Estabelecer diretrizes e os princípios que assegurem que a Política de Segurança da Informação da ORAEX atenda a confidencialidade, integridade, disponibilidade de todos os ativos físicos e lógicos, assegurando que a organização cumpra os requisitos da norma ISO/IEC 27001:2022. Bem como, atender os objetivos de segurança de informação estabelecidos no MAN-SGSI-01 – Manual de Sistema de Gestão da Informação.

2. Definições

Segurança da Informação - preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Confidencialidade - Que as informações só possam ser acessadas e visualizadas por pessoas autorizadas evitando sua divulgação deliberada ou acidental.

Integridade - Que as informações estejam protegidas de modificações, destruição deliberada ou acidental por usuários autorizados e não autorizados, garantindo a exatidão das informações da organização.

Disponibilidade - Que os ativos e as informações estejam disponíveis e acessíveis aos usuários autorizados quando necessário.
Transparência – Informar as partes interessadas sobre como os dados pessoais são coletados, tratados e protegidos.
Minimização de Dados – Coletar e processar apenas os dados pessoais necessários para finalidades específicas e legítimas.
Dados Pessoais: Qualquer informação que identifique ou possa identificar uma pessoa.
Dados Sensíveis: Informações pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas, dados genéticos, biométricos, entre outros.

3. Abrangência

Esta política se aplica a todos os colaboradores, prestadores de serviços, terceiros e parceiros que processam informações da organização, incluindo dados pessoais de clientes, fornecedores e colaboradores.

4. Condições Gerais

Diretivas de segurança da informação são diretrizes que regem a conduta e o comportamento em relação aos temas de segurança, detalhando a Política de Segurança da Informação e embasando a criação de outras políticas e procedimentos.

Estas diretrizes estão, e devem ser continuamente integradas nos métodos de gerenciamento de projetos da ORAEX para assegurar que os riscos de Segurança da Informação sejam identificados e considerados como parte de um projeto. Isto se aplica a qualquer projeto, independentemente de seu propósito, por exemplo, se for para um processo crítico do negócio, ou um processo de Tecnologia da Informação (TI), de gerenciamento de recursos ou outro processo de apoio.

5. Comprometimento da Direção com a Segurança da Informação

A Direção da ORAEX apoia ativamente a Segurança da Informação, fornecendo recursos para o sistema de gestão de segurança da informação (SGSI), fazendo análise crítica do sistema de gestão, suportando iniciativas e campanhas internas de conscientização, reforçando seu apoio e destacando a importância estratégica do SGSI como um diferencial competitivo para a companhia.

6. Papéis e Responsabilidades

Os papéis e responsabilidades na segurança da informação são designados para assegurar a proteção e a gestão eficaz dos ativos de informação.

Todos os colaboradores, prestadores de serviço e terceiros envolvidos devem seguir as diretrizes de segurança estabelecidas, enquanto a equipe de Segurança da Informação é responsável pela definição, implementação e monitoramento das políticas e controles de segurança.

A liderança da organização apoia e promove a cultura de segurança, garantindo a alocação de recursos e o alinhamento estratégico para a proteção contínua contra ameaças e vulnerabilidades.

Diretoria Executiva: Fornece recursos e apoio estratégico à segurança da informação, promovendo uma cultura organizacional de conformidade.
Gestor de Segurança da Informação (CISO): Responsável por implementar, monitorar e atualizar os controles de segurança.
Encarregado de Proteção de Dados (DPO): Assegura o cumprimento da legislação e regulamentos de atua como ponto de contato para questões de proteção de dados.
Colaboradores e Terceiros: Seguem as diretrizes de segurança estabelecidas nesta e em outras políticas e são responsáveis pela proteção de informações sob sua custódia.

7. Gestão de Riscos

A ORAEX realiza a gestão contínua dos riscos associados à segurança da informação para identificar, avaliar e mitigar ameaças que possam impactar a confidencialidade, integridade, disponibilidadedos ativos de informação. Os processos e critérios detalhados para avaliação e tratamento de riscos estão definidos na POL-SGSI-02 - Política de Gestão de Risco, que serve como guia para assegurar uma abordagem proativa e eficaz no gerenciamento dos riscos à segurança da informação.

