capacitaÇÃo sgsi

SEGURANÇA , RISCOS DAS

INFORMACÕES E PROTECÃO

DOS DADOS PESSOAIS.

2012

Conteúdo

• Vídeo Sobre o Tema.

• Sistema Integral de Gestão da Segurança da Informacão.

• Norma ISO 27001:2005.

• Payment Card Industry Data Security Standard – PCI – DSS.

SEGURANÇA, RISCO DAS INFORMACOES E PROTEÇÃO DOS DADOS PESSOAIS

Objetivo

• Que todas pessoas compreendam o que é Sistema de Gestão

de Segurança da Informação ISO 27001:2005 e como proteger e

garantir a confidencialidade das informações que nossos

clientes e usuários nos proporcionam.


Sistema de Gestão Integral

da Segurança e Proteção

da Informação.


• A Iké Asistencia Brasil desde o ano de 2009 é

uma organização certificada em ISO 9001:2008

e desde 2011 temos o PCI-DSS. Buscamos

para o ano de 2012 a certificação ISO

27000:2005, para isso, focaremos no exercício

de boas práticas para o manuseio de

informações (documentos, arquivos, planos de

contingência, pessoas e tecnologia) dentro dos

processos internos da organização.

1

http://www.google.com.mx/imgres?imgurl=http://www.pycomall.com/images/P/p-16863.jpg&imgrefurl=http://www.pycomall.com/product.php?productid=16863&h=400&w=400&sz=48&tbnid=cv0JnLVQ68ok-M:&tbnh=124&tbnw=124&prev=/images?q=logo+de+master+card&zoom=1&q=logo+de+master+card&hl=es&usg=__w-vW9YnMz-lvaWIY6MAX67HAi7Q=&sa=X&ei=vSemTMaPHMH58AaTzNSvCg&ved=0CB4Q9QEwAQ


O que é SIGSI?


• É um sistema de gerenciamento que nos ajuda

à assegurar a CONFIDENCIALIDADE,

INTEGRIDADE e DISPONIBILIDADE dos ativos

de informação, minimizando os riscos de

segurança da informação.

2



Como Funciona o S I G S I


• Cada área terá um Manual de Segurança que

tratará de maneira geral os sistemas adotados

sobre segurança da informação de acordo com

as nossas necessidades e compromissos

através de Políticas e Procedimentos de

Segurança.

• Todas as Políticas e Procedimentos de

Segurança são aplicados a todas as pessoas

da empresa e qualquer não cumprimento dos

mesmos implicarão em Eventos ou Incidentes

de Segurança.

3



Alcance do S I G S I


• Proteger os ativos, recursos tecnológicos,

informações da empresa, de cartões de

crédito e informações pessoais de clientes e

usuários dentro dos processos relacionados

a prestação dos serviços de Assistência.

Assim como as informações que os Clientes

Corporativos nos proporcionam para tal fim.

4



Ativo


Ativos são bens tangíveis ou intangíveis que uma empresa

possui .

Entende-se um ativo de informação por ser elemento(s)

com valor informativo que são propriedades de uma

empresa, instituição ou indivíduo, e que refletem sua

atividade.

5

Política do S I G S I


• Na Ikê Asistencia Brasil estamos

comprometidos em manter a

Confidencialidade, Integridade e

Disponibilidade de nossas informações

estratégica, relacionadas as informações de

cartões de Crédito de propriedade de nossos

Clientes e toda informação pessoal dos

Usuários, melhorando a cada dia nosso

Sistema Integral de Gestão de Segurança da

Informação.

6



Plano de Continuidade do

Negocio BCP do SIGSI


• É um Plano de Ação documentado que

coordena todas as áreas da empresa,

principalmente aquelas que são consideradas

sensíveis como Central de Atendimento

Telefônico (CAT), Tecnologia da Informação e

Serviços Gerais, minimizando o impacto de

qualquer interrupção das principais atividades

do negócio.

7



Objetivos do S I G S I


• 1. Garantir a Continuidade das atividades da

empresa com a implantação efetiva de um

plano BCP para todos os aspectos.

• 2. Manter a promover a cultura de segurança e

proteção da informação da empresa, dos

dados de cartão de crédito e informações

pessoais dos usuários e clientes conforme os

requerimentos adotados.

8




• 3. Manter de maneira efetiva os controles

adotados e seu correto monitoramento, bem

como a Confidencialidade, Disponibilidade e

Integridade da Informação da empresa, cartão

de crédito e informação pessoal dos usuários.

