Política de Segurança da Informação

Green Platform N.V. (hereinafter “Green Platform”, "Empresa") tem o dever de proteger os seus ativos de informação, garantir a continuidade dos negócios e proteger o fluxo de informação, interna e externamente. A segurança da informação é vital para garantir a partilha de dados eficaz e protegida, protegendo ao mesmo tempo a infra-estrutura de informação contra incidentes de segurança.
{% translate "The Green Platform Information Security Policy is intended to safeguard the Company, Company staff, its clients, partners and owners of intellectual property rights from information security related incidents and any consequential action, loss of income or damage. The Policy also aims to establish control requirements on network systems, based on the International Standards ISO/IEC 27001 and ISO/IEC 27002." %}

1. Escopo

Esta Política se aplica a todos os seguintes grupos de funcionários e afiliados da Green Platform (mas não está limitada a):
Qualquer pessoa acessando Informação que é propriedade da Plataforma Verde;
Anyone accessing the Green Platform rede de computadores;
Qualquer pessoa usando equipamento de informática que é propriedade da Plataforma Verde;
All Green Platform funcionárias;
All Green Platform afiliados e fornecedores.
Esta Política protege core/templates/core/information-security-policy/info-security-policy-content.html:17 sistemas de informação usados ​​para armazenar e processar informações.

Isso inclui, mas não está limitado a:
• Sistemas em nuvem desenvolvidos ou encomendados pela Empresa;
• sistemas ou dados conectados às redes da Empresa;
• sistemas gerenciados pela Empresa;
• dispositivos móveis usados ​​para conectar-se às redes da Empresa ou armazenar dados da Empresa;
• dados sobre os quais a Empresa detém os direitos de propriedade intelectual;
• dados sobre os quais a Empresa é o controlador ou processador de dados (onde quer que sejam mantidos)

2. Responsabilidades

É responsabilidade de todos os usuários das fontes e sistemas de informações da Empresa cumprir as instruções da Empresa relativas à proteção das informações.
A Empresa disponibilizará esta Política a todos os novos funcionários. A Empresa informará os funcionários sobre a Política e os informará sobre quaisquer revisões significativas da Política.
A Empresa entende sua responsabilidade em gerenciar corretamente as informações. Esta gestão da informação promove a eficiência empresarial (reconhecendo a informação como um ativo primário, digno de proteção), uma gestão eficaz dos riscos, a conformidade legal (especialmente em relação ao Regulamento Geral de Proteção de Dados) e uma boa governação corporativa.

Responsabilidades dos colaboradores, afiliadas, fornecedores e parceiros da Empresa:

Todos os funcionários da Empresa, afiliados da Empresa, fornecedores e parceiros, terceiros serão usuários das informações da Empresa. Isto acarreta a responsabilidade de cumprir esta Política, apoiando políticas e legislação relevante. Nenhum indivíduo deve poder aceder a informações às quais não tenha um direito de acesso legítimo. Não obstante os sistemas em vigor para evitar isto, nenhum indivíduo deve violar conscientemente esta política, nem permitir que outros o façam. Para relatar violações de dados, consulte a Seção 3.6: Tratamento de Incidentes

Equipes de tecnologia lideradas por negócios:

Responsável pelos sistemas de informação (ex. RH/Registro/Finanças) manuais e eletrônicos que suportam o trabalho da Empresa. Isto inclui garantir que os dados sejam armazenados de forma adequada, que os riscos para os dados sejam adequadamente compreendidos e mitigados ou explicitamente aceitos, que os direitos de acesso corretos tenham sido implementados, com os dados acessíveis apenas às pessoas certas, e garantir que haja recursos de backup apropriados. , mecanismos de retenção, recuperação de desastres e eliminação em vigor.

Gerentes de projeto:

Responsável pela segurança das informações produzidas, fornecidas ou mantidas no decorrer da realização dos projetos. Isto inclui garantir que os dados sejam armazenados de forma adequada, que os riscos para os dados sejam adequadamente compreendidos e mitigados, que os direitos de acesso corretos tenham sido implementados, com os dados acessíveis apenas às pessoas certas, e garantir que haja recursos adequados de backup, retenção, proteção contra desastres. mecanismos de recuperação e eliminação.

Líderes de serviços profissionais, gerentes departamentais/gerentes de linha:

Responsável por áreas específicas de trabalho da Empresa, incluindo todas as informações e documentação de apoio que podem incluir documentos de trabalho/contratos/informações de pessoal.

Responsável pela Proteção de Dados:

Responsável por questões de proteção de dados e retenção de registros.

