Política de segurança

ONE MILLION BOT, SL é uma empresa tecnológica na área da Inteligência Artificial com vasta experiência em Processamento de Linguagem Natural (PLN) e assistentes virtuais inteligentes.

1MILLIONBOT foi criado em julho de 2018 como um spin off da ITYIS SIGLO XXI, SL, um grupo econômico com 20 anos de experiência e sucessos na economia digital.

A visão da nossa empresa é a seguinte: Liderar a linguagem que ainda está por vir, criando uma Inteligência Artificial +e:

+ ética

+ empático

+ evolutivo

Estes valores refletem-se em todos os nossos projetos, nos quais asseguramos a mais rigorosa ética na aplicação da Inteligência Artificial, zelando sempre pela experiência do utilizador e garantindo flexibilidade e valor crescente para as empresas e para a sociedade.

O propósito da nossa empresa é criar soluções personalizadas em Inteligência Artificial para agregar valor aos nossos clientes e à sociedade, sempre pautados pela eficiência e ética como princípios fundamentais. A 1MILLIONBOT está altamente comprometida com a inovação, a melhoria contínua e a qualidade do serviço prestado aos seus clientes.

Marco normativo
Escopo
Princípios e diretrizes
objetivos
Organização de segurança
Documentação de segurança
Dados pessoais
Gestão de riscos
Obrigação do pessoal
Terceiros

Marco normativo

O quadro regulamentar em matéria de segurança da informação em que a 1MILLIONBOT desenvolve a sua atividade é essencialmente o seguinte:

Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais.
Real Decreto 1720/2007, de 21 de dezembro, que aprova o Regulamento para o desenvolvimento da Lei Orgânica 15/1999 sobre a Proteção de Dados Pessoais.
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/ CE.
Real Decreto 3/2010, de 8 de janeiro, que regulamenta o Regime Nacional de Segurança no domínio da administração eletrónica.
Real Decreto 951/2015, de 23 de outubro, que modifica o Real Decreto 3/2010, de 8 de janeiro, que regulamenta o Regime Nacional de Segurança no domínio da Administração Eletrónica.
Lei 34/2002, de 11 de julho, sobre Serviços da Sociedade da Informação e Comércio Eletrônico.
Real Decreto Legislativo 1/1996, de 12 de abril, que aprova o Texto Consolidado da Lei de Propriedade Intelectual.

Escopo

Esta política de segurança afeta todos os sistemas, funcionários e fornecedores relacionados ao 1MILLIONBOT.

O âmbito desta política insere-se nos sistemas, pessoas e fornecedores que intervêm nos sistemas de informação que suportam os processos de conceção, desenvolvimento e manutenção de assistentes virtuais baseados em inteligência artificial para serviços em modo SaaS, bem como na conceção, desenvolvimento e manutenção de aplicações dos serviços prestados aos clientes.

Princípios e diretrizes

Os princípios contemplados pelo 1MILLIONBOT no que diz respeito à garantia da segurança da informação são os enunciados no artigo 4.º do RD 3/2010, que regulamenta o Regime Nacional de Segurança no domínio da Administração Eletrónica.

PREVENÇÃO

O 1MILLIONBOT evita que informações ou serviços sejam prejudicados por incidentes de segurança. Para o efeito, os departamentos aplicam as medidas mínimas de segurança determinadas pelo Esquema Nacional de Segurança, bem como eventuais controlos adicionais identificados através de avaliação de ameaças e riscos. Esses controles, as funções de segurança e as responsabilidades de todo o pessoal, são claramente definidos e documentados.

Para garantir a conformidade com a política de segurança, 1MILLIONBOT:

Autorizar sistemas antes de entrar em operação
Solicitar revisões periódicas de terceiros com o objetivo de obter uma avaliação independente.

DETECÇÃO

Os serviços são continuamente monitorados para detectar anomalias na prestação de serviços e agir em conformidade conforme estabelecido no art. 8 e art. 9 da ENS.

Existem mecanismos estabelecidos de detecção, análise e denúncia que chegam aos responsáveis regularmente e, principalmente, quando há desvio dos parâmetros pré-estabelecidos.

RESPOSTA

Existem mecanismos para responder eficazmente a incidentes de segurança. Uma caixa de correio é habilitada como canal de comunicação para incidentes de segurança, que serão supervisionados pelo responsável. O procedimento para a troca de informações a este respeito é estabelecido através do procedimento interno para os mesmos efeitos.