• 4. Minimizar com medidas apropriadas o

impacto dos eventos e incidentes de segurança

da informação que comprometam a informação

da empresa, cartão de crédito e informação

pessoal dos usuários.

9

Objetivos do S I G S I



Plano de Continuidade do

Negócio BCP do SIGSI


Garantir o restabelecimento ou recuperação do

negócio no menor tempo possível de maneira

ordenada, com aprovação da Direção Geral.

C.A.T > T.I. > S.G.

TEMPO + ORDEM = RECUPERAÇÃO DO

NEGÓCIO

10



Rotina de Auditoria

do SIGSI


• Toda a empresa será submetida a duas

Auditorias:

• INTERNA- Cada seis meses, cuja a intenção é

revisar o comportamento dos processos

declarados para Segurança da Informação.

• EXTERNA – Também a cada seis meses, cuja a

intenção é revisar toda a administração do

SIGSI e os resultados das auditorias internas.

11



Auditoria do SIGSI


- BSI revisará o que diz respeito a ISO

27001:2005

- IBM de México & Master Card revisará o que diz

respeito a PCI-DSS

12



Proteção de Dados

Pessoais


• Devemos garantir aos usuários seus

direitos ARCO.

- Acesso

- Retificação

- Cancelamento

- Oposição

Segurança e Riscos da Informação e de

Proteção de Dados Pessoais apoiará as áreas

neste sentido quando necessário.

13



Finalidade do S I G S I


• O processo de gestão integral permite garantir

a segurança necessária da informação que

constam nas normas adotadas e

implementadas na ISO 27001:2005 // PCI-DSS

já que ambas estão voltadas para Segurança

da Informação.

14



Benefícios para a IKÊ

com a ISO 27001:2005


•Melhoria do conhecimento dos sistemas de informação,

seus problemas e os meios de proteção.

•Proteção da informação.

•Diferencial sobre a concorrência e maior destaque no

mercado.

15

Políticas e Procedimentos.


16

Até o momento estão previstos 27 procedimentos de

segurança para a proteção dos ativos da organização

Gerais - 8 Politicas(Senhas, digitalização de

documentos, telefonia, uso

equipamentos)

Serviços Gerais

1 Politica(Controle de acesso)

Recursos Humanos

2 Politicas(Desligamentos, medidas

disciplinares)

T.I.

15 Políticas(Manutenção de computadores,

licenças de software, inventário)

Segurança da Informação

1 Politica(Levantamento de incidentes de segurança)

Verificações de

Segurança


- Procedimento obrigatório que ajuda a diminuir nossos

riscos em relação aos ativos de informação.

- Se revisa o cumprimento das Políticas e Procedimentos

- O descumprimento nas verificações, se da origem aos

Incidentes de Segurança.

- Os Incidentes de Segurança são sancionados nos termos

do Regulamento Interno de Trabalho e penalizados se

preciso, conforme procedimento existente para tal fim.

17

PolÍtica de Segurança

PCI-DSS

“Na Ikê Assistencia Brasil estamos comprometidos em

manter a Confidencialidade, Integridade e Disponibilidade

da informação dos Cartões de Crédito, buscando a

efetividade em sua segurança e a melhora continua de

todos os requerimentos PCI-DSS adotados”

18




Restrições de Segurança

PCI-DSS

- Fica restringido anotar em simples papéis os 16 dígitos

de qualquer cartão de crédito e o CVV (Código de

Segurança)

- Não é permitido informar a pessoas fora da empresa e/ou

pessoas alheias a nossa atividade, qualquer tipo de

informação referente a portadores do cartão ou cartões de

crédito.

- Proibido enviar ou receber por email interno ou por

correio público (yahoo, hotmail, gmail, etc.) qualquer tipo

de documentos que contenham dados de Cartão de

Crédito. Qualquer evento deste tipo é passível de punição.

- Fica restringido proporcionar dados dos cartões de

crédito via telefone, fax, celular, USB´s, ipod´s,

fotografia ou através de qualquer outro meio.

19




Alcance de Ikê Assistencia

Brasil PCI-DSS

Proteger os ativos, recursos tecnológicos e informações

relacionadas a cartões de crédito que permitem o fornecimento

dos serviços de Assistência Concierge, Asistencia Auto e

Assistência Residencial, assim como a informação que os

Clientes proprietários das Marcas de Cartão de Crédito

proporcionam para tal fim.

20





OBRIGADO POR

SUA

PARTICIPAÇÃO!!!

21



capacitaÇÃo sgsi

Documents