SlideShare uma empresa Scribd logo
1 de 25
Baixar para ler offline
SEGURANÇA , RISCOS DAS
INFORMACÕES E PROTECÃO
DOS DADOS PESSOAIS.
2012
Conteúdo
• Vídeo Sobre o Tema.
• Sistema Integral de Gestão da Segurança da Informacão.
• Norma ISO 27001:2005.
• Payment Card Industry Data Security Standard – PCI – DSS.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Objetivo
• Que todas pessoas compreendam o que é Sistema de Gestão
de Segurança da Informação ISO 27001:2005 e como proteger e
garantir a confidencialidade das informações que nossos
clientes e usuários nos proporcionam.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Sistema de Gestão Integral
da Segurança e Proteção
da Informação.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• A Iké Asistencia Brasil desde o ano de 2009 é
uma organização certificada em ISO 9001:2008
e desde 2011 temos o PCI-DSS. Buscamos
para o ano de 2012 a certificação ISO
27000:2005, para isso, focaremos no exercício
de boas práticas para o manuseio de
informações (documentos, arquivos, planos de
contingência, pessoas e tecnologia) dentro dos
processos internos da organização.
1
O que é SIGSI?
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• É um sistema de gerenciamento que nos ajuda
à assegurar a CONFIDENCIALIDADE,
INTEGRIDADE e DISPONIBILIDADE dos ativos
de informação, minimizando os riscos de
segurança da informação.
2
Como Funciona o S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Cada área terá um Manual de Segurança que
tratará de maneira geral os sistemas adotados
sobre segurança da informação de acordo com
as nossas necessidades e compromissos
através de Políticas e Procedimentos de
Segurança.
• Todas as Políticas e Procedimentos de
Segurança são aplicados a todas as pessoas
da empresa e qualquer não cumprimento dos
mesmos implicarão em Eventos ou Incidentes
de Segurança.
3
Alcance do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Proteger os ativos, recursos tecnológicos,
informações da empresa, de cartões de
crédito e informações pessoais de clientes e
usuários dentro dos processos relacionados
a prestação dos serviços de Assistência.
Assim como as informações que os Clientes
Corporativos nos proporcionam para tal fim.
4
Ativo
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Ativos são bens tangíveis ou intangíveis que uma empresa
possui .
Entende-se um ativo de informação por ser elemento(s)
com valor informativo que são propriedades de uma
empresa, instituição ou indivíduo, e que refletem sua
atividade.
5
Política do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Na Ikê Asistencia Brasil estamos
comprometidos em manter a
Confidencialidade, Integridade e
Disponibilidade de nossas informações
estratégica, relacionadas as informações de
cartões de Crédito de propriedade de nossos
Clientes e toda informação pessoal dos
Usuários, melhorando a cada dia nosso
Sistema Integral de Gestão de Segurança da
Informação.
6
Plano de Continuidade do
Negocio BCP do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• É um Plano de Ação documentado que
coordena todas as áreas da empresa,
principalmente aquelas que são consideradas
sensíveis como Central de Atendimento
Telefônico (CAT), Tecnologia da Informação e
Serviços Gerais, minimizando o impacto de
qualquer interrupção das principais atividades
do negócio.
7
Objetivos do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• 1. Garantir a Continuidade das atividades da
empresa com a implantação efetiva de um
plano BCP para todos os aspectos.
• 2. Manter a promover a cultura de segurança e
proteção da informação da empresa, dos
dados de cartão de crédito e informações
pessoais dos usuários e clientes conforme os
requerimentos adotados.
8
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• 3. Manter de maneira efetiva os controles
adotados e seu correto monitoramento, bem
como a Confidencialidade, Disponibilidade e
Integridade da Informação da empresa, cartão
de crédito e informação pessoal dos usuários.
• 4. Minimizar com medidas apropriadas o
impacto dos eventos e incidentes de segurança
da informação que comprometam a informação
da empresa, cartão de crédito e informação
pessoal dos usuários.
9
Objetivos do S I G S I
Plano de Continuidade do
