Bizneo depende de sistemas de informação. Esses sistemas são gerenciados com diligência, tomando-se as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, a integridade, a confidencialidade, a autenticidade ou a rastreabilidade das informações processadas e dos serviços prestados.

Conscientes da importância da segurança da informação e em consonância com o caminho que marca nossa própria identidade, a partir do Bizneo promovemos o estabelecimento de um sistema de gerenciamento de segurança da informação (doravante ISMS) sob a norma ISO 27001 e de acordo com os requisitos do Real Decreto 311/2022, de 3 de maio, que regulamenta o Regime Nacional de Segurança no campo da Administração Eletrônica (doravante, ENS), a fim de identificar, avaliar e minimizar os riscos aos quais suas informações e as de seus clientes estão expostas, bem como garantir o cumprimento dos objetivos estabelecidos.

O objetivo da presente Política de Segurança é garantir a qualidade da informação e a prestação contínua de serviços, atuando de forma preventiva e supervisionando a atividade diária, bem como fornecer um quadro de referência para o estabelecimento de objetivos de segurança que permitam à Bizneo desenvolver uma cultura empresarial, uma forma de trabalhar e de tomar decisões, alinhada com a segurança da informação e que o respeito aos dados pessoais seja uma constante.

Os sistemas de informação são protegidos contra ameaças em rápida evolução, cujos danos potenciais afetam a confidencialidade, a integridade, a disponibilidade, o uso pretendido (rastreabilidade) e o valor das informações (autenticidade) dos serviços. Para se defender contra essas ameaças, foi definida uma estratégia que se adapta às mudanças nas condições ambientais para garantir a prestação contínua de nossos serviços.

Os diferentes departamentos da Bizneo garantem que a segurança seja parte integrante de cada estágio do ciclo de vida do sistema, desde sua concepção até sua desativação, incluindo decisões de desenvolvimento ou aquisição e atividades de operação.

Bizneo está preparada para prevenir, detectar, reagir e se recuperar de incidentes, de acordo com o artigo 12 da ENS, razão pela qual tem atuado no sentido de aprimorar diferentes aspectos da segurança da informação:

Marco Legal e Regulatória

Bizneo conduzirá suas atividades de acordo com a estrutura legal e regulatória em vigor. Compromete-se a cumprir todas as leis e regulamentos relevantes relacionados à segurança da informação, incluindo, mas não se limitando àqueles indicados no documento “Legislação aplicável ao SGSI”.

Bizneo integra a ENS e a ISO 27001 à política de segurança da organização para oferecer uma estrutura mais completa e robusta para tratar de aspectos específicos da segurança da informação, tanto em nível nacional quanto internacional. Além disso, a adoção desses padrões aumenta a credibilidade da empresa, demonstrando seu compromisso com as melhores práticas de segurança.

Marco Organizacional da Segurança

Esta política de segurança foi estabelecida de acordo com os princípios básicos descritos no Capítulo II do Decreto Real 311/2022 e foi desenvolvida aplicando-se os seguintes requisitos mínimos:

Organização em matéria de segurança

De acordo com o Esquema de Segurança Nacional (ENS), nossa organização adota os seguintes princípios básicos para garantir a segurança das informações:

1. segurança abrangente

2. gerenciamento de riscos

3. Prevenção, detecção e resposta

4. Linhas de defesa

5. Reavaliação contínua

6. Funções e responsabilidades

7. Segurança proporcional

8. Documentação e manutenção de registros

As funções e responsabilidades do Security Officer, do Information Officer e do Services Officer também foram definidas, bem como seu relacionamento com o Comitê de Segurança.

A fim de descrever o processo e a hierarquia para a resolução de conflitos de autoridade que possam ocorrer durante o gerenciamento do ENS entre os perfis críticos com responsabilidades em questões de segurança, a Bizneo definiu as funções para a resolução de conflitos de autoridade que se aplicam a todos os perfis específicos do gerenciamento do ENS (consulte Responsabilidades, Autoridade e Competência do ENS).

O Gerente de Segurança da Informação, o Gerente de Serviços, bem como o Gerente de Informações, serão nomeados pela Gerência sob proposta do Comitê de Segurança. Essas nomeações serão revisadas a cada dois anos ou quando o cargo ficar vago.

O organograma a seguir descreve os cargos com funções ou responsabilidades relacionadas à segurança das informações. Na ausência de qualquer um desses gerentes, o escalonamento será feito de acordo com as linhas hierárquicas marcadas nesse diagrama.

Análise e gestão de riscos

Todos os sistemas sujeitos a esta Política foram avaliados por meio de uma análise de risco, avaliando as ameaças e os riscos aos quais estão expostos. Essa análise será repetida:

• Regularmente, pelo menos uma vez por ano

• Quando a informação manejada mudar

• Quando os serviços prestados mudarem

• Quando ocorrer um incidente grave de segurança

• Quando vulnerabilidades graves forem relatadas

Documentação e Comunicação

Esta Política de Segurança da Informação deve ser disponibilizada como informação documentada e comunicada dentro da organização. Além disso, ela deve ser compartilhada com as partes interessadas relevantes, como autoridades, operadores e usuários de transporte público, conforme apropriado.

Revisão e Atualização

Esta política será revisada anualmente ou antes, se houver mudanças significativas no ambiente operacional ou tecnológico da Bizneo. A gerência sênior está comprometida em manter esta política alinhada com os objetivos da empresa e com os requisitos de segurança da informação aplicáveis.

Esta Política de Segurança da Informação estará sempre alinhada com as políticas gerais da empresa e com aquelas que servem de estrutura para outros sistemas de gerenciamento interno, como as políticas de qualidade.

Em Madri, 16 de julho de 2024

Santiago Salas

CEO Bizneo