RECUPERAÇÃO

Para garantir a disponibilidade de serviços críticos, o 1MILLIONBOT possui um plano de continuidade para sistemas de TIC como parte de seu plano geral de continuidade de negócios e atividades de recuperação.

objetivos

Os sistemas devem ser geridos de forma diligente, tomando as medidas adequadas para os proteger contra danos acidentais ou deliberados que possam afetar a autenticidade, disponibilidade, integridade, confidencialidade ou rastreabilidade da informação tratada ou dos serviços prestados.

O objetivo da segurança da informação é garantir a qualidade da informação e a prestação contínua dos serviços, atuando preventivamente, fiscalizando a atividade diária e reagindo rapidamente a incidentes.

Os seguintes objetivos são estabelecidos para a atual política de segurança:

Utilização de recursos corporativos, como e-mail, acesso à Internet, equipamentos de informática e comunicação.
Gestão de ativos de informação inventariados, categorizados e associados a um responsável.
Mecanismos necessários para que qualquer pessoa que acesse, ou possa acessar ativos de informação, conheça suas responsabilidades e assim reduza o risco derivado do uso indevido de ativos.
Segurança física, de forma que os ativos de informação estejam localizados em áreas seguras, protegidos por controles de acesso físico adequados ao seu nível de criticidade. Os sistemas de informação e ativos contidos nessas áreas estarão suficientemente protegidos contra ameaças físicas ou ambientais.
Segurança na gestão das comunicações e operações, pelo que a informação transmitida através das redes de comunicações deve ser devidamente protegida, tendo em conta o seu nível de sensibilidade e criticidade, através de mecanismos que garantam a sua segurança.
Controle de acesso, limitando o acesso aos ativos de informação por usuários, processos e sistemas de informação através da implementação de mecanismos de identificação, autenticação e autorização de acordo com a criticidade de cada ativo.
Aquisição, desenvolvimento e manutenção de sistemas de informação contemplando aspectos de segurança da informação em todas as fases do ciclo de vida dos referidos sistemas.
Gestão de incidentes de segurança através da implementação de mecanismos adequados à correta identificação, registo e resolução de incidentes de segurança.
Gestão da continuidade implementando mecanismos adequados para assegurar a disponibilidade dos sistemas de informação e manter a continuidade dos seus processos de negócio.

Organização de segurança

A implementação da Política de Segurança 1MILLIONBOT exige que todos os membros da organização entendam suas obrigações e responsabilidades com base no cargo ocupado.

COMITÊ DE SEGURANÇA DA INFORMAÇÃO

A Segurança da Informação é uma responsabilidade organizacional compartilhada pelo conselho de administração da 1MILLIONBOT. Consequentemente, promove a composição de um Comitê de Segurança da Informação, a fim de estabelecer um caminho definido e apoiar as iniciativas de segurança.

A referida Comissão é composta, no mínimo, pelo responsável pela segurança, pelo responsável pela informação, pelo responsável pelo serviço, pelo responsável pelos sistemas de informação e por um presidente que será o responsável final pelas decisões adotados e que conduzirão as reuniões do Comitê Segurança, informando, propondo e coordenando as atividades e decisões.

Este papel de Presidente inicialmente recai sobre a Gerência Geral do 1MILLIONBOT.

As funções do Comitê de Segurança da Informação são as seguintes:

Revisão da Política de Segurança da Informação e principais responsabilidades.
Definir e promover a estratégia e planejamento de segurança da informação, propondo a alocação de orçamento e recursos precisos.
Supervisão e controle de mudanças significativas na exposição dos ativos de informação às principais ameaças, bem como o desenvolvimento e implementação de controles e medidas destinadas a garantir a Segurança dos referidos ativos.
Aprovação das principais iniciativas para melhorar a Segurança da Informação.
Supervisão e acompanhamento de aspectos como:

Principais incidentes em Segurança da Informação.
Elaboração e atualização de planos de continuidade.
Cumprimento e disseminação das Políticas de Segurança.

