Upload
menisike
View
283
Download
3
Embed Size (px)
Citation preview
SEGURANÇA , RISCOS DAS
INFORMACÕES E PROTECÃO
DOS DADOS PESSOAIS.
2012
Conteúdo
• Vídeo Sobre o Tema.
• Sistema Integral de Gestão da Segurança da Informacão.
• Norma ISO 27001:2005.
• Payment Card Industry Data Security Standard – PCI – DSS.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Objetivo
• Que todas pessoas compreendam o que é Sistema de Gestão
de Segurança da Informação ISO 27001:2005 e como proteger e
garantir a confidencialidade das informações que nossos
clientes e usuários nos proporcionam.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Sistema de Gestão Integral
da Segurança e Proteção
da Informação.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• A Iké Asistencia Brasil desde o ano de 2009 é
uma organização certificada em ISO 9001:2008
e desde 2011 temos o PCI-DSS. Buscamos
para o ano de 2012 a certificação ISO
27000:2005, para isso, focaremos no exercício
de boas práticas para o manuseio de
informações (documentos, arquivos, planos de
contingência, pessoas e tecnologia) dentro dos
processos internos da organização.
1
O que é SIGSI?
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• É um sistema de gerenciamento que nos ajuda
à assegurar a CONFIDENCIALIDADE,
INTEGRIDADE e DISPONIBILIDADE dos ativos
de informação, minimizando os riscos de
segurança da informação.
2
Como Funciona o S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Cada área terá um Manual de Segurança que
tratará de maneira geral os sistemas adotados
sobre segurança da informação de acordo com
as nossas necessidades e compromissos
através de Políticas e Procedimentos de
Segurança.
• Todas as Políticas e Procedimentos de
Segurança são aplicados a todas as pessoas
da empresa e qualquer não cumprimento dos
mesmos implicarão em Eventos ou Incidentes
de Segurança.
3
Alcance do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Proteger os ativos, recursos tecnológicos,
informações da empresa, de cartões de
crédito e informações pessoais de clientes e
usuários dentro dos processos relacionados
a prestação dos serviços de Assistência.
Assim como as informações que os Clientes
Corporativos nos proporcionam para tal fim.
4
Ativo
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Ativos são bens tangíveis ou intangíveis que uma empresa
possui .
Entende-se um ativo de informação por ser elemento(s)
com valor informativo que são propriedades de uma
empresa, instituição ou indivíduo, e que refletem sua
atividade.
5
Política do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Na Ikê Asistencia Brasil estamos
comprometidos em manter a
Confidencialidade, Integridade e
Disponibilidade de nossas informações
estratégica, relacionadas as informações de
cartões de Crédito de propriedade de nossos
Clientes e toda informação pessoal dos
Usuários, melhorando a cada dia nosso
Sistema Integral de Gestão de Segurança da
Informação.
6
Plano de Continuidade do
Negocio BCP do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• É um Plano de Ação documentado que
coordena todas as áreas da empresa,
principalmente aquelas que são consideradas
sensíveis como Central de Atendimento
Telefônico (CAT), Tecnologia da Informação e
Serviços Gerais, minimizando o impacto de
qualquer interrupção das principais atividades
do negócio.
7
Objetivos do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• 1. Garantir a Continuidade das atividades da
empresa com a implantação efetiva de um
plano BCP para todos os aspectos.
• 2. Manter a promover a cultura de segurança e
proteção da informação da empresa, dos
dados de cartão de crédito e informações
pessoais dos usuários e clientes conforme os
requerimentos adotados.
8
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• 3. Manter de maneira efetiva os controles
adotados e seu correto monitoramento, bem
como a Confidencialidade, Disponibilidade e
Integridade da Informação da empresa, cartão
de crédito e informação pessoal dos usuários.
• 4. Minimizar com medidas apropriadas o
impacto dos eventos e incidentes de segurança
da informação que comprometam a informação
da empresa, cartão de crédito e informação
pessoal dos usuários.
9
Objetivos do S I G S I
Plano de Continuidade do
Negócio BCP do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Garantir o restabelecimento ou recuperação do
negócio no menor tempo possível de maneira
ordenada, com aprovação da Direção Geral.