Equipe de segurança cibernética:

Responsible for ensuring that the provision of Company’s IT infrastructure, cloud environments and applications is consistent with the demands of this policy and current good practice. Responsible for assurance activities, pen testing, information security policies and specialist information security advice. Incident response for cyber security issues. User awareness.

Conselho de Administração

Responsável pela aprovação de políticas de segurança da informação.

3. Política

3.1. Princípios de segurança da informação

Os seguintes princípios de segurança da informação fornecem governança abrangente para a segurança e o gerenciamento das informações na Empresa:
1. A informação deve ser classificada de acordo com um nível apropriado de confidencialidade, integridade e disponibilidade (ver Secção 3.3. Classificação da Informação) e de acordo com os requisitos legislativos, regulamentares e contratuais relevantes.
2. Os utilizadores com responsabilidades pela informação (ver Secção 2. Responsabilidades) devem:
a. garantir que a classificação dessas informações seja estabelecida;
b. deve tratar essa informação de acordo com o seu nível de classificação;
c. deve cumprir as políticas, procedimentos e quaisquer requisitos contratuais da Empresa.
3. Todos os utilizadores abrangidos pelo âmbito desta política (ver Secção 1. Âmbito) devem tratar a informação de forma adequada e de acordo com o seu nível de classificação.
4. As informações devem ser seguras e estar disponíveis para aqueles que tenham uma necessidade legítima de acesso, de acordo com o seu nível de classificação. O acesso à informação será baseado no menor privilégio e na necessidade de saber.
5. As informações serão protegidas contra acesso e processamento não autorizados.
6. As violações desta política devem ser denunciadas (ver Seção 3.6. Tratamento de Incidentes)
7. A provisão de segurança da informação e as políticas que a orientam serão revistas regularmente, inclusive através do uso de auditorias externas anuais e testes de penetração.
8. Os Sistemas de Gestão de Segurança da Informação (SGSIs) explícitos executados na Empresa serão avaliados e ajustados através dos princípios de melhoria contínua.

3.2 Obrigações Legais e Regulatórias

{% translate "We store and process your Personal Data in data centres around the world, wherever Green Platform facilities or service providers are located. As such, we may transfer your Personal Data outside of the European Union. Some of the countries to which your personal data may be transferred for these purposes that are located outside the EU do not benefit from an adequacy decision issued by the EU Commission regarding protection afforded to personal data in that country. Details of these specific countries can be found here: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en If we do transfer your personal data outside of the EEA, within the group or to our business partners, we will take all reasonable steps to ensure that adequate measures are applied to keep your personal data as secure as it is within the EEA and in accordance with this Privacy Policy, by relying on the use of standard contractual clauses or binding corporate rules or any other acceptable method that ensures protection of your data based on the standard required within the EEA." %}
Pode sempre contactar-nos para receber a lista completa dos nossos prestadores de serviços fora do EEE que processam os seus dados.

3.3 Classificação da Informação

1. A tabela a seguir apresenta um resumo dos níveis de classificação das informações que foram adotados pela Companhia e que sustentam os princípios de segurança da informação da Companhia.
2. A informação pode alterar os níveis de classificação ao longo da sua vida.

3.4 Fornecedores e Afiliadas

Todos os fornecedores e afiliados da Empresa respeitarão a Política de Segurança da Informação da Empresa ou poderão demonstrar políticas de segurança corporativa que forneçam garantia equivalente.
Isso inclui:
• ao acessar ou processar ativos da Empresa, seja no local ou remotamente
• ao subcontratar outros fornecedores.

3.5 Conformidade, Conscientização sobre Políticas e Procedimentos Disciplinares

1. O cumprimento desta Política é obrigatório.
2. Treinamento obrigatório de conscientização dos usuários acompanhará esta Política.
3. Todos os funcionários atuais e outros usuários autorizados serão informados da existência desta Política e da disponibilidade de políticas de apoio.
4. Qualquer violação de segurança será tratada de acordo com todas as políticas relevantes da Empresa, incluindo políticas disciplinares apropriadas.

3.6 Tratamento de Incidentes

1. Se um membro da equipe da Empresa tiver conhecimento de um incidente de segurança da informação, deverá reportá-lo para legal@vegangster.com.

3.7 Revisão e Desenvolvimento

1. Esta Política será atualizada regularmente para garantir que permaneça apropriada à luz de quaisquer alterações relevantes na lei, nas políticas organizacionais ou nas obrigações contratuais.
2. Políticas adicionais podem ser criadas para cobrir áreas específicas.core/templates/core/information-security-policy/info-security-policy-content.html:137