FUNÇÕES E RESPONSABILIDADES

A estrutura organizacional, funções e responsabilidades do 1MILLIONBOT são definidas por procedimento interno. As principais funções são identificadas a seguir:

Gerente de segurança
Gerente de Informações
Responsável do serviço
Gerente de Sistemas

El Gerente de segurança será quem tomará as decisões adequadas para satisfazer os requisitos de segurança da informação e serviços. Você terá as seguintes funções:

Supervisionar o cumprimento desta Política, suas regras e procedimentos derivados.
Aconselhar em matéria de segurança os membros da Comissão de Segurança que assim o requeiram.
Estar ciente e supervisionar a investigação e monitoramento de incidentes de segurança.
Estabelecer medidas de segurança adequadas e eficazes ao cumprimento dos requisitos de segurança estabelecidos pelos Responsáveis dos Serviços e da Informação, cumprindo sempre o exigido no Anexo II da ENS.
Aconselhar, em colaboração com os Responsáveis de Sistemas, Dirigentes de Serviços e de Informação, na realização da análise e gestão de riscos, submetendo o relatório resultante à Comissão de Segurança.
Monitore o status de segurança do sistema fornecido por ferramentas de gerenciamento de eventos de segurança e mecanismos de auditoria implementados no sistema.
Promover atividades de conscientização e treinamento de segurança em sua área de responsabilidade, seguindo as orientações do Comitê de Segurança.
Realizar ou promover auditorias periódicas que permitam verificar o cumprimento das obrigações da Comissão de Segurança em matéria de segurança.
Preparar os temas a serem discutidos nas reuniões do Comitê de Segurança, fornecendo informações tempestivas para a tomada de decisões.
Elaboração e revisão de normas de segurança Comitê de Segurança.
Aprovação dos procedimentos de segurança elaborados pelo Gestor do Sistema.

El Gerente de Informações será o proprietário do mesmo e terá as seguintes funções:

Classifique a informação de acordo com os critérios estabelecidos e em cada uma das dimensões de segurança conhecidas e aplicáveis (disponibilidade, autenticidade, rastreabilidade, confidencialidade e integridade).
Trabalhar em colaboração com o responsável de segurança e sistema na manutenção dos serviços tecnológicos.
Efetuar a análise dos riscos que o comprometem bem como as diferentes opções de gestão de riscos a implementar.
Avaliar e decidir, em conjunto com os Gestores de Serviço, os riscos residuais apurados na análise de risco, e proceder ao seu acompanhamento e controlo, sem prejuízo da possibilidade de delegação desta função.
Assegurar a inclusão de cláusulas de segurança nos contratos com terceiros que possam ter acesso à informação sobre os procedimentos que gere e fiscalizar o seu cumprimento.

El Responsável do serviço determinará os requisitos dos serviços prestados, portanto, terá as seguintes funções:

Estabelecer os requisitos de segurança do serviço, ou, na terminologia ENS, o poder de determinar os níveis de segurança dos serviços.
Classificar os serviços de acordo com os critérios e categorias estabelecidos na ENS e em cada uma das dimensões de segurança conhecidas e aplicáveis (disponibilidade, autenticidade, rastreabilidade, confidencialidade e integridade), no quadro estabelecido no Anexo I da ENS.
Atender aos requisitos de segurança da informação, como disponibilidade, acessibilidade, interoperabilidade, etc. que são exigidos na prestação de serviços.
Assegurar a inclusão de cláusulas de segurança nos contratos com terceiros que possam afetar os seus serviços e fiscalizar o seu cumprimento.

El Gerente de Sistemas de Informação, dentro de suas áreas de atuação, serão atribuídas as seguintes funções:

Desenvolvimento, operação e manutenção do sistema de informação ao longo do seu ciclo de vida, suas especificações, instalação e verificação do seu correto funcionamento.
Garantir que as medidas de segurança estejam adequadamente integradas no quadro geral de Segurança da Informação.
Aprovar qualquer modificação substancial da configuração de qualquer elemento do sistema.
Desenvolver procedimentos técnicos de segurança para sistemas de informação.
Elaborar planos de continuidade dos sistemas de informação.
Colaborar para realizar a análise de risco dos sistemas de informação pelos quais é responsável.
Implementar, gerir e manter as medidas de segurança aplicáveis ao sistema de informação.
Gerir, configurar e atualizar, se for caso disso, o hardware e o software em que se baseiam os mecanismos e serviços de segurança do sistema de informação.

PROCEDIMENTOS DE NOMEAÇÃO

As nomeações são estabelecidas pela Gerência Geral do 1MILLIONBOT e serão revisadas a cada 2 anos ou quando o cargo ficar vago.

