Política de Segurança da Informação

Introdução

A DIXI VEXT mantém um Programa de Segurança da Informação que fundamenta todas as suas atividades. Este programa é direcionado ao CEO, à gerência, aos líderes, aos colaboradores (incluindo funcionários, estagiários, aprendizes, dirigentes) e aos empregados de empresas contratadas, bem como a todos que atuem ou prestem serviços em nome da DIXI VEXT.

Para orientar esse programa, foram desenvolvidas políticas e procedimentos específicos de segurança, entre os quais se destaca esta Política de Segurança da Informação. Seu objetivo é comunicar o compromisso da DIXI VEXT com a proteção das informações relacionadas a seus ativos, clientes, parceiros, colaboradores e fornecedores, além de estabelecer os meios necessários para assegurar a segurança da informação no ambiente de trabalho.

A DIXI VEXT reconhece que, sob a perspectiva da segurança da informação, um dos principais ativos organizacionais é a informação. Considerando que a empresa atua na fabricação e comercialização de soluções para controle de ponto e gestão de acesso, é natural que esteja exposta ao tratamento de dados pessoais e, frequentemente, dados sensíveis. Por essa razão, a empresa adota uma postura de responsabilidade e rigor no tratamento dessas informações, garantindo que estejam protegidas de forma adequada e em conformidade com as exigências legais.

Quanto mais seguras forem as informações que obtemos, mantemos e utilizamos, menor será o risco de fraudes e incidentes. Consequentemente, quanto maior a segurança das informações sob nossa responsabilidade, maior será a confiança do mercado em nossos serviços, fortalecendo os relacionamentos e promovendo a expansão sustentável da organização.

Além dos aspectos éticos e morais envolvidos, a DIXI VEXT observa rigorosamente os aspectos legais e regulamentares aplicáveis, como a Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normas relacionadas à segurança da informação. Reconhecemos que o ambiente regulatório está em constante evolução e, por isso, buscamos continuamente manter a conformidade e a aderência às melhores práticas do setor.

Estamos cientes de que vazamentos de dados — acidentais ou intencionais, internos ou externos — têm causado impactos significativos no mercado, e, por isso, nos comprometemos com uma abordagem abrangente de segurança, que envolve:

• Adoção de práticas jurídicas, técnicas e organizacionais atualizadas;
• Modernização de processos com uso de inteligência artificial e tecnologias de ponta;
• Conscientização e engajamento de todas as áreas da empresa, não apenas da equipe de tecnologia.

A segurança da informação deve ser um valor compartilhado por todos na organização. Por isso, investimos também em capacitação contínua e em uma cultura organizacional voltada para a proteção, integridade, confidencialidade e disponibilidade das informações.

A DIXI VEXT estabelece, assim, um Programa de Segurança da Informação estruturado como um conjunto de projetos integrados e contínuos. Esse programa é gerenciado por meio do Sistema de Gestão da Segurança da Informação (SGSI), responsável pelo planejamento, implementação, revisão e aprimoramento das ações relacionadas à segurança da informação.

1. Palavra da Alta Gestão

Para a Alta Gestão da DIXI VEXT, garantir a proteção das informações confiadas à empresa é um compromisso inegociável. Preservar a integridade das relações com colaboradores, parceiros e clientes passa, necessariamente, pela adoção de práticas robustas de segurança da informação e de proteção de dados pessoais, sempre alinhadas com os mais altos padrões legais, regulatórios e organizacionais.

Essa responsabilidade é compartilhada por todos os níveis da organização. A proteção das informações e o respeito à privacidade não se limitam a áreas técnicas ou específicas, mas devem ser parte da cultura corporativa e do comportamento diário de cada pessoa envolvida em nossas atividades.

A Alta Gestão define como escopo do Sistema de Gestão de Segurança da Informação e de Proteção de Dados Pessoais da DIXI VEXT o mesmo estabelecido na Política da Qualidade:

Desenvolvimento, fabricação/montagem e venda de equipamentos e sistema de controle de ponto e frequência.