C.A.T > T.I. > S.G.
TEMPO + ORDEM = RECUPERAÇÃO DO
NEGÓCIO
10
Rotina de Auditoria
do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Toda a empresa será submetida a duas
Auditorias:
• INTERNA- Cada seis meses, cuja a intenção é
revisar o comportamento dos processos
declarados para Segurança da Informação.
• EXTERNA – Também a cada seis meses, cuja a
intenção é revisar toda a administração do
SIGSI e os resultados das auditorias internas.
11
Auditoria do SIGSI
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
- BSI revisará o que diz respeito a ISO
27001:2005
- IBM de México & Master Card revisará o que diz
respeito a PCI-DSS
12
Proteção de Dados
Pessoais
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• Devemos garantir aos usuários seus
direitos ARCO.
- Acesso
- Retificação
- Cancelamento
- Oposição
Segurança e Riscos da Informação e de
Proteção de Dados Pessoais apoiará as áreas
neste sentido quando necessário.
13
Finalidade do S I G S I
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
• O processo de gestão integral permite garantir
a segurança necessária da informação que
constam nas normas adotadas e
implementadas na ISO 27001:2005 // PCI-DSS
já que ambas estão voltadas para Segurança
da Informação.
14
Benefícios para a IKÊ
com a ISO 27001:2005
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
•Melhoria do conhecimento dos sistemas de informação,
seus problemas e os meios de proteção.
•Proteção da informação.
•Diferencial sobre a concorrência e maior destaque no
mercado.
15
Políticas e Procedimentos.
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
16
Até o momento estão previstos 27 procedimentos de
segurança para a proteção dos ativos da organização
Gerais - 8 Politicas(Senhas, digitalização de
documentos, telefonia, uso
equipamentos)
Serviços Gerais
1 Politica(Controle de acesso)
Recursos Humanos
2 Politicas(Desligamentos, medidas
disciplinares)
T.I.
15 Políticas(Manutenção de computadores,
licenças de software, inventário)
Segurança da Informação
1 Politica(Levantamento de incidentes de segurança)
Verificações de
Segurança
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
- Procedimento obrigatório que ajuda a diminuir nossos
riscos em relação aos ativos de informação.
- Se revisa o cumprimento das Políticas e Procedimentos
- O descumprimento nas verificações, se da origem aos
Incidentes de Segurança.
- Os Incidentes de Segurança são sancionados nos termos
do Regulamento Interno de Trabalho e penalizados se
preciso, conforme procedimento existente para tal fim.
17
PolÍtica de Segurança
PCI-DSS
“Na Ikê Assistencia Brasil estamos comprometidos em
manter a Confidencialidade, Integridade e Disponibilidade
da informação dos Cartões de Crédito, buscando a
efetividade em sua segurança e a melhora continua de
todos os requerimentos PCI-DSS adotados”
18
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Restrições de Segurança
PCI-DSS
- Fica restringido anotar em simples papéis os 16 dígitos
de qualquer cartão de crédito e o CVV (Código de
Segurança)
- Não é permitido informar a pessoas fora da empresa e/ou
pessoas alheias a nossa atividade, qualquer tipo de
informação referente a portadores do cartão ou cartões de
crédito.
- Proibido enviar ou receber por email interno ou por
correio público (yahoo, hotmail, gmail, etc.) qualquer tipo
de documentos que contenham dados de Cartão de
Crédito. Qualquer evento deste tipo é passível de punição.
- Fica restringido proporcionar dados dos cartões de
crédito via telefone, fax, celular, USB´s, ipod´s,
fotografia ou através de qualquer outro meio.
19
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
Alcance de Ikê Assistencia
Brasil PCI-DSS
Proteger os ativos, recursos tecnológicos e informações
relacionadas a cartões de crédito que permitem o fornecimento
dos serviços de Assistência Concierge, Asistencia Auto e
Assistência Residencial, assim como a informação que os
Clientes proprietários das Marcas de Cartão de Crédito
proporcionam para tal fim.
20
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS
OBRIGADO POR
SUA
PARTICIPAÇÃO!!!
21