POLÍTICA EXTERNA DE SEGURANÇA DA INFORMAÇÃO

A Vitta Tecnologia em Saúde S.A. e suas afiliadas, deste ponto em diantedenominadas, em conjunto, simplesmente como “VITTA”, em seu compromissoconstante de melhorar a saúde no Brasil, estão empenhadas, desde o início de suasatividades, com a proteção das informações de sua propriedade e daquelas que elasvenham a ter acesso, em razão do desenvolvimento do negócio.

Esta Política de Segurança da Informação estabelece controles com base nos pilaresda área de SI, os quais devem ser rigorosamente observados, além de emitir orientações para que os ativos sejam gerenciados de modo apropriado, com o objetivode atenuar os riscos que apresentam à VITTA.

As dúvidas que eventualmente surgirem sobre a legislação aplicável, as diretrizes aqui expostas e os processos que envolvam os dados pessoais, podem ser direcionadas à área de Segurança da Informação por meio do endereço eletrônico:[email protected].

TERMOS E DEFINIÇÕES

Nesta Política, os termos e expressões terão as definições e significados a seguirexpostos sempre que iniciados com letras maiúsculas, no singular ou no plural, independentemente de gênero:

Afiliada: qualquer entidade que, direta ou indiretamente, seja administrada ou esteja sob a administração comum da VITTA.

VITTA: corresponde à Vitta Tecnologia em Saúde S.A. e às suas Afiliadas.

Ativos: são todos os elementos que detém algum tipo de valor para a VITTA, podendoser informações, hardwares (equipamentos), softwares (sistemas) e usuários.

Ativos de Informação: quaisquer objetos que possam desenvolver, receber, transmitir,manusear, armazenar, trafegar e descartar informações.

Autenticidade: possibilidade de avaliação da propriedade genuína, verificada econfiável, assim como a confiança na validade de uma transmissão, mensagem ou dooriginador de uma mensagem. Ela possibilita que seja analisada a veracidade dos usuários, isto é, que eles são quem dizem ser e que cada dado e informações quechega ao sistema veio de uma fonte confiável.

Canal de Reporte: faz referência ao e-mail [email protected], utilizado comomeio de comunicação entre os Colaboradores e a área de Segurança da Informaçãopara o envio de dúvidas acerca dos processos e para relatar, informar ou comunicar todo e qualquer caso de Incidentes.

Colaborador: corresponde a todos os trabalhadores contratados pela VITTA, incluindo administradores, estagiários, aprendizes, funcionários temporários equalquer outra pessoa que possua vínculo direto com a empresa.

Controle de Acesso: mecanismo de Segurança da Informação que objetiva limitar o acesso aos sistemas apenas a usuários autorizados, além de estabelecer processos que assegurem a correta utilização dos Ativos pelos usuários autorizados.

Disponibilidade: propriedade que garante que Ativos funcionem prontamente, que o acesso e o uso dos dados e informações sejam confiáveis e realizados no tempo adequado, e que não haja negação de serviços a usuários autorizados.

Incidente de Segurança: qualquer ato, suspeita, ameaça ou circunstância que comprometa a confidencialidade, integridade ou a disponibilidade de informações queestão em posse da VITTA ou que ela venha a ter acesso.

Informação: conjunto organizado de dados que constitui uma mensagem sobre um determinado evento ou fenômeno. A informação pode ser impressa ou escrita empapel, armazenada eletronicamente, transmitida por correio postal ou por meioseletrônicos, exibida em vídeos, ou falada em conversas.

Integridade: propriedade que garante a exatidão e completude na origem, no trânsito e no destino da Informação.

Política: refere-se a esta Política Externa de Segurança da Informação.

Segurança da Informação: é a garantia de preservação da disponibilidade, integridade, autenticidade e sigilo da informação existente em qualquer meio, suporteou formato.

Sigilo: o proprietário da informação deve garantir a não divulgação da informação a indivíduos, entidades ou processos não autorizados.

Sistemas: signfica hardware, software, network de dados, armazenador de mídias edemais sistemas usados, adquiridos, desenvolvidos, acessados, controlados, cedidosou operados pela VITTA para dar suporte na execução de suas atividades.