A natureza das informações tratadas nesse contexto é sensível e, por isso, recebe atenção e cuidado compatíveis com seu valor e criticidade. Reconhecendo isso, esta Política de Segurança da Informação foi elaborada com o objetivo de estabelecer os princípios e diretrizes que sustentam nosso compromisso com a segurança, a privacidade e a continuidade das operações.

A Alta Gestão solicita que todos os públicos destinatários desta Política — colaboradores internos e externos, parceiros, fornecedores e demais envolvidos — estejam comprometidos com a leitura, compreensão e cumprimento das diretrizes aqui apresentadas. Esse engajamento é essencial para assegurar a confidencialidade, integridade e disponibilidade das informações, contribuindo para a confiança do mercado, a excelência dos nossos processos e a sustentabilidade da nossa atuação.

2. Terminologia básica de Segurança da Informação

O conceito de segurança da informação é amplo, mas pode ser compreendido de forma mais clara ao ser dividido em duas partes: informação, que representa o conteúdo de valor para uma empresa ou profissional; e segurança, entendida como a proteção contra perigos, ameaças e incertezas.

Segurança da informação refere-se, portanto, à proteção aplicada sobre as informações de uma organização ou indivíduo. Esse conceito não se restringe aos sistemas computacionais, informações eletrônicas ou meios digitais de armazenamento. Ele se aplica a qualquer forma de informação, abrangendo todos os meios e contextos em que os dados são tratados.

O nível de proteção atribuído a uma informação deve, sempre, ser proporcional ao seu valor e aos impactos que sua exposição, alteração ou perda poderiam causar. A segurança da informação também compreende toda a infraestrutura que viabiliza o uso das informações — como processos, sistemas, serviços, tecnologias e demais elementos de suporte.

Dentro desse contexto, uma informação pode estar em estado seguro ou inseguro. Considera-se que uma informação está segura quando atende aos seguintes princípios: confidencialidade, integridade, disponibilidade, autenticidade e legalidade/irretratabilidade. Ao avaliar se determinada informação está segura, é necessário verificar se ela preserva todos esses atributos.

Confidencialidade: Refere-se à restrição de acesso às informações apenas a pessoas autorizadas. Uma informação é confidencial quando não está acessível ao público e pertence a uma pessoa ou organização. Compartilhar ou acessar dados sem autorização quebra esse princípio.

Integridade: Diz respeito à exatidão e completude da informação. Uma informação íntegra é aquela que permanece inalterada desde sua criação ou envio. Qualquer modificação não autorizada compromete sua integridade e a torna insegura.

Disponibilidade: Garante que a informação esteja acessível sempre que necessária, por pessoas devidamente autorizadas. Se os dados não estiverem disponíveis no momento e local esperados, mesmo que existam, eles deixam de cumprir seu papel e não estão seguros.

Autenticidade: Assegura que a informação foi criada, enviada ou modificada por quem declara tê-lo feito. Esse princípio visa garantir a identidade e a legitimidade da fonte, utilizando mecanismos de rastreabilidade e registros confiáveis.

Legalidade/Irretratabilidade: Este princípio determina que os procedimentos voltados à segurança da informação estejam em conformidade com a legislação vigente, em especial no que diz respeito à proteção de dados pessoais. A irretratabilidade implica que a empresa seja capaz de comprovar a autoria e a responsabilidade pelas ações realizadas em seus sistemas — o que foi feito, por quem e quando.

Dessa forma, compreende-se que segurança da informação é a preservação da confidencialidade, integridade e disponibilidade das informações, estendendo-se também à autenticidade e à legalidade, fundamentais para um ambiente organizacional confiável e responsável.

Por fim, o Sistema de Gestão da Segurança da Informação é o conjunto de práticas e processos que organiza o planejamento, implementação, manutenção, revisão e melhoria contínua das ações voltadas à proteção das informações da organização.