8. Tratamento de Dados Pessoais

Todos os dados pessoais são tratados em conformidade com as legislações aplicáveis e em respeito aos direitos dos titulares. Os dados são coletados, processados e retidos apenas pelo tempo necessário para as finalidades definidas.

9. Direitos dos Titulares de Dados

A organização assegura o cumprimento dos direitos dos titulares de dados, incluindo:

Acesso às informações sobre seus dados pessoais.
Retificação de dados imprecisos ou incompletos.
Exclusão de dados, quando aplicável.
Portabilidade de dados.

Restrição ao processamento, conforme previsto na legislação.

10. Segurança de Recursos Humanos

A admissão e/ou contratação de colaboradores, homologação de consultores e prestadores de serviço deve ser precedida de aderência formal aos termos do processo de onboarding da empresa e, caso aplicável, de mecanismos adicionais de proteção legal ou contratual, também tendo como referência os documentos POL-SGSI-07- Recursos Humanos e Conscientização e PRO-SGSI-02 – Procedimento de Recrutamento e Seleção.

Todos os colaboradores, consultores e prestadores de serviço devem receber treinamento e conscientização quanto à Segurança da Informação na sua contratação e de forma periódica durante seu tempo de prestação de serviços.11.Sanções Disciplinares

O descumprimento das diretrizes estabelecidas nesta política pode comprometer a integridade, a confidencialidade e a disponibilidade dos dados da organização, gerando riscos significativos para o negócio. Portanto, qualquer violação intencional ou negligente das normas de segurança será avaliada e poderá resultar em sanções disciplinares, conforme a gravidade da infração e conforme previsto no PRO-SGSI-03 - CÓDIGO DE CONDUTA vigente. As medidas corretivas podem incluir desde advertências formais até, em casos graves, rescisão do contrato de trabalho, além de possíveis implicações legais previstas na legislação vigente.

11. Propriedade dos Ativos

Os “Ativos" caracterizam equipamentos e/ou dispositivos que processam e armazenam informações coorporativas, sejam ela da ORAEX ou de seus clientes.

O processo para gestão de inventário de ativos é feito e administrado pela área da administrativa e de departamento pessoal da ORAEX. Alguns ativos que estão contratados para execução das atividades laborais, o inventário também é estruturado pelo fornecedor, de maneira automática através de plataforma cedido pelo mesmo, onde temos todas as informações necessárias para garantir a gestão do ambiente.

12. DIRETRIZES

12.1. Classificação da Informação

As informações devem ser classificadas para indicar a importância e o nível de proteção necessário de acordo com a utilização nos negócios da ORAEX, relacionamento com Clientes, Provedores Externos e requisitos governamentais.

Qualquer informação exigida por lei ou tribunal, autoridade governamental ou reguladora, ou por força de contrato celebrado e reconhecido, entre a ORAEX e terceiros, somente pode ser divulgada após análise e consentimento da alta direção ou o jurídico da ORAEX.

É imprescindível que as informações sejam tratadas adequadamente em todo o ciclo de vida, assegurando o nível adequado de proteção. Os seguintes critérios devem ser considerados para a definição da classificação dos dados:

Requisitos legais para assegurar o gerenciamento e proteção dos dados;
O compromisso de proteger dados pessoais e sensíveis de Clientes, Colaboradores e Provedores Externo;
A proteção dos negócios da ORAEX no mercado para evitar perdas;
O valor que a informação pode ter para outras empresas externas à ORAEX;
Interesse intrínseco aos dados;
O custo de recuperação dos dados em caso de alteração ou exclusão.

A ORAEX adota quatro categorias de classificação das informações, destacadas abaixo:

A) RESTRITO

As informações que necessitarem de sigilo e tratamento especial na ORAEX devem ser protegidas de alterações, divulgações, transferências e acessos não autorizados. Devem estar disponíveis apenas às pessoas pertinentes e autorizadas a trabalhá-las, sempre que necessário. Exigem todos os esforços necessários de segurança para protegê-las.

