Política de Segurança da Informação

Diretrizes e controles da Aira Software Ltda. para proteger a confidencialidade, integridade e disponibilidade das informações, em conformidade com a LGPD e a ISO/IEC 27001.

Versão 1.1, aprovada em 12 de junho de 2026 (revisão da versão 1.0, de 17 de outubro de 2024). AIRA SOFTWARE LTDA.

1. Objetivo

Esta Política de Segurança da Informação (“PSI”) tem como objetivo estabelecer diretrizes e controles necessários para proteger os ativos de informação da AIRA SOFTWARE LTDA. (“AIRA”), assegurando a confidencialidade, integridade e disponibilidade dos dados tratados, em conformidade com a Lei Geral de Proteção de Dados (“LGPD”), normas ISO/IEC 27001 e boas práticas de mercado. A PSI também visa a mitigação de riscos e a garantia da continuidade do negócio.

2. Abrangência

Esta política aplica-se a:

Todos os colaboradores, estagiários, prestadores de serviço, parceiros e terceiros que tenham acesso às informações da AIRA.
Todos os ativos de informação, incluindo sistemas, redes, dispositivos e dados sob custódia ou propriedade da AIRA.

3. Princípios Fundamentais

A PSI fundamenta-se nos seguintes princípios:

Confidencialidade: Garantir que as informações sejam acessadas apenas por pessoas autorizadas.
Integridade: Assegurar que as informações sejam mantidas íntegras, evitando alterações indevidas.
Disponibilidade: Garantir que as informações estejam acessíveis quando necessárias para os processos de negócio, incluindo medidas específicas como redundância de sistemas, planos de recuperação de desastres e monitoramento contínuo.

4. Diretrizes Gerais

4.1. Classificação da Informação

As informações da AIRA devem ser classificadas nos seguintes níveis:

Pública: Informações que podem ser livremente divulgadas.
Interna: Informações acessíveis apenas a colaboradores.
Restrita: Informações confidenciais com acesso limitado.
Confidencial: Informações de alto sigilo, com acesso estritamente controlado.

4.2. Gestão de Acessos

Os acessos digitais e físicos devem ser concedidos com base no princípio do menor privilégio.
A utilização de credenciais é pessoal e intransferível.
Recomenda-se a adoção de autenticação multifator para sistemas sensíveis, com implementação progressiva conforme a criticidade do ambiente.

4.3. Segurança de Dados

Dados pessoais devem ser tratados conforme os requisitos da LGPD, incluindo o uso de criptografia para armazenamento e transmissão.
É vedado o armazenamento de informações corporativas em dispositivos ou plataformas não autorizados.

4.4. Gestão de Riscos

Realizar avaliações regulares de risco e implementar controles para mitigar vulnerabilidades identificadas.
Garantir a documentação e o monitoramento de planos de contingência e continuidade.

4.5. Capacitação e Conscientização

Promover treinamentos periódicos em segurança da informação para colaboradores e terceiros.
Disseminar boas práticas e políticas através de comunicação interna e campanhas educativas.

4.6. Monitoramento e Auditoria

Todas as atividades nos sistemas e redes serão registradas e monitoradas para prevenir e detectar acessos não autorizados ou incidentes.
Realizar auditorias regulares para verificar a conformidade com a PSI.

5. Tratamento de Incidentes

5.1. Definição de Incidente

Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade das informações.

5.2. Notificação

Todos os incidentes devem ser comunicados imediatamente ao Comitê de Segurança da Informação.
No caso de incidentes relacionados a dados pessoais, a Autoridade Nacional de Proteção de Dados (“ANPD”) e os titulares serão notificados em conformidade com a LGPD.

5.3. Respostas e Ações

Os incidentes serão analisados para identificar a causa raiz e impacto.
Medidas corretivas serão implementadas para evitar recorrências.

6. Papéis e Responsabilidades

Colaboradores: Responsáveis por cumprir a PSI e reportar atividades suspeitas.
Equipe de Segurança da Informação: Monitorar, revisar e melhorar os controles de segurança.
Gestores e Direção: Garantir a implementação da PSI em suas áreas, prover os recursos necessários e liderar a cultura de segurança.

7. Vigência e Revisão

Esta política entra em vigor a partir da data de sua aprovação pela direção e deverá ser revisada anualmente ou sempre que houver alterações significativas no ambiente de negócios ou regulamentações aplicáveis.

8. Penalidades

O descumprimento das diretrizes desta PSI pode acarretar sanções disciplinares, rescisão contratual e responsabilizações civis e criminais, conforme a gravidade da infração e legislação aplicável.

9. Legislação e Normas Relacionadas

Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor;
Lei nº 9.296, de 1996, que trata sobre a interceptação das comunicações telefônicas;
Lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação de delitos informáticos;
Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet;
Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais;
ISO/IEC 27.001;
NBR ISO/IEC 27.002/2005;
Resolução BCB nº 4.893, de 26 de fevereiro de 2021.