3. Sistema de Gestão de Segurança da Informação

A empresa mantém um Sistema de Gestão de Segurança da Informação (SGSI) estruturado com base em um esforço coletivo e coordenado. Esse sistema é conduzido por um comitê multidisciplinar composto por representantes das áreas de Recursos Humanos, Tecnologia da Informação, Comunicação, Sistema de Gestão Integrado (SGI) e pelo Encarregado de Dados Pessoais (DPO). Juntos, esses profissionais atuam de forma integrada para planejar, implementar e acompanhar ações que promovam a segurança das informações em todos os níveis da organização.

O SGSI tem como propósito estabelecer diretrizes, fomentar melhorias contínuas e garantir que os riscos relacionados à segurança da informação sejam identificados, avaliados e tratados de maneira eficaz, abrangendo todos os processos e áreas da empresa. A atuação colaborativa do comitê reforça a visão de que a segurança da informação é uma responsabilidade compartilhada, incorporada à cultura e às rotinas da organização.

Para dar suporte técnico e estratégico a essas atividades, a alta gestão designou um profissional qualificado como Gestor do SGSI, cuja missão é coordenar a execução das ações, promover auditorias internas, acompanhar o desempenho dos controles implementados e apoiar os setores na adoção de práticas seguras e eficientes. Embora exerça papel de liderança, o Gestor do SGSI atua em parceria com o comitê, fortalecendo a integração entre as áreas e contribuindo para o alcance dos objetivos organizacionais relacionados à segurança da informação.

A empresa também nomeou formalmente um DPO (Encarregado de Dados Pessoais), que possui papel essencial dentro do SGSI. Além de ser o elo entre a organização, os titulares de dados e as autoridades reguladoras, o DPO participa ativamente do comitê, orientando ações relacionadas à privacidade e ao tratamento adequado dos dados pessoais, reforçando o compromisso com a conformidade legal e a proteção de dados sensíveis.

Entre as principais atribuições do SGSI estão:

• Avaliar os setores quanto ao grau de exposição a riscos relacionados à informação;
• Planejar e coordenar, junto aos responsáveis das áreas, projetos de segurança;
• Monitorar e auditar sistemas, processos e práticas institucionais;
• Participar do planejamento estratégico, assegurando que a segurança da informação esteja integrada às decisões da empresa.

A estrutura e atuação constante do SGSI traduzem o compromisso institucional com a proteção das informações, a conformidade normativa e a preservação da confiança de todos que interagem com a organização.

4. O que diz nossa Política de Segurança da Informação

A Política de Segurança da Informação é o documento-base do nosso Sistema de Gestão de Segurança da Informação (SGSI). Ela expressa de forma clara e pública o comprometimento e o apoio da alta gestão com a proteção das informações da organização. Seu propósito é definir a finalidade, a direção, os princípios e as regras essenciais para a gestão da segurança da informação em toda a empresa.

A formalização desta política representa o ponto de partida para sua implementação prática, possibilitando o controle eficaz dos processos e o alinhamento às diretrizes estratégicas da organização. A empresa compromete-se a atender todos os requisitos legais e regulatórios aplicáveis, garantir a continuidade dos negócios e promover a melhoria contínua do SGSI.

Esta política aplica-se a todos os setores da empresa, seus colaboradores e prestadores de serviço, bem como às partes externas relevantes, como clientes e parceiros de negócios, que devem ter acesso ao documento completo.

A Política de Segurança da Informação da DIXI VEXT foi elaborada com base nos seguintes documentos de referência:

• Norma ISO/IEC 27001
• Norma ISO/IEC 27701
• Documento de escopo do SGSI
• Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Nº 13.709/2018)
• Portaria MTP Nº 671/2021 – Art. 101

Esta política abrange todo o Sistema de Gestão de Segurança da Informação conforme definido em seu escopo.

4.1 Objetivos Gerais da Gestão de Segurança da Informação

Os objetivos da gestão de segurança da informação foram definidos com o intuito de garantir a proteção adequada dos ativos informacionais e a manutenção da confiança de todas as partes interessadas. São eles:

• Adequar as rotinas e processos internos às diretrizes de segurança da informação;
• Identificar e mapear irregularidades relacionadas à segurança da informação;
• Fortalecer a imagem da empresa no mercado por meio da proteção dos nossos dados, dos dados de nossos clientes e dos dados dos clientes de nossos clientes;
• Treinar, conscientizar e capacitar continuamente os colaboradores;
• Preservar os ativos de informação da organização.