São exemplos de informações críticas:

Dados Pessoais Sensíveis como informações de saúde, biometria, informações de adolescente e/ou crianças menores de 14 anos, fotografia, filiação sindical ou política.

B) CONFIDENCIAL

As informações que necessitarem de sigilo absoluto na ORAEX devem ser protegidas de alterações não autorizadas e estarem disponíveis apenas às pessoas pertinentes e autorizadas a trabalhá-las, sempre que necessário. Exigem todos os esforços necessários de segurança para protegê-las.

São exemplos de informações confidenciais:

• Quaisquer informações sobre os Clientes da ORAEX.

• Dados Pessoais de Colaboradores e Provedores Externos que devem ser protegidas por obrigatoriedade legal, incluindo dados cadastrais (CPF, RG etc.), situação financeira e movimentação bancária.

Informações sobre produtos e serviços que revelem vantagens competitivas da ORAEX frente ao mercado.
Todo o material considerado estratégico da organização pela Alta Direção, como material impresso, armazenado em sistemas, em mensagens eletrônicas ou mesmo na forma de conhecimento de negócio da pessoa.
Declarações de salários, pagamentos de honorários e projeções, bem como quaisquer informações da ORAEX, que não devem ser divulgadas ao meio externo antes da publicação pelas áreas competentes.
Todos os tipos de credenciais de acesso (usuários, senhas, frases etc.) a sistemas, redes, estações de trabalho, dispositivos móveis e outras informações utilizadas na verificação e autenticação de identidades. Estas informações são pessoais e intransferíveis, e não devem ser compartilhadas, sob pena de sanções administrativas.

C) USO INTERNO

As informações de uso e acesso restrito aos colaboradores não devem ser divulgadas fora da ORAEX. Exigem esforços de segurança para evitar perdas, com atenção especial à integridade e disponibilidade das informações.

São exemplos de informações de uso interno:

Relatórios, boletins, pareceres, folhas de trabalho, planilhas e correspondências internas de natureza não confidencial.
Informações contidas em sistema, mensagens eletrônicas e processos de trabalho que são utilizados por colaboradores quando exercem as funções na ORAEX.
Informações utilizadas fora das dependências da ORAEX, relacionadas à atividade de trabalho e de natureza não confidencial.
Procedimentos e formulários.

D) PÚBLICO

São informações divulgadas aos meios públicos, sem distinção. Exigem esforços mínimos de segurança, com especial atenção à disponibilidade da informação.

São exemplos de informações de uso público:

Folhetos comerciais e resultados financeiros disponibilizados ao mercado.
Política da Qualidade.
Política de Dados

Mais informações no documento Quadro Resumo da Classificação da Informação.

NOTA 1: a aplicabilidade do uso na classificação da informação também deve ser de conhecimento e uso aos prestadores de serviços e parceiros de negócios, quando aplicável.

13. Rótulo da Informação

Os documentos controlados deverão ser rotulados de acordo com a sua classificação. Essa atividade deve ser realizada da forma mais adequada para cada tipo de informação. Exemplos de formas de rotular informações:

Utilização de recursos do tipo “Cabeçalho e Rodapé” presentes em editores de texto;
Utilização de recursos de marca d’água;
Indicações visuais em telas de sistema.

É importante que o método escolhido para rotular determinada informação seja adequado e garanta que qualquer pessoa que obtenha acesso, possa identificar a sua classificação.

14. Controle de Acesso

Todos os sistemas e ativos lógicos possuem perfis de autorizações mediante o documento Tabela RACI dos ativos de informação e o documento Gestão de Acesso Físico e Lógico.

Os Colaboradores são responsáveis pela utilização e eventuais usos inadequados dos direitos de acesso e credenciais que lhe são atribuídos, sendo intransferíveis.