Negócio BCP do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Garantir o restabelecimento ou recuperação do
negócio no menor tempo possível de maneira
ordenada, com aprovação da Direção Geral.
C.A.T > T.I. > S.G.
TEMPO + ORDEM = RECUPERAÇÃO DO
NEGÓCIO
10
Rotina de Auditoria
do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Toda a empresa será submetida a duas
Auditorias:
• INTERNA- Cada seis meses, cuja a intenção é
revisar o comportamento dos processos
declarados para Segurança da Informação.
• EXTERNA – Também a cada seis meses, cuja a
intenção é revisar toda a administração do
SIGSI e os resultados das auditorias internas.
11
Auditoria do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
- BSI revisará o que diz respeito a ISO
27001:2005
- IBM de México & Master Card revisará o que diz
respeito a PCI-DSS
12
Proteção de Dados
Pessoais
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Devemos garantir aos usuários seus
direitos ARCO.
- Acesso
- Retificação
- Cancelamento
- Oposição
Segurança e Riscos da Informação e de
Proteção de Dados Pessoais apoiará as áreas
neste sentido quando necessário.
13
Finalidade do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• O processo de gestão integral permite garantir
a segurança necessária da informação que
constam nas normas adotadas e
implementadas na ISO 27001:2005 // PCI-DSS
já que ambas estão voltadas para Segurança
da Informação.
14
Benefícios para a IKÊ
com a ISO 27001:2005
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
•Melhoria do conhecimento dos sistemas de informação,
seus problemas e os meios de proteção.
•Proteção da informação.
•Diferencial sobre a concorrência e maior destaque no
mercado.
15
Políticas e Procedimentos.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
16
Até o momento estão previstos 27 procedimentos de
segurança para a proteção dos ativos da organização
Gerais - 8 Politicas
(Senhas, digitalização de
documentos, telefonia, uso
equipamentos)
Serviços Gerais
1 Politica
(Controle de acesso)
Recursos Humanos
2 Politicas
(Desligamentos, medidas
disciplinares)
T.I.
15 Políticas
(Manutenção de computadores,
licenças de software, inventário)
Segurança da Informação
1 Politica
(Levantamento de incidentes de segurança)
Verificações de
Segurança
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
- Procedimento obrigatório que ajuda a diminuir nossos
riscos em relação aos ativos de informação.
- Se revisa o cumprimento das Políticas e Procedimentos
- O descumprimento nas verificações, se da origem aos
Incidentes de Segurança.
- Os Incidentes de Segurança são sancionados nos termos
do Regulamento Interno de Trabalho e penalizados se
preciso, conforme procedimento existente para tal fim.
17
PolÍtica de Segurança
PCI-DSS
“Na Ikê Assistencia Brasil estamos comprometidos em
manter a Confidencialidade, Integridade e Disponibilidade
da informação dos Cartões de Crédito, buscando a
efetividade em sua segurança e a melhora continua de
todos os requerimentos PCI-DSS adotados”
18
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Restrições de Segurança
PCI-DSS
- Fica restringido anotar em simples papéis os 16 dígitos
de qualquer cartão de crédito e o CVV (Código de
Segurança)
- Não é permitido informar a pessoas fora da empresa e/ou
pessoas alheias a nossa atividade, qualquer tipo de
informação referente a portadores do cartão ou cartões de
crédito.
- Proibido enviar ou receber por email interno ou por
correio público (yahoo, hotmail, gmail, etc.) qualquer tipo
de documentos que contenham dados de Cartão de
Crédito. Qualquer evento deste tipo é passível de punição.
- Fica restringido proporcionar dados dos cartões de
crédito via telefone, fax, celular, USB´s, ipod´s,
fotografia ou através de qualquer outro meio.
19
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Alcance de Ikê Assistencia
Brasil PCI-DSS
Proteger os ativos, recursos tecnológicos e informações
relacionadas a cartões de crédito que permitem o fornecimento
dos serviços de Assistência Concierge, Asistencia Auto e
Assistência Residencial, assim como a informação que os
Clientes proprietários das Marcas de Cartão de Crédito
proporcionam para tal fim.
20
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
OBRIGADO POR
SUA
PARTICIPAÇÃO!!!
21
CAPACITAÇÃO SGSI