Estes objetivos são monitorados e medidos mensalmente, e sua efetividade é avaliada anualmente durante o processo de revisão da Política de Segurança da Informação. Os resultados obtidos compõem os insumos para a análise crítica realizada pela alta gestão.

4.2 Requisitos de Segurança da Informação

A Política de Segurança da Informação e todo o Sistema de Gestão de Segurança da Informação devem estar em conformidade com os requisitos legais, regulamentares e contratuais aplicáveis.

4.3 Controles da Segurança da Informação

Os procedimentos para identificação e avaliação de riscos e oportunidades estão definidos na Metodologia de Avaliação e Tratamento de Riscos. Os controles selecionados e seu respectivo status de implementação estão documentados na Declaração de Aplicabilidade.

4.4 Conscientização e Treinamentos de Segurança da Informação

A empresa promove programas contínuos de conscientização e treinamento em segurança da informação para todos os colaboradores, visando desenvolver competências e comportamentos adequados para a proteção das informações organizacionais.

4.5 Continuidade de negócios

A DIXI VEXT mantém planos de contingência e continuidade operacional para seus sistemas e serviços essenciais. Estes planos devem ser testados, no mínimo, anualmente, com o objetivo de mitigar riscos à confidencialidade, integridade e disponibilidade dos ativos de informação.

4.6 Gestão de riscos

Avaliações regulares de riscos devem ser conduzidas para identificar ameaças, vulnerabilidades e impactos potenciais. Com base nos resultados, são aplicadas medidas de controle para mitigar, aceitar, transferir ou evitar os riscos.

4.7 Gestão de senhas

A DIXI VEXT adota as melhores práticas de gestão de senhas. Todos os colaboradores devem utilizar senhas únicas, fortes e sigilosas para acesso aos sistemas da empresa. É expressamente proibido o compartilhamento de senhas.

4.8 Gestão de ativos

A gestão de ativos contempla o controle de todo o ciclo de vida dos ativos de informação, desde sua aquisição até o descarte. Todos os ativos são identificados, atualizados, classificados e possuem responsáveis definidos, conforme política interna./P>

4.9 Proteção e classificação da informação

As informações devem ser classificadas de acordo com seu nível de sensibilidade, sendo aplicadas medidas técnicas e organizacionais para assegurar sua confidencialidade, integridade e disponibilidade. O acesso deve ser restrito conforme o nível de classificação.

4.10 coleta e prossamento de dados pessoais

A coleta e o tratamento de dados pessoais devem ser realizados com base em fundamentos legais válidos, para finalidades específicas e legítimas. Deve haver transparência quanto aos dados coletados, seu uso e eventuais compartilhamentos, limitando o tratamento ao mínimo necessário./p>

4.11 Gestão de identidade e acessos

O acesso a sistemas e dados da empresa deve seguir o princípio do menor privilégio. Os colaboradores terão acesso apenas às informações e recursos essenciais ao desempenho de suas funções. Medidas como autenticação por senha, autenticação de dois fatores e biometria devem ser aplicadas conforme o nível de criticidade do acesso.

4.12 Responsabilidades do SGSI

As responsabilidades pelo Sistema de Gestão de Segurança da Informação incluem:
• Planejar, implementar, manter, revisar e aprimorar as políticas e diretrizes de segurança da informação em conjunto com os setores da empresa;
• Delegar responsabilidades de segurança da informação conforme necessário;
• Definir, coordenar e monitorar projetos relacionados à segurança da informação, incluindo auditorias dos sistemas e processos.

4.13 Ambiente de desenvolvimento

Os ambientes de desenvolvimento e produção devem ser segregados e controlados, com acesso permitido apenas a usuários previamente autorizados.