Os colaboradores devem:

Manter a confidencialidade, memorizar e não registrar senhas em lugar algum. Ou seja, não a divulgar a ninguém e não a anotar em papel.
Alterar as senhas sempre que existir qualquer suspeita do comprometimento dela.
Selecionar senhas de qualidade, que sejam de difícil adivinhação.
Impedir o uso do seu equipamento por outras pessoas, enquanto este possuir informações da ORAEX e de seus clientes.
Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del).

15. Cláusulas de Confidencialidade

As cláusulas de ciência, responsabilidade e confidencialidade quanto à política e diretrizes de segurança da informação visam alertar e responsabilizar os colaboradores e prestadores de serviços de que o acesso e o manuseio de informação devem se restringir ao exercício da função ou processo que requer essa informação, sendo proibido o uso para qualquer outro propósito distinto do designado.

Colaboradores e os Prestadores de serviços: o termo de confidencialidade será enviado juntamente com o Contrato de Prestação de Serviços, que deve ser assinado entre ambas as partes e exigido em relação à sua existência.

15.1 Transferência de Informações

Conforme o estilo de trabalho remoto da ORAEX, com uso predominante de ferramentas SaaS, a transferência de informações entre colaboradores, prestadores de serviços, parceiros e clientes ocorre, majoritariamente, por meios digitais. Para garantir a segurança dessas transferências, a ORAEX adota práticas e ferramentas que visam proteger os dados contra acessos não autorizados, interceptações ou alterações.

Toda informação trocada deve ocorrer exclusivamente por canais autorizados, como e-mails corporativos, plataformas de comunicação protegidas (Slack, Microsoft Teams) e sistemas SaaS devidamente homologados pela empresa.

Sempre que necessário, são utilizados mecanismos de proteção como:

Locais de armazenamento que somente são acessados ia SSL e comunicação TLS;
Controle de permissões e acesso baseado em perfil de usuário;
Autenticação multifator (MFA);
Registro de logs e auditorias de acesso;

A transferência de informações para terceiros deve ocorrer de forma segura, preferencialmente respaldada por acordos de confidencialidade ou contratos formais. Mesmo em interações rotineiras, como o envio de dados por e-mail corporativo ou por meio de ferramentas com controle de acesso, é fundamental garantir que os meios utilizados estejam previamente autorizados e alinhados entre as partes envolvidas.

16. Direitos de Propriedade Intelectual

Todo produto ou material resultante do trabalho e/ou relativos aos projetos de clientes da ORAEX, produzido pelos Colaboradores, Consultores Associados, Estagiários ou Parceiros de Negócio (sistema, documentação, metodologia, dentre outros) é propriedade da ORAEX e não pode ser compartilhada a terceiros. No caso do término da prestação de serviços ou do contrato de trabalho, todas as informações devem ser repassadas a ORAEX e destruídas de equipamentos pessoais ou daqueles que não estão no inventário de ativos.

É de responsabilidade do Colaborador, prestador de serviço e Parceiro de Negócios não compartilhar, divulgar ou destruir qualquer produto resultante do trabalho executado na ORAEX sem a devida autorização da companhia.

Na homologação e/ou contratação de serviços de Consultores, deve ser incluída uma cláusula contratual assegurando à ORAEX quanto à propriedade da informação desenvolvida ou manuseada durante a prestação do serviço. Para os demais produtos resultantes da prestação de serviços, como sistema, metodologia e documentação, deve haver cláusula equivalente, admitindo-se, porém, situação diferenciada apenas no caso em que esses produtos sejam objetos das condições negociadas.

17. Serviços de terceiros

Serviços terceirizados devem incluir:

Requisitos mínimos de segurança da informação, incluindo a confidencialidade, integridade e disponibilidade;
Uma descrição do nível de segurança acordado;
Uma descrição do direito de a ORAEX realizar avaliação e/ou auditoria em seus Fornecedores e Prestadores de Serviços a qualquer tempo.