Mais conteúdo relacionado

Semelhante a CAPACITAÇÃO SGSI

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Cláudio Dodt
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...Cláudio Dodt
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Paulo Pagliusi, PhD, CISM
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Aspectos técnicos de segurança para e-commerce. Maria Teresa Aarão
Aspectos técnicos de segurança para e-commerce. Maria Teresa AarãoAspectos técnicos de segurança para e-commerce. Maria Teresa Aarão
Aspectos técnicos de segurança para e-commerce. Maria Teresa AarãoE-Commerce Brasil
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoLaís Berlatto
 
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...Renato Monteiro
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
Aspectos jurídicos da Política de Segurança da Informação
Aspectos jurídicos da Política de Segurança da InformaçãoAspectos jurídicos da Política de Segurança da Informação
Aspectos jurídicos da Política de Segurança da InformaçãoAlexandre Atheniense
 

Semelhante a CAPACITAÇÃO SGSI (20)

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Aspectos técnicos de segurança para e-commerce. Maria Teresa Aarão
Aspectos técnicos de segurança para e-commerce. Maria Teresa AarãoAspectos técnicos de segurança para e-commerce. Maria Teresa Aarão
Aspectos técnicos de segurança para e-commerce. Maria Teresa Aarão
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dados
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da Informação
 
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
LGPD - Gestão de Riscos
LGPD - Gestão de RiscosLGPD - Gestão de Riscos
LGPD - Gestão de Riscos
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Aspectos jurídicos da Política de Segurança da Informação
Aspectos jurídicos da Política de Segurança da InformaçãoAspectos jurídicos da Política de Segurança da Informação
Aspectos jurídicos da Política de Segurança da Informação
 