4.14 Trabalho remoto

A DIXI VEXT estabeleceu diretrizes para o trabalho remoto, incluindo o uso obrigatório de VPNs e outras medidas de proteção que assegurem o controle de acesso e a integridade das informações.

4.15 Respostas a incidentes de segurança

O descumprimento da Política de Segurança da Informação e das normas associadas será tratado como violação das regras internas da organização, podendo resultar em medidas administrativas e legais, conforme aplicável.

4.16 Comunicação da política

As áreas de Comunicação, SGSI e Recursos Humanos são responsáveis por assegurar que todos os colaboradores e partes externas apropriadas tenham conhecimento da Política de Segurança da Informação.
Uma cópia da versão atualizada da política está disponível fisicamente em cada setor da empresa e também é acessível publicamente por meio de canais digitais institucionais.

5. Responsabilidades gerais

A segurança da informação é responsabilidade de todos na DIXI VEXT. Cada nível da organização, bem como as partes externas relevantes, possui deveres específicos para garantir a confidencialidade, integridade, disponibilidade e legalidade das informações tratadas. As responsabilidades estão definidas da seguinte forma:

• O CEO e a gerência são responsáveis por assegurar que o SGSI seja implementado e mantido em conformidade com esta Política.
• A gerência é responsável pela coordenação operacional do SGSI, garantindo sua execução no dia a dia.
• A alta administração deve analisar o SGSI pelo menos uma vez por ano ou sempre que ocorrer uma mudança importante.
• O setor de Recursos Humanos, em conjunto com o DPO, é responsável por planejar e executar os programas de conscientização e treinamentos em segurança da informação.
• Os proprietários dos ativos de informação devem zelar pela proteção de sua confidencialidade, integridade e disponibilidade.
• A área de Marketing, com apoio do DPO, define quais informações relativas à segurança da informação serão comunicadas, para quais públicos, por quem e em que momento.

5.1 Diretores e líderes

Diretores e líderes devem:

• Atuar como exemplo de conduta em relação à segurança da informação;
• Proteger fisicamente e logicamente os ativos sob sua responsabilidade;
• Impedir o acesso de ex-colaboradores aos sistemas e ativos, utilizando os processos de desligamento;/li>
• Evitar discussões sobre assuntos confidenciais em locais públicos ou expostos (aviões, transportes, eventos, redes sociais, etc.);
• Garantir que suas equipes compreendam e cumpram as obrigações de proteção da informação;
• Informar formalmente à equipe de TI os acessos e permissões necessários para os colaboradores e visitantes sob sua responsabilidade.

5.2 Colaboradores

Todos os colaboradores da DIXI VEXT devem:

• Comunicar, por e-mail (dpo@dixiponto.com.br) ou via plataforma interna, qualquer incidente ou violação à segurança da informação, independentemente da origem;
• Respeitar a legislação vigente e notificar o Núcleo de Segurança da Informação sobre qualquer descumprimento legal;
• Participar dos treinamentos de segurança da informação e aplicar as boas práticas no uso dos sistemas e dados;
• Seguir as normas e diretrizes definidas pelo Comitê de Segurança da Informação e informar qualquer dificuldade de cumprimento;
• Exigir que terceiros com acesso a informações da empresa assinem os termos de confidencialidade;
• Cumprir e ajudar a fazer cumprir esta Política, bem como os demais procedimentos e normas do SGSI;
• Realizar o descarte adequado de documentos conforme sua classificação, utilizando recursos apropriados como fragmentadoras de papel.

5.3 Demais partes interessadas

Fornecedores, parceiros, prestadores de serviços, clientes, visitantes e demais partes externas com acesso a informações da DIXI VEXT devem:

• Obedecer aos compromissos estabelecidos nos contratos, termos de confidencialidade e acordos específicos sobre segurança da informação;
• Cumprir as obrigações legais relacionadas à LGPD e à segurança da informação, zelando pelas boas práticas exigidas pela empresa.

6. Validade e Gestão de Documentos

Este documento é válido a partir de sua data de publicação.

7. Histórico de Alterações