18. Configuração e Uso de Equipamentos

Os equipamentos disponibilizados pela ORAEX devem ser classificados com o mesmo nível de segurança da informação que armazenam. O uso dos equipamentos é restrito aos negócios e atividades da ORAEX, e somente os softwares autorizados e licenciados podem ser instalados conforme o documento "Lista de Softwares e Aplicativos”, armazenado no repositório oficial para acesso a todos os internos.

Os notebooks e e-mails são mantidos de forma criptografada.

Equipamentos particulares / privados, como computadores ou qualquer dispositivo portátil ou mídias removíveis que possa armazenar e/ou processar dados, como Pen Drives, HDs, celulares na função de HDs externos, e similares, usados para armazenar ou processar informações relacionadas com o negócio da ORAEX, podem ser permitidos e tratados como exceção para o modelo de negócio e devem respeitar as diretrizes dos documentos POL-SGSI-08 - USO ACEITÁVEL DE RECURSOS DE TI e POL-SGSI-20 - UTILIZAÇÃO DE DISPOSITIVOS MÓVEIS. Além de todos os limites descritos na presente política.

Aos Consultores que utilizam notebook e/ou dispositivos portáteis, assim como aos Colaboradores, com informações da ORAEX e de seus clientes, devem seguir as seguintes orientações:

Tomar todas as medidas necessárias para mitigar o risco de roubo ou furto do notebook. Não o deixar desacompanhado no escritório ou em qualquer local público. Se precisar deixá-lo sozinho, tenha certeza de que ele está preso à mesa com um cabo de segurança. Se o período for extenso, trancá-lo com chave em um armário, fora da visão de outras pessoas.

Caso tenha que viajar de carro, assegure-se que o notebook não está à vista. Coloque-o no porta-malas quando iniciar a viagem.

Quando viajar de avião, transportá-los como bagagem de mão. Nunca despachar com a bagagem.

Não os utilizar em locais públicos onde outras pessoas possam visualizar a tela.
Se o notebook for roubado ou perdido, avisar imediatamente o seu superior hierárquico e formalizar um boletim de ocorrência;

Os mesmos princípios são aplicáveis a outros computadores portáteis, tais como: dispositivos móveis, Smartphones e tablets corporativos, Pen drives, HDs externos e outras mídias removíveis.

Em casos de manutenção de equipamentos, como notebooks, estes devem permanecer sob a guarda da ORAEX ou do fornecedor contratado para fornecimento do ativo. Antes de qualquer intervenção técnica, o equipamento deve passar por um processo de limpeza, com a exclusão segura de todas as informações nele contidas. Quando necessário, a substituição do computador deve ser providenciada para garantir a continuidade da prestação de serviços.

19. Uso de E-mail

Para troca de mensagens (e-mails) relacionadas a funções de trabalho na ORAEX, deve ser usado somente o sistema padrão de e-mail corporativo.

Os recursos de correio eletrônico disponíveis para troca de mensagens devem ser usados pelos colaboradores para finalidades de negócios, no auxílio ao desempenho das funções organizacionais

A limitação do acesso e o monitoramento de e-mail é uma prerrogativa da ORAEX, quando considerar que esses recursos estão sendo utilizados de maneira inadequada, ou afetando negativamente a disponibilidade e a produtividade dos demais serviços que se utilizam da rede.

Os colaboradores devem observar que os arquivos de dados e outras informações a serem incluídos nos e-mails devem obedecer aos critérios de segurança estabelecidos para o nível de classificação da informação, incluindo a autorização do gestor da informação e a aplicação de criptografia para informação confidencial, quando determinado pelo proprietário da informação.

A transmissão de informações de uso interno, críticos ou confidenciais para caixas pessoais privadas/ particulares não é permitido. Essa regra vale para todo tipo de finalidade e destinatário, exceto nos casos de clientes que autorizem esse tipo de envio a determinadas áreas da Organização.

20. Aplicativos Corporativos

A ORAEX possui aplicativos corporativos para trocas de informações sobre base de conhecimentos, informações de mercado, assuntos internos aleatórios sem ser estratégicos, treinamentos, entre outros. Conforme orientados no procedimento do Onboarding do colaborador ou prestador de serviço.