Documentação de segurança

As orientações para a estruturação da documentação do sistema, sua gestão e acesso encontram-se detalhadas no procedimento geral 'Gestão da informação documentada'.

A documentação relacionada à Segurança da Informação é classificada em três níveis, de modo que cada documento de nível é baseado naqueles de nível superior:

Primeiro nível: Política de segurança da informação.
Segundo nível: Regulamentos, políticas internas e procedimentos de segurança.
Terceiro nível: Relatórios, registros e evidências.

Primeiro nível: Política de segurança.

Documento obrigatório para todos os funcionários, internos e externos, da Organização.

Segundo nível: Regulamentos, políticas internas e procedimentos de segurança.

Cumprimento obrigatório de acordo com o escopo organizacional, técnico ou legal correspondente, desenvolvido pela 1MILLIONBOT no âmbito do seu Sistema de Gestão, no qual foram incluídos os aspectos específicos do ENS para cumprir os requisitos mínimos de segurança estabelecidos em seu artigo 11.

A responsabilidade pela aprovação dos documentos elaborados neste nível caberá ao Comitê de Segurança.

Terceiro nível: Relatórios, registros e provas.

Documentos de natureza técnica que recolhem evidências geradas durante todas as fases do ciclo de vida do sistema de informação, bem como ameaças e vulnerabilidades dos sistemas de informação.

Dados gerais

Todos os sistemas de informação da 1MILLIONBOT cumprem com os níveis de segurança exigidos pelos regulamentos relativos à natureza e finalidade dos dados pessoais.

Em aplicação do princípio da responsabilidade proativa estabelecido no Regulamento Geral de Proteção de Dados (RGPD) e na nova LOPD, as atividades de tratamento de dados pessoais integram-se na categorização de sistemas do Regime Nacional de Segurança, tendo em conta as ameaças e riscos associados a este tipo de tratamento.

Da mesma forma, aplicar-se-á qualquer outra regulamentação em vigor relativa à proteção de dados pessoais.

Gestão de riscos

Todos os sistemas sujeitos a esta Política devem realizar uma análise de risco, avaliando as ameaças e os riscos a que estão expostos.

Esta análise será repetida:

Regularmente, pelo menos uma vez por ano.
Quando as informações manipuladas mudam.
Quando os serviços prestados mudam.
Quando ocorre um incidente de segurança grave.
Quando vulnerabilidades graves são relatadas.

Para a harmonização da análise de risco, o Comitê de Segurança estabelecerá uma avaliação de referência para os diferentes tipos de informações que trata e os diferentes serviços prestados.

O Comitê de Segurança agilizará a disponibilização de recursos para atender às necessidades de segurança dos diversos sistemas, promovendo investimentos de caráter horizontal.

Obrigação do pessoal

Todos os membros do 1MILLIONBOT têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e o Regulamento de Segurança, cabendo ao Comitê de Segurança prover os meios necessários para que a informação chegue aos afetados.

Todos os membros do 1MILLIONBOT participarão de uma sessão de conscientização de segurança pelo menos uma vez por ano. Um programa contínuo de conscientização será estabelecido para atender todos os membros do 1MILLIONBOT, principalmente os recém-chegados.

As pessoas responsáveis pelo uso, operação ou administração de sistemas de TIC receberão treinamento para o manuseio seguro dos sistemas na medida em que necessitem para realizar seu trabalho. O treinamento será obrigatório antes de assumir uma responsabilidade, seja sua primeira atribuição ou se for uma mudança de cargo ou responsabilidades nele.

Terceiros

Quando o 1MILLIONBOT usar serviços de terceiros ou transferir informações para terceiros, eles serão informados sobre esta Política de Segurança e os Regulamentos de Segurança que dizem respeito a tais serviços ou informações.

O referido terceiro estará sujeito às obrigações estabelecidas nos referidos regulamentos, podendo desenvolver seus próprios procedimentos operacionais para satisfazê-lo. Serão estabelecidos procedimentos específicos de notificação e resolução de incidentes. Será assegurado que o pessoal terceirizado esteja adequadamente ciente da segurança, pelo menos no mesmo nível estabelecido nesta Política.

Quando algum aspecto da Política não puder ser atendido por um terceiro conforme exigido nos parágrafos anteriores, será exigido um relatório do Gerente de Segurança que especifique os riscos incorridos e a forma de tratá-los. A aprovação deste relatório pelos responsáveis pelas informações e serviços afetados será necessária antes de prosseguir.