CAPACITAÇÃO SGSI

  • 1. SEGURANÇA , RISCOS DAS INFORMACÕES E PROTECÃO DOS DADOS PESSOAIS. 2012
  • 2. Conteúdo • Vídeo Sobre o Tema. • Sistema Integral de Gestão da Segurança da Informacão. • Norma ISO 27001:2005. • Payment Card Industry Data Security Standard – PCI – DSS. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
  • 3. Objetivo • Que todas pessoas compreendam o que é Sistema de Gestão de Segurança da Informação ISO 27001:2005 e como proteger e garantir a confidencialidade das informações que nossos clientes e usuários nos proporcionam. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
  • 4. Sistema de Gestão Integral da Segurança e Proteção da Informação. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • A Iké Asistencia Brasil desde o ano de 2009 é uma organização certificada em ISO 9001:2008 e desde 2011 temos o PCI-DSS. Buscamos para o ano de 2012 a certificação ISO 27000:2005, para isso, focaremos no exercício de boas práticas para o manuseio de informações (documentos, arquivos, planos de contingência, pessoas e tecnologia) dentro dos processos internos da organização. 1
  • 5. O que é SIGSI? SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • É um sistema de gerenciamento que nos ajuda à assegurar a CONFIDENCIALIDADE, INTEGRIDADE e DISPONIBILIDADE dos ativos de informação, minimizando os riscos de segurança da informação. 2
  • 6. Como Funciona o S I G S I SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • Cada área terá um Manual de Segurança que tratará de maneira geral os sistemas adotados sobre segurança da informação de acordo com as nossas necessidades e compromissos através de Políticas e Procedimentos de Segurança. • Todas as Políticas e Procedimentos de Segurança são aplicados a todas as pessoas da empresa e qualquer não cumprimento dos mesmos implicarão em Eventos ou Incidentes de Segurança. 3
  • 7. Alcance do S I G S I SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • Proteger os ativos, recursos tecnológicos, informações da empresa, de cartões de crédito e informações pessoais de clientes e usuários dentro dos processos relacionados a prestação dos serviços de Assistência. Assim como as informações que os Clientes Corporativos nos proporcionam para tal fim. 4
  • 8. Ativo SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS Ativos são bens tangíveis ou intangíveis que uma empresa possui . Entende-se um ativo de informação por ser elemento(s) com valor informativo que são propriedades de uma empresa, instituição ou indivíduo, e que refletem sua atividade. 5
  • 9. Política do S I G S I SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • Na Ikê Asistencia Brasil estamos comprometidos em manter a Confidencialidade, Integridade e Disponibilidade de nossas informações estratégica, relacionadas as informações de cartões de Crédito de propriedade de nossos Clientes e toda informação pessoal dos Usuários, melhorando a cada dia nosso Sistema Integral de Gestão de Segurança da Informação. 6
  • 10. Plano de Continuidade do Negocio BCP do SIGSI SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • É um Plano de Ação documentado que coordena todas as áreas da empresa, principalmente aquelas que são consideradas sensíveis como Central de Atendimento Telefônico (CAT), Tecnologia da Informação e Serviços Gerais, minimizando o impacto de qualquer interrupção das principais atividades do negócio. 7
  • 11. Objetivos do S I G S I SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • 1. Garantir a Continuidade das atividades da empresa com a implantação efetiva de um plano BCP para todos os aspectos. • 2. Manter a promover a cultura de segurança e proteção da informação da empresa, dos dados de cartão de crédito e informações pessoais dos usuários e clientes conforme os requerimentos adotados. 8
  • 12. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • 3. Manter de maneira efetiva os controles adotados e seu correto monitoramento, bem como a Confidencialidade, Disponibilidade e Integridade da Informação da empresa, cartão de crédito e informação pessoal dos usuários. • 4. Minimizar com medidas apropriadas o impacto dos eventos e incidentes de segurança da informação que comprometam a informação da empresa, cartão de crédito e informação pessoal dos usuários. 9 Objetivos do S I G S I
  • 13. Plano de Continuidade do Negócio BCP do SIGSI SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS Garantir o restabelecimento ou recuperação do negócio no menor tempo possível de maneira ordenada, com aprovação da Direção Geral. C.A.T > T.I. > S.G. TEMPO + ORDEM = RECUPERAÇÃO DO NEGÓCIO 10
  • 14. Rotina de Auditoria do SIGSI SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • Toda a empresa será submetida a duas Auditorias: • INTERNA- Cada seis meses, cuja a intenção é revisar o comportamento dos processos declarados para Segurança da Informação. • EXTERNA – Também a cada seis meses, cuja a intenção é revisar toda a administração do SIGSI e os resultados das auditorias internas. 11
  • 15. Auditoria do SIGSI SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS - BSI revisará o que diz respeito a ISO 27001:2005 - IBM de México & Master Card revisará o que diz respeito a PCI-DSS 12
  • 16. Proteção de Dados Pessoais SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • Devemos garantir aos usuários seus direitos ARCO. - Acesso - Retificação - Cancelamento - Oposição Segurança e Riscos da Informação e de Proteção de Dados Pessoais apoiará as áreas neste sentido quando necessário. 13
  • 17. Finalidade do S I G S I SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS • O processo de gestão integral permite garantir a segurança necessária da informação que constam nas normas adotadas e implementadas na ISO 27001:2005 // PCI-DSS já que ambas estão voltadas para Segurança da Informação. 14
  • 18. Benefícios para a IKÊ com a ISO 27001:2005 SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS •Melhoria do conhecimento dos sistemas de informação, seus problemas e os meios de proteção. •Proteção da informação. •Diferencial sobre a concorrência e maior destaque no mercado. 15
  • 19. Políticas e Procedimentos. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS 16 Até o momento estão previstos 27 procedimentos de segurança para a proteção dos ativos da organização Gerais - 8 Politicas (Senhas, digitalização de documentos, telefonia, uso equipamentos) Serviços Gerais 1 Politica (Controle de acesso) Recursos Humanos 2 Politicas (Desligamentos, medidas disciplinares) T.I. 15 Políticas (Manutenção de computadores, licenças de software, inventário) Segurança da Informação 1 Politica (Levantamento de incidentes de segurança)
  • 20. Verificações de Segurança SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS - Procedimento obrigatório que ajuda a diminuir nossos riscos em relação aos ativos de informação. - Se revisa o cumprimento das Políticas e Procedimentos - O descumprimento nas verificações, se da origem aos Incidentes de Segurança. - Os Incidentes de Segurança são sancionados nos termos do Regulamento Interno de Trabalho e penalizados se preciso, conforme procedimento existente para tal fim. 17
  • 21. PolÍtica de Segurança PCI-DSS “Na Ikê Assistencia Brasil estamos comprometidos em manter a Confidencialidade, Integridade e Disponibilidade da informação dos Cartões de Crédito, buscando a efetividade em sua segurança e a melhora continua de todos os requerimentos PCI-DSS adotados” 18 SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
  • 22. Restrições de Segurança PCI-DSS - Fica restringido anotar em simples papéis os 16 dígitos de qualquer cartão de crédito e o CVV (Código de Segurança) - Não é permitido informar a pessoas fora da empresa e/ou pessoas alheias a nossa atividade, qualquer tipo de informação referente a portadores do cartão ou cartões de crédito. - Proibido enviar ou receber por email interno ou por correio público (yahoo, hotmail, gmail, etc.) qualquer tipo de documentos que contenham dados de Cartão de Crédito. Qualquer evento deste tipo é passível de punição. - Fica restringido proporcionar dados dos cartões de crédito via telefone, fax, celular, USB´s, ipod´s, fotografia ou através de qualquer outro meio. 19 SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
  • 23. Alcance de Ikê Assistencia Brasil PCI-DSS Proteger os ativos, recursos tecnológicos e informações relacionadas a cartões de crédito que permitem o fornecimento dos serviços de Assistência Concierge, Asistencia Auto e Assistência Residencial, assim como a informação que os Clientes proprietários das Marcas de Cartão de Crédito proporcionam para tal fim. 20 SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
  • 24. SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS OBRIGADO POR SUA PARTICIPAÇÃO!!! 21