As trocas de informações relacionadas com assuntos da ORAEX devem ser feitas obrigatoriamente pelo Microsoft Teams, Outlook (pertencente ao pacote Office 365), Autotask, ItGlue, Slack.

Nesse grupo é autorizado somente os participantes que estão classificados como colaboradores, prestadores de serviços, parceiros de negócios e clientes.

O Administrador dessas ferramentas é área técnica de Cloud.

21. Armazenamento de Rede

O armazenamento das informações, dados pessoais e ativos de clientes, colaboradores, consultores e provedores externos devem estar somente na rede corporativa da ORAEX, que possui controles de segurança adequados para garantir a confidencialidade, integridade e disponibilidade dos dados. As regras de segurança devem estar aderentes às aos requisitos da ISO/IEC 27001:2022 e à Lei Geral de Proteção de Dados (LGPD).

Somente os colaboradores autorizados poderão ter acessos administrativos e privilegiados, de acordo com o procedimento PRO-SGSI-04 - CONCESSÃO E REVOGAÇÃO DE ACESSO.

22. Uso de Controles Criptográficos

Conforme mencionado nesse documento, sempre que possível deve-se assegurar o uso efetivo e adequado de criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação.

23. Uso de mídias removíveis

É proibido o uso de mídias removíveis como PenDrives, HDs externos, celulares na função de HDs externos, e similares. O uso somente será permitido na situação de exceção e deverá ser autorizado formalmente pelo líder da área técnica com a anuência da Direção.

24. Descarte das Informações

A organização adota práticas de descarte seguro para garantir que informações confidenciais, sensíveis ou pessoais não sejam acessadas após o fim de sua utilidade, evitando riscos de vazamento ou uso indevido.

No contexto remoto e com uso predominante de ferramentas SaaS, o descarte seguro de informações se aplica principalmente a:

Arquivos digitais: devem ser excluídos de forma definitiva dos sistemas e ferramentas quando já tiver sito usada para atividade designada e não tiver a necessidade de armazenada, e quando necessário, com o uso de ferramentas de sobrescrita-o segura, respeitando as diretrizes da LGPD e do ciclo de vida da informação, garantindo que: os dados só serão armazenados enquanto forem necessários, que haverá descarte seguro e definitivo, bem como respeitar a vontade dos titulares quando a eliminação dos dados.
Equipamentos de TI: que são utilizados e fornecidos pela ORAEX para a prestação de serviço, devem passar por processo de limpeza segura antes de serem descartados, reutilizados ou devolvidos a terceiros. Os usuários devem evitar manter dados locais nos equipamentos e priorizar o uso do armazenamento em ferramentas autorizadas pela empresa.
Documentos Físicos: de forma orientativa, as impressões contendo dados sensíveis devem ser evitadas. Caso existam, o descarte deve ser feito por fragmentação.

25. Mesa Limpa

A ORAEX determina que:

As informações de negócio sensíveis ou críticas, por exemplo, em papel ou formatos eletrônicos, sejam guardadas em local seguro (cofre, armário com chave, dentre outros).
Os equipamentos (ex.: notebooks) devem ser mantidos desligados ou protegidos com mecanismos de travamento de tela e senha quando não utilizados.

26. Redes Sociais

A ORAEX está presente em diversas redes sociais públicas e privadas, com o intuito de interagir digitalmente com seus clientes e não clientes, oferecendo conteúdo informativo.

A ORAEX promove a utilização, com bom senso, no ambiente de trabalho, de redes sociais em que a ORAEX tem presença oficial, como forma de estimular a interação e a colaboração. A adesão, em nome da ORAEX, a qualquer rede social pública, privada ou interna, assim como a utilização da imagem da marca da ORAEX não é permitida, e exige-se uma pré-avaliação e aprovação da alta direção para ativação de qualquer rede social pública e privada, assim como a utilização da imagem das marcas da ORAEX.