Terceiros: pessoas que não possuam vínculo empregatício, mesmo que temporário, eque não sejam estagiários. Entende-se como terceiros as entidades que prestamserviços para a VITTA, os parceiros, fornecedores, auditores ou qualquer outro que seenquadre como trabalhador contratado por outra companhia que não a VITTA

DIRETRIZES

VITTA, buscando assegurar a proteção das suas informações e daquelas que ela venha a ter acesso, em razão do desenvolvimento do negócio, considera como guia de suas ações e condutas, os princípios de Segurança da Informação, quais sejam:

● Confidencialidade – informação acessível apenas para as pessoas autorizadas;

● Integridade – proteção contra alterações acidentais ou não autorizadas;

● Disponibilidade – a informação pode ser acessada conforme a necessidade. Dessa forma, são implementadas e continuamente aprimoradas algumas ações de controle, as quais avaliam a tecnologia existente ou em desenvolvimento para acessar as informações e contemplam.

● Classificação e tratamento da informação – todas as informações e os Ativos que as suportam devem ser classificadas de acordo com o seu grau de sigilo e potencial risco. Para classificá-los é preciso considerar,dentre outras características: (i) natureza e sensibilidade; (ii) volume; (iii)a quem pertencem, a fim de que recebam o tratamento devido e quegaranta a sua proteção durante todo o ciclo de vida.

 Gestão de continuidade – necessidade da criação de processos para a continuidade do negócio diante de situações adversas, os quais devem ser testados e revisados periodicamente. Em tais processos, os serviços essenciais precisam estar identificados e os mecanismos de Segurançada Informação estabelecidos nos ambientes de produção contemplados.

● Gestão de incidentes – devem ser estabelecidos padrões para a investigação, resposta e tratamento de Incidentes de Segurança,visando reduzir ao máximo os impactos destes no negócio. Todos os Colaboradores devem ter ciência do plano de resposta à incidentes, para que reportem as situações adversas que identificarem e estas sejam categorizadas, analisadas, monitoradas, comunicadas e devidamente tratadas em tempo hábil, conforme seu nível de criticidade.

 Gestão de riscos – todos os produtos e serviços desenvolvidos,adquiridos, implementados ou disponibilizados devem ser submetidos a um processo formal de análise, avaliação e mitigação de riscos, visando atingir o grau de segurança adequado para a VITTA.

 Gestão de acessos – sempre que um Colaborador for desligado ou encerrar sua relação com a VITTA, seja ela qual for, o acesso aos sistemas e informações deve ser, imediatamente, interrompido. Caso o Colaborador mude de área ou função dentro da empresa, os acessos devem ser revisados, a fim de que ele tenha autorização para visualizare manusear apenas as informações e ativos indispensáveis à sua nova atividade.

● Senhas dos usuários – as senhas utilizadas pelos Colaboradores são confidenciais, pessoais e intransferíveis, devendo conter requisitosmínimos de segurança, como, por exemplo, mais de 8 (oito) caracteres,letras, números e símbolos.

● Aquisição, desenvolvimento e manutenção de sistemas – os Sistemas de propriedade da VITTA, seja ele adquirido ou desenvolvido internamente, deve ser submetido a um processo de avaliação de riscos antes de sua implantação, de forma a garantir seu alinhamento com aspráticas de Segurança da Informação estabelecidas nesta Política.

 Proteção dos sistemas – os Sistemas devem ser submetidos, anualmente ou a cada seis meses, dependendo da sensibilidade das informações neles armazenadas, à avaliações e testes capazes de identificar vulnerabilidades, para que elas possam ser corrigidas. Novos sistemas, implementações e atualizações só serão aplicados se nãoameaçarem o progresso flexível e ágil de suporte aos parceiros e clientes da VITTA, permitindo que as informações e aplicações estejamsempre prontas e acessíveis aos usuários autorizados.

● Gestão de mudanças – tem como objetivo assegurar que as mudançasrealizadas no ambiente de produção e homologação da VITTA, sejamfeitas de forma controlada, planejada, testada, documentada, comunicada e implementadas, mitigando os riscos envolvidos nas mudanças de tecnologia em ambientes operacionais.

