021 | 00 | Versão inicial |
| 22/09/2021 | 01 | Revisão Completa do Documento |
| 21/12/2021 | 02 | Revisão Completa do Documento |
| 19/04/2022 | 03 | Inclusão do conceito de privacidade |
| 03/05/2022 | 04 | Inclusão do item 4.1.2 - Responsabilidade do DPO |
| 28/04/2023 | 05 | Alteração do item 4.1.2 |
| 23/04/2024 | 06 | Revisão completa do documento |
| 14/05/2025 | 07 | Revisão completa do documento |
| 20/06/2025 | 08 | Alteração dos itens 4.1.1 e 4.1.2 |