É dever de todos os Colaboradores e prestadores de serviços conhecer e aplicar as instruções de Classificação da Informação. Cumpre destacar que as recomendações valem tanto para o ambiente físico quanto para o ambiente virtual.

Toda e qualquer informação considerada confidencial, tais como informações de clientes, produtos e ofertas da ORAEX e etc. que não tenha sido previamente divulgada em algum dos perfis oficiais da ORAEX, não deve ser reproduzida por Colaboradores, senão mediante prévia e expressa autorização da alta direção.

A ORAEX se reserva o direito de tomar as medidas cabíveis em caso de violação do seu nome, marca, imagem ou de quaisquer informações confidenciais.

A criação de perfil em redes sociais públicas, utilizando o nome e/ou marca da ORAEX é uma decisão estratégica, que deverá ser aprovada exclusivamente pela alta diretoria, que é o responsável por esse tipo de iniciativa.

A ORAEX não se responsabiliza pelas informações, textos, documentos, comentários e/ ou opiniões individuais de seus Colaboradores e prestadores de serviços divulgados nas redes sociais, tampouco pela conduta ou comunicação havida entre seus usuários; sendo que, em caso de violação de direito de qualquer membro da ORAEX ou de terceiros, a responsabilidade recairá exclusivamente sobre quem adotou a conduta incompatível com a presente política ou com as leis vigentes, não podendo vincular-se a ORAEX a nenhum ato.

O documento PRO-SGSI-03 - Código de Conduta, prevê orientações e sansões sobre conduta e postura de colaboradores, provedores e fornecedores da ORAEX.

Caso você tenha conhecimento ou dúvida sobre um caso de violação ao nome, marca e/ ou imagem da ORAEX, deve ser realizada uma denúncia por escrito e endereçado ao do e-mail compliance@oraex.com, que o responsável identificará a necessidade de acionar a Diretoria e o Jurídico para conhecimento e acompanhamento do caso.

27. Comunicação de Incidentes de Segurança e de Proteção de Dados Pessoais

É responsabilidade de todos relatarem prontamente qualquer comportamento ou circunstância suspeita que ameace a integridade dos ativos da empresa ou recursos de processamento de informação. Caso perceba alguma anormalidade, atividade fraudulenta ou evento que configure um incidente de segurança, siga as orientações previstas na POL-SGSI-22 - GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO e a MATRIZ DE ESCALONAMENTO. Desta forma:

Evite tomar ações arbitrárias como remover arquivos desconhecidos ou reinicializar o sistema. Nenhuma tentativa de correção do problema deve ser feita pelo usuário, a menos que sob direta orientação da alta gestão.

Tome nota dos eventos que levaram você acreditar que um incidente esteja ocorrendo, tais como: data, hora, sistemas, computador ou pessoas afetadas/envolvidas.

Notifique imediatamente os incidentes de Segurança da Informação de Dados através do e-mail incidentes.seguranca@oraex.com
O e-mail compliance@oraex.com é um meio de comunicação para assuntos pertinentes à Proteção de Dados Pessoais como reclamações, petições de titulares, mitigação de riscos e outros aspectos relacionado ao tratamento de dados pessoais ou sensíveis.

O não cumprimento de algum ponto desta política, intencional ou não, pode levar o colaborador a ser submetido a sanções disciplinares ou legais, dependendo do caso. Exemplos que podem ocasionar sanções:

Uso ilegal de software.
Introdução (intencional ou não) de vírus de informática.
Tentativas de acesso não autorizado a dados e sistemas.
Compartilhamento de informações sensíveis do negócio.
Coleta, processamento e armazenamento indevido de dados pessoais.
Uso incorreto de Internet, do correio eletrônico, entre outros ativos lógicos.

28. Gestão da Continuidade de Negócios

As estratégias de gerenciamento da Continuidade de Negócios devem estar alinhadas aos objetivos de negócios e nos sistemas de gestão adotadas na organização.

