1. OBJETIVO

A informação é um dos principais bens de qualquer organização. Assim, a Ituran Brasil estabelece a presente Política Corporativa de Segurança da Informação, a fim de garantir a aplicação dos princípios e diretrizes de proteção das informações da organização, dos clientes e do público em geral.

2. PÚBLICO-ALVO

Esta política destina-se a todos os colaboradores, clientes, fornecedores e usuários de informações da Ituran Brasil. Para os fins do disposto nesta política “Ituran Brasil” passa a ser substituído pelo termo “Ituran” no restante do texto, e o termo “Colaboradores” abrange todos os empregados, menores aprendizes, estagiários e administradores da Ituran.

3. RESPONSABILIDADES

As políticas, estratégias e processos corporativos de Segurança da Informação são supervisionados pelo Comitê de Segurança da Informação, coordenado pela Diretoria e composto por representantes das áreas de Riscos e Controles Internos, Auditoria, Tecnologia e Negócios da Ituran.

4 REGRAS

4.1 REGRAS GERAIS

As políticas de segurança da informação são revisadas anualmente pela pelo Comitê de Segurança da Informação e sua revisão publicada.

4.2 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

Nosso compromisso com o tratamento adequado das informações da Ituran, clientes e colaboradores está fundamentado nos seguintes princípios:

1. Confidencialidade – Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;
2. Disponibilidade – Garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
3. Integridade – Garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

4.3 DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

A Segurança da Informação na Ituran estabelece os principais controles, denominados diretrizes:

1. As informações da Ituran, dos clientes e dos colaboradores devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
2. A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
3. Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um Colaborador ou equipe de Colaboradores.
4. O acesso às informações e recursos só deve ser feito se devidamente autorizado.
5. A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas.
6. A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades.
7. A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento.
8. Os riscos às informações da Ituran devem ser reportados à área de Segurança da Informação.
9. As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos Colaboradores, que devem entender e assegurar estas diretrizes.

4.4 TRATAMENTO DA INFORMAÇÃO

A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação da Ituran em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.

4.5 GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Para assegurar que as informações tratadas estejam adequadamente protegidas, a Ituran adota os seguintes processos:

1. Gestão de Ativos da Informação – os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, e ter documentação e planos de manutenção atualizados.
2. Classificação da Informação – as informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias.
3. Gestão de Acessos – As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da Ituran. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o Colaborador, para que seja responsabilizado por suas ações.
4. Gestão de Riscos – os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Ituran, para que sejam recomendadas as proteções adequadas.
5. Tratamento de Incidentes de Segurança da Informação – os incidentes de Segurança da Informação da Ituran devem ser reportados à Segurança da Informação.
6. Conscientização em Segurança da Informação – a Ituran promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
7. Avaliação Independente da Auditoria – a efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.

4.6 PROPRIEDADE INTELECTUAL

Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Ituran não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio Colaborador em seu ambiente de trabalho.

4.7 DECLARAÇÃO DE RESPONSABILIDADE

Os Colaboradores e Prestadores de Serviços diretamente contratados pela Ituran devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação.

Os contratos da Ituran devem possuir cláusula que assegure a confidencialidade das informações.

4.8 MEDIDAS DISCIPLINARES

As violações a esta política estão sujeitas às sanções disciplinares previstas nas políticas internas da Ituran e na legislação vigente no Brasil

5 DOCUMENTOS RELACIONADOS

Esta Política Corporativa de Segurança da Informação é complementada por políticas e procedimentos internos específicas de Segurança da Informação na Ituran e suas áreas em conformidade com os aspectos legais tendo como base nos requisitos da ISO 27001.