● Utilização dos ativos – os Ativos de tecnologia são recursos corporativos, de propriedade da VITTA, disponibilizados aos Colaboradores apenas para que ele execute as suas atividades, sendo, no entanto, de sua responsabilidade zelar pela proteção e pelainformação contida nos Ativos.

● Relacionamentos com terceiros – a proteção dos Ativos acessados porterceiros e fornecedores deve ser garantida. Cabe a cada um dos times envolvidos nos processos executados com terceiros e fornecedores, a responsabilidade por assegurar que os requisitos de Segurança da Informação sejam implementados.

● Avaliação periódica – as práticas de Segurança da Informação devemser avaliadas constantemente pela VITTA, a fim de aferir a conformidadedas ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

● Registro e monitoramento – a VITTA deve monitorar o acesso e autilização de seus recursos físicos e tecnológicos, como os ambientes, equipamentos e sistemas, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente. Por conta disso, é importante criar, proteger e manter os registros dos eventos, para que eles possam auxiliar na análise de possíveis violação de segurança.

● Revisão e análise crítica – o conjunto de documentos que compõemesta Política deve passar por revisões e análises críticas, periódicas,legais, estatutárias, regulamentares e contratuais, com o objetivo de identificar processos que afetem a gestão de Segurança da Informaçãoda VITTA.

● Conflitos – na existência de conflito entre os controles aqui definidos e uma necessidade de negócio específica, um novo cenário deve ser analisado a fim de viabilizar os objetivos da VITTA, existindo, ainda, a necessidade de registro e aceitação dos riscos pela administração.

RESPONSABILIDADES

● Colaboradores, terceiros e partes interessadas – conhecer as diretrizes deste documento e zelar pelo seu cumprimento, acionando a área de Segurança da Informação quando necessário, para esclarecer eventuais dúvidas e reportar situaçõesque envolvam violação ou ameaça a esta Política. Além de manter o sigilo de todas as informações acessadas durante seu período contratual, bem como após o encerramento dele.

● Área de Segurança da Informação: (a) gerenciar, coordenar, orientar, avaliar eimplantar as ações, controles, atividades e projetos relativos à Segurança daInformação, promovendo ações de interesse da VITTA e de conscientização; (b) assegurar que o sistema de gestão de Segurança da Informação esteja emconformidade com as principais práticas executadas pelo mercado, conformedisponíveis e aplicáveis; (c) monitorar o acesso e a utilização dos Ativos, ambientes,equipamentos e Sistemas da VITTA, de forma que ações indesejáveis ou nãoautorizadas sejam rapidamente identificadas; (d) analisar os desvios e as exceções àsorientações desta Política.

● Diretoria: prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação, além de acompanhar periodicamente a evolução dosindicadores e resultados da área.

● Jurídico: apoiar, quando necessário, a área de Segurança da Informação emtodas as suas atribuições, principalmente quando envolver aspectos legais eregulatórios. Além de analisar os riscos jurídicos presentes nas atividades da VITTA.

CONSIDERAÇÕES FINAIS

● Compromisso e penalidades: todas as garantias necessárias aocumprimento desta Política estão estabelecidas formalmente com os Colaboradores e Terceiros da VITTA. O descumprimento das diretrizes aquiestabelecidas será considerado falta grave, que dependerá de análise dostimes Jurídico e Compliance, podendo, inclusive, acarretar em aplicação dassanções previstas em lei, regulamentos internos e disposições contratuais.

● Treinamento: a VITTA promove programas de conscientização,avaliação, educação e treinamento em Segurança da Informação, a fim degarantir que os objetivos, princípios e diretrizes definidos nesta Política sejam repassados e adequem-se às necessidades e responsabilidades específicas decada Colaborador e, quando pertinente, dos Terceiros.

CANAL DE REPORTE E DÚVIDAS

Todas as dúvidas acerca do conteúdo exposto nesta Política e reporte de violações ouameaças à Segurança da Informação devem ser encaminhadas ao e-mail [email protected].

VITTA garante a confidencialidade e sigilo das informações reportadas, bem como anão retaliação dos denunciantes que estiverem agindo de boa-fé, mesmo que o relatonão configure violação ou ameaça às diretrizes impostas por esta Política.