Skip to main content

Política de Classificação da Informação

Versão Data Autor Alterações realizadas Aprovado por Data aprovação
1.0 30/06/2025 Vanderson Andrade Criação Direção Geral 30/06/2025

1. Introdução e Objetivo

A informação é um dos ativos mais importantes. Esta política tem como objetivo estabelecer um framework para classificar os dados com base em seu nível de sensibilidade, valor e criticidade para o negócio.

O objetivo principal é garantir que todos os colaboradores, prestadores de serviço e parceiros compreendam suas responsabilidades no manuseio da informação, aplicando os controles de segurança adequados para cada nível de classificação, a fim de:

  • Proteger a empresa contra perdas financeiras e danos à reputação.

  • Proteger a privacidade de nossos clientes e colaboradores.

  • Garantir a conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD).

2. Escopo

Esta política se aplica a todos os colaboradores, estagiários, terceiros e prestadores de serviço. Ela abrange todas as informações de propriedade da empresa ou sob sua custódia, independentemente do formato em que se encontrem (digital, impresso, falado) ou de onde estejam armazenadas (servidores, notebooks, nuvem, dispositivos móveis, etc.).

3. Papéis e Responsabilidades

  • Proprietário da Informação (Data Owner): Geralmente um líder de departamento (ex: Gerente Comercial é o proprietário dos dados de clientes no CRM). É responsável por determinar a classificação correta da informação sob sua gestão.

  • Guardião da Informação (Data Custodian): A equipe de TI ou o responsável técnico. É responsável por implementar os controles de segurança técnicos (backups, permissões de acesso, criptografia) de acordo com a classificação definida pelo Proprietário.

  • Usuário da Informação (Data User): Todos os colaboradores. São responsáveis por manusear a informação de acordo com esta política no seu dia a dia.

4. Níveis de Classificação da Informação

Toda informação na [Nome da Empresa] deve ser classificada em uma das três categorias a seguir:

4.1. Pública

  • Definição: Informação que foi criada com o propósito de ser divulgada ao público em geral. Sua divulgação não causa nenhum dano à empresa, seus clientes ou parceiros.

  • Exemplos:

    • Materiais de marketing e press releases.

    • Conteúdo do site institucional e posts em redes sociais.

    • Descrições de produtos e serviços disponíveis publicamente.

    • Informações de contato gerais (telefone e endereço comercial).

  • Requisitos de Manuseio:

    • Armazenamento: Pode ser armazenada em sistemas públicos.

    • Transmissão: Pode ser enviada abertamente, sem necessidade de criptografia.

    • Descarte: Não requer procedimentos especiais de descarte.

4.2. Interna

  • Definição: Informação destinada ao uso exclusivo dos colaboradores. Sua divulgação não autorizada fora da empresa pode causar danos operacionais, competitivos ou à reputação, mas de impacto limitado. Esta é a classificação padrão para a maioria das informações não públicas.

  • Exemplos:

    • Comunicações internas, e-mails e memorandos não sensíveis.

    • Atas de reuniões de rotina.

    • Procedimentos operacionais, manuais e guias internos.

    • Listas telefônicas e organogramas da empresa.

    • Projetos e planos de trabalho em andamento.

  • Requisitos de Manuseio:

    • Acesso: O acesso deve ser restrito aos colaboradores da empresa.

    • Armazenamento: Deve ser armazenada em sistemas corporativos autorizados (ex: Google Drive/OneDrive da empresa, servidores internos). Não deve ser armazenada em contas de nuvem pessoais.

    • Transmissão: Ao enviar por e-mail para fora da empresa, deve-se garantir que o destinatário é legítimo.

    • Descarte: Documentos físicos devem ser rasgados ou fragmentados. Arquivos digitais devem ser deletados de forma segura (esvaziar a lixeira).

4.3. Confidencial

  • Definição: Informação de natureza altamente sensível e crítica. Sua divulgação não autorizada pode causar danos graves à empresa, como perdas financeiras significativas, violações legais (ex: LGPD), sanções contratuais, danos severos à reputação ou vantagens competitivas para concorrentes.

  • Exemplos:

    • Dados Pessoais de Clientes e Colaboradores: CPF, RG, endereço, dados bancários, informações de saúde.

    • Informações Financeiras: Planilhas de faturamento, folha de pagamento, relatórios de lucratividade, projeções de orçamento.

    • Propriedade Intelectual: Código-fonte de software, segredos comerciais, fórmulas.

    • Estratégias de Negócio: Planos de expansão, informações sobre fusões e aquisições.

    • Credenciais de Acesso: Senhas, chaves de API, certificados de segurança.

    • Informações Jurídicas: Contratos, litígios em andamento.

  • Requisitos de Manuseio:

    • Acesso: Estritamente controlado com base na necessidade de saber ("need-to-know"). O acesso deve ser o mínimo necessário para a execução da função.

    • Armazenamento: Deve ser armazenada em locais altamente seguros e, sempre que possível, criptografada em repouso.

    • Transmissão: Deve ser sempre criptografada durante a transmissão. Exemplos: usar e-mails criptografados, compartilhar arquivos em formato protegido por senha (ZIP/PDF com senha forte), usar conexões seguras (VPN, HTTPS).

    • Rotulagem: Documentos devem ser claramente rotulados como "CONFIDENCIAL" (ver seção 5).

    • Descarte: Documentos físicos devem ser destruídos em uma fragmentadora de papel. Mídias digitais (HDs, pen drives) devem passar por um processo de limpeza de dados (wipe) ou destruição física.

5. Rotulagem da Informação

Para garantir que todos saibam como manusear uma informação, ela deve ser rotulada sempre que possível.

  • Documentos Digitais:

    • Confidencial: Adicionar [CONFIDENCIAL] no início do assunto do e-mail ou no nome do arquivo. Utilizar marca d'água "CONFIDENCIAL" no corpo do documento.

    • Interno: Pode-se usar [INTERNO] ou não rotular (assumido como padrão).

  • Documentos Físicos:

    • Utilizar carimbos ou capas de identificação com o rótulo "CONFIDENCIAL" em documentos impressos sensíveis.

6. Consequências da Violação da Política

A violação desta política será tratada com seriedade. Dependendo da gravidade do incidente, as ações disciplinares podem variar desde uma advertência verbal até a rescisão do contrato de trabalho por justa causa, além de possíveis ações cíveis e criminais, conforme a legislação vigente.

Termo de Ciência e Concordância

(Este termo pode ser impresso como um documento separado para ser assinado por cada colaborador)

Eu, ___________________________________________________ (Nome Completo), portador do CPF _________________________, declaro que li, compreendi e concordo em cumprir integralmente os termos da Política de Classificação da Informação (Versão 1.0) da [Nome da Empresa].

Entendo que é minha responsabilidade proteger as informações da empresa e de seus clientes de acordo com a classificação atribuída e que a falha em cumprir esta política pode resultar em medidas disciplinares.

[Cidade][Data]

____________________________
Assinatura do Colaborador

Back to top