O gerenciamento da Continuidade de Negócios deve focar corretamente as necessidades inerentes à capacidade de recuperação, ser considerado e adequadamente utilizado em todos os estágios das operações e práticas de negócio da ORAEX.

28.1. Estratégias de continuidade

Com o intuito de garantir a melhoria contínua, serão realizadas por meio de testes, manutenções e avaliações de resultados as possíveis alterações na Estratégia Corporativa.

A estratégia operacional da ORAEX deve incluir em seu escopo ações de gestão de crises e continuidade operacional para as atividades críticas à curto prazo.

As demais atividades terão sua performance paralisada e/ou com seu nível de serviço reduzido para o mínimo necessário até o retorno à nova normalidade, de acordo com o cenário de indisponibilidade, atualmente desconhecido. Os documentos que referenciam este capítulo são Plano de comunicação e POL-SGSI-04 - CONTINUIDADE DO NEGÓCIO.

29. Contato com as Autoridades

Corpo de Bombeiro à 193
Samu (Serviço de Atendimento Móvel de Urgência) à 192
Polícia Militar à 190
ANPD – Autoridade Nacional de Proteção de Dados Casa Civil da Presidência da República
- Telefones: (61) 3411-1345 - (61) 3411-1345
- E-mail: imprensaccivil@presidencia.gov.br
- Site da ANPD

30. Contato de Grupos Especiais

A ORAEX estabelece contato com grupos especiais de cibersegurança como forma de se manter atualizada sobre tendências, novas ameaças e tecnologias.

Mantemos contato com esses grupos especiais através do e-mail incidentes.seguranca@oraex.com.

31. Monitoramento e Auditoria

A conformidade com esta política e com os controles de segurança é periodicamente monitorada e auditada. Auditorias regulares garantem que os controles estejam eficazes e alinhados às práticas recomendadas.

32. Melhoria Contínua

A ORAEX busca melhorar continuamente o seu Sistema de Gestão, através de análise crítica, identificação e tratamento das não conformidades, riscos, vulnerabilidades e incidentes de segurança da informação.

Adicionalmente, o Comitê de Segurança visa buscar as boas práticas do mercado e acompanhar as novidades em relação a inovação, como por exemplo, a nova fase da tecnologia da Inteligência Artificial e sua aplicabilidade.

Os processos e recursos necessários para o Sistema de Gestão de Segurança da Informação são assegurados pelo comprometimento da alta direção.

33. Validade da Política

Esta política tem validade indeterminada, até que seja formalmente substituída, alterada ou revogada pela organização. Qualquer revisão, atualização ou substituição será comunicada a todas as partes interessadas de maneira clara e tempestiva, garantindo a conformidade e o alinhamento com os objetivos institucionais e as exigências legais aplicáveis. Além de ser devidamente registrada as ações de mudança no histórico de revisões ao final do presente documento.

Recomenda-se a revisão periódica desta política, no mínimo uma vez por ano, ou sempre que houver mudanças significativas nos processos internos, legislação aplicável ou outras condições relevantes que possam impactar sua eficácia. Durante essas revisões, os responsáveis deverão considerar sugestões de melhoria, resultados de auditorias internas e externas, bem como feedback das partes interessadas.

A versão vigente desta política estará sempre disponível em meios acessíveis a todos os colaboradores e demais partes interessadas, a fim de assegurar transparência e aderência às diretrizes estabelecidas. Documento anexado no repositório oficial da empresa ORAEX.

Versão	Motivo	Data Publicação	Aprovado por
0	Criação do Documento	27/03/2025	Diretoria
1	Mudança do escopo para SGSI	23/06/2025	Diretoria

Descubra por que a ORAEX é o parceiro ideal para impulsionar seu negócio com tecnologia.

História

Empresa

Compliance

Código de Conduta

Segurança da Informação

Política de Privacidade

Tecnologia sob medida para impulsionar a performance e a inovação do seu negócio.

Todas as nossas Soluções

CaaS

CCaaS

Subscrições e Gestão de Billing de Nuvem

Política de Segurança da Informação

Documento Controlado.

Sumário

1. Objetivo