carVertical

Política de Segurança da Informação

1. A Política de Segurança da Informação (doravante – Política) é o principal documento do Sistema de Gestão da Segurança da Informação da UAB “cV Group” (doravante – Grupo cV ou Empresa). As partes relacionadas com a informação do Grupo cV podem ter acesso aos documentos do SGSI e/ou às suas partes.

2. O objetivo da presente Política é expor a posição da administração do Grupo cV relativamente à segurança da informação e proteger toda a informação verbal, escrita e eletrónica recebida, enviada, criada, gerida e utilizada pelo Grupo cV contra todas as potenciais ameaças – externas, internas, intencionais ou acidentais – que possam afetar a atividade e a reputação do Grupo cV.

3. Para a implementação dos objetivos do SGSI, são definidos os seguintes objetivos de segurança da informação:

  • assegurar e gerir a segurança da informação, tendo em conta os objetivos estratégicos do Grupo cV no âmbito da prestação de serviços da Empresa;
  • assegurar e gerir a conformidade com os requisitos externos e internos de segurança da informação através de avaliações periódicas de conformidade e da eliminação das não conformidades identificadas;
  • assegurar que as violações de segurança da informação sejam corrigidas e as suas causas eliminadas, bem como implementar a gestão de incidentes de segurança da informação;
  • assegurar a adequada seleção e implementação das medidas de segurança e de tratamento da informação através da realização de avaliações anuais de risco e da implementação das medidas de segurança da informação necessárias;
  • assegurar a eficácia das medidas de segurança da informação aplicadas;
  • assegurar a adequação do plano de gestão da continuidade do negócio, procedendo à sua revisão e teste periódicos.

4. A informação constitui um ativo estrategicamente importante para a atividade do Grupo cV. A sua perda, alteração não autorizada, violação da confidencialidade, integridade ou disponibilidade, divulgação indevida ou interrupção no seu tratamento pode comprometer a atividade do Grupo cV. Por este motivo, a presente Política de Segurança da Informação estabelece as diretrizes básicas que todos os colaboradores, prestadores de serviços e outras partes relacionadas com o Grupo cV são obrigados a cumprir.

5. A Política de Gestão da Segurança da Informação aplica-se a todos os processos de negócio do Grupo cV relacionados com os serviços prestados e abrange a informação verbal e escrita, os sistemas de informação, as redes informáticas, o ambiente físico, o ambiente virtual, os colaboradores, as partes relacionadas, os parceiros, os prestadores de serviços e outras pessoas que trabalhem no Grupo cV, incluindo os que trabalhem para terceiros e os que tratem legalmente a informação do Grupo cV.

6. A segurança da informação abrange três aspetos principais:

  • confidencialidade da informação – proteção da informação contra a divulgação não autorizada;
  • integridade da informação – proteção da informação contra alterações não autorizadas ou acidentais;
  • acessibilidade da informação – garantir que a informação esteja disponível quando necessária para o adequado desempenho das atividades do Grupo cV.

7. Os objetivos das regras e dos requisitos são:

  • proteger os ativos de informação, incluindo os dados de clientes recebidos de diversas fontes e de terceiros, assegurando a sua confidencialidade, integridade, disponibilidade, bem como os seus aspetos materiais (por exemplo, equipamentos informáticos e de comunicação, instalações, etc.) e imateriais (por exemplo, reputação, imagem);
  • definir as responsabilidades em matéria de segurança da informação;
  • fornecer referências para os documentos de segurança que compõem o SGSI.

8. Os documentos do SGSI devem ser revistos pelo menos uma vez por ano.

9. A implementação dos requisitos de segurança da informação do Grupo cV é assegurada e gerida através do planeamento, execução, avaliação e melhoria contínuos do SGSI, em conformidade com os requisitos da norma ISO/IEC 27001 (bem como das suas versões mais recentes).

10. A certificação do SGSI do Grupo cV abrange todos os produtos de tecnologias de informação e os projetos associados desenvolvidos neste grupo de empresas.

11. A gestão da segurança da informação do Grupo cV baseia-se na gestão do risco. A avaliação do risco de segurança da informação contribui para garantir que as medidas de gestão da segurança da informação aplicadas na atividade do Grupo cV permitem alcançar os principais objetivos de negócio e de segurança da informação.

12. O risco de segurança da informação do Grupo cV é avaliado anualmente, em conformidade com a política de avaliação de riscos aprovada. Durante a avaliação do risco de segurança da informação, deve ser revista a situação da Empresa.

13. A presente Política aplica-se igualmente à “carVertical OÜ”, que impõe os requisitos nela descritos às terceiras partes.